Controle de acesso adaptativo ao comportamento do usuário para gerenciamento de identidades em IoT

Abstract

Resumo: Os sistemas de Gestão de Identidades e Acessos (IAM) são fundamentais para garantir a autenticação e o controle de acesso na segurança de dados dos usuários e das aplicações na Internet das Coisas (IoT). A literatura sugere que um controle de acesso eficiente na IoT deve considerar os atributos das entidades envolvidas e criar políticas que definam os acessos permitidos e proibidos. O uso de atributos permite políticas mais precisas e granulares, reduzindo brechas de segurança e vazamentos de dados. Embora seja recomendável, o uso de atributos apresenta desafios, como a complexidade na gestão das políticas e o desempenho na obtenção dos atributos necessários para avaliá-las. Para um gerenciamento adequado, é essencial compreender o ambiente e prever o máximo de situações possíveis de acesso, traduzindo-as em políticas adequadas. Entretanto, a natureza dinâmica da IoT e a grande quantidade de objetos conectados tornam essa tarefa complexa, custosa e sujeita a erros. Modelos automatizados existem, mas são altamente complexos, gerando políticas difíceis de entender e modificar, transformando o controle de acesso em uma "caixa preta"não auditável, o que compromete sua aplicabilidade no dia a dia. A recuperação de atributos também exige atenção, pois as políticas dependem de atributos distribuídos em repositórios geograficamente distantes, o que pode gerar atrasos na avaliação e impactar o desempenho do controle de acesso. A hipótese deste trabalho é que o comportamento do usuário nos sistemas IAM pode ser utilizado para tornar o controle de acesso mais adaptado às necessidades da IoT, melhorando a escalabilidade, o desempenhoeogerenciamento. Dessa forma, são propostas uma arquitetura e métodos que utilizam esse comportamento para enfrentar os desafios da gestão de políticas e da recuperação de atributos. Primeiramente, apresenta-se ummétodo para extrair políticas de acesso a partir dos registros do comportamento do usuário em umaaplicação. Esse método utiliza algoritmos de aprendizado supervisionado e genéticos para criar políticas legíveis e auditáveis, permitindo o gerenciamento humano. Os resultados indicaram que o método melhora o gerenciamento e a precisão das políticas em até 10% em comparação a técnicas do estado da arte. Além disso, propõe-se uma arquitetura para otimizar a recuperação de atributos, aplicando conceitos de cache e perfil de mobilidade. Essa abordagem replica proativamente os atributos mais próximos ao usuário, reduzindo em até 80% o número de saltos para obtê-los e diminuindo o custo de segurança comparado a técnicas tradicionais de cache. A solução equilibra a criação e a segurança na manutenção de novas réplicas na rede. Os resultados demonstram que o comportamento do usuário pode ser utilizado para aprimorar tanto o gerenciamento de políticas de acesso quanto a recuperação de atributos, validando a tese proposta

Abstract: Identity andAccess Management (IAM) systems are fundamental in ensuring appropriate authentication and access control for user data security and privacy in Internet of Things (IoT) applications. The literature suggests that efficient access control in IoT requires considering the attributes of the entities’ and creating multiple policies to guide allowed and prohibited access in a specific application. By using these attributes, more precise and granular policies can be developed, which help prevent security breaches and data leaks. However, despite the recommendation to use attributes in developing access policies for IoT, it is crucial to understand the associated challenges, especially concerning the complexity of managing these attribute-based policies and the performance in obtaining the necessary attributes for their evaluation. Proper policy management presents a challenge that requires understanding the assessed environment and anticipating the most comprehensive range of possible access situations to translate them into correct policies. Due to the dynamic nature of IoT, along with a large number of connected objects and attributes associated with these objects, this task becomes complex, costly, and error-prone. It is important to note that there are models discussing policy management automation in the literature. However, these models are highly complex and generate difficult-to-understand policies, making the access control mechanism a non-auditable black box and impossible to be modified by humans in basic day-to-day management operations, such as updating and removing access policies. Regarding attribute recovery, policies are applied based on the attributes related to the entities involved in access, and problems such as obtaining or recovering attributes require attention. At this point, the large scale of IoT objects and users means that attributes are usually located in geographically distant repositories. Therefore, policy evaluation, which depends on these attributes, may suffer from delays impacting the access control mechanism’s performance. This work hypothesizes that it is possible to use user behavior in IAM systems to make their access control mechanism more adapted to IoT’s specific characteristics. Architectures and methods using user behavior are proposed to address the challenges faced by IoT access mechanisms: access policy management and attribute recovery performance. First, a method is presented to extract access policies through user behavior records in an application. This method uses supervised learning and genetic algorithms to create readable and auditable policies that humans can manage. The results showed that the method could assist in policy management and improve accuracy by up to 10% compared to similar state-of-the-art methods. This work also evaluated the challenge of attribute recovery in the IoT context. An architecture was proposed that uses cache concepts and mobility profiles, proactively replicating attributes used in access policies closer to the user. The approach considered the balance between creating and maintaining the security of new attribute replicas on the network. The results showed that it is possible to reduce the hops required to obtain attributes by up to 80%. Furthermore, the proposal reduces the security cost compared to traditional caching techniques. Therefore, the results demonstrate that user behavior can be used to improve access policy management and attribute recovery performance, validating the defined thesis.