gerência de identidade na internet do futurosbrc2011.facom.ufms.br/files/mc/mc4.pdf · gerência...

Capítulo

4Gerência de Identidade na Internet do Futuro

Michele Nogueira, Aldri Santos, Jenny Torres,Angelita Zanella, Yuri Danielewicz

Abstract

The Internet as a platform for ubiquitous communication has quickly advanced in the lastyears. New services have emphasized the limits of the current Internet and motivatedthe development of the Future Internet. New network architectures are more complex,more distributed and, ideally, more secure. However, as new technologies emerge, newrequirements and security issues are highlighted. These issues emphasize the importanceof identity management systems for the Future Internet in order to provide adequate dy-namic services in relation to users personal data and requirements. Therefore, this shortcourse presents the state of the art of Identity Management Systems on Future Internet,particularly on Next Generation Networks (NGN), highlighting the challenges, encryptionmethods used, specific devices applied, proposed architectures and future perspectives.

Resumo

A Internet como uma plataforma de comunicação ubíqua tem evoluído rapidamente nosúltimos anos. Cada vez mais, os serviços estão migrando para uma rede totalmente IP,enfatizando os limites da Internet atual e motivando a construção da Internet do Futuro.As novas arquiteturas de rede são mais complexas, mais distribuídas e, idealmente, maisseguras. No entanto, como novas tecnologias também surgem, novos requisitos e preo-cupações com segurança são ressaltados. Desta forma, a Internet do Futuro destaca aimportância da gerência de identidade dos usuários finais em relação ao fornecimento eutilização dos seus dados pessoais e a necessidade de acesso a uma arquitetura de ser-viços dinâmicos. Este minicurso apresenta uma visão geral sobre o estado da arte empesquisas relacionadas ao gerenciamento de identidades na Internet do Futuro, parti-cularmente nas redes da próxima geração, enfatizando os desafios, os métodos de crip-tografia utilizados, os dispositivos específicos, as arquiteturas propostas e perspectivasfuturas.

4.1. IntroduçãoA Internet atual desempenha um papel fundamental na sociedade fornecendo intercâmbiode informações e ambiente de comunicação nas relações comerciais e interações sociais.Pessoas do mundo inteiro dependem hoje da Internet para manter o contato com a famíliae amigos, localizar, acessar e trocar informações, desfrutando de comunicação multimídiae utilizando serviços de software avançados. Com a popularização da Internet, as expec-tativas aumentaram em relação às novas aplicações e serviços em diferentes áreas, taiscomo saúde, transporte automotivo e de emergência.

A grande utilização da Internet atual tem demonstrado as suas restrições e moti-vado o desenvolvimento da chamada Internet do Futuro. Uma das principais premissaspara a Internet do Futuro é a disponibilidade e eficiência de vários serviços e, acima detudo, sua constante disponibilização ao público [Paul et al. 2011]. A Internet do Futurose diferencia da Internet existente pelo aumento da dependência na informação distri-buída, pelo controle descentralizado, e por avanços ditados pelo mercado e por regula-mentações, além de uma forte exigência de segurança [FOKUS 2009]. A Internet doFuturo é caracterizada por quatro dimensões, ilustradas na Figura 4.1, sendo a Internetpor e para as Pessoas, a Internet de Conteúdo, a Internet dos Serviços e a Internet dasCoisas, apoiadas por uma infraestrutura de rede, conhecida como Rede da Próxima Gera-ção [Chim et al. 2011, Gomez-Skarmeta et al. 2010, Weber et al. 2010].

Figura 4.1. Dimensões da Internet do Futuro e a infraestrutura de rede

Os conceitos e serviços da Internet do Futuro possuem novas exigências e produ-zem condições diferentes, tornando impossível a utilização direta de soluções propostaspara a Internet existente. A segurança é um fator fundamental para a Internet do Futuro epara os seus serviços por pretenderem ser universais e onipresentes. A heterogeneidade,dinamicidade, interdependência e autonomia existentes entre os elementos da Internet doFuturo aumentam as vulnerabilidades de segurança e a dificuldade de proteger a rede, osserviços e as aplicações contra entidades maliciosas.

O gerenciamento de identidades tem atraído atenção nos últimos anos como uma

152 Minicursos Livro Texto

forma eficiente de prover confiança entre as entidades da Internet do Futuro, e de protegerou mitigar os efeitos de entidades maliciosas [Sabena et al. 2010, Sarma and Girão 2009].O gerenciamento de identidade (do inglês, Identity Management ou IdM) identifica as en-tidades, e controla o acesso a recursos por meio de restrições impostas [Josang et al. 2005].Existe um consenso entre os pesquisadores sobre o papel vital do gerenciamento de iden-tidades em muitas aplicações estratégicas, incluindo aquelas visionadas pela Internet doFuturo em diferentes contextos como entretenimento, saúde, investigações policiais, ser-viços fornecidos pelo governo (governo eletrônico ou e-government), comércio ubíquoou u-commerce, inteligência empresarial e segurança corporativa.

Em específico para as redes da próxima geração, a gerência de identidade desem-penha um papel fundamental. Essas redes têm como base a transferência de pacotes paraprover serviços, incluindo aqueles de telecomunicação, e para se beneficiar de múltiplastecnologias e infraestruturas de comunicação, sendo as funcionalidades relacionadas aosserviços independentes das tecnologias subjacentes de transporte dos pacotes. Essas redesse caracterizam por uma forte separação entre as funções de controle relacionadas à trans-missão dos pacotes e ao provimento de serviços. Elas também possuem acesso irrestritode usuários a diferentes provedores de serviços e uma variedade de sistemas de identi-ficação para facilitar o controle da rede, além de necessitarem apresentar característicasunificadas para um mesmo serviço quando considerada a perspectiva do usuário. Paratodas essas características, a gerência de identidade pode auxiliar a rede tendo conheci-mento do perfil dos usuários, das características dos serviços e das políticas de acesso,a fim de prover os serviços da forma mais eficiente possível aos usuários e garantindo atransparência de operações desempenhadas pela rede, como a garantia da qualidade deserviço, a mobilidade, o uso de diferentes tecnologias e outras.

Em face aos avanços e a importância que o uso de identidades vem ganhando, a ge-rência de identidades requer cada vez mais um suporte tecnológico [Hansen et al. 2008].Um sistema de gerência de identidades (SGI) objetiva proporcionar assistência tecnoló-gica para o controle e o monitoramento de identidades, entretanto, uma ferramenta holís-tica para todos os fins de gestão de identidade ainda é inexistente. Os principais fatoresque vêm motivando e impulsionando o desenvolvimento de SGIs para a Internet do Futurosão descritos a seguir.

Assistência à gerência de várias identidades digitais. Os usuários possuem atualmentemuitas contas (identidades digitais), onde os dados de autenticação, tais como se-nhas ou PINs, têm de ser memorizados. Como o conceito de identificação universale único está longe de ser implementado, a quantidade de identidades digitais porpessoa tende a aumentar ainda mais no contexto da Internet do Futuro, quando umamaior quantidade de serviços diferentes serão oferecidos. Os usuários precisamde apoio conveniente para gerir essas identidades e os correspondentes métodos deautenticação.

Auxílio na gerência de informações indesejadas ou na sobrecarga de informações. Osusuários precisam de apoio prático para situações em que são abordados indesejada-mente por outras pessoas ou até mesmo máquinas. A gestão de identidade pretendefacilitar o uso inteligente dos contatos dos usuários por meio de mecanismos comoo bloqueio de mensagens de spam.

XXIX Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos - SBRC 2011 153

Vulnerabilidades na garantia de autenticidade e o roubo de identidades. As redes decomunicação de hoje não garantem a autenticidade e facilitam o roubo de identida-des. Os sistemas que suportam métodos de autenticação, integridade e não repúdio,tais como as assinaturas digitais, podem impedir o uso não autorizado despercebidode identidades digitais. No entanto, o uso eficiente de sistemas de gerência de iden-tidades também pode assistir na prevenção do uso não autorizado de identidadesdigitais.

Falta de privacidade. Os usuários deixam rastros de dados usando redes de comunica-ção, sendo que a maioria dessas informações é gravada sem o seu conhecimento esem qualquer possibilidade de evitar esses rastros, comprometendo a privacidade.Por meio de um sistema de gerenciamento de identidades, cada usuário pode con-trolar o quanto de suas informações é divulgado. O anonimato e pseudonimato sãométodos para controle e divulgação dessas informações que estão em desenvolvi-mento e que são considerados em sistemas de gerência de identidade atuais.

Controle e o monitoramento de identidades nas redes da próxima geração. Na pers-pectiva de infraestrutura de rede, o controle e o monitoramento de identidades au-xilia no bom provimento de serviços. Conhecer a identidade de entidades e con-sequentemente o perfil dessas entidades, facilita a priorização no transporte de pa-cotes, auxilia as operações para garantir qualidade de serviço (QoS), torna maiseficiente a identificação de redes diferentes que compõem a infraestrutura de rede etorna mais confiável o controle de acesso. Entretanto, atualmente, diferentes arqui-teturas de gerência de identidade existem, requerendo uma unificação dos sistemasde controle e gerência de identidades a fim de garantir uma melhor eficiência dasoperações da rede.

Em geral, os sistemas de gerência de identidade seguem três paradigmas prin-cipais: o paradigma puro de identidade, o paradigma voltado ao acesso do usuário e oparadigma voltado a serviços. O paradigma puro de identidade sugere a criação, a gestãoe a supressão de identidades como operações básicas. O paradigma voltado ao acesso dousuário implica na autenticação para ter acesso a um serviço. E o paradigma voltado aoserviço personaliza a entrega de serviços sob-demanda aos usuários e seus dispositivos.Esses paradigmas aplicam técnicas e ferramentas adequadas para cada um deles. O uso deidentidades digitais, biometria, cartões inteligentes e técnicas de criptografia baseada emidentidades são exemplos dessas técnicas e ferramentas aplicadas [Josang et al. 2005].

Com base nessas considerações, este minicurso apresenta uma visão geral sobreo estado da arte em pesquisas relacionadas ao gerenciamento de identidades na Internetdo Futuro, com enfâse no gerenciamento de identidades nas redes da próxima geração.Este minicurso ressalta os desafios, os métodos de criptografia utilizados, os dispositivosespecíficos, as arquiteturas propostas e as perspectivas futuras. Inicialmente, os conceitosde Internet do Futuro, de redes da próxima geração e de sistema de gerenciamento deidentidade são descritos. Em seguida, o minicurso está fundamentado sobre as redes dapróxima geração, ressaltando os requisitos de um sistema de gerência de identidade paraInternet do Futuro, o estado da arte das arquiteturas de gerência de identidade, os desafiosexistentes e as perspectivas futuras. O minicurso será concluído com a descrição das


principais ferramentas de gerência de identidade e uma apresentação prática sobre o usode sistemas de cartões inteligentes multiaplicações empregados para gerenciar e unificaridentidades digitais, enfatizando as dificuldades em utilizá-los e os problemas atuais.

4.2. Internet do FuturoNos últimos anos, o termo Internet do Futuro tem despertado bastante interesse. Esse in-teresse vem se intensificando com o aumento de financiamentos oriundos de organizaçõescomerciais, acadêmicas e governamentais para a execução de projetos de pesquisa e de-senvolvimento. Não há, entretanto, uma visão uniforme sobre o que a Internet do Futuroserá, nem existe um acordo sobre quais são os objetivos das diversas atividades concor-rentes da Internet do Futuro. Embora muitas discussões neste contexto tenham como focoos aspectos técnicos (por exemplo, questões relacionadas a como o endereçamento ou oroteamento devem ser feitos na Internet do Futuro), um consenso nas discussões sobre aInternet do Futuro é a perspectiva voltada a serviços.

Dessa forma, nesta seção a Internet do Futuro será abordada sob uma perspectivamenos orientada a protocolo e mais orientada a serviços. Para a maioria dos usuários, aInternet é definida como um conjunto de serviços. A maioria das pessoas associam a In-ternet com o fácil acesso à informação e motores de pesquisa, a disponibilidade de vídeos,músicas ou serviços de entretenimento e o acesso on-line a plataformas de negociação,serviços de comunicação pessoal ou plataformas de redes sociais, visto que a maioria dosusuários da Internet não estão cientes da importância da rede subjacente, ou seja, da in-fraestrutura de rede propriamente dita. Entretanto, entender como os usuários utilizarão aInternet do Futuro e a relação dos serviços com as redes de comunicação subjacentes sãoprimordiais para identificar os requisitos que a infraestrutura de rede deve apoiar.

Primeiro, é importante salientar que os serviços da Internet do Futuro estão sendoconstruídos com base nas seguintes tecnologias:

Acesso ubíquo e de boa qualidade à rede: Com a disponibilidade de redes ópticas dealta qualidade e o aumento da largura de banda e da qualidade das redes sem fio,assume-se que a conectividade será cada vez mais onipresente e barata. Na ver-dade, assume-se que o acesso à rede será tão difundido quanto o acesso atual àeletricidade.

Novas técnicas da interação homem-computador: a disponibilidade da tecnologia desensores compacta e barata e as novas tecnologias de visualização revolucionarão aforma como se interage com os computadores. A interação com computadores atra-vés de gestos e visores embutidos nos objetos do cotidiano irá mudar a forma comose utiliza os computadores. Inovações significativas são esperadas nesta área, comonovas técnicas de interação homem-computador para ajudar a distinguir produtos.

Sensores e a disponibilidade de contexto rico em informações: a tecnologia de senso-res está permitindo novas formas de interação homem-máquina, como também no-vas aplicações. Espera-se que os sensores sejam integrados em muitos produtosde uso diário, dando acesso a informações contextuais. O acesso ubíquo aos da-dos fornecidos por sensores favorecerá o desenvolvimento de novas aplicações eserviços.


Conteúdos e serviços gerados pelo usuário (mashups): as tecnologias que permitem ofácil gerenciamento de conteúdos e serviços gerados pelo usuário estão se desen-volvendo rapidamente. Estima-se que o próximo grande passo seja o desenvolvi-mento de tecnologias de mashup, permitindo que os usuários combinem facilmenteconteúdos e serviços existentes para fornecer novos formatos e serviços integra-dos [Benslimane et al. 2008]. As tecnologias de Web semântica têm um grandepotencial para fomentar o avanço da tecnologia mashup, uma vez que elas têm evo-luído a cada dia e tornam-se maduras e acessíveis o suficiente para o uso por umagrande quantidade de usuários.

Tendo como referência o comportamento da maioria dos usuários da Internet,acredita-se que alguns avanços irão moldar a evolução da Internet do Futuro. Dentreesses avanços, destacam-se os serviços personalizados. Começando com resultados debuscas personalizadas e sensíveis ao contexto, considera-se que haverá um número cadavez maior de produções da mídia direcionadas a grupos de interesse especiais, e servi-ços de entretenimento que adaptam a música preferida ou o estilo do filme ao humor dosusuários [Alduán et al. 2011, Chai et al. 2011, Choi et al. 2011]. Fortemente relaciona-das com os serviços personalizados estão as redes sociais, que associam usuários cominteresses comuns. Elas representam digitalmente as relações pessoais e fornecem umareferência importante para as questões de identidade e de confiança na Internet. Estima-seainda que as redes sociais se tornarão móveis e cientes do contexto no futuro próximo.

