1. Contribution to the Design and Integration of Identity Management and Access Control Mechanisms for Smart Environments
- Author
-
Pozo Huertas, Alejandro and Alonso González, Álvaro
- Subjects
Telecomunicaciones - Abstract
Identity Management and Access Control mechanisms are present in practically every digital application. Companies, public administrations or universities have deployed these mechanisms to ensure that appropriate users access to the services that are entitled to them. The main objective of this integration is to protect private personal and professional information from malicious actors. Digital services have grown exponentially, forcing Identity Management models to move from a centralised to a federated approach to improve the user experience and bridge some security loopholes. Nowadays, federated identity management systems are still in use but giving users a little more control over their data. Their design and implementation poses a number of challenges that depend on the characteristics of each environment and the privacy’s level required. However, people still have little control over their identity and how their information is shared between organizations. In recent years, a new paradigm in identity management has been emerging to give people autonomy over their digital identities: Self Sovereign Identity. It is at an early stage and opens up a number of opportunities and challenges. Nowadays, an increasing number of businesses are exploiting data obtained from a variety of sources. In this sense, due to the Industry 4.0 paradigm new spaces are emerging for data sharing between companies to improve production chains, and with it, new ways of controlling access to data. Traditional access control mechanisms does not fulfil the trust, governance and usage requirements that these cases need, giving rise to new challenges to be addressed. This thesis proposes a set of architectures, models and mechanisms to address the challenges identified in the scope of identity and access management and contribute to improve the security and privacy of that field. The starting point of the thesis is the design and evaluation of delegated authentication systems for non-interface and resource-constrained devices. These systems aim to improve the security of devices in these contexts and even improve their efficiency. The next step is to implement an Industry 4.0 standard for data sharing between organizations which allows to guarantee trust, data governance and secure data exchange. In this context, a model for enabling data usage control is presented. This model allows the management and definition of both access and usage control policies. Subsequently, a number of contributions are proposed in relation with European electronic IDentification and the eIDAS regulation. They enrich and simplify the authentication process for service providers and citizens. The first one extends the number of attributes of the eIDAS profile. The second extends the eIDAS basic architecture to obtain these attributes. Finally, another architecture is proposed for facilitating the integration of service providers into the eIDAS infrastructure. Finally, the new Self Sovereign Identity paradigm is approached. A study of opportunities and challenges is carried out and a model is proposed to integrate access control mechanisms with Self Sovereign Identity. ----------RESUMEN---------- Los mecanismos de gestión de identidades y control de acceso están presentes en prácticamente todas las aplicaciones digitales. Empresas, administraciones públicas o universidades han desplegado dichos mecanismos para asegurar que los usuarios acceden a los servicios correspondientes, y proteger la información privada, tanto del ámbito personal como profesional, de personas o entidades con malas intenciones. Los servicios digitales han crecido de forma exponencial, provocando que, modelos de gestión de identidades migren de un enfoque centralizado a uno federado, con el objetivo de mejorar la experiencia de usuario y evitar brechas de seguridad. Actualmente, se siguen usando los sistemas federados añadiendo alguna mejora respecto del control de los usuarios sobre su información. El diseño e implementación de estos sistemas trae consigo una serie de retos que dependen de las características de cada entorno y del nivel de privacidad exigido. Sin embargo, las personas siguen sin tener el suficiente control sobre su información y de cómo es compartida entre organizaciones. En los últimos años ha surgido un nuevo paradigma que pretende devolver a las personas plena autonomía sobre su identidad digital. La identidad Auto-Soberana. Actualmente se encuentra en una fase inicial de investigación por lo que el rango de oportunidades y retos es amplio. En la actualidad, cada vez hay más negocios que explotan datos obtenidos de distintas fuentes. Por ejemplo, debido a la cuarta revolución industrial están surgiendo nuevos espacios para compartir datos entre empresas con el objetivo de mejorar las cadenas de producción. A raíz de ello, han surgido nuevas formas de controlar el acceso a los datos. Los mecanismos de control de acceso tradicionales no cumplen con los requisitos de confianza, gobernanza y control de uso que requieren estos escenarios, dando lugar a nuevos retos que abordar. En esta tesis se proponen una serie de arquitecturas, modelos y mecanismos para abordar los retos que se han identificado en el ámbito de la gestión de identidades y control de acceso, contribuyendo a mejorar la seguridad y privacidad de este campo. La primera propuesta es el diseño y evaluación de sistemas de autenticación delegada para dispositivos que carecen de interfaces y con recursos hardware escasos. Estos sistemas mejoran la seguridad de los dispositivos e incluso mejoran su eficiencia. En el siguiente apartado se implementó un estándar para garantizar la confianza, gobernanza y el intercambio seguro de datos entre organizaciones en el ámbito de la Industria 4.0. En este ámbito se presenta también un modelo para controlar cómo están siendo usados los datos. Este modelo permite definir y gestionar tanto políticas de acceso a los datos como políticas de control de uso de dichos datos. A continuación, se proponen una serie de contribuciones relativas a la identificación electrónica europea y la regulación eIDAS. Estas contribuciones mejoran y simplifican el proceso de autenticación para los servicios y los ciudadanos. Las dos primeras contribuciones hacen referencia a cómo extender el perfil del ciudadano de eIDAS con nuevos atributos y cómo obtener e integrar dichos atributos en la arquitectura de eIDAS. Por último, se propone una arquitectura que facilita la integración de los servicios con la infraestructura de eIDAS. En última instancia se aborda el paradigma de identidad Auto-Soberana. Se realiza un estudio de las oportunidades y retos existentes. Se propone también un modelo que integra los mecanismos tradicionales de control de acceso con este nuevo paradigma.
- Published
- 2022