Uma abordagem de privacidade no gerenciamento de identidade na nuvem

Jorge Werner

UMA ABORDAGEM DE PRIVACIDADE NO GERENCIAMENTO DE IDENTIDADE NA NUVEM

Florian´opolis 2017

UMA ABORDAGEM DE PRIVACIDADE NO GERENCIAMENTO DE IDENTIDADE NA NUVEM

Tese submetida `a P´os-Gradua¸c˜ao em Ciˆencia da Computa¸c˜ao para a ob-ten¸c˜ao do Grau de Doutor em Ciˆencia da Computa¸c˜ao.

Orientadora: Profa_{. Dr}a_{. Carla}

Mer-kle Westphall

Florian´opolis 2017

UFSC.

Werner, Jorge

Uma abordagem de privacidade no gerenciamento de identidade na nuvem / Jorge Werner ; orientadora, Carla Merkle Westphall, 2018.

245 p.

Tese (doutorado) - Universidade Federal de Santa Catarina, Centro Tecnol´ogico, Programa de P´os Gradua¸c˜ao em Ciˆencia da Computa¸c˜ao, Florian´opolis, 2018.

Inclui referˆencias.

1. Ciˆencia da Computa¸c˜ao. 2. Computa¸c˜ao em nuvem. 3. Federa¸c˜ao. 4. Gerenciamento de Identidades. 5. Privacidade. I. Westphall, Carla Merkle. II.

Universidade Federal de Santa Catarina. Programa de P´os-Gradua¸c˜ao em Ciˆencia da Computa¸c˜ao. III. T´ıtulo.

UMA ABORDAGEM DE PRIVACIDADE NO GERENCIAMENTO DE IDENTIDADE NA NUVEM

Esta Tese foi julgada aprovada para a obten¸c˜ao do T´ıtulo de “Doutor em Ciˆencia da Computa¸c˜ao”, e aprovada em sua forma final pela P´os-Gradua¸c˜ao em Ciˆencia da Computa¸c˜ao.

Florian´opolis, 28 de Novembro 2017.

Prof. Dr. Jos´e Lu´ıs Almada G¨untzel Coordenador

Profa_{. Dr}a_{. Carla Merkle Westphall}

Orientadora Banca Examinadora:

Prof. Dr. Eduardo James Pereira Souto Universidade Federal do Amazonas

Prof. Dr. Raul Ceretta Nunes Universidade Federal de Santa Maria

Profa. Dra. Patr´ıcia Della M´ea Plentz Universidade Federal de Santa Catarina

Neste momento t˜ao especial quero expressar de cora¸c˜ao meu agradecimento `as seguintes pessoas:

Em primeiro lugar a Deus pela sabedoria e conhecimento, pela oportu-nidade de estar aqui, por guiar meus passos cada dia.

`

A minha querida fam´ılia: meus pais, Pedro Werner e Marlene Werner. Agrade¸co pelo exemplo de vida, por estarem sempre ao meu lado em todas as minhas conquistas e realiza¸c˜oes.

`

A minha amada esposa, Keity Pacheco Werner pela paciˆencia e pelo companheirismo em todos os momentos. Obrigado pelo amor, carinho e apoio incondicional. Te amo!

`

A Professora Dra. Carla Merkle Westphall, por ser mais do que minha orientadora, por acreditar em minha capacidade, pelo apoio em todos os momentos, principalmente pela amizade.

Ao Professor Dr. Carlos Becker Westphall, por todo o apoio e incentivo, desde a ´epoca do mestrado. `A CAPES pela concess˜ao de bolsas durante o meu doutorado. Agrade¸co tamb´em `a Renasic por fomentar parte dos meus estudos. Enfim, a todos que, de alguma forma contribu´ıram para a realiza¸c˜ao deste estudo.

A computa¸c˜ao em nuvem oferece benef´ıcios em termos de dinamici-dade, elasticidinamici-dade, disponibilidade e custo, por´em cria dificuldades na gest˜ao da seguran¸ca da informa¸c˜ao. Em especial, sob o ponto de vista do gerenciamento de identidade, o ambiente de nuvem ´e um desafio importante por ter m´ultiplas regras de acesso `as aplica¸c˜oes, diferentes dados dos usu´arios e diversas tecnologias envolvidas. A quest˜ao de segu-ran¸ca, incluindo preservar a privacidade dos dados ´e uma preocupa¸c˜ao constante e um t´opico de pesquisa essencial no ambiente de computa¸c˜ao em nuvem. Garantir privacidade envolve ter mecanismos de prote¸c˜ao para minimizar libera¸c˜ao de dados necess´arios, para garantir que pre-ferˆencias do usu´ario sejam consideradas e, para garantir o cumprimento de obriga¸c˜oes ou acordos estabelecidos entre provedores e consumido-res de servi¸cos. Esta tese prop˜oe um modelo de privacidade para o gerenciamento de identidade em ambientes de nuvem, que promove a privacidade individual dos dados dos usu´arios. No modelo o ambiente de gerenciamento de identidades na nuvem efetua o controle no lado do usu´ario, define as pol´ıticas de privacidade dos usu´arios, garante a pri-vacidade nas intera¸c˜oes, e controla a autentica¸c˜ao e a autoriza¸c˜ao dos usu´arios. O modelo possui ainda um acordo para a intera¸c˜ao dinˆamica entre os provedores que auxilia no processo de cria¸c˜ao dinˆamica do am-biente. Foram desenvolvidos prot´otipos para implementar o modelo proposto. Nos prot´otipos, que usaram como base uma implementa¸c˜ao dispon´ıvel do OpenID Connect, foram feitas extens˜oes para desenvolver uma prova de conceito dos principais aspectos do modelo.

Palavras-chave: Computa¸c˜ao em nuvem. Federa¸c˜ao. Gerenciamento de Identidades. Privacidade.

The Cloud Computing offers benefits in terms of dynamicity, elasti-city, availability, and cost, however, cause difficulties in information security management. In particular, from the point of view of iden-tity management, the cloud environment is an important challenge be-cause has multiple access rules into applications, different user data and technologies involved. The security question, including preserve the data privacy is an ongoing concern and a search essential topic in cloud computing environment. Certify the privacy involve to have a protection mechanism for reducing the releasing necessary data, for certifying that user preferences become considered and for certifying the compliance of obligations or agreement established between provi-ders and services consumers. This paper proposes the privacy model for the cloud computing identity management that promotes the user individual data privacy. In this model, cloud identities management environment doing the control in user side, defining the user privacy policies, assure the privacy of interactions and controlling the authen-tication and user authorities. The model has an agreement for the dynamic interaction among providers that assist the environment dy-namic creation process. Were developed prototypes to implement the proposed model. These prototypes were used an available implemen-tation of OpenID Connect, have been made extensions to develop a model principals aspects concept test.

Keywords: Cloud Computing. Identity management. Federation. Privacy

Figura 1 Privacidade no IdM, caracter´ısticas versus propriedades 39 Figura 2 Ciclo de vida da identidade (adaptado de (BERTINO;

TA-KAHASHI, 2010)). . . 47

Figura 3 Gerenciamento de identidades em um dom´ınio. . . 50

Figura 4 Gerenciamento de identidades federado. . . 50

Figura 5 Fluxo de mensagens no sistema de gerenciamento de identidades. . . 51

Figura 6 Fluxo do modelo Shibboleth (SHIBBOLETH, 2016). . . 55

Figura 7 Modelo OpenID Connect. . . 57

Figura 8 Metodologia LIND(D)UN 2.0 (WUYTS, 2015) . . . 80

Figura 9 DFD dos pontos de intera¸c˜ao dos agentes do IdM . . . 81

Figura 10 Amea¸ca falta de privacidade no processo de autoriza¸c˜ao de acesso . . . 82

Figura 11 Amea¸ca falta de controle da privacidade nas intera¸c˜oes 83 Figura 12 Amea¸ca falta de controle na dissemina¸c˜ao de PII´s . . . . 85

Figura 13 Amea¸ca falta de privacidade no estabelecimento dinˆamico de federa¸c˜oes . . . 86

Figura 14 Modelo IdM com privacidade na nuvem. . . 92

Figura 15 Modelos de intera¸c˜ao proposto . . . 97

Figura 16 Processo para a escolha de op¸c˜oes . . . 106

Figura 17 Fluxo simplificado da combina¸c˜ao de op¸c˜oes . . . 114

Figura 18 Exemplo das listas de confiabilidade (BODNAR, 2017). . 117

Figura 19 Exemplo de conex˜ao de TPCs (BODNAR, 2017). . . 118

Figura 20 Exemplo de lista de SPs semi-confi´aveis (BODNAR, 2017).119 Figura 21 Exemplo de lista de SPs n˜ao confi´aveis (BODNAR, 2017).119 Figura 22 Fluxo de atualiza¸c˜ao das listas dinˆamicas. . . 121

Figura 23 Fluxo de acesso dinˆamico. . . 121

Figura 24 Exemplo de m´ultiplos modelos de controle de acesso . . . 127

Figura 25 Exemplo de pol´ıtica de privacidade.. . . 138

Figura 26 Representa¸c˜ao de esquema de sticky policy . . . 139

Figura 27 Exemplo de regra na padroniza¸c˜ao de XACML (SPYRA; BUCHANAN, 2016). . . 140

Figura 31 Fluxo de autoriza¸c˜ao (FARAJI et al., 2014) . . . 144

Figura 32 Fluxo de autoriza¸c˜ao estendido . . . 145

Figura 33 Fluxo sticky policies . . . 147

Figura 34 Adapta¸c˜ao nas atuais ferramentas de gerenciamento de identidades federadas . . . 149

Figura 35 Processo de consentimento do Google . . . 157

Figura 36 Perfil b´asico em formato JSON.. . . 160

Figura 37 Interface de dissemina¸c˜ao estendida. . . 161

Figura 38 Alerta de recomenda¸c˜ao para sele¸c˜ao de atributo/op¸c˜oes.161 Figura 39 Objeto anonimo em formato JSON.. . . 163

Figura 40 Op¸c˜oes de escolha em formato JSON. . . 163

Figura 41 Objeto pseudˆonimo em formato JSON. . . 164

Figura 42 Tela de dissemina¸c˜ao estendida . . . 165

Figura 43 Configura¸c˜ao de um novo cliente . . . 166

Figura 44 Registro do emissor definido para o novo cliente . . . 167

Figura 45 Tela de login de usu´ario . . . 168

Figura 46 Tela de autoriza¸c˜ao para acesso de mesmo usu´ario em diferente cliente . . . 169

