Um Sistema de Controle de Acesso Utilizando Agentes e Ontologia

Transcrição

1 Um Sistema de Controle de Acesso Utilizando Agentes e Ontologia Pedro Ricardo Oliveira 1, João Carlos Gluz 1 1 Programa Interdisciplinar de Pós Graduação Em Computação Aplicada (PIPCA) Universidade do Vale do Rio dos Sinos (UNISINOS) Caixa Postal São Leopoldo - RS - Brasil pedro.oliveira@terra.com.br, jcgluz@unisinos.br Abstract. The increase use of learning objects and content platforms that perform the functions of storage, creation, modification and query of these objects on a managed and controlled manner, creates the need for mechanisms to control the access to these platforms. This paper aims to present a model of management and access control for a domain of a platform that supports the complete lifecycle of learning objects, using intelligent software agents and a base of ontological data. Resumo. A utilização crescente de objetos de aprendizagem e plataformas de conteúdo que realizam as funções de armazenamento, criação, modificação e consulta de forma gerenciada e controlada destes objetos de aprendizagem, cria a necessidade de mecanismos de software com a função de gerência e controle de acesso a estas plataformas. O presente trabalho tem por objetivo apresentar um modelo de gerência e controle de acesso para um domínio de uma plataforma que suporta o ciclo de vida completo de objetos de aprendizagem com uso de agentes inteligentes de software e uma base de dados ontológica. 1. Introdução Tarefas de gerenciamento e administração são fundamentais em qualquer tipo de sistema de gerenciamento da informação. Assim, um ambiente de ensino composto por objetos de aprendizagem, usuários e aplicações que são modelados por perfis e ontologias, integrados através de agentes de software, também requer métodos e mecanismos para realização destas tarefas. A plataforma OBAA-MILOS [Vicari and Gluz 2011], que tem por objetivo criar uma infraestrutura baseada em agentes e capaz de suportar o ciclo de vida completo de um objeto de aprendizagem, de acordo com a proposta de metadados OBAA [Vicari et al. 2010], é constituída por vários sistemas multi-agente capazes de auxiliarem nas atividades de autoria, busca, uso e gerência de objetos de aprendizagem. Inserido no projeto OBAA-MILOS, este trabalho propõe um modelo de autenticação e autorização de usuários e agentes para a infraestrutura MILOS [Gluz 2010], fazendo uso das tecnologias já utilizadas, como agentes inteligentes e ontologias. O resultado esperado será um modelo e uma arquitetura capaz de suportar o controle de acesso aos recursos da plataforma, levando em consideração todas as interfaces, agentes (usuários e aplicações) e recursos.

2 2. Trabalhos Relacionados Trabalhos e ferramentas relacionados ao tema foram analisados onde destacamos que o uso de bases ontológicas já representa um importante tema de pesquisa, com resultados positivos em diversas áreas. Ferramentas para controle de acesso tradicionais, como Spring Security [Spring Security 2014] e OpenLDAP [OpenLDAP 2014] foram estudadas e observou-se que não apresentaram um grau satisfatório de integração com o ambiente da infraestrutura MILOS. Ainda, o mecanismo de autorização com e sem o uso de sessão, para ambas ferramentas teria de ser desenvolvido tal qual apresentado neste trabalho. Estes fatores foram analisados e decidiu-se descartar tais ferramentas. Dentre os trabalhos selecionados, Onto-ACM [Choi et al. 2014] apresenta um modelo de análise semântica que propõe resolver as questões que envolvem controle de acesso em ambientes de computação em nuvem, onde prestadores de serviços e usuários precisam ser tratados de forma diferente em relação ao acesso às informações, sem causar um grande impacto ou complexidade na configuração de seus papéis. O resultado é um modelo de controle de acesso sensível ao contexto, baseado em processamento de ontologia e método de análise semântica. Em [Katal et al. 2013] encontramos um modelo de autenticação e autorização baseado em ontologia. O trabalho implementa RBAC (Role-Based Access Control) em um domínio específico, neste caso uma universidade, utilizando uma ontologia para representação do acesso. Os papéis são apresentados em forma de classes da ontologia com permissões associadas a estas classes. O acesso é realizado em duas etapas, autenticação e autorização. O estudo destes trabalhos permitiu observar que a criação de uma ontologia de acesso utilizando um modelo RBAC, armazenada em base local ou distribuída, utilizando a base ontológica já existente na infraestrutura MILOS, em conjunto com a implementação de algoritmos para controle de acesso utilizando agentes de software, representa a estratégia ideal para atingir os objetivos definidos neste trabalho. 3. A Infraestrutura OBAA-MILOS O padrão de metadados OBAA proposto por [Vicari et al. 2010], tem como objetivo fornecer mecanismos de interoperabilidade de objetos de aprendizagem em plataformas heterogêneas, como: TV Digital, dispositivos móveis e Web. Este objetivo é atingido através do uso de tecnologias de agentes, sistemas multi-agente, objetos de aprendizagem e computação ubíqua, que permitem a especificação de padrões para OA (Objetos de Aprendizagem), possibilitando a autoria, o armazenamento e a recuperação destes objetos. A infraestrutura MILOS (Multiagent Infraestrutucture for Learning Object Support) [Gluz and Vicari 2010] é constituída por um conjunto de tecnologias que oferecem suporte aos requisitos do padrão OBAA. 4. Modelos de Controle de Acesso Composto por uma etapa de autenticação e outra de autorização, de acordo com [Ramachandran 2002], um modelo de controle de acesso deve fornecer uma referência de alto nível, independente de domínio e de implementação para a arquitetura e projeto de mecanismos de acesso.

