Proporcionando acceso federado y SSO a servicios de internet mediante kerberos e infraestructuras AAA = Providing federated access and SSO to internet services by means of kerberos and AAA infrastructures

  1. Pérez Méndez, Alejandro
Zuzendaria:
  1. Gabriel López Millán Zuzendaria
  2. Rafael Marín López Zuzendaria

Defentsa unibertsitatea: Universidad de Murcia

Fecha de defensa: 2015(e)ko urtarrila-(a)k 23

Epaimahaia:
  1. Antonio Skarmeta Gómez Presidentea
  2. Oscar Cánovas Reverte Idazkaria
  3. Georgios Kambourakis Kidea
  4. Diego Rafael López García Kidea
  5. Francisco Javier López Muñoz Kidea
Saila:
  1. Ingeniería de la Información y las Comunicaciones

Mota: Tesia

Laburpena

Proporcionando acceso federado y SSO a servicios de Internet mediante Kerberos e infraestructuras AAA A día de hoy las federaciones de identidad para servicios web y para el acceso a la red están bastante asentadas y aceptadas. Pero, ¿qué ocurre con otros tipos de servicio que no soportan estas tecnologías? El objetivo de esta tesis es diseñar soluciones que permitan el establecimiento de federaciones de identidad más allá del Web, evitando los problemas que presentan las soluciones disponibles en el estado del arte. Para ello se han analizado y seleccionado un conjunto de tecnologías asociadas al control de acceso que, una vez integradas, proporcionan la funcionalidad completa deseada: " Kerberos, para realizar el control de acceso a los servicios de aplicación, dadas las grandes cualidades que presenta (seguro, ligero, SSO, etc.), su amplio despliegue y su gran rango de servicios y sistemas operativos soportados. " Infraestructuras AAA, para el soporte de federación, por su amplio uso para proporcionar acceso federado a la red (p.ej. eduroam). " SAML, para el soporte de autorización, por su gran historial de éxito y amplio despliegue en federaciones basadas en Web. Por tanto, el objetivo general de esta tesis puede expresarse como: Analizar, diseñar y validar soluciones que permitan a los usuarios obtener credenciales Kerberos para un proveedor de servicios específico, como resultado de un proceso de autenticación realizado a través de una federación AAA y de un proceso de autorización basado en el intercambio de sentencias SAML con la organización origen. Este objetivo se ha abordado de tres formas diferentes, dependiendo del escenario de uso, dando lugar a tres sub-objetivos más específicos: 1. Diseñar una solución que permita la generación de credenciales Kerberos mediante la integración directa de las infraestructuras Kerberos y AAA en el proveedor de servicios. 2. Diseñar una solución que permita la generación de credenciales Kerberos mediante el uso de un protocolo auxiliar (out-of-band) que haga uso de la infraestructura AAA para autenticar al usuario. 3. Diseñar una solución que permita la generación de credenciales Kerberos como consecuencia del proceso de autenticación federada en la red. Además, se definen los siguientes sub-objetivos transversales: 4. Diseñar un modelo de autorización que permita la distribución de información de autorización a través de la infraestructura AAA. 5. Validar las soluciones diseñadas mediante modelos analíticos e implementación de prototipos. A fin de cumplir con estos objetivos, esta tesis define tres soluciones al problema planteado: " FedKERB integra las infraestructuras Kerberos y AAA mediante la definición un nuevo mecanismo de pre-autenticación para Kerberos basado en tecnologías como GSS-API y EAP (objetivo 1). Además, incluye la posibilidad de realizar una autorización avanzada mediante la generación y el transporte de una sentencia SAML desde el IdP de la organización origen hasta la infraestructura Kerberos del proveedor de servicios (objetivo 4). " PanaKERB define una alternativa a FedKERB que no requiere la modificación del mecanismo de pre-autenticación de Kerberos, sino que utiliza un protocolo out-of-band con soporte nativo para infraestructuras AAA (en este caso PANA) para realizar la autenticación federada del usuario (objetivo 2). " EduKERB proporciona una arquitectura cross-layer que integra Kerberos con la autenticación realizada durante el acceso a la red (basada en AAA), mediante la utilización de un nuevo mecanismo de pre-autenticación para Kerberos que utiliza el resultado de una ejecución EAP exitosa previa (objetivo 3). Además, esta tesis proporciona un análisis funcional y de rendimiento de las contribuciones (objetivo 5), consistente en la definición de un modelo teórico de rendimiento, la implementación de prototipos para demostrar su viabilidad y la medición de su rendimiento real, basado en la ejecución de estos