Segurança em Redes Colaborativas

Captulo
3
Segurana em Redes Colaborativas: Desaos e Propostas de Solues1
Michelle S. Wangham , Emerson Ribeiro de Mello , Davi da Silva Bger , Ramics dos Santos Silva , Diego Ricardo Holler , Joni da Silva Fraga Universidade do Vale do Itaja Universidade Federal de Santa Catarina Instituto Federal de Santa Catarina email:wangham@univali.br, mello@ifsc.edu.br, {dsboger, ramices, fraga }@das.ufsc.br, diego.holler@univali.br
Abstract The infrastructure provided by Internet stimulated the creation of different forms of collaborative networks. This Chapter introduces an analysis about security challenges in colaborative networks based on service oriented architecture, in particular, virtual organizations and national research and education networks. Dynamic trust establishment, quality of protection policies, privacy and single sign on in heterogeneous infrastructure are the main challenges in this environment. This Chapter also presents some security proposals to colaborative networks and some problems that are not covered yet. Resumo A realizao de negcios que usufruem da infra-estrutura de colaborao oferecida pela Internet impulsionou a criao de diversas formas de redes colaborativas. Este Captulo apresenta uma anlise sobre os desaos de segurana presentes nas redes colaborativas baseadas na arquitetura orientada a servio, em especial, organizaes virtuais e redes nacionais de pesquisa e educao. Entre os desaos, destacam-se o estabelecimento dinmico da conana, a denio de polticas globais de qualidade de proteo, a privacidade das informaes das entidades que compem tais redes e a concretizao da autenticao nica e da autorizao diante de infra-estruturas de segurana heterogneas. Solues para prover segurana s redes colaborativas voltadas para tratar cada um destes desaos so analisadas e, por m, so apresentadas questes ainda em aberto.
1 Financiado
pelo CNPq (Projeto 484740/2007-5)
99
100
Minicursos SBSeg 2009
3.1. Introduo
Com o seu amadurecimento, a Internet alcanou ndices de desempenho e conabilidade que permitiram que esta deixasse de ser uma rede apenas acadmica para transformar-se em uma importante plataforma de comunicao e colaborao para pessoas e organizaes em todos os ramos de atividades. Essa evoluo no s permitiu que as comunicaes se tornassem mais rpidas e baratas, mas tambm oportunizou o desenvolvimento de novas formas de interao atravs das redes colaborativas. Dentre essas formas, destacam-se as redes colaborativas de organizaes (Collaborative Networks of Organizations - CNO), que so sistemas constitudos por componentes autnomos, geogracamente distribudos, que colaboram atravs da rede para alcanar um objetivo comum [Camarinha-Matos e Afsarmanesh 2005] e as redes nacionais de pesquisa e educao (National Research and Education Network - NREN), provedores de servio de Internet especializados que oferecem servios de comunicao avanada para comunidade cientca e canais dedicados para projetos de pesquisa [TERENA 2008]. As redes colaborativas de pesquisa e de organizaes possuem uma srie de requisitos de interoperabilidade e segurana, que esto presentes em todas as fases do seu ciclo de vida. A interoperabilidade necessria para tratar vrios aspectos de heterogeneidade entre os membros da rede, que incluem as diversas plataformas computacionais (hardware, sistemas operacionais, linguagens de programao) utilizadas, as vrias polticas (administrativas, de segurana, de negcios) s quais esses membros esto sujeitos e as diferentes tecnologias de segurana adotadas. Um suporte a essa heterogeneidade essencial para garantir que a rede possa atender o maior nmero possvel de participantes. A segurana, por sua vez, fundamental para que os membros de uma rede colaborativa possam depositar conana nas suas interaes com outros membros. Uma vez que as redes colaborativas exigem que as organizaes participantes tenham relaes de conana com um amplo domnio de parceiros, apesar da tendncia para trabalhos colaborativos, muitas organizaes ainda tm receios em compartilhar informaes sensveis, principalmente, quando h a necessidade de colaborao com parceiros desconhecidos [Wangham et al. 2005]. Do ponto de vista de polticas de segurana, cada organizao possui suas prprias polticas, ou seja, havendo a necessidade de colaborao h ainda a necessidade de um acordo entre os parceiros envolvidos. Os desaos de segurana que envolvem as redes colaborativas iniciam-se na sua fase de criao. Dentre estes, destacam-se o estabelecimento dinmico de relaes de conana, a denio de polticas globais de qualidade de proteo e, no caso das organizaes virtuais, a privacidade na busca e seleo de parceiros. Durante a fase de operao das redes colaborativas, como as entidades participantes esto dispostas por diferentes domnios administrativos e de segurana, os desaos consistem em concretizar a autenticao SSO (Single Sign On) e a autorizao distribuda de forma transparente, devido principalmente heterogeneidade das infra-estruturas de segurana. Na comunicao entre os participantes das redes colaborativas, deve-se garantir a condencialidade, a integridade e a autenticidade das informaes transmitidas, de acordo com a poltica de qualidade de proteo (QoP) estabelecida. A manuteno de uma rede est relacionada evoluo da composio da mesma. As redes colaborativas que sero tratadas neste captulo possuem diferentes nveis de dinamismo. O grande desao nestes ambientes
IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais
101
manter o progresso das aplicaes mesmo diante do que identicado na literatura como churn [Godfrey et al. 2006], recursos entram e saem do sistema em tempos arbitrrios, e muitas vezes durante os processamentos distribudos. O objetivo deste captulo analisar os desaos e as propostas de solues para prover segurana s redes colaborativas orientadas a servios, em especial, para as organizaes virtuais e para as redes nacionais de pesquisa e educao. As questes chaves de segurana analisadas so: autenticao SSO, estabelecimento dinmico de relaes de conana, casamento de polticas de qualidade de proteo e controle de acesso distribudo. Os conceitos, problemas e solues de segurana apresentados neste captulo so complementados com a apresentao de cenrios de uso em redes colaborativas que demonstram a aplicabilidade das solues de segurana apresentadas. Este captulo est dividido em cinco sees. Nesta primeira Seo foi apresentado o contexto geral em que o trabalho est inserido, destacando os objetivos do documento e a motivao para a escolha do tema. Na Seo 3.2, os tipos de redes colaborativas so descritos e alguns conceitos bsicos relacionados Arquitetura Orientada a Servios so introduzidos. Ainda nesta seo, dois cenrios de uso de redes colaborativas so descritos. A Seo 3.3 apresenta os principais desaos de segurana presentes nas redes colaborativas e, retomando os cenrios apresentados na seo anterior, so apresentadas as principais ameaas de segurana nestes cenrios. A Seo 3.4 tem por objetivo apresentar o estado da arte relativo segurana em redes colaborativas orientadas a servios, ou seja, as solues atuais para os problemas apontados na Seo 3.3 . Por m, a seo 3.5 traz uma sntese dos principais aspectos de segurana analisados e das tendncias das solues de segurana apresentadas.
3.2. Redes colaborativas: tipos e infra-estruturas de servios

