Segurança para web services com criptografia heterogênea baseada em Proxy

Abstract

Atualmente, diversos serviços são disponibilizados pela Internet e há uma crescente demanda por estas aplicações. Considerando que a Internet não é uma rede segura, a confidencialidade de informações que circulam na rede é um fator de importância cada vez maior. Visando solucionar este problema, várias técnicas de segurança surgiram e cada empresa as adotou em suas políticas de uma forma diferente. Porém com a tendência de adoção do modelo de Arquiteturas Orientadas a Serviços, diferentes serviços com diferentes políticas de segurança necessitaram ser agrupados para que pudessem trabalhar em conjunto, o que acabou dificultando a criação de uma aplicação que segue um determinado padrão. Uma nova abordagem se faz necessária para facilitar a coexistência destas técnicas de segurança de uma forma produtiva. Assim, este trabalho apresenta um modelo voltado ao tratamento automático de características de segurança para serviços ordenados em Arquiteturas Orientadas a Serviço. Este modelo atua como um sistema intermediário capaz de “traduzir” as técnicas de segurança para um formato determinado. Com base neste modelo é apresentado um protótipo capaz de tratar automaticamente diferentes algoritmos de criptografia assimétrica, entre eles RSA, DSA e ECDSA. O objetivo do trabalho é testar a efetividade do modelo por meio de um estudo de caso, apresentando uma situação que este pode ser adotado por aplicações reais.

Currently, many different services are available through the Internet and there is a growing demand for these applications. Considering that the Internet is not secure, the confidentiality of such information is a factor of increasing importance. To overcome this problem, many security techniques have emerged and each company has adopted the policies in a different way, but with a tendency to adopt the model of Service-Oriented Architectures. Sometimes different services with different security policies need to be grouped to work together, which makes it difficult to create an application that follows this pattern. A new approach is needed to facilitate the coexistence of these techniques in a productive manner. Based on these requirements, this paper presents a model aimed at the automatic processing of security features to services ordered in Service Oriented Architectures, this model serves as an intermediate system able to “translate” the safety techniques for a particular format. Based on this model, it is presented a prototype able to automatically handle different asymmetric encryption algorithms, including RSA, DSA and ECDSA. This study is to demonstrate the effectiveness of the model through a case study, presenting a situation that can be adopted by real applications.