Outros avanços que deverão auxiliar na definição da Internet do Futuro são a pri-vacidade e o anonimato. Essas duas questões vêm se tornando cada vez mais importantespara os usuários da Internet [Maghiros et al. 2006]. Apesar da consciência para essas duasquestões ainda ser pouco desenvolvida no contexto atual dos utilizadores da Internet, osprimeiros sinais de mudança já são observados. Hoje, existe um mercado especializadode empresas que oferecem serviços de privacidade na Internet para pessoas famosas, eespera-se que a sensibilidade dos usuários da Internet para as preocupações ligadas à pri-vacidade e ao anonimato também aumente.

Além desses avanços, a era dos computadores pessoais instalados com um grandenúmero de aplicações está chegando ao fim. No futuro, a tendência é ver muitos clientesusando a rede para prover desde o armazenamento de dados até o uso de aplicativos,os quais serão fornecidos como serviços. Isso auxiliará os usuários a lidar melhor comatividades assessórias, como backups e atualizações de software. Além disso, o poderde computação pode ser acessado quando necessário, através de servidores dedicadosorganizados em rede (por vezes, chamados de computação em nuvem [Li et al. 2009,Zhou et al. 2010]), reduzindo assim os custos de manutenção do sistema.

Outras questões, como robustez, disponibilidade, confiabilidade e segurança, se-rão de grande preocupação para os usuários da Internet uma vez que eles dependerão cadavez mais desses serviços [Heegaard and Trivedi 2009]. A Internet do Futuro precisa sertratada como uma infraestrutura crítica semelhante às redes de energia ou fontes de águafresca. No entanto, os meios para alcançar um elevado nível de robustez na Internet doFuturo será muito diferente comparado ao uso de estruturas de controle hierárquicas. Arobustez na Internet do Futuro tende a ser alcançada usando abordagens distribuídas.


4.2.1. Exemplos de serviços da Internet do Futuro

Espera-se que um grande número de novos serviços sejam criados com o advento da In-ternet do Futuro. Essa subseção apresenta exemplos de serviços da Internet do Futurocomo forma de mostrar a importância na evolução da mesma e a necessidade de garantirum controle e monitoramento de identidades eficiente e seguro. Essa subseção ofereceuma visão geral dos novos serviços, enfatizando que todos eles têm como suporte a infra-estrutura de rede subjacente apresentada na subseção 4.2.2.

Garantias de armazenamento distribuído

Até recentemente, o armazenamento de dados era realizado em mídias como discos rí-gidos ou DVDs e era considerado como armazenamento centralizado. Esse modelo dearmazenamento possui várias desvantagens. A informação, por exemplo, não está dispo-nível em todos os lugares, versões antigas dos arquivos geralmente não são arquivadas eos meios físicos têm vida útil limitada. Como muitos usuários de computadores pessoaisnão fazem backups regulares, existe um risco elevado de perda de dados de alto valorpessoal como fotos de férias, gravações de áudio ou vídeos pessoais.

No futuro, estima-se que os dados pessoais irão ser armazenados em redes dearmazenamento distribuído. Os serviços de armazenamento irão oferecer virtualmenteuma quantidade ilimitada de memória, e irão manter um histórico de todas as alteraçõesnos arquivos do usuário, além de tornar os dados acessíveis em qualquer lugar para umaampla quantidade de dispositivos diferentes. Eles irão ainda prestar serviços de privaci-dade, e oferecerão garantias de armazenamento, através de um certo número de cópiasredundantes, por exemplo.

Vários protótipos de serviços de armazenamento totalmente distribuído já exis-tem. Eles têm como base tecnologias par-a-par. Entretanto, esses protótipos normalmentenão possuem algumas das características mencionadas como a privacidade e a disponibi-lização dos dados a qualquer momento, em qualquer lugar e a qualquer dispositivo. Alémdisso, a capacidade de armazenamento disponibilizada é geralmente limitada. Os siste-mas muitas vezes supõem que os dispositivos de armazenamento cooperativos estão lo-calizados em computadores tradicionais, e por isso não possuem interfaces que permitama interação direta com dispositivos como câmeras, telas sensíveis ao toque incorporadasaos dispositivos móveis ou roupas inteligentes.

Armazenamento da vida cotidiana através de multimídia

Com o armazenamento em rede tornando-se bastante disponível e com a miniaturizaçãode microfones e câmeras, será cada vez mais comum para as pessoas a gravação de grandeparte dos acontecimentos de sua vida. Hoje, já existem pessoas carregando sempre umacâmera e registrando tudo o que vêem. No entanto, esta tecnologia tem muito mais po-tencial. Os dados recolhidos por microtelefones e câmeras podem ser combinados cominformações provenientes do próprio uso de outros dispositivos técnicos, como carros oumotos, e de sensores incorporados em objetos do quotidiano.

Tal comportamento, ajudará a prover serviços inovadores aos usuários, como bus-cas personalizadas e eficientes, assim como assistirá o gerenciamento da infraestruturade rede contribuindo para a qualidade dos serviços. Atualmente, existem grupos de pes-


quisa que investigam os efeitos de comportamentos sociais nos serviços fornecidos pelaInternet [Benevenuto et al. 2009, Boccaletti et al. 2006]. Também existem iniciativas queaplicam o conhecimento adquirido na caracterização do comportamento dos usuários de-senvolvendo soluções para gerência de redes orientada ao contexto e ao comportamentodos usuários [Boldrini et al. 2010, Hui et al. 2011, Li and Sandrasegaran 2005]. Entre-tanto, os principais desafios existentes nessa abordagem são a integração de várias fontesde dados e a indexação automatizada para a sustentação da recuperação eficiente da in-formação relevante. Por razões óbvias, a proteção de privacidade eficaz deve ser imple-mentada em soluções que seguem essa abordagem.

Serviços de saúde

Os serviços médicos fornecidos por profissionais vêm sofrendo grandes modificações. Adisponibilidade de dispositivos baratos de monitoramento em rede da saúde e os avançosnos sensores embarcados em todos os objetos do dia-a-dia dará aos médicos detalhessobre nossos corpos. Pessoas com riscos especiais providenciarão acesso direto aos dadossobre as funcionalidades essenciais de seus corpos, além de se visionar a disponibilizaçãode serviços de monitoramento do corpo on-line, facilitando uma assistência rápida emcaso de emergência.

Com a disponibilidade de maiores quantidades de dados médicos, haverá umatendência da personalização da medicina. A medicina personalizada começa com a sele-ção de combinações de fármacos otimizados para uma condição específica do paciente,oferecendo a oportunidade de produzir medicamentos personalizados, combinando pro-dutos químicos de maneiras específicas para otimizar os efeitos positivos para o paciente,reduzindo assim os efeitos colaterais indesejados.

No contexto dos serviços de saúde, pode-se também vislumbrar novas formas dediagnóstico on-line. Perguntas como "Estou grávida?"poderiam ser respondidas por umsistema de busca semântica, permitindo que o sistema tenha acesso aos dados coletadospor sensores instalados no banheiro, por exemplo. Muitas tarefas de diagnóstico padrãopodem ser potencialmente oferecidas como serviços on-line conectados a mashups médi-cos integrando fabricantes farmacêuticos, comerciantes, comunidades on-line e sistemasde busca semântica especializados.

Serviço de entretenimento personalizado

Com a Internet do Futuro, existe uma forte tendência sobre a personalização dos serviçosde entretenimento. As ofertas on-line de músicas, filmes ou jogos não levará apenas emconta as preferências estáticas em relação aos diferentes estilos de música ou de tiposde jogos, mas também considerarão o contexto mais amplo, e em especial o humor, ashabilidades e os interesses dos usuários. As estações de rádio on-line proporcionarãoa música que melhor corresponda às atividades atuais. Dependendo se o usuário estácozinhando ou limpando a cozinha, ele receberá diferentes estilos de músicas e as músicastocadas podem até ser selecionadas com base no tempo disponível para a realização daatividade.

Em geral, é esperado um crescimento da interação entre os objetos do mundo reale os objetos que só existem em mundos virtuais. As chamadas interfaces de realidade


mista permitirão novas formas de participar de jogos multiparticipantes on-line. Os jogosmultiparticipantes já são utilizados por milhões de usuários, e os números ainda tendem acrescer. Nestes jogos a interação social é fundamental, pois os jogadores formam gruposa fim de resolver problemas juntos. Com a integração da realidade virtual e o mundoreal, os grupos formados e a interação entre os participantes levam a novas experiênciase informações que podem inclusive serem utilizadas para um gerenciamento eficiente dainfraestrutura de rede.

4.2.2. Redes da próxima geração

As redes da próxima geração, do inglês Next Generation Networks ou NGN, são visi-onadas como uma resposta aos operadores e fornecedores de redes e serviços a fim desubstituir as redes de telefonia existentes, bem como introduzir uma nova plataformade serviços convergentes entre as redes fixas e as redes móveis [Akyildiz et al. 2006,Park and Rappaport 2007, Prasad et al. 2008, Song and Jamalipour 2005]. É geralmenteum consenso que a principal diferença entre as redes de telecomunicações tradicionais eas redes da próxima geração seja a mudança de um paradigma de redes de comunicaçãovoltadas a aplicações específicas, separadas e verticalmente integradas para um paradigmade uma única rede capaz de executar qualquer serviço. A NGN está essencialmente rela-cionada ao fornecimento de novos serviços que serão disponibilizados de forma pervasivae ubíqua, ou seja, em qualquer lugar, a qualquer hora e em qualquer dispositivo, atravésde qualquer meio de acesso escolhido pelo cliente.

Espera-se das redes da próxima geração uma coexistência e intercomunicação en-tre as redes com fio (xDSL, Metro Ethernet, FTTH, ISDN e outras), as redes sem fio(2G, 3G, WLAN, WiMAX/WiBro e outras), bem como as redes por satélites e as re-des de radiodifusão, todas interligadas por um backbone de redes que utilizam o proto-colo IP (Internet Protocol) e pela Internet. Neste ambiente de rede heterogêneo, alémdos desafios tradicionais com segurança, QoS (Quality of Service) e tarifação, os no-vos desafios como mobilidade generalizada, descoberta e seleção de rede devem exis-tir [Song and Jamalipour 2005]. Fornecer uma gerência eficaz, segura e eficiente do am-biente e da operação das redes da próxima geração é um enorme desafio. Esta subseçãoapresenta um breve panorama das redes da próxima geração tendo como base a defini-ção e arquitetura funcional usada pela ITU-T (International Telecommunication Union,Standadization Sector) [ITU-T 2004].

Uma NGN é uma rede baseada em pacotes de suporte à transferência de diferentestipos de tráfego, como voz, vídeo e dados [Sakellari p053]. A Figura 4.2 apresenta umavisão geral da arquitetura funcional da NGN [ITU-T 2004]. Essa rede espera integrar osserviços oferecidos pelas redes tradicionais e os inovadores serviços IP em uma únicaplataforma de serviços, sendo que essa integração deve ser mais transparente possívelpara o usuário final [Salsano et al. 2008]. A NGN faz uma forte distinção lógica e físicaentre a rede de serviços, a rede de transporte de dados (também chamada de rede debase ou núcleo da NGN) e a rede de acesso. A rede de serviços possui funcionalidadesrelacionadas aos serviços, independentes das tecnologias de transporte subjacentes. Asfuncionalidades da rede de serviços se concernem às aplicações e aos serviços oferecidosàs entidades. A rede de transporte de dados consiste dos equipamentos de roteamentode pacotes (roteadores, switches e gateways) e das funcionalidades voltadas ao transporte


Figura 4.2. Arquitetura funcional das redes da próxima geração

de dados oferecendo transferência física de informações entre as entidades envolvidas noprocesso de comunicação (como os usuários, os computadores ou os dispositivos móveis).A rede de acesso é composta pelas várias tecnologias de acesso ao meio de comunicaçãoexistentes como as tecnologia de comunicação com fio e sem fio.

A rede de serviço é composta por vários servidores, tais como servidor Web,os servidores de Autenticação, Autorização e Contabilidade, do inglês Authentication,Authorization and Accounting (AAA), o servidor SIP Proxy, o servidor LDAP, entre ou-tros. Ela é responsável apenas pelo fornecimento dos serviços e das aplicações para osusuários da NGN. A conexão entre a rede de serviços e a rede de transporte de dados podeser implementada por meio de gateways.

A rede de transporte de dados em uma NGN representa a espinha dorsal do trans-porte tal como existe nas redes tradicionais. Ela se preocupa com a transferência deinformações entre as entidades pares e deve suportar os diferentes serviços oferecidospela rede de serviços. Além da transferência de pacotes, as funcionalidades voltadas aocontrole e gerenciamento da infraestrutura de rede também são implementadas na rede debase [Choi and Hong 2007, Kim and Shin 2008]. A rede de base também é responsávelpor tornar transparente para os usuários e serviços a convergência de redes e tecnologias.

A rede de acesso em NGN é derivada das tecnologias de acesso existentes. Paraacomodar vários meios de acesso, esta rede é separada da rede de base, servindo como um


nível intermediário entre os equipamentos dos usuários e o núcleo da rede da próxima ge-ração. Cada tecnologia de acesso deverá ser usada tal como foi previamente especificada.Dessa forma, a rede de acesso consiste na prática de um conjunto de redes diferentes taiscomo redes sem fio ad hoc, redes de comunicação por satélite, redes cabeadas e outras.

A arquitetura das redes da próxima geração precisa oferecer uma flexibilidade deconfiguração para suportar várias tecnologias de acesso. Ela precisa também de um apoiodistribuído e de mecanismos de controle e de gerência de identidade abertos. Estes devemproporcionar uma separação e identificação nos serviços oferecidos pela operação da redede transporte e melhorar a oferta de serviços diversificados da NGN.

As funcionalidades voltadas à gerência de rede permitem ao operador da NGNcontrolar a rede e prover os serviços da NGN com a qualidade, segurança e confiabilidadeesperadas. As funcionalidades de gerência são aplicáveis às redes de transporte e deserviços da NGN, e cobrem as áreas de gerência de falhas, configuração, contabilização,desempenho e segurança. As funções de usuário final são formadas por interfaces quepermitem ao usuário se conectar à rede de acesso da NGN, por meio de equipamentosmóveis ou fixos.

4.3. Gerência de IdentidadeDesde o início de sua história, o ser humano sente a necessidade de estabelecer relaçõescomerciais. Os povos primitivos já utilizavam o comércio, na forma de escambo, atravésdo qual trocavam os alimentos que possuíam em excesso por outros de que necessita-vam. Ao longo da história, as relações comerciais passaram por profundas mudanças, quepossibilitaram a evolução dessas relações e a criação de novas oportunidades. O desenvol-vimento da Internet gerou uma revolução nas relações comerciais, aproximando pessoas ecriando novas necessidades de produtos e serviços. Com o surgimento do mundo virtual,novas ferramentas foram desenvolvidas, o que gerou mudanças na forma de relaciona-mento e nos conceitos envolvidos nas transações.