Segundo [Camarinha-Matos et al. 2008], um novo ambiente competitivo para as indstrias de manufatura, de software e de servios vem se desenvolvendo nos ltimos anos e a tendncia para negcios colaborativos est forando um mudana na forma na qual estas indstrias so gerenciadas. Segundo os autores, a participao em redes colaborativas tem sido muito importante para a organizao que anseia encontrar uma vantagem competitiva diferenciada, especialmente se esta for uma pequena ou mdia empresa. Neste Captulo, est sendo adotado o seguinte conceito para rede colaborativa: uma rede que consiste de vrias entidades (p.ex., organizaes pessoas e mquinas) autnomas, heterogneas e geogracamente distribudas, que colaboram para encontrar um objetivo comum e compatvel e cujas interaes so suportadas pelas redes de computadores [Camarinha-Matos et al. 2008]. Dois tipos de redes colaborativas sero abordados neste trabalho: as redes colaborativas de organizaes (Collaborative Networks of Organizations - CNO) e as redes nacionais de pesquisa e educao (National Research and Education Network - NREN). 3.2.1. Redes Colaborativas de Organizao Uma grande variedade de redes colaborativas de organizaes tem sido formada nos ltimos anos, como por exemplo, Empresas Estendidas (Extended Enterprises), Cadeias de Fornecimento Dinmicas (Supply Chain), Empresas Virtuais (Virtual Enterprises) e
102
Organizaes Virtuais (Virtual Organizations)[Camarinha-Matos e Afsarmanesh 2005]. No cenrio das redes de organizaes, a cooperao na forma de organizaes virtuais (OVs) a estratgia que mais se destaca e que vem sendo adotada por muitas empresas, por prossionais e laboratrios espalhados ao redor do mundo, visando atender novas oportunidades de negcios (ONs), bem como ampliar sua participao em novos mercados e/ou alcanar excelncia cientca para o desenvolvimento de projetos inovadores [Krmloglu et al. 2005]. Uma OV corresponde a uma unio temporria de organizaes independentes que se agregam visando compartilhar recursos e funcionalidades para alcanar objetivos que estas no alcanariam sozinhas. A cooperao destas organizaes garantida pela automao e informatizao de grande parte de suas infra-estruturas, deixando-as acessveis via Internet. A seleo dos membros da OV , geralmente, provida por sistemas de busca e seleo de parceiros que so aplicados sobre um conjunto pr-denido de organizaes, chamado de ambiente de gerao de OVs (Virtual Organization Breeding Enviromment - VBE), que uma evoluo do conceito tradicional de cluster de empresas [Wangham et al. 2005]. Conforme ilustrado na Figura 3.1, o ciclo de vida de uma organizao virtual um processo circular composto dos estgios de criao, operao, evoluo e dissoluo cujas funcionalidades so [Camarinha-Matos et al. 2008]:
Criao
Operao Dissoluo
Evoluo
Figura 3.1. Ciclo de Vida de Vida de uma Organizao Virtual
Criao: identicar as competncias necessrias para atender a uma oportunidade de negcio, modelar o projeto cooperativo com base nestas competncias e identicar os parceiros que melhor se enquadram neste projeto (busca e seleo). Regras comuns de cooperao, riscos e o como ocorrer compartilhamento dos resultados tambm so denidos neste estgio; Operao: executar o projeto cooperativo de forma eciente e efetiva. Mecanismos de cooperao e medidas de desempenho tem papel importante neste estgio; Evoluo: permitir uma pequena alterao de membros ou redistribuio de competncias entre os membros. Mudanas maiores em objetivos, princpios ou mudanas de muitos parceiros levam a uma nova formao; Dissoluo: como os projetos dentro de uma OV tem tempos de vida limitados, quando nalizados as relaes de cooperao precisam ser dissolvidas.
103
Para a realizao do conceito de redes colaborativas de organizaes, trs prcondies so essenciais: a colaborao entre os parceiros envolvidos em um nvel que vai alm da simples troca de mensagens de correio eletrnico; a conana, pois parceiros desejam compartilhar informaes; e que todas (ou quase todas) as atividades colaborativas realizadas sejam feitas via rede de computadores [Rabelo 2008]. No cenrio das redes de organizaes, onde as alianas so volteis e o uxo de colaborao algumas vezes gerado e conhecido dinamicamente, de acordo com o processo de negcio requerido, infra-estruturas para negcios colaborativos mais exveis so necessrias. A infra-estrutura deve ser transparente e adaptativa, de acordo com as condies do ambiente de negcio e o nvel de autonomia das organizaes. Segurana e interoperabilidade so dois requisitos no funcionais que tambm devem ser considerados nesta infra-estrutura [Rabelo 2008]. 3.2.2. Redes Nacionais de Pesquisa e Educao As Redes Nacionais de Pesquisa e Educao (National Research and Education Network NREN) so caracterizas por interconectar principalmente entidades de educao superior (universidades e institutos de pesquisas), porm outras quatro excees podem pertencer a uma NREN, escolas de ensino mdio e fundamental, museus e bibliotecas, hospitais e departamentos do governo. Segundo a associao TERENA (Trans-European Research and Education Networking Association)2 (2008), crescente, no s na Europa, o nmero de pases interessados em desenvolver e aprimorar suas redes nacionais (NRENs). Na Europa, catalogados na associao TERENA, so 46 pases que possuem estas redes. Dados do consrcio da APAN (Asia-Pacic Advanced Network)3 indicam 15 redes acadmicas na sia e Pacco, j na Amrica Latina 15 pases so membros da Rede Clara (Cooperacin Latino Americana de Redes Avanzadas)4 . Outras duas importantes redes nacionais so a Internet2 (Estados Unidados)5 e a CANARIE (Canad)6 . No Brasil, tem-se a Rede Nacional de Ensino e Pesquisa (RNP) que oferece uma infra-estrutura de rede Internet (rede Ip) que conecta as principais universidades e institutos de pesquisa do pas, cerca de 600 instituies, beneciando-se de um canal de comunicao rpido e com suporte a servios e aplicaes avanadas. Baseada em tecnologia de transmisso ptica, a rede Ip est entre as mais avanadas do mundo e possui conexo com redes acadmicas estrangeiras, tais como Clara (Amrica Latina), Internet2 (Estados Unidos) e Gant (Europa) 7 . Alm do servio de conectividade de rede com uso de tecnologias avanadas, as NREN oferecem uma diversidade de servios para os parceiros que participam destas redes colaborativas, entre estes destacam-se: ferramentas avanadas para comunicao instantnea interativa, tais como videoconferncia, Telefonia IP e help desk; centro de
2 http://www.terena.org 3 http://www.apan.net 4 http://www.redeclara.net 5 http://www.internet2.edu 6 http://www.canarie.ca 7 http://www.rnp.br
104
atendimentos a incidentes de Segurana; servios de vdeo digital, tais como vdeo sob demanda e transmisses de vdeo ao vivo; ferramentas de planejamento e operao de redes que monitoram o funcionamento de todos os enlaces da NREN; infra-estrutura de chaves pblicas (ICP), servios de autenticao e de autorizao para federaes de servios; servios de sincronizao de relgios e Grid Services. O portfolio de servios oferecidos pelas NREN tem crescido a cada ano. Na RNP, os servios bsicos de conectividade oferecidos para as instituies usurias da rede Ip incluem ampla largura de banda de acesso, com uso de tecnologias avanadas como IPv6 e multicast e atendimento a incidentes de segurana. A RNP tambm disponibiliza ferramentas avanadas de comunicao, tais como videoconferncia e telefonia pela Internet (voz sobre IP), servios de vdeo digital (vdeo sob demanda, transmisso de vdeo ao vivo e transmisso de sinal de TV), service desk, servio de sincronizao de relgio e Internet Data Center8 . Desde 2008, a RNP rene instituies de ensino e pesquisa brasileiras em uma rede de conana chamada Federao CAFe - Comunidade Acadmica Federada, na qual cada instituio parceira responsvel por autenticar e prover informaes de seus usurios para provedores de servios autorizados pertencentes a esta federao9 . 3.2.3. Redes Colaborativas Orientadas a Servio Arquitetura Orientada a Servios Um conceito que vem se solidicando para a construo de redes colaborativas o de Arquitetura Orientada a Servios (AOS) [Rabelo 2008]. Os componentes fundamentais de uma AOS so os servios que implementam interfaces bem denidas. As aplicaes distribudas so construdas ento atravs da composio e combinao dos vrios servios disponveis [Weerawarana et al. 2005]. A AOS constituda de relaes entre trs tipos de participantes: o diretrio para registro de servios, repositrio que utilizado para publicar e localizar as interfaces dos servios; o provedor de servios, entidade responsvel por publicar as interfaces dos servios providos por esta no registro de servios e tambm responsvel por atender as requisies originadas pelos clientes; e o cliente, aplicao ou um outro servio que efetua requisies a um servio. Cada participante da arquitetura pode ainda assumir um ou mais papis, podendo ser, por exemplo, um provedor e um cliente de servios [de Mello et al. 2006]. Os participantes se relacionam atravs de trs operaes: publicar, localizar e invocar, como pode ser visto na Figura 3.2. Inicialmente, o provedor de servios publica a interface do seu servio junto ao diretrio para registro de servios. Desta forma, em algum momento posterior, o cliente pode efetuar uma busca por um determinado servio (operao localizar), especicando as caractersticas desejadas, no diretrio de registros. Se o servio existir, a interface e a localizao do respectivo servio so retornados para o cliente. Por m, o cliente efetua uma invocao ao provedor do servio (operao invocar) [de Mello et al. 2006].
8 Mais 9 http://eaa-ufc.ufc.br/wiki/index.php/Federa%C3%A7%C3%A3o_CAFe
detalhes sobre esses servios podem ser obtidos em http://www.rnp.br/servicos
105
Descrio do servio
Registro de servios Localizar Publicar
Descrio do servio
Cliente
Invocar
Provedor de servios Servio
Figura 3.2. Interao entre as entidades da AOS[de Mello et al. 2006]
[Erl 2006] apresenta uma srie de princpios que os servios devem atender: servios abstraem a lgica de implementao. Devido a isto, o contrato do servio (sua interface) a nica parte visvel para o mundo externo; servios compartilham um contrato formal que descreve o que o servio faz e quais os termos da troca de informaes entre os servios; servios so fracamente acoplados pois so projetados pra interagir sem a necessidade de dependncias fortes e o conhecimento interno de suas estruturas; servios so autnomos j que a lgica governada por um servio permanece em um contorno explcito e este no dependente de outros servios para executar sua governana; servios podem ser compostos; servios permitem serem descobertos, pois seus contratos podem estar expostos em um repositrio; servios so reutilizveis; servios no fazem o gerenciamento de estado (stateless). Os Servios Web (Web Services) so uma das principais tecnologias existentes para a implementao de aplicaes seguindo a AOS e so componentes de software projetados para prover suporte s interaes entre aplicaes heterogneas sobre a Internet. As principais caractersticas que tornam os Servios Web uma tecnologia integradora e promissora so [de Mello et al. 2006]: (1) possuem um modelo fracamente acoplado e transparente que garante a interoperabilidade entre os servios, sem que estes necessitem ter o conhecimento prvio de quais tecnologias esto presentes em cada lado da comunicao; (2) so auto-contidos10 e auto-descritivos11 ; (3) usam padres abertos como o
adoo dos Servios Web no implica uso de qualquer aplicativo adicional no cliente ou no servidor. Para o cliente, basta uma linguagem de programao que d suporte a XML e ao HTTP, por exemplo. Para o servidor, basta que o mesmo possua um servidor de aplicao para disponibilizar os servios. 11 Tanto o cliente como o servidor s precisam se preocupar com o formato e com o contedo das mensagens a serem trocadas, abstraindo os detalhes de implementao (fraco acoplamento).
10 A
106
HTTP e o XML, permitindo assim que aplicaes sejam integradas atravs de linguagens e protocolos amplamente aceitos, e (4) tornam mais fcil a composio ou a combinao de diferentes provedores, visando formar servios mais complexos e sosticados. Para tornar possvel as trs operaes fundamentais de uma AOS - publicar, localizar e invocar - a arquitetura de Servios Web adota as seguintes tecnologias baseadas em XML: a Web Services Description Language (WSDL) [Booth e Liu 2007], linguagem padro usada para descrever as funcionalidades dos Servios Web; o Universal Description, Discovery and Integration (UDDI) [Clement et al. 2004], servio padro para publicao e localizao de Servios Web; e o SOAP [Mitra e Lafon 2003], protocolo usado para a invocao do servio. Segundo [Rabelo 2008], como as redes colaborativas so caracterizadas como um sistema aberto, que faz uso da Internet, as vantagens inerentes dos Servios Web tornam esta tecnologia ideal para compor a camada de infra-estrutura que dar o suporte para as trocas de informaes, que fornecer as funcionalidades de coordenao e de colaborao e que permitir que relaes de negcios e de parcerias entre empresas e instituies de ensino e pesquisa sejam estabelecidas de maneira simples e dinmica. Com o uso desta tecnologia, as aplicaes podem executar mltiplos saltos, envolvendo mltiplas operaes em vrios servios, e, alm disso, estas podem ultrapassar os limites impostos pelos ltros de pacotes tradicionais (rewalls). Um conceito fundamental para a compreenso das infra-estruturas de suporte s redes colaborativas o de federao de servios, denido no contexto deste trabalho como: uma forma de associao dos parceiros de uma rede colaborativa que usa um conjunto comum de atributos, prticas e polticas para trocar informaes e compartilhar servios, possibilitando a cooperao entre os membros da federao12 . Uma federao basicamente composta por consumidores de servios (clientes), provedores de servios (Service Provider - SP) e provedores de identidades (Identity Provider - IdP). Provedores de servios so entidades que disponibilizam servios para os parceiros da federao, consumidores de servios so entidades ou servios que usufruem dos servios disponibilizados nos provedores de servios e provedores de identidade so entidades que atuam como um servio de autenticao para consumidores de servios e como servio de autenticao da origem do dado para provedores de servios. IdPs atuam como Terceiras-Partes Conveis (TPC) tanto para o consumidor quanto para o provedor de servios.
Conceitos e Modelos de Computao usados em Redes Colaborativas Segundo [Camarinha-Matos 2005], a ampla adoo da arquitetura orientada a servios, a difuso das redes colaborativas, a popularizao dos conceitos Web 2.0 e Enterprise 2.0 e o sucesso das tecnologias associadas e estes conceitos tem impactado profundamente nas atividades colaborativas das organizaes e no processo de desenvolvimento de software. O termo Web 2.0 foi criado em 2004 pela empresa OReilly Media para designar uma segunda gerao de comunidades e servios que tem como conceito a Web como
nas denies de federao encontradas na Federao Incommon (http://www. incommonfederation.org/), WS-Federation[WS-FEDERATION 2006] e [Rabelo 2008].
12 Baseado
107
plataforma e o software com servio13 . A Web 2.0 visa expandir radicalmente a idia do acesso informao atravs de um conjunto transparente de plataformas computacionais que permite uma fcil, rpida e inteligente forma de encontrar o que se deseja independentemente de onde, em que formato e com qual semntica a informao se encontra [Cancian 2009]. Segundo o precursor do uso do termo, Web 2.0 pode ser denida como: [. . . ] a mudana para uma Internet como plataforma e um entendimento das regras para obter sucesso nesta nova plataforma. Entre outras, a regra mais importante desenvolver aplicativos (servios) que aproveitem os efeitos de rede para se tornarem melhores quanto mais so usados pelas pessoas, aproveitando a inteligncia coletiva [OReilly 2005]. Na Web 2.0, os softwares funcionam pela Internet (via Web), no somente instalados no computador local, de forma que vrios programas podem se integrar formando uma grande plataforma. Exemplos de tecnologias e ferramentas Web 2.0 so: wikis, blogs, as redes sociais, social bookmarks, RSS e os servios do Google, tais como GoogleDocs, GoogleMaps e Gmail. Na Web 2.0, os softwares funcionam como um servio. Neste modelo de negcio o software, oferecido como um servio (Software as a Service - SaaS), est hospedado em um provedor de servios e acessado pelos usurios atravs da Internet (ver Figura 3.3), sem a necessidade que estes implantem ou mantenham uma infra-estrutura de TI para utiliz-lo [Cancian 2009]. O cliente possui direitos sobre seus dados e sobre o uso do software, mas em nenhum momento precisa adquirir uma licena ou comprar o software como se fosse um produto [Ma 2007]. O acordo comercial estabelecido atravs de um contrato em de nvel de servio (SLA - Service Level Agreement), onde so denidas as condies, valores e responsabilidades entre clientes e provedores.
Provedor de Servios Servio 1 Servio 2 Servio 3 Servio 4 Os servios so acessados via Internet Cliente
SLA
Figura 3.3. Exemplo do Modelo de Negcio SaaS[Cancian 2009]
Aprimorando a tecnologia ASP (Application Service Provider), que tambm oferece servios via Internet, o modelo SaaS envolve tambm conceitos de arquitetura (funcionamento, desempenho, segurana) tpicos de um servio bem construdo. Na tecnologia ASP, um servidor prov servios de software baseados em contratos que envolvem a utilizao, armazenamento e acesso a aplicaes, atravs de um gerenciamento centralizado.
crticos do termo, tais como Tim Berners-Lee, armam que este apenas uma jogada de marketing (buzzword).
13 Alguns
108
Enquanto no modelo SaaS o acesso feito aos servios, ou seja, pode-se selecionar o que ser acessado de maneira desacoplada, no ASP o acesso feito a toda aplicao. Segundo [Mcafee 2006], o termo Enterprise 2.0 refere-se a trazer para as empresas (organizaes) as tecnologias e ferramentas da Web 2.0, possibilitando que parceiros colaborem e compartilhem informaes, provendo a informao certa na hora certa atravs de redes de aplicao, de servios e de dispositivos interconectados. Na Enterprise 2.0, o uso das emergentes plataformas de software social, torna acessvel a inteligncia coletiva transformando-a em uma enorme vantagem competitiva. Siemens e IBM so exemplos de empresas que implantaram em suas redes colaborativas o conceito Enterprise 2.0. De acordo com [Armbrust et al. 2009], no contexto da Web 2.0 e Enterprise 2.0, h uma tendncia de que os dados de usurios - inclusive os prprios sistemas operacionais sejam disponibilizados em servidores remotos, tornando desnecessrio o uso de dispositivos de armazenamento e possibilitando o compartilhamento de tal contedo com qualquer plataforma de acesso Web. Este recente conceito de computao, chamado cloud computing, tem o potencial para transformar uma grande parte da indstria de TI, tornando o software como um servio ainda mais atraente e moldando a forma como o hardware concebido e adquirido [Armbrust et al. 2009]. Cloud computing um termo usado para descrever um ambiente de computao baseado em uma rede massiva de servidores, sejam virtuais ou fsicos e refere-se distribuio de aplicaes como servios (SaaS) atravs da Internet. Essa rede massiva de servidores (hospedada em datacenters) e a infra-estrutura de gerenciamento destes servidores constituem a nuvem (cloud) e os softwares (servios) residem nesta nuvem [Armbrust et al. 2009]. Quando uma nuvem se torna disponvel, um servio vendido como uma utility computing. Utility computing14 modelo de provisionamento de servios em que um prestador de servios torna recursos de computao e gesto das infra-estruturas disponveis para o cliente, conforme necessrio, sem cobrar uma taxa xa, mas sim o quanto foi consumido e utilizado [Buyya et al. 2008]. Segundo [Armbrust et al. 2009], cloud computing a soma de SaaS com utility computing. Para [Hayes 2008], os conceitos cloud computing, utility computing, software as a service, Internet as platform (Web 2.0), tem um elemento em comum, a mudana na geograa da computao. Esta mudana ir afetar todo o ecossistema computacional, usurios, desenvolvedores de software, gerentes de TI e at mesmo a indstria de hardware. Visto como uma plataforma essencial para distribuio de servios, cloud computing oferece um ambiente que permite o compartilhamento de recursos, tais como o compartilhamento de infra-estruturas escalveis, middleware e plataformas de desenvolvimento de aplicaes e processos de negcios (aplicaes de valor agregado). Um dos principais objetivos da cloud computing usufruir da Internet e da Intranet para compartilhar recursos para os seus usurios. Segundo [Zhang e Zhou 2009], tipicamente, quatro tipos de recursos podem ser providos e consumidos na Internet: recursos de infra-estrutura, que incluem poder computacional, capacidade de armazenamento (storage); recursos de software, incluindo recursos de middleware e plataformas de desenvol14 Tambm
conhecido como on-demand computing.
109
vimento de aplicaes; recursos de aplicaes (servios ou mashups15 ), que so providos atravs do modelo de SaaS ou mashups de aplicaes de valor agregado; e processos de negcios, que inclui os Servios Web compostos e aplicaes orientadas a negcios que possibilitem reuso, provisionamento e composio. De acordo com [Zhang e Zhou 2009], a virtualizao e a AOS so as duas tecnologias chaves para o sucesso da cloud computing. A virtualizao a tecnologia central que permite compartilhar recursos na nuvem, esta tecnologia trata como as imagens de sistemas operacionais, middlewares e aplicaes so criadas e alocadas corretamente em mquinas ou em fatia de pilhas de servidores. As imagens podero ser transferidas e colocadas no ambiente de produo sob demanda. Como AOS apropriada para tratar a componentizao, a reusabilidade e a exibilidade de softwares, com intuito de conceber plataformas de Cloud Computing escalveis, a AOS deve ser adotada para prover componentes reutilizveis, interfaces padronizadas e solues arquiteturais extensveis. Segundo os autores, conceber plataformas de cloud computing simples (compartilhamento de um nico tipo de recurso) fcil, entretanto, construir uma arquitetura de cloud computing escalvel e que suporte o compartilhamento dos quatros tipos de recursos ainda uma tarefa desaadora.
Exemplos de Redes Colaborativas Orientadas a Servio Conforme descrito [Rabelo et al. 2008], o projeto ECOLEAD desenvolveu um middleware para redes colaborativas de organizao baseado no modelo de negcio SaaS. A infra-estrutura desenvolvida no projeto aplica a abordagem de AOS e a tecnologia de servios web foi a escolhida para implementar a infra-estrutura proposta. Um conceito fundamental na infra-estrutura ECOLEAD o de federao de servios, sendo que todos os servios relacionados com uma rede colaborativa so membros da federao . Logo, servios podem ser encontrados, usados e compartilhados entre os parceiros da rede colaborativa. Os conceitos Web 2.0 e Enterprise 2.0 tambm foram adotados na concepo da infra-estrutura do projeto ECOLEAD uma vez que os servios compartilhados pela Internet (via web) so fceis de serem localizados, podem ser combinados em processos de negcios complexos, so acessados e contabilizados sob demanda (utility computing), proveem suporte a computao mvel e alguns servios oferecidos so especcos para trabalhos colaborativos que contribuem para a inteligncia coletiva [Rabelo 2008]. No contexto das Redes Nacionais de Pesquisa e Educao, pode-se citar como exemplo de infra-estrutura orientada a servio para redes colaborativas o middleware para gerenciamento de acesso e identidade da rede colaborativa Internet216 que garante que somente pessoas autorizadas tero acessos aos servios da rede. Neste middleware, o mesmo servio de gerenciamento de identidade usado para acessar todas as aplicaes. Os principais projetos em desenvolvimento no contexto deste middleware so: o Shibbolmashup um novo gnero de aplicao web interativa ou web site que usa contedo de mais de uma fonte de dados externa para criar um novo servio completo, pode ser considerada uma aplicao da Web 2.0 [Merrill 2006]. 16 http://www.internet2.edu/middleware
15 Um
110
let17 , a ferramenta de gerenciamento de grupos Gouper18 e a plataforma para trabalhos colaborativos COmanage19 . Os membros da rede colaborativa da Internet2, j usufruem das funcionalidades deste middleware atravs da federao de servios InCommon. A misso desta federao criar e prover suporte a um framework comum para o gerenciamento convel de acesso a recursos compartilhados para os parceiros da Internet2. Em abril de 2009, a comunidade desta federao era formada por mais de 3.6 milhes de usurios nais. Como a base do middleware Internet2 e da federao InCommon consistem em sistemas de gerenciamento de identidade federada, estes esto descritos em mais detalhes na seo que trata deste assunto (Seo 3.4.1). 3.2.4. Estudos de casos Esta seo descreve dois cenrios de uso ctcios de redes colaborativas. O primeiro consiste na seleo de parceiros para composio de uma organizao virtual e outro envolve o provimento de servios de acesso a bibliotecas digitais em redes nacionais de pesquisa e ensino. Aspectos de segurana nestes cenrios sero analisados nas Sees 3.3 e 3.4.
Cenrio 1: Rede Colaborativa TechPlast - Busca e Seleo de Parceiros A rede colaborativa de organizaes TechPlast um cluster de pequenas e mdias indstrias do setor de plsticos do Sul do Brasil que colaboram para aprimorar sua participao de mercado. Entre estas esto indstrias de embalagens plsticas, de peas plsticas injetadas, de mquinas injetoras de plstico, prestadoras de servios e fornecedoras de matria prima. Esta rede colaborativa foi criada como uma soluo estratgica para atender ao mercado que demanda tempos de entrega curtos, preos baixos e produo acima da capacidade das micros e pequenas empresas da regio. Na TechPlast, um ambiente para gerao de Organizaes Virtuais (OVs) propicia o estabelecimento de alianas temporrias e a conduo de negcios colaborativos de forma mais eciente, gil, exvel e convel. Este ambiente no esttico sendo que novas organizaes podem entrar e outras podem deixar a rede. Cada OV criada atua como uma entidade de grande porte capaz de atender uma oportunidade negcio que no poderia ser atendida por somente uma das organizaes. Cada membro da OV mantm sua independncia e autonomia podendo inclusive fazer negcios fora da rede TechPlast. A infra-estrutura para negcios colaborativos da TechPlast est baseada nos conceitos e tecnologias mais modernos da rea de TI, tais como Enterprise 2.0, SaaS, Federao de Servios e Servios Web . Como as alianas nas OVs so volteis e o uxo de colaboraes em alguns casos denido dinamicamente de acordo com os requisitos do processo de negcios, a infra-estrutura oferece diferentes funcionalidades (modeladas como servios) que podem ser selecionados sob demanda para cada tipo de negcio. Os participantes da rede TechPlast fazem parte da Federao de Servios e podem tanto desenvolver e disponibilizar servios (atuando como provedores de servios), quanto usu17 http://shibboleth.internet2.edu 18 http://grouper.internet2.edu/ 19 http://middleware.internet2.edu/co/
111
fruir dos servios bsicos desenvolvidos para prover suporte as atividades chaves das fases do ciclo de vida de uma OV (consumidores de servios), tais como: o servio de busca e seleo de parceiros da OV, os servios CSCW (Computer Supported Cooperative Work)20 , o motor de busca de conhecimentos, o motor de execuo de processos de negcios (automticos) e o servio de gerenciamento de processo de negcio interativo ( processos automticos combinados com processos que requerem interao humana). No ambiente de gerao de OVs da TechPlast, todas as organizaes esto aptas a receber uma oportunidade de negcios (ON) e a organizao que a recebe assume a funo de Gerente da OV. O gerente da OV atua como broker independente e este que inicia o processo de busca e seleo de parceiros, o que signica que diversas oportunidades de negcios podem estar sendo tratadas na rede e que um parceiro pode estar envolvido em diferentes ONs simultaneamente (ver Figura 3.4).
Organizao Virtual 2 Organizao Virtual 1 Organizao Virtual 3
ON ON
Gerente OV Gerente OV
ON
Gerente OV
VBE
Figura 3.4. Formao de Organizaes Virtuais na TechPlast
Com base na tecnologia de Servios Web, o servio Universal Description, Discovery and Integration (UDDI) [Clement et al. 2004] utilizado para localizar parceiros potenciais para formao de uma OV. Cada organizao publica no UDDI informaes detalhadas sobre os servios que esta prov, como funcionalidades, competncias e reas de negcio relacionadas com cada servio (p.ex., fabricantes de peas plsticas injetadas, fabricantes de embalagens plsticas, fornecedoras de matria prima, etc), possibilitando assim ao gerente da OV localizar quais organizaes podero vir a ser parceiros de negcios. O gerente da OV responsvel por gerar um conjunto de possveis combinaes de OVs, avaliar cada possibilidade de combinao e um representante humano da organizao elege a combinao mais apropriada usando como critrio, por exemplo, prazo de entrega mais curto, preo baixo e conana nos parceiros (reputao). Uma vez selecionados os parceiros da OV, necessrio o estabelecimento de relaes de conana entre os mesmos. Essas relaes garantiro a autenticao dos parceiros, permitindo que o gerente da OV atribua os papis que cada organizao desempenhar.
20 Por exemplo, videoconferncia, telefonia IP, gerenciadores de projetos, Wikis, Web syndication e fruns
de discusso.
112
Cenrio 2: Rede Colaborativa de Ensino e Pesquisa do Brasil (RNP) - Acesso a Servios de Bibliotecas Digitais
A RNP a rede nacional de ensino e pesquisa que congrega as principais instituies de ensino e pesquisa do Brasil e que mantm cooperao com redes nacionais de outros pases. Esta rede colaborativa possui uma Federao de Servios (CAFe) que rene os provedores de identidades das instituies participantes da rede e provedores de servios que so as prprias instituies e outras entidades parceiras tais como rgos de fomento, editoras e empresas que oferecem descontos para estudantes e professores. Atualmente, 13 instituies so membros da federao e outras 7 esto em fase de preparao. Dentre os servios que podem ser oferecidos na federao destacam-se: servio de acesso s bibliotecas digitais das instituies, servios de trabalhos colaborativos (telefonia IP, videoconferncia), servios de ensino a distncia, servio de acesso ao Portal Peridico da CAPES, servio de monitoramento de rede, servio de grids e servio de hospedagem de equipamentos e servidores. Um cenrio de uso desta rede colaborativa exemplicado a seguir. Cada membro da federao possui um provedor de identidade responsvel por auxiliar o gerenciamento de identidades da instituio. Os membros da federao, atravs de provedores de servios, podem oferecer servios de acesso as suas bibliotecas digitais. Neste exemplo, a prpria RNP pode ter um provedor de servios que oferea um Servio Web para a busca avanada de artigos, monograas e teses em todas as bibliotecas digitais da federao, retornando assim o maior nmero de ocorrncias possveis. O servio consiste basicamente de uma interface, a qual interage com o usurio, um motor de buscas avanado, responsvel por realizar consultas em bases locais, remotas ou ainda invocando outros Servios Web, e um visualizador de contedos.
3.3. Questes de segurana em redes colaborativas