Figura 47 Tela de autoriza¸c˜ao para acesso de mesmo usu´ario em um cliente diferente . . . 169

Figura 48 Token id e de Acesso . . . 169

Figura 49 UserInfo Response e Access Token Response (VARGAS, 2017) . . . 170

Figura 50 Cadastro das sticky policy . . . 171

Figura 51 Modelo de combina¸c˜oes das pol´ıticas de privacidade do usu´ario. . . 171

Figura 52 Modelo da proposta para controle de privacidade . . . 172

Figura 53 Modelo de pol´ıtica desenvolvido . . . 174

Figura 54 Tela do Criador do Token de Privacidade . . . 175

Figura 55 Tela do Criador da Requisi¸c˜ao . . . 176

Figura 56 Requisi¸c˜ao em JSON . . . 177

Figura 57 Exemplo de descoberta de configura¸c˜oes do IdP. . . 178 Figura 58 JSON de exemplo de descoberta de configura¸c˜oes do IdP

Figura 60 Trecho da politica de privacidade. . . 191

Figura 61 Tela do prot´otipo com os quatro perfis predefinidos e o personaliz´avel (VILLARREAL, 2017). . . 194

Figura 62 Mapa hist´orico de dissemina¸c˜ao. . . 195

Figura 63 Desafios de privacidade em IdM na nuvem (WERNER; WESTPHALL; WESTPHALL, 2017). . . 201

Figura 64 Fluxo cadastro cifrado . . . 210

Figura 65 Fluxo para o cadastro cifrado . . . 211

Figura 66 Fluxo acesso cifrado . . . 215

Figura 67 Fluxo para a valida¸c˜ao do dado . . . 217

Figura 68 Tag utilizada para entrada dos atributos (input ) (WEING ¨ ART-NER, 2014). . . 219

Figura 69 Tag formul´ario (form) para entrada dos atributos (WEING ¨ ART-NER, 2014). . . 219

Figura 70 Cadastro dos dados com privacidade (WEING ¨ARTNER, 2014). . . 220

Figura 71 Endpoint para armazenamento tempor´ario dos atributos (WEING ¨ARTNER, 2014). . . 220

Figura 72 Inje¸c˜ao do objeto “lrgUserInfoTempService” no “userIn-foUserDetailsService” (WEING ¨ARTNER, 2014). . . 221

Figura 73 Parte da implementa¸c˜ao do objeto de armazenamento de atributos tempor´arios (WEING ¨ARTNER, 2014). . . 222

Figura 74 Javascript com fun¸c˜ao AJAX para envio dos dados para o servi¸co de armazenamento tempor´ario (WEING ¨ARTNER, 2014). . . 222

Figura 75 Javascript da fun¸c˜ao de abertura do atributo (WEING ¨ ART-NER, 2014). . . 223

Tabela 1 Exemplo de PII . . . 46

Tabela 2 Comparativo das propostas com sticky policies . . . 70

Tabela 3 Modelos propostos versus caracter´ısticas de IdM baseado em privacidade para a nuvem. . . 76

Tabela 4 N´ıveis de privacidade versus atributos . . . 103

Tabela 5 Um exemplo de servi¸co . . . 132

Tabela 6 Relacionamento entre as preferˆencias, as pol´ıticas e os perfis . . . 151

Tabela 7 Caracter´ısticas das ferramentas de federa¸c˜ao (WEING ¨ ART-NER, 2014) . . . 154

Tabela 8 Representa¸c˜ao da pol´ıtica . . . 189

Tabela 9 Representa¸c˜ao das requisi¸c˜oes . . . 189

Tabela 10 Comparativo do trabalho final . . . 201

Tabela 11 Modelos propostos versus caracter´ısticas de IdM baseado em privacidade para a nuvem. . . 205

Tabela 12 Mapeamento entre problemas, propostas e implementa¸c˜ao (WEING ¨ARTNER, 2014) . . . 225

Tabela 13 Caso de uso de seguran¸ca administradores acessando in-forma¸c˜oes indevidamente (WEING ¨ARTNER, 2014) . . . 226

Tabela 14 Caso de uso de seguran¸ca sobre a falta de ciˆencia no processo de dissemina¸c˜ao (WEING ¨ARTNER, 2014) . . . 227

Tabela 15 Caso de uso de seguran¸ca sobre o processo de disse-mina¸c˜ao com ciˆencia ser complicado (WEING ¨ARTNER, 2014) . . . 228

ABAC Attribute Based Access Control AC Autoridade de Confian¸ca

API Application Programming Interface CAS Central Authentication Service CDCiber Centro de Defesa Cibern´etica

CDDL Common Development and Distribution License CC Cloud Computing

CSA Cloud Security Alliance DFD Diagrama de Fluxo de Dados DS Descoberta de Servi¸co

EPIC Electronic Privacy Information Center FIdM Federated Identity Management

GERPRI Gerenciamento de Identidade com Privacidade IaaS Infrastructure as a Service

IBE Identity-Based Encryption IdM Identity Management IdP Identity Provider IoT Internet of Things

JSON JavaScript Object Notation

LATIM Laborat´orio Virtual de Implementa¸c˜oes

LINDDUN Linkability, Identifiability, Non-repudiation, Detectabi-lity, Disclosure of information, Unawareness, Non-compliance LDAP Lightweight Directory Access Protocol

LRG Laborat´orio de Redes e Gerˆencia MIT Massachusetts Institute of Technology MV M´aquina Virtual

NIST National Institute of Standards and Technology OIDC OpenID Connect

ONU Organiza¸c˜ao das Na¸c˜oes Unidas PaaS Platform as a Service

PETS Privacy-Enhancing Technologies PII Personally Identifiable Information PLA Privacy Level Agreement

PMP Policy Management Point

PPID Pairwise Pseudonymous Identifier PPL PrimeLife Policy Language PV Provedor de Valida¸c˜ao RBAC Role-based access control

RENASIC Rede Nacional de Seguran¸ca da Informa¸c˜ao e Criptogra-fia

REST Representational State Transfer RNP Rede Nacional de Ensino e Pesquisa RP Relying Party

SaaS Software as a Service

SAML Security Assertion Markup Language SLO Single Sign-off

SP Service Provider SSL Secure Sockets Layer SSO Single Sign-on

TCPA Trusted Computing Platform Alliance TPC Terceiras Partes Confi´aveis

TPM Trusted Platform Module

XACML eXtensible Access Control Markup Language .

1 INTRODUC¸ ˜AO . . . 27 1.1 ABORDAGENS DE PRIVACIDADE . . . 28 1.2 MOTIVAC¸ ˜AO . . . 30 1.3 OBJETIVOS . . . 31 1.4 CONTRIBUIC¸ ˜OES . . . 31 1.5 ORGANIZAC¸ ˜AO DO TRABALHO . . . 33 2 CONCEITOS FUNDAMENTAIS . . . 35 2.1 PRIVACIDADE . . . 35 2.1.1 Anonimato . . . 39 2.1.2 Pseudo anonimato . . . 40 2.1.3 Legisla¸c˜ao sobre privacidade . . . 40 2.1.3.1 Internacional . . . 40 2.1.3.2 Nacional . . . 41 2.2 COMPUTAC¸ ˜AO EM NUVEM . . . 42 2.3 SEGURANC¸ A . . . 44 2.4 IDENTIDADE . . . 45 2.4.1 Ciclo de vida de uma identidade . . . 46 2.5 MODELOS DE CONTROLE DE ACESSO . . . 47 2.6 GERENCIAMENTO DE IDENTIDADE . . . 47 2.6.1 Fluxo de mensagens em um sistema IdM . . . 50 2.7 TECNOLOGIAS DE IDM . . . 51 2.8 FEDERAC¸ ˜AO . . . 58 2.9 S´INTESE E DESAFIOS DA PESQUISA . . . 59 3 REVIS ˜AO DOS TRABALHOS RELACIONADOS . . . 61 3.1 MAPEAMENTO SISTEM ´ATICO . . . 61 3.1.1 Quest˜oes de pesquisa . . . 61 3.1.2 Fontes de pesquisa . . . 62 3.1.3 Identifica¸c˜ao dos estudos . . . 62 3.2 PROJETOS DE IDM COM PRIVACIDADE . . . 63 3.3 PRIVACIDADE NA NUVEM . . . 64 3.4 PRIVACIDADE COM STICKY POLICY . . . 66 3.5 PRIVACIDADE NOS SISTEMAS IDM . . . 71 3.6 S´INTESE E DESAFIOS DA PESQUISA . . . 77 4 MODELAGEM DE AMEAC¸ AS . . . 79 4.1 DIAGRAMA DE FLUXO DE DADOS . . . 80 4.2 CEN ´ARIOS DE AMEAC¸ A . . . 81 4.2.1 Falta de privacidade na autoriza¸c˜ao de acesso . . . 82

4.2.4 Falta de privacidade no estabelecimento dinˆamico de federa¸c˜oes . . . 85 4.3 S´INTESE E DESAFIOS DA PESQUISA . . . 86 5 PRIVACIDADE NO GERENCIAMENTO DE

IDEN-TIDADE . . . 89 5.1 MODELO DE IDM COM PRIVACIDADE . . . 92 5.2 MECANISMOS DO MODELO DE PRIVACIDADE EM IDM 98 5.2.1 M´etricas nas intera¸c˜oes . . . 98 5.2.2 N´ıveis de privacidade . . . 100 5.2.2.1 Mapeamento de privacidade . . . 101 5.2.2.2 Perfis de usu´arios . . . 104 5.2.3 Padr˜oes de intera¸c˜oes . . . 105 5.2.3.1 Acesso anˆonimo . . . 107 5.2.3.2 Acesso com pseudˆonimo . . . 108 5.2.3.3 Acesso com atributos parciais . . . 110 5.2.3.4 Acesso com atributos totais . . . 111 5.3 NEGOCIAC¸ ˜AO DIN ˆAMICA PARA PRIVACIDADE EM

SISTEMAS IDM . . . 111 5.3.1 Caracter´ısticas da negocia¸c˜ao de privacidade . . . 113 5.3.2 Fluxo do registro dinˆamico com privacidade . . . 113 5.3.3 Federa¸c˜ao Dinˆamica . . . 115 5.3.3.1 N´ıvel de Confian¸ca . . . 116 5.3.3.2 Listas de confiabilidade . . . 117 5.3.3.3 Utiliza¸c˜ao do Modelo . . . 120 5.4 S´INTESE E DESAFIOS DA PESQUISA . . . 123 6 POL´ITICAS NO GERENCIAMENTO DE