Para que as relações comerciais sejam estabelecidas, é necessário que as partesenvolvidas possuam algum nível de conhecimento sobre a outra parte. Conhecer a outraparte é importante para saber que nível de confiança pode ser depositado nela e se ela éidônea, pressupondo assim, se irá cumprir ou não a sua parte na transação. Nas relaçõestradicionais, em que há algum tipo de contato direto entre as partes, a troca de informaçõesocorre de forma natural. Até mesmo a impressão causada pelo contato entre as partes podeinfluenciar no estabelecimento de confiança entre elas.

Nos novos serviços fornecidos pelas redes da próxima geração, assim como nosserviços virtuais em geral, é ainda mais importante conhecer a outra parte envolvida nacomunicação ou nas transações. No contexto do mundo virtual, a resposta para perguntasrelacionadas ao parceiro comercial ou provedor de serviços envolvem conceitos sobreentidade, identidade, identificador e credencial. Conhecer esses conceitos é importantepara compreender como acontecem as operações de autenticação e autorização, e comoelas podem ser aplicadas no provimento de serviços da Internet do Futuro.

Para que uma transação aconteça, é necessário que haja algum nível de confiançaentre as partes. Quando essa confiança não pode ser estabelecida diretamente, é neces-


sária a interação por meio de um intermediário confiável para ambas as partes (tambémchamado de terceira parte), como demonstrado na Figura 4.3. Nas relações comerciaistradicionais, o papel do intermediário é feito por um fiador em uma locação, por exemplo,ou por uma instituição financeira nos casos de compra com cheque ou cartão de crédito.No mundo virtual, muitos negócios são feitos sem o contato direto entre as partes. Nestecaso, para que as relações de confiança sejam estabelecidas, é importante o envolvimentode uma terceira parte. Esta terceira parte é responsável por fornecer informações sobre oparceiro, dando origem ao conceito de identificação.

Figura 4.3. Relação comercial envolvendo um intermediário

As identidades das partes envolvidas na transação são controladas e monitoradaspor sistemas de gerência de identidade (SGIs). Estes são programas ou frameworks queadministram uma coleção de identidades, realizam sua autenticação, gerenciam seu uso eas informações vinculadas à identidade [Maliki and Seigneur 2007]. Os SGIs tradicionaissão utilizados como mecanismos de autenticação e autorização, sendo esse primeiro me-canismo responsável por estabelecer a confiança entre o sistema e a identidade informada,e o segundo responsável por fornecer à identidade permissões para realizar determinadasações no sistema. Além disso, os sistemas tradicionais criam perfis relacionados às iden-tidades e armazenam informações sobre o seu uso. No entanto, novos modelos têm sidopropostos, alguns otimizados para atender aos objetivos do usuário, outros otimizadospara tratar de questões relacionadas à infraestrutura de redes ou requisitos das aplicaçõese serviços. Essa mudança de paradigma é necessária para atender às novas característicasresultantes da NGN.

4.3.1. Entidade, identidade e credencial

Considerando a importância da identificação, esta subseção descreve os conceitos envol-vidos no processo de identificação, tais como entidades, identidades, identificadores ecredenciais.

• Sistema é um conjunto de software e hardware que armazena informações sobreentidades, credenciais, identidades e processamento das operações relacionadas aosseus ciclos de vida. Pode ser uma rede de serviços armazenando informações sobreseus clientes, por exemplo. Um sistema geralmente protege seus dados ou serviçose, portanto, utiliza autenticação e autorização.

• Entidade pode ser um pessoa, um serviço de rede, um dispositivo computacionalem rede ou um dispositivo de telefonia móvel. As entidades existem no mundo


real. Elas usam credenciais e possuem um ciclo de vida separado do ciclo de vidade qualquer identidade, identificador ou credencial associada.

• Identidade é um instrumento utilizado por uma entidade para fornecer informaçõessobre si para o sistema. Ao contrário da entidade, a identidade é um conceito virtuale não existe no mundo real. Uma identidade sempre está associada a uma entidadee geralmente é formada por um identificador único. O identificador é utilizado paraprovar a propriedade da identidade (por meio de credenciais) e fornecer informa-ções (perfil) a um sistema. O sistema irá utilizar essas informações para tomardecisões sobre a entidade associada.

Uma entidade pode ter várias identidades, usando identidades diferentes para aces-sar sistemas diversos, a menos que esses sistemas se comuniquem e troquem in-formações sobre as entidades. Identidades diferentes também podem ser utilizadaspara acessar um único sistema, quando a entidade o utiliza para fins diferentes. Porexemplo, um usuário pode ter uma identidade de usuário comum e outra como umcontador da empresa.

• Identificador é o índice único de uma identidade. Normalmente, um identificador éusado pelo sistema para referenciar uma identidade. Deve ser exclusivo dentro deum sistema, mas pode ser reutilizado em vários sistemas.

• Credencial é utilizada para provar uma identidade em um sistema. Podem havervários tipos de credenciais, mas todas são utilizadas para provar a um sistema (comum nível aceitável de segurança) que uma entidade tem realmente o direito de usardeterminada identidade. Algumas credenciais são estabelecidas entre a entidade eo sistema (como uma senha) e algumas são emitidas por uma terceira parte (comoum passaporte).

A Figura 4.4 demonstra a relação entre entidade, identidade, identificador, creden-cial e sistema.

Figura 4.4. Relação entre entidade, identidade, identificador e credencial

Os conceitos de identificadores e credenciais podem parecer confusos e em alguns,casos até podemos usar um no lugar do outro. A principal diferença entre identificadores ecredenciais é o fato de que um identificador deve necessariamente ser único e a credencialnão. Apesar de ser único, o identificador pode ser a união de outros itens não únicos.


As credenciais podem ser geradas automaticamente pelo sistema (como as senhastemporárias geradas pelo sistema quando um usuário a esquece) ou podem ser criadasa partir de características particulares, como as características biométricas, por exemplo.Podem ser utilizados também métodos híbridos, ou seja, métodos que utilizam tanto acriação manual de uma identidade quanto a sua geração automática. Os métodos híbridospermitem ao usuário escolher seu identificador e, caso este já esteja em uso, o sistemaoferece identificadores alternativos. Uma visão sobre algumas possíveis fontes e tipos deinformação são mostradas na Figura 4.5.

1 e apenas 1 por sistema 0 ou mais

Nome Sobrenome

Data de nascimento

Chave pública PKI

Assinatura

Fotografia da face

Itens Públicos Itens Privados Biometria Gerados pelo Sistema

Chave Privada PKI Senhas

PINs

Impressão digital Scan da íris e retina

Assinatura manuscrita

Imagem da face

Número de Passaporte Número de Identidade

Número de CPF

Informações Pessoais

Identificador Credenciais

Figura 4.5. Fontes de informação

Para que uma entidade consiga acessar o sistema, primeiramente ela informa oseu identificador. Isso é necessário para informar ao sistema quem está solicitando oacesso. O próximo passo é fornecer provas de que essa entidade tem permissão para usaresse identificador, o que é feito informando a credencial. Uma vez concedido o acesso,o sistema irá conceder alguns privilégios para que a entidade possa efetuar determinadasações. Essa concessão de privilégios é chamada de autorização. Dentro deste contexto, hátambém o conceito de auditoria, que é um registro do que aconteceu e quando aconteceu.A fim de complementar os procedimentos descritos previamente, o sistema realiza umconjunto de registros, associando a entidade às suas ações. O ideal é que os registrossejam comprobatórios, fornecendo informações que possam ser utilizadas em caso deconflitos.

Esse conjunto de procedimentos descritos no parágrafo anterior descreve as qua-tro principais operações de um SGI, a identificação, a autenticação, a autorização e aauditoria. Um resumo desses procedimentos são descritos a seguir.

• Identificação é a ação de uma entidade fornecer uma identidade ao sistema por meiode um identificador;

• Autenticação é a ação do sistema verificar a legitimidade de uma identidade pormeio da verificação de credenciais;


• Autorização é a ação do sistema conceder privilégios a uma entidade após a auten-ticação da sua identidade;

• Auditoria é a ação de registrar as ações realizadas por uma entidade em um sistema,gerando uma prova tanto para as partes envolvidas quanto para terceiros.

Detalhes sobre credenciais

As credenciais podem existir em duas formas: privada e pública. Uma credencial pri-vada é usada pela entidade para provar sua identidade, enquanto a credencial pública éusada pelo sistema para validar a anterior. Assim, uma credencial pode existir em pares:

• Credencial Privada é qualquer informação usada pela entidade para informar quemé ou o que é. Pode ser secreta (como senha, PIN, chave secreta), elementos físicos(token, cartão corporativo, cartão bancário), ou características físicas (biométricas,como face, impressão digital).

• Credencial Pública é a contrapartida da credencial privada, utilizada para verificarse a credencial privada é válida. Por exemplo, uma fotografia é uma credencial deverificação da face de uma pessoa (uma credencial biométrica utilizada como umacredencial privada). Outros exemplos de credencial pública são a assinatura, o hashde uma senha (verifica se a senha informada gera o mesmo hash) ou uma chavepública criptográfica, sendo a chave pública uma reprodução matemática da chaveprivada criptográfica.

As credenciais são associadas a uma identidade específica, o que requer a criaçãode um vínculo entre a credencial e a identidade. Esses vínculos são criados a partir demecanismos que geram uma associação entre partes de informações. Um sistema podeacessar uma base de dados através de um vínculo ou de outro mecanismo sugerido pelaentidade. Os vínculos de informações podem ser criados pelo próprio sistema ou por umaterceira parte. Exemplos de vínculos são informações de uma base de dados ligando umusuário ao hash de sua senha, ou um certificado digital vinculado a uma chave pública.Ou ainda, uma carteira de habilitação, que vincula a assinatura ou fotografia ao nome,associando nome ao endereço ou nome à permissão para dirigir.

4.3.2. Ciclo de Vida

Assim como entidades, identidades e identificadores, as credenciais possuem um ciclo devida bem definido. Esse ciclo define o que acontece nas diversas fases da sua existência.O ciclo de vida das entidades envolve os mesmos conceitos do ciclo de vida das pessoas:criação, vida e morte. O problema está em sincronizar esse ciclo de vida às suas iden-tidades e credenciais, considerando os estágios intermediários, pois podem haver regrasespecíficas a serem aplicadas de acordo com a idade, como votar aos 16 anos e dirigir aos18. As entidades também podem ser máquinas ou telefones celulares. Neste caso, a cre-dencial é criada quando o equipamento é produzido e ativada após a compra. É preciso tercuidado também com dispositivos compostos, por exemplo, deve-se definir se o telefone


é o aparelho celular ou apenas o cartão SIM (Subscriber Identity Module ou módulo deidentificação do assinante). Na verdade cada um tem sua própria identidade, e podem serrastreados individualmente ou ser adicionados a uma lista negra.

As identidades são associadas às entidades. O estágio de criação geralmente émarcado pelo seu registro no sistema. Já o estágio de morte não pode ser um simples fim,uma vez que os registros podem precisar ser guardados depois que a conta for cancelada.O período de vida pode incluir atualizações da credencial e suspensões, por exemplo.As identidades podem ser suprimidas mesmo que a entidade associada ainda viva. Umapessoa pode encerrar uma conta no banco, por exemplo, ou pode continuar mesmo que aentidade tenha sido extinta, a fim de manter os registros.

Já um identificador é um ponteiro único para uma identidade e geralmente possuio mesmo ciclo de vida da identidade associada. No entanto, os identificadores podemser retidos indefinidamente, para garantir que não sejam realocados, o que poderia causarconfusão ou permitir fraudes posteriormente. Frequentemente as credenciais e os vínculostêm seus próprios ciclos de vida, separados do ciclo de vida da entidade/identidade asso-ciada. As senhas podem existir apenas por 90 dias e geralmente são válidas por menos de10 anos.

Criação

As credenciais e os vínculos são emitidos por provedores para as entidades, ou pelo me-nos acordado entre eles. Um provedor pode ser um sistema, quando emite credenciaispara que os usuários possam ser autenticados, ou um intermediário confiável tanto parao sistema quanto para a entidade, a fim de gerar um vínculo adequado para autenticaçãoentre as duas partes. O vínculo pode incluir datas, para controlar o período de validadeda credencial. A emissão da credencial pode ser solicitada pelo usuário ao solicitar umvínculo, como solicitação de um passaporte ou aquisição de um certificado digital, oudesencadeada por eventos do tipo registro de nascimento, ao chegar a uma certa idade, aconexão de um dispositivo à rede, por exemplo.

Vida

Algumas vezes as credenciais e seus vínculos necessitam de manutenção, como alteraçõesregulares da senha, renovação dos certificados digitais, dos passaportes ou da carteira dehabilitação. A renovação é uma forma simplificada do processo completo de registro. Ascaracterísticas dinâmicas das credenciais permitem que seu ‘valor conhecido’ mude du-rante a sua vida. As credenciais também podem ser suspensas. Isso é similar à revogaçãode um certificado digital, exceto pelo fato de que é reversível.

Morte

As credenciais podem ‘morrer’ porque expiraram ou porque foram revogadas. Elas geral-mente têm uma ‘data de expiração’ definida e depois desse período não será mais válida.


Alguns sistemas podem exigir que uma credencial não expire, pelo menos durante um pe-ríodo. Por exemplo, o controle de imigração pode insistir que um passaporte seja válidopor mais que seis meses a partir da data de entrada.

As credenciais também podem ser canceladas precocemente, devido a algum pro-blema, como a não existência da entidade, a mudança nas circunstâncias ou a credencialcompromentida, esquecida ou descoberta por um fraudador. A maior dificuldade comrelação à revogação e suspensão é que a credencial em si não traz informações suficientessobre a sua validade, para isso é necessário utilizar recursos externos, tais como as listasde revogação para verificar sua validade. Se a origem tornar-se indisponível ou apenas ti-ver informações sobre as credenciais revogadas por um período de tempo, há uma grandeprobabilidade de que uma credencial seja ‘ressuscitada’. Neste caso será impossível re-solver conflitos relacionados a seu uso histórico.

4.3.3. Sigle Sign-On

A autenticação única, ou single sign-on, é possibilitada devido aos benefícios que elaoferece aos usuários, como a conveniência de não terem que lembrar de diferentes dadosde autenticação para múltiplos sistemas e devido aos diversos problemas que múltiplasautenticações acarretam, como ter que redefinir senhas dezenas de vezes. A autenticaçãoúnica vem sendo considerada como um bom mecanismo de autenticação para as redesNGN. Esse tipo de autenticação auxiliaria o controle de acesso aos diferentes tipos derede e ao ambiente heterogêneo resultante da NGN. Além disso, a autenticação únicaparece promissora em relação aos possíveis benefícios que ela traria para a Internet doFuturo como um todo, visto que diferentes serviços serão disponibilizados e uma únicaautenticação facilitaria o uso desses serviços.

