Sistemas Distribuídos: Conceitos e Projeto Controle de Acesso

Transcrição

1 Sistemas Distribuídos: Conceitos e Projeto Controle de Acesso Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA 4 de julho de 2013 Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

2 Introdução Uma vez estabelecido um canal seguro de comunicação, um cliente pode enviar uma requisição ao servidor, o que normalmente envolve uma chamada a um método específico de um objeto; A requisição somente deve ser atendida caso o cliente possua o direito de realizar esta invocação; Formalmente, a verificação do direito de acesso é chamado controle de acesso enquanto autorização refere-se à atribuição dos direitos de acesso; O controle de acesso envolve sujeitos que solicitam requisições a um objeto; Um monitor de referências armazena o que cada sujeito tem direito de realizar e decide se a um dado sujeito é permitido realizar uma dada operação. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

3 Modelo Geral para Controle de Acesso a Objetos Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

4 Matriz de Controle de Acessos Uma abordagem comum para modelar os direitos de acesso de sujeitos a objetos é através da matriz de controle de acessos; Cada sujeito é representado por uma linha na matriz e cada objeto por uma coluna. Uma entrada M[s,o] lista as operações que o sujeito s pode realizar sobre o objeto o; A matriz de controle de acessos não é implementada como uma matriz, já que tipicamente ela é esparsa. Normalmente uma das seguintes implementações é utilizada: 1 Lista de Controle de Acesso (ACL): cada objeto mantêm uma lista de direitos de acesso dos sujeitos que podem acessá-lo; 2 Capacidades: define o que um sujeito pode realizar em um dado objeto. O portador da capacidade possui os direitos de acesso especificados na capacidade. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

5 ACLs e Capacidades Figura: (a):acl (b):capacidades Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

6 Domínios de Proteção Tanto listas de controle de acesso quanto listas de capacidades podem se tornar muito grandes; Uma alternativa para a redução de ACLs é o uso de domínios de proteção; Um domínio de proteção é um conjunto de pares (objeto, direitos de acesso); Cada requisição é emitida no contexto de um dado domínio; Existem diversas abordagens para o uso de domínios de proteção. Uma delas é construir grupos de usuários. Os grupos podem ser mais flexíveis caso possam ser hierárquicos; Toda vez que um usuário solicita o acesso a um objeto, o monitor de referência deve verificar a que grupo o usuário pertence e depois verificar a ACL deste grupo. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

7 Domínios de Proteção Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

8 Domínios de Proteção Domínios de proteção podem ainda ser implementados como papéis; Neste caso, o usuário se registra no sistema com um papel específico que é normalmente associado à função que o usuário exerce na organização; Deve ser possível a um usuário trocar de papel caso seja necessário. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

9 Agrupamento Hierárquico de Objetos Uma alternativa ao uso de domínios de proteção é através do agrupamento hierárquico de objetos baseado nas operações que eles provêem, possivelmente utilizando um mecanismo de herança; Quando um sujeito realizar uma requisição a um objeto, o monitor de referências verifica a qual interface a operação solicitada pertence (ao invés de procurar pelo objeto específico) e se o sujeito possui o direito de realizar uma chamada a uma operação desta interface. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

10 Gerenciamento de Autorização Em sistemas centralizados, o gerenciamento de direitos de acesso é facilitado pelo fato de todos os direitos de um novo usuário serem relativos à máquina local, podendo os mesmos serem especificados pelo administrador do sistema; Em um sistema distribuído, os recursos estão espalhados em várias máquinas e se a mesma abordagem fosse utilizada seria necessário criar uma conta para cada usuário em todas as máquinas; Esta questão pode ser simplificada através da criação de uma única conta em um servidor central que deve ser consultado toda vez que um usuário acessa recursos ou máquinas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

11 Capacidades e Certificados de Atributos Uma outra abordagem largamente empregada em sistemas distribuídos é o uso de capacidades; Uma capacidade é uma estrutura de dados para um recurso específico que especifica os direitos de acesso de seu portador sobre o mesmo; Existem diferentes implementações de capacidades. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