prototipos. De este análisis se han extraído dos conclusiones principales. En primer lugar, las tres propuestas presentan tiempos de ejecución aceptables (es decir, similares a los que se dan durante el acceso a la red, que sirve como referencia). Además, al haberse implementado y ejecutado en un entorno real, su viabilidad real queda demostrada. Providing federated access and SSO to Internet services by means of Kerberos and AAA infrastructures Nowadays identity federations for web applications and for the network access service are widely used and accepted. But, what happens with other kind of applications that do not support these technologies? The objective of this thesis is designing solutions to allow establishing identity federations beyond the web, avoiding the issues shown by the state of the art alternatives. For doing that, this thesis has analyzed and selected a set of technologies associated to access control. These technologies, once integrated, provide the totality of the desired functionality. " Kerberos, to perform the access control to application services, given the great features it has (secure, lightweight, SSO, etc.), its wide deployment, and its extensive range of supported applications and operating systems. " AAA infrastructures, to provide federation substrate, given their wide usage to provide federated access to the network service (e.g. eduroam). " SAML, to provide support for authorization, due to its great history of success and wide deployment for web-based federations. Hence, the general objective of this PhD thesis can be expressed as: To analyse, design, and validate solutions that enable end users to bootstrap Kerberos credentials for a specific service provider, as the result of an authentication process conducted through the AAA-based federation, and an authorization process based on the exchange of SAML statements with the home organization. This objective has been approached in the different ways, depending on the target scenario, and resulting into three more specific sub-objectives: 1. To design a solution allowing the bootstrapping of Kerberos credentials by means of the integration of the Kerberos and AAA infrastructures in the service provider. 2. To design a solution enabling the bootstrapping of Kerberos credentials by means of an auxiliary protocol (out-of-band) which makes use of the AAA infrastructure to authenticate the end user. 3. To design a solution enabling the bootstrapping of Kerberos credentials as a result of the federated authentication to the network service. Besides, the following transversal sub-objectives are defined: 1. To design an authorization model enabling the distribution of authorization information through the AAA infrastructure. 1. To validate the designed solutions by means of analytical models and prototype implementations. In order to accomplish with these objectives, this PhD thesis defines three solutions to the problem stated problem: " FedKERB integrates the Kerberos and AAA infrastructures by means of the definition of a new pre-authentication mechanism for Kerberos based on GSS-API and EAP (objective 1). Besides, it includes the possibility of performing advanced authorization based on the generation and transport of a SAML assertion from the IdP in the home organization to the Kerberos infrastructure in the service provide (objective 4). " PanaKERB defines an alternative to FedKERB that does not require the modification of the Kerberos pre-authentication mechanism. Instead, it makes use of an out-of-band protocol with native support for AAA infrastructures (i.e. PANA) to perform the federated authentication of the end user (objective 2). " EduKERB provides a cross-layer architecture integrating Kerberos with the authentication process performed during the network access process (based on AAA), by means of a new pre-authentication mechanism that makes use of the results of a successful previous EAP authentication (objective 3). Besides, this PhD thesis provides a functional and performance analysis of the aforementioned contributions (objective 5), consisting of the definition of a theoretical performance model, the implementation of prototypes to demonstrate their feasibility, and the actual performance measurement based on these prototypes. To major conclusions have been extracted from the results of this analysis. On the one hand, the three contributions have shown reasonable execution times (i.e. similar to the ones shown for the network access service, used as a reference). Besides, since they have been implemented and executed in a real environment, they feasibility has been proven.