A autenticação única pode ser implementada de várias formas. Uma solução tem-porária é armazenar informações de logon do usuário para outros serviços. Dessa forma,quando o usuário faz logon, ele ganha acesso a todos os serviços adicionais. A vanta-gem disso é que não é necessário acessar diretamente outros sistemas. Porém, isso podeviolar políticas de segurança ou contratos. Uma alternativa é integrar os serviços protegi-dos com a solução de autenticação única, de modo que um logon forneça as credenciaisque podem ser automaticamente armazenadas no cliente e informadas quando necessárioa outros serviços. Exemplos disso são o padrão Kerberos e o SiteMinder da ComputerAssociates.

Todas as soluções que usam autenticação única, como as soluções de e-mail (Gmail),armazenamento de arquivo (Google Docs), agenda e criação de páginas (Google sites) daGoogle, por exemplo, devem utilizar as mesmas credenciais (no caso, senhas) para todosos serviços. Isso permite o uso de senhas mais seguras (desde que o sistema force o usuá-rio a usar uma senha mais complexa), uma vez que o usuário deverá lembrar apenas umacredencial.

4.3.4. Usuários, Provedores de Identidade e Provedores de Serviços

Como mostra a Figura 4.6, em um sistema de gerência de identidade típico, podemosidentificar três entidades envolvidas: os usuários, o provedor de identidade e os provedo-res de serviços.


• Usuário (U) é uma entidade que utiliza um serviço fornecido por um provedor deserviços. Os usuários utilizam SGIs para acessar serviços que exigem a certificaçãode seus atributos por uma terceira parte. Isso é comum em acessos que envolvema Internet, pois os usuários não confiam na segurança da transmissão de dados.Quando uma informação sensível, como o número do cartão de crédito, informa-ções médicas ou credenciais, são transmitidas para uma empresa desconhecida, ousuário hesita em usar a Internet. Portanto, a gerência de identidade tem por obje-tivo aumentar a confiança em processos que envolvem a Internet.

• Provedor de identidade (IdP) é uma entidade que controla as credenciais do usuá-rio e provê serviços de autenticação. As companhias que fornecem algum grau deidentificação, como as Autoridades Certificadoras, normalmente fornecem algunsserviços que se enquadram na definição de SGI. Tais serviços geralmente integramuma cadeia de segurança exigida por algum tipo de negócio on-line, como um ser-vidor de autenticação ou criptografia SSL.

• Provedor de serviços (PS) ou parte confiável é uma entidade que oferece umou mais serviços possíveis de serem acessados pelos usuários e utiliza os serviçosde uma IdP para autenticar um usuário. Os motivos que levam os provedores deserviços a implantar um SGI coincidem, em partes, com os motivos que levam osusuários a utilizá-lo. As organizações também atribuem importância às possibili-dades de aumento de segurança. Além disso, é importante para ambas as partes tercerteza sobre a autenticidade do parceiro de comunicação. Especialmente quandose pode evitar fraudes utilizando este meio.

A Figura 4.6 ilustra a interação entre essas três entidades do sistema de gerência deidentidade. Na figura, o usuário solicita um serviço a um provedor de serviços. Este porsua vez confia em um provedor de identidades, que fornece informações de autenticaçãosobre o usuário.

Figura 4.6. Partes de um sistema de gerência de identidade


Regulamentos, tais como proteção da privacidade, devem ser respeitados por pro-vedores de serviços. Uma SGI pode ajudar a organização a garantir e simplificar o cum-primento da legislação. Por influenciar a quantidade e a qualidade dos dados transmitidos,a quantidade de informações pessoais fornecidas pelo usuário deve ser reduzida, por meiodo uso de pseudônimos e credenciais. Os pseudônimos são identificadores de entidade.Uma entidade titular do pseudônimo pode ser identificada por meio dele. Denomina-sepseudonimato o uso de pseudônimos como identificadores.

4.4. Requisitos de um Sistema de Gestão de Identidade na Internet do FuturoEsta seção tem por objetivo definir os requisitos de SGIs que melhor satisfazem às neces-sidades da Internet do Futuro. Como mencionado anteriormente, segurança, privacidadee identidade são alguns dos maiores desafios do desenvolvimento da nova Internet. SGIsdeficientes podem agravar problemas de segurança já existentes e criar novas oportuni-dades para obter informações pessoais de usuários [Dhamija and Dusseault 2008]. Es-pecialistas têm indicado consistentemente privacidade, segurança e usabilidade comorequisitos essenciais de um SGI [Glässer and Vajihollahi 2008].

Privacidade

Privacidade é um requisito importante em todos os contextos da Internet do Futuro paraque haja compatibilidade legal. A Internet de serviços assim como toda a infraestruturade comunicação têm que cumprir leis e regulamentos relativos a direitos e privilégios dosusuários e provedores. Dessa forma, as preocupações com a privacidade são o principalfator para adoção de sistemas de gerência de identidade. Como a Internet do Futuropode envolver a transferência de informações sensíveis para diferentes partes, proteger aprivacidade permite evitar que informações pessoais dos usuários sejam usadas de formaindevida, causando a perda de autonomia e liberdade.

Questões de privacidade

• Rastreamento de usuários entre domínios. Alguns SGIs têm a capacidade de ras-trear um usuário em todos os sítios web que ele visita. Para manter a privacidade,é necessário que o usuário permaneça anônimo ou use pseudônimos, para escolherIdPs que não integrem todas as transações de todos os PSs e, finalmente, não audi-tem as ações do usuário. Muitos SGIs implementam partes dessa abordagem. Noentanto, espera-se que no contexto da Internet do Futuro, SGIs deverão implemen-tar o máximo de anonimato e pseudonimato possível em todas os níveis: rede deserviço, rede de base e rede de acesso.

• Acesso às informações sobre ações dos usuários. Nos SGIs atuais, o IdP é envol-vido sempre que uma operação de autenticação é necessária em um provedor deserviço. Dessa forma, o IdP pode guardar vestígios de todas as ações do usuário.Além disso, em muitos sistemas, o usuário não é envolvido em todas as trocas de in-formações de identidade entre o IdP e o PS. Em novos SGIs, é necessário preservara privacidade das ações dos usuários.


• Proporcionalidade e subsidiariedade violadas com frequência. Muitas das leis deprivacidade têm como base o princípio da proporcionalidade e subsidiariedade. Es-ses princípios estabelecem que a quantidade de dados pessoais coletados seja pro-porcional ao objetivo para o qual eles são coletados, garantindo sempre a privaci-dade dos usuários. Muitas vezes os provedores de serviços violam esses princípios.Esses provedores devem ser precisos com relação às informações pessoais neces-sárias para oferecer um serviço, e não devem solicitar mais informações do que asnecessárias. Torna-se dessa forma imprescindível a utilização de formas anônimaspara oferecer o mesmo serviço.

Segurança

Um SGI deve ser tão robusto quanto possível em relação a ataques contra disponibilidade,integridade e confidencialidade dos seus serviços e informações. Isso é especialmente im-portante devido à grande concentração de informações do usuário que são armazenadase detalhadas. Todavia, há sempre o risco de espionagem, manipulação e roubo de identi-dade. Se alguém está usando uma identidade estrangeira sem autorização, pode ser difícilou até impossível para a pessoa autorizada provar que não era ela quem estava agindo.Fraude digital não é facilmente detectável pelo parceiro contratual. Não é apenas a iden-tidade que está sendo capturada, mas também a reputação ligada à identidade. Um SGIdeve prevenir o roubo de reputação tão bem quanto deve prevenir o plágio e permitir onão-repúdio, se necessário.

Um requisito básico para segurança é que a autenticação seja exigida antes de todoacesso a dados que seja disponibilizado para as pessoas autorizadas. A forma de auten-ticação depende do tipo de dado e da ação efetuada. O tipo e grau de segurança exigidodepende do significado e do valor dos dados processados. Quando há apenas a coletade informações, como em uma navegação na web, a segurança pode não ser tão impor-tante como quando uma pessoa administra seu histórico médico. Devido a quantidade deinformações de identidade armazenadas e administradas por organizações, a segurançatambém é um requisito essencial para o PS. Os frameworks de SGIs atuais implementamtécnicas, métodos e políticas para a segurança de informações de identidades. No entanto,ainda existem várias vulnerabilidades [Alpár et al. 2011] como as descritas a seguir.

Questões de Segurança

• O IdP é um ponto único de falhas. Os sistemas de gerência de identidade exigemque o usuário e o PS atribuam alto grau de confiança ao IdP. Todas as informaçõesda identidade são armazenadas nos IdPs, e os usuários não podem fazer nada alémde confiar neles para preservar sua privacidade e as informações de sua identidade.Essa característica também pode ser usada para transformar um SGI em um sis-tema de vigilância em massa. Se o IdP se tornar uma autoridade, então ele podeacessar diretamente todos os dados armazenados e relacionados aos serviços acei-tos por esse IdP. Os sistemas de gerência de identidade devem impor a exigência deque o usuário controle parte dos dados necessários para efetuar login no PS. Alémdisso, o IdP precisa ser implementado ou seguir alguma forma de organização dis-tribuída que preveja redundância e confiablidade em caso de falhas ou de ataques


que possam comprometer as informações das entidades.

• O risco de phishing. Muitos dos SGIs atuais apenas oferecem um meio de au-tenticar o usuário, sendo impossível para o usuário autenticar o IdP ou o PS. Issoé necessário para prevenir ataques de phishing, em que os atacantes induzem ousuário a revelar sua identidade e credenciais. Para prevenir ataques de phishing éimportante que os usuários possam autenticar o PS e o IdP. A autenticação mútuaprecisa, então, ser incorporada aos SGIs.

• Quantidade de identidades por usuário. Uma das maiores vantagens dos SGIs parausuários é a autenticação simples, que não obriga os usuários a lembrarem de todosos nomes de usuário e senhas, exceto aquele utilizado para obter acesso ao IdP. Apartir dessa perspectiva, os usuários devem confiar em apenas um IdP para acessarseus serviços. Todavia, usar apenas um IdP significa que, se ele for comprometido,todos os dados da identidade também serão comprometidos. Portanto, é aconse-lhável que os usuários distribuam as informações de suas identidades em múltiplosIdPs. Para permitir determinar quais IdPs e qual a quantidade ideal de “identida-des”, estima-se a necessidade de se desenvolver um modelo que capture aspectosrelevantes como características dos serviços, dos usuários, comportamento da redee outros.

Usabilidade

Tornar os SGIs simples e fáceis de usar reduz as barreiras para sua adoção. A usabilidaderefere-se a “eficácia, eficiência e satisfação com que usuários específicos alcançam ob-jetivos em um ambiente particular”[Levin et al. 2009]. O IEEE define usabilidade como“facilidade com que um usuário pode aprender a operar, gerar entradas para, e interpretaras saídas de um sistema ou componente”. A usabilidade geralmente é mais importantepara usuários privados do que para organizações profissionais. Qualquer melhoria na usa-bilidade é mais uma questão de acessibilidade. A ausência de usabilidade pode causarum impacto negativo na funcionalidade, segurança e privacidade. Apesar de muitos SGIsafirmarem que são desenvolvidos tendo o usuário em mente, eles ainda apresentam muitosproblemas de usabilidade [Alpár et al. 2011]. Considerando o ambiente heterogêneo daInternet do Futuro e a complexidade que possa ocasionar a falta de usabilidade, os SGIspara a Internet do Futuro precisam ser fáceis de usar e suas operações devem ser o maistransparente possível para o usuário.

Questões de usabilidade

• Independência de localização. Um aspecto importante de usabilidade que está fal-tando nos SGIs atuais é a independência de localização. O sistema de identidadedeve permitir ao usuário criar, administrar e usar sua identidade independentementeda sua localização e dos dispositivos que ele esteja usando. Deve ser possível aousuário acessar um PS usando o SGI não apenas do seu computador pessoal, masde qualquer lugar. Os sistemas de gerência de identidade não podem depender dedados armazenados em um único equipamento do usuário, ainda mais considerando


as redes da próxima geração, a popularização de dispositivos portáteis e a facilidadede acesso a diferentes tipos de rede de comunicação.

• Distinção de identidades. Os usuários podem ter diversas identidades, mesmo queo escopo seja o mesmo. Essa distinção de identidades gera diferentes responsabi-lidades ou perfis. Usuários podem ter diferentes perfis que o permitem fazer açõesdiferentes em um determinado serviço. Além disso, o impacto das ações do usuá-rio dependem do seu perfil. Os SGIs atuais não permitem aos usuários administraresses perfils facilmente. Basicamente, os usuários são forçados a manter e adminis-trar vários identificadores para separar diferentes perfis. Os cenários de uso comumcriam um problema porque não há como indicar qual perfil, ou qual identidade, ousuário quer usar para acessar determinado serviço. Os sistemas de gerência deidentidade devem fornecer uma forma para os usuários conhecerem e seleciona-rem qual a melhor identidade a utilizar mesmo que uma assinatura não tenha sidosolicitada explicitamente.

• Múltiplas credenciais. Um caso especial da questão anterior é quando transaçõesexigem a cooperação de vários serviços, possivelmente de múltiplos PSs. O proble-ma surge se o usuário precisa apresentar credenciais para mais de um serviço, e ascredenciais dependem do perfil que o usuário assume. O usuário precisa ter todasas credenciais exigidas para efetuar a transação, mas pode apresentá-las apenas seestiver autenticado e usando o perfil correto. Os sistemas de gerência de identidadedevem prover uma forma de determinar automaticamente o conjunto completo decredenciais e os perfis que o usuário pode assumir abrangendo aquelas credenciais.

• Administração de perfis de usuários. Quando um usuário acessa um serviço, fre-quentemente envolve o processamento de informações pessoais. Algumas dessasinformações podem ser armazenadas no IdP, enquanto que outras informações es-tão armazenadas no PS. Muitos PSs armazenam as mesmas informações para umdeterminado usuário a fim de permitir que um perfil possa ser administrado e alte-rado. Isso pode ser útil para permitir ao usuário atualizar seus dados sempre quesentir necessidade. A questão é se os SGIs podem simplificar a administração doperfil do usuário para usuários finais tão bem quanto os PSs e IdPs.

Funcionalidade, confiabilidade, auxílio à legalidade, acessibilidade e intero-perabilidade são requisitos gerais que também devem ser considerados na implementa-ção de um SGI [ICPP 2003, Weber et al. 2010].

Funcionalidade

A principal funcionalidade de um SGI é ajudar o usuário a administrar sua identidade. OSGI tem que oferecer a possibilidade de administrar identidades parciais e dados da iden-tidade. O processo técnico de criação do conjunto de dados de entrada e de atualizaçãoou exclusão devem ser implementados. Esse conjunto de dados de entrada também deveincluir assinaturas digitais, certificados ou credenciais.