A colaborao entre diferentes parceiros passa pela ativao de uma srie de funcionalidades dessas organizaes, isto , envolve o atravessamento de vrias camadas de segurana. Como os limites administrativos precisam ser transpassados, os processos de negcios estaro sob diversos modelos administrativos e tambm sob diversos mecanismos e tecnologias de segurana. Cada domnio transposto por um processo de negcio, pode prover seu prprio conjunto de credenciais de segurana, tomando como base suas tecnologias subjacentes de segurana e suas polticas de segurana e de negcios [de Mello et al. 2005]. Alm dos Servios Web desempenharem um papel importante para prover interoperabilidade na concepo de sistemas distribudos, estes possuem uma srie de mecanismos, denidos atravs de especicaes padronizadas e abertas, que visam agregar segurana e conabilidade s aplicaes que os utilizam. Entretanto, as especicaes atualmente existentes so insucientes para atender aos requisitos de segurana de sistemas dinmicos. Em particular, os aspectos mais ligados ao dinamismo das redes colaborativas como autenticao e autorizao atravs de diferentes domnios de segurana, a negociao de polticas de QoP e a incidncia de churn requerem a concepo de novos mecanismos para oferecer um nvel mais adequado de proteo aos sistemas.
113
Em redes colaborativas, o uso de padres para o formato e o transporte das mensagens, ou at mesmo para implementar mecanismos de segurana no garante interoperabilidade. Sempre que houver organizaes autnomas envolvidas, estas podem impor diversas restries adicionais que podem dicultar ou at mesmo impedir a comunicao. Em particular, tipicamente, cada organizao de uma rede colaborativa possui autonomia para denir seus requisitos de segurana. Quais dados so considerados sensveis, quais os tipos de credenciais que devem ser apresentados pelos parceiros, quais os algoritmos criptogrcos que devem ser usados para quais informaes, so algumas das variveis que podem ser denidas pelas organizaes. No cenrio descrito acima, ca claro que quando duas organizaes precisam se comunicar, mesmo que usem uma tecnologia que permita interoperabilidade, como os Servios Web, pode ser que a comunicao seja impedida porque os requisitos de segurana das organizaes no so compatveis. Por exemplo, uma organizao pode considerar uma certa informao altamente sensvel e exigir que as mensagens contendo essa informao sejam cifradas, enquanto a outra pode ter o suporte ao mesmo algoritmo criptogrco, ou nem sequer considerar a mesma informao sigilosa. A situao pode car ainda mais complexa se no forem apenas duas organizaes mas sim um conjunto de colaboradores provendo servios para uma composio. Nessa situao, gerenciar a compatibilidade de requisitos de segurana se torna uma tarefa ainda mais difcil, principalmente quando se deseja um alto dinamismo na formao dessas composies de servios [Bger et al. 2009]. O uso de polticas de qualidade de proteo (QoP) apresenta-se como soluo para amenizar tais diculdades. A denio de poltica de QoP empregada neste trabalho a de um documento emitido por uma organizao que expressa formalmente um conjunto de requisitos de segurana (condencialidade, integridade e autenticidade) que deve ser satisfeito a m de utilizar um dado servio provido pela organizao. H outros tipos de polticas relacionadas a segurana, que no entanto no devem ser confundidas com QoP, como as polticas de autorizao ou controle de acesso. Solues para o problema da vericao de compatibilidade entre os requisitos de segurana dos parceiros que necessitam cooperar em uma rede colaborativa sero apresentadas em detalhes na Seo 3.4.3. Um outro problema importante relacionado vericao de compatibilidade de requisitos de segurana, e que tambm pode ser facilitado com o uso de polticas, a aplicao dinmica dos mecanismos de segurana. Enquanto no momento da formao da composio de servios preciso vericar se os colaboradores possuem suporte e permitem as mesmas tecnologias de proteo, durante a execuo da composio preciso garantir que em cada comunicao os parceiros apliquem os mecanismos de segurana corretamente, dependendo do servio que for invocado, isto , a congurao dinmica da aplicao dos mecanismos de segurana. Concretizar a autenticao e a autorizao distribuda de forma transparente em sistemas complexos como as redes colaborativas uma tarefa muito rdua, diretamente afetada pela escalabilidade. Em tais sistemas as entidades, sejam estas clientes ou provedores de servios, se fazem presentes atravs de diferentes domnios administrativos e de segurana. Neste cenrio, trs barreiras a serem transpostas so: a heterogeneidade das infra-estruturas de segurana, presentes nos diversos domnios corporativos, o estabeleci-
114
mento de relaes de conana entre entidades desconhecidas e o gerenciamento de identidades feito tanto por provedores de servios quanto por clientes [Camargo et al. 2007]. Para isto, so necessrios tanto padres altamente difundidos, com abstraes sucientes para esconder as diferentes tecnologias, quanto modelos que contribuam para integrao de tais padres. Em sistemas distribudos, os modelos usuais de autorizao se apiam em uma autoridade de autenticao para mediar a conana entre partes desconhecidas (terceira parte convel). Desta forma, as interaes entre partes distintas (cliente e provedor) so alcanadas pela apresentao de credenciais emitidas por uma autoridade de autenticao em quem ambas as partes conam. Em ambientes mais complexos como as redes colaborativas, este modelo de simples intermediao se apresenta como limitado, j que cada domnio possui suas prprias polticas, infra-estruturas de segurana e ainda uma forma particular de gerenciar as identidades dos principais [Jsang et al. 2005]. Por exemplo, quando um membro de uma rede acadmica de ensino e pesquisa deseja acessar, de forma segura, recursos presentes em provedores de servios em diferentes universidades, este deve se liar a cada um desses provedores e fornecer dados de identicao e atributos prprios por meio dos quais o cliente ter sua identidade autenticada ao tentar acessar os recursos. Para evitar esses problemas, os provedores e clientes que usem a mesma tecnologia de segurana podem se agrupar em domnios (federaes de servios) para compartilhar informaes e conar em uma terceira parte para mediar a autenticao. Alm disso, domnios distintos podem formar relaes de conana entre si, permitindo que a autenticao em um possa ser transposta para os domnios associados. Essa forma da autenticao segue a abordagem Single Sign On (SSO), contudo, mesmo partindo do pressuposto de que as relaes de conana j estejam previamente estabelecidas, ainda assim h diversos desaos para transpor as credenciais de autenticao, pois domnios administrativos possuem autonomia para decidir quais polticas e tecnologias de segurana sero utilizadas, ou seja, precisa haver suporte a autenticao SSO mesmo diante de parceiros que usem diferentes tecnologias de segurana [de Mello et al. 2009b]. Um problema a ser tratado no gerenciamento de identidades a questo da privacidade das informaes. Em um cenrio ideal, os usurios poderiam exercer o direito de determinar como suas informaes sero manipuladas, informando quais informaes podero ser compartilhadas com terceiros, como esse compartilhamento deve ser feito e tambm indicando o perodo de tempo o qual essas informaes podero car disponveis nos sistemas. O projeto Shibboleth [Shibboleth 2005] apresenta uma preocupao com a privacidade das informaes dos usurios, denindo como requisitos da arquitetura, meios para gerenciar quais informaes um stio origem ir transferir para um stio destino, com o consentimento do usurio. Com o crescimento do uso de Servios Web, a questo da privacidade ganha um foco ainda maior, visto que um uxo de negcios pode ser composto por diversos Servios Web, ultrapassando assim diversos domnios administrativos e de segurana. Por exemplo, para fazer parte de uma organizao virtual, uma organizao precisa satisfazer a requisitos especicados, como ter uma certa capacidade de produo disponvel ou ser capaz de atender a determinados prazos ou oramento. Em casos como este, surge naturalmente uma preocupao com a privacidade dos atributos usados na busca e seleo de parceiros de uma OV, particularmente quando existem infor-
115
maes sensveis cuja revelao pode prejudicar a organizao face a seus concorrentes ou colaboradores. Nesse contexto, torna-se importante oferecer mecanismos que possibilitem a uma organizao tomar parte no processo de busca e seleo de parceiros sem com isso comprometer sua posio perante os demais. A especicao Web Services Architecture da W3C [W3C 2004a] apresenta algumas consideraes sobre a privacidade na arquitetura dos Servios Web, indicando que tal assunto ainda no est completamente solucionado e necessita de um estudo mais aprofundado. Conforme constatado em [Carminati et al. 2005], geralmente, um provedor de servios tem preocupaes de segurana com relao aos provedores ou servios com os quais este coopera durante um processo de negcio. Em uma aplicao distribuda o termo conana pode assumir diferentes interpretaes. Em segurana o mais usual como garantir que as informaes foram enviadas por uma origem convel, ou seja, a preocupao recai sobre as propriedades de autenticidade e integridade das mensagens. Porm, a conana pode ser entendida como a probabilidade subjetiva que um indivduo A espera que um indivduo B execute uma dada ao na qual depende o bem-estar de A [Gambetta 1988, Sabater e Sierra 2005]. A conana possui papel fundamental tanto na fase de criao quanto nas fases de operao e manuteno das redes colaborativas. A dinmica intrnseca das Organizaes Virtuais torna a seleo de parceiros uma tarefa difcil do ponto de vista da segurana. Alm da necessidade de combinar polticas e adequao dos mecanismos de segurana, necessrio garantir que somente entidades conveis devero ser selecionadas para compor a OV. Para o gerente de uma OV, selecionar entidades com as quais este interagiu anteriormente no chega a ser uma tarefa complexa, porm selecionar uma entidade com quem este nunca interagiu e determinar se esta convel ao ponto de inclu-la em uma OV uma deciso difcil de ser tomada. Por este motivo, sistemas de reputaes geralmente so combinados com modelos de redes de conana permitindo assim, por exemplo, que um gerente possa consultar em entidades conveis a reputao de uma determinada entidade. Em algumas redes colaborativas, assume-se que o estabelecimento de conana um processo manual que exige o cumprimento de diversos requisitos burocrticos antes da criao da relao de conana. Por exemplo, para que uma Universidade seja um Provedor de Identidade em uma federao de servios de um rede de ensino e pesquisa, como a InCommon, necessrio que a entidade cumpra um conjunto de requisitos, sendo alguns destes relacionados necessidade de certicados digitais emitidos pela Autoridade Certicadora da Federao. Outros trabalhos tratam a conana de uma maneira mais dinmica e voltil. Por exemplo, em OV para executar um determinado processo de negcios necessrio que diversos provedores de servios se agrupem e, uma vez que o processo tenha sido cumprido, tal relao desfeita. A manuteno de uma rede colaborativa est relacionada evoluo da composio do sistema. Estas redes possuem diferentes nveis de dinamismo sendo algumas formadas por entidades que entram e saem da rede com uma grande frequncia e outras que mantm suas entidades quase que inalteradas. O grande desao nestes ambientes manter o progresso das aplicaes mesmo diante do churn, o que requer mecanismos que permitam detectar a sada ou a falha de membros, com conseqente redistribuio de
116
tarefas no sistema e eventual renegociao de parmetros de segurana. Como visto na seo 3.2, as redes colaborativas so geralmente constitudas para atender uma determinada necessidade de negcio e, no caso das Organizaes Virtuais (OV), so desfeitas to logo esta necessidade tenha sido satisfeita. Por outro lado, redes de pesquisa e educao, como a Internet2 e a RNP, constituem redes colaborativas com relaes mais duradoras e com poucas modicaes em sua lista de participantes. Durante o ciclo de vida das redes colaborativas importante garantir que todos os participantes, e somente estes, possam usufruir dos recursos ali presentes. Os modelos discricionrios garantem o acesso de usurios s informaes com base na identidade e nas autorizaes que determinam a forma de acesso que cada usurio est autorizado a realizar sobre cada objeto [Sandhu e Samarati 1994]. Em redes acadmicas tal modelo poderia ser empregado sem grandes transtornos uma vez que a lista de participantes sofre poucas modicaes. Segundo [Blaze et al. 1996], apesar do modelo discricionrio ser amplamente adotado, no o mais adequado para os atuais sistemas computacionais devido a dinmica inerente destes sistemas, com a lista de sujeitos e de recursos em constante modicao, como no caso das Organizaes Virtuais. Por exemplo, uma entidade pode ingressar em diversas OV em intervalos de tempo diferentes ou de forma concorrente. Desta forma, uma entidade precisa garantir aos demais participantes o acesso aos seus recursos, de acordo com a poltica de negcio, enquanto durar a OV. Um membro de uma organizao virtual, alm de autenticar os servios parceiros, costuma, com base nas credenciais apresentadas, denir regras de acesso para limitar as aes desses parceiros. Ou seja, uma poltica de autorizao local pode ser denida e concretizada em cada servio/organizao. Segundo [Lorch et al. 2003a], a maioria das organizaes utiliza linguagens de polticas proprietrias ou que se direcionam somente a algumas aplicaes, causando assim problemas de interoperabilidade para produzir, aceitar e interpretar a informao de autorizao proveniente de diferentes organizaes. Ou seja, modelos fortemente dependentes de um padro de descrio de poltica (casamento sinttico de polticas) no podem ser aplicados nestes ambientes heterogneos [Patterson e Miller 2006]. A Figura 3.5 exemplica um problema de casamento de polticas de autorizao onde se tem declaraes equivalentes mas a comparao entre elas (casamento) s possvel se houver o conhecimento do domnio da aplicao (semntica) pois uma comparao puramente sinttica ir negar o acesso ao recurso [Patterson e Miller 2006]. Tal problema facilmente encontrado no cenrio de redes colaborativas pois envolvem ambientes heterogneos e de domnios administrativos, logo semnticos, distintos. Para que possam colaborar, os servios precisam entrar em um acordo quanto aos protocolos, sintaxes e semnticas de autorizao. No contexto de OVs (Organizaes Virtuais), podem-se considerar trs macro problemas ligados a autorizao e controle de acesso: um relacionado com a denio e casamento semntico de polticas de controle de acesso, a composio e transposio de polticas em servios compostos e a qualidade de proteo da poltica global nestes ambientes colaborativos. Entre as solues mais citadas na literatura esto aquelas baseadas em mapeamento semntico das polticas de segurana usando ontologias, [Patterson et al. 2008],
117
Usurio
Acesso ao servio de VOIP?
Provedor de Servios
Casamento Sinttico?
Aqui um professor da ps graduao do Departamento de Automao e Sistemas.
Deve ser um Professor de Mestrado da Instituio de Ensino
Acesso Negado
Figura 3.5. Exemplo de um problema de casamento sinttico de poltica de autorizao
[Patterson e Miller 2006] [Muthaiyah e Kerschberg 2007] ou de um framework baseado em UCON (Usage Control) para uma soluo que prov suporte a autenticao baseada em contexto em redes colaborativas ad-hoc [Zhang et al. 2006, Zhang et al. 2008]. Estas solues so descritas na Seo 3.4.5. Outros requisitos de segurana trazem a qualidade de proteo necessria para um ambiente de negcios. So estes: a autenticidade, a condencialidade, a integridade e a no-repudiao das transaes entre os servios parceiros [Char e Mezini 2005]. As partes envolvidas necessitam de suporte apropriado para garantir esta qualidade de proteo. Tradicionalmente, o Secure Sockets Layer (SSL), o Transport Layer Security (TLS) e o Internet Protocol Security (IPSec) so algumas das tecnologias que permitem o transporte seguro de informaes. Estas so tecnologias ponto a ponto que criam um canal seguro, atravs do quais os dados podem trafegar. No entanto, em processos de negcios, o roteamento entre mltiplos Servios Web essencial, uma vez que uma mensagem, para atingir o destinatrio nal, passa por diversos ns intermedirios que devem ter acesso apenas a partes especcas das mensagens. Ou seja, a segurana m a m outra necessidade de segurana crtica para redes colaborativas. Segundo [Demchenko et al. 2005], apesar da adoo do padro XML ter sido apontado como uma vantagem para o sucesso dos Servios Web, este traz alguns riscos segurana. A anlise das mensagens XML com entradas volumosas e complexas pode requerer um consumo de recursos computacionais considerveis, e por isso esta caracterstica pode ser explorada por ataques de negao de servio. Alm disso, documentos XML podem conter instrues maliciosas21 que podem alterar o processo de anlise do XML ou conter comandos maliciosos que carregam ameaas s aplicaes nais. Na composio de Servios Web, os processos de negcios executados das redes colaborativas tornam-se ainda mais visveis, expondo suas funcionalidades, seus uxos de negcios, processos, polticas e arquiteturas internas. Como a WSDL exibe os parmetros e mtodos utilizados para acessar os Servios Web, bem como as possveis excees que podem ocorrer, estas, muitas vezes, expem informaes importantes sobre a estrutura
21 Extenses
XML Schema e instrues XQuery ou XPath maliciosas.
118
interna dos servios, trazendo riscos segurana dos Servios Web compostos. Mecanismos de segurana esto sendo propostos para Servios Web, porm, tais mecanismos ainda no contemplam todas as necessidades exigidas na composio de Servios Web [Char e Mezini 2005, Carminati et al. 2005]. Os cenrios apresentados na Seo 3.2.4 compartilham algumas das questes de segurana apresentadas nesta seo. No caso 1, aps encontrar os possveis parceiros que contemplam os requisitos para a determinada oportunidade de negcio, resta selecionar aqueles que possuam boa reputao, podendo estar diretamente relacionada a honestidade dos parceiros ou relacionada a capacidade destes em realizar a tarefa com uma certa qualidade. Uma vez que a conana esteja estabelecida resta ainda decidir sobre os mecanismos e polticas de segurana, presentes em cada um dos parceiros. Mecanismos para gerenciamento de identidades so necessrios para permitir que os mecanismos de autenticao e autorizao dos participantes de uma OV possam lidar com a dinmica inerente deste ambiente. No caso 2, apresentado na Seo 3.2.4, as relaes entre os participantes desta rede colaborativa so mais duradouras e geralmente esto envolvidas entidades renomadas e publicamente respeitadas. Dessa forma, o estabelecimento da conana no chega a ser um grande desao, podendo este ser realizado de forma esttica e em momento que antecede o ingresso da entidade na rede colaborativa. Contudo, neste caso ainda necessrio modelos para gerenciamento de identidade e de atributos. A autenticao nica (Single Sign-On) algo bastante desejvel e isto implica em adaptaes dos mecanismos de autorizao e at casamento de polticas de segurana. Esta seo apresentou os principais desaos de segurana presentes nas redes colaborativas, entre estes, destacam-se: a autenticao SSO em federaes de servios, a preservao da privacidade na busca e seleo de parceiros, o estabelecimento dinmico de relaes de conana entre os membros da rede e provedores de servios. O casamento de polticas de qualidade de proteo diante de domnios administrativos heterogneos, a garantia da segurana das informaes que trafegam entre os membros da rede e autorizao distribuda e exvel so tambm pontos importantes nos desaos de segurana nestes ambientes.
3.4. Solues de Segurana para Redes Colaborativas

