gerencia de identidade na internet do futuro

8/6/2019 Gerencia de Identidade na Internet do Futuro

1/46

Captulo

4Gerncia de Identidade na Internet do Futuro

Michele Nogueira, Aldri Santos, Jenny Torres,Angelita Zanella, Yuri Danielewicz

Abstract

The Internet as a platform for ubiquitous communication has quickly advanced in the last

years. New services have emphasized the limits of the current Internet and motivated

the development of the Future Internet. New network architectures are more complex,

more distributed and, ideally, more secure. However, as new technologies emerge, new

requirements and security issues are highlighted. These issues emphasize the importance

of identity management systems for the Future Internet in order to provide adequate dy-

namic services in relation to users personal data and requirements. Therefore, this short

course presents the state of the art of Identity Management Systems on Future Internet,

particularly on Next Generation Networks (NGN), highlighting the challenges, encryption

methods used, specific devices applied, proposed architectures and future perspectives.

Resumo

A Internet como uma plataforma de comunicao ubqua tem evoludo rapidamente nosltimos anos. Cada vez mais, os servios esto migrando para uma rede totalmente IP,

enfatizando os limites da Internet atual e motivando a construo da Internet do Futuro.

As novas arquiteturas de rede so mais complexas, mais distribudas e, idealmente, mais

seguras. No entanto, como novas tecnologias tambm surgem, novos requisitos e preo-

cupaes com segurana so ressaltados. Desta forma, a Internet do Futuro destaca a

importncia da gerncia de identidade dos usurios finais em relao ao fornecimento e

utilizao dos seus dados pessoais e a necessidade de acesso a uma arquitetura de ser-

vios dinmicos. Este minicurso apresenta uma viso geral sobre o estado da arte em

pesquisas relacionadas ao gerenciamento de identidades na Internet do Futuro, parti-

cularmente nas redes da prxima gerao, enfatizando os desafios, os mtodos de crip-tografia utilizados, os dispositivos especficos, as arquiteturas propostas e perspectivas

futuras.


2/46

4.1. Introduo

A Internet atual desempenha um papel fundamental na sociedade fornecendo intercmbio

de informaes e ambiente de comunicao nas relaes comerciais e interaes sociais.Pessoas do mundo inteiro dependem hoje da Internet para manter o contato com a famliae amigos, localizar, acessar e trocar informaes, desfrutando de comunicao multimdiae utilizando servios de software avanados. Com a popularizao da Internet, as expec-tativas aumentaram em relao s novas aplicaes e servios em diferentes reas, taiscomo sade, transporte automotivo e de emergncia.

A grande utilizao da Internet atual tem demonstrado as suas restries e moti-vado o desenvolvimento da chamada Internet do Futuro. Uma das principais premissaspara a Internet do Futuro a disponibilidade e eficincia de vrios servios e, acima detudo, sua constante disponibilizao ao pblico [Paul et al. 2011]. A Internet do Futuro

se diferencia da Internet existente pelo aumento da dependncia na informao distri-buda, pelo controle descentralizado, e por avanos ditados pelo mercado e por regula-mentaes, alm de uma forte exigncia de segurana [FOKUS 2009]. A Internet doFuturo caracterizada por quatro dimenses, ilustradas na Figura 4.1, sendo a Internetpor e para as Pessoas, a Internet de Contedo, a Internet dos Servios e a Internet dasCoisas, apoiadas por uma infraestrutura de rede, conhecida como Rede da Prxima Gera-o [Chim et al. 2011, Gomez-Skarmeta et al. 2010, Weber et al. 2010].

Figura 4.1. Dimenses da Internet do Futuro e a infraestrutura de rede

Os conceitos e servios da Internet do Futuro possuem novas exigncias e produ-zem condies diferentes, tornando impossvel a utilizao direta de solues propostaspara a Internet existente. A segurana um fator fundamental para a Internet do Futuro epara os seus servios por pretenderem ser universais e onipresentes. A heterogeneidade,dinamicidade, interdependncia e autonomia existentes entre os elementos da Internet doFuturo aumentam as vulnerabilidades de segurana e a dificuldade de proteger a rede, os

servios e as aplicaes contra entidades maliciosas.

O gerenciamento de identidades tem atrado ateno nos ltimos anos como uma

152 Minicursos Livro Texto


3/46

forma eficiente de prover confiana entre as entidades da Internet do Futuro, e de protegerou mitigar os efeitos de entidades maliciosas [Sabena et al. 2010, Sarma and Giro 2009].O gerenciamento de identidade (do ingls,

Identity Managementou IdM) identifica as en-

tidades, e controla o acesso a recursos por meio de restries impostas [Josang et al. 2005].Existe um consenso entre os pesquisadores sobre o papel vital do gerenciamento de iden-tidades em muitas aplicaes estratgicas, incluindo aquelas visionadas pela Internet doFuturo em diferentes contextos como entretenimento, sade, investigaes policiais, ser-vios fornecidos pelo governo (governo eletrnico ou e-government), comrcio ubquoou u-commerce, inteligncia empresarial e segurana corporativa.

Em especfico para as redes da prxima gerao, a gerncia de identidade desem-penha um papel fundamental. Essas redes tm como base a transferncia de pacotes paraprover servios, incluindo aqueles de telecomunicao, e para se beneficiar de mltiplas

tecnologias e infraestruturas de comunicao, sendo as funcionalidades relacionadas aosservios independentes das tecnologias subjacentes de transporte dos pacotes. Essas redesse caracterizam por uma forte separao entre as funes de controle relacionadas trans-misso dos pacotes e ao provimento de servios. Elas tambm possuem acesso irrestritode usurios a diferentes provedores de servios e uma variedade de sistemas de identi-ficao para facilitar o controle da rede, alm de necessitarem apresentar caractersticasunificadas para um mesmo servio quando considerada a perspectiva do usurio. Paratodas essas caractersticas, a gerncia de identidade pode auxiliar a rede tendo conheci-mento do perfil dos usurios, das caractersticas dos servios e das polticas de acesso,a fim de prover os servios da forma mais eficiente possvel aos usurios e garantindo atransparncia de operaes desempenhadas pela rede, como a garantia da qualidade deservio, a mobilidade, o uso de diferentes tecnologias e outras.

Em face aos avanos e a importncia que o uso de identidades vem ganhando, a ge-rncia de identidades requer cada vez mais um suporte tecnolgico [Hansen et al. 2008].Um sistema de gerncia de identidades (SGI) objetiva proporcionar assistncia tecnol-gica para o controle e o monitoramento de identidades, entretanto, uma ferramenta hols-tica para todos os fins de gesto de identidade ainda inexistente. Os principais fatoresque vm motivando e impulsionando o desenvolvimento de SGIs para a Internet do Futuroso descritos a seguir.

Assistncia gerncia de vrias identidades digitais. Os usurios possuem atualmentemuitas contas (identidades digitais), onde os dados de autenticao, tais como se-nhas ou PINs, tm de ser memorizados. Como o conceito de identificao universale nico est longe de ser implementado, a quantidade de identidades digitais porpessoa tende a aumentar ainda mais no contexto da Internet do Futuro, quando umamaior quantidade de servios diferentes sero oferecidos. Os usurios precisamde apoio conveniente para gerir essas identidades e os correspondentes mtodos deautenticao.

Auxlio na gerncia de informaes indesejadas ou na sobrecarga de informaes. Osusurios precisam de apoio prtico para situaes em que so abordados indesejada-

mente por outras pessoas ou at mesmo mquinas. A gesto de identidade pretendefacilitar o uso inteligente dos contatos dos usurios por meio de mecanismos comoo bloqueio de mensagens de spam.

XXIX Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos - SBRC 2011 153


4/46

Vulnerabilidades na garantia de autenticidade e o roubo de identidades. As redes decomunicao de hoje no garantem a autenticidade e facilitam o roubo de identida-des. Os sistemas que suportam mtodos de autenticao, integridade e no repdio,tais como as assinaturas digitais, podem impedir o uso no autorizado despercebidode identidades digitais. No entanto, o uso eficiente de sistemas de gerncia de iden-tidades tambm pode assistir na preveno do uso no autorizado de identidadesdigitais.

Falta de privacidade. Os usurios deixam rastros de dados usando redes de comunica-o, sendo que a maioria dessas informaes gravada sem o seu conhecimento esem qualquer possibilidade de evitar esses rastros, comprometendo a privacidade.Por meio de um sistema de gerenciamento de identidades, cada usurio pode con-trolar o quanto de suas informaes divulgado. O anonimato e pseudonimato so

mtodos para controle e divulgao dessas informaes que esto em desenvolvi-mento e que so considerados em sistemas de gerncia de identidade atuais.

Controle e o monitoramento de identidades nas redes da prxima gerao. Na pers-pectiva de infraestrutura de rede, o controle e o monitoramento de identidades au-xilia no bom provimento de servios. Conhecer a identidade de entidades e con-sequentemente o perfil dessas entidades, facilita a priorizao no transporte de pa-cotes, auxilia as operaes para garantir qualidade de servio (QoS), torna maiseficiente a identificao de redes diferentes que compem a infraestrutura de rede etorna mais confivel o controle de acesso. Entretanto, atualmente, diferentes arqui-teturas de gerncia de identidade existem, requerendo uma unificao dos sistemasde controle e gerncia de identidades a fim de garantir uma melhor eficincia dasoperaes da rede.

Em geral, os sistemas de gerncia de identidade seguem trs paradigmas prin-cipais: o paradigma puro de identidade, o paradigma voltado ao acesso do usurio e oparadigma voltado a servios. O paradigma puro de identidade sugere a criao, a gestoe a supresso de identidades como operaes bsicas. O paradigma voltado ao acesso dousurio implica na autenticao para ter acesso a um servio. E o paradigma voltado aoservio personaliza a entrega de servios sob-demanda aos usurios e seus dispositivos.Esses paradigmas aplicam tcnicas e ferramentas adequadas para cada um deles. O uso deidentidades digitais, biometria, cartes inteligentes e tcnicas de criptografia baseada emidentidades so exemplos dessas tcnicas e ferramentas aplicadas [Josang et al. 2005].