IDENTI-DADE . . . 125 6.1 POL´ITICAS . . . 126 6.2 DIFERENTES TIPOS DE POL´ITICAS . . . 127 6.3 POL´ITICAS DE PRIVACIDADE . . . 128 6.4 APRESENTAC¸ ˜AO DAS POL´ITICAS . . . 130 6.5 FORMALIZAC¸ ˜AO DAS POL´ITICAS DE PRIVACIDADE . . 131 6.5.1 Provedor de servi¸cos . . . 131 6.5.2 Pol´ıtica de privacidade . . . 132 6.5.3 Pol´ıtica de controle de acesso . . . 136 6.5.4 Solicita¸c˜ao de acesso . . . 136 6.6 ESTRUTURA DAS POL´ITICAS DE PRIVACIDADE . . . 137 6.7 CRIAC¸ ˜AO DAS STICKY POLICIES . . . 138 6.8 ESTRUTURA DAS STICKY POLICIES . . . 139

6.11 FLUXO DO IDM COM PRIVACIDADE . . . 148 6.12 RELACIONAMENTO ENTRE PREFER ˆENCIAS, POL´ITICAS

E PERFIS . . . 150 6.13 S´INTESE E DESAFIOS DA PESQUISA . . . 150 7 RESULTADOS EXPERIMENTAIS . . . 153 7.1 AMBIENTE DE NUVEM . . . 153 7.2 PLATAFORMA DE FEDERAC¸ ˜AO . . . 153 7.3 OPENID CONNECT . . . 154 7.4 PROT ´OTIPO NO OPENID CONNECT . . . 156 7.4.1 Ferramentas utilizadas . . . 157 7.4.2 M´etricas nas intera¸c˜oes . . . 159 7.4.3 M´etodo padr˜ao de intera¸c˜ao . . . 162 7.4.4 Token de privacidade . . . 165 7.4.5 Pol´ıticas anexadas aos PIIs . . . 167 7.4.6 Servi¸co de Sticky Privacy Policy . . . 171 7.4.6.1 Montagem das pol´ıticas de privacidade . . . 173 7.4.6.2 Passos do controle de privacidade . . . 175 7.4.7 Negocia¸c˜ao dinˆamica nas intera¸c˜oes . . . 177 7.4.8 Fluxo do prot´otipo estendido . . . 180 7.5 ESTUDOS DE CASO . . . 181 7.5.1 Ambiente de sa´ude . . . 181 7.5.1.1 Dados relacionados . . . 183 7.5.1.2 Caso de uso de perfis de privacidade . . . 185 7.5.1.3 Aplica¸c˜ao do Modelo . . . 187 7.5.2 Ambiente de com´ercio eletrˆonico . . . 188 7.5.2.1 Caso de uso de Sticky Privacy Policy . . . 188 7.5.2.2 Caso de uso de padr˜oes de intera¸c˜ao . . . 192 7.6 USABILIDADE . . . 194 7.7 S´INTESE E DESAFIOS DA PESQUISA . . . 195 8 CONSIDERAC¸ ˜OES FINAIS . . . 197 8.1 CONTRIBUIC¸ ˜OES DA TESE . . . 197 8.2 METODOLOGIA DE EXPERIMENTAC¸ ˜AO . . . 204 8.3 LIMITAC¸ ˜OES . . . 204 8.4 TRABALHOS FUTUROS . . . 206 ANEXO A -- Camada de prote¸c˜ao e controle sobre os

dados armazenados . . . 209 REFER ˆENCIAS . . . 231

1 INTRODUC¸ ˜AO

A computa¸c˜ao em nuvem tem como objetivo melhorar a gest˜ao dos recursos de computa¸c˜ao aliando conceitos, tais como, a elastici-dade, uso sob demanda e aloca¸c˜ao dinˆamica de recursos (BUYYA; YEO; VENUGOPAL, 2008). O modelo proporciona servi¸cos em camadas de infraestrutura, plataforma e aplica¸c˜ao, providos sob demanda, adequa-dos `as necessidades dos usu´arios. O paradigma da computa¸c˜ao em nuvem integra diferentes tecnologias para o compartilhamento de re-cursos, o que implica numa an´alise mais detalhada sobre os conceitos de seguran¸ca (WERNER et al., 2012). A utiliza¸c˜ao compartilhada de recursos por diferentes usu´arios e uma quantidade elevada de dados e informa¸c˜oes dispon´ıveis (big data) (FUGKEAW; SATO, 2015), imp˜oe um n´ıvel de confian¸ca adicional nos fornecedores de servi¸co.

Os sistemas de gerenciamento de identidade e acesso, tamb´em chamados de Identity Management (IdM) s˜ao respons´aveis pela manu-ten¸c˜ao e controle de dados e atributos utilizados em todo o processo de autentica¸c˜ao e autoriza¸c˜ao do usu´ario. As federa¸c˜oes de identidade s˜ao rela¸c˜oes de confian¸ca estabelecidas entre ambientes (empresas, uni-versidades, ´org˜aos governamentais), de tal forma que seja poss´ıvel a autentica¸c˜ao de um usu´ario no seu dom´ınio de origem para usar um servi¸co prestado por outro dom´ınio da federa¸c˜ao (HANSEN; SCHWARTZ; COOPER, 2008). Alguns sistemas de gerenciamento de identidades fede-rados usados atualmente s˜ao Shibboleth (SHIBBOLETH, 2016) e OpenID Connect (OIDC) (OIDF, 2016).

O gerenciamento de identidades est´a sendo cada vez mais uti-lizado em ambientes de nuvem, j´a que integram o controle de dados de identidade, al´em de buscar mecanismos para garantir a seguran¸ca dos usu´arios. Entretanto, a integra¸c˜ao entre a computa¸c˜ao em nuvem e gerenciamento de identidades ainda ´e um desafio – especialmente em rela¸c˜ao `as quest˜oes de seguran¸ca e privacidade (HANSEN; SCHWARTZ; COOPER, 2008; BETG´e-BREZETZ et al., 2013; SANCHEZ et al., 2012; TO-OSI; CALHEIROS; BUYYA, 2014).

A privacidade refere-se `a capacidade dos indiv´ıduos para proteger informa¸c˜oes sobre si mesmos (LANDWEHR, 2001;GOLDBERG; WAGNER; BREWER, 1997). Em todo o mundo, muitas leis est˜ao sendo propostas a fim de cuidar de privacidade no ambiente digital. Quando a privacidade dos usu´arios ´e considerada, somente os atributos e dados realmente ne-cess´arios devem ser utilizados para a identifica¸c˜ao e libera¸c˜ao do acesso (TOOSI; CALHEIROS; BUYYA, 2014).

Em cen´arios de larga escala de computa¸c˜ao em nuvem com di-versas federa¸c˜oes, onde m´ultiplos provedores de identidade e de servi¸co trabalham cooperando entre si para prestar servi¸cos, o intercˆambio de dados sens´ıveis ´e intenso. Assim, a falta de padroniza¸c˜ao na comu-nica¸c˜ao, bem como a falta de confian¸ca entre as partes interessadas, s˜ao alguns problemas desafiadores.

A prote¸c˜ao da privacidade dos usu´arios, das entidades, dos dados e das informa¸c˜oes deve ocorrer em todo ciclo de vida em que ´e utilizado o ambiente de nuvem (BERTINO; TAKAHASHI, 2010). Esta prote¸c˜ao ´e dif´ıcil pois existem diferentes contextos, ambientes, pol´ıticas e dados sens´ıveis espalhados na nuvem.

A utiliza¸c˜ao de pol´ıticas de seguran¸ca auxiliam a distinguir dados sens´ıveis, promovem o controle das credenciais e dos atributos compar-tilhados entre os servidores na nuvem, melhorando as chances de obter privacidade (CHADWICK; FATEMA, 2012).

1.1 ABORDAGENS DE PRIVACIDADE

A privacidade ´e um tema atual e est´a cada vez mais sendo explo-rado, principalmente no contexto digital, tanto devido ao surgimento de novas tecnologias (por exemplo, a nuvem computacional), quanto pelo vazamento de informa¸c˜oes e pela pr´opria espionagem.

Vimercati, Foresti e Samarati (2012) destacam que a privaci-dade representa um grande desafio para todas as partes que usam e desenvolvem tecnologia em nuvem.

J´a em 1997, o artigo (GOLDBERG; WAGNER; BREWER, 1997), descreve o enorme impacto social sobre a privacidade dos indiv´ıduos devido a grande exposi¸c˜ao de dados e atividades online na Internet. As amea¸cas para a privacidade na Internet podem surgir de monito-ramentos n˜ao autorizados, assim como, por dados de hist´oricos de na-vega¸c˜ao, ou de acesso preservados. Muitos dados de acesso, endere¸co, telefone e documentos est˜ao dispon´ıveis na Internet sem conhecimento do p´ublico. O pr´oprio governo pode ser um grande distribuidor de da-dos devido a manipula¸c˜ao indiscriminada do cadastro de milhares de pessoas (GOLDBERG; WAGNER; BREWER, 1997).

As aplica¸c˜oes para plataforma de computa¸c˜ao em nuvem dei-xam em aberto v´arios desafios de seguran¸ca e privacidade, dependendo do modelo de entrega e implementa¸c˜ao. A terceiriza¸c˜ao no armazena-mento de dados e nas aplica¸c˜oes, a responsabilidade do armazenamento compartilhado, os acordos de n´ıvel de servi¸co, a heterogeneidade dos

ambientes, os regulamentos e a virtualiza¸c˜ao, s˜ao alguns desafios rela-tados em diferentes trabalhos (TAKABI; JOSHI; AHN, 2010;XIAO; XIAO, 2013;TORRES; NOGUEIRA; PUJOLLE, 2013;TOOSI; CALHEIROS; BUYYA, 2014;HAZEYAMA et al., 2016).

