Nama Kelompok : Dede anggriawan
Mariyanto
Ramzi Wahid
Kelas : 4KA11
Single Sign-On Scheme based on XML for Media Device Control in the Ubiquitous Home Network Running the OSGi
Abstract
Skema single sign-on diusulkan di mana pengguna menawarkan informasi credential untuk jaringan rumah menjalankan OSGi (Open Service Gateway Initiative) platform layanan, untuk memperoleh otentikasi pengguna dan mengontrol perangkat remote melalui perangkat mobile menggunakan skema otentikasi ini, berdasarkan SAML (Keamanan Sikap tegas Markup Language). Single sign-on profil didefinisikan untuk mengatasi cacat dari komputasi rendah dan kemampuan memori dari perangkat mobile dan otentikasi pengguna otomatis diterapkan untuk mengontrol perangkat remote media yang menggunakan perangkat mobile dalam jaringan rumah di mana-mana berdasarkan OSGi.
Kata kunci: single sign-on, SAML, jaringan rumah, OSGi, kontrol perangkat
LATAR BELAKANG
Dalam platform layanan OSGi, setiap bundel layanan operator gerbang memerlukan otentikasi pengguna . Dengan hasil tersebut, pengguna harus menyelesaikan otentikasi berulang-ulang setiap kali pengguna ingin mengakses beberapa sejumlah layanan . Hal ini menyebabkan masalah keamanan potensial serta sulitnya akses pengguna .
Pertama-tama , masalah keamanan utama dengan lingkungan jaringan rumah berbasis pada platform layanan OSGi adalah bahwa infrastruktur keamanan didistribusikan dan arsitektur ini biasanya membutuhkan bahwa fitur kunci keamanan dibangun ke dalam semua bagian dari sistem . Selain itu, pengguna harus menghafal username dan password untuk setiap layanan . Selain itu , administrator sistem mengelola banyak password dalam database dan dihadapkan dengan potensi masalah sistem tidak aman karena transmisi sering password ini di lokasi. SSO ( Single Sign -On ) adalah alternatif yang baik untuk memecahkan masalah ini . SSO adalah fitur keamanan yang memungkinkan pengguna untuk login ke berbagai layanan yang berbeda yang ditawarkan oleh sistem terdistribusi sementara hanya perlu menyediakan otentikasi sekali , atau setidaknya selalu dengan cara yang sama.
Dalam tulisan ini , kami mengusulkan skema sign-on tunggal dengan menggunakan SAML ( Keamanan Sikap tegas Markup Language ) untuk lingkungan layanan jaringan berbasis rumah pada platform layanan OSGi . Kami simulasi lingkungan ini dengan mengusulkan dan memverifikasi skenario pesan melalui implementasi , dan didefinisikan profil untuk menerapkan SSO melalui perangkat mobile dengan kapasitas memori kecil di lingkungan OSGi terdistribusi , yang harus bertukar dan memverifikasi kunci untuk otentikasi pengguna .
LANDASAN TEORI
Lepaskan 4 dari platform layanan OSGi mendefinisikan "Layanan Admin User" tapi hanya menawarkan otentikasi untuk setiap unit pelayanan [4]. Untuk alasan ini, ketika pengguna ingin mengakses berbagai layanan, lingkungan jaringan rumahmenggunakan platform layanan OSGi mungkin memiliki masalah keamanan yang sama primer berpengalaman dalamlingkungan mobile atau Web Services. SSO dapat diimplementasikan dengan bertukar dan menggunakan kembaliinformasi otentikasi pengguna, termasuk fakta bahwa pengguna sebelumnya telah disahkan oleh metode tertentu antaradomain keamanan yang berbeda. Kami ditentukan informasi dengan cara yang seragam dan terpadu berdasarkan SAML.
2.1. OSGi (Open Service Gateway Initiative) framework
Platform layanan OSGi dibagi menjadi dua bagian: Layanan Kerangka OSGi dan OSGi Service. The OSGi framework mendukung registry dan manajemen siklus hidup untuk layanan OSGi dalam lingkungan runtime Java .Sebagai sebuah kemasan , layanan OSGi seperti HTTP , Logging , dan Device Access Layanan didefinisikan oleh Java Interface. Sebuah bundel adalah unit minimum untuk mengelola kerangka .Kerangka mengelola menginstal , menghapus , menyelesaikan , berhenti , mulai , dan siklus hidup aktif untuk bundel . Dalam rangka menerapkan skema SSO ke jaringan rumah seperti yang ditunjukkan pada Gambar 1 , layanan diperpanjang dari layanan inti yang disediakan oleh kerangka OSGi harus dikembangkan dan disebarkan ke kerangka OSGi . Gambar 2 menunjukkan layanan inti yang disediakan oleh kerangka OSGi dan layanan diperpanjang .