Com base nessas consideraes, este minicurso apresenta uma viso geral sobreo estado da arte em pesquisas relacionadas ao gerenciamento de identidades na Internetdo Futuro, com enfse no gerenciamento de identidades nas redes da prxima gerao.Este minicurso ressalta os desafios, os mtodos de criptografia utilizados, os dispositivosespecficos, as arquiteturas propostas e as perspectivas futuras. Inicialmente, os conceitosde Internet do Futuro, de redes da prxima gerao e de sistema de gerenciamento deidentidade so descritos. Em seguida, o minicurso est fundamentado sobre as redes da

prxima gerao, ressaltando os requisitos de um sistema de gerncia de identidade paraInternet do Futuro, o estado da arte das arquiteturas de gerncia de identidade, os desafiosexistentes e as perspectivas futuras. O minicurso ser concludo com a descrio das



5/46


6/46

Contedos e servios gerados pelo usurio (mashups): as tecnologias que permitem ofcil gerenciamento de contedos e servios gerados pelo usurio esto se desen-volvendo rapidamente. Estima-se que o prximo grande passo seja o desenvolvi-mento de tecnologias de mashup, permitindo que os usurios combinem facilmentecontedos e servios existentes para fornecer novos formatos e servios integra-dos [Benslimane et al. 2008]. As tecnologias de Web semntica tm um grandepotencial para fomentar o avano da tecnologia mashup, uma vez que elas tm evo-ludo a cada dia e tornam-se maduras e acessveis o suficiente para o uso por umagrande quantidade de usurios.

Tendo como referncia o comportamento da maioria dos usurios da Internet,acredita-se que alguns avanos iro moldar a evoluo da Internet do Futuro. Dentre

esses avanos, destacam-se os servios personalizados. Comeando com resultados debuscas personalizadas e sensveis ao contexto, considera-se que haver um nmero cadavez maior de produes da mdia direcionadas a grupos de interesse especiais, e servi-os de entretenimento que adaptam a msica preferida ou o estilo do filme ao humor dosusurios [Aldun et al. 2011, Chai et al. 2011, Choi et al. 2011]. Fortemente relaciona-das com os servios personalizados esto as redes sociais, que associam usurios cominteresses comuns. Elas representam digitalmente as relaes pessoais e fornecem umareferncia importante para as questes de identidade e de confiana na Internet. Estima-seainda que as redes sociais se tornaro mveis e cientes do contexto no futuro prximo.

Outros avanos que devero auxiliar na definio da Internet do Futuro so a pri-vacidade e o anonimato. Essas duas questes vm se tornando cada vez mais importantespara os usurios da Internet [Maghiros et al. 2006]. Apesar da conscincia para essas duasquestes ainda ser pouco desenvolvida no contexto atual dos utilizadores da Internet, osprimeiros sinais de mudana j so observados. Hoje, existe um mercado especializadode empresas que oferecem servios de privacidade na Internet para pessoas famosas, eespera-se que a sensibilidade dos usurios da Internet para as preocupaes ligadas pri-vacidade e ao anonimato tambm aumente.

Alm desses avanos, a era dos computadores pessoais instalados com um grandenmero de aplicaes est chegando ao fim. No futuro, a tendncia ver muitos clientesusando a rede para prover desde o armazenamento de dados at o uso de aplicativos,os quais sero fornecidos como servios. Isso auxiliar os usurios a lidar melhor comatividades assessrias, como backups e atualizaes de software. Alm disso, o poderde computao pode ser acessado quando necessrio, atravs de servidores dedicadosorganizados em rede (por vezes, chamados de computao em nuvem [Li et al. 2009,Zhou et al. 2010]), reduzindo assim os custos de manuteno do sistema.

Outras questes, como robustez, disponibilidade, confiabilidade e segurana, se-ro de grande preocupao para os usurios da Internet uma vez que eles dependero cadavez mais desses servios [Heegaard and Trivedi 2009]. A Internet do Futuro precisa sertratada como uma infraestrutura crtica semelhante s redes de energia ou fontes de gua

fresca. No entanto, os meios para alcanar um elevado nvel de robustez na Internet doFuturo ser muito diferente comparado ao uso de estruturas de controle hierrquicas. Arobustez na Internet do Futuro tende a ser alcanada usando abordagens distribudas.



7/46

4.2.1. Exemplos de servios da Internet do Futuro

Espera-se que um grande nmero de novos servios sejam criados com o advento da In-

ternet do Futuro. Essa subseo apresenta exemplos de servios da Internet do Futurocomo forma de mostrar a importncia na evoluo da mesma e a necessidade de garantirum controle e monitoramento de identidades eficiente e seguro. Essa subseo ofereceuma viso geral dos novos servios, enfatizando que todos eles tm como suporte a infra-estrutura de rede subjacente apresentada na subseo 4.2.2.

Garantias de armazenamento distribudo

At recentemente, o armazenamento de dados era realizado em mdias como discos r-gidos ou DVDs e era considerado como armazenamento centralizado. Esse modelo dearmazenamento possui vrias desvantagens. A informao, por exemplo, no est dispo-

nvel em todos os lugares, verses antigas dos arquivos geralmente no so arquivadas eos meios fsicos tm vida til limitada. Como muitos usurios de computadores pessoaisno fazem backups regulares, existe um risco elevado de perda de dados de alto valorpessoal como fotos de frias, gravaes de udio ou vdeos pessoais.

No futuro, estima-se que os dados pessoais iro ser armazenados em redes dearmazenamento distribudo. Os servios de armazenamento iro oferecer virtualmenteuma quantidade ilimitada de memria, e iro manter um histrico de todas as alteraesnos arquivos do usurio, alm de tornar os dados acessveis em qualquer lugar para umaampla quantidade de dispositivos diferentes. Eles iro ainda prestar servios de privaci-dade, e oferecero garantias de armazenamento, atravs de um certo nmero de cpias

redundantes, por exemplo.Vrios prottipos de servios de armazenamento totalmente distribudo j exis-

tem. Eles tm como base tecnologias par-a-par. Entretanto, esses prottipos normalmenteno possuem algumas das caractersticas mencionadas como a privacidade e a disponibi-lizao dos dados a qualquer momento, em qualquer lugar e a qualquer dispositivo. Almdisso, a capacidade de armazenamento disponibilizada geralmente limitada. Os siste-mas muitas vezes supem que os dispositivos de armazenamento cooperativos esto lo-calizados em computadores tradicionais, e por isso no possuem interfaces que permitama interao direta com dispositivos como cmeras, telas sensveis ao toque incorporadasaos dispositivos mveis ou roupas inteligentes.

Armazenamento da vida cotidiana atravs de multimdia

Com o armazenamento em rede tornando-se bastante disponvel e com a miniaturizaode microfones e cmeras, ser cada vez mais comum para as pessoas a gravao de grandeparte dos acontecimentos de sua vida. Hoje, j existem pessoas carregando sempre umacmera e registrando tudo o que vem. No entanto, esta tecnologia tem muito mais po-tencial. Os dados recolhidos por microtelefones e cmeras podem ser combinados cominformaes provenientes do prprio uso de outros dispositivos tcnicos, como carros oumotos, e de sensores incorporados em objetos do quotidiano.

Tal comportamento, ajudar a prover servios inovadores aos usurios, como bus-cas personalizadas e eficientes, assim como assistir o gerenciamento da infraestruturade rede contribuindo para a qualidade dos servios. Atualmente, existem grupos de pes-



8/46

quisa que investigam os efeitos de comportamentos sociais nos servios fornecidos pelaInternet [Benevenuto et al. 2009, Boccaletti et al. 2006]. Tambm existem iniciativas queaplicam o conhecimento adquirido na caracterizao do comportamento dos usurios de-senvolvendo solues para gerncia de redes orientada ao contexto e ao comportamentodos usurios [Boldrini et al. 2010, Hui et al. 2011, Li and Sandrasegaran 2005]. Entre-tanto, os principais desafios existentes nessa abordagem so a integrao de vrias fontesde dados e a indexao automatizada para a sustentao da recuperao eficiente da in-formao relevante. Por razes bvias, a proteo de privacidade eficaz deve ser imple-mentada em solues que seguem essa abordagem.

Servios de sade

Os servios mdicos fornecidos por profissionais vm sofrendo grandes modificaes. Adisponibilidade de dispositivos baratos de monitoramento em rede da sade e os avanosnos sensores embarcados em todos os objetos do dia-a-dia dar aos mdicos detalhessobre nossos corpos. Pessoas com riscos especiais providenciaro acesso direto aos dadossobre as funcionalidades essenciais de seus corpos, alm de se visionar a disponibilizaode servios de monitoramento do corpo on-line, facilitando uma assistncia rpida emcaso de emergncia.

Com a disponibilidade de maiores quantidades de dados mdicos, haver umatendncia da personalizao da medicina. A medicina personalizada comea com a sele-o de combinaes de frmacos otimizados para uma condio especfica do paciente,oferecendo a oportunidade de produzir medicamentos personalizados, combinando pro-

dutos qumicos de maneiras especficas para otimizar os efeitos positivos para o paciente,reduzindo assim os efeitos colaterais indesejados.

No contexto dos servios de sade, pode-se tambm vislumbrar novas formas dediagnstico on-line. Perguntas como "Estou grvida?"poderiam ser respondidas por umsistema de busca semntica, permitindo que o sistema tenha acesso aos dados coletadospor sensores instalados no banheiro, por exemplo. Muitas tarefas de diagnstico padropodem ser potencialmente oferecidas como servios on-line conectados a mashups mdi-cos integrando fabricantes farmacuticos, comerciantes, comunidades on-line e sistemasde busca semntica especializados.

Servio de entretenimento personalizadoCom a Internet do Futuro, existe uma forte tendncia sobre a personalizao dos serviosde entretenimento. As ofertas on-line de msicas, filmes ou jogos no levar apenas emconta as preferncias estticas em relao aos diferentes estilos de msica ou de tiposde jogos, mas tambm consideraro o contexto mais amplo, e em especial o humor, ashabilidades e os interesses dos usurios. As estaes de rdio on-line proporcionaroa msica que melhor corresponda s atividades atuais. Dependendo se o usurio estcozinhando ou limpando a cozinha, ele receber diferentes estilos de msicas e as msicastocadas podem at ser selecionadas com base no tempo disponvel para a realizao daatividade.

Em geral, esperado um crescimento da interao entre os objetos do mundo reale os objetos que s existem em mundos virtuais. As chamadas interfaces de realidade



9/46

mista permitiro novas formas de participar de jogos multiparticipantes on-line. Os jogosmultiparticipantes j so utilizados por milhes de usurios, e os nmeros ainda tendem acrescer. Nestes jogos a interao social fundamental, pois os jogadores formam gruposa fim de resolver problemas juntos. Com a integrao da realidade virtual e o mundoreal, os grupos formados e a interao entre os participantes levam a novas experinciase informaes que podem inclusive serem utilizadas para um gerenciamento eficiente dainfraestrutura de rede.