O artigo (TAKABI; JOSHI; AHN, 2010) prop˜oe a discuss˜ao sobre algumas quest˜oes: a autentica¸c˜ao, o gerenciamento de identidade, o controle de acesso, a auditoria, a gest˜ao da confian¸ca, a pol´ıtica de integra¸c˜ao, o gerenciamento do servi¸co seguro, a privacidade, a prote¸c˜ao de dados e a gest˜ao da seguran¸ca organizacional. Por exemplo, quanto a autentica¸c˜ao e gerenciamento de identidade existem trabalhos sobre IdM centrado no usu´ario, nos quais identificadores e atributos auxiliam na identifica¸c˜ao do usu´ario, por´em ´e necess´ario avan¸car na autentica¸c˜ao em servi¸cos compostos, nos protocolos de preserva¸c˜ao da privacidade e no IdM centrado no usu´ario federado.

Quanto `a privacidade, o artigo (XIAO; XIAO, 2013) menciona al-guns conflitos: (a) entre responsabiliza¸c˜ao e a privacidade, conside-rando que a presta¸c˜ao de contas feita pelos usu´arios na nuvem dificulta manter a privacidade em algum grau; (b) entre anonimato e rastreabi-lidade, j´a que o uso de comunica¸c˜oes anˆonimas dificulta a responsabi-liza¸c˜ao das a¸c˜oes. Tamb´em se faz necess´ario defini¸c˜oes dos requisitos de privacidade nos acordos de n´ıveis de servi¸co, tanto para a privacidade dos dados, quanto para a privacidade durante o processamento.

O artigo (ROMAN; NAJERA; LOPEZ, 2011) trata sobre a segu-ran¸ca no conceito de Internet of Things (IoT). ´E necess´ario um con-trole mais rigoroso sobre a privacidade do usu´ario, possibilitando ao usu´ario definir quais dados e informa¸c˜oes podem ser divulgadas e uti-lizadas. Deve-se ter um modelo de privacidade que possua ferramentas de consentimento dinˆamicas que permitam a gerˆencia dos seus pr´oprios dados. Um modelo que forne¸ca transparˆencia, de modo que os usu´arios saibam como est˜ao sendo utilizados seus dados. E por fim, um modelo de gest˜ao de dados que verifique as pol´ıticas, a legisla¸c˜ao e a prote¸c˜ao dos dados.

Em (BIRRELL; SCHNEIDER, 2013) foi feito um estudo sobre o tema privacidade nos sistemas de gerenciamento de identidade. Se-gundo o estudo os dois principais problemas relacionados com o geren-ciamento de identidades s˜ao: (i) cada prestador de servi¸cos mant´em um conjunto de identidades de usu´arios (uma para cada fornecedor de servi¸cos com os quais interage); e (ii) os usu´arios n˜ao tˆem controle sobre a divulga¸c˜ao dos seus atributos.

Os sistemas de gerenciamento de identidade s˜ao de extrema im-portˆancia para o crescimento seguro do uso de dispositivos port´ateis e,

portanto, alguns dos requisitos s˜ao primordiais como a gest˜ao da priva-cidade. Os usu´arios de dispositivos m´oveis muitas vezes s˜ao obrigados a liberarem informa¸c˜oes que v˜ao al´em de identificadores, por exemplo, localiza¸c˜ao e dados pessoais, o que prejudica e gera d´uvidas sobre a utiliza¸c˜ao dessas informa¸c˜oes. O refor¸co da seguran¸ca e privacidade ´e essencial para prevenir o roubo de dados pessoais, ou at´e mesmo a utiliza¸c˜ao indevida. ´E desej´avel que provedores de servi¸co disponibili-zem ambientes ou mecanismos de escolha, informando quais atributos e dados cada aplica¸c˜ao utiliza de acordo com o contexto.

As empresas que utilizam aplicativos em ambiente de nuvem in-tegrado com dispositivo m´ovel (AHMAD; HASSAN; AZIZ, 2014) devem utilizar um sistema de IdM, com possibilidade de escolha dinˆamica de pol´ıticas, obriga¸c˜oes (SOMMER; MONT; PEARSON, 2008), atributos de acordo com o contexto da aplica¸c˜ao e perfis dos seus funcion´arios ( TOR-RES; NOGUEIRA; PUJOLLE, 2013; TOOSI; CALHEIROS; BUYYA, 2014). 1.2 MOTIVAC¸ ˜AO

A falta de mecanismos de gest˜ao da privacidade provocados pela grande quantidade de dados disseminados atrav´es da nuvem computa-cional foi a principal motiva¸c˜ao deste trabalho. Servi¸cos s˜ao oferecidos por m´ultiplos prestadores de servi¸co, cada qual possuindo suas pr´oprias pol´ıticas administrativas e tamb´em de seguran¸ca, tornando cada vez mais dif´ıcil operar de forma segura neste meio.

O grande questionamento est´a em como gerenciar as informa¸c˜oes pessoais distribu´ıdas por diversos provedores de servi¸co. A necessidade de sempre ter que fornecer um conjunto de dados completo para todo servi¸co com o qual queiram interagir ´e parte do problema. A outra parte est´a relacionada com a privacidade de suas informa¸c˜oes pessoais. Existem dificuldades para garantir que abusos sobre tais informa¸c˜oes n˜ao ser˜ao realizadas pelos provedores ou administradores, que manipu-lam os dados.

Chadwick e Fatema (2012) afirmam que os provedores de nuvem devem possuir um servi¸co de controle de acesso baseado em pol´ıticas. Este servi¸co protegeria a privacidade dos dados dos usu´arios, garan-tindo o acesso autorizado aos dados pessoais. O proposta de ( CHAD-WICK; FATEMA, 2012) ´e permitir que os usu´arios possam definir suas pr´oprias pol´ıticas de privacidade. A estrat´egia de pol´ıticas, em ambi-entes inerentemente dinˆamicos onde h´a m´ultiplas intera¸c˜oes entre dife-rentes provedores, ´e uma solu¸c˜ao abordada em alguns trabalhos na

lite-ratura (CHADWICK; FATEMA, 2012; PEARSON; CASASSA-MONT, 2011; TRABELSI; SENDOR, 2012). Contudo, a principal dificuldade que recai sobre tal modelo, est´a em garantir o cumprimento de tais pol´ıticas.

1.3 OBJETIVOS

A abordagem desta tese tem como objetivo geral propor uma nova estrat´egia para gerenciamento de identidades em ambientes de computa¸c˜ao em nuvem mantendo a privacidade das entidades. O mo-delo deve considerar a dinamicidade do ambiente em nuvem, promo-vendo a confian¸ca na utiliza¸c˜ao dos recursos, e na rela¸c˜ao entre as partes envolvidas.

Assim, a hip´otese principal da pesquisa que esperamos responder ao final do trabalho ´e: ´E poss´ıvel criar um modelo para gerenciar identidades em nuvem que garanta a privacidade dos usu´arios?

Os objetivos espec´ıficos deste trabalho s˜ao:

- Desenvolver meios para manter a privacidade no gerenciamento de identidade na computa¸c˜ao em nuvem, considerando a dinami-cidade do ambiente;

- Conceber um modelo de gerˆencia da privacidade que sirva de apoio no processo de gerenciamento de identidade. O modelo de privacidade nesta tese est´a fundamentado sobre as pol´ıticas de seguran¸ca. Assim sendo, o estabelecimento da privacidade est´a condicionado a diferentes pol´ıticas entre as partes interessadas; - Propor uma maneira de negociar os aspectos de privacidade entre

as partes que interagem em sistemas IdM na nuvem;

- Aprimorar o ambiente de gerenciamento de identidade para pro-mover o estabelecimento da federa¸c˜ao semi-dinamicamente.

Nesta tese foi feita a implementa¸c˜ao de um prot´otipo para de-senvolver os aspectos principais do modelo e observar os resultados ex-perimentais obtidos em um ambiente de gerenciamento de identidade dispon´ıvel e pr´atico.

1.4 CONTRIBUIC¸ ˜OES

Esta tese tem como foco a proposi¸c˜ao de um modelo que garante requisitos de privacidade no gerenciamento de identidade em

ambien-tes dinˆamicos como a nuvem computacional. O desenvolvimento deste trabalho resultou em algumas contribui¸c˜oes apresentadas a seguir:

- Levantamento sobre as amea¸cas de privacidade no gerenciamento de identidade em ambientes de nuvem;

- Defini¸c˜ao de um modelo de privacidade que agrupa os requisitos de seguran¸ca no gerenciamento de identidade na nuvem;

- Proposi¸c˜ao da extens˜ao da especifica¸c˜ao do gerenciamento de identidade, para atender demandas inerentemente dinˆamicas e ao mesmo tempo garantir a privacidade dos usu´arios. O acordo dinˆamico entre as partes deve fazer uso dos mecanismos definidos no modelo anteriormente definido;

- Ado¸c˜ao de mecanismos para a privacidade no processo de auten-tica¸c˜ao, bem como na autoriza¸c˜ao em sistemas de IdM;

- Aprimoramento de uma implementa¸c˜ao do OpenId Connect dis-pon´ıvel, adicionando as propostas da tese: o modelo e os meca-nismos.

Alguns dos resultados obtidos com os estudos realizados nesta tese foram divulgados na forma de publica¸c˜oes. Foram publicadas em conferˆencias internacionais os artigos: “An Approach to IdM with Pri-vacy in the Cloud ” Qualis B1 (WERNER et al., 2015), “Towards Privacy in Identity Management Dynamic Federations” Qualis B1 (BODNAR et al., 2016), “A Model for Identity Management with Privacy in the Cloud ” Qualis A2 (WERNER; WESTPHALL, 2016), “Privacy Token: A Mechanism for User’s Privacy Specification in Identity Management Systems for the Cloud ” Qualis B1 (VILLARREAL et al., 2017), “Privacy Preserving in Finer-grained Access Control using XACML and OpenID Connect ” Qualis B1 (CAMILLO et al., 2017). Em conferˆencia nacional o artigo: “Implementa¸c˜ao de mecanismos de privacidade no OpenID Connect” (MARTINS et al., 2015). Por fim, publicamos um artigo em peri´odico internacional intitulado “Cloud identity management: A sur-vey on privacy strategies” Qualis A1 (WERNER; WESTPHALL; WEST-PHALL, 2017).

A pesquisa tamb´em contribuiu para o desenvolvimento da meta 38, relacionada ao Gerenciamento de Identidade com Privacidade (GER-PRI) do Laborat´orio Virtual de Implementa¸c˜oes (LATIM) do projeto da FINEP/ Rede Nacional de Seguran¸ca da Informa¸c˜ao e Criptografia (RENASIC). A RENASIC ´e vinculada ao Centro de Defesa Cibern´etica (CDCiber), do Comando do Ex´ercito.

