Digital identity management through the interoperability of heterogeneous authentication and authorization infrastructures
- Antonio Skarmeta Gómez Director
Universidad de defensa: Universidad de Murcia
Fecha de defensa: 25 de julio de 2017
- Diego Rafael López García Presidente/a
- Antonio Ruiz Martínez Secretario
- Fernando Pereñiguez García Vocal
Tipo: Tesis
Resumen
La necesidad de interconectar personas y servicios crece cada día. Los usuarios demandan mecanismos que garanticen la privacidad y la seguridad en el uso de los sistemas informáticos, al tiempo que requieren que todos los servicios estén conectados y disponibles. Por otra parte, las instituciones públicas y privadas, así como las empresas trabajan intensamente en aumentar el uso y la calidad de sus redes y servicios, siempre estudiando nuevas formas de mejorar sus recursos y crear otros nuevos. Debido a las diversas opciones de federaciones de identidad con diferentes mecanismos de autenticación, se realiza un gran esfuerzo en homogeneizar e integrar las infraestructuras de autenticación y autorización existentes (AAI). Los Sistemas de Gestión de Identidad (IdM, abreviatura del término inglés Identity Management) ofrecen a los usuarios herramientas y mecanismos para ayudarles en la tarea de controlar sus credenciales e información personal. Estos mecanismos incluyen desde la gestión de la privacidad y la seguridad, hasta el mecanismos más complejos como el Single Sign-On, entre otros. Desde el punto de vista de los Proveedores de Servicios, los Sistemas de Gestión de Identidad permiten simplificar la gestión de los usuarios gracias a la delegación del proceso de autenticación y el almacenamiento de credenciales. La integración de protocolos de autenticación y autorización heterogéneos, así como la interoperabilidad de información de identidad de diferentes fuentes no son tareas triviales debido a la gran variedad de tecnologías disponibles. Su integración gracias a los mecanismos de gestión de identidad permite avanzar hacia nuevos escenarios más ricos y seguros, con nuevos servicios y procedimientos online que simplifican y agilizan la vida de las personas. La gestión de la identidad debe aprovecharse como una tecnología clave para el Internet del futuro. En un nivel superior, las federaciones de identidad se basan en el establecimiento de acuerdos de confianza entre organizaciones que permiten a cualquier usuario de la federación acceder a los recursos y servicios de cualquier organización federada gracias a una identidad digital única común. Esta identidad federada, válida para todos los servicios dentro de la federación, simplifica el control de credenciales así como la gestión de usuarios por los proveedores de servicios. Esta tesis estudia los mecanismos existentes de gestión de identidad así como las federaciones de identidad más populares para establecer características y necesidades comunes, definiendo sobre ellas nuevos y mejores mecanismos que permitan una gestión de la identidad y un control de la confianza más rico y potente. El objetivo principal es analizar, diseñar y validar soluciones que permitan la gestión de la identidad digital a través de la interoperabilidad de infraestructuras de autenticación y autorización a diferentes niveles, desde la mejora de los mecanismos de gestión de la identidad y del control de acceso, hasta el nivel de interconexión de federaciones. Para cada uno de estos enfoques se ha seguido la siguiente metodología 1. Análisis del contexto tecnológico y del estado del arte relacionado 2. Propuesta y diseño de una solución de interoperabilidad que mejore los mecanismos existentes. 3. Diseño e implementación del software necesario basando el desarrollo en un modelo incremental iterativo. 4. Validación de la solución propuesta a través del desarrollo de un prototipo completo de la arquitectura teniendo en cuenta factores importantes como la funcionalidad, la seguridad y el rendimiento, para demostrar su viabilidad técnica, así como medir su impacto en la experiencia de usuario a través de diferentes métricas. Los resultados de esta tesis pueden agruparse en tres bloques según los objetivos en los que se ha centrado el trabajo: " Para mejorar las capacidades de gestión de la identidad se ha llevado a cabo un análisis de los principales protocolos de autenticación y autorización en el área del la gestión de la identidad con el fin de contribuir en la propuesta de mecanismos avanzados como las identidades parciales, anonimato, mejoras en la privacidad y en las políticas de control de acceso (incluyendo las políticas distribuidas propuestas como extensión al estándar XACML3.0). Se ha realizado una descripción en leguaje formal de la arquitectura SWIFT así como un prototipo funcional de la arquitectura para su validación. " Para mejorar la gestión de la confianza: se ha implementado la librería WS-Trust para usarla dentro de Servicio de Seguridad de la solución GEMBus. Para mejorar este servicio de gestión de la confianza centrado en el intercambio de tokens de seguridad se ha propuesto una solución de interoperabilidad entre los estándares WS-Trust y OAuth 2.0. Finalmente, se ha validad la arquitectura GEMBus y la solución de interoperabilidad propuesta a través de un piloto completo. " Para mejorar la interoperabilidad entre federaciones de identidad se ha realizado un análisis completo de la federaciones más importantes en las áreas de educación, investigación y instituciones gubernamentales, identificando los