3 O modelo de controle de acesso baseado em papéis ou funções (RBAC), é o modelo dominante tanto na pesquisa acadêmica como em produtos comerciais. Teve sua aceitação generalizada devido à sua arquitetura simplificar a administração de segurança, incluindo herança semântica de papéis e permitindo uma definição de política de segurança abrangente, com fácil revisão das atribuições agente-papel e papel-permissão [Ferraiolo et al. 2003]. 5. Modelo para Gerência e Controle de Acesso à Infraestrutura MILOS Segundo [Wooldridge 2008], um sistema multi-agente é formado por dois ou mais agentes, interagindo entre si através de comunicação. A MILOS representa uma infraestrutura típica de um sistema multi-agente. Nestes sistemas, características como dados e controle distribuídos, diversidade de conhecimento, objetivo global decomposto em objetivos a ser atingidos por cada agente, multiplicidade de funções e um certo grau de autonomia devem ser encontradas. O modelo para gerência e controle de acesso utilizado neste trabalho é o modelo RBAC. A tarefa de pesquisa e análise dos trabalhos relacionados e suas contribuições, permitiu selecionar as tecnologias mais adequadas e compatíveis para integração à MI- LOS. O modelo oferece gerência de usuários, recursos e perfis de usuários, autenticação de fator único e informações de autorização modeladas em uma ontologia. De acordo com as diretrizes da infraestrutura MILOS, o modelo apresenta a arquitetura em camadas onde um ou mais agentes implementam as funcionalidades definidas. Estas camadas são: Interface, manutenção e controle de acesso, agentes de acesso às informações e a camada de base de conhecimento. Na camada de manutenção e controle de acesso estão os agentes responsáveis pelas operações de inclusão, alteração e exclusão das informações de acesso. Também estão nesta camada os agentes de controle de acesso responsáveis pela autenticação e autorização. Para acesso aos dados do modelo, os agentes de manutenção e controle de acesso fazem uso dos serviços oferecidos pelos agentes Query e Update, que compõem a camada de acesso às informações. A base de conhecimento é modelada por uma ontologia, apresentada na Figura 1. A classe Access realiza o relacionamento entre um agente usuário (Agent), um recurso e um modo de acesso permitido. O agente usuário (Agent) poderá ser um User ou uma Application, um recurso poderá ser um Learning Object ou uma Application As Resource quando desejarmos tratar uma aplicação como um objeto que poderá ou não ser executado. Os modos de acesso foram definidos como Control, Read, Write, Delete e Execute. A base de dados ontológica [da Silva and Gluz 2012] da infraestrutura MILOS, suportada por uma camada TDB de JENA [JENA 2013] foi estendida de forma a armazenar também os elementos da ontologia de acesso. Esta base de dados TDB poderá ser distribuída em um ou mais servidores, de acordo com a necessidade da plataforma. O modelo suporta solicitações de acesso dentro de uma sessão (exigindo um prévio login) ou sem necessidade de sessão. Solicitações sem sessão serão utilizadas por serviços externos ao ambiente e que estejam previstos na ontologia de acesso. Estas solicitações realizam a autenticação e autorização em um único passo.

4 Figura 1. Ontologia de Acesso O modelo suporta ainda controle de acesso federado, isto é, caso um agente não consiga validar o acesso por não localizar o usuário solicitante na sua base de dados, reenvia a solicitação aos demais agentes de controle de acesso do ambiente, a fim de que todas as bases distribuídas sejam pesquisadas para a validação do acesso. Mensagens de configuração permitem especificar ao agente seus parâmetros de funcionamento e uma mensagem de logout encerra uma sessão. O modelo possui um mecanismo de logout automático por inatividade em um espaço de tempo configurável. 6. Experimentos e Validações Como metodologia para realização dos experimentos e suas validações, foram criados cenários de configurações (usuários, perfis e recursos) e casos de uso (ações de acesso), verificando se o modelo apresentava o resultado esperado. Tanto os experimentos de acesso com e sem uso de sessão, quanto o acesso federado, obtiveram resultados positivos, indicando a implementação correta do modelo. Também foram realizados testes de desempenho, com o objetivo de medir o tempo médio de resposta do modelo, procurando dimensionar o impacto da sua implementação no ambiente atualmente em uso da infraestrutura MILOS. 7. Medidas de Desempenho Com o objetivo de observar a escalabilidade do modelo, foram criados e executados lotes de requisições, medindo-se o seu tempo de execução. Foram utilizados lotes de 500, 1000, 2000, 4000 e 8000 acessos sucessivos, com respostas de Permitido e Não Permitido separadamente. Também foram utilizados os mesmos lotes para acessos com e sem sessão. A cada execução de lote, foi iniciado um container local JADE e encerrado logo em seguida, desta forma, buffers que eventualmente tenham sido criados, não interferiram nas execuções subsequentes. O resultado final é composto da média aritmética de três execuções de cada lote definido. A Figura 2 apresenta um gráfico comparativo destas medições, apresentando uma tendência de crescimento linear, o que indica uma boa escalabilidade do modelo.