1.5 ORGANIZAC¸ ˜AO DO TRABALHO

Neste primeiro cap´ıtulo foi descrita a introdu¸c˜ao ao tema, rela-cionando o contexto ao problema da pesquisa, a motiva¸c˜ao ao tema e os objetivos do trabalho.

No segundo cap´ıtulo s˜ao apresentadas as principais defini¸c˜oes necess´arias ao desenvolvimento da pesquisa, como os conceitos de pri-vacidade, computa¸c˜ao em nuvem, seguran¸ca e gerenciamento de iden-tidade.

O terceiro cap´ıtulo ´e referente ao estado da arte da proposta da pesquisa, mostrando a metodologia da pesquisa, os trabalhos relacio-nados e sua an´alise.

No quarto cap´ıtulo apresentamos uma modelagem de amea¸cas de privacidade em sistemas de gerenciamento de identidades na nuvem.

O quinto cap´ıtulo apresenta e detalha a proposta do modelo de privacidade para o gerenciamento de identidade na nuvem.

O sexto cap´ıtulo descreve a proposta de pol´ıticas no gerencia-mento de identidade na nuvem.

No s´etimo cap´ıtulo as solu¸c˜oes propostas s˜ao implementadas atrav´es de um prot´otipo.

O oitavo cap´ıtulo aborda as considera¸c˜oes finais, mostrando os encaminhamentos e as possibilidades de como alcan¸car os objetivos pro-postos. O cap´ıtulo descreve tamb´em as limita¸c˜oes da pesquisa e prop˜oe novas dire¸c˜oes de estudo em fun¸c˜ao da complementa¸c˜ao do problema focado.

2 CONCEITOS FUNDAMENTAIS

Neste cap´ıtulo define-se o que ´e privacidade e como o conceito se relaciona com o gerenciamento de identidades na nuvem. Tamb´em s˜ao estudados os princ´ıpios da privacidade e quais os requisitos legais e t´ecnicos que devem ser cumpridos para a garantia da privacidade. O foco do estudo ´e definir a privacidade e elencar as suas carater´ısticas principais com foco na nuvem. O estudo da literatura serve de base para o tratamento das amea¸cas de privacidade nos sistemas de geren-ciamento de identidades utilizados em ambientes de nuvem. Ainda neste cap´ıtulo descrevemos os principais conceitos de computa¸c˜ao em nuvem, da seguran¸ca da informa¸c˜ao, do gerenciamento de identidades, e, por fim, da federa¸c˜ao de identidades. Esses s˜ao alguns conceitos que norteiam a pesquisa cient´ıfica e auxiliam no entendimento do funciona-mento dos sistemas de IdM.

2.1 PRIVACIDADE

O direito `a privacidade engloba a esfera ´ıntima da pessoa, sem a interferˆencia de terceiros em suas decis˜oes, bem como no controle dos seus dados pessoais, desde a coleta, o armazenamento, a manipula¸c˜ao e a dissemina¸c˜ao dos dados do indiv´ıduo, haja vista que as novas tec-nologias colaboram para o aumento do fluxo de informa¸c˜oes (SOLOVE, 2006).

Segundo a Organiza¸c˜ao das Na¸c˜oes Unidas (ONU) em sua de-clara¸c˜ao dos direitos fundamentais, artigo doze (NATIONS, 2012), priva-cidade ´e um direito fundamental do ser, todos tˆem direito a privacidade e a mesma deve ser garantida por meios legais. Al´em disso, o conselho dos direitos humanos reafirma em sua resolu¸c˜ao sobre os direitos do ser humano na Internet (NATIONS, 2012), que os direitos que todo cidad˜ao possui no ambiente off-line devem ser estendidos para o ˆambito digital. Westin (2007) define a privacidade das informa¸c˜oes como “A reivindica¸c˜ao dos indiv´ıduos para decidir se a informa¸c˜ao pessoal sobre eles devem ser recolhidas, processadas e utilizadas por outras pessoas.” Diaz e G¨urses (2012) afirmam ainda que a privacidade ´e “o di-reito do indiv´ıduo de decidir qual a informa¸c˜ao sobre si mesmo deve ser comunicada aos outros e em que circunstˆancias.”

A privacidade aborda ainda a confidencialidade dos dados para entidades espec´ıficas, como consumidores ou outros cuja informa¸c˜ao ´e

processada em um sistema. A privacidade traz preocupa¸c˜oes legais e de responsabilidade, e deve ser vista n˜ao apenas como um desafio t´ecnico, mas tamb´em como uma preocupa¸c˜ao legal e ´etica. Proteger a privaci-dade de qualquer sistema de computa¸c˜ao ´e um desafio t´ecnico, em um ambiente de nuvem este desafio ´e complicado pela natureza distribu´ıda de nuvens e da poss´ıvel falta de sensibiliza¸c˜ao dos consumidores para saber onde os dados s˜ao armazenados e sobre quem tem ou pode ter acesso a tais dados (BADGER et al., 2012).

A privacidade na computa¸c˜ao em nuvem ´e a capacidade de um usu´ario para controlar a informa¸c˜ao que ´e revelada sobre si mesmo na nuvem ou em um provedor, e a capacidade de controlar quem pode acessar essa informa¸c˜ao (ANGIN et al., 2010). Deve haver a possibi-lidade de autogerenciamento da privacidade, devido ao direito legal sobre todo o ciclo de vida das informa¸c˜oes, de modo que a pessoa deve ser respons´avel sobre suas informa¸c˜oes (SOLOVE, 2013).

A privacidade ´e um desafio em FIdM e um ponto de pesquisa recorrente. Como o FIdM compartilha dados de identifica¸c˜ao pessoal (atributos de identidade), existem muitas preocupa¸c˜oes sobre a pri-vacidade, prote¸c˜ao de dados, conformidade com a legisla¸c˜ao, volume da troca de informa¸c˜oes entre diferente dom´ınios, troca dinˆamica de informa¸c˜oes, a execu¸c˜ao de pol´ıticas, o consentimento dos usu´arios, mi-tigar a preocupa¸c˜ao dos usu´arios e controle de credenciais (JENSEN, 2012).

Birrell e Schneider (2013) argumenta que existem trˆes principais caracter´ısticas de privacidade em sistemas de gerenciamento de identi-dades:

- Undetectability – possibilita ocultar as transa¸c˜oes efetuadas pelo usu´ario, impedindo a detec¸c˜ao das a¸c˜oes do usu´ario em um deter-minado sistema (PFITZMANN; HANSEN, 2010; BIRRELL; SCHNEI-DER, 2013);

- Unlinkability – possibilita ocultar a liga¸c˜ao entre identidade dos usu´arios e hist´orico de transa¸c˜oes efetuadas (por exemplo, as-suntos, mensagens, eventos, a¸c˜oes (PFITZMANN; HANSEN, 2010; BIRRELL; SCHNEIDER, 2013));

- Confidentiality – habilita o controle dos usu´arios sobre a disse-mina¸c˜ao dos seus atributos. Trata sobre o acesso autorizado, sobre os seus dados (PFITZMANN; HANSEN, 2010;BIRRELL; SCH-NEIDER, 2013).

s˜ao relacionadas, pois se preocupam em definir a¸c˜oes ou m´etodos para lidar com as partes envolvidas no acesso a um conjunto de dados par-ticular e sens´ıvel.

Privacidade no ambiente de nuvem tamb´em deve envolver me-canismos ou caracter´ısticas espec´ıficas que levam em considera¸c˜ao a dinˆamica do ambiente. Se a privacidade n˜ao pode ser assegurada na nu-vem, os usu´arios podem n˜ao estar dispostos a utilizarem esses servi¸cos (VIMERCATI; FORESTI; SAMARATI, 2012).

Nesta se¸c˜ao listamos as caracter´ısticas que consideramos impor-tantes para o gerenciamento de identidade em cloud com enfase na privacidade do usu´ario. O levantamento das caracter´ısticas procura considerar pontos importantes para garantir a privacidade dos dados sens´ıveis dos usu´ario utilizados no gerenciamento de identidade, con-siderando a troca dinˆamica de informa¸c˜oes no ambiente el´astico da computa¸c˜ao em nuvem.

A literatura (T ¨URK; PIZZETTI, 2009; MADRID, 2009; ANGIN et al., 2010; DIAZ; G ¨URSES, 2012; WESTIN, 2007; SOLOVE, 2006) n˜ao in-clui caracter´ısticas de privacidade exatamente para gerenciamento de identidade na nuvem. Alguns autores tratam apenas as caracter´ısticas inclu´ıdas no seu trabalho, como por exemplo, a autentica¸c˜ao forte ( AR-DAGNA et al., 2010). Outros autores abordam a privacidade dos dados armazenados no ambiente de nuvem (WATADA et al., 2013), ou no geren-ciamento de identidade (MADRID, 2009; ISO/IEC, 2011a) sem conside-rar a nuvem. Nossa sele¸c˜ao de caracter´ısticas procura adicionar pontos de privacidade sobre o padr˜ao de princ´ıpios de privacidade (ISO/IEC, 2011b).