12 Capacidade em Amoeba Server port corresponde a um identificador do objeto servidor do recurso que é independente de máquina; Object identifica o objeto no dado servidor. Os 72 bits relativos ao server port e object formam o identificador único de cada objeto Amoeba; Rights especificam os direitos de acesso do portador; Check é utilizado para tornar a capacidade inesquecível, como explicado a seguir. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

13 Tornando a Capacidade Inesquecível Quando um objeto é criado, o servidor escolhe um valor aleatório denominado check e o armazena tanto na capacidade quanto em suas tabelas internas; Em uma nova capacidade, todos os bits dos direitos de acesso estão marcados como 1 e isto corresponde aos direitos do proprietário. Esta capacidade é retornada ao cliente; Para criar uma capacidade restrita, o cliente devolve a capacidade ao servidor juntamente com uma máscara de bits contendo os novos direitos; O servidor recupera o check de suas tabelas, realiza um XOR do mesmo com os novos direitos e executa uma função one-way; O servidor então cria a nova capacidade colocando os bits de direito enviados pelo cliente e o resultado da função no campo check, retornando-a ao cliente. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

14 Geração de capacide restrita no Amoeba Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

15 Geração de capacide restrita no Amoeba Quando o servidor receber de volta a capacidade restrita, ele verificará através do campo de direitos que se trata de uma capacidade restrita, realizará um XOR do check orginal (resgatado de suas tabelas) com o campo de direito da capacidade e aplicará a função one-way no valor resultante para verificar se o resultado da função é o mesmo do campo check constante da capacidade; Caso o usuário tente modificar o campo de direito da capacidade (aumentando seus direitos), ele invalidará a capacidade, dado que o resultado não casará. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

16 Certificado de Atributos Uma generalização de capacidades são os certificados de atributos que listam pares (atributo, valor) para uma dada entidade; Eles podem ser utilizados para controlar os direitos que o portador possui sobre o recurso identificado; Assim como acontece com outros certificados, certificados de atributos são controlados por autoridades certificadoras de atributos. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

17 Delegação Imagine a situação: um usuário solicita a um servidor de impressão que um dado arquivo seja impresso às 2 da manhã passando o nome do arquivo a ser impresso; O servidor de impressão deve possuir direito de leitura sobre o arquivo; O usuário deveria poder delegar temporariamente esse direito de acesso ao arquivo; Proxy no contexto de segurança é um token que permite ao portador operar com os mesmos (ou restritos) direitos e privilégios que o sujeito que concedeu o token. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

18 Delegação: Primeira Abordagem Alice deseja delegar direitos a Bob; Ela constrói um certificado dizendo Bob possui direito R, como [A,B,R] A ; Se Bob desejar passar alguns de seus direitos à Charlie, ele solicita ao mesmo que contate Alice solicitando um certificado apropriado; Neste caso, Alice deve conhecer todos. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

19 Delegação: Abordagem de Neuman Outra abordagem: Alice constrói um certificado contendo o portador deste certificado possui direito R ; Neste caso, deve-se proteger o certificado de cópia ilegal. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

20 Delegação: Abordagem de Neuman O proxy possui duas partes: um certificado e uma parte secreta; Seja A o processo que criou o proxy; A primeira parte do certificado é o conjunto C = {R,S + proxy}, consistindo do direito de acesso R delegado por A juntamente com a parte pública de um segredo que é utilizado para autenticar o portador do certificado, de acordo com o protocolo a seguir. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

21 Delegação: Abordagem de Neuman Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22

22 Delegação: Abordagem de Neuman Alice e Bob compartilham uma chave secreta K A,B ; Alice envia a Bob o certificado C = {R,S proxy}, + assinado com sig(a,c), denotado por [R,S proxy] + A. Esta mensagem não necessita ser criptografada. Somente a parte secreta necessita de criptografia, mostrada como K A,B (Sproxy ) na mensagem 1; Bob envia sua credencial ao servidor na forma do certificado assinado [R,S proxy + ] A; O servidor pode agora verificar que C não teve seus direitos de acesso modificados já que foi assinado por Alice. No entanto, ele ainda não sabe se Bob é o correto proprietário do certificado; Para se assegurar disso, ele desafia Bob enviando N encriptado por S + proxy ; Ao decriptar S proxy + (N) e retornar N, Bob prova que ele conhece o segredo e é o legítimo portador do certificado. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 4 de julho de / 22