Esta seo tem por objetivo apresentar uma sntese do estado da arte relativo segurana em redes colaborativas orientadas a servios. As solues analisadas esto divididas nas seguintes subsees: gerenciamento de identidade (Seo 3.4.1), gerenciamento de conana (Seo 3.4.2), gerenciamento de polticas de qualidade de proteo (Seo 3.4.3), provisionamento de canais seguros (Seo 3.4.4) e autorizao e modelos de controle de acesso (Seo 3.4.5). 3.4.1. Gerenciamento de Identidade O gerenciamento de identidades22 consiste de um sistema integrado de polticas, processos de negcios e tecnologias que permite s organizaes proverem recursos de forma
identidade digital consiste na representao de uma entidade em um domnio especco e geralmente est relacionada a domnios do mundo real.
22 Uma
119
segura, somente aos seus usurios. O gerenciamento de identidade tambm envolve aspectos relacionados com a denio, certicao e gerenciamento do ciclo de vida das identidades digitais, infra-estruturas para troca e validao dessas informaes, juntamente com os aspectos legais. Diversos modelos foram propostos para o gerenciamento de identidades e em [Jsang e Pope 2005, Jsang et al. 2005] apresentada uma breve descrio de alguns modelos. O modelo tradicional de gerenciamento trata a identicao de forma isolada, sendo que o provedor de servios tambm atua como o provedor de identidades e de credenciais (senhas associadas com os identicadores). Neste modelo, os usurios possuem identicadores nicos e especcos para cada servio com o qual interajam. E como consequncia diferentes credenciais so associadas com cada identicador. Com o crescimento da oferta de servios, o gerenciamento de identidades digitais, por parte dos usurios e organizaes, tornou-se uma tarefa rdua. Cada sistema exige um conjunto prprio de informaes para que se possa criar uma identidade digital. Para os usurios muito custoso alimentar bases de dados de diferentes servios, repetindo sempre as mesmas informaes, entretanto a principal diculdade gerenciar o identicador e a senha escolhidos para cada sistema. O modelo de gerenciamento de identidades federadas surgiu para suprir as necessidades apresentadas pelo modelo de gerenciamento tradicional. Neste tipo de ambiente, denido o conceito de domnio, nos quais esto presentes os provedores de servio, de identidades e de credenciais, por exemplo, relacionados a uma determinada empresa. O projeto Liberty Alliance [Liberty 2003a] e o projeto Shibolleth [Shibboleth 2005] so implementaes abertas de modelos de gerenciamento de identidade federada. No ambiente de identidades federadas, so estabelecidos acordos entre os domnios, os quais permitem que identidades locais a um domnio sejam reconhecidas nos demais domnios participantes do acordo. A federao de domnios de identicao d a impresso aos usurios de possurem um identicador nico para todos os domnios que compem a federao. Os usurios podero continuar a manter identicadores locais a cada servio ou mesmo domnio, porm o simples fato de possurem tal identicador permite que estes usurios possam acessar servios presentes em qualquer domnio da federao. No modelo centralizado de gerenciamento, considera-se a existncia de um nico provedor de identidades e de credenciais em uma federao, o qual utilizado por todos os provedores de servios da mesma. Neste modelo um usurio pode acessar todos os servios presentes na federao utilizando um mesmo identicador. Em tese, o modelo se assemelha ao modelo de identidade federada, porm com a diferena de no necessitar do mapeamento de identicadores. A WS-Federation [WS-FEDERATION 2006] um exemplo deste tipo de modelo. A WS-Federation especica o provedor de identidade que tem o objetivo de autenticar os usurios, permitindo que estes usufruam desta autenticao em todos os servio da federao. Em redes de ensino e pesquisa que possuem federao de servios, como por exemplo no cenrio descrito na Seo 3.2.4, a facilidade de uma nica autenticao (Single Sign-On - SSO), permite ao cliente (membro de um domnio da federao) efetuar o
120
processo de autenticao uma nica vez, seja em provedores de servios ou de identidades ou em uma entidade autenticadora centralizada, e usufruir deste processo de autenticao nos demais servios disponveis na rede. Juntamente com a facilidade trazida pela autenticao nica tem-se novos desaos. Do ponto de vista da segurana dos usurios deste sistema, a autenticao nica permite, por exemplo, que provedores de servios entrem em comum acordo para rastrear as atividades de um determinado usurio, ferindo assim sua privacidade. J para os provedores de servios, os novos desaos apresentados esto voltados para a gerncia das relaes de negcio entre os provedores parceiros, visto que cada sistema participante do negcio possui suas prprias polticas de negcio, de segurana e administrativas. Por exemplo, como garantir que os controles de autenticao e de acesso aplicados em um domnio sero equivalentes aos controles aplicados em um outro domnio? [Damiani et al. 2003] apresenta um estudo sobre os problemas inerentes ao gerenciamento de mltiplas identidades, descrevendo os requisitos necessrios que um sistema de gerenciamento de identidades deve atender. Dentre os requisitos apresentados, alguns esto diretamente preocupados com as necessidades de segurana dos clientes [W3C 2002, Rannenberg 2000], tais como a privacidade, o anonimato, a responsabilidade, a interoperabilidade das identidades, etc.
Projeto Shibboleth O projeto Shibboleth23 uma proposta conjunta da Internet2 e IBM que investiga arquiteturas, estruturas e tecnologias para permitir o compartilhamento e controle de acesso inter-institucional de servios disponveis atravs da Internet, tendo como cenrio de uso o ambiente acadmico[Carmody 2001]. O projeto visa a troca de informaes, de forma segura e interopervel, entre stios web, permitindo que usurios de um determinado campus possam usufruir de recursos presentes em outros campi, garantindo ainda a privacidade dos usurios. O Shibboleth requer que cada stio possua um mecanismo para autenticar seus usurios e usando como suporte tecnologias de segurana subjacentes que j estejam em uso pelas instituies24 . O Shibboleth visa ser uma soluo completa para permitir a transposio de domnios administrativos e de segurana, usufruindo do conceito de uma nica autenticao (SSO) e das relaes de conana. Visando ser uma soluo prtica e no somente um modelo conceitual, a arquitetura do Shibboleth construda sobre padres que j possuem seu uso consolidado, como HTTP, XML, esquema XML, XMLDSign [Bartel et al. 2002], SOAP e SAML (Security Assertion Markup Language). A arquitetura estende o mecanismo para troca de atributos e o SSO do SAML[OASIS 2005b], especicando um provedor de servios SSO e provendo melhorias para a privacidade dos usurios. De acordo com a especicao [Shibboleth 2005], a implementao de um stio composta por trs principais componentes: provedor de identidade - formalmente chamado de origem, responsvel pela manuteno das credenciais e atributos dos usurios;
23 http://shibbolet.internet2.edu 24 Sendo
o ideal o uso de certicados de ICPs, tanto pelos clientes quanto pelos stios
121
provedor de servio - formalmente chamado de destino, gerencia os recursos protegidos, sabendo que os usurios podero acessar os recursos atravs da apresentao de asseres emitidas por um provedor de identidade; o Where Are You From? (WAYF) um servio opcional que pode ser usado pelo provedor de servio para determinar o provedor de identidade preferencial do usurio, interagindo ou no com o usurio para obter tal informao. O WAYF geralmente faz parte do prprio provedor de servio.
Projeto Liberty Alliance O projeto Liberty Alliance consiste em um conjunto de especicaes produzidas por um consrcio de empresas atuantes nas mais diferentes reas, como em telecomunicaes, transportes, universidades, bancos, empresas de software, etc. Tem como principal objetivo criar especicaes abertas para tratar o gerenciamento de identidades, usufruindo do conceito de federao de identidades. Os principais objetivos do projeto so [Liberty 2003a]: (1) prover um padro aberto para permitir uma nica autenticao (SSO), o que inclui a autenticao descentralizada e a autorizao em mltiplos provedores de servios; (2) garantir a privacidade e a segurana das informaes pessoais dos usurios; e, (3)prover especicaes, compatveis com uma grande variedade de dispositivos. Esses objetivos podem ser alcanados quando provedores de servios e clientes agrupam-se baseados em acordos comerciais e nas tecnologias propostas pela Liberty, formando assim os crculos de conana. Tais crculos consistem na federao de provedores de servios e servios de identidade, juntamente com os clientes. No contexto deste projeto, visando garantir a segurana e a privacidade dos clientes, em [Liberty 2003b], um guia de boas prticas para provedores de servios apresentado, frisando que cada empresa ainda dever estar de acordo com a jurisdio a qual est submetida. Neste guia descrito que os servios devero informar, de forma clara, aos usurios quem est coletando suas informaes pessoais, quais informaes esto sendo coletadas e de que forma esto sendo coletadas. Os servios devero acatar as escolhas do usurio, com relao a privacidade de suas informaes pessoais. O usurio deve ter o direito de escolher quais atributos um provedor de servios ter acesso, bem como os meios para indicar o tempo de vida das informaes fornecidas. Identicadores opacos ou pseudnimos foram propostos nas especicaes da Liberty com o intuito de garantir a privacidade dos usurios dos servios. Para cada provedor de servios, o provedor de identidade poder atribuir diferentes pseudnimos relacionados a um mesmo usurio. Dessa forma, o mesmo usurio pode ser representado por diferentes pseudnimos para cada servio que este acessa, garantindo assim a proteo contra o rastreamento de suas transaes.
Transposio de Credenciais de Autenticao Conforme visto anteriormente, as abordagens que proveem suporte a autenticao Single Sign On (SSO) surgiram, justamente, para tornar mais simples as interaes entre clientes
122
e provedores de servios. No entanto, devido a problemas de interoperabilidade, essa abordagem deciente em domnios com diferentes infra-estruturas de segurana. Em [de Mello et al. 2009b], descrito um modelo com suporte a autenticao SSO, isto a transposio de credenciais de autenticao, mesmo diante de domnios administrativos com diferentes tecnologias de segurana. Neste modelo, um principal25 pode acessar recursos em domnios com tecnologias de segurana diferentes do seu domnio de origem, usando para isto as credenciais fornecidas em seu prprio domnio. Para que a transposio possa ocorrer, preciso que haja uma relao de conana entre o domnio de origem e o domnio do provedor do servio [de Mello et al. 2009b]. Se este for o caso, o cliente pode se autenticar no seu domnio de origem e usar essa credencial para acessar o servio no domnio de destino. Essa credencial pode ser expressa em um formato neutro e exvel, como o SAML, a m de facilitar traduo. Ao receber a requisio juntamente com a credencial do cliente, o servio pode invocar um Servio de Traduo de Credenciais (STC) presente no seu domnio para que este traduza a credencial do cliente para o formato suportado pelo servio. De posse da credencial na tecnologia do seu prprio domnio, o servio pode decidir se permite ou no o acesso do cliente [de Mello et al. 2009b]. O STC deve possuir conhecimento de diversos formatos de credenciais de autenticao e das regras para a traduo entre os diversos formatos. Concentrar esses requisitos no STC visa permitir aos servios dos provedores pertencentes ao domnio operar apenas com a tecnologia que for mais conveniente. Os servios de atributos desempenham um papel importante na transposio de credenciais, pois para realizar a traduo de uma credencial para o formato suportado no domnio do provedor, pode ser necessrio obter outras informaes requeridas pela credencial. Esses atributos podem ser requisitados pelo STC a um servio de atributos no domnio do cliente para que os campos da credencial possam ser preenchidos. Os servios de atributos devem ser capazes de gerenciar pseudnimos que so usados pelos clientes para aumentar a sua privacidade e dicultar o rastreamento por parte dos provedores de servios [de Mello et al. 2009b]. H outras abordagens para a transposio de credenciais de autenticao entre diferentes domnios como o Servio de Converso de Credenciais [Canovas et al. 2004, Lopez et al. 2005], que converte credenciais de diferentes formatos para SAML, o CredEx [Vecchio et al. 2005], que fornece armazenamento e troca dinmica de credenciais de diversos tipos mas sem realizar a traduo, os projetos ShibGrid [Spence et al. 2006] e SHEBANGS [Jones e Pickles 2007], que provem autenticao baseada em Shibboleth, usando SAML, para uma infra-estrutura de grids que usa certicados X.509. H ainda outros trabalhos de transposio de credenciais, mas que no lidam com heterogeneidade [Winslett et al. 2002, Lorch et al. 2003b]. 3.4.2. Gerenciamento de Conana Em sistemas distribudos a conana assume papel fundamental nas interaes entre as diversas partes que compem o sistema. O estabelecimento da conana nessas aplica25 Usurios,
processos ou mquinas autorizados pelas polticas do sistema.
123
es pode ser simples quando a aplicao s abrange um nico domnio administrativo, ou seja, quando todas as partes do sistema esto dentro dos limites de uma nica instituio. Porm, para casos em que a aplicao atravesse diversos domnios o estabelecimento da conana entre tais partes torna-se um desao [de Mello 2009]. O estabelecimento da conana pode se dar de forma esttica ou dinmica. No estabelecimento esttico, a conana entre as partes se d em um momento prvio execuo da aplicao e geralmente consiste em uma interao direta entre os administradores de cada parte. As redes acadmicas de pesquisa em sua maioria seguem este tipo de abordagem. Por outro lado, o estabelecimento dinmico da conana ocorre durante a execuo da aplicao, sendo este caso o mais comum em Organizaes Virtuais. Para ambos os casos, estabelecimento esttico ou dinmico, a principal diculdade se faz quando uma das partes envolvidas no possui qualquer informao sobre a outra. Assim, o estabelecimento da conana estaria sendo realizado sem qualquer tipo de respaldo ou garantia, o que poderia desencorajar as partes em estabelecer uma relao de conana e por consequncia, deixariam de atender oportunidades de negcio. Na literatura, as solues apresentadas para tal problema geralmente combinam modelos de conana sistemas de reputaes, que atravs de provedores de opinies permitem s partes vericar se a reputao da outra boa o suciente para que possam estabelecer uma relao de conana. Em [Sabater e Sierra 2005] dito que modelos de conana e reputao podem ser caracterizados como cognitivos ou baseados na teoria dos jogos. Os modelos cognitivos baseiam-se nas noes humanas sobre conana, risco e reconhecimento para assim obter um grau de conana sobre uma certa entidade. Os modelos baseados na teoria dos jogos consideram a conana e a reputao como probabilidades subjetivas. Em ambos os modelos previsto que as informaes de conana colhidas por uma parte possam ser divulgadas para outras partes interessadas, criando assim uma rede de informaes para expressar noes de conana. Em [Gray et al. 2003] apresentada uma arquitetura de segurana que faz uso dos conceitos do mundo pequeno26 [Milgram 1967] e tem por objetivo otimizar a formao e a propagao da conana. A arquitetura apresentada por [Gray et al. 2003] tem como foco aplicaes colaborativas em redes mveis ad hoc e baseia-se nas noes humanas sobre conana, risco e conhecimento. Uma entidade p0 s ir interagir com uma entidade pm se o grau de conana calculado por p0 sobre pm for suciente para superar o risco envolvido em interagir com pm . O clculo da conana, de uma entidade p0 sobre uma entidade pm apresentado pela equao 1:
m
(T pk1(pk ))wk
T p0 (pm ) =
k=1
(1)
sendo T p0 (pm ) o valor de conana que p0 ir formar sobre um pm qualquer. pm uma entidade que est m saltos distante de p0 , ou seja, entre p0 e pm existem m 1
entidade em um sistema de larga escala pode estar separada de qualquer outra entidade por somente algumas entidades intermedirias.
26 Cada
124
entidades intermedirias. k a k esima entidade intermediria entre p0 e pm e wk o peso associado a distncia entre p0 e pk , e quanto menor for o valor de k maior ser a inuncia do peso wk . Dessa forma, o valor nal da conana calculado por p0 sobre pm constitudo pela soma de valores parciais, sendo que os valores obtidos de entidades mais prximas a p0 tero maior inuncia no clculo da conana. Para o caso de existirem mltiplos caminhos de conana ligando p0 ao pm , assumido que p0 sempre ir escolher o caminho mais convel para assim obter o valor de conana para pm mais legtimo. O conceito de mundo pequeno fora observado em diversos sistemas computacionais, como em redes par a par para compartilhamento de arquivos [Capkun et al. 2002] e em redes de conana do Pretty Good Privacy (PGP) [Penning 2006]. No modelo proposto por [Gray et al. 2003], a rede de conana aliada ao sistema de reputaes visa o estabelecimento de novas relaes de conana entre partes que nunca interagiram previamente. Na fase de criao de uma Organizao Virtual, o gerente da OV poder se deparar com parceiros de negcio que esto aptos a atender uma oportunidade de negcio, mas ainda no possui um valor de conana formado sobre tal parceiro. A proposta de [Gray et al. 2003] poderia ser empregada nesse caso. Um problema inerente aos sistemas de reputaes est na ltragem das opinies recebidas. Ao assumir que os provedores de opinies so corretos e nunca iro prover opinies diferentes daquilo que de fato observaram, ainda assim possvel que diferentes provedores apresentem diferentes opinies, que apesar de no serem maliciosas so inconsistentes, gerando dvida para a parte que as requisitou. Em [Wang e Vassileva 2003] apresentado um modelo de conana, aliado a um sistema de reputaes, baseado em redes bayesianas, tendo como aplicao exemplo uma rede par a par para o compartilhamento de arquivos. Cada par na rede pode assumir dois papis, o primeiro destinado ao provimento de arquivos, denominado provedor e o segundo destinado ao provimento de opinies, denominado agente. A proposta de [Wang e Vassileva 2003] apresenta uma soluo para situaes em que diferentes agentes possuem diferentes opinies sobre um mesmo par. Os autores assumem que todos os agentes sempre iro emitir pareceres verdadeiros sobre a reputao de outros pares, ou seja, os agentes nunca iro assumir um comportamento malicioso. Neste caso, diferentes agentes apenas possuem diferentes critrios para classicar outros pares. A rede bayesiana serve de apoio para que um par, ao pesquisar por arquivos, possa escolher os melhores provedores, ou seja, provedores que anteriormente se mostraram capazes em prover arquivos e por consequncia possuem uma maior probabilidade de continuar provendo arquivos de forma satisfatria. Para os casos em que um agente no possua qualquer experincia anterior com um provedor proposto um sistema de reputao onde os agentes passam a atuar como provedores de recomendaes. Assim, um agente ao ser consultado sobre a competncia de um determinado provedor de arquivos, este ir vericar em sua rede bayesiana se existe alguma opinio formada a respeito e ir responder com o valor ali presente. Para formar uma opinio sobre um determinado provedor de arquivos, um agente pode questionar diversos outros agentes e como consequncia ir receber diversas respos-
125
tas, as quais podem ser oriundas de agentes conveis, no conveis e at de agentes desconhecidos, ou seja, agentes com quem este no teve qualquer interao prvia. As recomendaes oriundas de agentes no conveis so imediatamente descartadas. As recomendaes oriundas de agentes conveis e de agentes desconhecidos so combinadas de acordo com a equao 2:
k g
tril tl j
ri j = wt l=1
k
tz j
+ ws
z=1
tril
l=1
, wt + ws = 1
(2)
sendo ri j o total de recomendaes que o i-simo agente obteve sobre o j-simo provedor de arquivos. k o nmero de recomendaes de agentes conveis e g o nmero de recomendaes de desconhecidos. tril o grau de conana que o i-simo agente possui sobre o l-simo agente convel. tl j o grau de conana que o l-simo agente convel possui sobre o j-simo provedor de arquivos. tz j o grau de conana que o z-simo agente desconhecido possui sobre o j-simo provedor de arquivos. wt e ws so pesos denidos por cada agente para determinar a importncia das recomendaes feitas por agentes conveis e por agentes desconhecidos, respectivamente. Aps ser calculado o grau de conana para um determinado provedor de arquivos, vericado se este valor suciente para interagir com este provedor, sendo cada agente o responsvel por denir o valor mnimo necessrio para isto. Aps cada interao, o agente ir atualizar sua rede bayesiana para o provedor de arquivos em questo e tambm ir atualizar sua conana nos agentes que proveram as recomendaes atravs da tcnica de aprendizado por reforo [Sutton e Barto 1998], de acordo com a equao 3: trinj = trioj + (1 ) e (3)