- Transparˆencia – refere-se `a notifica¸c˜ao sobre o uso de atributos. O ambiente deve ser transparente e dever´a notificar o indiv´ıduo sobre a coleta, utiliza¸c˜ao, divulga¸c˜ao e modifica¸c˜ao das dados de identifica¸c˜ao pessoal (PII);

- Controle – refere-se `as op¸c˜oes para permitir o uso de atributos, ´e o controle efetivo sobre os dados. Um sistema de TI deve fornecer aos titulares meios eficazes de controle de dados sobre seus dados pessoais. Deve envolver o indiv´ıduo no processo de uso de PII e, quando poss´ıvel, buscar o seu consentimento individual a coleta, utiliza¸c˜ao, divulga¸c˜ao e gest˜ao dos dados pessoais;

- Minimiza¸c˜ao – permite que o usu´ario encaminhe apenas as in-forma¸c˜oes necess´arias para acessar o recurso. Deve haver uma propaga¸c˜ao m´ınima de dados dentro da nuvem, especialmente no processo de controle de acesso;

- Presta¸c˜ao de Contas – representa a auditoria e o acompanha-mento das a¸c˜oes, de acordo com os requisitos legais. E uma´ maneira de rastrear dinamicamente os passos dos dados e dos usu´arios, utilizando o hist´orico e a localiza¸c˜ao da identidade e dos atributos vinculados. Assim, ´e poss´ıvel identificar o mau uso e as viola¸c˜oes de privacidade entre os diferentes provedores de identi-dade e de servi¸cos, permitindo a¸c˜oes de auditoria. As leis exigem a identifica¸c˜ao e a puni¸c˜ao dos envolvidos no caso de acesso n˜ao autorizado ou uso indevido dos dados acessados;

- Qualidade – refere-se a verifica¸c˜ao e a valida¸c˜ao dos atributos. ´E necess´ario garantir a integridade das informa¸c˜oes de identifica¸c˜ao pessoal, confirmando a valida¸c˜ao dos dados, de modo que a pri-vacidade do indiv´ıduo ´e preservada;

- Limita¸c˜ao – refere-se a raz˜ao ou a inten¸c˜ao de utilizar os da-dos. Apenas as entidades autorizadas devem ter acesso aos dados pessoais, garantindo a confidencialidade dos dados;

- Amig´avel – refere-se `a facilidade de utiliza¸c˜ao de aplica¸c˜oes com recursos de privacidade. As fun¸c˜oes e instala¸c˜oes relacionadas com a privacidade deve ser amig´avel, isto ´e, as aplica¸c˜oes devem fornecer ajuda suficiente e interfaces simples, para serem utiliza-das por usu´arios menos experientes. A solu¸c˜ao deve incluir uma interface de usu´ario que permite aos mesmos gerenciar suas di-ferentes identidades, para verificar quais dados foram divulgados e em que condi¸c˜oes e para quem. Assim, o usu´ario pode dar o consentimento solicitado e pode visualizar transa¸c˜oes passadas (TRABELSI; SENDOR, 2012);

- Confian¸ca – refere-se `a verifica¸c˜ao da confian¸ca usando m´etricas como reputa¸c˜ao e risco. Em um ambiente de nuvem el´astico e dinˆamico, onde v´arios prestadores se comunicam com diferentes usu´arios, ´e essencial criar maneiras de manter ou assegurar a con-fian¸ca entre as partes;

- Ofusca¸c˜ao – refere-se ao uso de mecanismos ou artefatos que permitem a identifica¸c˜ao de usu´arios, atrav´es do uso do anoni-mato ou de pseudˆonimos. Estes s˜ao mecanismos importantes na federa¸c˜oes onde os usu´arios acessam aplica¸c˜oes de diferentes con-textos e dom´ınios. Os usu´arios n˜ao enviam os seus atributos para o provedor e por causa disso, por exemplo, informa¸c˜oes potenci-almente identific´aveis, como o endere¸co IP do utilizador ou a sua localiza¸c˜ao n˜ao podem serem revelados.

Na literatura (ARDAGNA et al., 2010; WATADA et al., 2013; VI-MERCATI; FORESTI; SAMARATI, 2012;ANGIN et al., 2010) existem v´arios mecanismos e tecnologias utilizadas para garantir um tratamento efi-caz dos recursos de privacidade apresentados, chamados de Privacy-Enhancing Technologies (PETs). Neste trabalho destacamos um estudo sobre as caracter´ısticas necess´arias para a privacidade em sistemas de IdM, n˜ao envolvendo necessariamente mecanismos ou tecnologias utili-zadas para garantir o funcionamento do sistema com a privacidade.

Figura 1 – Privacidade no IdM, caracter´ısticas versus propriedades

A Figura 1 elenca uma rela¸c˜ao entre as propriedades de priva-cidade em sistemas IdM de (BIRRELL; SCHNEIDER, 2013) e as carac-ter´ısticas agrupadas neste trabalho. A rela¸c˜ao mostra que foi poss´ıvel abordar detalhadamente cada ponto de privacidade. Assim busca-se uma melhoria da privacidade nos sistemas estudados, facilitando ava-liar os trabalhos desenvolvidos em diferentes estudos.

2.1.1 Anonimato

O anonimato pode ser caracterizado como a situa¸c˜ao em que um indiv´ıduo n˜ao ´e identific´avel entre um conjunto de indiv´ıduos. Ou seja, ´e o estado pelo qual a entidade n˜ao ´e identific´avel dentro de um conjunto de sujeitos, o conjunto de anonimato (PFITZMANN; HANSEN, 2010).

prote-ger a informa¸c˜ao sobre si mesmo, desta forma, (GOLDBERG; WAGNER; BREWER, 1997) afirma que o anonimato ´e a privacidade de identidade. 2.1.2 Pseudo anonimato

Os pseudˆonimos permitem a comunica¸c˜ao entre um usu´ario e um recurso sem a necessidade de revelar uma informa¸c˜ao de identifica¸c˜ao real. O uso de pseudˆonimos impede que provedores mal intenciona-dos correlacionem seus daintenciona-dos de identifica¸c˜ao, por exemplo, com dados hist´oricos e credenciais, revelando os desejos do usu´ario, ferindo a pri-vacidade dos usu´arios (CAMENISCH et al., 2013).

Basicamente, a utiliza¸c˜ao de pseudˆonimos, consiste em criar ape-lidos para o usu´ario, de forma que ele possa acessar diferentes sistemas, por´em disfar¸cando sua verdadeira identidade (PFITZMANN; HANSEN, 2010).

2.1.3 Legisla¸c˜ao sobre privacidade

A Internet n˜ao possui uma legisla¸c˜ao espec´ıfica de forma mun-dial, por´em cada pa´ıs procura aplicar suas leis referente `a privacidade de seus cidad˜aos, aos usu´arios da Internet. Em sistemas computacio-nais interligados, ´e necess´ario que exista uma pol´ıtica (ou um conjunto de pol´ıticas), dentro do dom´ınio da aplica¸c˜ao, que descreva qual ser´a o comportamento desses sistemas e seu impacto na privacidade dos usu´arios.

Existem legisla¸c˜oes internacionais e nacionais para proteger a privacidade, al´em da legisla¸c˜ao pertinente que garante o direito dos indiv´ıduos `a privacidade.

2.1.3.1 Internacional

A regulamenta¸c˜ao de prote¸c˜ao de privacidade sempre ´e colocada em pauta nas discuss˜oes de leis ao redor do mundo. O Electronic Pri-vacy Information Center (EPIC) ´e um centro americano de pesquisa de interesse p´ublico, juntamente com o Privacy International, uma or-ganiza¸c˜ao n˜ao-governamental que trabalha com direitos humanos, ela-boraram conjuntamente um relat´orio anual sobre as legisla¸c˜oes e os avan¸cos sobre prote¸c˜ao de privacidade no mundo inteiro.

1995) que n˜ao permite qualquer processamento de dados referentes ao usu´ario sem o seu consentimento. A diretiva estabelece que os usu´arios devem possuir efetivo controle sobre os seus dados de identifica¸c˜ao que s˜ao coletados e armazenados em diferentes provedores. E quando hou-ver dissemina¸c˜ao e/ou processamento dos dados deve ser requisitado o seu consentimento.

Nos Estados Unidos, existem leis como HIPAA (CONGRESS, 1996), Gramm-Leach-Bliley-Act (CONGRESS, 1999) e Children’s Online Pri-vacy Protection Rule (COMMISSION, 2013) que respectivamente tratam de privacidade e seguran¸ca nos sistemas de sa´ude, nos sistemas finan-ceiros e de dados de crian¸cas com idade menor ou igual a 13 anos.

No Canad´a h´a uma lei chamada Personal Information Protection and Electronic Documents Act (CANAD ´A, 2011), que define como o se-tor privado pode coletar, usar e disseminar as PIIs, em suas transa¸c˜oes. De forma geral as preocupa¸c˜oes tratam da privacidade da iden-tidade, realizando o controle da distribui¸c˜ao das informa¸c˜oes de identi-fica¸c˜ao. Inclusive ´e tendˆencia mundial a preocupa¸c˜ao, sendo que muitos pa´ıses tem elaborado regras de privacidade em suas leis. As leis apre-sentadas tˆem como objetivo penalizar organiza¸c˜oes que utiliza¸c˜ao de forma fraudulenta os dados pessoais. A lei de prote¸c˜ao de dados da Alemanha exige ainda que os provedores ofere¸cam a op¸c˜ao de anoni-mato e pseudˆonimo para a utiliza¸c˜ao em seus sistemas (GOLDBERG, 2003).

2.1.3.2 Nacional

A legisla¸c˜ao brasileira apresenta algumas determina¸c˜oes a res-peito da privacidade. A Constitui¸c˜ao (CIVIL, 1988), no artigo 5o_,

des-creve que a intimidade, e a vida privada s˜ao inviol´aveis. O mesmo artigo 5o_{, tamb´em cita o habeas data, uma a¸c˜ao destinada `a tutela dos}

direitos do cidad˜ao a frente dos bancos de dados, a fim de permitir o fornecimento das informa¸c˜oes, e uma eventual retifica¸c˜ao, caso n˜ao corresponda `a verdade.

No C´odigo Civil brasileiro (CIVIL, 2002), no Cap´ıtulo II - “Dos di-reitos da personalidade”, artigos 18o_{e 21}o_{, tamb´em refere-se `as quest˜oes}

de privacidade, garantindo os direitos da vida privada.

Por fim, o Marco Civil da Internet (CIVIL, 2014) (oficialmente chamado de Lei no12.965, de 23 de abril de 2014) ´e a lei que regula o uso da Internet no Brasil, por meio da previs˜ao de princ´ıpios, garantias, direitos e deveres para quem usa a rede, bem como da determina¸c˜ao de

diretrizes para a atua¸c˜ao do Estado.

O texto da lei, um marco regulat´orio, trata de temas como neu-tralidade da rede, privacidade, reten¸c˜ao de dados, a fun¸c˜ao social que a rede precisar´a cumprir, especialmente garantir a liberdade de express˜ao e a transmiss˜ao de conhecimento, al´em de impor obriga¸c˜oes de respon-sabilidade civil aos usu´arios e provedores. Buscando sanar a lacuna que existe entre os direitos de privacidade dos brasileiros e o ambiente da Internet, a rec´em-aprovada Lei declara no artigo 3o_{, inciso II, que a}

prote¸c˜ao da privacidade deve ser considerada. E no artigo 7o _declara

que o usu´ario deve ter direitos assegurados para resguardar sua vida privada tendo sigilo das comunica¸c˜oes. O usu´ario tamb´em deve con-sentir expressamente sobre coleta, uso, armazenamento e tratamento de dados pessoais.

No artigo 8ogarante o direito da privacidade de modo que todos os usu´arios possam ter seu acesso e comunica¸c˜ao dentro da internet de forma sigilosa sem interferˆencia externa.

