OpenPMI - PowerPoint PPT Presentation

About This Presentation
Title:

OpenPMI

Description:

OpenPMI – PowerPoint PPT presentation

Number of Views:39
Avg rating:3.0/5.0
Slides: 34
Provided by: joseamonte
Category:
Tags: openpmi | lh

less

Transcript and Presenter's Notes

Title: OpenPMI


1
OpenPMI
  • hacia la implantación del marco de trabajo de
    administración de privilegios X.509

2
Agenda
  • Situación Actual, Inseguridad
  • Mal uso de las Tecnologías existentes o
    necesitamos Nuevas Tecnologías?
  • Autenticación vs Autorización
  • PMI como propuesta ITU-T X.509
  • OpenPMI ? http//openpmi.sourceforge.net

3
Mal uso tecnología
4
Problema
v
5
Posible solución SSL/TLS
6
De nuevo el problema
7
De nuevo el problema Visión del usuario
8
Nueva Propuesta Microsoft
9
Autenticación y Autorización
  • Autenticación y Autorización son conceptos
    vinculados.
  • Tanto en el entorno digital como el humano
  • Definición R.A.E
  • Identificar 2. tr. Reconocer si una persona o
    cosa es la misma que se supone o se busca.
  • Autenticación 1. tr. Autorizar o legalizar
    algo.
  • Autorizar 1. tr. Dar o reconocer a alguien
    facultad o derecho para hacer algo.
  • La identidad de una persona no varía del trabajo
    a la vida personal (identificación única)
  • Y la Autorización?
  • Tenemos los mismos privilegios en todos los
    contextos Hogar, Trabajo, Reunión de Amigos

10
Autenticación y Autorización
  • Autenticación es el proceso que prueba quién es
    el usuario
  • Autorización, apoyándose en autenticación, pero
    describe qué puede hacer el usuario
  • Por tanto considera los derechos o propiedades
    que ha de poseer el usuario para realizar
    determinadas tareas
  • Los esquemas de Autorización normalmente
    utilizados son
  • DAC
  • MAC
  • RBAC .. ABAC

11
PMI como propuesta ITU-T X.509
  • Es posible plantearse si son PKIs adecuadas para
    aplicaciones que necesitan servicios de
    autorización
  • Es posible utilizar un certificado de identidad
    X.509 para almacenar los privilegios de un
    usuario
  • Utilizando la extensión Subject directory
    attributes
  • Pero .
  • El problema con los certificados de identidad es
    que tienen un periodo de validez relativamente
    largo
  • Además, no tiene que ser la misma entidad que
    emita sentencias de autenticación y autorización

12
Autorización y PKIs
  • La Recomendación X.509 del 2000 establece el
    marco de trabajo para los certificados de
    atributos.
  • Privilege Management Infrastructure, PMI
  • Incluye la especificación de los elementos
    utilizados para la especificación de este tipo de
    certificado
  • Certificado de Atributo Una estructura de
    información, firmada digitalmente por una
    Autoridad de Atributos, que vincula atributos con
    la identificación de su poseedor.

13
Certificado Identidad vs Atributo
14
Interés Legal
  • German Digital Signature Law (SigG)
  • Definición de Certificado
  • A digital attestation concerning the attribution
    of a public signature key to a natural person to
    which a digital signature is affixed (signature
    key certificate),
  • or a special digital attestation which refers
    unmistakably to a signature key certificate and
    contains further information (attribute
    certificate).

