Κατανεμημένη Πλατφόρμα Διαχείρισης Εξουσιοδοτήσεων σε Ετερογενή Περιβάλλοντα

Abstract

Οι πρόσφατες εξελίξεις στις Τεχνολογίες Πληροφορίας και Επικοινωνιών έχουν σηματοδοτήσει θεμελιώδεις αλλαγές στα χαρακτηριστικά και στις αρχές των παρεχόμενων προς τους χρήστες υπηρεσιών. Οι πάροχοι υπηρεσιών επενδύουν με αυξητικές τάσεις στην αξιοποίηση προσωποποιημένων κατανεμημένων τεχνολογικών λύσεων και στον σχηματισμό δυναμικών συνασπισμών με απομακρυσμένους εταίρους, με στόχο την καλύτερη προσαρμογή στις ανάγκες των χρηστών και την αύξηση της παραγωγικότητας αντίστοιχα. Ωστόσο, οι εμπλεκόμενες ηλεκτρονικές συναλλαγές προϋποθέτουν και συνεπάγονται τη συγκέντρωση, χρήση και διακίνηση προσωπικών δεδομένων πληροφοριών και ευαίσθητων επιχειρηματικών πληροφοριών, γεγονός το οποίο εγείρει σημαντικά θέματα ιδιωτικότητας των χρηστών και εμπιστευτικότητας των πληροφοριών. Η παρούσα διατριβή πραγματεύεται τον έλεγχο του διαμοιρασμού ευαίσθητων και προσωπικών πληροφοριών, μέσω της κατάλληλης διαχείρισης εξουσιοδοτήσεων για πρόσβαση σε δεδομένα. Απώτερος στόχος του προτεινόμενου συστήματος είναι ο εμπλουτισμός των διαδικασιών λήψης αποφάσεων εξουσιοδότησης, έτσι ώστε να λαμβάνονται υπόψη παράγοντες όπως είναι η ιδιωτικότητα των χρηστών, τα χαρακτηριστικά γνωρίσματα των αλληλεπιδρώντων οντοτήτων και οι τρέχουσες συνθήκες του πλαισίου χρήσης. Προς τούτο, στον πυρήνα της προδιαγραφόμενης λύσης εντοπίζεται ένα σημασιολογικό μοντέλο ελέγχου πρόσβασης με την κατάλληλη εκφραστικότητα για την κάλυψη των προαναφερθέντων απαιτήσεων, ενώ οι τελικές εξουσιοδοτήσεις προκύπτουν ως αποτέλεσμα της εφαρμογής των απαραίτητων συμπερασματικών αλγορίθμων συγκερασμού των προτιμήσεων των χρηστών και των παρόχων του συστήματος. Προς ενίσχυση της κλιμακοθετησιμότητας των διαδικασιών λήψης αποφάσεων, η εφαρμογή των συμπερασματικών αλγορίθμων πραγματοποιείται πριν την εκκίνηση του συστήματος, ενώ το αποτέλεσμα αυτής αποτυπώνεται στη μορφή ψηφιακών πιστοποιητικών ιδιοτήτων, τα οποία κατά τη διάρκεια της λειτουργίας του συστήματος αξιοποιούνται ως αποδείξεις εξουσιοδότησης. Με αυτόν τον τρόπο, σε πραγματικό χρόνο οι υπολογιστικές ανάγκες της υποδομής αναφορικά με την αποτίμηση των δικαιωμάτων χρηστών περιορίζονται στην αναγνώριση των τρεχόντων συνθηκών πρόσβασης. Τόσο το αναπτυχθέν σημασιολογικό μοντέλο, όσο και η μηχανή παραγωγής αποφάσεων εξουσιοδότησης ενσωματώνονται σε μια κατανεμημένη Υποδομή Δημόσιου Κλειδιού, με στόχο την εξασφάλιση σχέσεων εμπιστοσύνης μεταξύ των διακριτών οντοτήτων του συστήματος.

Recent advances in Information and Communication Technologies have fundamentally reshaped the principles and characteristics of the provided digital services. Service providers invest with increasing rates into personalized distributed technologies and the formulation of dynamic coalitions with remote stakeholders, in order to adapt more effectively to the needs of their users and to increase productivity, respectively. However, the emerging transactions dictate the concentration, use and circulation of personal data and sensitive corporate information and thus ignite severe privacy and data confidentiality concerns. The present doctoral thesis deals with the control of sensitive information sharing procedures, through the proper authorization management, as far as access to data is concerned. Ultimate goal of the proposed system is the enhancement of the authorization decision process, in order to capture value from features such as the privacy of the users, the identification of entities’ attributes and context awareness. For these purposes, the core of the specified solution is occupied by a semantic access control model with the required expressiveness to cover the aforementioned requirements, while final authorizations represent the outcome of the enforcement of reasoning algorithms which deal, among others, with the alignment of the users’ and providers’ confidentiality preferences. Aiming at scalability benefits, the reasoning process is conducted in an offline fashion, while the produced results are coded into digital attribute certificates, which are utilized during the system operation as authorization tokens. Consequently, the system’s processing requirements while deciding the privileges of the infrastructure’s entities in real time are limited to the evaluation of contextual parameters and conditions. The semantic model as well as the authorization decision engine which have been developed in the scope the thesis, are incorporated into a decentralized Public Key Infrastructure, which works towards the establishment of trust relationships between the distinct entities of the system.