Method-Specific Access Control in Java via Proxy Objects using Annotations

Partially restricting access to objects enables system designers to finely control the security of their systems. We propose a novel approach that allows granting partial access at method granularity on arbitrary objects to remote clients, using proxy objects. Our initial approach considers methods to be either safe (may be invoked by anyone) or unsafe (may be invoked only by trusted users). We next generalize this approach by supporting Role-Based Access Control (RBAC) for methods in objects. In our approach, a policy implementer annotates methods, interfaces, and classes with roles. Our system automatically creates proxy objects for each role, which contain only methods to which that role is authorized. This thesis explains the method annotation process, the semantics of annotations, how we derive proxy objects based on annotations, and how clients invoke methods via proxy objects. We present the advantages to our approach, and distinguish it from existing approaches to method-granularity access control. We provide detailed semantics of our system, in First Order Logic, to describe its operation. We have implemented our system in the Java programming language and evaluated its performance and usability. Proxy objects have minimal overhead: creation of a proxy object takes an order of magnitude less time than retrieving a reference to a remote object. Deriving the interface---a one-time cost---is on the same order as retrieval. We present empirical evidence of the effectiveness of our approach by discussing its application to software projects that range from thousands to hundreds of thousands of lines of code; even large software projects can be annotated in less than a day

Modelos de segurança baseados em papéis para sistemas de larga escala: a proposta RBAC-JaCoWeb

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico. Programa de Pós -Graduação em Engenharia Elétrica.Políticas de segurança são um aspecto freqüentemente negligenciado nos sistemas de informação atuais. Devido à magnitude e à complexidades de aplicações distribuídas interconectadas através da Internet e/ou de grandes redes corporativas, o projeto de esquemas de controle de acesso eficazes para estes sistemas torna-se um grande desafio. Modelos de segurança são um guia importante no desenvolvimento de políticas eficientes de segurança. Nesta dissertação, é feito um estudo de diversos modelos de segurança, com ênfase na sua aplicabilidade em sistemas de larga escala. É desenvolvido, então, um esquema de autorização baseado em papéis que utiliza os modelos de segurança CORBA, Java e Web. Nós introduzimos uma nova abordagem que permite a ativação automática de papéis pelos componentes de segurança do middleware, trazendo o controle de acesso baseado em papéis para aplicações não cientes da segurança