4.2.2. Redes da prxima gerao

As redes da prxima gerao, do ingls Next Generation Networks ou NGN, so visi-onadas como uma resposta aos operadores e fornecedores de redes e servios a fim desubstituir as redes de telefonia existentes, bem como introduzir uma nova plataformade servios convergentes entre as redes fixas e as redes mveis [Akyildiz et al. 2006,Park and Rappaport 2007, Prasad et al. 2008, Song and Jamalipour 2005]. geralmenteum consenso que a principal diferena entre as redes de telecomunicaes tradicionais eas redes da prxima gerao seja a mudana de um paradigma de redes de comunicaovoltadas a aplicaes especficas, separadas e verticalmente integradas para um paradigmade uma nica rede capaz de executar qualquer servio. A NGN est essencialmente rela-cionada ao fornecimento de novos servios que sero disponibilizados de forma pervasivae ubqua, ou seja, em qualquer lugar, a qualquer hora e em qualquer dispositivo, atravsde qualquer meio de acesso escolhido pelo cliente.

Espera-se das redes da prxima gerao uma coexistncia e intercomunicao en-

tre as redes com fio (xDSL, Metro Ethernet, FTTH, ISDN e outras), as redes sem fio(2G, 3G, WLAN, WiMAX/WiBro e outras), bem como as redes por satlites e as re-des de radiodifuso, todas interligadas por um backbone de redes que utilizam o proto-colo IP (Internet Protocol) e pela Internet. Neste ambiente de rede heterogneo, almdos desafios tradicionais com segurana, QoS (Quality of Service) e tarifao, os no-vos desafios como mobilidade generalizada, descoberta e seleo de rede devem exis-tir [Song and Jamalipour 2005]. Fornecer uma gerncia eficaz, segura e eficiente do am-biente e da operao das redes da prxima gerao um enorme desafio. Esta subseoapresenta um breve panorama das redes da prxima gerao tendo como base a defini-o e arquitetura funcional usada pela ITU-T (International Telecommunication Union,Standadization Sector) [ITU-T 2004].

Uma NGN uma rede baseada em pacotes de suporte transferncia de diferentestipos de trfego, como voz, vdeo e dados [Sakellari p053]. A Figura 4.2 apresenta umaviso geral da arquitetura funcional da NGN [ITU-T 2004]. Essa rede espera integrar osservios oferecidos pelas redes tradicionais e os inovadores servios IP em uma nicaplataforma de servios, sendo que essa integrao deve ser mais transparente possvelpara o usurio final [Salsano et al. 2008]. A NGN faz uma forte distino lgica e fsicaentre a rede de servios, a rede de transporte de dados (tambm chamada de rede debase ou ncleo da NGN) e a rede de acesso. A rede de servios possui funcionalidadesrelacionadas aos servios, independentes das tecnologias de transporte subjacentes. Asfuncionalidades da rede de servios se concernem s aplicaes e aos servios oferecidoss entidades. A rede de transporte de dados consiste dos equipamentos de roteamentode pacotes (roteadores, switches e gateways) e das funcionalidades voltadas ao transporte



10/46

Figura 4.2. Arquitetura funcional das redes da prxima gerao

de dados oferecendo transferncia fsica de informaes entre as entidades envolvidas noprocesso de comunicao (como os usurios, os computadores ou os dispositivos mveis).A rede de acesso composta pelas vrias tecnologias de acesso ao meio de comunicaoexistentes como as tecnologia de comunicao com fio e sem fio.

A rede de servio composta por vrios servidores, tais como servidor Web,os servidores de Autenticao, Autorizao e Contabilidade, do ingls Authentication,

Authorization and Accounting (AAA), o servidor SIP Proxy, o servidor LDAP, entre ou-

tros. Ela responsvel apenas pelo fornecimento dos servios e das aplicaes para osusurios da NGN. A conexo entre a rede de servios e a rede de transporte de dados podeser implementada por meio de gateways.

A rede de transporte de dados em uma NGN representa a espinha dorsal do trans-porte tal como existe nas redes tradicionais. Ela se preocupa com a transferncia deinformaes entre as entidades pares e deve suportar os diferentes servios oferecidospela rede de servios. Alm da transferncia de pacotes, as funcionalidades voltadas aocontrole e gerenciamento da infraestrutura de rede tambm so implementadas na rede debase [Choi and Hong 2007, Kim and Shin 2008]. A rede de base tambm responsvelpor tornar transparente para os usurios e servios a convergncia de redes e tecnologias.

A rede de acesso em NGN derivada das tecnologias de acesso existentes. Paraacomodar vrios meios de acesso, esta rede separada da rede de base, servindo como um



11/46

nvel intermedirio entre os equipamentos dos usurios e o ncleo da rede da prxima ge-rao. Cada tecnologia de acesso dever ser usada tal como foi previamente especificada.Dessa forma, a rede de acesso consiste na prtica de um conjunto de redes diferentes taiscomo redes sem fio ad hoc, redes de comunicao por satlite, redes cabeadas e outras.

A arquitetura das redes da prxima gerao precisa oferecer uma flexibilidade deconfigurao para suportar vrias tecnologias de acesso. Ela precisa tambm de um apoiodistribudo e de mecanismos de controle e de gerncia de identidade abertos. Estes devemproporcionar uma separao e identificao nos servios oferecidos pela operao da redede transporte e melhorar a oferta de servios diversificados da NGN.

As funcionalidades voltadas gerncia de rede permitem ao operador da NGNcontrolar a rede e prover os servios da NGN com a qualidade, segurana e confiabilidadeesperadas. As funcionalidades de gerncia so aplicveis s redes de transporte e de

servios da NGN, e cobrem as reas de gerncia de falhas, configurao, contabilizao,desempenho e segurana. As funes de usurio final so formadas por interfaces quepermitem ao usurio se conectar rede de acesso da NGN, por meio de equipamentosmveis ou fixos.

4.3. Gerncia de Identidade

Desde o incio de sua histria, o ser humano sente a necessidade de estabelecer relaescomerciais. Os povos primitivos j utilizavam o comrcio, na forma de escambo, atravsdo qual trocavam os alimentos que possuam em excesso por outros de que necessita-vam. Ao longo da histria, as relaes comerciais passaram por profundas mudanas, que

possibilitaram a evoluo dessas relaes e a criao de novas oportunidades. O desenvol-vimento da Internet gerou uma revoluo nas relaes comerciais, aproximando pessoas ecriando novas necessidades de produtos e servios. Com o surgimento do mundo virtual,novas ferramentas foram desenvolvidas, o que gerou mudanas na forma de relaciona-mento e nos conceitos envolvidos nas transaes.

Para que as relaes comerciais sejam estabelecidas, necessrio que as partesenvolvidas possuam algum nvel de conhecimento sobre a outra parte. Conhecer a outraparte importante para saber que nvel de confiana pode ser depositado nela e se ela idnea, pressupondo assim, se ir cumprir ou no a sua parte na transao. Nas relaestradicionais, em que h algum tipo de contato direto entre as partes, a troca de informaesocorre de forma natural. At mesmo a impresso causada pelo contato entre as partes podeinfluenciar no estabelecimento de confiana entre elas.

Nos novos servios fornecidos pelas redes da prxima gerao, assim como nosservios virtuais em geral, ainda mais importante conhecer a outra parte envolvida nacomunicao ou nas transaes. No contexto do mundo virtual, a resposta para perguntasrelacionadas ao parceiro comercial ou provedor de servios envolvem conceitos sobreentidade, identidade, identificador e credencial. Conhecer esses conceitos importantepara compreender como acontecem as operaes de autenticao e autorizao, e comoelas podem ser aplicadas no provimento de servios da Internet do Futuro.

Para que uma transao acontea, necessrio que haja algum nvel de confianaentre as partes. Quando essa confiana no pode ser estabelecida diretamente, neces-



12/46

sria a interao por meio de um intermedirio confivel para ambas as partes (tambmchamado de terceira parte), como demonstrado na Figura 4.3. Nas relaes comerciaistradicionais, o papel do intermedirio feito por um fiador em uma locao, por exemplo,ou por uma instituio financeira nos casos de compra com cheque ou carto de crdito.No mundo virtual, muitos negcios so feitos sem o contato direto entre as partes. Nestecaso, para que as relaes de confiana sejam estabelecidas, importante o envolvimentode uma terceira parte. Esta terceira parte responsvel por fornecer informaes sobre oparceiro, dando origem ao conceito de identificao.

Figura 4.3. Relao comercial envolvendo um intermedirio

As identidades das partes envolvidas na transao so controladas e monitoradaspor sistemas de gerncia de identidade (SGIs). Estes so programas ou frameworks queadministram uma coleo de identidades, realizam sua autenticao, gerenciam seu uso e

as informaes vinculadas identidade [Maliki and Seigneur 2007]. Os SGIs tradicionaisso utilizados como mecanismos de autenticao e autorizao, sendo esse primeiro me-canismo responsvel por estabelecer a confiana entre o sistema e a identidade informada,e o segundo responsvel por fornecer identidade permisses para realizar determinadasaes no sistema. Alm disso, os sistemas tradicionais criam perfis relacionados s iden-tidades e armazenam informaes sobre o seu uso. No entanto, novos modelos tm sidopropostos, alguns otimizados para atender aos objetivos do usurio, outros otimizadospara tratar de questes relacionadas infraestrutura de redes ou requisitos das aplicaese servios. Essa mudana de paradigma necessria para atender s novas caractersticasresultantes da NGN.

4.3.1. Entidade, identidade e credencial

Considerando a importncia da identificao, esta subseo descreve os conceitos envol-vidos no processo de identificao, tais como entidades, identidades, identificadores ecredenciais.

Sistema um conjunto de software e hardware que armazena informaes sobreentidades, credenciais, identidades e processamento das operaes relacionadas aosseus ciclos de vida. Pode ser uma rede de servios armazenando informaes sobreseus clientes, por exemplo. Um sistema geralmente protege seus dados ou serviose, portanto, utiliza autenticao e autorizao.