Por outro lado os artigos 10o, 11o, 12oe 13otratam do dever dos prestadores de servi¸co em mesmo resguardando o direito da privacidade eles devem possuir mecanismos para a guarda de registros, de modo que possibilite identificar a¸c˜oes indevidas por usu´arios mal intencionados. Inclusive estipulando san¸c˜oes em caso de viola¸c˜ao tanto da privacidade, uso indevido das informa¸c˜oes, para quanto a falta de registros numa solicita¸c˜ao dos ´org˜aos competentes (CIVIL, 2014).

2.2 COMPUTAC¸ ˜AO EM NUVEM

A computa¸c˜ao em nuvem ´e um paradigma da computa¸c˜ao dis-tribu´ıda em grande escala (FOSTER et al., 2008), tamb´em chamada de Cloud Computing (CC). Trata-se de um ambiente que tem se mostrado muito desafiador e revolucion´ario principalmente para aplica¸c˜oes que demandam muito poder de processamento, mem´oria e armazenamento. Armbrust et al. (2009) afirmam que a computa¸c˜ao em nuvem refere-se tanto a aplica¸c˜oes entregues como servi¸cos pela Internet, quanto aos sistemas de hardware e software, nos data centers que oferecem es-ses servi¸cos.

Outros trabalhos (FOSTER et al., 2008; MELL; GRANCE, 2011; BUYYA; YEO; VENUGOPAL, 2008) afirmam ainda que a computa¸c˜ao em nuvem oferece servi¸cos sob demanda, dinamicamente escal´aveis e con-figur´aveis. Os recursos devem ser liberados rapidamente com m´ınimo esfor¸co gerencial ou de intera¸c˜ao com os provedores.

A computa¸c˜ao em nuvem faz uso das tecnologias existentes, tais como virtualiza¸c˜ao, computa¸c˜ao distribu´ıda, computa¸c˜ao em grade, computa¸c˜ao utilit´aria (LLORENTE et al., 2006) e Internet. Assim, se possibilita um modelo de computa¸c˜ao “pague-por-uso” (pay-per-use) semelhante aos tradicionais servi¸cos p´ublicos como o de ´agua ou de ele-tricidade. O modelo fornece suporte inerente `as ideias de terceiriza¸c˜ao e disponibilidade no ato (on demand ) de recursos, o que ´e desej´avel para a cria¸c˜ao de servi¸cos compostos em ambientes dinˆamicos.

Os servi¸cos dispon´ıveis na nuvem computacional seguem uma classifica¸c˜ao de acordo com modelos:

- Infrastructure as a Service (IaaS) – a infraestrutura como um servi¸co, oferece a infraestrutura f´ısica, o hardware com seus re-cursos para o acesso sob demanda;

- Platform as a Service (PaaS) – a plataforma como servi¸co, pro-porciona um ambiente para desenvolvimento acessado on-line; - Software as a Service (SaaS) – software como servi¸co,

disponibi-liza uma aplica¸c˜ao para acesso on-line.

O modelo de implanta¸c˜ao na nuvem computacional ´e dividido quanto `a estrutura dispon´ıvel, conforme definido em (MELL; GRANCE, 2011): privado, p´ublico, comunit´aria e h´ıbrido. Esta classifica¸c˜ao trata da restri¸c˜ao de acesso ao neg´ocio, assim os requerimentos de seguran¸ca nos diferentes cen´arios podem e devem ser diferenciados.

- Privado – a infraestrutura de nuvem que ´e utilizada apenas para uma organiza¸c˜ao, sendo esta nuvem local ou remota, e adminis-trada pela pr´opria empresa;

- P´ublico – os recursos computacionais s˜ao disponibilizados na In-ternet para qualquer usu´ario utilizar, sem restri¸c˜oes;

- Comunit´aria – uma estrutura de computa¸c˜ao em nuvem ´e consi-derada como comunit´aria quando ocorre o compartilhamento dos recursos por diversas organiza¸c˜oes de uma nuvem;

- H´ıbrido – no caso do modelo de estrutura h´ıbrido, ocorre uma composi¸c˜ao de duas ou mais nuvens, de qualquer tipo, que devem ser interligadas por uma tecnologia padronizada que possibilite a portabilidade de dados e aplica¸c˜oes.

2.3 SEGURANC¸ A

A seguran¸ca da informa¸c˜ao visa a prote¸c˜ao da informa¸c˜ao de v´arios tipos de amea¸cas para garantir a continuidade do neg´ocio, mini-mizar o risco ao neg´ocio, maximizar o retorno sobre investimentos e as oportunidades de neg´ocio (ISO/IEC, 2005).

As caracter´ısticas b´asicas para garantir a seguran¸ca da informa¸c˜ao segundo (LANDWEHR, 2001;BERTINO; TAKAHASHI, 2010), s˜ao cinco:

- Confidencialidade – refere-se a oculta¸c˜ao de informa¸c˜oes ou recur-sos. A informa¸c˜ao somente est´a vis´ıvel a sujeitos (usu´arios e/ou processos) explicitamente autorizados;

- Integridade – refere-se `a confiabilidade dos dados ou recursos. A informa¸c˜ao n˜ao ´e modificada sem a devida autoriza¸c˜ao, prote-gendo a exatid˜ao da informa¸c˜ao;

- Disponibilidade – refere-se `a capacidade de utilizar a informa¸c˜ao ou recurso desejado. A informa¸c˜ao deve estar prontamente dis-pon´ıvel sempre que for necess´ario o acesso;

- N˜ao Repudio – refere-se a prote¸c˜ao contra uma falsa nega¸c˜ao. A capacidade de provar que uma afirma¸c˜ao ´e verdadeira;

- Autenticidade – assegura que a informa¸c˜ao ´e realmente da fonte que se declara ser, garantindo a identidade.

Em (GOLDBERG, 2003) o autor relata que existem muitas propostas para seguran¸ca relacionadas com privacidade, por´em as propostas n˜ao atendem adequadamente ambientes pr´aticos, como ´e o caso de ambien-tes de nuvem. Algumas propriedades que a tecnologia de seguran¸ca e privacidade devem conter, s˜ao:

- Usabilidade – as tecnologias de seguran¸ca e privacidade devem ser de f´acil utiliza¸c˜ao pelos usu´arios em geral;

- Deployability – a implanta¸c˜ao em diversos sistemas operacionais, navegadores e clientes de e-mail deve ser f´acil. O ideal ´e que as medidas de seguran¸ca e privacidade possam ser utilizadas sem a necessidade de instala¸c˜ao de softwares separados;

- Efic´acia – para uma tecnologia ser ´util, tem que funcionar e dar ao usu´ario o benef´ıcio que promete, sem incluir vulnerabilidades adicionais;

- Robustez – as medidas propostas devem contemplar o m´aximo de prote¸c˜ao poss´ıvel.

2.4 IDENTIDADE

A identifica¸c˜ao dos usu´arios, assim como das entidades, tem se tornado cada vez mais importante, sobretudo devido ao crescimento do uso da computa¸c˜ao em nuvem, e de servi¸cos on-line. ´E necess´ario que os usu´arios estabele¸cam suas identidades e tenham confian¸ca nas entidades para que possam trocar informa¸c˜oes.

Pfitzmann e Hansen (2010) afirmam que uma identidade ´e qual-quer subconjunto de atributos de um indiv´ıduo que identifica essa pes-soa dentro de qualquer conjunto de indiv´ıduos. Com isso, os indiv´ıduos podem ter diferentes identidades, que lhes representam em diferentes contextos.

No contexto social ´e normal uma pessoa apresentar v´arias iden-tidades diferentes dependendo do ambiente em que se encontra. Num banco, por exemplo, podem ser necess´arias as informa¸c˜oes financeiras e num consult´orio m´edico as informa¸c˜oes m´edicas, portanto seria in-comum liberar informa¸c˜oes financeiras para um m´edico e informa¸c˜oes m´edicas para um banco. No contexto digital a mesma ideia se aplica, por isso uma entidade (por exemplo, pessoas, organiza¸c˜oes, sistemas, m´aquinas) pode ter diversas identidades parciais que s˜ao utilizadas em diferentes contextos. Num sistema de com´ercio eletrˆonico, o usu´ario deve ter a possibilidade de informar os dados financeiros para a em-presa de pagamento, os dados de endere¸co para a empresa de entrega, informando subconjuntos de atributos espec´ıficos para as entidades que necessitam.

A literatura, no contexto de identidade digital, trata as informa-¸

c˜oes pessoais, os dados de identifica¸c˜ao sens´ıveis, como Personally Iden-tifiable Information (PII), apresentados na Tabela 1. Estas s˜ao quais-quer informa¸c˜oes que podem ser usadas para identifica¸c˜ao do usu´ario, por exemplo, n´umero de cart˜ao de cr´edito, marca favorita de determi-nada roupa, ou comida (GOLDBERG, 2003;PEARSON; CASASSA-MONT, 2011).

Birrell e Schneider (2013) afirmam que identidades digitais s˜ao cole¸c˜oes de dados que representam atributos. Os atributos s˜ao carac-ter´ısticas associadas a essa entidade, dados que caracterizam a entidade para identificar, classificar ou qualificar de forma ´unica em um contexto. As preferˆencias representam os desejos dessa entidade.

Tabela 1 – Exemplo de PII

Atributo Valor

ID 11111010101

Nome Jo˜ao da Silva

R.G. 403289440

C.P.F. 362.122.327-41 e-mail joao.silva@lrg.ufsc.br

Os atributos s˜ao classificados em dois tipos: obrigat´orios e fa-cultativos. O provedor solicita atributos obrigat´orios para determinar a autoriza¸c˜ao (permitir ou negar o acesso ao recurso), e solicita atri-butos opcionais para fornecer acesso a conte´udos ou servi¸cos adicionais (ORAWIWATTANAKUL et al., 2010).