Untuk tujuan percobaan , kami menerapkan layanan berikut diperpanjang :
Camera Control Service memberikan fungsionalitas untuk mengendalikan kamera pengintai , seperti tampilan kamera , kamera on / off , dan kamera zoom in / out .
Proyektor Service Control menyediakan fungsionalitas untuk mengendalikan proyektor di ruang konferensi atau ruang pertemuan , seperti proyektor on / off dan menyesuaikan .
Single Sign On Layanan membuat query berbasis XML untuk otentikasi pengguna . Juga memainkan peran bertukar artefak antara pengguna dan Authentication Agent . Setelah otentikasi pengguna berhasil , itu mengarah pengguna ke layanan tujuan .
2.2. SAML (Security Assertion Markup Language)
SAML mendefinisikan protokol request-response menggunakan subset dari XML, dimana sistem menerima atau menolak subjek berdasarkan pernyataan [6]. Sebuah pernyataan meliputi Laporan yang dihasilkan oleh otoritas SAML, menyampaikan mereka dan memastikan bahwa mereka adalah benar. SAML mendefinisikan tiga jenis pernyataan: Otentikasi Sikap tegas, Atribut Sikap tegas, Otorisasi Sikap tegas. Otoritas SAML dapat diklasifikasikan sebagai otoritas otentikasi, atribut berwenang, dan titik keputusan kebijakan sesuai dengan jenis pernyataan disertakan. SAML mendefinisikan mekanisme artefak ketika permintaan otentikasi terlalu panjang untuk HTTP redirect. Artefak memiliki peran token. Hal ini dibuat dalam keamanan domain dan dikirim ke domain keamanan lain untuk otentikasi pengguna. Untuk mencapai satu sign-on, perangkat mobile terus artefak, yang memverifikasi bahwa pengguna ponsel telah dikonfirmasi sekali oleh otoritas SAML dalam sistem.
PEMBAHASAN
Peran domain keamanan adalah untuk mengelola dan mengendalikan sumber daya diperintah oleh spesifik kebijakan kontrol akses . Ketika subjek dalam domain keamanan meminta sumber daya dari lain domain keamanan , subjek harus didefinisikan dalam domain keamanan pertama dan saling percaya - hubungan harus ada antara domain keamanan pertama dan kedua domain keamanan [ 7 ] . Secara khusus , OSGi merekomendasikan layanan HTTP untuk menawarkan pengguna akses ke layanan di Internet dan jaringan lain [ 8 ] . Oleh karena itu kami sangat menyarankan SSO sebagai skema keamanan inti untuk meningkatkan aksesibilitas pengguna dan keamanan kinerja dalam lingkungan jaringan rumah memanfaatkan layanan HTTP .Konsep Single Sign-On arsitektur yang diusulkan ditunjukkan pada Gambar 3 , di
yang OSGi memberikan layanan tertentu yang ditawarkan oleh penyedia layanan untuk pengguna akhir terlepas dari lingkungan sistem . Dalam implementasi kami , keuntungan pengguna ponsel akses ke layanan yang dikelola oleh operator gerbang dengan berbasis SAML informasi yang berkaitan dengan otentikasi sendiri untuk mengontrol kamera jarak jauh dan proyektor . Sebuah kunci pengguna mobile username dan password untuk perangkat mobile dalam rangka untuk mengakses Service Control Camera di operator gerbang dari Wide Area Network. Informasi pengguna credential ini ditransfer ke Layanan SSO melalui Operator gateway, yang menghubungkan perangkat mobile dan Wide Area Network .
International Journal of Multimedia dan Teknik Ubiquitous
Penjelasan dari setiap langkah adalah sebagai berikut :
( 1 ) Kunci pengguna mobile nama dan password ke dalam perangkat mobile dalam rangka untuk mengakses
Kamera Service Control melalui operator gerbang .
( 2 ) Operator gerbang transfer informasi credential pengguna untuk Kontrol Kamera
Layanan . Ketika password user ditransmisikan , password harus dienkripsi .
( 3 ) Kamera Service Control meminta otentikasi pengguna dari Layanan SSO ,
memberikan informasi credential pengguna .
( 4) Layanan SSO membuat permintaan otentikasi berbasis SAML dan menandatanganinya secara digital bisa dipercaya oleh Otoritas Authentication .
( 5) Layanan SSO mengirimkan permintaan otentikasi menandatangani kontrak dengan Authentication Agent .
( 6 ) The Authentication Agent meminta otentikasi pengguna dari Otoritas Authentication .
( 7 ) The Otentikasi Authority memverifikasi permintaan otentikasi ditandatangani , mendekripsi password user , mengotentikasi pengguna , membuat sebuah pernyataan otentikasi , dan tanda-tanda secara digital .