sendo trinj o novo grau de conana que o i-simo agente ir possuir sobre o j-simo provedor de opinies aps a atualizao. trioj representa o grau de conana anterior. a taxa de aprendizado, um nmero real no intervalo de [0, 1]. e o valor da nova evidncia, o qual pode ser 1 ou 1. Se o valor recomendado for maior que o necessrio para iniciar a interao com o provedor de arquivo e se a interao ocorrer de forma satisfatria, ento e igual a 1 e caso a interao ocorra de forma insatisfatria, e igual a 1. A equao 3 garante aos agentes que forneceram recomendaes verdadeiras um aumento em seu grau de conana e aqueles que apresentaram recomendaes falsas sero punidos gradativamente at atingir um limiar para serem considerados como no conveis. O modelo de [Wang e Vassileva 2003] poderia ser empregado na fase de criao de uma Organizao Virtual (OV) e assim evitar a incluso de entidades que no honraram alguma interao no passado em alguma outra Organizao Virtual. Durante a execuo de uma OV, o modelo poderia ser empregado para aumentar ou diminuir o grau de conana sobre as entidades participantes, garantindo assim uma viso sempre atualizada o que facilitaria o processo de criao de OV subsequentes.
126
Os trabalhos [Gray et al. 2003, Wang e Vassileva 2003, Sabater e Sierra 2001] fazem uso de mdias ponderadas para calcular a probabilidade de uma entidade honrar a negociao. Para cada provedor de opinies atribudo um peso, diferenciando assim a inuncia de cada opinio no clculo do valor da conana sobre uma determinada entidade. Nos trabalhos [Buchegger e Boudec 2003, Whitby et al. 2005, Teacy et al. 2006, de Mello et al. 2009a], a probabilidade calculada atravs de mtodos estatsticos os quais fazem uso das interaes passadas para prever como ser o comportamento futuro, tanto dos provedores de opinies quanto da entidade para qual se deseja formar um valor de conana. Tais trabalhos fazem uso da anlise bayesiana e assim para determinar a probabilidade (a posteriori) necessrio conhecer a probabilidade a priori, podendo esta ser obtida atravs de uma funo densidade de probabilidade de uma distribuio beta27 [de Mello et al. 2009a], veja equao 4. ( + ) 1 p (1 p) 1 , sendo , > 0 ()( )
f (p) =
(4)
(x) =
et t x1 dt
(5)
sendo (x) a funo Gama de Euler que estende a noo de fatorial para valores no inteiros. Todos trabalhos usam de maneira semelhante a distribuio beta para determinar a probabilidade de uma entidade vir a honrar a interao. Os parmetros e so usados como probabilidade a priori e registram o total de interaes que resultaram em sucesso e em insucesso, respectivamente. Sistemas de reputaes tornam-se mais precisos a partir do momento que suas bases possuam um grande nmero de registros. Em seu incio, quando no existem registros nas bases, tem-se uma distribuio uniforme, ou seja, a probabilidade de qualquer interao ocorrer com sucesso ou insucesso exatamente igual. Os trabalhos de [Whitby et al. 2005] e [Teacy et al. 2006] diferem entre si na forma como tratam a deteco de opinies no conveis. Em [Whitby et al. 2005] as opinies de provedores que se desviarem da maioria so descartadas. Em [Teacy et al. 2006] comparado o histrico de opinies fornecidas por um provedor com o que de fato foi observado nas interaes diretas com a entidade sobre quem este provedor opiniou. Se o provedor de opinies fornecer de forma continuada opinies semelhantes, ento assumese que o provedor preciso, caso contrrio, assume-se que este impreciso e suas opinies so descartadas. O modelo apresentado em [de Mello et al. 2009a] tambm faz uso da mdia ponderada, porm os pesos so obtidos atravs de mtodos estatsticos, com base nas experincias observadas pela entidade que est solicitando as opinies. Neste modelo, como em [Teacy et al. 2006] as opinies recebidas consideram o histrico do provedor de opinies, permitindo assim que as opinies dos bons provedores prevaleam sobre as opinies de provedores maliciosos.
pelos parmetros e , usada para representar variveis aleatrias limitadas a um intervalo, por exemplo, entre 0 e 1 [Jain 1991].
27 Determinada
127
Determinar o grau de conana sobre uma entidade consiste tambm em observar em qual contexto tal entidade est inserida. A delimitao do contexto serve para expressar a conana com uma maior preciso, haja visto que uma entidade pode atuar em diferentes contextos e para cada um desses a mesma pode assumir diferentes comportamentos. Em [de Mello et al. 2009a] cada entidade possui uma base de experincias diretas que contm os histricos das interaes que realizou com as demais entidades. Para cada entidade presente nesta base, so registradas as experincias separadas por contexto. Essa separao permite determinar em quais contextos a entidade, para a qual se est calculando a conana, se mostrou mais correta e no caso de no houver ainda qualquer experincia em um determinado contexto, a combinao de todas as experincias, no importando o contexto, pode ajudar a prever o comportamento para o contexto desejado. As interaes seguintes, dentro do contexto desejado, iriam ento aprimorar esta viso inicial da conana. A separao por contextos de conana pode ajudar um gerente de uma Organizao Virtual a vericar quais parceiros atenderiam melhor uma oportunidade de negcio. O grau de conana deixaria de estar relacionado a honestidade de uma entidade e passaria agora estar relacionado a capacidade daquela entidade realizar uma negociao de forma satisfatria. Assim, as entidades candidatas a parceiro de negcio, alm de atuarem no contexto como parceiro de negcio em uma OV, poderiam tambm atuar no contexto de provedoras de opinies. O uso de um modelo de conana aliado a um sistema de reputao, atende as necessidades relacionadas as fases de criao e execuo, por exemplo, de uma Organizao Virtual. O sistema de reputao pode ser usado para classicar o grau de competncia dos possveis parceiros de negcio alm de permitir classicar o quo precisos so no provimento de opinies, pois as entidades que j atuaram como parceiros de negcio poderiam agora ser tambm provedores de opinies, formando assim as redes de conana. Com os sistemas de reputao, possvel calcular a probabilidade de uma dada entidade honrar uma futura negociao, porm no possvel ter certeza que essa negociao ocorrer com sucesso. O estabelecimento dinmico de redes colaborativas exigem meios para garantir que nenhuma entidade participante obtenha benefcios em detrimento das demais partes. Em [Asokan et al. 2000], apresentado um protocolo para troca de assinaturas digitais, de forma justa, sobre um contedo eletrnico (denido como contrato), sendo que nenhuma parte ser prejudicada caso a transao no possa ser terminada com sucesso. O protocolo garante que sempre uma parte poder forar o trmino de uma transao, de forma justa e com base em um limite temporal, sem que necessite da cooperao da outra parte e mesmo em uma rede assncrona. A soluo tradicional para este problema sempre envolve uma Terceira Parte Convel (TPC). Cada parte envia seu item (p.e. assinatura sobre o contrato) para a TPC e esta s efetuar a troca dos itens assim que receber os itens de todas as partes envolvidas. O fato de acionar a TCP em todas as transaes torna a soluo ineciente. Em [Asokan et al. 2000] apresentada uma verso otimista do protocolo em que a TPC s acionada em casos onde uma parte tenha um comportamento indesejado, proposital ou no. A combinao de modelos de conana e mecanismos parecidos com o protocolo
128
proposto por [Asokan et al. 2000] permitem assim o estabelecimento dinmico da conana para a concepo de redes colaborativas, alm de prover ferramentas para melhorar o funcionamento de uma rede que j esteja na fase de execuo. 3.4.3. Gerenciamento de Polticas de Qualidade de Proteo As polticas de qualidade de proteo (QoP) so expresses formais, processveis por computador, declaradas por organizaes e anexadas aos seus servios, que indicam quais mecanismos de segurana a organizao suporta ou requer para acessar os servios [Bger et al. 2009]. Essas polticas devem ser aplicada s mensagens trocadas com servio para garantir que os requisitos de segurana da organizao sero respeitados. Tratando-se de uma poltica de QoP, os requisitos de segurana podem ser indicaes de quais informaes so sigilosas e precisam ser cifradas, quais informaes devem ser assinadas, os algoritmos criptogrcos suportados ou requeridos, os mecanismos e os tipos de credenciais de autenticao suportados ou requeridos, ou outros requisitos de segurana necessrios para que a comunicao possa ocorrer de forma segura de acordo com as necessidades da organizao. Se as organizaes desejam se comunicar dinamicamente de forma segura, estas podem declarar polticas de QoP e publicar essas polticas juntamente com a descrio dos servios providos. Colaboradores que desejarem invocar o servio podero ento avaliar a possibilidade de cumprir a poltica anexada. Essa vericao pode ser feita automaticamente se o colaborador que deseja invocar o servio possui seus requisitos ou capacidades tambm especicados em uma poltica. As duas polticas, uma anexada pelo provedor de servio e outra denida pelo cliente podem ser comparadas automaticamente para vericar se h acordo entre os requisitos [Bger et al. 2009]. Em situaes mais complexas, como em um processo de negcio, ou durante a criao de uma OV, onde pode haver vrias organizaes envolvidas, as polticas de QoP so ainda mais importantes. Com essas polticas, possvel automatizar a vericao da compatibilidade dos requisitos de segurana de todas as comunicaes, desde que todas as organizaes declararem seus requisitos em polticas expressas em uma linguagem padro e que uma descrio formal do processo de negcio esteja disponvel e indique quais as invocaes de servios sero realizadas. Para os servios Web, a linguagem padro para expressar polticas a WS-Policy [WS-POLICY 2007]. A WS-Policy uma linguagem altamente extensvel que permite expressar diversos tipos de requisitos no funcionais de servios Web, como segurana, conabilidade e otimizao nas trocas de mensagens. A seguir, tem-se a descrio desta linguagem e do padro WS-SecurityPolicy. Na seqncia, alguns aspectos de gerenciamento de polticas WS-Policy so apresentados e, por m, um estudo de caso descrito.
WS-Policy WS-Policy um padro W3C que dene um framework e um modelo para expressar polticas que se referem a capacidades, requisitos e caractersticas gerais de entidades em um sistema baseado em servios Web [WS-POLICY 2007]. um padro de ampla
129
aceitao e presente na maioria das ferramentas para desenvolvimento de solues em Servios Web. Uma poltica expressa em WS-Policy formada por um conjunto de alternativas de poltica, sendo que cada alternativa formada por um conjunto de asseres de poltica. Cada assero de poltica representa um requisito, uma capacidade ou outra propriedade de um comportamento especco de um domnio, como segurana [WS-POLICY 2007]. A WS-Policy dene apenas o modelo geral das polticas, mas no dene nenhuma assero. As asseres so especicadas em outros padres, como o WS-SecurityPolicy que dene asseres de segurana. Uma poltica que no contm nenhuma alternativa no pode ser satisfeita (chamaremos de poltica nula). Uma poltica que contm uma ou mais alternativas satisfeita se exatamente uma dessas alternativas satisfeita. Uma alternativa de poltica que no contm nenhuma assero no indica nenhuma caracterstica comportamental e satisfeita trivialmente. Uma alternativa com uma ou mais asseres satisfeita somente se todas as asseres so satisfeitas. A satisfao de uma assero resulta em um comportamento que reete a restrio indicada, que especca do domnio. A Figura 3.6 apresenta um exemplo simples de poltica em WS-Policy. A poltica contm duas alternativas, cada uma representada por um elemento <wsp:All> (linhas 5 a 7 e 8 a 10), contidas em um elemento <wsp:ExactlyOne> (linhas 4 a 11) que representa a escolha. As asseres representadas pelos elementos <sp:Basic256Rsa15> (linha 6) e <sp:TripleDesRsa15> (linha 9) so especicadas na WS-SecurityPolicy e representam, cada uma, um conjunto diferente de algoritmos criptogrcos. Normalmente, essas asseres no so usadas sozinhas como no exemplo da Figura 3.6, mas em conjunto com outras asseres de segurana, como ser explicado na prxima seo.
1 2
3 4 5 6 7 8 9 10 11 12
<wsp:Policy xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy /200702" xmlns:wsp=" http://www.w3.org/ns/ws-policy" > <wsp:ExactlyOne> <wsp:All> <sp:Basic256Rsa15 /> </wsp:All> <wsp:All> <sp:TripleDesRsa15 /> </wsp:All> </wsp:ExactlyOne> </wsp:Policy> Figura 3.6. Exemplo de poltica WS-Policy
A poltica da Figura 3.6 est na forma normal, denida na WS-Policy, em que as alternativas esto indicadas explicitamente na poltica. No entanto a linguagem permite construes mais complexas, como aninhamento de operadores, asseres marcadas como opcionais e referncias de polticas, que permitem uma representao mais intuitiva e compacta da poltica. Toda poltica possui uma forma normal equivalente e a WS-Policy
130
apresenta um procedimento para realizar a transformao para tal forma. Alm de uma forma para expressar polticas, o padro WS-Policy tambm dene algumas operaes sobre polticas, a normalizao de poltica, a unio de polticas e a interseco de polticas, que permitem manipular polticas de forma consistente e independente das asseres e dos domnios utilizados. A operao de normalizao de polticas transforma uma poltica em uma outra na forma normal equivalente, que um formato mais simples para a manipulao automtica por computador. Notavelmente, a operao de interseco bastante simples de explicar em termos de alternativas de polticas e uma implementao bsica poder fazer uso da normalizao para simplicar o processamento. A unio de polticas junta duas polticas em uma outra que representa a combinao das alternativas das duas. Em termos de alternativas, a poltica resultante da unio conter alternativas que so formadas pela concatenao de uma alternativa de uma poltica com uma alternativa da outra. Satisfazer a unio equivalente a satisfazer exatamente uma alternativa de cada uma das polticas unidas. A operao de interseco a que permite a vericao de compatibilidade entre polticas [WS-POLICY 2007]. Assim como na unio, a interseco formada pela concatenao de alternativas das polticas, no entanto a alternativa resultante da concatenao s adicionada ao resultado se as duas alternativas forem compatveis. Duas alternativas so consideradas compatveis se e somente se cada assero de uma alternativa for compatvel com pelo menos uma assero da outra. A compatibilidade de asseres apenas parcialmente denida no padro WS-Policy, de forma que as especicaes podem estender o algoritmo de compatibilidade com informaes especcas de domnio. A base do algoritmo de interseco de asseres comparar os nomes dos elementos XML que representam as asseres e vericar a compatibilidade das polticas aninhadas nessas asseres, se houver. O resultado da interseco de duas polticas conter as alternativas compatveis de ambas, ou nenhuma alternativa se as polticas forem incompatveis. essa caracterstica que permite vericar se duas polticas declaradas por dois parceiros que desejam se comunicar so compatveis, isto , se um parceiro suporta os requisitos do outro. Alm disso, o resultado da interseco ainda indica quais as alternativas que foram satisfeitas e permite aos parceiros aplicar os mecanismos corretos no momento de se comunicar. O padro WS-Policy dene trs mecanismos de anexao de poltica, conforme ilustrados na Figura 3.7. Os dois primeiros mecanismos, mostrados respecivamente nos elementos das linhas 1 a 3 e 5 a 10, anexam polticas a um elemento XML qualquer simplesmente pela adio de um atributo wsp:PolicyURIs, no primeiro caso, ou de subelementos <wsp:PolicyReference>, no segundo caso. No terceiro tipo de anexo, ilustrado nas linhas 12 a 23 da Figura, o alvo da anexao est indicado no elemento <wsp:AppliesTo>, que seguido pela indicao de quais polticas esto sendo anexadas e por um elemento opcional <wsse:Security>, que denido na especicao WS-Security [WS-SECURITY 2006] e serve para prover caractersticas de segurana ao anexo de poltica, com uso assinaturas digitais e credenciais (tokens). As polticas so geralmente anexadas aos elementos da descrio WSDL do ser-
131
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
<MyElement wsp:PolicyURIs=" http://example.com/policies/rm-policy http://example.com/policies/X509-endpoint-policy" /> <MyElement> <wsp:PolicyReference URI="http://example.com/policies/rm-policy" /> <wsp:PolicyReference URI="http://example.com/policies/X509-endpoint-policy" /> <MyElement/> <wsp:PolicyAttachment> <wsp:AppliesTo> <wsp:URI> http://example.com/services/srv.wsdl#wsdl.endpoint(srv/endp) </wsp:URI> </wsp:AppliesTo> <wsp:PolicyReference URI="http://example.com/policies/rm-policy" /> <wsp:PolicyReference URI="http://example.com/policies/X509-endpoint-policy" /> <wsse:Security>...</wsse:Security> </wsp:PolicyAttachment> Figura 3.7. Exemplo de anexao de poltica WS-Policy
vio, como <wsdl:operation>. Nesse caso, a poltica aplicada a todas as mensagens trocadas com o servio relacionadas com a invocao dessa operao. O mesmo vale para os elementos <wsdl:service>, <wsdl:endpoint>, <wsdl:binding>, < wsdl:interface>, <wsdl:operation>, <wsdl:input>, <wsdl:output>, <wsdl:fault>, <wsdl:infault> e <wsdl:outfault> e a poltica aplicada a uma mensagem a unio de todas as polticas anexadas aos elementos com os quais a mensagem est relacionada.
WS-SecurityPolicy O WS-SecurityPolicy [WS-SECURITYPOLICY 2007] dene um conjunto de asseres, para serem usadas em polticas WS-Policy, que indicam a capacidade ou o requerimento da aplicao dos padres de segurana para servios Web (WS-Security, WS-Trust e WSSecureConversation) s mensagens trocadas com um servio. So essas asseres, em conjunto com a linguagem WS-Policy, que denem o formato padro para expressar polticas de qualidade de proteo para Servios Web. Por questo de espao e objetividade, no ser possvel abordar todas as asseres denidas na WS-SecurityPolicy. Ao invs, um exemplo simples de poltica de QoP expressa em WS-Policy e WS-SecurityPolicy est apresentado na Figura 3.8 e explicado a seguir. As asseres SignedParts e EncryptedParts (linhas 2 e 3) indicam que
132
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
<wsp:Policy xmlns:wsp="..." xmlns:sp="..."> <sp:SignedParts><sp:Body /></sp:SignedParts> <sp:EncryptedParts><sp:Body /></sp:EncryptedParts> <sp:AsymmetricBinding> <wsp:Policy> <sp:InitiatorToken> <wsp:Policy> <wsp:ExactlyOne> <sp:SamlToken sp:IncludeToken=".../IncludeToken/Always"> <sp:IssuerName>saml-authority</sp:IssuerName> </sp:SamlToken> <sp:X509Token sp:IncludeToken=".../IncludeToken/Always"> <sp:IssuerName>x509-ca</sp:IssuerName> </sp:X509Token> </wsp:ExactlyOne> </wsp:Policy> </sp:InitiatorToken> <sp:RecipientToken> <wsp:Policy> <wsp:ExactlyOne> <sp:SamlToken sp:IncludeToken=".../IncludeToken/Always"> <sp:IssuerName>other-saml-authority</sp:IssuerName> </sp:SamlToken> <sp:X509Token sp:IncludeToken=".../IncludeToken/Always"> <sp:IssuerName>other-x509-ca</sp:IssuerName> </sp:X509Token> </wsp:ExactlyOne> </wsp:Policy> </sp:RecipientToken> <sp:AlgorithmSuite> <wsp:Policy> <wsp:ExactlyOne> <sp:Basic256 /> <sp:Basic192 /> </wsp:ExactlyOne> </wsp:Policy> </sp:AlgorithmSuite> <sp:ProtectTokens /> <sp:Layout><wsp:Policy><sp:Strict /></wsp:Policy></sp:Layout> </wsp:Policy> </sp:AsymmetricBinding> </wsp:Policy> Figura 3.8. Exemplo de poltica de QoP expressa em WS-Policy e WS-SecurityPolicy
133
o corpo das mensagens deve ser cifrado e assinado. A assero AsymmetricBinding indica que criptograa assimtrica ser usada, sendo que as credenciais do emissor e receptor (InitiatorToken, nas linhas 6 a 19, e RecipientToken, nas linhas 20 a 33) da mensagem podem ser ou uma assero SAML emitida pela autoridade de nome saml-authority (asseres SamlToken, nas linhas 9 a 12 e 23 a 26) ou um certicado X.509 emitido pela CA x509-ca (asseres X509Token, nas linhas 13 a 16 e 27 a 30). Os algoritmos criptogrcos aceitos so indicados dentro da assero AlgorithmSuite (linhas 34 a 41) e, nesse exemplo, dois conjuntos de algoritmos so suportados, Basic256 (assero Basic256, na linha 37) e Basic192 (assero Basic192, na linha 38). A poltica nesse exemplo no est na forma normal, no entanto fcil perceber que esta contm oito alternativas formadas com as possveis combinaes das opes de credencial do emissor, credencial do receptor e conjunto de algoritmos criptogrcos. Um cliente que deseje se comunicar com um servio que use essa poltica deve satisfazer apenas uma dessas alternativas. H muitas outras asseres denidas na WS-SecurityPolicy. H outras formas de declarar quais partes das mensagens devem ser protegidas, outras asseres de token, outros conjuntos de algoritmos criptogrcos, h asseres para usar criptograa simtrica ou usar HTTPS, asseres que exigem ou permitem o uso de credenciais adicionais na mensagem, e ainda outras. O melhor documento para obter informaes detalhadas sobre essas asseres a prpria especicao WS-SecurityPolicy. Aspectos de Gerenciamento Alm de denir os requisitos de segurana dos servios providos na forma de polticas, para alcanar todo o dinamismo proposto pelas AOSs, as organizaes precisam fazer com que essas polticas estejam acessveis aos potenciais parceiros. Alm disso, os colaboradores que obtiverem as polticas devem ser capazes de avaliar a autenticidade e a integridade dessas polticas. Nos servios Web, h diversas formas de disponibilizar as polticas WS-Policy de um servio. A mais simples delas adicionar as polticas diretamente como elementos de extenso na WSDL do servio e, com isso, aproveitar os mecanismos de descoberta existentes para WSDL, como os servios de registro UDDI. Em algumas situaes, no entanto, outros mecanismos podem ser mais interessantes. Por exemplo, se a poltica de um servio deve ser atualizada com certo dinamismo, talvez os registros no ofeream a agilidade necessria. Nesse caso, algum dos mecanismos denido na especicao WS-MetadataExchange [WS-METADATAEXCHANGE 2009] pode ser usado, como a operao GetMetadata, para obter a ltima verso da poltica. Na WS-Policy, mecanismos para prover caractersticas de segurana podem ser adicionados aos anexos de poltica no elemento <wsse:Security> conforme apresentado anteriormente. Esse elemento poder conter assinaturas digitais e credenciais de segurana a m de garantir a autenticidade e a integridade tanto das polticas, que podem estar includas diretamente no anexo, quanto do prprio anexo. Se a operao GetMetadata for implementada, a WS-Security pode ser usada para assinar o contedo da mensagem com as polticas.