Isso também é necessário para o SGI que possui interfaces para comunicação comparceiros, especialmente em redes de comunicação. O SGI pode atuar como um gatewaypara comunicação digital. Atuando como gateway, ele pode gerenciar a troca de dadosentre todos os parceiros de comunicação. Os sistemas de gerência de identidade incluem afuncionalidade gateway por definição, pois a gerência de identidade é sempre um processoentre o usuário e outra parte. Para PSs e IdPs, os requisitos básicos de funcionalidade nãodiferem em grande parte dos usuários. Tipicamente, as organizações devem gerenciarinformação de identidades de membros e associados, ou seja, diferentes tipos de identi-dades. As funções para controlar essa complexidade e mantê-los atualizados fazem partedos requisitos básicos de funcionalidade que devem ser considerados na proposição deum SGI.

Confiabilidade

Este é um pré-requisito para todas as transações que definem se um usuário confia no PSou no sistema. Mesmo em sistemas em que o usuário tem controle total sobre o hardware,sotware e fluxo de dados, certa quantidade de confiança ainda é necessária, porque a com-plexidade do sistema exige transparência. Então, a reputação do fornecedor de software ehardware se torna uma vantagem. Embora a ideia de confiança dependa de vários fatores,a privacidade, segurança e usabilidade são condições prévias para confiabilidade. Alémdisso, aspectos legais influenciam na percepção de confiança.

Auxílio à legalidade

Agências responsáveis pelo controle e aplicação de leis, tais como repartições policiais oude práticas investigativas criminais, geralmente se interessam por coletar a maior quan-tidade possível de informações para gerar evidências e tornar processos criminais maisfáceis e eficazes. Qualquer SGI deve observar os requisitos legais para aplicação das leisnos países em que serão usados. Entretanto, esses requisitos podem ser contraditóriosem difernetes países e até mesmo regiões de um mesmo país, pois resultam de culturas erealidades diferentes.

Acessibilidade

Toda tecnologia deve ser acessível para que seja amplamente aceita. Isso se aplica atodos os tipos de usuários. Entretanto, essa questão deve considerar se o SGI apenasadiciona uma sobrecarga à rede ou se realmente melhora a funcionalidade e qualidadedos serviços e transações. Este é um objetivo político em muitos países em que o direito àdecisão sobre informações pessoais é um direito básico, e como tal não deve depender dasituação financeira da pessoa. As organizações devem olhar o SGI não como um custo,mas pela ótica do custo-benefício. Em outras palavras, os benefícios de um SGI precisamcompensar os custos diretos e indiretos.


Interoperabilidade

A compatibilidade e a integração com sistemas já existentes é um requisito básico paraum SGI. Os sistemas de gerência de identidade devem implementar interfaces compatí-veis com padrões internacionais. A fim de serem largamente utilizados, essas interfacesdevem ser aceitas e suportadas pelos órgãos governamentais e agências dominantes nosmercados visionados para o SGI. Essas partes interessadas irão procurar influenciar qual-quer padrão para que possam suportá-lo. É inteiramente possível que alguns agentes se-jam resistentes a interfaces compatíveis a fim de proteger sua posição no mercado. Nestecaso, a popularização do SGI como um produto será mais difícil. As regras de segurançapodem regular tendências isolacionistas no mercado. Alcançar interoperabilidade em di-ferentes contextos é impossível sem uma fundamentação coerente na cultura e sociedadeem que os SGIs pretendem ser usados. Aqui podemos fazer uma analogia com o domí-nio de linguagens de programação e de ter uma semântica bem definita para a linguagemde programação. Caso contrário, diferentes implementações na mesma linguagem irãoproduzir diferentes interpretações de alguns conceitos da linguagem conduzindo a umaoperação inconsistente do mesmo programa em diferentes implementações.

4.5. Iniciativas de gerência de identidade para as redes da próxima geraçãoComo mencionado na Seção 4.1, o foco deste minicurso é apresentar o estado da artedas principais iniciativas voltadas à gerência de identidade na Internet do Futuro, espe-cialmente aquelas focada nas redes da próxima geração. Com base na literatura, nósclassificamos essas iniciativas em projetos e arquiteturas, alianças e especificações conso-lidadas. As próximas subseções são organizadas segundo esta classificação e descrevemas iniciativas encontradas na literatura com base nas publicações existentes.

4.5.1. Projetos e arquiteturas

Esta subseção apresenta os principais projetos relacionados à gerência de identidade naInternet do Futuro. Além de uma descrição geral desses projetos, as arquiteturas de SGIspropostas ou em desenvolvimento por alguns desses projetos são apresentadas.

PRIME - Gerência de privacidade e identidade para Europa

O projeto PRIME [PRIME 2010] aborda a falta de infraestrutura de gerência de identi-dade para a Internet, identificando suas principais carências, tais como segurança e priva-cidade, e visando definir um equilíbrio dos requisitos emergentes para os SGIs. O objetivodo projeto consiste em desenvolver um protótipo de trabalho para melhorar a privacidadedos SGIs, permitindo gerenciar as múltiplas identidades que um consumidor pode obteratravés de suas interações pela Internet. Exemplos de interações são as operações comer-ciais realizadas através da Internet [Androulaki et al. 2009]. A meta principal do PRIMEé adotar tecnologias emergentes para Internet do Futuro ou alterar tecnologias já utilizadasa fim de adaptar melhor os SGIs ao novo contexto de redes.


Arquitetura de gerência de identidade do projeto PRIME

A arquitetura de SGI proposta pelo PRIME foi desenvolvida para suportar uma amplagerência do ciclo de vida dos dados relacionados à identidade. O foco principal é apoiarusuários na administração dos dados de suas identidades [Sommer et al. 2008]. O desen-volvimento da arquitetura segue a necessidade de mantê-la aberta para futuras ampliações.Tal característica segue a abordagem modular para a arquitetura com uma boa separaçãofuncional entre os componentes principais. Outro princípio é a simplicidade. O projetogeral é feito de tal forma que as interações entre as entidades tenham o máximo de priva-cidade e os dados sejam revelados apenas quando necessário.

A Figura 4.7 mostra um resumo dos componentes na arquitetura PRIME. No con-junto repositório de dados cada repositório armazena dados e metadados mantidos pelaentidade à qual os dados pertencem ou a qualquer outra entidade. Um sistema centrado nousuário terá um repositório único, para armazenar seus próprios dados em formato cripto-grafado, e uma empresa terá múltiplos repositórios de dados, devido às suas necessidadesde gerenciamento. Os repositórios de dados podem ser acessados por outros componen-tes internos ao sistema PRIME, assim como por outras entidades solicitantes, como umusuário ou um serviço.

Sistema de Interface da Aplicação

Controle de Identidade

Negociação

Gerente de Obrigação

Controle de Acesso e

Execução de

Identidade

Controle de

Acesso e Decisão de Identidade

Controle de Garantia

Gerenciamento de

Confiança

Reputação

Gerente de Garantia

Unidade de Federação

Ponto de

Extensão de Privacidade

Componente Opcional

Repositório

de Dados

Repositório

de Políticas

Figura 4.7. Arquitetura PRIME

Um dos componentes chave na arquitetura PRIME é o componente de Controle deAcesso e Decisão de Identidade (Access Control Decision – ACD), desenvolvido para seraproveitado na implementação de um protocolo de negociação entre duas entidades. Ocomponente ACD é um componente central que faz o acesso aos dados e toma decisõesrelacionadas à liberação de unidades individuais de dados. O componente de Controle


de Acesso e Execução (Access Control Enforcement – ACE) controla todos os acessosaos dados. Ele permite ao ACD acessar e ler dados a partir do repositório, caso o acessotenha sido concedido. O componente é análogo à função de execução em arquiteturasde controle de acesso, com a diferença fundamental de que o ACD possui funções maisavançadas que as utilizadas atualmente para tomar tais decisões. Todo o acesso aos re-positórios é feito através do componente ACE. O componente de aplicação recorre aocomponente ACD para tomar uma decisão de acesso. As políticas são armazenadas emum dos possíveis repositórios de política, que são acessados pelo ACD.

O componente de negociação, do inglês negotiation, implementa a funcionalidadede negociação cujo principal objetivo é impulsionar a troca de dados entre as entidades,especialmente para estabelecer a confiança e a trocar os dados necessários. O componentede negociação opera sobre os pedidos em respostas compostas, onde composto significaa possibilidade de incluir vários atributos ou informações sobre atributos. Ele consultao componente ACD obtendo as políticas de decisões para unidades de dados atômicasenvolvidas na negociação. O componente agrega os resultados recebidos do componenteACD. O acesso aos dados é feito através do componente ACE.

As fontes de dados, especializadas no estabelecimento de confiança, podem serimplementadas em um sistema SGI. A arquitetura PRIME define um componente paragerência de confiança, que é capaz de fornecer certificados de dados para outros compo-nentes obtidos a partir de uma avaliação local. Uma funcionalidade principal do compo-nente de gerência de confiança é criar e verificar certificados sobre a confiabilidade dasplataformas.

O componente controle de garantia (assurance control) é responsável por garantira segurança, tanto durante o uso local quanto em interações com outras entidades. Umadas características do AC é agregar informações obtidas a partir de componentes de ge-rência de confiabilidade de uma das múltiplas plataformas que compreendem os serviçosdo sistema. O componente de controle de garantia cria controles e avaliações de controleque auxiliam a entidade na tomada de decisões.

A unidade de federação é responsável pela certificação e troca de dados. Ela podeimplementar diferentes protocolos. O protocolo proposto pelo projeto PRIME é voltadoa sistemas de certificação privada (sistemas de credenciais anônimas) devido às inúmerasvantagens em termos de privacidade. A unidade de federação é um componente único queimplementa trocas de dados de acordo com as regras do componente de negociação e comas intervenções do usuários. Outros protocolos já existentes podem ser integrados a estecomponente a fim de tornar a arquitetura PRIME compatível com protocolos pertinentes.

A interface de aplicação do sistema é um componente importante desta arquite-tura. Ela provê uma interface entre o PRIME e o usuário, permitindo ao sistema fornecerinformações sobre as interações relacionadas à identidade, além de permitir a administra-ção de dados e políticas. Com relação à arquitetura, a interface deve ter acesso a outrosmódulos da arquitetura PRIME a fim de impedir que processos externos controlem o sis-tema sem que o usuário perceba.

O componente controle de identidade, do inglês identity control, controla o fluxode dados através da arquitetura e facilita o registro de componentes, tornando a arquitetura


extensível e flexível. O componente controle de identidade de duas entidades se comuni-cam para trocar dados, de acordo com as políticas configuradas. Tanto o componente decontrole de identidade, quanto o componente de negociação podem interagir com outroscomponentes da arquitetura devido ao seu papel de controlador geral e e controlador denegociação.

A arquitetura PRIME é constituída por mais alguns componentes que possuemfuncionalidades convencionais e, por isto, são mencionadas brevemente. O componentede auditoria registra informações de eventos de processamento e ações de uma entidade,os quais podem ser relevantes para o processamento de dados. O componente de ge-renciamento de eventos fornece um framework para gerenciar o que é usado por outroscomponentes.

DAIDALOS - Modelagem de interfaces de rede avançadas para entrega e adminis-tração de serviços personalizados, otimizados e independentes da localização

O projeto DAIDALOS [DAIDALOS 2006] foi um dos primeiros voltados a gerência deidentidade fortemente centrado nas infraestruturas de redes e serviços. Um dos resultadosdesse projeto é o conceito de Identidade Virtual (VID) e sua aplicação em tais infraestru-turas, onde o VID denota a entidade em uma função específica ou contexto de uso, e nãoa entidade em sua totalidade [Sarma and Girão 2009].

A identificação de informações relacionadas a um prestador de serviços ou en-tidade é realizada localmente e gerenciada por diferentes entidades ou prestadores deserviços. Um esquema VID assegura a divulgação coordenada de todos esses dados. UmVID é um identificador pseudonômico que permite o acesso a um subconjunto de dadospessoais do usuário. O proprietário do VID decide o âmbito e detalha exatamente o quepode ser divulgado. A gerência de identidade age em nome de usuários, monitorandoe controlando estados de VIDs e seu ciclo de vida. Ele avalia e verifica a existência deameaças associadas à divulgação de informações no âmbito de uma VID, em pontos espe-cíficos, e controla as mudanças de estados dos ciclos de vida do VID. Isto significa que, seo usuário revogar uma VID, o gerenciamento de identidade deve parar todas as operaçõesque a envolvem.

O acesso ubíquo a serviços e conteúdos de terceiros está se tornando uma norma naInternet e em computação pervasiva, como descrito na Seção 4.2. O projeto DAIDALOSpretende utilizar a computação pervasiva para organizar tecnologias de comunicação afim de melhorar a experiência do usuário. DAIDALOS visa ajudar os usuários a acessarserviços, não importando onde eles estejam. Na Internet do Futuro, serão disponibilizadosdiversos serviços eletrônicos aos usuários. Os acessos a serviços em qualquer lugar e aqualquer hora, facilitados pelo aumento da cobertura através de várias tecnologias derede, permitirá que os usuários estejam constantemente conectados aos serviços atravésde diferentes canais de rede. Neste contexto, os provedores de serviços se preocuparãoem atrair a atenção dos usuários, e os provedores de rede se preocuparão com aumento douso das redes. A computação pervasiva no DAIDALOS visa apoiar os usuários comunsna gerência de identidades [Taylor et al. 2011] .


Arquitetura de gerência de identidade do projeto DAIDALOS

Tendo em vista a necessidade de criar uma nova geração de infraestrutura de comunica-ção centrada no usuário que forneça o suporte adequado à Internet do Futuro, o projetoDAIDALOS busca integrar tecnologias de redes heterogêneas permitindo aos operadoresde rede e provedores de serviços oferecer novos serviços. O objetivo da arquitetura degerência de identidade desse projeto possibilita aos usuários acessar a uma vasta gama deserviços multimídia personalizados.

A Figura 4.8 ilustra a funcionalidade principal dos componentes no Daidalos Per-vasive Service Platform (PSP). A camada de gerência de serviços e identidade permiteacesso ubíquo a serviços. Essa funcionalidade inclui serviço de descoberta e recompo-sição para serviços de valor agregado para usuários. O componente de descoberta deserviço é necessário para apoiar serviços criados posteriormente ao desenvolvimento daarquitetura. Os provedores de serviços podem anunciar serviços e os usuários podem en-contrar os serviços que necessitam. Uma vez que cada provedor irá oferecer apenas umdeterminado número de serviços, será incluído um componente composição de serviçosa fim de permitir a oferta de novos serviços compostos a partir dos serviços existentes. Ocomponente gerência de identidade garante que uma infraestrutura de segurança e priva-cidade possa ser aplicada aos serviços de descoberta e composição.

Figura 4.8. Arquitetura Daidalos Pervasive Service Platform (PSP)

O componente gerência de serviços de ontologia define a interoperabilidade atra-vés de serviços e mecanismos como um glossário de provedores de serviços e consu-midores. Este também é um aspecto chave do componente de composição de serviço,validando as várias semânticas de serviços. Os componentes sessão e gerência de recur-


sos apóiam um ambiente de gerência em tempo de execução para serviços compostos,em que os provedores de serviços e operadores podem aplicar políticas combinadas apersonalizações do usuário.