( 8 ) The Otentikasi Authority mengirimkan otentikasi ini pernyataan yang ditandatangani pada Authentication Agent .
( 9 ) The Otentikasi Agen memverifikasi otentikasi pernyataan yang ditandatangani , mengevaluasi, dan menandatangani hasil dievaluasi secara digital . Jika hasilnya valid, Authentication Agent menghasilkan artefak untuk pengguna mobile.
( 10 ) artefak tersebut ditugaskan untuk pengguna mobile yang ingin mengakses Service Control Camera .( 11 ) The Authentication Agent mengembalikan hasil dievaluasi untuk Layanan SSO .
( 12 ) The Layanan SSO memimpin pengguna mobile untuk Service Control Camera .
( 13 ) , ( 14 ) , dan , ( 15 ) Kamera Service Control mengontrol Camera melalui gateway perumahan di Digital Home . Sebelum memberikan akses ke Kamera , Residensial Gateway harus memverifikasi hasil ditandatangani .
( 16 ) Para pengguna mobile yang ingin mengakses Service Control Proyektor melalui operator gerbang memberikan artefak yang diterima dari Layanan SSO ( mengacu pada langkah ( 10 ) ) .
( 17 ) Operator gerbang transfer artefak ke Service Control Projector.
( 18 ) Proyektor Service Control meminta otentikasi pengguna dari Layanan SSO , menyediakan artefak bukan nama pengguna dan password.
( 19 ) The Layanan SSO mengirimkan artefak ke Authentication Agent . Layanan SSO tidak lagi membuat permintaan otentikasi .
( 20 ) The Otentikasi Agen membandingkan artefak yang diterima dari Layanan SSO ( mengacu pada langkah ( 10 ) ) dengan artefak asli ( mengacu pada langkah ( 9 ) ) . Jika hasilnya valid, Authentication Agen menghilangkan artefak asli dan menghasilkan artefak baru untuk pengguna mobile.
( 21 ) Artefak yang baru ditugaskan untuk pengguna mobile yang ingin mengakses Service Control Projector.
( 22 ) The Authentication Agent mengembalikan hasilnya dievaluasi menandatangani kontrak dengan Layanan SSO .
( 23 ) The Layanan SSO memimpin pengguna mobile untuk Service Control Projector.
( 24 ) , ( 25 ) , dan ( 26 ) Proyektor Service Control mengontrol Proyektor melalui gateway perumahan di Digital Home . Sebelum memberikan akses ke Proyektor , Residensial Gateway harus memverifikasi hasil ditandatangani .
KESIMPULAN
Dalam lingkungan jaringan rumah berdasarkan kerangka OSGi, ada beberapa hambatan untuk mendistribusikan otentikasi pengguna otomatis karena kemampuan terbatas perangkat mobile. Untuk mengatasi masalah ini, kami mengusulkan skema keamanan untuk bertukar informasi otentikasi pengguna berdasarkan SAML bawah lingkungan jaringan rumah OSGi berbasis. Skema ini mendukung transfer efisien dan aman informasi credential pengguna antara perangkat mobile dan jaringan rumah, jaringan layanan, dan menawarkan akses ke domain terkait tanpa beban proses log-in ulang.
Pengakuan
Penelitian ini didukung oleh Seoul R & BD Program (SS110008).
DAFTAR PUSTAKA
[1] R. P. Diaz Redondo, A. F. Vilas, M. R.Cabrer, J. J. P. Arias, J. G. Duque and A. G. Solla, "Enhancing Residential Gateways: A Semantic OSGi Platform", IEEE Intelligent Systems, Vol. 23, Issue 1, (2008) pp. 32-40.
[2] A. Volchkov, "Revisiting single sign-on: a pragmatic approach in a new context", IT Professional, Vol. 3, Issue 1, (2001) Jan./Feb. pp. 39-45.
[3] Jian Yang, "An Improved Scheme of Single Sign-on Protocol", Fifth International Conference on Information Assurance and Security ( IAS '09), (2009) August 18-20; Xian, China, pp. 495-498.
[4] I. Kim, D. Lee, J. Lee and K. Rim, "Extended Authorization Mechanism in OSGi", 2010 International Conference on Information Science and Applications (ICISA), (2010) April 21-23; Seoul, Korea, pp. 1-7.
[5] OSGi Alliance Std., OSGi Service Platform Release 4.3, OSGi Alliance, (2011).
[6] OASIS Committee Specification, Assertions and Protocol for the OASIS Security Assertion Markup Language (SAML) V2.0, (2005).
[7] A. Singhal, T. Winograd and K. Scarfone, "Guide to Secure Web Services", NIST(National Institute of Standards and Technology) Special Publication 800-95, (2007).
[8] OSGi Alliance Std., Secure Provisioning Data Transport using Http, RFC36, (2002).
Tidak ada komentar:
Posting Komentar