Entidade pode ser um pessoa, um servio de rede, um dispositivo computacionalem rede ou um dispositivo de telefonia mvel. As entidades existem no mundo



13/46

real. Elas usam credenciais e possuem um ciclo de vida separado do ciclo de vidade qualquer identidade, identificador ou credencial associada.

Identidade um instrumento utilizado por uma entidade para fornecer informaessobre si para o sistema. Ao contrrio da entidade, a identidade um conceito virtuale no existe no mundo real. Uma identidade sempre est associada a uma entidadee geralmente formada por um identificador nico. O identificador utilizado paraprovar a propriedade da identidade (por meio de credenciais) e fornecer informa-es (perfil) a um sistema. O sistema ir utilizar essas informaes para tomardecises sobre a entidade associada.

Uma entidade pode ter vrias identidades, usando identidades diferentes para aces-sar sistemas diversos, a menos que esses sistemas se comuniquem e troquem in-formaes sobre as entidades. Identidades diferentes tambm podem ser utilizadaspara acessar um nico sistema, quando a entidade o utiliza para fins diferentes. Porexemplo, um usurio pode ter uma identidade de usurio comum e outra como umcontador da empresa.

Identificador o ndice nico de uma identidade. Normalmente, um identificador usado pelo sistema para referenciar uma identidade. Deve ser exclusivo dentro deum sistema, mas pode ser reutilizado em vrios sistemas.

Credencial utilizada para provar uma identidade em um sistema. Podem havervrios tipos de credenciais, mas todas so utilizadas para provar a um sistema (com

um nvel aceitvel de segurana) que uma entidade tem realmente o direito de usardeterminada identidade. Algumas credenciais so estabelecidas entre a entidade eo sistema (como uma senha) e algumas so emitidas por uma terceira parte (comoum passaporte).

A Figura 4.4 demonstra a relao entre entidade, identidade, identificador, creden-cial e sistema.

Figura 4.4. Relao entre entidade, identidade, identificador e credencial

Os conceitos de identificadores e credenciais podem parecer confusos e em alguns,

casos at podemos usar um no lugar do outro. A principal diferena entre identificadores ecredenciais o fato de que um identificador deve necessariamente ser nico e a credencialno. Apesar de ser nico, o identificador pode ser a unio de outros itens no nicos.



14/46

As credenciais podem ser geradas automaticamente pelo sistema (como as senhastemporrias geradas pelo sistema quando um usurio a esquece) ou podem ser criadasa partir de caractersticas particulares, como as caractersticas biomtricas, por exemplo.Podem ser utilizados tambm mtodos hbridos, ou seja, mtodos que utilizam tanto acriao manual de uma identidade quanto a sua gerao automtica. Os mtodos hbridospermitem ao usurio escolher seu identificador e, caso este j esteja em uso, o sistemaoferece identificadores alternativos. Uma viso sobre algumas possveis fontes e tipos deinformao so mostradas na Figura 4.5.

1 e apenas 1 por sistema 0 ou mais

Nome

SobrenomeData de nascimento

Chave pblica PKI

Assinatura

Fotografia da face

Itens Pblicos Itens Privados Biometria Gerados pelo Sistema

Chave Privada PKISenhas

PINs

Impresso digitalScan da ris e retina

Assinatura manuscrita

Imagem da face

Nmero de PassaporteNmero de Identidade

Nmero de CPF

Informaes Pessoais

Identificador Credenciais

Figura 4.5. Fontes de informao

Para que uma entidade consiga acessar o sistema, primeiramente ela informa oseu identificador. Isso necessrio para informar ao sistema quem est solicitando oacesso. O prximo passo fornecer provas de que essa entidade tem permisso para usaresse identificador, o que feito informando a credencial. Uma vez concedido o acesso,o sistema ir conceder alguns privilgios para que a entidade possa efetuar determinadasaes. Essa concesso de privilgios chamada de autorizao. Dentro deste contexto, htambm o conceito de auditoria, que um registro do que aconteceu e quando aconteceu.

A fim de complementar os procedimentos descritos previamente, o sistema realiza umconjunto de registros, associando a entidade s suas aes. O ideal que os registrossejam comprobatrios, fornecendo informaes que possam ser utilizadas em caso deconflitos.

Esse conjunto de procedimentos descritos no pargrafo anterior descreve as qua-tro principais operaes de um SGI, a identificao, a autenticao, a autorizao e aauditoria. Um resumo desses procedimentos so descritos a seguir.

Identificao a ao de uma entidade fornecer uma identidade ao sistema por meiode um identificador;

Autenticao a ao do sistema verificar a legitimidade de uma identidade pormeio da verificao de credenciais;



15/46

Autorizao a ao do sistema conceder privilgios a uma entidade aps a auten-ticao da sua identidade;

Auditoria a ao de registrar as aes realizadas por uma entidade em um sistema,gerando uma prova tanto para as partes envolvidas quanto para terceiros.

Detalhes sobre credenciais

As credenciais podem existir em duas formas: privada e pblica. Uma credencial pri-vada usada pela entidade para provar sua identidade, enquanto a credencial pblica usada pelo sistema para validar a anterior. Assim, uma credencial pode existir em pares:

Credencial Privada qualquer informao usada pela entidade para informar quem ou o que . Pode ser secreta (como senha, PIN, chave secreta), elementos fsicos(token, carto corporativo, carto bancrio), ou caractersticas fsicas (biomtricas,como face, impresso digital).

Credencial Pblica a contrapartida da credencial privada, utilizada para verificarse a credencial privada vlida. Por exemplo, uma fotografia uma credencial deverificao da face de uma pessoa (uma credencial biomtrica utilizada como umacredencial privada). Outros exemplos de credencial pblica so a assinatura, o hashde uma senha (verifica se a senha informada gera o mesmo hash) ou uma chave

pblica criptogrfica, sendo a chave pblica uma reproduo matemtica da chaveprivada criptogrfica.

As credenciais so associadas a uma identidade especfica, o que requer a criaode um vnculo entre a credencial e a identidade. Esses vnculos so criados a partir demecanismos que geram uma associao entre partes de informaes. Um sistema podeacessar uma base de dados atravs de um vnculo ou de outro mecanismo sugerido pelaentidade. Os vnculos de informaes podem ser criados pelo prprio sistema ou por umaterceira parte. Exemplos de vnculos so informaes de uma base de dados ligando umusurio ao hash de sua senha, ou um certificado digital vinculado a uma chave pblica.

Ou ainda, uma carteira de habilitao, que vincula a assinatura ou fotografia ao nome,associando nome ao endereo ou nome permisso para dirigir.

4.3.2. Ciclo de Vida

Assim como entidades, identidades e identificadores, as credenciais possuem um ciclo devida bem definido. Esse ciclo define o que acontece nas diversas fases da sua existncia.O ciclo de vida das entidades envolve os mesmos conceitos do ciclo de vida das pessoas:criao, vida e morte. O problema est em sincronizar esse ciclo de vida s suas iden-tidades e credenciais, considerando os estgios intermedirios, pois podem haver regrasespecficas a serem aplicadas de acordo com a idade, como votar aos 16 anos e dirigir aos

18. As entidades tambm podem ser mquinas ou telefones celulares. Neste caso, a cre-dencial criada quando o equipamento produzido e ativada aps a compra. preciso tercuidado tambm com dispositivos compostos, por exemplo, deve-se definir se o telefone



16/46

o aparelho celular ou apenas o carto SIM (Subscriber Identity Module ou mdulo deidentificao do assinante). Na verdade cada um tem sua prpria identidade, e podem serrastreados individualmente ou ser adicionados a uma lista negra.

As identidades so associadas s entidades. O estgio de criao geralmente marcado pelo seu registro no sistema. J o estgio de morte no pode ser um simples fim,uma vez que os registros podem precisar ser guardados depois que a conta for cancelada.O perodo de vida pode incluir atualizaes da credencial e suspenses, por exemplo.As identidades podem ser suprimidas mesmo que a entidade associada ainda viva. Umapessoa pode encerrar uma conta no banco, por exemplo, ou pode continuar mesmo que aentidade tenha sido extinta, a fim de manter os registros.

J um identificador um ponteiro nico para uma identidade e geralmente possuio mesmo ciclo de vida da identidade associada. No entanto, os identificadores podem

ser retidos indefinidamente, para garantir que no sejam realocados, o que poderia causarconfuso ou permitir fraudes posteriormente. Frequentemente as credenciais e os vnculostm seus prprios ciclos de vida, separados do ciclo de vida da entidade/identidade asso-ciada. As senhas podem existir apenas por 90 dias e geralmente so vlidas por menos de10 anos.

Criao

As credenciais e os vnculos so emitidos por provedores para as entidades, ou pelo me-

nos acordado entre eles. Um provedor pode ser um sistema, quando emite credenciaispara que os usurios possam ser autenticados, ou um intermedirio confivel tanto parao sistema quanto para a entidade, a fim de gerar um vnculo adequado para autenticaoentre as duas partes. O vnculo pode incluir datas, para controlar o perodo de validadeda credencial. A emisso da credencial pode ser solicitada pelo usurio ao solicitar umvnculo, como solicitao de um passaporte ou aquisio de um certificado digital, oudesencadeada por eventos do tipo registro de nascimento, ao chegar a uma certa idade, aconexo de um dispositivo rede, por exemplo.

Vida

Algumas vezes as credenciais e seus vnculos necessitam de manuteno, como alteraesregulares da senha, renovao dos certificados digitais, dos passaportes ou da carteira dehabilitao. A renovao uma forma simplificada do processo completo de registro. Ascaractersticas dinmicas das credenciais permitem que seu valor conhecido mude du-rante a sua vida. As credenciais tambm podem ser suspensas. Isso similar revogaode um certificado digital, exceto pelo fato de que reversvel.

Morte

As credenciais podem morrer porque expiraram ou porque foram revogadas. Elas geral-mente tm uma data de expirao definida e depois desse perodo no ser mais vlida.



17/46

Alguns sistemas podem exigir que uma credencial no expire, pelo menos durante um pe-rodo. Por exemplo, o controle de imigrao pode insistir que um passaporte seja vlidopor mais que seis meses a partir da data de entrada.