A camada gerência de experiência do usuário é responsável por monitorar e con-trolar as experiências do usário. O componente gerência de contexto coleta dados brutossobre o contexto usando vários sensores, refina-os e oferece esta informação em um for-mato mais apropriado para a plataforma ou para aplicações e serviços que os solicitem.O componente gerência de aprendizagem controla o aprendizado com base no compor-tamento histórico dos usuários, tais como interação com os serviços, e usa esse conheci-mento para manter atualizadas as preferências dos usuários para vários serviços. Atravésdo componente de gerência de preferência, as preferências podem ser aplicadas às pla-taformas de serviços, como a alteração de parâmetros de qualidade de serviço (QoS), oufornecidas aos aplicativos e serviços de terceiros. O componente negociação de privaci-dade aprimora os mecanismos de negociação entre os usuários e os serviços.

O componente gerência de identidade do DAIDALOS é fundamental para a acei-tação dos usuários predominantes aos serviços, pois fornece os meios para acesso a ser-viços seguros, enquanto locadores de serviços podem cobrar pelos serviços prestados. Omodelo de identidade está envolvido em todos os estágios do ciclo de vida de uma conta,desde sua criação, até o login em dispositivos, a seleção de serviços e uso. A gerênciade identidade DAIDALOS usa identidades virtuais para assegurar que as identidades dosusuários não serão reveladas aos vários provedores de serviços envolvidos na prestaçãode serviços compostos.

SWIFT - Difusão segura de identidades para telecomunicações federadas

O projeto Europeu SWIFT [FIDIS 2010] é financiado pelo programa FP7, do inglês 7thFramework Programme. O projeto aproveita a tecnologia de gerência de identidade paraintegrar o serviço e a infraestrutura de transporte a fim de beneficiar usuários e prestadoresde serviços. O objetivo é estender as funções de gerência de identidade e a federação pararedes sem negligenciar a usabilidade e privacidade.

A arquitetura proposta por SWIFT atua como um backbone para o sistema in-teiro. Ela depende da noção de identidade digital que é fornecida por atributos de ligação,autenticação e outras informações sobre o usuário. Uma vez que a informação nunca éarmazenada em um único lugar, a arquitetura age como um ponto de contato para serviçosexternos obterem informações sobre o usuário ou sobre uma de suas identidades digitais.

Arquitetura de gerência de identidade do projeto SWIFT

Com base no projeto DAIDALOS, o projeto SWIFT aprimorou as soluções de gerênciade identidade, dando foco às operadoras de telecomunicações. O resultado é uma arquite-tura estendida, desenvolvida para prover segurança e privacidade capazes de abranger asnecessidades de futuras soluções de gerência de identidade. Essa arquitetura é uma solu-ção de privacidade inter-camadas que aprimora as soluções existentes e atua em uma novainfraestrutura de controle de acesso. A arquitetura utiliza cartões eletrônicos de identifica-ção, fornecendo uma visão integrada dos dispositivos dos usuários, buscando solucionar


problemas de compatibilidades com soluções inteligentes [Barisch et al. 2010].

A Figura 4.9 ilustra a arquitetura proposta pelo projeto SWIFT. A arquitetura con-tém cinco habilitadores de segurança no dispositivo do usuário, interligados pelo geren-ciador de VID (VIDM) e pelo gerenciador de credenciais (CM). O VIDM é utilizadopelo usuário para interagir com o componente central do sistema, a fim de realizar tarefasrelacionadas à gerência de identidade. A arquitetura fornece uma interface gráfica parao usuário a fim de selecionar, criar ou destruir identidades virtuais, estabelecer sessõescom os PSs e com os agregadores de identidade. A arquitetura utiliza os habilitadores desegurança conectados. Permite a configuração de atributos de políticas de liberação. Senecessário, ele permite a criação de credenciais através do gerenciador de credenticiais.O CM é reponsável pela criação de credenciais necessárias para autenticação e autoriza-ção em oposição ao PS e ao agregador de identidades. Dentro do contexto SWIFT, essascredenciais também são conhecidas como instruções da arquitetura.

Figura 4.9. Arquitetura SWIFT

O gerenciador de credenciais é responsável pela criação de credenciais utilizadaspara autenticação e autorização entre o PS e o agregador de identidades. O CM provêuma interface abstrata para o cartão eletrônico de identificação, para o habilitador deinicialização de credenciais (CBS) e para o habilitador de credenciais anônimas (ACE).Uma das funções do cartão eletrônico de identificação é oferecer um armazenamentoseguro de credenciais e atributos do usuário. Essa funcionalidade aumenta a segurançado dispositivo do usuário, além de possibilitar a utilização de serviços independentes daconexão com o agregador de identidade ou com o provedor de atributos.

O ACE também pode oferecer uma credencial anônima. Se necessário, o CMpode especificar credenciais para interagir com outros sistemas de gerência de identidadepor intermédio do CBS. Uma vez que o usuário pode possuir dispositivos com diferentes


recursos e capacidades de segurança, os quais podem ser utilizados em diferentes contex-tos, o habilitador de transferência de identidade (ITE) permite utilizar a identidade atravésdesses dispositivos. Além disso, o VIDM pode controlar a representação da identidadedo usuário na rede e na camada de serviço por meio do gerenciador de pseudônimosinter-camadas.

4.5.2. Alianças

Uma vez que sistemas de gerência de identidade necessitam de uma boa padronizaçãopara garantir o uso abrangente das arquiteturas desenvolvidas, diversas alianças entrecompanhias vêm sendo criadas para auxiliar no uso das novas arquiteturas de gerênciade identidade. Esta subseção apresenta as pricipais alianças existentes desde às que fo-cam apenas na gerência de identidade para a Internet convencional até as alianças quefocam em padrões para a Internet do Futuro.

Liberty Alliance

A Liberty Alliance [Liberty 2001] tem por objetivo estabelecer padrões abertos, diretrizese melhores práticas para gerência de identidade, focalizando, principalmente, identidadespara serviços Web. O projeto desenvolvido por esta aliança promove uma abordagem degerência de identidade federada, voltada para a construção de relacionamentos de con-fiança entre as empresas e para a capacidade de confederar contas de usuários isoladosentre círculos de confiança bem definidos [Glässer and Vajihollahi 2008]. A função daaliança Liberty é fornecer suporte ao desenvolvimento, implantação e evolução de umpadrão aberto e interoperável para redes de identidades federadas.

O objetivo da aliança Liberty é permitir um mundo conectado, em que os usuáriose as empresas possam realizar transações mais facilmente, ao mesmo tempo que prote-gem sua privacidade e a segurança de informações vitais dessa identidade. Um usuáriopode federar suas diferentes identidades em uma identidade única fornecida por um IdP, afim de acessar serviços fornecidos por PSs que participam de um mesmo círculo de con-fiança, autenticando-se apenas uma vez no IdP. Isso baseia-se em um relacionamento deconfiança pré-estabelecido entre o IdP e todos os PSs do círculo de confiança. O modelooferece um nível de pseudoanonimato através do uso de pseudônimos ao invés de iden-tificadores reais na comunicação entre o IdP e o PS, aumentando assim a privacidade dousuário.

FIDIS

A FIDIS (Future of Identity in Information Society) [FIDIS 2010] é uma Rede de Exce-lência (do inglês, Network of Excellence ou NoE) suportada pela União Européia. Estaaliança integra esforços de pesquisa das diferentes nações européias buscando solucionarproblemas desafiadores, tais como suporte a identidade e identificação, interoperabilidadede identidades, conceitos de identificação, roubo de identificadores, privacidade, segu-rança e perfis de usuários, além de buscar soluções para problemas forenses. Uma dasprincipais atividades de pesquisa da aliança está focada na melhor definição de identidade


e identificação.

A FIDIS define sete linhas de pesquisa, cada uma com o foco em um aspectoimportante de identidade, como privacidade, interoperabilidade, mobilidade e outros. Oramo chamado ‘Identidade da Identidade’ visa desenvolver um inventário de definiçõesno domínio de identidade e seus respectivos casos de uso. Ele cataloga ainda os mo-delos existentes de gerência de identidade, assim como desenvolve uma visão geral dasperspectivas futuras de tais modelos [Glässer and Vajihollahi 2008].

4.5.3. Especificações consolidadas

Atualmente, existem várias especificações de sistemas de gerência de identidade consoli-dadas, tais como Security Assertion Mark-up Language (SAML), OpenID, Shibboleth eoutras. Apesar dessas especificações não serem exclusivas para as redes da próxima ge-ração, ressalta-se que futuramente essas especificações devem ser compatíveis entre si, afim de fornecer um framework de gerência de identidade coeso. Considerando o contextode Internet do Futuro, esses padrões deverão evoluir cada vez mais a fim de atender, nãoapenas às necessidades de determinados segmentos da indústria, mas também assumir ar-quiteturas e infraestruturas de redes específicas, o que pode culminar no desenvolvimentode diferentes padrões.

SAML

O SAML resulta dos trabalhos do OASIS [OASIS 2011] Security Services Technical Com-mittee, mas a versão atual do SAML conta com uma grande contribuição da Liberty Al-liance. O SAML é um padrão XML para troca de dados de autenticação e autorizaçãoentre serviços. Esse padrão XML resolve dois problemas, autenticação única e identida-des federadas, e geralmente é destinado a parceiros comerciais que buscam um padrãopara troca segura de informações. O SAML foi criado por especialistas em segurança, daindústria e da academia, especificamente para prover a interoperabilidade entre serviçosde autenticação web.

O princípio utizado pelo projeto SAML é a identidade federada. O modelo deidentidade federada permite que organizações usem métodos diferentes de autenticação eautorização que sejam capazes de interoperar, estendendo a capacidade de cada serviçoexistente na organização, ao invés de forçar sua troca. A identidade federada tambémpermite ajudar usuários a obterem vantagens dos sistemas de autenticação existentes re-duzindo, assim, o número de senhas que eles têm que lembrar [Morgan et al. 2004].

OpenID

OpenID [OpenID 2006] é um framework aberto, descentralizado e gratuito voltado paraa identidade digital do usuário. OpenID permite aos usuários de Internet acessar dife-rentes sites, baseados em uma única identidade digital, o que elimina a necessidade dediferentes nomes de usuário e senha para cada sítio web [Miloucheva et al. 2008]. Seudesenvolvimento iniciou em 2005 e obteve expressiva atenção, tanto da comunidade de


desenvolvimento web quanto de grandes corporações. Hoje, Google, IBM, Microsoft,VeriSign e Yahoo! são membros da Fundação OpenID.

Shibboleth

O Shibboleth [Shibboleth 2011] é uma iniciativa originada no ambiente acadêmico, cujoobjetivo é facilitar o compartilhamento de recursos de pesquisa entre instituições acadê-micas. Ele é um padrão que tem como base pacotes de software de código aberto comacesso único para web entre ou dentro dos limites organizacionais. Esse padrão permiteque sites tomem decisões de autorização para acesso individual a fim de proteger recursosonline, de forma a preservar a privacidade. O software Shibboleth implementa aborda-gens de identidade federada para fornecer um acesso único federado e um framework detroca de atributos. Ele fornece a funcionalidade de privacidade estendida permitindo aobrowser do usuário e ao seu local de origem controlar os atributos liberados para cadaaplicação. Isso também simplifica a gerência de identidade e permissões para organiza-ções, suportanto usuários e aplicações.

RAPID

No RAPID (Roadmap for Advanced Research in Privacy and Identity Management), agerência de identidade obedece as definições e o ciclo de vida de identidades digitais eperfis, assim como as definições de ambientes para troca e validação de informações eo conceito de identidades parciais. Três requisitos básicos de um SGI são destacados:(1) a confiabilidade e a fidelidade, (2) a divulgação controlada de informações e (3) oapoio à suporte. O projeto estuda os obstáculos e problemas no desenvolvimento de umsistema que suporta Identidades Digitais Múltiplas e Confiáveis a fim de direcionar futuraspesquisas na área [Glässer and Vajihollahi 2008].

HIGGINS

Higgins [Higgins 2011] é um framework de identidade para Internet, com código aberto,desenvolvido para integrar identidade, perfil e informações de relacionamentos sociaisatravés de múltiplos sites, aplicações e dispositivos. Higgins não é um protocolo, masuma infraestrutura desenvolvida para suportar uma experiência consistente do usuário.Ele trabalha como todos os protocolos de identidade digital, incluindo WS-Trust, OpenID,SAML, XDI, LDAP, entre outros. Higgins permite construir aplicações e serviços que irãotrabalhar com diversos sistemas de gerência de identidade, permitindo ao desenvolvedorincorporar padrões de identidade aos softwares. Do ponto de vista do usuário, Higginsoferece às pessoas maior controle sobre suas identidades digitais, como as identidades on-line, informações pessoais e relacionamentos sociais. A arquitetura do framework permiteadaptar as tecnolocias existentes conforme necessário. Higgins também é compatível comdiversos protocolos e serviços relacionados à segurança e gerência de identidade.


Concordia

O projeto Concordia é uma iniciativa global projetada para desenvolver a interoperabi-lidade entre dos protocolos de gerência de identidade utilizados atualmente. Ele definecasos de uso e requisitos do mundo real que podem ser utilizados em múltiplos proto-colos de gerência de identidade simultaneamente, em vários cenários de implatanção,encorajando e facilitando a criação de soluções de protocolos apropriados para diferentestecnologias. Para a gerência de identidade, ele busca por soluções voltadas ao usuário egerência de identidade federada.

Na perspectiva da comunidade de código aberto, os projetos Higgins e Concordiaestão criando um framework de identidade multiprotocolo e promovendo a interoperabi-lidade entre protocolos de autenticação diferentes. Além de implementar uma estruturade identidade de código aberto que suporte abordagens tanto trandicionais quanto volta-das ao usuário. O framework do Higgins está criando um modelo de dados de identidadeatrativo e um serviço de atributo de identidade que oferece acesso uniforme a atributos deidentidade independente do objetivo final. Paralelamente, Concordia oferece dicas úteisrelacionadas a um modelo de referência de identidade e tem desenvolvido e experimen-tado soluções para suportar a interoperabilidade entre diferentes soluções de gerência deidentidade. Os projetos Higgins e Concordia são relevantes e devem ser tomados comoponto de partida para reforçar e tratar adequadamente soluções para a Internet do Fu-turo [Rotondi 2008].

4.6. Ferramentas e tecnologias para gerência de identidadeAo longo da história das civilizações, diversos métodos para evitar que uma informaçãofosse obtida por pessoas não autorizadas foram criados. Os primeiros métodos utiliza-dos para comprovar a identidade baseavam-se no uso de senhas ou palavras-chave. Se-gundo esses métodos, uma informação só poderia ser obtida pela entidade que possuissea palavra-chave. No entanto, o roubo ou a simples presunção da senha permitia que enti-dades não autorizadas obtivessem a informação original.

