[go: up one dir, main page]

BR102015028194A2 - secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control - Google Patents

secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control Download PDF

Info

Publication number
BR102015028194A2
BR102015028194A2 BR102015028194A BR102015028194A BR102015028194A2 BR 102015028194 A2 BR102015028194 A2 BR 102015028194A2 BR 102015028194 A BR102015028194 A BR 102015028194A BR 102015028194 A BR102015028194 A BR 102015028194A BR 102015028194 A2 BR102015028194 A2 BR 102015028194A2
Authority
BR
Brazil
Prior art keywords
access control
dynamic
intrusive
secure
applications
Prior art date
Application number
BR102015028194A
Other languages
Portuguese (pt)
Inventor
De Melo Cuba Rafael
Jordan Lemos Rudolffo
Original Assignee
Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes filed Critical Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes
Priority to BR102015028194A priority Critical patent/BR102015028194A2/en
Publication of BR102015028194A2 publication Critical patent/BR102015028194A2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

resumo método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação. novo método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em meta-informação a qual se aplica ao campo da tecnologia da informação, mais especificamente à engenharia de software na gerencia de redes de comunicação de dados e no que se refere ao desenvolvimento de aplicações georeferenciadas seguras. o método e sistema aqui propostos tem como objetivo prover um método confiável para o desenvolvimento de geoaplicações de software seguras para gerência de redes, com todo o controle de segurança necessário para este tipo de sistema, oferecendo maior segurança tecnológica e agilidade no desenvolvimento de geoaplicações voltadas para ambientes de missão crítica, provendo uma nova solução ou módulo de uma solução existente, de modo a facilitar futuras integrações e expansões das geoaplicações geradas através de um sistema computacional que implemente o método de auto-configuração do controle de acesso baseado no metamodelo, sem a necessidade de recodificação dos componentes, disponibilizando um conjunto de elementos de implementação, requisitos de hardware/software e requisitos de qualidade que possibilitem a construção destes componentes, padronizando a forma de controle de acesso em geoaplicações nos seus mais diversos níveis como menu, base de dados, objetos, operações, atributos, valor do atributo e valor espacial, a inda disponibilizar um conjunto de componentes que possam ser utilizados, como interface de administração, componente de auto-configuração e api (application programming interface) de integração e auditoria para as geoaplicações. ?? ?? ?? ?? 1/1Abstract Method and system for developing secure georeferenced applications using nonintrusive dynamic access control based on metadata. new method and system for developing secure georeferenced applications using dynamic, non-intrusive metadata-based access control that applies to the field of information technology, more specifically software engineering in the management of data communication networks. and regarding the development of secure georeferenced applications. The method and system proposed here aims to provide a reliable method for the development of secure network management software geoapplications, with all the necessary security control for this type of system, offering greater technological security and agility in the development of geoapplications focused for mission-critical environments by providing a new solution or module of an existing solution to facilitate future integration and expansion of geoapplications generated through a computational system that implements the metamodel-based access control self-configuration method without the need for component recoding, providing a set of implementation elements, hardware / software requirements and quality requirements that enable the construction of these components, standardizing the form of access control in geoapplications at its various levels such as menu, base of given away s, objects, operations, attributes, attribute value, and spatial value to provide a set of components that can be used, such as the administration interface, auto-configuration component, and application programming interface (API) for integration and auditing. geoapplications. ?? ?? ?? ?? 1/1

Description

MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERECIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO.METHOD AND SYSTEM FOR DEVELOPING SAFE GEORREFERRED APPLICATIONS USING DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL BASED ON METAINFORMATION.