15
OpenPMI
  • http//openpmi.sourceforge.net

16
Proyectos OpenPMI realizados
  • OpenSSLAC
  • Visual AA
  • Delegation Editor
  • xSAML

17
OpenSSLAC I..
  • Inicialmente es necesario establecer un marco de
    trabajo para X.509
  • La librería OpenSSL es el marco establecido
  • a. Adición a la librería de Soporte Acs
  • b. Implementación de un proceso en línea de
    comandos para la administración de ACs

18
OpenSSLAC II..
  • OpenSSL está compuesto principalmente por dos
    elementos
  • Cryptographic library (crypto)
  • SSL library (ssl )
  • El proceso es completado mediante cuatro pasos
  • Definición de la estructura del certificado
  • Definición de las funciones asociadas
  • Inclusión de los nuevos elementos al proceso de
    compilación de la librería
  • Verificación ACs con un Visualizador de ASN.1

19
Certificado Atributo
20
OpenSSLAC III
  • Una vez que hemos incluido el soporte de ACs
    dentro de OpenSSL tenemos dos posibilidades
  • Crear una herramienta dentro de la línea de
    comandos (x509AT)
  • Aplicación externa (Visual AA)

21
Visual AA
22
Delegation Editor
  • Delegación Inicialmente adquiere matiz más
    cercano a transferencia de Identidad que a la
    transferencia de los Privilegios
  • Autenticación era el servicio que dirigía el
    control de acceso
  • Sistemas, los recursos y las acciones estaban
    fácilmente limitados
  • No era posible asignar propiedades a la
    delegación (ej. tiempo)
  • Delegación de grano grueso
  • Los recursos que un sistema debe administrar se
    han multiplicado y las acciones a realizar sobre
    ellos
  • De nuevo la situación actual desborda a la
    seguridad
  • Necesaria Delegación de grano fino

23
Delegation Editor
  • Delegation Model Languaje Lenguaje Visual para
    construir sentencias de Delegación.
  • Permite a los usuarios diseñar fácilmente el
    estado del sistema
  • Delegación Controlada Avanzada
  • (IssuerHolderWeightResource)
  • Las métricas que evalúan los caminos de
    delegación deben cumplir propiedades de
    monotonía, es decir, el nivel de confianza del
    camino decrece a medida que profundiza

24
Delegation Editor
25
Delegation Editor
Equivalencia entre el grafo y la secuencia de ACs
26
Delegation Editor
  • Traducción directa del modelo de grafos a cadenas
    de certificados de atributos

WeightPathIdentifier EXTENSION SYNTAX
WeightPathIdentifieSyntax IDENTIFIED
BY id-ce-WeightPathIdentifier
WeightPathIdentifieSyntax SEQUENCE SIZE
(1..MAX) OF ArcsId ArcsId SEQUENCE Origin
IssuerSerial, Destination
HolderSerial, Weight REAL
(0..1), Delegable BIT, Sign BIT
27
xSAML
  • Traductor de sentencias Saml a X509 y viceversa
  • Realizado con librerías OpenSAML y BouncyCastle

28
Proyectos OpenPMI en realización
  • TLSAC
  • Soporte Web (Apache)
  • Soporte Cliente (Mozilla)
  • Otros protocolos como SSH
  • Soporte para Smart Card
  • Inclusión en núcleo Windows

29
TLSAC
  • Primera propuesta
  • S. Farrell. TLS extensions for Attribute
    Certificate based authorization. IETF TLS Working
    Group, 1998.

30
TLSAC II
  • Propuesta Actual
  • Mark Brown, Russ Housley. Transport Layer
    Security (TLS) Authorization Extensions. IETF TLS
    Working Group, 2006.

Client Server
ClientHello (with AuthorizationData)
--------gt
ServerHello
(with AuthorizationData)
Certificate
ServerKeyExchange

CertificateRequest
lt-------- ServerHelloDone
Certificate ClientKeyExchange
CertificateVerify ChangeCipherSpec
Finished --------gt

ChangeCipherSpec
lt-------- Finished
Application Data lt-------gt
Application Data
31
TLSAC III
  • Estado Actual

32
Conclusiones
  • Problemas de Seguridad
  • Mal uso existentes
  • Necesarias nuevas tecnologías
  • Hemos visto el caso de la Autenticación y
    Autorización
  • En cualquier caso es necesario el desarrollo de
    herramientas
  • OpenPMI propone un servicio de autorización
    estándar que completa a los servicios de
    autenticación

33
Gracias por su atención
http//openpmi.sourceforge.net
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "OpenPMI" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!