2.4.1 Ciclo de vida de uma identidade

Uma identidade digital normalmente passa pelo seguinte ciclo de vida (BERTINO; TAKAHASHI, 2010), apresentado na Figura 2:

- Cria¸c˜ao – ´e o processo de registro, cadastro do usu´ario e cria¸c˜ao de sua identidade, pode incluir uma prova de identidade e a atri-bui¸c˜ao de privil´egios. E o momento em que o usu´´ ario fornece suas informa¸c˜oes pessoais e essas s˜ao relacionadas a identidade que esta sendo criada;

- Utiliza¸c˜ao – ´e a fase em que a identidade criada se encontra dispon´ıvel para a utiliza¸c˜ao. Essa identidade pode ser propa-gada para diferentes provedores de acordo com as necessidades de acesso do usu´ario detentor;

- Atualiza¸c˜ao – ´e a fase em que as identidades s˜ao atualizadas. Por exemplo, nos casos de mudan¸ca na preferˆencia dos usu´arios; - Revoga¸c˜ao – ´e o momento em que a identidade ´e revogada, ou

seja, o usu´ario n˜ao ter´a mais privil´egio de acesso. Nesta fase, ´

e importante a remo¸c˜ao de todas as contas, dos atributos, das informa¸c˜oes vinculadas e dos privil´egios de acesso;

- Auditoria – componente do ciclo de vida que registra todos as opera¸c˜oes realizadas pela identidade.

Figura 2 – Ciclo de vida da identidade (adaptado de (BERTINO; TA-KAHASHI, 2010)).

2.5 MODELOS DE CONTROLE DE ACESSO

O relat´orio t´ecnico do instituto americano de padr˜oes e tecno-logia (HU et al., 2014), National Institute of Standards and Technology (NIST), descreve alguns dos principais conceitos sobre o controle de acesso. Hu et al. (2014) descreve os mecanismos de controle de acesso como o componente l´ogico que serve para receber o pedido de acesso a partir do sujeito, decidir, e por fim, fazer cumprir a decis˜ao de acesso. Existem diversos mecanismos para o controle de acesso, como por exemplo, baseado em confian¸ca, contexto, pap´eis e atributos. Este trabalho utiliza o modelo de controle de acesso baseado em atributo, Attribute Based Access Control (ABAC), j´a que este modelo ´e utilizado em sistemas de gerenciamento de identidade conhecidos como Shibbo-leth e OIDC.

O modelo ABAC ´e um modelo de controle de acesso, onde as requisi¸c˜oes dos sujeitos para executar opera¸c˜oes em objetos s˜ao con-cedidas ou negadas com base em atributos, estes atribu´ıdos ao su-jeito, atribu´ıdos ao objeto, as condi¸c˜oes do ambiente, e a um con-junto de pol´ıticas que est˜ao especificadas nos termos desses atributos e condi¸c˜oes.

2.6 GERENCIAMENTO DE IDENTIDADE

A gest˜ao de identidade ´e um processo em que cada pessoa ou recurso ´e fornecido com credenciais de identificadores exclusivos, que s˜ao usados para identificar essa entidade ´unica. A gest˜ao de identidade ´e

usada para controlar o acesso a qualquer sistema ou recurso associando direitos de usu´arios e restri¸c˜oes da identidade.

Josang e Pope (2005) definem o gerenciamento de identidades como um sistema integrado de pol´ıticas, processos de neg´ocios e tecno-logias que permitem `as organiza¸c˜oes, o tratamento e manipula¸c˜ao de identidades de seus usu´arios. De modo geral, tratam do processo de cria¸c˜ao, gerenciamento e utiliza¸c˜ao de identidades de usu´arios e a infra-estrutura que suporta esse processo (LEE; JEUN; JUNG, 2009;HANSEN et al., 2004;HANSEN; SCHWARTZ; COOPER, 2008).

Os pap´eis desempenhados num sistema de gerenciamento de iden-tidades s˜ao (HANSEN; SCHWARTZ; COOPER, 2008; BIRRELL; SCHNEI-DER, 2013; BERTINO; TAKAHASHI, 2010):

- Usu´ario – aquela pessoa que deseja acessar algum servi¸co; - Identidade – ´e representada por um conjunto de atributos de um

usu´ario, por exemplo, o nome, o endere¸co, a filia¸c˜ao, a data de nascimento, entre outros;

- Identity Provider (IdP) – o provedor de identidades ´e respons´avel por fornecer os servi¸cos de gerenciamento de identidades, ne-cess´ario para que o usu´ario utilize o provedor de servi¸cos. O IdP armazena os atributos que comp˜oem a identidade dos usu´arios e emite a identidade v´alida para acesso aos recursos requeridos, assim realiza o processo de autentica¸c˜ao;

- Service Provider (SP) – o provedor de servi¸cos ´e aquele que for-nece os servi¸cos, as aplica¸c˜oes ou os recursos que o usu´ario efeti-vamente deseja utilizar, por exemplo, e-mail, e-commerce. O SP ´

e respons´avel pela libera¸c˜ao do acesso ao recurso requisitado, de acordo com seus requisitos.

Os sistemas de gerenciamento de identidades podem ser res-pons´aveis tanto pela tarefa de autentica¸c˜ao quanto pela tarefa da au-toriza¸c˜ao (ou controle de acesso) de diferentes aplica¸c˜oes.

A autentica¸c˜ao ´e o processo de assegurar que o indiv´ıduo ´e re-almente a pessoa que afirma ser. A autentica¸c˜ao pode ser conceituada ainda como a prova da posse do atributo de identifica¸c˜ao. Este ´e um passo fundamental e necess´ario antes de permitir que qualquer pessoa realize uma opera¸c˜ao em um sistema.

A autoriza¸c˜ao ´e a necessidade de fornecer diferentes n´ıveis de acesso (por exemplo, negar ou permitir) em diferentes partes ou opera¸c˜oes de um sistema de computa¸c˜ao. O tipo de acesso ´e determinado pela

identidade da pessoa de acordo com a necessidade de acesso, do tipo de opera¸c˜ao ou da parte do sistema que precisam ser acessados. As autoriza¸c˜oes s˜ao baseadas em atributos associados ao usu´ario, a¸c˜ao ou recurso. No eXtensible Access Control Markup Language (XACML), as autoriza¸c˜oes s˜ao expressas em f´ormulas l´ogicas que envolvem valores de atributos.

Al´em de fornecer maior seguran¸ca na manipula¸c˜ao de identida-des a principal vantagem do uso de um sistema de gerenciamento de identidade ´e a possibilidade de uma autentica¸c˜ao ´unica, ou seja, Single Sign-on (SSO). O SSO ´e um acesso ´unico que um usu´ario faz em um servi¸co e, a partir da´ı, est´a autenticado para utilizar outros servi¸cos.

Existe tamb´em o conceito de Single Sign-off (SLO), que ´e a a¸c˜ao reversa ao SSO, ou seja, a possibilidade de encerrar todas as sess˜oes de acesso a diferentes servi¸cos a partir de um acesso ´unico.

Os modelos de sistemas para o gerenciamento de identidade (LEE; JEUN; JUNG, 2009) s˜ao:

- Tradicional – o modelo mais comum e mais f´acil de ser implemen-tado, modelo dedicado de cada aplica¸c˜ao. O pr´oprio SP gerencia as identidades utilizadas e que s˜ao v´alidas apenas no seu dom´ınio de servi¸co. Nesse caso o usu´ario deve ter uma identidade diferente para cada SP, apresentado na Figura 4(a);

- Centralizado – modelo em que um ´unico provedor gerencia as identidades que podem ser usadas em diferentes servi¸cos providos num mesmo dom´ınio. ´E o modo mais simples de se implemen-tar o SSO, tamb´em tratado como dom´ınio ´unico, apresentado na Figura 4(b);

- Federado – no modelo federado, o IdP compartilha as identidades entre SPs inclu´ıdos num c´ırculo de confian¸ca. Esse dom´ınio ´e montado atrav´es de acordos pr´evios entre os SPs e os IdPs. O modelo tamb´em provˆe SSO, com a vantagem de estender esse servi¸co para organiza¸c˜oes em diferentes dom´ınios, apresentado na Figura 4;

- Centrado no usu´ario – esse ´ultimo modelo o pr´oprio usu´ario gerˆencia as pol´ıticas de uso de suas identidades e informa¸c˜oes, ele controla a cria¸c˜ao, uso e remo¸c˜ao dessas mesmas informa¸c˜oes.

Figura 3 – Gerenciamento de identidades em um dom´ınio.

(a) Tradicio-nal.

(b) Centralizado.

Figura 4 – Gerenciamento de identidades federado.

2.6.1 Fluxo de mensagens em um sistema IdM

O gerenciamento de identidades em uma federa¸c˜ao pode ocor-rer envolvendo m´ultiplos provedores de identidades e provedores de servi¸cos.

As m´ultiplas organiza¸c˜oes tˆem a possibilidade de cooperar entre si, agregando valor aos seus servi¸cos com a uni˜ao de diferentes funcio-nalidades providas por diferentes parceiros. Nesse modelo, a identidade digital do usu´ario em um dom´ınio, ´e aceita num dom´ınio diferente de modo transparente e seguro.

A Figura 5 resume as troca de mensagens em um ambiente que possui um sistema de gerenciamento de identidades nos seguintes pas-sos:

Figura 5 – Fluxo de mensagens no sistema de gerenciamento de identi-dades.

negado o acesso, pois o usu´ario n˜ao fez a autentica¸c˜ao e por isso n˜ao existe um contexto de seguran¸ca na aplica¸c˜ao com os dados referentes ao usu´ario. Com isso o SP direciona o usu´ario para o seu IdP;

2. O usu´ario se autentica no IdP, apresentando suas credenciais; 3. O IdP cria a resposta da autentica¸c˜ao e envia ao SP. O IdP

co-leta os atributos relacionados `a identidade do usu´ario que s˜ao necess´arios pelo SP. A resposta gerada ´e ent˜ao entregue pelo IdP ao SP;

4. O recurso protegido ´e devidamente liberado, com a valida¸c˜ao do processo de autentica¸c˜ao e entrega dos dados.

2.7 TECNOLOGIAS DE IDM

Existem diferentes tecnologias ou aplica¸c˜oes que est˜ao sendo de-senvolvidas como sistemas de gerenciamento de identidade. Na busca das aplica¸c˜oes estudamos as principais tecnologias dispon´ıveis. En-tre elas Authentic 2 (ENTR’OUVERT, 2014), Higgins (ECLIPSE, 2009), PingFederate (IDENTITY, 2016), CardSpace (CARDSPACE, 2007), Ope-nAM (FORGEROCK, 2016), Shibboleth (SHIBBOLETH, 2016) e o OpenID Connect (OIDF, 2016).

Authentic 2 ´e um sistema de gerenciamento de identidade pa-trocinado pela Entr’ouvert, uma empresa francesa estruturada em forma de cooperativa, que trabalha em projetos de software livre. O sistema ´