As credenciais tambm podem ser canceladas precocemente, devido a algum pro-blema, como a no existncia da entidade, a mudana nas circunstncias ou a credencialcompromentida, esquecida ou descoberta por um fraudador. A maior dificuldade comrelao revogao e suspenso que a credencial em si no traz informaes suficientessobre a sua validade, para isso necessrio utilizar recursos externos, tais como as listasde revogao para verificar sua validade. Se a origem tornar-se indisponvel ou apenas ti-ver informaes sobre as credenciais revogadas por um perodo de tempo, h uma grandeprobabilidade de que uma credencial seja ressuscitada. Neste caso ser impossvel re-solver conflitos relacionados a seu uso histrico.

4.3.3. Sigle Sign-On

A autenticao nica, ou single sign-on, possibilitada devido aos benefcios que elaoferece aos usurios, como a convenincia de no terem que lembrar de diferentes dadosde autenticao para mltiplos sistemas e devido aos diversos problemas que mltiplasautenticaes acarretam, como ter que redefinir senhas dezenas de vezes. A autenticaonica vem sendo considerada como um bom mecanismo de autenticao para as redesNGN. Esse tipo de autenticao auxiliaria o controle de acesso aos diferentes tipos derede e ao ambiente heterogneo resultante da NGN. Alm disso, a autenticao nicaparece promissora em relao aos possveis benefcios que ela traria para a Internet do

Futuro como um todo, visto que diferentes servios sero disponibilizados e uma nicaautenticao facilitaria o uso desses servios.

A autenticao nica pode ser implementada de vrias formas. Uma soluo tem-porria armazenar informaes de logon do usurio para outros servios. Dessa forma,quando o usurio faz logon, ele ganha acesso a todos os servios adicionais. A vanta-gem disso que no necessrio acessar diretamente outros sistemas. Porm, isso podeviolar polticas de segurana ou contratos. Uma alternativa integrar os servios protegi-dos com a soluo de autenticao nica, de modo que um logon fornea as credenciaisque podem ser automaticamente armazenadas no cliente e informadas quando necessrioa outros servios. Exemplos disso so o padro Kerberos e o SiteMinderda Computer

Associates.Todas as solues que usam autenticao nica, como as solues de e-mail (Gmail),

armazenamento de arquivo (Google Docs), agenda e criao de pginas (Google sites) daGoogle, por exemplo, devem utilizar as mesmas credenciais (no caso, senhas) para todosos servios. Isso permite o uso de senhas mais seguras (desde que o sistema force o usu-rio a usar uma senha mais complexa), uma vez que o usurio dever lembrar apenas umacredencial.

4.3.4. Usurios, Provedores de Identidade e Provedores de Servios

Como mostra a Figura 4.6, em um sistema de gerncia de identidade tpico, podemos

identificar trs entidades envolvidas: os usurios, o provedor de identidade e os provedo-res de servios.



18/46

Usurio (U) uma entidade que utiliza um servio fornecido por um provedor deservios. Os usurios utilizam SGIs para acessar servios que exigem a certificaode seus atributos por uma terceira parte. Isso comum em acessos que envolvema Internet, pois os usurios no confiam na segurana da transmisso de dados.Quando uma informao sensvel, como o nmero do carto de crdito, informa-es mdicas ou credenciais, so transmitidas para uma empresa desconhecida, ousurio hesita em usar a Internet. Portanto, a gerncia de identidade tem por obje-tivo aumentar a confiana em processos que envolvem a Internet.

Provedor de identidade (IdP) uma entidade que controla as credenciais do usu-rio e prov servios de autenticao. As companhias que fornecem algum grau deidentificao, como as Autoridades Certificadoras, normalmente fornecem algunsservios que se enquadram na definio de SGI. Tais servios geralmente integramuma cadeia de segurana exigida por algum tipo de negcio on-line, como um ser-vidor de autenticao ou criptografia SSL.

Provedor de servios (PS) ou parte confivel uma entidade que oferece umou mais servios possveis de serem acessados pelos usurios e utiliza os serviosde uma IdP para autenticar um usurio. Os motivos que levam os provedores deservios a implantar um SGI coincidem, em partes, com os motivos que levam osusurios a utiliz-lo. As organizaes tambm atribuem importncia s possibili-dades de aumento de segurana. Alm disso, importante para ambas as partes tercerteza sobre a autenticidade do parceiro de comunicao. Especialmente quando

se pode evitar fraudes utilizando este meio.

A Figura 4.6 ilustra a interao entre essas trs entidades do sistema de gerncia deidentidade. Na figura, o usurio solicita um servio a um provedor de servios. Este porsua vez confia em um provedor de identidades, que fornece informaes de autenticaosobre o usurio.

Figura 4.6. Partes de um sistema de gerncia de identidade



19/46

Regulamentos, tais como proteo da privacidade, devem ser respeitados por pro-vedores de servios. Uma SGI pode ajudar a organizao a garantir e simplificar o cum-primento da legislao. Por influenciar a quantidade e a qualidade dos dados transmitidos,a quantidade de informaes pessoais fornecidas pelo usurio deve ser reduzida, por meiodo uso de pseudnimos e credenciais. Os pseudnimos so identificadores de entidade.Uma entidade titular do pseudnimo pode ser identificada por meio dele. Denomina-se

pseudonimato o uso de pseudnimos como identificadores.

4.4. Requisitos de um Sistema de Gesto de Identidade na Internet do Futuro

Esta seo tem por objetivo definir os requisitos de SGIs que melhor satisfazem s neces-sidades da Internet do Futuro. Como mencionado anteriormente, segurana, privacidadee identidade so alguns dos maiores desafios do desenvolvimento da nova Internet. SGIs

deficientes podem agravar problemas de segurana j existentes e criar novas oportuni-dades para obter informaes pessoais de usurios [Dhamija and Dusseault 2008]. Es-pecialistas tm indicado consistentemente privacidade, segurana e usabilidade comorequisitos essenciais de um SGI [Glsser and Vajihollahi 2008].

Privacidade

Privacidade um requisito importante em todos os contextos da Internet do Futuro paraque haja compatibilidade legal. A Internet de servios assim como toda a infraestrutura

de comunicao tm que cumprir leis e regulamentos relativos a direitos e privilgios dosusurios e provedores. Dessa forma, as preocupaes com a privacidade so o principalfator para adoo de sistemas de gerncia de identidade. Como a Internet do Futuropode envolver a transferncia de informaes sensveis para diferentes partes, proteger aprivacidade permite evitar que informaes pessoais dos usurios sejam usadas de formaindevida, causando a perda de autonomia e liberdade.

Questes de privacidade

Rastreamento de usurios entre domnios. Alguns SGIs tm a capacidade de ras-trear um usurio em todos os stios web que ele visita. Para manter a privacidade,

necessrio que o usurio permanea annimo ou use pseudnimos, para escolherIdPs que no integrem todas as transaes de todos os PSs e, finalmente, no audi-tem as aes do usurio. Muitos SGIs implementam partes dessa abordagem. Noentanto, espera-se que no contexto da Internet do Futuro, SGIs devero implemen-tar o mximo de anonimato e pseudonimato possvel em todas os nveis: rede deservio, rede de base e rede de acesso.

Acesso s informaes sobre aes dos usurios. Nos SGIs atuais, o IdP envol-vido sempre que uma operao de autenticao necessria em um provedor deservio. Dessa forma, o IdP pode guardar vestgios de todas as aes do usurio.

Alm disso, em muitos sistemas, o usurio no envolvido em todas as trocas de in-formaes de identidade entre o IdP e o PS. Em novos SGIs, necessrio preservara privacidade das aes dos usurios.



20/46

Proporcionalidade e subsidiariedade violadas com frequncia. Muitas das leis deprivacidade tm como base o princpio da proporcionalidade e subsidiariedade. Es-ses princpios estabelecem que a quantidade de dados pessoais coletados seja pro-porcional ao objetivo para o qual eles so coletados, garantindo sempre a privaci-dade dos usurios. Muitas vezes os provedores de servios violam esses princpios.Esses provedores devem ser precisos com relao s informaes pessoais neces-srias para oferecer um servio, e no devem solicitar mais informaes do que asnecessrias. Torna-se dessa forma imprescindvel a utilizao de formas annimaspara oferecer o mesmo servio.

Segurana

Um SGI deve ser to robusto quanto possvel em relao a ataques contra disponibilidade,integridade e confidencialidade dos seus servios e informaes. Isso especialmente im-portante devido grande concentrao de informaes do usurio que so armazenadase detalhadas. Todavia, h sempre o risco de espionagem, manipulao e roubo de identi-dade. Se algum est usando uma identidade estrangeira sem autorizao, pode ser difcilou at impossvel para a pessoa autorizada provar que no era ela quem estava agindo.Fraude digital no facilmente detectvel pelo parceiro contratual. No apenas a iden-tidade que est sendo capturada, mas tambm a reputao ligada identidade. Um SGIdeve prevenir o roubo de reputao to bem quanto deve prevenir o plgio e permitir ono-repdio, se necessrio.

Um requisito bsico para segurana que a autenticao seja exigida antes de todoacesso a dados que seja disponibilizado para as pessoas autorizadas. A forma de auten-ticao depende do tipo de dado e da ao efetuada. O tipo e grau de segurana exigidodepende do significado e do valor dos dados processados. Quando h apenas a coletade informaes, como em uma navegao na web, a segurana pode no ser to impor-tante como quando uma pessoa administra seu histrico mdico. Devido a quantidade deinformaes de identidade armazenadas e administradas por organizaes, a seguranatambm um requisito essencial para o PS. Os frameworks de SGIs atuais implementamtcnicas, mtodos e polticas para a segurana de informaes de identidades. No entanto,ainda existem vrias vulnerabilidades [Alpr et al. 2011] como as descritas a seguir.

Questes de Segurana

O IdP um ponto nico de falhas. Os sistemas de gerncia de identidade exigemque o usurio e o PS atribuam alto grau de confiana ao IdP. Todas as informaesda identidade so armazenadas nos IdPs, e os usurios no podem fazer nada almde confiar neles para preservar sua privacidade e as informaes de sua identidade.Essa caracterstica tambm pode ser usada para transformar um SGI em um sis-tema de vigilncia em massa. Se o IdP se tornar uma autoridade, ento ele podeacessar diretamente todos os dados armazenados e relacionados aos servios acei-tos por esse IdP. Os sistemas de gerncia de identidade devem impor a exigncia de

que o usurio controle parte dos dados necessrios para efetuar login no PS. Almdisso, o IdP precisa ser implementado ou seguir alguma forma de organizao dis-tribuda que preveja redundncia e confiablidade em caso de falhas ou de ataques



21/46

que possam comprometer as informaes das entidades.