principales requisitos y desafíos relativos a su interoperabilidad. Se usado como base las federaciones de eduGAIN y STORK 2.0 para analizar, comparar y definir los mecanismos de interoperabilidad necesarios para conseguir su integración, proponiendo como resultado la incorporación de una entidad intermedia denominada eduPEPS. Finalmente, se ha realizado la validación de la solución propuesta a través de la implementación y despliegue de un tesbed completo de ambas federaciones y el eduPEPS.. The need to interconnect people and services grows everyday. Companies are aware of the need to unite and offer common services as a way to win new users and simplify their management. Similarly, governments and institutions see the need to migrate their services to the digital world to cover the ever increasing demand for e-management, which streamlines procedures and saves costs. Identity Management Systems offer users tools and mechanisms to help them in the task of controlling credentials and personal information. These mechanisms range from the credential management and privacy assurance to Single Sign-On among others. From the point of view of Service Providers, Identity Management Systems allow the simplification of user management, since they assume the delegation of the authentication process and credential storage. The integration of heterogeneous authentication and authorization protocols as well as identity information from different sources are not trivial given the wide variety of technologies available. Their integration thanks to identity management mechanisms allow us to move toward new richer and safer scenarios, with new services and online procedures that simplify and streamline people's lives. IdM must be leveraged as a key technology of the Future Internet, tackling problems like the integration of heterogeneous services and technologies from an IdM perspective as well as backward compatibility and a new access control infrastructure that are required by IdM solutions. On a higher level, Identity federations are based on the establishment of trust agreements between organizations that allow any user in the federation to access resources and services of any federated organization thanks to a unique digital identity, which is common to the whole federation. This federated identity, valid for all federated services, simplifies the credential control by the user and the user management by service providers. This thesis studies the existing identity management mechanisms and the most popular identity federations to establish common features and open challanges in order to define new and better mechanisms that enable rich and powerful identity management and trust control functions over them. The main focus is to analyse, design, and validate solutions that enable digital identity management through the interoperability of authentication and authorization infrastructures at different levels, from the improvement of identity management and trust control mechanisms to the interfederation level. For each of these approaches the following methodology has been followed 1. Analysis of the technological context and related state of the art. 2. Proposal and design of an interoperability solution to improve existing mechanisms. 3. Design and implementation of the necessary software based on development in an iterative incremental model. 4. Validate the designed solutions by means of analytical models and prototype implementations, taking into account such important factors as functionality, security, feasibility, usability or performance, as well as measuring its impact on the user experience through different metrics. The results of this thesis can be grouped in three blocks according to the objectives in which the work has been focused: " To improve Identity Management capabilities: we have analyzed the main authentication and authorization protocols in the area of IdM, in order to propose advanced mechanisms for IdM architectures, being the main features: partial identities, anonymity functions, better privacy and access control policies (including Deductive Policies). This latter contribution was sent as proposal to XACML 3.0 standardization group. Finally, we have defined SWIFT architecture using formal language, and used it as base for the complete implementation of a functional prototype of the architecture to its validation. " To improve Trust Management: we have implemented the WS-Trust library to use it in the implementation of the GEMBus Security Service based on Security Token Service. To improve the trust management, we have proposed an interoperability solution to integrate WS-Trust and OAuth security standards that have enabled the interaction between heterogeneous authorization technologies. Finally, a complete GEMBus pilot has been deployed to validate the architecture and the interoperability proposal. " To improve interfederation interoperability: we have reviewed the main identity federations in the area of in the area of education, research and government institution, identifying the main requisites and open challenges in the identity federation interoperability problem. We have analyzed and compared eduGAIN and STORK~2.0 federations, in order to define the required interoperability mechanisms to reach their integration, as result we have proposed the introduction of the eduPEPS. Finally, we have validated the integration proposed thought the eduPEPS implementation and the deployment of complete testbed.