134
Estudo de caso Para ilustrar as possibilidades das polticas de QoP abordadas anteriormente, nessa seo ser apresentado um exemplo de ciclo de vida de uma organizao virtual no contexto da rede TechPlast denida na Seo 3.2.4. Para ns de exemplo, suponhamos que uma empresa participante da rede TechPlast, a Plasmax, que produz peas plsticas de uso domstico, recebe uma encomenda de peas acima da sua capacidade usual, de forma que no conseguir atender ao pedido sozinha. Est situao congura, ento, uma oportunidade de negcio (ON) e, neste caso, a Plasmax ser o gerente da OV que se formar. De acordo com a ON, a empresa Plasmax organiza um workow para cumprir a demanda da seguinte forma: a empresa Plasmax produzir as peas do pedido segundo a sua capacidade mxima, e para tal dever realizar compras de matria-prima adicional; o restante do pedido ser repassado a uma outra empresa que produza a mesma categoria de objetos plsticos e que suporte o mesmo formato de pea. Depois de denir o workow para a lgica de negcio, a Plasmax iniciar o processo de busca e seleo de parceiros. Nessa etapa sero escolhidos os parceiros que participaro da OV e os servios que sero invocados no processo de negcio para atender a ON. Nessa etapa, alm dos requisitos funcionais, das relaes de conana e outros fatores relacionados ao negcio, a seleo deve levar em conta tambm os requisitos de segurana das empresas a serem selecionadas. Por exemplo, a empresa Plasmax considera a informao de seus pedidos de matria-prima altamente sigilosa, pois um espio de outra empresa poderia usar essa informao para tentar descobrir frmulas qumicas de substncias usadas nos seus produtos. Dessa forma, a Plasmax s far pedidos de matrias-primas por meio de servios providos por fornecedores se esses servios suportarem a encriptao das mensagens de pedido. Supondo que cada empresa da TechPlast possui seus anexos de polticas de QoP disponibilizados no UDDI da TechPlast, o servios de busca e seleo provido na rede colaborativa, no momento da avaliao de compatibilidade de um determinado servio, obter as polticas WS-Policy dos parceiros, vericar a autenticidade e integridade das mesmas, analisar o workow para saber quais operaes dos servios sero invocadas e comparar, por meio da interseco, as polticas WS-Policy dos servios envolvidos. Se no houver compatibilidade o servio descartado e um outro parceiro buscado. Se houver compatibilidade dos requisitos de segurana, a poltica resultante da interseco associada troca de mensagem representada na descrio do workow. Se foi possvel encontrar servios adequados, o servio de busca e seleo devolver para a Plasmax a descrio do workow juntamente com a lista dos servios selecionados e com as polticas resultantes das interseces realizadas. Com essas informaes, a Plasmax pode congurar um motor de orquestrao que implementar o workow invocando os servios selecionados anteriormente e aplicar, para cada troca de mensagem, a poltica comum aos servios descoberta na etapa de busca e seleo. Alm das polticas de QoP, para congurar corretamente o motor de orquestrao preciso que sejam denidos ainda vrios parmetros, como a localizao das chaves criptogrcas, os nomes de usurio, as senhas, etc..
135
A partir da congurao realizada, possvel executar o workow e efetivar a oportunidade de negcio. Cada parceiro selecionado para a OV, receber as requisies da Plasmax e desempenhar seu papel no workow. Por m, a OV pode ser desfeita, se no houver mais pedidos semelhantes. 3.4.4. Provisionamento de Canais Seguros Nas redes colaborativas, a comunicao entre os integrantes do sistema deve garantir a condencialidade, a integridade e a autenticidade das informaes transmitidas, de acordo com a poltica de qualidade de proteo estabelecida. Em alguns sistemas surgem tambm requisitos de privacidade ou anonimato [Ptzmann e Hansen 2007], que incluem a preservao da identidade de pares de ns comunicantes, a no vinculao de mensagens especcas aos seus ns de origem ou destino ou ainda a ocultao da identidade da real origem de uma requisio ou do n que efetivamente atende a tal requisio. A arquitetura dos Servios Web est diretamente ligada ao XML e s extenses de segurana deste padro denidas pela W3C, tais como as recomendaes XML-Signature [Bartel et al. 2002] e XML-Encryption[Imamura et al. 2002]. Estas recomendaes permitem expressar assinaturas digitais e cifragem de dados em formato XML, sendo que os dados assinados e/ou cifrados podem ser ou no documentos XML. Estes mecanismos tornam possvel a segurana m-a-m para os processos de negcios que usam o XML para troca e armazenamento de dados, garantindo assim: (1) a proteo da integridade com granularidade na; (2) a autenticao da origem dos dados e, (3) a condencialidade de campos especcos. Padronizada pela OASIS, a especicao WS-Security [OASIS 2004] dene aprimoramentos para garantir integridade, condencialidade e autenticidades das mensagens SOAP, ou seja, garantir a segurana m-a-m no nvel de mensagem e no somente no nvel de transporte. Este padro visa ser exvel, sendo possvel utilizar uma grande variedade de mecanismos de segurana e tecnologias, como por exemplo Infra-estruturas de Chave Pblica (ICP), Kerberos ou SSL. Mais especicamente, esta tecnologia prov suporte para diferentes tipos de credenciais de segurana (security tokens), possibilitando que um cliente utilize mltiplos formatos de credenciais para a autenticao e autorizao, mltiplos formatos para assinatura e mltiplas tecnologias de cifragem de dados. Estas caractersticas so muito importantes para alcanar a interoperabilidade entre tecnologias de segurana de diferentes domnios administrativos. As especicaes XML Signature e XML Encryption so utilizadas pela WS-Security para conseguir expressar assinaturas e cifragem no formato XML. O foco principal da WS-Security promover trocas de mensagens SOAP seguras. Caractersticas como estabelecimento de relaes de conana, mecanismos de autenticao e troca de polticas de segurana no fazem parte do escopo desta especicao. A especicao [W3C 2004a] apresenta algumas consideraes sobre a privacidade na arquitetura dos Servios Web, indicando que tal assunto ainda no est completamente solucionado e necessita de um estudo mais aprofundando. A Platform for Privacy Preferences (P3P) [W3C 2002] um projeto do W3C que permite que os stios web expressem suas polticas de privacidade de forma padronizada utilizando XML, dando aos usurios o conhecimento sobre como seus dados pessoais sero tratados. Se-
136
gundo [Hung et al. 2004], o uso do P3P no pode ser diretamente aplicado no contexto dos Servios Web, visto que o P3P foi projetado para que usurios de stios web possam ter controle sobre suas informaes pessoais. Outro problema que os vocabulrios da P3P esto direcionados principalmente para descrever as prticas de privacidade dos stios web, sobre quais dados iro coletar dos usurios e o que iro fazer com essas informaes O anonimato uma propriedade que est diretamente relacionada com a privacidade, porm com signicado distinto. O acesso annimo de um usurio a um sistema indica que o usurio no ser identicado, garantindo assim a privacidade de sua identidade real [de Mello et al. 2006]. Em [Cattaneo et al. 2004] apresentada uma extenso ao SOAP para permitir o acesso annimo aos Servios Web. A soluo est baseada no fato de que os usurios s precisam provar, para um provedor de servios, que pertencem a um determinado grupo, autorizado pelas polticas do sistema, evitando assim revelar sua identidade pessoal. A especicao WS-Federation segue uma abordagem semelhante para o anonimato onde clientes podem usar pseudnimos para acessar servios, seja dentro da mesma federao, seja entre federaes com relao de conana [WS-FEDERATION 2006]. Em [Papastergiou et al. 2008] tratado o anonimato com os Servios Web. Nesse trabalho, o anonimato garantido pelo uso conjunto de uma rede Tor28 com tcnicas de atraso propositado e reordenao de mensagens para dicultar rastreamentos baseados em temporizao. 3.4.5. Autorizao e modelos de controle de acesso Conforme analisado na Seo 3.3, nas redes colaborativas, a heterogeneidade das organizaes e a distribuio dos recursos em domnios administrativos distintos, fazem surgir problemas relacionados a denio e gerenciamento de polticas globais de controle de acesso. Logo, as solues clssicas de controle de acesso no atendem as necessidades dessas redes pois no so exveis o suciente e nem se adequam, em termos de granularidade de denio de regras s necessidades que envolvem domnios semnticos distintos [Zhang et al. 2008]. Os participantes das redes colaborativas j possuem polticas de controle de acesso fortemente dependentes do domnio de aplicao e denies inerentes ao domnio administrativo, como a semntica da poltica denida. Ou seja, nestas redes, as polticas de controle de acesso no podem ser vericadas considerando somente o signicado sinttico uma vez que a identicao dos usurios e dos recursos podem ser diferentes por conta da heterogeneidade e a no existncia de um acordo prvio entre os parceiros (feito de forma dinmica) [Rao e Sadeh 2005]. As solues de controle de acesso adequadas s redes colaborativas exigem que durante a composio dos servios se tenha uma etapa de mediao, onde so feitas: a identicao das polticas, seleo dos servios e o acesso e casamento de polticas baseado no contexto da aplicao (semntica). Alm disso, a prpria transposio de credenciais atravs dos domnios distintos (ver Seo 3.4.1) pode introduz problemas nestas redes. Algumas credenciais encapsulam a identicao/papel do usurio bem como os
28 http://www.torproject.org/
137
recursos que este pretende acessar, logo a falta de padro na representao destas identicaes j no permite um casamento puramente sinttico. Solues de controle de acesso no contexto de redes colaborativas devem, ento, tratar os problemas relacionados a representao, transposio e casamento de polticas de controle de acesso. As solues de segurana encontradas na literatura para tratar estes problemas podem ser classicadas em duas abordagens. Na primeira abordagem, as solues adotam uma padronizao prvia das polticas de controle de acesso (bases de autorizao, usurios, nveis, recursos e hierarquias) e o desenvolvimento de um framework com base no modelo UCON proposta por [Zhang et al. 2006] e [Zhang et al. 2008]. A segunda abordagem, mais adequada para redes colaborativas com suporte a formao dinmica (OVs), agrupam as solues que fazem o mapeamento das polticas existentes para domnios de ontologias, com o objetivo de representar a semntica de cada domnio envolvido [Patterson et al. 2008, Patterson e Miller 2006, Muthaiyah e Kerschberg 2007].
Solues de autorizao baseadas em Servios Web Semnticos Diante da existncia de diversas linguagens para denio de polticas de autorizao, o que limita a concepo de sistemas distribudos e abertos baseados em Servios Web, a OASIS lanou a eXtensible Access Control Markup Language (XACML) [OASIS 2005a], um sistema de polticas de controle de acesso, baseado em XML. Os cenrios que constituem as redes colaborativas caracterizados pela heterogeneidade e principalmente por envolver diferentes domnios administrativos e de segurana, faz com que a simples representao sinttica desta linguagem no seja suciente para as etapas de descoberta e casamento das polticas de controle de acesso [Damiani et al. 2004]. A linguagem XACML foi concebida visando garantir a interoperabilidade entre diversas aplicaes, alm de permitir extenses em sua linguagem de forma a permitir que desenvolvedores denam novas funes, tipos de dados, combinaes lgicas, etc. As solues de controle de acesso que envolvem aspectos semnticos, usam destas extenses para adequar o uso do XACML nas redes colaborativas. Nos trabalhos [Damiani et al. 2004, Patterson e Miller 2006, Patterson et al. 2008, Muthaiyah e Kerschberg 2007] so propostas solues para integrao de polticas de controle de acesso atravs de anotaes no XACML que apontam para instncias de ontologias. A Figura 3.9 ilustra como so feitas as anotaes que acrescentam uma descrio semntica ao WSDL de um Servio Web. Tais anotaes poderiam tambm ser usadas em conjunto com o WS-Policy [WS-POLICY 2007] para acrescentar signicado semntico s polticas. Observa-se na Figura 3.9 que as tags RDF (Resource Description Framework) so utilizadas para indicar a localizao da descrio semntica do servio. O uso em conjunto do RDF com a Web Ontology Language (OWL) possibilita a representao do conhecimento a partir de padres (ontologias). O controle de acesso baseado em papis (RBAC) um modelo onde a identidade no sistema representada por um papel e todas as polticas de permisses esto associadas a este [Sandhu e Samarati 1994]. Segundo [Patterson e Miller 2006], o RBAC o modelo
138
Figura 3.9. Acrescentando anotaes semnticas em WSDL
de controle de acesso mais empregado em solues que fazem uso de ontologia devido a sua facilidade de implementao, exibilidade e por possuir um amplo repositrio de papis j mapeados por ontologias. Isto permite que se use um mecanismo RBAC com anotaes semnticas para descrio de usurios, papis, objetos e operaes. Com as informaes semnticas compondo a descrio funcional e no funcional do Servio Web, a descoberta e casamento dos servios no mais simplesmente uma busca sinttica e sim uma inferncia sobre as instncias e domnios de ontologias. O uxo bsico de descoberta de servios exemplicado pelo diagrama da Figura 3.10.
Servio de Descoberta
E-UDDI
1
Cliente
Lumina WSDLS vs. WSDL
3
Provedor i Provedor j Provedor k
Descoberta
WSDL-S k WSDL-S j
Verificao de Autorizao Verificador de Polticas
WSDL-S i
5,6
ServioCandidato
Invocao
Figura 3.10. Fluxo de Descoberta de Servios Web Semnticos. Adaptado de [Patterson e Miller 2006]
A Figura 3.10 mostra, no passo 1, um cliente enviando uma requisio de servio
139
para o motor de descoberta semntica. Nos passos 2 e 3, feita a busca por servios a partir de anotaes semnticas usando a ferramenta Lumina29 , que implementa um UDDI semntico. No passo 4, os servios encontrados so retornados ao cliente, onde nos passos 5 e 6 feita a vericao de autorizao e anlise de restries bem como a invocao do servio. No passo 7, so feitas as anlises do WS-Policy quanto ao casamento dos requisitos funcionais e no funcionais da descoberta.
Solues de autorizao baseadas em Padronizao das Polticas Segundo [Zhang et al. 2006] e [Zhang et al. 2008], sistemas colaborativos e ad hoc se tornaram um novo desao para o gerenciamento de autorizao, pois no existe um acordo prvio para formao da organizao virtual e as decises de autorizao dependem de informao de contexto. Para tal em [Zhang et al. 2006] e [Zhang et al. 2008] foi proposto um framework de autorizao baseado em UCON (Usage Control) para sistemas colaborativos. UCON estende os modelos de controle de acesso clssicos e permite controlar uma ao instantnea, ou contnua, durante um determinado perodo de tempo. A deciso de acesso pode ser realizada antes e durante o processo de acesso. Duas caractersticas diferem o UCON dos modelos de controle de acesso clssicos: a continuidade do processo de deciso de acesso; e a mutabilidade dos atributos do sujeito e do objeto [Zhang et al. 2006, Zhang et al. 2008]. Normalmente, em redes colaborativas o provedor de um servio tem a ltima deciso com relao acesso ao recurso compartilhado mas, ao mesmo tempo, como membro da organizao virtual deve respeitar as polticas denidas globalmente para a organizao. O uso do UCON como modelo de controle de acesso, para o desenvolvimento de um framework de controle de acesso para sistemas colaborativos foi justicado em [Zhang et al. 2008] pelo fato de ser um modelo bastante robusto e exvel. Nas redes colaborativas, os provedores de servios e, no caso das organizaes virtuais, os gerentes das OVs, so os responsveis por denir ou alterar polticas de segurana [Zhang et al. 2006]. Segundo [Zhang et al. 2008], diferentes tipos de polticas podem ser especicadas, tais como: as polticas de acesso aos recursos, polticas de compartilhamento de recursos, e as polticas para tarefas colaborativas. Pode-se observar que a soluo baseada no UCON bastante robusta e exvel porm exige que todos os parceiros a implemente o que nem sempre possvel pois organizaes contam com sistemas legados e bastante heterogneos, caracterstica intrnseca de redes colaborativas. Portanto tal soluo bastante pertinente quando existe a possibilidade desta padronizao caso contrrio, no resolve o problema de casamento semntico de polticas em domnios distintos. Nas solues baseadas no mapeamento semntico, como em [Damiani et al. 2004, Patterson e Miller 2006, Patterson et al. 2008, Muthaiyah e Kerschberg 2007], os problemas no so totalmente resolvidos pois a busca por servios e o casamento das polticas de controle de acesso so feitos sobre inferncias realizadas nos domnios de ontologias.Tais inferncias, a partir das instncias de ontologias anotadas nos documentos de descrio
29 Mais
informaes em: http://lsdis.cs.uga.edu/projects/meteor-s/downloads/Lumina/
140
dos servios, geram um certo grau de incerteza que deve ser tratado para que no seja negado acesso a um recurso que deveria ser liberado ou liberado acesso a recursos que no deveriam ser acessados. Outro problema est relacionado com a forma que as informaes semnticas sobre o servio so publicadas, uma vez que todos podem ter acesso s descries semnticas de controle de acesso do servio. Isto gera um problema de privacidade e pode vir a comprometer a segurana do sistema [Patterson et al. 2008]. Estudo de caso Como forma de abordar os problemas de autorizao e controle de acesso, inerentes s redes colaborativas, nessa seo ser apresentado um estudo de caso no contexto da Rede Colaborativa de Ensino e Pesquisa do Brasil (RNP) - Servio de Acesso a Servios de Bibliotecas Digitais descrito na Seo3.2.4. Supem-se, neste exemplo, que a prpria RNP serve de provedor de servios e que oferea um Servio Web para a busca avanada de artigos, monograas e teses em todas as bibliotecas digitais dos membros federao. O servio consiste basicamente de uma interface, a qual interage com o usurio, um motor de buscas avanado, responsvel por realizar consultas em bases locais, remotas ou ainda invocando outros Servios Web de membros da rede, e um visualizador de contedos. Cada provedor de servio da federao CAFe da RNP possui suas polticas de autorizao e controle de acesso pois esto sob modelos administrativos distintos. A necessidade da disponibilizao deste servio de busca deve levar em considerao a necessidade de entendimento das polticas de controle de acesso entre todos os participantes. Pode-se imaginar uma situao em que um usurio (Professor), aps autenticado no servio provido pela prpria RNP, quer acesso a uma biblioteca digital disponibilizado por outro membro da rede. Como os domnios administrativos (semnticos) so distintos, se a forma de identicar este usurio e os recursos a que se quer vericar o acesso forem diferentes isto pode causar incompatibilidade durante a aplicao das regras de autorizao. Como se est em um cenrio onde j existem relaes de conana entre os membros da federao, pode-se resolver o problema de controle de acesso distribudo de duas formas: todos os membros da rede colaborativa podem denir suas polticas de acordo com o modelo UCON para sistemas colaborativos [Zhang et al. 2008]; ou aps a denio dos padres de representao (domnios de ontologia) todos os membros devem fazer o mapeamento entre as polticas de controle de acesso e os domnios de ontologias como em [Patterson et al. 2008, Patterson e Miller 2006, Muthaiyah e Kerschberg 2007]. Como se trata de uma federao de servios cuja composio duradoura, impasses no casamento de polticas no devem ocorrem.
3.5. Consideraes nais

