Resumen de Análisis y mejora de la seguridad y privacidad de esquemas federados para la gestión de identidades y accesos
La gestión de identidades y accesos es la disciplina de la seguridad que se encarga de administrar quién (o qué) y cómo accede a un determinado recurso, aplicación o servicio. Es decir, se trata del conjunto de metodologías, técnicas, mecanismos, protocolos y herramientas que se encargan de la administración de usuarios, así como de sus credenciales y privilegios cuando solicitan el acceso a diferentes recursos.
Debe proporcionar, en general, las capacidades de Identificación, Autenticación, Autorización y Auditoría garantizando los niveles adecuados de confidencialidad, integridad, disponibilidad y no repudio, teniendo en consideración la privacidad para los usuarios y sistemas involucrados en esta gestión.
Uno de los habilitadores de Internet ha sido la gestión de identidades y accesos federada, diferentes organizaciones que forman parte de una federación confían entre ellas para dicha gestión. En estos esquemas, unos agentes adoptan el rol de proveedores de identidades mientras que el resto son, de alguna manera, sus clientes (recursos, aplicaciones o servicios) y sus usuarios finales (las personas o entidades que necesitan acceder a estos recursos, aplicaciones o servicios).
Aunque parece que la tendencia es que este tipo de esquemas sigan evolucionando y se sigan extendiendo, la academia está demostrando que las especificaciones federadas todavía son muy inmaduras, y se han descubierto y publicado las primeras debilidades y vulnerabilidades de seguridad y privacidad que permitirían a un adversario suplantar la identidad de su víctima o rastrear su actividad.
Por este motivo es necesario realizar un análisis en profundidad de los niveles de seguridad y privacidad ofrecidos por los esquemas federados para la gestión de identidades y accesos que permita proponer mejoras concretas para las especificaciones y la implementación de los productos que las soporten. Y así, mejorar la confianza de unos agentes de la federación en otros, conociendo el modelo de amenazas asociado al uso de este enfoque.
El objetivo principal de la tesis doctoral es la propuesta y validación de un modelo de amenazas para la seguridad y privacidad de los esquemas federados para la gestión de identidades y accesos basados en OpenID Connect. Y, a partir de él, la propuesta y validación de un conjunto de técnicas, mecanismos y servicios que, teniendo en cuenta el anterior modelo de amenazas y los requisitos de seguridad y privacidad de escenarios actuales reales, incremente los niveles de seguridad y privacidad de partida, mejorando el estado actual de estas especificaciones y de sus implementaciones de referencia.
