Autor
     Altair Olivo Santin
     E-mail: [email protected]
 
 Orientador
     Prof. Dr. Joni da Silva Fraga
      E-mail: [email protected]
 
 Resumo: Os controles de autenticação e autorização clássicos, ditos orientados a nome – onde uma entidade é um nome representando um identificador único no sistema – com uma autoridade de confiança centralizadora, atendem com dificuldades as necessidades dos sistemas de larga escala como as aplicações da Internet. Um novo modelo, dito orientado a chave, mais flexível e escalável vem sendo experimentado na construção de sistemas distribuídos seguros. Neste modelo, é utilizada a infra-estrutura de chave pública sem a centralização da autoridade de confiança; a distribuição da autoridade é feita por delegações sucessivas de permissões numa cadeia de confiança onde o sujeito (beneficiário) é identificado por sua chave pública. A dificuldade nestas cadeias é buscar os caminhos de autorização resultantes das delegações que ligam um cliente a um servidor. As técnicas propostas para buscar estes caminhos, até o momento, não sugerem alternativas quando as buscas falham. Neste trabalho é proposto um esquema para construir tal caminho, com base em uma entidade que representa interesses afins de um agrupamento de principal, a federação. Auxiliar na localização de chaves para resolver nomes e na localização de certificados de autorização para construir os caminhos ligando o cliente ao servidor é a principal função da federação. Para ganhar escalabilidade as federações são agrupadas em teias de federações distribuídas no espaço global. Uma heurística é proposta para que os clientes navegarem na teia de federações buscando certificados. Baseado no middleware CORBA um protótipo do modelo é apresentado, junto a uma avaliação de desempenho do mesmo num ambiente distribuído.

Palavras-chave
     Segurança, Controle de acesso, Autenticação e autorização, Cadeias de confiança, Internet.

Abstract: The traditional authentication and authorization control methods are name-oriented, i.e., each entity is represented by a name that corresponds to a unique identifier in a system. They are, usually based on a centralized trust authority. This approach is barely adequate to fulfill all the requirements associated to a large-scale system, such as Internet. Recently, a key-oriented model has been proposed as an alternative for building secure distributed systems. This model can be considered more scalable and flexible than the traditional ones, because a public key infrastructure is used without a central trust authority. The authority distribution is implemented by successive permission delegations, according to a trust chain, where his/her public key identifies the subject (beneficiary). The difficulty in using the chain approach is to determine (search) the authorization path corresponding to the successive delegations that connect a client to a  server. The techniques proposed to determine the delegation chain, until the moment, don't suggest alternatives when the search for a path fails. This work proposes a new strategy to build the delegation chains. The approach introduces a new entity called federation, which represents similar interests of a group of principals. The main function of the federation is to help in the location of keys, for solving names, and authorization certificates, for building the delegation chains. To improve scalability, federations are grouped in "federation webs", distributed along the global network. A heuristic-based algorithm, permitting the clients to navigate across the web federation for searching the certificates, is also presented. A prototype with the main concepts of our strategy was implemented in CORBA. In order to evaluate our proposal, the performance result of this prototype in a distributed scenario is also presented.

Keywords: Security, Access Control, Authentication and Authorization, Chain of trust, Internet.