Os participantes em redes colaborativas desejam poder se comunicar de forma dinmica e respeitando os requisitos de segurana dos parceiros. As polticas de QoP, principalmente
141
na linguagem padro WS-Policy, so parte da soluo para esse problema. No entanto, ainda h uma carncia no suporte das ferramentas atuais s caractersticas da especicao que podem oferecer maior dinamismo, como a denio de mltiplas alternativas de poltica, vericao automtica de compatibilidade e congurao dinmica de segurana. O estabelecimento dinmico da conana em redes colaborativas exige modelos que consigam operar em ambientes de larga escala e compostos por relaes que possuem pouco tempo de vida. Modelos de conana baseados em redes de conana e aliados a sistemas de reputaes se mostram adequados a tal tipo de cenrio e apesar da literatura apresentar diversas propostas, no se tem uma implementao completa destinada a criao das redes colaborativas. Conforme descrito na Seo 3.4.4, possvel concluir que os requisitos necessrios para garantir a proteo da privacidade dos participantes de uma rede colaborativas conforme apresentados em [W3C 2004b] ainda no atendem a real necessidade existente no ambiente dos Servios Web, o que exige a criao de novas solues para a rea. Em se tratando de autorizao e controle de acesso, a pea chave para composio e aplicao de polticas de controle de acesso em redes colaborativas est na busca pela representao consistente da semntica das informaes da poltica, j que em domnios administrativos distintos, como j foi citado anteriormente, a busca e tentativa de casamento sinttico das polticas no so sucientes. Duas so as abordagens utilizadas para resolver problemas inerentes a ambientes colaborativos: padronizao prvia das informaes de controle de acesso para todos os parceiros ou mapeamento entre as informaes sintticas e semnticas dos servios. Mesmo assim alguns problemas ainda precisam ser resolvidos para que se tenha uma soluo de controle de acesso, entre estes: o grau de incerteza que introduzido quando se utiliza inferncias sobre os domnios de ontologia para o casamento das polticas de controle de acesso e a necessidade de publicao de informaes semnticas das polticas que pode provocar um problema quanto a privacidade.
Referncias
[Armbrust et al. 2009] Armbrust, M., Fox, A., Grif?th, R., Joseph, A. D., Katz, R., Konwinski, A., Lee, G., Patterson, D., Rabkin, A., Stoica, I., e Zaharia, M. (2009). Above the clouds: A berkeley view of cloud computing. Technical report, University of California at Berkeley. [Asokan et al. 2000] Asokan, N., Shoup, V., e Waidner, M. (2000). Optimistic fair exchange of digital signature. IEEE Journal of Selected Areas in Communication, 18(4). [Bartel et al. 2002] Bartel, M., Boyer, J., e Fox, B. (2002). XML-Signature Syntax and Processing. W3C. http://www.w3.org/TR/xmldsig-core. [Blaze et al. 1996] Blaze, M., Feigenbaum, J., e Lacy, J. (1996). Decentralized trust management. In IEEE Symposium on Security and Privacy, page 164, Washington, DC, USA. IEEE Computer Society.
142
[Booth e Liu 2007] Booth, D. e Liu, C. K. (2007). Web Services Description Language (WSDL) Version 2.0 Part 0: Primer. W3C. [Buchegger e Boudec 2003] Buchegger, S. e Boudec, J.-Y. L. (2003). A robust reputation system for mobile ad-hoc networks. Technical Report IC/2003/50, EPFL IC. [Buyya et al. 2008] Buyya, R., Yeo, C. S., e Venugopal, S. (2008). Market-oriented cloud computing: Vision, hype, and reality for delivering it services as computing utilities. In HPCC 08: Proceedings of the 2008 10th IEEE International Conference on High Performance Computing and Communications, pages 513. IEEE Computer Society. [Bger et al. 2009] Bger, D., Fraga, J., Mafra, P., e Wangham, M. S. (2009). A model to verify quality of protection policies in composite web services. In Services, IEEE Congress on, volume 1, pages 629636, Los Alamitos, CA, USA. IEEE Computer Society. [Camargo et al. 2007] Camargo, E., da Silva Fraga, J., Wangham, M. S., e de Mello, E. R. (2007). Autenticao e autorizao em arquiteturas orientadas a servio atravs de identidades federadas. In Simpsio Brasileiro de Redes de Computadores e Sistemas DIstribudos, pages 7588. [Camarinha-Matos 2005] Camarinha-Matos, L. M. (2005). ICT Infrastructures for VO, chapter Virtual organisations: Systems and practices, pages 83104. Springer. [Camarinha-Matos e Afsarmanesh 2005] Camarinha-Matos, L. M. e Afsarmanesh, H. (2005). Collaborative networks: A new scientic discipline. Journal of Intelligent Manufacturing, 16:439452. [Camarinha-Matos et al. 2008] Camarinha-Matos, L. M., Afsarmanesh, H., e Ollus, M. (2008). Methods and Tools for Collaborative Networked Organizations, chapter Ecolead And Cno Base Concepts, pages 332. Springer. [Cancian 2009] Cancian, M. H. (2009). Uma proposta de guia de referncia para provedores de software como um servio. Masters thesis, Universidade Federal de Santa Catarina. [Canovas et al. 2004] Canovas, O., Lopez, G., e Gomez-Skarmeta, A. F. (2004). A credential conversion service for saml-based scenarios. In In Proceedings of 1st European PKI Workshop, pages 297305. [Capkun et al. 2002] Capkun, S., Buttyan, L., e Hubaux, J.-P. (2002). Small worlds in security systems: an analysis of the PGP certicate graph. In New Security Paradigms Workshop, pages 2835. [Carminati et al. 2005] Carminati, B., Ferrari, E., e Hung, P. C. K. (2005). Web service composition: A security perspective. In WIRI, pages 248253. [Carmody 2001] Carmody, S. (2001). Shibboleth Overview and Requirements. Shibboleth Working Group.
143
[Cattaneo et al. 2004] Cattaneo, G., Faruolo, P., e Petrillo, U. F. (2004). Providing privacy for web services by anonymous group identication. In International Conference on Web Services (ICWS04). IEEE. [Char e Mezini 2005] Char, A. e Mezini, M. (2005). Using aspects for security engineering of web service compositions. In Proceedings of the 2005 IEEE International Conference on Web Services, Volume I, pages 5966. [Clement et al. 2004] Clement, L., Hately, A., von Riegen, C., e Rogers, T. (2004). UDDI Version 3.0.2. OASIS. [Damiani et al. 2004] Damiani, E., De Capitani di Vimercati, S., Fugazza, C., e Samarati, P. (2004). Extending policy languages to the semantic web. Lecture notes in computer science, pages 330343. [Damiani et al. 2003] Damiani, E., di Vimercati, S. D. C., e Samarati, P. (2003). Managing multiple and dependable identities. In IEEE Internet Computing, pages 2937. IEEE. [de Mello 2009] de Mello, E. R. (2009). Um modelo para conana dinmica em ambientes orientados a servios. PhD thesis, Universidade Federal de Santa Catarina. [de Mello et al. 2009a] de Mello, E. R., da Silva Fraga, J., e Wangham, M. S. (2009a). Um modelo de conana para composio de servios web. In Simpsio Brasileiro de Redes de Computadores, Recife, PE. Sociedade Brasileira de Computao. [de Mello et al. 2006] de Mello, E. R., Wangham, M. S., da Silva Fraga, J., e Camargo, E. (2006). Segurana em Servios Web, chapter 1, pages 148. Minicursos do SBSeg 2006. Sociedade Brasileira de Computao. [de Mello et al. 2009b] de Mello, E. R., Wangham, M. S., da Silva Fraga, J., Camargo, E., e da Silva Bger, D. (2009b). Model for authentication credentials translation in service oriented architecture. Transactions on Computational Sciences Journal, 5430:6886. [de Mello et al. 2005] de Mello, E. R., Wangham, M. S., da Silva Fraga, J., e Rabelo, R. J. (2005). A secure model to establish trust relationships in web services for virtual organizations. In Camarinha-Matos, L. M., Afsarmanesh, H., e Ortiz, A., editors, Collaborative Networks in Their Breeding Environment, pages 183190. Springer. [Demchenko et al. 2005] Demchenko, Y., Gommans, L., e de Laat an Bas Oudenaarde, C. (2005). Web services and grid security vulnerabilities and threats analysis and model. In SC05: Proc. The 6th IEEE/ACM International Workshop on Grid Computing CD, pages 262267, Seattle, Washington, USA. IEEE/ACM. [Erl 2006] Erl, T. (2006). Service-Oriented Architecture, Concepts, Technology, and Design. Prentice Hall. [Gambetta 1988] Gambetta, D. (1988). Trust: Making and Breaking Cooperative Relations. Basil Blackwell.
144
[Godfrey et al. 2006] Godfrey, P. B., Shenker, S., e Stoica, I. (2006). Minimizing churn in distributed systems. In Proceedings of ACM SIGCOMM, pages 147158, Pisa, Italy. [Gray et al. 2003] Gray, E., Seigneur, J.-M., Chen, Y., e Jensen, C. D. (2003). Trust propagation in small worlds. In First International Conference on Trust Management, pages 239254. [Hayes 2008] Hayes, B. (2008). 51(7):911. Cloud computing. Communications of the ACM,
[Hung et al. 2004] Hung, P. C. K., Ferrari, E., e Carminati, B. (2004). Towards standardized web services privacy technologies. In International Conference on Web Services (ICWS04). IEEE. [Imamura et al. 2002] Imamura, T., Dillaway, B., e Simon, E. (2002). XML Encryption Syntax and Processing. W3C. http://www.w3.org/TR/xmlenc-core. [Jain 1991] Jain, R. (1991). The art of computer systems performance analysis. Wiley. [Jones e Pickles 2007] Jones, M. e Pickles, S. (2007). Shebangs nal report. Technical report, University of Manchester. [Jsang et al. 2005] Jsang, A., Fabre, J., Hay, B., Dalziel, J., e Pope, S. (2005). Trust requirements in identity management. In Australasian workshop on Grid computing and e-research (CRPIT44), pages 99108, Darlinghurst, Australia. Australian Computer Society, Inc. [Jsang e Pope 2005] Jsang, A. e Pope, S. (2005). User centric identity management. In Asia Pacic Information Technology Security Conference (AusCERT05). [Krmloglu et al. 2005] Krmloglu, M., Nostdal, R., e Karvonen, I. (2005). Base concepts, chapter Virtual organisations: Systems and practices, pages 1128. Springer. [Liberty 2003a] Liberty (2003a). Introduction to the Liberty Alliance Identity Architecture. Liberty Alliance. [Liberty 2003b] Liberty (2003b). Privacy and Security Best Practices. Liberty Alliance. [Lopez et al. 2005] Lopez, G., Canovas, O., Gomez-Skarmeta, A. F., Otenko, S., e Chadwick, D. (2005). A Heterogeneous Network Access Service based on PERMIS and SAML. In In Proceedings of 2nd EuroPKI Workshop. [Lorch et al. 2003a] Lorch, M., Kafura, D., e Shah, S. (2003a). An xacml-based policy management and authorization service for globus resources. In GRID 03: Proceedings of the 4th International Workshop on Grid Computing, page 208, Washington, DC, USA. IEEE Computer Society. [Lorch et al. 2003b] Lorch, M., Proctor, S., Lepro, R., Kafura, D., e Shah, S. (2003b). First experiences using xacml for access control in distributed systems. In ACM Workshop on XML Security.
145
[Ma 2007] Ma, D. (2007). Business model of software-as-a-service. In Proc. of IEEE International Conference on Services Computing (SCC 2007). [Mcafee 2006] Mcafee, A. P. (2006). Enterprise 2.0: The dawn of emergent collaboration. MIT Sloan Management Review, 47(3):2128. [Merrill 2006] Merrill, D. (2006). Mashups: The new breed of web app. Technical report, IBM. http://www.ibm.com/developerworks/web/library/ x-mashups.html. [Milgram 1967] Milgram, S. (1967). The small world problem. Psychology Today, 1:61. [Mitra e Lafon 2003] Mitra, N. e Lafon, Y. (2003). SOAP Version 1.2 Part 0: Primer. W3C. = http://www.w3.org/TR/soap12-part0. [Muthaiyah e Kerschberg 2007] Muthaiyah, S. e Kerschberg, L. (2007). Virtual organization security policies: An ontology-based integration approach. Information Systems Frontiers, 9(5):505514. [OASIS 2004] OASIS (2004). Web Services Security: SOAP Message Security 1.0. OASIS. http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-message-security-1.0.pdf. [OASIS 2005a] OASIS (2005a). eXtensible Access Control Markup Language (XACML) version 2.0. Organization for the Advancement of Structured Information Standards (OASIS). http://docs.oasis-open.org/xacml/2.0/access_ control-xacml-2.0-core-spec-os.pdf. [OASIS 2005b] OASIS (2005b). Security Assertion Markup Language (SAML) 2.0 Technical Overview. Organization for the Advancement of Structured Information Standards (OASIS). [OReilly 2005] OReilly, T. (2005). What is web 2.0: Design patterns and business models for the next generation of software. [Papastergiou et al. 2008] Papastergiou, S., Valvis, G., e Polemi, D. (2008). A holistic anonymity framework for web services. In PETRA 08: Proceedings of the 1st international conference on PErvasive Technologies Related to Assistive Environments, pages 18, New York, NY, USA. ACM. [Patterson e Miller 2006] Patterson, R. e Miller, J. (2006). Expressing authorization in semantic web services. In 2006 IEEE International Conference on Granular Computing, pages 792795. [Patterson et al. 2008] Patterson, R., Miller, J., Cardoso, J., e Davis, M. (2008). Bringing semantic security to semantic web services. The Semantic Web Real-world Applications from Industry, page 273. [Penning 2006] Penning, H. P. (2006). Analysis of the strong set in the pgp web of trust. http://www.cs.uu.nl/people/henkp/henkp/pgp/ pathfinder/plot/.
146
[Ptzmann e Hansen 2007] Ptzmann, A. e Hansen, M. (2007). Anonymity, unlinkability, undetectability, unobservability, pseudonymity, and identity management a consolidated proposal for terminology. Version 0.29. http://dud.inf. tu-dresden.de/Anon_Terminology.shtml. [Rabelo 2008] Rabelo, R. J. (2008). Methods and Tools for Collaborative Networked Organizations, chapter Advanced Collaborative Business ICT Infrastructures, pages 337365. Springer. [Rabelo et al. 2008] Rabelo, R. J., del Mar Castro Rodriguez, M., Conconi, A., e Sesana, M. (2008). Methods and Tools for Collaborative Networked Organizations, chapter The ECOLEAD Plug and Play Collaborative Business Infrastructure, pages 371395. Springer. [Rannenberg 2000] Rannenberg, K. (2000). Multilateral security a concept and examples for balanced security. In Workshop on New security paradigms (NSPW00), pages 151 162, New York, NY, USA. ACM Press. [Rao e Sadeh 2005] Rao, J. e Sadeh, N. (2005). A semantic web framework for interleaving policy reasoning and external service discovery. Lecture notes in computer science, 3791:56. [Sabater e Sierra 2001] Sabater, J. e Sierra, C. (2001). Regret: A reputation model for gregarious societies. 4th Workshop on Deception, Fraud and Trust in Agent Societies, pages 6169. [Sabater e Sierra 2005] Sabater, J. e Sierra, C. (2005). Review on Computational Trust and Reputation Models. Articial Intelligence Review, 24(1):3360. [Sandhu e Samarati 1994] Sandhu, R. S. e Samarati, P. (1994). Access control: Principles and practice. IEEE Communications Magazine, 32(9):4048. [Shibboleth 2005] Shibboleth (2005). Shibboleth Architecture. http://shibboleth.internet2.edu/docs/ draft-mace-shibboleth-tech-overview-latest.pdf. [Spence et al. 2006] Spence, D., Geddes, N., Jensen, J., Richards, A., Viljoen, M., Martin, A., Dovey, M., Norman, M., Tang, K., Trefethen, A., Wallom, D., Allan, R., e Meredith, D. (2006). Shibgrid: Shibboleth access for the uk national grid service. In Proceedings of the Second IEEE International Conference on e-Science and Grid Computing (e-Science06), page 75. IEEE Computer Society. [Sutton e Barto 1998] Sutton, R. S. e Barto, A. G. (1998). Reinforcement Learning: An Introduction. MIT Press. [Teacy et al. 2006] Teacy, W. T., Patel, J., Jennings, N. R., e Luck, M. (2006). Travos: Trust and reputation in the context of inaccurate information sources. Autonomous Agents and Multi-Agent Systems, 12(2):183198.
147
[TERENA 2008] TERENA (2008). TERENA Compendium of National Research and Education Networks In Europe. TERENA. [Vecchio et al. 2005] Vecchio, D. D., Basney, J., e Nagaratnam, N. (2005). Credex: Usercentric credential management for grid and web services. In International Conference on Web Services, pages 149156, Orlando, Florida - EUA. [W3C 2002] W3C (2002). The Platform for Privacy Preferences 1.0 (P3P1) Specication. W3C Recommendation. http://www.w3c.org/TR/P3P. [W3C 2004a] W3C (2004a). Web Services Architecture. W3C Working Group. http: //www.w3.org/TR/2004/NOTE-ws-arch-20040211. [W3C 2004b] W3C (2004b). Web Services Architecture Requirements. W3C Working Group. http://www.w3.org/TR/2004/NOTE-wsa-reqs-20040211. [Wang e Vassileva 2003] Wang, Y. e Vassileva, J. (2003). Bayesian Network Trust Model in Peer-to-Peer Networks. Workshop on Deception, Fraud and Trust in Agent Societies, 7. [Wangham et al. 2005] Wangham, M. S., de Mello, E. R., Rabello, R., e da Silva Fraga, J. (2005). Provendo garantias de segurana para formao de organizaes virtuais. Gesto Avanada de Manufatura, 22:7584. [Weerawarana et al. 2005] Weerawarana, S., Curbera, F., Leymann, F., Storey, T., e Ferguson, D. F. (2005). Web Services Plataform Architecture. Prentice Hall, Indiana. [Whitby et al. 2005] Whitby, A., Jsang, A., e Indulska, J. (2005). Filtering out unfair ratings in bayesian reputation systems. The Icfain Journal of Management Research, 4(2):4864. [Winslett et al. 2002] Winslett, M., Yu, T., Seamons, K. E., Hess, A., Jacobson, J., Jarvis, R., Smith, B., e Yu, L. (2002). Negotiating trust on the web. IEEE Internet Computing, 06(6):3037. [WS-FEDERATION 2006] WS-FEDERATION (2006). services federation language (ws-federation) version http://download.boulder.ibm.com/ibmdl/pub/software/dw/specs/ws-fed/WSFederation-V1-1B.pdf. Web 1.1.
[WS-METADATAEXCHANGE 2009] WS-METADATAEXCHANGE (2009). Web services metadata exchange (ws-metadataexchange). W3C Working Draft. http://www.w3.org/TR/2006/REC-ws-addr-core-20060509. [WS-POLICY 2007] WS-POLICY (2007). Web services policy 1.5 - framework. W3C Recommendation. http://www.w3.org/TR/2007/REC-ws-policy-20070904/. [WS-SECURITY 2006] WS-SECURITY (2006). Web services security: Soap message security 1.1. OASIS Standard Specication. http://www.oasis-open.org/committees/download.php/16790/wss-v1.1-spec-osSOAPMessageSecurity.pdf.
148
[WS-SECURITYPOLICY 2007] WS-SECURITYPOLICY (2007). Ws-securitypolicy 1.2. OASIS Standard. http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/wssecuritypolicy-1.2-spec-os.pdf. [Zhang e Zhou 2009] Zhang, L.-J. e Zhou, Q. (2009). Ccoa: Cloud computing open architecture. In 2009 IEEE International Conference on Web Services, pages 607616. [Zhang et al. 2006] Zhang, X., Nakae, M., Covington, M., e Sandhu, R. (2006). A usagebased authorization framework for collaborative computing systems. In Proceedings of the eleventh ACM symposium on Access control models and technologies, pages 180189. ACM New York, NY, USA. [Zhang et al. 2008] Zhang, X., Nakae, M., Covington, M. J., e Sandhu, R. (2008). Toward a usage-based security framework for collaborative computing systems. ACM Trans. Inf. Syst. Secur., 11(1):136.