Dessa forma, a fim de aumentar o nível de segurança, foram criados os chamados“tokens” de autenticação. Os tokens são dispositivos que têm a finalidade de forneceracesso à uma determinada informação somente ao portador do dispositivo e mediante suasenha de acesso. Quando comparado ao uso de senhas, os tokens passaram a ser uti-lizados massivamente por oferecer um nível de segurança maior. Com o crescente usodessa tecnologia, surgiu a necessidade de prover ao token a capacidade de ser inviolá-vel garantindo, assim, que somente o verdadeiro dono da informação obtivesse acesso aela. Assim, foram desenvolvidos diversos modelos de dispositivos para a identificação.Cronologicamente, os modelos de maior importância para uma identificação digital são:

• Cartões de fita magnética

• Cartões inteligentes (smart cards) e cartões inteligentes sem contato (contactlesssmart cards)

• RFID cards (Radio-Frequency IDentification)


• Cartões inteligentes multiaplicação

Os modelos citados foram criados para aumentar a segurança assim como a ca-pacidade de armazenamento e a facilidade de uso. Os cartões de fita magnética, usadosamplamente no início dos anos 80, começaram a ter sua segurança comprometida peloalto índice de falsificações (como clonagens) e têm perdido espaço para os cartões inteli-gentes. Estes possuem características que os tornam invioláveis e possuem maior espaçode armazenamento. com base na tecnologia dos cartões inteligentes, foram desenvolvi-dos os cartões sem contato, que utilizam radiofrequência para acesso e são providos demétodos extras de segurança. Seguindo a mesma linha, foram desenvolvidos os cartõesRFID, cuja principal característica é a identificação do usuário a uma distância maior,funcionando como um dispositivo de controle e rastreamento.

A popularização dos tokens permitiu o aumento no uso de cartões inteligentes pordiversos serviços. Uma pessoa que necessitasse acessar diversos serviços utilizando estedispositivo de segurança, deveria possuir diversos tokens, um para cada serviço. Para di-minuir a quantidade de tokens, os cartões multiaplicação foram criados com o objetivo deenglobar diversos tokens em um só, facilitando o acesso aos diversos serviços oferecidose que antes deveriam ser acessados utilizando cartões diferentes.

Atualmente, duas técnicas principais são utilizadas para provar a identidade deuma entidade, algo que o usuário sabe ou algo que ele possui (senhas, cartões, docu-mentos). Entretanto, estas técnicas podem ser burladas pela presunção da senha e peloempréstimo do cartão. Para aumentar a segurança no processo de identificação, foi adi-cionado mais uma dimensão para confirmação da identidade: algo que o usuáro é. Nesteponto entra a Biometria, capaz de identificar um usuário utilizando alguns de seus fatoresfísicos e biológicos.

Dessa forma, os principais métodos de identificação utilizados atualmente são aidentificação por senha, a identificação por token e a identificação por características fí-sicas e biológicas. Através desse conjunto, é possível garantir uma complexidade maior,dificultando a quebra de privacidade e oferecendo mais segurança para a gerência de iden-tidade.

Dentre as diversas tecnologias usadas para a gerência de identidade, algumas sedestacam pelo seu alto índice de uso, de segurança e de praticidade. Neste escopo, po-demos citar os cartões inteligentes, a aiometria e os cartões multiaplicação. As próximassubseções descrevem essas três principais tecnologias de gerência de identidade dandoenfoque aos seus usos na Internet do Futuro.

4.6.1. Cartões Inteligentes (Smart Cards)

Os cartões inteligentes, também conhecidos como Smart Cards, são cartões que se pa-recem, em forma e tamanho, a um cartão de crédito convencional de plástico com tarjamagnética. A diferença entre os dois dispositivos é que o cartão inteligente possui capaci-dade de processamento, pois possui um microprocessador e memória embutidos, amboscom sofisticados mecanismos de segurança. Mais especificamente, o cartão inteligentepossui um módulo de memória ROM, um módulo de memória RAM e um módulo dememória EEPROM. O primeiro módulo armazena as instruções que serão enviadas ao


processador. O segundo módulo armazena os dados que são processados. E o terceiromódulo armazena os dados propriamente ditos. Um cartão inteligente conta ainda comuma CPU e módulos tanto para a entrada e saída de dados, quanto para a criptografia dosdados armazenados no cartão.

Tipos de Cartão

Os cartões inteligentes usados atualmente diferem em dois fatores principais, o tamanhoe a forma de acesso ao meio. As principais formas de comunicação dos cartões atuais sãopor contato ou por radiofrequencia. Os cartões com comunicação por contato devem serinseridos em um leitor, enquanto os carões sem contato se utilizam de comunicação porradiofrequência para troca de informações entre o cartão e o leitor de informações.

Os cartões inteligentes com contato foram usados inicialmente em bancos naFrança. Sua capacidade de guardar chaves privadas e executar modernos algoritmos decriptografia tornou possível prover um alto nível de segurança às informações. A drásticaredução do preço desses dispositivos tornou seu uso cada vez mais frequente, gerando acriação de novas aplicações que utilizam este recurso de segurança, especialmente apli-cações que implementam a identificação, controle de acesso, armazenamento seguro dedados e assinaturas eletrônicas.

Os cartões inteligentes sem contato se diferem dos clássicos cartões inteligentespela forma de comunicação. Ambos, a memória e o microprocessador utilizam a interfacesem contato para fazer a transmissão de dados. Esses cartões têm a sua energia transfe-rida sem qualquer contato físico, permitindo acesso a várias aplicações sem que o usuárionecessite segurar o cartão na mão, sendo possível mantê-lo dentro de uma bolsa ou car-teira. Muitas aplicações foram desenvolvidas para utilizar esse tipo de cartão, tais comocontrole de acesso em transporte público, cartões corporativos e passes para entrada emestabelecimentos. Este tipo de cartão também elimina um possível erro de fabricação doscontatos elétricos.

Os smart cards têm um ciclo de vida bem definido. O processo de produção écomposto por cinco fases. O ciclo de vida começa no produtor do hardware do cartão,que é responsável pela fabricação do chip a ser adicionado ao cartão. O produtor dehardware também deve fornecer todo suporte ao hardware do equipamento fornecido.Uma vez criado o chip, é iniciado o processo de confecção do cartão. A confecção docartão depende do objetivo para o qual ele será utilizado, podendo ser do tamanho de umcartão de crédito ou do tamanho de um cartão SIM. Para o processo de instalação de umsistema para o funcionamento do cartão inteligente, é necessário mais um intermediário,o emissor do cartão. Este tem a função de fornecer um cartão pronto para ter aplicaçõesinstaladas, garantindo um sistema operacional seguro para a execução das aplicações.

Uma vez que o cartão esteja pronto, basta fazer as instalações da aplicação reque-rida. Este processo é feito pelo provedor de serviços. O provedor de serviços ofereceum cartão com sua aplicação, a qual deverá estar configurada para o funcionar no sistemaoperacional fornecido pelo emissor do cartão. No final do processo está o usuário, queutilizará o cartão para a sua identificação.


Evolução e Adaptações

Desde seu surgimento, os cartões inteligentes passaram por profundas mudanças no pro-cesso de fabricação. De acordo com as principais mudanças, a evolução destes cartões édividida em quatro gerações. A Figura 4.10 ilustra as principais características de cadageração. Na primeira geração, o produtor de hardware é o principal responsável pela fa-bricação do cartão. O produtor de hardware tinha um contato direto com o provedor deserviços, pois toda a escrita no cartão era feita durante o primeiro processo. Com isso,o produtor de hardware era contratado apenas para inserir a aplicação do provedor deserviços dentro do chip do cartão.

Figura 4.10. Características das quatro gerações dos cartões inteligentes

Na segunda geração houve a divisão da camada da aplicação em três diferentesprocessos. A primeira camada é constituída por um conjunto de instruções de hardware,a segunda por um conjunto de classes e a terceira pela aplicação em si. Isso permitiusegmentar melhor as camadas, tornando possível aproveitar as classes de aplicações e acamada de hardware para outras aplicações. Na terceira geração, houve a inclusão dofabricante e do emissor do cartão ao processo. Estes têm como função a inserção deinformações adicionais, como o PIN, que deverá ser usado pelo emissor e pelo provedorde serviços como um método segurança no cartão inteligente.

Finalmente, na última geração de cartões inteligentes, houve uma grande mudançana separação das atividades de cada envolvido na produção do cartão. Agora, o produtorde hardware é responsável por produzir toda a Camada de hardware e as classes de apli-cações, facilitando e minimizando a necessidade de mudanças nas camadas superiores.O fabricante e o emissor se unem em uma única etapa que tem como objetivo criar umframework de classes. Este servirá de base para qualquer aplicação que o provedor deserviços escolha para colocar dentro do cartão. Nesta geração foi considerado um novoagente, o que irá utilizar e modificar os dados, o usuário. De posse do cartão, o usuáriopode atualizá-lo a fim de manter suas informações em dia.


Sistemas operacionais para cartões inteligentes

Atualmente são dois os principais sistemas operacionais utilizados em cartões inteligen-tes, o MULTOS e o sistema operacional criado para o Java Card. O Java Card é umcartão inteligente que provê suporte a todos os padrões de cartão inteligentes. No en-tanto, o Java Card tem uma diferença básica com relação aos cartões inteligentes. Umamáquina virtual, a Java Virtual Machine (JVM) é implementada em sua memória ROM.Esta máquina virtual controla o acesso a todos os recursos do cartão, como memória eentrada e saída de dados, e suporta a funcionalidade de operações características de sis-temas operacionais para cartões inteligentes. O funcionamento da dessa máquina virtualinicia com a execução de um subconjunto de código chamado Java byte code para que asfunções sejam acessadas pelo leitor do cartão garantindo a confiabilidade do cartão.

O Java Card é composto por classes padrão e um conjunto de rotinas que permi-tem que as aplicações Java sejam executadas diretamente. O sistema operacional do JavaCard permite que os aplicativos do cartão inteligente sejam escritos em linguagem Java, oque de fato traz independência para desenvolvimento de software. Além disso, ele forneceuma boa base para cartões de múltiplas aplicações, suportando mais de um aplicativo porvez. A compilação de código no Java Card traz consigo, incluído na compilação, umconversor que verifica cada classe e otimiza o código para os recursos limitados de umcartão inteligente.

O MULTOS (Multiple Operating System) foi desenvolvido originalmente pelaMondex International. É um sistema multiaplicação de alta segurança, desenvolvido es-pecialmente para cartões inteligentes, possibilitando que diversas aplicações sejam insta-ladas, ao mesmo tempo, no cartão. O MULTOS tem sua própria linguagem de progra-mação, a MEL (MULTOS Executable Language), que é otimizada para os sistemas decartões inteligentes. Entretanto, o sistema fornece compiladores para várias linguagens,como Assembly, C, Java e Visual Basic. Com isso, a característica mais importante doMULTOS é a independência de linguagem. O MULTOS é a única plataforma com suporteà programação em linguagem Assembly. Para programação em C, o MULTOS possui umcompilador que oferece fácil portabilidade para aplicativos já existentes para o sistemaoperacional MULTOS.

Diferente do Java Card, o MULTOS provê suporte um pouco diferente à lingua-gem de programação Java. Ambos, Java Card e MULTOS, suportam a linguagem Javae ambos possuem um compilador Java que traduz as classes Java. A diferença é queno Java Card, as classes são convertidas em código Java byte code, já no MULTOS, ocompilador traduz as classes Java para a linguagem codificada MEL, que já é otimizadapara trabalhar em Cartões Inteligentes. Tanto o MULTOS quanto o Java Card são muitoutilizados. Entretanto, devido à linguagem para otimização de código do MULTOS, esteoferece um pequeno ganho de desempenho para o cartões inteligentes.

4.6.2. Biometria

Biometria é o estudo estatístico das características físicas ou comportamentais dos se-res vivos. Utiliza características físicas ou comportamentais das pessoas como forma deidentificá-las unicamente. Os sistemas chamados biométricos baseiam o seu funciona-


mento em características de diversas partes do corpo humano. Os olhos, a palma da mão,as digitais, a retina ou íris dos olhos são as mais utilizadas para identificação. A ideiafundamental é a de que cada indivíduo é único e possui características físicas e compor-tamentais diferentes.

A autenticação biométrica tem a vantagem de checar as características pessoaisdo usuário, o que torna a identificação do usuário mais fiel, diminuindo a possibilidadede fraude. As impressões digitais têm o seu reconhecimento baseado em imagens. Aestrutura dessas impressões é composta por vales e minúcias, que têm as suas localiza-ções mapeadas para que seja feita a comparação com outras imagens. Esta técnica deidentificação é a mais antiga e a mais aceita para identificação de pessoas.

O reconhecimento de face tem como base a imagem da face. A estrutura da face ésalva como uma imagem para uma futura comparação. No passado, os algoritmos de reco-nhecimento de face usavam somente modelos geométricos, mas atualmente eles baseiam-se em modelos matemáticos e de identificação de padrões para proceder a comparaçãodas imagens. Os grandes avanços obtidos na última década fizeram com que esta tecno-logia obtivesse maior aceitação. Esta é uma tecnologia intuitiva, pois este é o modo comopessoas reconhecem seus amigos e como é feita pela verificação de documentos.

Esses dois métodos são os mais aceitos atualmente para uma possível implemen-tação como padrão para gerência de identidade. Devido à fácil captura dos dados, asdigitais e a face têm preferência, sendo necessário apenas um sensor de digitais e umawebcam para capturar os dados.

Cartões RFID

Por engano, alguém pode se referir a cartões inteligentes sem contato como cartões RFID,mas são tecnologias diferentes. Os cartões RFID têm como característica a identificaçãopor rádiofreqüência. Sua identificação é feita de forma automática através da capturade dados em uma rede sem fio. Essa tecnologia inclui antenas e bobinas eletrônicasprogramadas com uma informação única. O processo de identificação é simples e rápido,onde só é necessária a captura da freqüência. A maioria desses cartões não é inviolável,pois não contam com um hardware robusto. Os cartões RFID são mais utilizados para ocontrole de acesso e rastreamento, principalmente em ambientes em que não é necessárioo reconhecimento, mas apenas a verificação do indivíduo, garantindo uma rapidez aoprocesso.

Cartões multiaplicação

Olhando pela perspectiva de um desenvolvedor, um cartão multiplicação é um cartãocom várias aplicações carregadas na memória do cartão. A maioria das aplicações deum cartão inteligente têm seus próprios dados e raramente compartilham-as, tornando-asindependentes. Para garantir essa independência o sistema operacional deve garantir oacesso apropriado para cada aplicação.

4.7. ConclusõesVários esforços vêm sendo observados na literatura em direção ao desenvolvimento daInternet do Futuro. Essa nova Internet pretende sanar problemas e limitações encontradas


na Internet atual, sobretudo aqueles relacionados ao provimento de serviços de formasegura, confiável e robusta. A Internet do Futuro é visionada em organização em quatrodimensões, apoiadas por uma infraestrutura de rede denominada rede da próxima geração.

A rede da próxima geração ou NGN é um conceito de redes que tem como basea transferência de pacotes para prover serviços e se beneficiar de múltiplas tecnologiase infraestruturas de comunicação existentes. Uma NGN é composta por uma rede deserviços, uma rede de base e uma rede de acesso. A rede de serviços é responsável pelosserviços oferecidos às entidades. A rede de base consiste do backbone da NGN. A rede deacesso é comporta redes que se utilizam das diferentes tecnologias de comunicação sejamelas com fio ou sem fio.