5 Figura 2. Tempo Médio para Execução de Acessos Estes experimentos foram executados em uma máquina com a seguinte configuração: 2 Processadores Intel Xeon E de 6 núcleos a 1.9 Gigahertz de frequência 32 Gigabytes de memória RAM Sistema Operacional Mac OS X Versão Considerações Finais Neste trabalho foi apresentado um modelo destinado à gerência e controle de acesso para a infraestrutura MILOS. Como o resultado final pode facilmente ser adaptado para uso em outros domínios, com ou sem a utilização de agentes, podemos dizer que se trata de um modelo abstrato, formal para controle de acesso utilizando bases ontológicas, posicionando-se em uma área de pesquisa recente, relacionada a ambientes e plataformas onde o tratamento semântico está inerentemente integrado à sua operação. Os experimentos de funcionalidade e desempenho realizados apresentaram resultados positivos e, demonstraram a viabilidade de sua aplicação. Os trabalhos relacionados encontrados, que utilizam abordagem semântica não definem funcionalidades de autenticação e autorização em um ambiente federado, que é uma característica do modelo apresentado, no contexto de sistemas de controle de acesso baseados em ontologias e também um requisito do ambiente da infraestrutura MILOS. Com relação ao uso de agentes, os principais benefícios são a independência proporcionada, facilitando a implementação do acesso federado e a distribuição multiplataforma, uma característica do domínio onde o trabalho foi aplicado. Como trabalho futuro, a utilização de mecanismos de coleta de dados de localização e contexto, com o processamento de inferências da ontologia de acesso, permitirá avançar o estudo do modelo tornando-o ainda mais dinâmico.

6 Referências Choi, C., Choi, J., and Kim, P. (2014). Ontology-based access control model for security policy reasoning in cloud computing. J. Supercomput., 67(3): da Silva, L. R. J. and Gluz, J. C. (2012). MSSearch: Busca Semântica de Objetos de Aprendizagem OBAA com Suporte a Alinhamento Automático de Ontologias. Universidade do Vale do Rio dos Sinos (UNISINOS) - São Leopoldo/RS. Ferraiolo, D., Kuhn, D., and Chandramouli, R. (2003). Role-based Access Control. Artech House computer security series. Artech House. FIPA (2002). FIPA - Communicative Act Library Specification. Disponível em: Acesso em: 3 jul Gluz, J. C. (2010). Introdução à infraestrutura MILOS. Disponível em: Acesso em: 18 out Gluz, J. C. and Vicari, R. M. (2010). MILOS: Infraestrutura de Agentes para Suporte a Objetos de Aprendizagem OBAA. JENA (2013). Framework for Building Semantic Web Applications. Disponível em: Acesso em: 9 dez Katal, A., Gupta, P., Wazid, M., Goudar, R., Mittal, A., Panwar, S., and Joshi, S. (2013). Authentication and authorization: Domain specific role based access control using ontology. In Intelligent Systems and Control (ISCO), th International Conference on, pages Lampson, B. W. (1974). Protection. Operating Systems Review, pages OpenLDAP (2014). Open Source Implementation of the Lightweight Directory Access Protocol. Disponível em: Acesso em: 28 jun Polleres, A., Gearon, P., and Passant, A. (2013). SPARQL 1.1 update. W3C recommendation, W3C. Ramachandran, J. (2002). Designing Security Architecture Solutions. Wiley Desktop Editions Series. Wiley. Seaborne, A. and Harris, S. (2013). SPARQL 1.1 query language. W3C recommendation, W3C. Spring Security (2014). Framework for Authentication and Authorization to Java Applications. Disponível em: Acesso em: 28 jun Vicari, R. M., Bez, M., da Silva, J. M. C., Ribeiro, A., Gluz, J. C., Santos, E., Primo, T., and Bordignon, A. (2010). Proposta de Padrão de Objetos de Aprendizagem Baseados em Agentes (OBAA). Disponível em: Acesso em: 24 out Vicari, R. M. and Gluz, J. C. (2011). Infraestrutura OBAA-MILOS: Infraestrutura Multiagente para Suporte a Objetos de Aprendizagem OBAA. Wooldridge, M. (2008). An Introduction to MultiAgent Systems. Wiley.