Segurança em Redes Colaborativas

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança em Redes Colaborativas

Enviado por

Direitos autorais:

Formatos disponíveis

Captulo

pelo CNPq (Projeto 484740/2007-5)

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

3.2. Redes colaborativas: tipos e infra-estruturas de servios

Minicursos SBSeg 2009

Figura 3.1. Ciclo de Vida de Vida de uma Organizao Virtual

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

detalhes sobre esses servios podem ser obtidos em http://www.rnp.br/servicos

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Registro de servios Localizar Publicar

Provedor de servios Servio

Figura 3.2. Interao entre as entidades da AOS[de Mello et al. 2006]

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Figura 3.3. Exemplo do Modelo de Negcio SaaS[Cancian 2009]

Minicursos SBSeg 2009

conhecido como on-demand computing.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

3.3. Questes de segurana em redes colaborativas

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Acesso ao servio de VOIP?

Aqui um professor da ps graduao do Departamento de Automao e Sistemas.

Deve ser um Professor de Mestrado da Instituio de Ensino

Figura 3.5. Exemplo de um problema de casamento sinttico de poltica de autorizao

XML Schema e instrues XQuery ou XPath maliciosas.

Minicursos SBSeg 2009

3.4. Solues de Segurana para Redes Colaborativas

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

processos ou mquinas autorizados pelas polticas do sistema.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Minicursos SBSeg 2009

Figura 3.9. Acrescentando anotaes semnticas em WSDL

Lumina WSDLS vs. WSDL

Verificao de Autorizao Verificador de Polticas

A Figura 3.10 mostra, no passo 1, um cliente enviando uma requisio de servio

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

informaes em: http://lsdis.cs.uga.edu/projects/meteor-s/downloads/Lumina/

Minicursos SBSeg 2009