A Internet do Futuro, em especial, a NGN requer cada vez mais um gerenciamentoda identidade das entidades. A NGN pretende prover diversos tipos de serviços, muitosdeles personalizados, e depende de informações relacionadas ao perfil dos usuários e ser-viços para atingir um funcionamento eficiente que garanta QoS, privacidade, segurança,disponibilidade e confiabilidade dos serviços. Nos diferentes níveis da NGN, a gerênciade identidade é uma funcionalidade cada vez mais necessária e importante.

Entretanto, sistemas de gerência de identidade ainda possuem atualmente desa-fios. Dentre esses desafios, encontram-se questões relacionadas à segurança, privacidadedos dados dos usuários e usabilidade que devem ser tratados a fim de se tornarem maisadequados à sua aplicação na Internet do Futuro. Além dessas questões, os sistemas degerência de identidade desenvolvidos para a Internet do Futuro necessitam ser interoperá-veis, uma vez que tecnologias heterogêneas são esperadas a trabalharem em conjunto.

Além das arquiteturas de gerência de identidade, o capítulo apresenta uma visãogeral sobre as alianças existentes, as especificações consolidadas e as ferramentas de ge-rência de identidade utilizadas atualmente. As alianças e as especificações consolidadassão descritas com o objetivo de mostrar o estado da arte em relação aos esforços quevêm sendo realizados em direção a padronizações de sistemas de gerência de identidade.As ferramentas mais comuns utilizadas para auxiliar sistemas de gerência de identidadecomo os cartões inteligentes, a biometria e os cartões RFID são descritos a fim de pro-ver uma descrição sobre o que vêm sendo utilizado nos sistemas, assim como uma visãorelacionada a seus avanços e perspectivas futuras.

Com base nesse levantamento do estado da arte sobre sistemas de gerência deidentidade para Internet do Futuro, observamos que as propostas existentes ainda são bas-tante incipientes. As arquiteturas apesar de se dizerem voltadas à Internet do Futuro, aindanão possuem ou tratam características realmente relacionadas ao novo paradigma de rede.Além disso, as arquiteturas existentes são bastante conceituais, requerendo uma especifi-cação mais detalhada e formal sobre os conceitos e usos desses conceitos na prática. Elasnecessitam ainda definir de forma mais clara como os módulos e componentes conceituaisserão na realidade implementados e como serão suas aplicações no contexto heterogêneodas redes da próxima geração. Especificações e análises formais são requeridas a fim demostrar os custos referentes ao uso de cada uma dessas arquiteturas na rede.

Em relação aos padrões existentes, estes não consideram de fato as característicase os possíveis usos dos sistemas de gerência de identidade nas redes da próxima geração.


Um grande campo de oportunidades e de desenvolvimento é observado em relação aossistemas de gerência de identidade e suas aplicações nas redes da próxima geração. O quese observa é que a existência de padrões realmente voltados a Internet do Futuro aindasão inexistentes e muito trabalho ainda é necessário em direção à especificação dessespadrões.

Sobre as ferramentas existentes para gerência de identidade, observa-se a evoluçãoque elas vêm passando. Atualmente, a biometria e os cartões multiaplicação parecem seras ferramentas mais promissoras por se adequarem aos requisitos e características dasredes da próxima geração. A capacidade dos cartões multiaplicação servirem para usoconsiderando diferentes serviços vai de encontro à característica da Internet do Futuro deprover diferentes serviços requerendo mecanismos que facilitem a gerência de identidadepelos usuários sem sobrecarrega-los com a necessidade de memorizar diferentes senhas eidentificadores. Entretanto, questões de segurança ainda precisam ser tratadas nesse tipode ferramenta.

Referências[Akyildiz et al. 2006] Akyildiz, I. F., Lee, W.-Y., Vuran, M. C., and Mohanty, S. (2006).

Next generation/dynamic spectrum access/cognitive radio wireless networks: a survey.Computer Networks, 50(13):2127–2159.

[Alduán et al. 2011] Alduán, M., Sánchez, F., Alvarez, F., Jiménez, D., Menéndez, J.,and Cebrecos, C. (2011). System architecture for enriched semantic personalized me-dia search and retrieval in the future media internet. IEEE Communications Magazine,49(3):144 –151.

[Alpár et al. 2011] Alpár, G., Hoepman, J., and Siljee, J. (2011). The Identity CrisisSecurity, Privacy and Usability Issues in Identity Management. Identity Managementon Mobile Devices.

[Androulaki et al. 2009] Androulaki, E., Johnson, M., Vo, B., and Bellovin, S. (2009).Cybersecurity through an Identity Management System. In Engaging Data Forum,MIT.

[Barisch et al. 2010] Barisch, M., Torroglosa, E., Lischka, M., Marques, R., Marx, R.,Matos, A., Perez, A., and Scheuermann, D. (2010). Security and Privacy Enablersfor Future Identity Management Systems. In Future Network and Mobile Summit,Florence, Italy. MS’10.

[Benevenuto et al. 2009] Benevenuto, F., Rodrigues, T., Cha, M., and Almeida, V.(2009). Characterizing user behavior in online social networks. In Proceedings ofthe 9th ACM SIGCOMM conference on Internet measurement conference, IMC ’09,pages 49–62, New York, NY, USA. ACM.

[Benslimane et al. 2008] Benslimane, D., Dustdar, S., and Sheth, A. (2008). Servi-ces mashups: The new generation of web applications. IEEE Internet Computing,12(5):13–15.


[Boccaletti et al. 2006] Boccaletti, S., Latora, V., Moreno, Y., Chavez, M., and Hwang,D.-U. (2006). Complex networks: Structure and dynamics. Physics Reports, 424(4-5):175 – 308.

[Boldrini et al. 2010] Boldrini, C., Conti, M., and Passarella, A. (2010). Modellingsocial-aware forwarding in opportunistic networks. In IFIP Performance Evaluationof Computer and Communication Systems (PERFORM 2010), Vienna, Austria.

[Chai et al. 2011] Chai, W. K., Wang, N., Psaras, I., Pavlou, G., Wang, C., de Blas, G.,Ramon-Salguero, F., Liang, L., Spirou, S., Beben, A., and Hadjioannou, E. (2011).Curling: Content-ubiquitous resolution and delivery infrastructure for next-generationservices. EEE Communications Magazine, 49(3):112 –120.

[Chim et al. 2011] Chim, T., Yiu, S., Hui, L., and Li, V. (2011). SPECS: Secure andPrivacy Enhancing Communications Schemes for VANETs. Ad Hoc Network, 9:189–203.

[Choi et al. 2011] Choi, J., Han, J., Cho, E., Kwon, T., and Yanghee, C. (2011). A surveyon content-oriented networking for efficient content delivery. IEEE CommunicationsMagazine, 49(3):121 –127.

[Choi and Hong 2007] Choi, M.-J. and Hong, J. W.-K. (2007). Towards management ofnext generation networks. IEICE Transactions, 90-B(11):3004–3014.

[DAIDALOS 2006] DAIDALOS (2006). The Daidalos Project. hhtp://www.ist-daidalos.org, último acesso 28 de Março de 2011.

[Dhamija and Dusseault 2008] Dhamija, R. and Dusseault, L. (2008). The Seven Flawsof Identity Management: Usability and Security Challenges. IEEE Security and Pri-vacy, 6:24–29.

[FIDIS 2010] FIDIS (2010). Future of Identity in the Information Society. www.fidis.net,último acesso 10 de Novembro de 2010.

[FOKUS 2009] FOKUS (2009). NGN Evolution Towards the Future Internet. Technicalreport, Fraunhofer Institute for Open Communication Systems.

[Glässer and Vajihollahi 2008] Glässer, U. and Vajihollahi, M. (2008). Identity Manage-ment Architecture. In ISI, pages 137–144.

[Gomez-Skarmeta et al. 2010] Gomez-Skarmeta, A. F., Martinez-Julia, P., Girao, J., andSarma, A. (2010). Identity based Architecture for Secure Communication in FutureInternet. In The 6th ACM Workshop on Digital Identity Management, DIM’10, pages45–48, New York, NY, USA. ACM.

[Hansen et al. 2008] Hansen, M., Schwartz, A., and Cooper, A. (2008). Privacy andIdentity Management. IEEE Security and Privacy, 6:38–45.

[Heegaard and Trivedi 2009] Heegaard, P. E. and Trivedi, K. S. (2009). Network survi-vability modeling. Computer Networks, 53(8):1215–1234.


[Higgins 2011] Higgins (2011). Higgins - Open Source Identity Framework.http://www.eclipse.org/higgins, último acesso 28 de Março de 2011.

[Hui et al. 2011] Hui, P., Crowcroft, J., and Yoneki, E. (2011). Bubble rap: Social-basedforwarding in delay tolerant networks. IEEE Transactions on Mobile Computing, ((toappear)).

[ICPP 2003] ICPP (2003). Identity management systems (ims): Identification and com-parison study. Technical report, Independent Centre for Privacy Protection (ICPP) andStudio Notarile Genghini (SNG).

[ITU-T 2004] ITU-T (2004). General overview of NGN. Recommendation Y.2001. De-zembro.

[Josang et al. 2005] Josang, A., Fabre, J., Hay, B., Dalziel, J., and Pope, S. (2005). TrustRequirements in Identity Management. In Australasian Information Security Workshop2005 (AISW 2005).

[Kim and Shin 2008] Kim, H. and Shin, K. G. (2008). In-band spectrum sensing in cog-nitive radio networks: energy detection or feature detection? In ACM MobiCom, pages14–25, New York, NY, USA. ACM.

[Levin et al. 2009] Levin, A., Sutherland, E., and Choe, Y. (2009). The Future Internet.Technical report, International Communication Union.

[Li et al. 2009] Li, G., Sun, H., Gao, H., Yu, H., and Cai, Y. (2009). A survey on wirelessgrids and clouds. In International Conference on Grid and Cooperative Computing,pages 261 –267.

[Li and Sandrasegaran 2005] Li, M. and Sandrasegaran, K. (2005). Network manage-ment challenges for next generation networks. In IEEE Conference on Local ComputerNetworks, pages 593–598, Los Alamitos, CA, USA. IEEE Computer Society.

[Liberty 2001] Liberty (2001). The Liberty Alliance Project.http://www.projectliberty.org, último acesso: 28 de Março de 2011.

[Maghiros et al. 2006] Maghiros, L., Punie, Y., Delaitre, S., Hert, P., Gutwirth, S., Sch-reurs, W., Moscibroda, A., Friedewald, M., Linden, R., Wright, D., Vildjiounaite, E.,and Alahuhta, P. (2006). Safeguards in a world of ambient intelligence. In Internatio-nal Conference on Intelligent Environments, volume 2, pages 245 –249.

[Maliki and Seigneur 2007] Maliki, T. E. and Seigneur, J.-M. (2007). A survey of user-centric identity management technologies. The International Conference on EmergingSecurity Information, Systems, and Technologies, 0:12–17.

[Miloucheva et al. 2008] Miloucheva, I., D.Wagner, Niephaus, C., and Hetzer, D. (2008).User-centric Identity enabled QoS Policy Management for Next Generation Internet.In ICT-Mobile Summit Stockholm.


[Morgan et al. 2004] Morgan, R., Cantor, S., Carmody, S., Hoehn, W., and Klingenstein,K. (2004). Federated Security : The Shibboleth Approach. EDUCAUSE Quarterly,27(4).

[OASIS 2011] OASIS (2011). OASIS Advanced Open Standards for the InformationSociety. http://www.oasis-open.org, último acesso 28 de Março de 2011.

[OpenID 2006] OpenID (2006). The OpenID Project. http://openid.net, último acesso28 de Março de 2011.

[Park and Rappaport 2007] Park, C. and Rappaport, T. (2007). Short-range wireless com-munications for next-generation networks: Uwb, 60 ghz millimeter-wave wpan, andzigbee. IEEE Wireless Communications, 14(4):70–78.

[Paul et al. 2011] Paul, S., Pan, J., and Jain, R. (2011). Architectures for the FutureNetworks and the Next Generation Internet: A Survey. Computer Communications,34:2–42.

[Prasad et al. 2008] Prasad, R., Pawelczak, P., Hoffmeyer, J., and Berger, H. (2008). Cog-nitive functionality in next generation wireless networks: standardization efforts. IEEECommunications Magazine, 46(4):72–78.

[PRIME 2010] PRIME (2010). Privacy and Identity Management for Europe.www.prime-project.eu, último acesso 10 de Novembro de 2010.

[Rotondi 2008] Rotondi, D. (2008). Extending user-centred identity management appro-aches to address Future Internet issues. Technical report, GEMOM - Genetic MessageOriented Secure Middleware.

[Sabena et al. 2010] Sabena, F., Dehghantanha, A., and Seddon, A. P. (2010). A Reviewof Vulnerabilities in Identity Management Using Biometrics. In International Confe-rence on Future Networks, volume 0, pages 42–49, Los Alamitos, CA, USA. IEEEComputer Society.

[Sakellari p053] Sakellari, G. (2009, doi: 10.1093/comjnl/bxp053). The Cognitive Pac-ket Network: A Survey. The Computer Journal: Special Issue on Random NeuralNetworks, 53(3):268–279.

[Salsano et al. 2008] Salsano, S., Polidoro, A., Mingardi, C., Niccolini, S., and Veltri, L.(2008). Sip-based mobility management in next generation networks. IEEE WirelessCommunications, 15(2):92 –99.

[Sarma and Girão 2009] Sarma, A. and Girão, J. (2009). Identities in the Future Internetof Things. Wireless Personal Communication, 49:353–363.

[Shibboleth 2011] Shibboleth (2011). The Shibboleth Project.http://shibboleth.internet2.edu, último acesso 28 de Março de 2011.

[Sommer et al. 2008] Sommer, D., Mont, M. C., and Pearson, S. (2008). PRIME Archi-tecture V3. Technical report, PRIME Consortium.


[Song and Jamalipour 2005] Song, Q. and Jamalipour, A. (2005). A network selectionmechanism for next generation networks. In IEEE International Conference on Com-munications, volume 2, pages 1418–1422.

[Taylor et al. 2011] Taylor, N. K., Robertson, P., Farshchian, B. A., Doolin, K., Roussaki,I. G., Marshall, L., Mullins, R., Druesedow, S., and Dolinar, K. (2011). PervasiveComputing in Daidalos. IEEE Pervasive Computing, 10:74–81.

[Weber et al. 2010] Weber, S., Martucci, L., Ries, S., and Mühlhäuser, M. (2010).Towards Trustworthy Identity and Access Management for the Future Internet. InTrustworthy IoPTS: The 4th International Workshop on Trustworthy Internet of PeopleThings and Services.

[Zhou et al. 2010] Zhou, M., Zhang, R., Zeng, D., and Qian, W. (2010). Services in thecloud computing era: a survey. In International Universal Communication Symposium(IUCS), pages 40 –46.


gerência de identidade na internet do futurosbrc2011.facom.ufms.br/files/mc/mc4.pdf · gerência...

Documents