O risco de phishing. Muitos dos SGIs atuais apenas oferecem um meio de au-tenticar o usurio, sendo impossvel para o usurio autenticar o IdP ou o PS. Isso necessrio para prevenir ataques de phishing, em que os atacantes induzem ousurio a revelar sua identidade e credenciais. Para prevenir ataques de phishing importante que os usurios possam autenticar o PS e o IdP. A autenticao mtuaprecisa, ento, ser incorporada aos SGIs.

Quantidade de identidades por usurio. Uma das maiores vantagens dos SGIs parausurios a autenticao simples, que no obriga os usurios a lembrarem de todosos nomes de usurio e senhas, exceto aquele utilizado para obter acesso ao IdP. Apartir dessa perspectiva, os usurios devem confiar em apenas um IdP para acessar

seus servios. Todavia, usar apenas um IdP significa que, se ele for comprometido,todos os dados da identidade tambm sero comprometidos. Portanto, aconse-lhvel que os usurios distribuam as informaes de suas identidades em mltiplosIdPs. Para permitir determinar quais IdPs e qual a quantidade ideal de identida-des, estima-se a necessidade de se desenvolver um modelo que capture aspectosrelevantes como caractersticas dos servios, dos usurios, comportamento da redee outros.

Usabilidade

Tornar os SGIs simples e fceis de usar reduz as barreiras para sua adoo. A usabilidaderefere-se a eficcia, eficincia e satisfao com que usurios especficos alcanam ob-jetivos em um ambiente particular[Levin et al. 2009]. O IEEE define usabilidade comofacilidade com que um usurio pode aprender a operar, gerar entradas para, e interpretaras sadas de um sistema ou componente. A usabilidade geralmente mais importantepara usurios privados do que para organizaes profissionais. Qualquer melhoria na usa-bilidade mais uma questo de acessibilidade. A ausncia de usabilidade pode causarum impacto negativo na funcionalidade, segurana e privacidade. Apesar de muitos SGIsafirmarem que so desenvolvidos tendo o usurio em mente, eles ainda apresentam muitos

problemas de usabilidade [Alpr et al. 2011]. Considerando o ambiente heterogneo daInternet do Futuro e a complexidade que possa ocasionar a falta de usabilidade, os SGIspara a Internet do Futuro precisam ser fceis de usar e suas operaes devem ser o maistransparente possvel para o usurio.

Questes de usabilidade

Independncia de localizao. Um aspecto importante de usabilidade que est fal-tando nos SGIs atuais a independncia de localizao. O sistema de identidadedeve permitir ao usurio criar, administrar e usar sua identidade independentementeda sua localizao e dos dispositivos que ele esteja usando. Deve ser possvel ao

usurio acessar um PS usando o SGI no apenas do seu computador pessoal, masde qualquer lugar. Os sistemas de gerncia de identidade no podem depender dedados armazenados em um nico equipamento do usurio, ainda mais considerando



22/46

as redes da prxima gerao, a popularizao de dispositivos portteis e a facilidadede acesso a diferentes tipos de rede de comunicao.

Distino de identidades. Os usurios podem ter diversas identidades, mesmo queo escopo seja o mesmo. Essa distino de identidades gera diferentes responsabi-lidades ou perfis. Usurios podem ter diferentes perfis que o permitem fazer aesdiferentes em um determinado servio. Alm disso, o impacto das aes do usu-rio dependem do seu perfil. Os SGIs atuais no permitem aos usurios administraresses perfils facilmente. Basicamente, os usurios so forados a manter e adminis-trar vrios identificadores para separar diferentes perfis. Os cenrios de uso comumcriam um problema porque no h como indicar qual perfil, ou qual identidade, ousurio quer usar para acessar determinado servio. Os sistemas de gerncia deidentidade devem fornecer uma forma para os usurios conhecerem e seleciona-

rem qual a melhor identidade a utilizar mesmo que uma assinatura no tenha sidosolicitada explicitamente.

Mltiplas credenciais. Um caso especial da questo anterior quando transaesexigem a cooperao de vrios servios, possivelmente de mltiplos PSs. O proble-ma surge se o usurio precisa apresentar credenciais para mais de um servio, e ascredenciais dependem do perfil que o usurio assume. O usurio precisa ter todasas credenciais exigidas para efetuar a transao, mas pode apresent-las apenas seestiver autenticado e usando o perfil correto. Os sistemas de gerncia de identidadedevem prover uma forma de determinar automaticamente o conjunto completo de

credenciais e os perfis que o usurio pode assumir abrangendo aquelas credenciais.

Administrao de perfis de usurios. Quando um usurio acessa um servio, fre-quentemente envolve o processamento de informaes pessoais. Algumas dessasinformaes podem ser armazenadas no IdP, enquanto que outras informaes es-to armazenadas no PS. Muitos PSs armazenam as mesmas informaes para umdeterminado usurio a fim de permitir que um perfil possa ser administrado e alte-rado. Isso pode ser til para permitir ao usurio atualizar seus dados sempre quesentir necessidade. A questo se os SGIs podem simplificar a administrao doperfil do usurio para usurios finais to bem quanto os PSs e IdPs.

Funcionalidade, confiabilidade, auxlio legalidade, acessibilidade e intero-perabilidade so requisitos gerais que tambm devem ser considerados na implementa-o de um SGI [ICPP 2003, Weber et al. 2010].

Funcionalidade

A principal funcionalidade de um SGI ajudar o usurio a administrar sua identidade. OSGI tem que oferecer a possibilidade de administrar identidades parciais e dados da iden-

tidade. O processo tcnico de criao do conjunto de dados de entrada e de atualizaoou excluso devem ser implementados. Esse conjunto de dados de entrada tambm deveincluir assinaturas digitais, certificados ou credenciais.



23/46

Isso tambm necessrio para o SGI que possui interfaces para comunicao comparceiros, especialmente em redes de comunicao. O SGI pode atuar como um gatewaypara comunicao digital. Atuando como

gateway, ele pode gerenciar a troca de dados

entre todos os parceiros de comunicao. Os sistemas de gerncia de identidade incluem afuncionalidade gateway por definio, pois a gerncia de identidade sempre um processoentre o usurio e outra parte. Para PSs e IdPs, os requisitos bsicos de funcionalidade nodiferem em grande parte dos usurios. Tipicamente, as organizaes devem gerenciarinformao de identidades de membros e associados, ou seja, diferentes tipos de identi-dades. As funes para controlar essa complexidade e mant-los atualizados fazem partedos requisitos bsicos de funcionalidade que devem ser considerados na proposio deum SGI.

Confiabilidade

Este um pr-requisito para todas as transaes que definem se um usurio confia no PSou no sistema. Mesmo em sistemas em que o usurio tem controle total sobre o hardware,sotware e fluxo de dados, certa quantidade de confiana ainda necessria, porque a com-plexidade do sistema exige transparncia. Ento, a reputao do fornecedor de software ehardware se torna uma vantagem. Embora a ideia de confiana dependa de vrios fatores,a privacidade, segurana e usabilidade so condies prvias para confiabilidade. Almdisso, aspectos legais influenciam na percepo de confiana.

Auxlio legalidade

Agncias responsveis pelo controle e aplicao de leis, tais como reparties policiais oude prticas investigativas criminais, geralmente se interessam por coletar a maior quan-tidade possvel de informaes para gerar evidncias e tornar processos criminais maisfceis e eficazes. Qualquer SGI deve observar os requisitos legais para aplicao das leisnos pases em que sero usados. Entretanto, esses requisitos podem ser contraditriosem difernetes pases e at mesmo regies de um mesmo pas, pois resultam de culturas erealidades diferentes.

Acessibilidade

Toda tecnologia deve ser acessvel para que seja amplamente aceita. Isso se aplica atodos os tipos de usurios. Entretanto, essa questo deve considerar se o SGI apenasadiciona uma sobrecarga rede ou se realmente melhora a funcionalidade e qualidadedos servios e transaes. Este um objetivo poltico em muitos pases em que o direito deciso sobre informaes pessoais um direito bsico, e como tal no deve depender da

situao financeira da pessoa. As organizaes devem olhar o SGI no como um custo,mas pela tica do custo-benefcio. Em outras palavras, os benefcios de um SGI precisamcompensar os custos diretos e indiretos.



24/46

Interoperabilidade

A compatibilidade e a integrao com sistemas j existentes um requisito bsico paraum SGI. Os sistemas de gerncia de identidade devem implementar interfaces compat-veis com padres internacionais. A fim de serem largamente utilizados, essas interfacesdevem ser aceitas e suportadas pelos rgos governamentais e agncias dominantes nosmercados visionados para o SGI. Essas partes interessadas iro procurar influenciar qual-quer padro para que possam suport-lo. inteiramente possvel que alguns agentes se-jam resistentes a interfaces compatveis a fim de proteger sua posio no mercado. Nestecaso, a popularizao do SGI como um produto ser mais difcil. As regras de seguranapodem regular tendncias isolacionistas no mercado. Alcanar interoperabilidade em di-ferentes contextos impossvel sem uma fundamentao coerente na cultura e sociedade

em que os SGIs pretendem ser usados. Aqui podemos fazer uma analogia com o dom-nio de linguagens de programao e de ter uma semntica bem definita para a linguagemde programao. Caso contrrio, diferentes implementaes na mesma linguagem iroproduzir diferentes interpretaes de alguns conceitos da linguagem conduzindo a umaoperao inconsistente do mesmo programa em diferentes implementaes.

4.5. Iniciativas de gerncia de identidade para as redes da prxima gerao

Como mencionado na Seo 4.1, o foco deste minicurso apresentar o estado da artedas principais iniciativas voltadas gerncia de identidade na Internet do Futuro, espe-cialmente aquelas focada nas redes da prxima gerao. Com base na literatura, ns

classificamos essas iniciativas em projetos e arquiteturas, alianas e especificaes conso-lidadas. As prximas subsees so organizadas segundo esta classificao e descrevemas iniciativas encontradas na literatura com base nas publicaes existentes.

4.5.1. Projetos e arquiteturas

Esta subseo apresenta os principais projetos relacionados gerncia de identidade naInternet do Futuro. Alm de uma descrio geral desses projetos, as arquiteturas de SGIspropostas ou em desenvolvimento por alguns desses projetos so apresentadas.

PRIME - Gerncia de privacidade e identidade para Europa

O projeto PRIME [PRIME 2010] aborda a falta de infraestrutura de gerncia de identi-dade para a Internet, identificando suas principais carncias, tais como segurana e priva-cidade, e visando definir um equilbrio dos requisitos emergentes para os SGIs. O objetivodo projeto consiste em desenvolver um prottipo de trabalho para melhorar a privacidadedos SGIs, permitindo gerenciar as mltiplas identidades que um consumidor pode obteratravs de suas interaes pela Internet. Exemplos de interaes so as operaes comer-

ciais realizadas atravs da Internet [Androulaki et al. 2009]. A meta principal do PRIME adotar tecnologias emergentes para Internet do Futuro ou alterar tecnologias j utilizadasa fim de adaptar melhor os SGIs ao novo contexto de redes.



25/46

Arquitetura de gerncia de identidade do projeto PRIME

A arquitetura de SGI proposta pelo PRIME foi desenvolvida para suportar uma ampla

gerncia do ciclo de vida dos dados relacionados identidade. O foco principal apoiarusurios na administrao dos dados de suas identidades [Sommer et al. 2008]. O desen-volvimento da arquitetura segue a necessidade de mant-la aberta para futuras ampliaes.Tal caracterstica segue a abordagem modular para a arquitetura com uma boa separaofuncional entre os componentes principais. Outro princpio a simplicidade. O projetogeral feito de tal forma que as interaes entre as entidades tenham o mximo de priva-cidade e os dados sejam revelados apenas quando necessrio.

A Figura 4.7 mostra um resumo dos componentes na arquitetura PRIME. No con-junto repositrio de dados cada repositrio armazena dados e metadados mantidos pelaentidade qual os dados pertencem ou a qualquer outra entidade. Um sistema centrado no

usurio ter um repositrio nico, para armazenar seus prprios dados em formato cripto-grafado, e uma empresa ter mltiplos repositrios de dados, devido s suas necessidadesde gerenciamento. Os repositrios de dados podem ser acessados por outros componen-tes internos ao sistema PRIME, assim como por outras entidades solicitantes, como umusurio ou um servio.

Sistema de Interface da Aplicao

Controle de Identidade

Negociao

Gerente deObrigao

Controle de Acesso eExecuo deIdentidade

Controle deAcesso e Deciso

de Identidade

Controle de Garantia

Gerenciamento deConfiana

Reputao

Gerente de Garantia

Unidade de Federao

Ponto de

Extenso dePrivacidade

C o m p o n e n t e

O p c i o n a l

Repositriode Dados

Repositriode Polticas

Figura 4.7. Arquitetura PRIME

Um dos componentes chave na arquitetura PRIME o componente de Controle deAcesso e Deciso de Identidade (Access Control Decision ACD), desenvolvido para ser

aproveitado na implementao de um protocolo de negociao entre duas entidades. Ocomponente ACD um componente central que faz o acesso aos dados e toma decisesrelacionadas liberao de unidades individuais de dados. O componente de Controle



26/46

de Acesso e Execuo ( Access Control Enforcement ACE) controla todos os acessosaos dados. Ele permite ao ACD acessar e ler dados a partir do repositrio, caso o acessotenha sido concedido. O componente anlogo funo de execuo em arquiteturasde controle de acesso, com a diferena fundamental de que o ACD possui funes maisavanadas que as utilizadas atualmente para tomar tais decises. Todo o acesso aos re-positrios feito atravs do componente ACE. O componente de aplicao recorre aocomponente ACD para tomar uma deciso de acesso. As polticas so armazenadas emum dos possveis repositrios de poltica, que so acessados pelo ACD.

O componente de negociao, do ingls negotiation, implementa a funcionalidadede negociao cujo principal objetivo impulsionar a troca de dados entre as entidades,especialmente para estabelecer a confiana e a trocar os dados necessrios. O componentede negociao opera sobre os pedidos em respostas compostas, onde composto significa

a possibilidade de incluir vrios atributos ou informaes sobre atributos. Ele consultao componente ACD obtendo as polticas de decises para unidades de dados atmicasenvolvidas na negociao. O componente agrega os resultados recebidos do componenteACD. O acesso aos dados feito atravs do componente ACE.

As fontes de dados, especializadas no estabelecimento de confiana, podem serimplementadas em um sistema SGI. A arquitetura PRIME define um componente paragerncia de confiana, que capaz de fornecer certificados de dados para outros compo-nentes obtidos a partir de uma avaliao local. Uma funcionalidade principal do compo-nente de gerncia de confiana criar e verificar certificados sobre a confiabilidade dasplataformas.

O componente controle de garantia (assurance control) responsvel por garantira segurana, tanto durante o uso local quanto em interaes com outras entidades. Umadas caractersticas do AC agregar informaes obtidas a partir de componentes de ge-rncia de confiabilidade de uma das mltiplas plataformas que compreendem os serviosdo sistema. O componente de controle de garantia cria controles e avaliaes de controleque auxiliam a entidade na tomada de decises.

A unidade de federao responsvel pela certificao e troca de dados. Ela podeimplementar diferentes protocolos. O protocolo proposto pelo projeto PRIME voltadoa sistemas de certificao privada (sistemas de credenciais annimas) devido s inmerasvantagens em termos de privacidade. A unidade de federao um componente nico queimplementa trocas de dados de acordo com as regras do componente de negociao e comas intervenes do usurios. Outros protocolos j existentes podem ser integrados a estecomponente a fim de tornar a arquitetura PRIME compatvel com protocolos pertinentes.

A interface de aplicao do sistema um componente importante desta arquite-tura. Ela prov uma interface entre o PRIME e o usurio, permitindo ao sistema fornecerinformaes sobre as interaes relacionadas identidade, alm de permitir a administra-o de dados e polticas. Com relao arquitetura, a interface deve ter acesso a outrosmdulos da arquitetura PRIME a fim de impedir que processos externos controlem o sis-tema sem que o usurio perceba.

O componente controle de identidade, do ingls identity control, controla o fluxode dados atravs da arquitetura e facilita o registro de componentes, tornando a arquitetura



27/46

extensvel e flexvel. O componente controle de identidade de duas entidades se comuni-cam para trocar dados, de acordo com as polticas configuradas. Tanto o componente decontrole de identidade, quanto o componente de negociao podem interagir com outroscomponentes da arquitetura devido ao seu papel de controlador geral e e controlador denegociao.

A arquitetura PRIME constituda por mais alguns componentes que possuemfuncionalidades convencionais e, por isto, so mencionadas brevemente. O componentede auditoria registra informaes de eventos de processamento e aes de uma entidade,os quais podem ser relevantes para o processamento de dados. O componente de ge-renciamento de eventos fornece um framework para gerenciar o que usado por outroscomponentes.

DAIDALOS - Modelagem de interfaces de rede avanadas para entrega e adminis-

trao de servios personalizados, otimizados e independentes da localizao

O projeto DAIDALOS [DAIDALOS 2006] foi um dos primeiros voltados a gerncia deidentidade fortemente centrado nas infraestruturas de redes e servios. Um dos resultadosdesse projeto o conceito de Identidade Virtual (VID) e sua aplicao em tais infraestru-turas, onde o VID denota a entidade em uma funo especfica ou contexto de uso, e noa entidade em sua totalidade [Sarma and Giro 2009].

A identificao de informaes relacionadas a um prestador de servios ou en-tidade realizada localmente e gerenciada por diferentes entidades ou prestadores deservios. Um esquema VID assegura a divulgao coordenada de todos esses dados. UmVID um identificador pseudonmico que permite o acesso a um subconjunto de dadospessoais do usurio. O proprietrio do VID decide o mbito e detalha exatamente o quepode ser divulgado. A gerncia de identidade age em nome de usurios, monitorandoe controlando estados de VIDs e seu ciclo de vida. Ele avalia e verifica a existncia deameaas associadas divulgao de informaes no mbito de uma VID, em pontos espe-cficos, e controla as mudanas de estados dos ciclos de vida do VID. Isto significa que, seo usurio revogar uma VID, o gerenciamento de identidade deve parar todas as operaesque a envolvem.

O acesso ubquo a servios e contedos de terceiros est se tornando uma norma naInternet e em computao pervasiva, como descrito na Seo 4.2. O projeto DAIDALOSpretende utilizar a computao pervasiva para organizar tecnologias de comunicao afim de melhorar a experincia do usurio. DAIDALOS visa ajudar os usurios a acessarservios, no importando onde eles estejam. Na Internet do Futuro, sero disponibilizadosdiversos servios eletrnicos aos usurios. Os acessos a servios em qualquer lugar e aqualquer hora, facilitados pelo aumento da cobertura atravs de vrias tecnologias derede, permitir que os usurios estejam constantemente conectados aos servios atravsde diferentes canais de rede. Neste contexto, os provedores de servios se preocuparo

em atrair a ateno dos usurios, e os provedores de rede se preocuparo com aumento douso das redes. A computao pervasiva no DAIDALOS visa apoiar os usurios comunsna gerncia de identidades [Taylor et al. 2011] .



28/46

Arquitetura de gerncia de identidade do projeto DAIDALOS

Tendo em vista a necessidade de criar uma nova gerao de infraestrutura de comunica-

o centrada no usurio que fornea o suporte adequado Internet do Futuro, o projetoDAIDALOS busca integrar tecnologias de redes heterogneas permitindo aos operadoresde rede e provedores de servios oferecer novos servios. O objetivo da arquitetura degerncia de identidade desse projeto possibilita aos usurios acessar a uma vasta gama deservios multimdia personalizados.

A Figura 4.8 ilustra a funcionalidade principal dos componentes no Daidalos Per-vasive Service Platform (PSP). A camada de gerncia de servios e identidade permiteacesso ubquo a servios. Essa funcionalidade inclui servio de descoberta e recompo-sio para servios de valor agregado para usurios. O componente de descoberta deservio necessrio para apoiar servios criados posteriormente ao desenvolvimento da

arquitetura. Os provedores de servios podem anunciar servios e os usurios podem en-contrar os servios que necessitam. Uma vez que cada provedor ir oferecer apenas umdeterminado nmero de servios, ser includo um componente composio de serviosa fim de permitir a oferta de novos servios compostos a partir dos servios existentes. Ocomponente gerncia de identidade garante que uma infraestrutura de segurana e priva-cidade possa ser aplicada aos servios de descoberta e composio.

Figura 4.8. Arquitetura Daidalos Pervasive Service Platform (PSP)

O componente gerncia de servios de ontologia define a interoperabilidade atra-

vs de servios e mecanismos como um glossrio de provedores de servios e consu-midores. Este tambm um aspecto chave do componente de composio de servio,validando as vrias semnticas de servios. Os componentes sesso e gerncia de recur-



29/46

sos apiam um ambiente de gerncia em tempo de execuo para servios compostos,em que os provedores de servios e operadores podem aplicar polticas combinadas apersonalizaes do usurio.

A camada gerncia de experincia do usurio responsvel por monitorar e con-trolar as experincias do usrio. O componente gerncia de contexto coleta dados brutossobre o contexto usando vrios sensores, refina-os e oferece esta informao em um for-mato mais apropriado para a plataforma ou para aplicaes e servios que os solicitem.O componente gerncia de aprendizagem controla o aprendizado com base no compor-tamento histrico dos usurios, tais como interao com os servios, e usa esse conheci-mento para manter atualizadas as preferncias dos usurios para vrios servios. Atravsdo componente de gerncia de preferncia, as preferncias podem ser aplicadas s pla-taformas de servios, como a alterao de parmetros de qualidade de servio (QoS), ou

fornecidas aos aplicativos e servios de terceiros. O componente negociao de privaci-dade aprimora os mecanismos de negociao entre os usurios e os servios.

O componente gerncia de identidade do DAIDALOS fundamental para a acei-tao dos usurios predominantes aos servios, pois fornece os meios para acesso a ser-vios seguros, enquanto locadores de servios podem cobrar pelos servios prestados. Omodelo de identidade est envolvido em todos os estgios do ciclo de vida de uma conta,desde sua criao, at o login em dispositivos, a seleo de servios e uso. A gernciade identidade DAIDALOS usa identidades virtuais para assegurar que as identidades dosusurios no sero reveladas aos vrios provedores de servios envolvidos na prestaode servios compostos.

SWIFT - Difuso segura de identidades para telecomunicaes federadas

O projeto Europeu SWIFT[FIDIS 2010] financiado pelo programa FP7, do ingls 7thFramework Programme. O projeto aproveita a tecnologia de gerncia de identidade paraintegrar o servio e a infraestrutura de transporte a fim de beneficiar usurios e prestadoresde servios. O objetivo estender as funes de gerncia de identidade e a federao pararedes sem negligenciar a usabilidade e privacidade.

A arquitetura proposta por SWIFT atua como um backbone para o sistema in-

teiro. Ela depende da noo de identidade digital que fornecida por atributos de ligao,autenticao e outras informaes sobre o usurio. Uma vez que a informao nunca armazenada em um nico lugar, a arquitetura age como um ponto de contato para serviosexternos obterem informaes sobre o usurio ou sobre uma de suas identidades digitais.

Arquitetura de gerncia de identidade do projeto SWIFT

Com base no projeto DAIDALOS, o projeto SWIFT aprimorou as solues de gernciade identidade, dando foco s operadoras de telecomunicaes. O resultado uma arquite-tura estendida, desenvolvida para prover segurana e privacidade capazes de abranger asnecessidades de futuras solues de gerncia de identidade. Essa arquitetura uma solu-

o de privacidade inter-camadas que aprimora as solues existentes e atua em uma novainfraestrutura de controle de acesso. A arquitetura utiliza cartes eletrnicos de identifica-o, fornecendo uma viso integrada dos dispositivos dos usurios, buscando solucionar



30/46

problemas de compatibilidades com solues inteligentes [Barisch et al. 2010].

A Figura 4.9 ilustra a arquitetura proposta pelo projeto SWIFT. A arquitetura con-

tm cinco habilitadores de segurana no dispositivo do usurio, interligados pelo geren-ciador de VID (VIDM) e pelo gerenciador de credenciais (CM). O VIDM utilizadopelo usurio para interagir com o componente central do sistema, a fim de realizar tarefasrelacionadas gerncia de identidade. A arquitetura fornece uma interface grfica parao usurio a fim de selecionar, criar ou destruir identidades virtuais, estabelecer sessescom os PSs e com os agregadores de identidade. A arquitetura utiliza os habilitadores desegurana conectados. Permite a configurao de atributos de polticas de liberao. Senecessrio, ele permite a criao de credenciais atravs do gerenciador de credenticiais.O CM reponsvel pela criao de credenciais necessrias para autenticao e autoriza-o em oposio ao PS e ao agregador de identidades. Dentro do contexto SWIFT, essas

credenciais tambm so conhecidas como instrues da arquitetura.

Figura 4.9. Arquitetura SWIFT

O gerenciador de credenciais responsvel pela criao de credenciais utilizadaspara autenticao e autorizao entre o PS e o agregador de identidades. O CM provuma interface abstrata para o carto eletrnico de identificao, para o habilitador deinicializao de credenciais (CBS) e para o habilitador de credenciais annimas (ACE).Uma das funes do carto eletrnico de identificao oferecer um armazenamentoseguro de credenciais e atributos do usurio. Essa funcionalidade aumenta a seguranado dispositivo do usurio, alm de possibilitar a utilizao de servios independentes daconexo com o agregador de identidade ou com o provedor de atributos.

O ACE tambm pode oferecer uma credencial annima. Se necessrio, o CMpode especificar credenciais para interagir com outros sistemas de gerncia de identidadepor intermdio do CBS. Uma vez que o usurio pode possuir dispositivos com diferentes



31/46

recursos e capacidades de segurana, os quais podem ser utilizados em diferentes contex-tos, o habilitador de transferncia de identidade (ITE) permite utilizar a identidade atravsdesses dispositivos. Alm disso, o VIDM pode controlar a representao da identidadedo usurio na rede e na camada de servio por meio do gerenciador de pseudnimosinter-camadas.

4.5.2. Alianas

Uma vez que sistemas de gerncia de identidade necessitam de uma boa padronizaopara garantir o uso abrangente das arquiteturas desenvolvidas, diversas alianas entrecompanhias vm sendo criadas para auxiliar no uso das novas arquiteturas de gernciade identidade. Esta subseo apresenta as pricipais alianas existentes desde s que fo-cam apenas na gerncia de identidade para a Internet convencional at as alianas quefocam em padres para a Internet do Futuro.

Liberty Alliance

A Liberty Alliance [Liberty 2001] tem por objetivo estabelecer padres abertos, diretrizese melhores prticas para gerncia de identidade, focalizando, principalmente, identidadespara servios Web. O projeto desenvolvido por esta aliana promove uma abordagem degerncia de identidade federada, voltada para a construo de relacionamentos de con-fiana entre as empresas e para a capacidade de confederar contas de usurios isoladosentre crculos de confiana bem definidos [Glsser and Vajihollahi 2008]. A funo da

aliana Liberty fornecer suporte ao desenvolvimento, implantao e evoluo de umpadro aberto e interopervel para redes de identidades federadas.

O objetivo da aliana Liberty permitir um mundo conectado, em que os usuriose as empresas possam realizar transaes mais facilmente, ao mesmo tempo que prote-gem sua privacidade e a segurana de informaes vitais dessa identidade. Um usuriopode federar suas diferentes identidades em uma identidade nica fornecida por um IdP, afim de acessar servios fornecidos por PSs que participam de um mesmo crculo de con-fiana, autenticando-se apenas uma vez no IdP. Isso baseia-se em um relacionamento deconfiana pr-estabelecido entre o IdP e todos os PSs do crculo de confiana. O modelooferece um nvel de pseudoanonimato atravs do uso de pseudnimos ao invs de iden-

tificadores reais na comunicao entre o IdP e o PS, aumentando assim a privacidade dousurio.

FIDIS

A FIDIS (Future of Identity in Information Society) [FIDIS 2010] uma Rede de Exce-lncia (do ingls, Network of Excellence ou NoE) suportada pela Unio Europia. Estaaliana integra esforos de pesquisa das diferentes naes europias buscando solucionarproblemas desafiadores, tais como suporte a identidade e identificao, interoperabilidade

de identidades, conceitos de identificao, roubo de identificadores, privacidade, segu-rana e perfis de usurios, alm de buscar solues para problemas forenses. Uma dasprincipais atividades de pesquisa da aliana est focada na melhor definio de identidade



32/46

e identificao.

A FIDIS define sete linhas de pesquisa, cada uma com o foco em um aspecto

importante de identidade, como privacidade, interoperabilidade, mobilidade e outros. Oramo chamado Identidade da Identidade visa desenvolver um inventrio de definiesno domnio de identidade e seus respectivos casos de uso. Ele cataloga ainda os mo-delos existentes de gerncia de identidade, assim como desenvolve uma viso geral dasperspectivas futuras de tais modelos [Glsser and Vajihollahi 2008].

4.5.3. Especificaes consolidadas

Atualmente, existem vrias especificaes de sistemas de gerncia de identidade consoli-dadas, tais como Security Assertion Mark-up Language (SAML), OpenID, Shibboleth eoutras. Apesar dessas especificaes no serem exclusivas para as redes da prxima ge-

rao, ressalta-se que futuramente essas especificaes devem ser compatveis entre si, afim de fornecer um frameworkde gerncia de identidade coeso. Considerando o contextode Internet do Futuro, esses padres devero evoluir cada vez mais a fim de atender, noapenas s necessidades de determinados segmentos da indstria, mas tambm assumir ar-quiteturas e infraestruturas de redes especficas, o que pode culminar no desenvolvimentode diferentes padres.

SAML

O SAML resulta dos trabalhos do OASIS [OASIS 2011] Security Services Technical Com-mittee, mas a verso atual do SAML conta com uma grande contribuio da Liberty Al-liance. O SAML um padro XML para troca de dados de autenticao e autorizaoentre servios. Esse padro XML resolve dois problemas, autenticao nica e identida-des federadas, e geralmente destinado a parceiros comerciais que buscam um padropara troca segura de informaes. O SAML foi criado por especialistas em segurana, daindstria e da academia, especificamente para prover a interoperabilidade entre serviosde autenticao web.

O princpio utizado pelo projeto SAML a identidade federada. O modelo deidentidade federada permite que organizaes usem mtodos diferentes de autenticao e

autorizao que sejam capazes de interoperar, estendendo a capacidade de cada servioexistente na organizao, ao invs de forar sua troca. A identidade federada tambmpermite ajudar usurios a obterem vantagens dos sistemas de

gerencia de identidade na internet do futuro

Documents