[001] Trata o presente relatório da descrição detalhada acompanhada de figuras ilustrativas de um novo método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em meta-informação a qual se aplica ao campo da Tecnologia da Informação, mais especificamente à Engenharia de Software na gerencia de redes de comunicação de dados e no que se refere ao desenvolvimento de aplicações georreferenciadas seguras. O método e sistema aqui propostos tem como objetivo prover um método confiável para o desenvolvimento de geoaplicações de software seguras para gerência de redes, com todo o controle de segurança necessário para este tipo de sistema, oferecendo maior segurança tecnológica e agilidade no desenvolvimento de geoaplicações voltadas para ambientes de missão crítica, provendo uma nova solução ou módulo de uma solução existente, de modo a facilitar futuras integrações e expansões das geoaplicações geradas através de um sistema computacional que implemente o método de auto-configuração do controle de acesso baseado no metamodelo, sem a necessidade de recodificação dos componentes, disponibilizando um conjunto de elementos de implementação, requisitos de hardware/software e requisitos de qualidade que possibilitem a construção destes componentes, padronizando a forma de controle de acesso em geoaplicações nos seus mais diversos níveis como menu, base de dados, objetos, operações, atributos, valor do atributo e valor espacial, a inda disponibilizar um conjunto de componentes que possam ser utilizados, como interface de administração, componente de auto-configuração e API (Application Programming Interface) de integração e auditoria para as geoaplicações.[001] This report describes the detailed description accompanied by illustrative figures of a new secure georeferenced application development method and system using dynamic, non-intrusive metadata-based access control that applies to the field of Information Technology. Information, specifically Software Engineering in the management of data communication networks and in the development of secure georeferenced applications. The method and system proposed here aims to provide a reliable method for the development of secure network management software geoapplications, with all the necessary security control for this type of system, offering greater technological security and agility in the development of geoapplications focused for mission-critical environments by providing a new solution or module of an existing solution to facilitate future integration and expansion of geoapplications generated through a computational system that implements the metamodel-based access control self-configuration method without the need for component recoding, providing a set of implementation elements, hardware / software requirements and quality requirements that enable the construction of these components, standardizing the form of access control in geoapplications at its various levels such as menu, base of given away s, objects, operations, attributes, attribute value, and spatial value, to provide a set of components that can be used, such as the administration interface, self-configuration component, and application programming interface (API) for integration and auditing. geoapplications.

[002] O método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente, trata-se de um sistema e seu método de operação essencialmente composto de componentes para gestão das permissões através de metamodelo e API de integração, é um método para criação de uma nova solução e/ou módulo que compreende as etapas de definição de um novo módulo, de definição do metamodelo do modulo existente e definição do empacotamento da solução. Este sistema compreende um conjunto de componentes para serem utilizados em soluções geoespaciais, que possam ser reutilizadas de maneira a fazer o papel de controle de acesso e auditoria, fornecendo uma interface visual de administração com um componente de auto-configuração, uma API (Application Programming Interface) de programação e uma camada de controle de acesso na camada de entrada do servidor de aplicação. Estado da Técnica [003] Com a grande evolução tecnológica ocorrida nas últimas décadas, cada vez mais as soluções na área da Tecnologia da Informação precisam se adaptar de forma mais rápida e fácil às mudanças e à nova realidade que se apresenta. Com isso uma quantidade crescente de usuários tem-se instalado e tem acessado às redes de comunicação.The method and system for developing secure georeferenced applications using dynamic and non-intrusive metainformation-based access control, object of the present patent, is a system and its method of operation essentially composed of components for the management of permissions via metamodel and integration API, is a method for creating a new solution and / or module that comprises the steps of defining a new module, defining the existing module metamodel, and defining the packaging of the solution. This system comprises a set of components for use in geospatial solutions that can be reused to play the role of access control and auditing, providing a visual administration interface with a self-configuring component, an API (Application Programming). Programming interface) and an access control layer at the application server input layer. State of the Art [003] With the great technological evolution that has occurred in the last decades, more and more solutions in the area of Information Technology need to adapt more quickly and easily to the changes and the new reality that presents itself. As a result, an increasing number of users have been installing and accessing communication networks.

[004] Fazer o controle de acesso de todos estes novos usuários e sistemas é um desafio constante, pois o assunto segurança é algo muito sensível a mudanças. Este problema se potencializa no contexto espacial, pois além do controle tradicional, um usuário pode ter que ser controlado por sua área de atuação e até mesmo pela sua posição geográfica no momento da atualização dos dados.[004] Access control for all these new users and systems is a constant challenge because security is very sensitive to change. This problem is potentiated in the spatial context, because in addition to traditional control, a user may have to be controlled by their area of operation and even their geographical position at the time of data update.

[005] Este é um problema recorrente, pois no mundo atual é inconcebível construir uma aplicação sem a preocupação com o contexto segurança. Além disto, módulos e/ou componentes de segurança levam um tempo para a sua maturidade e não devem ter seu código alterado constantemente, para não introduzir novas falhas.[005] This is a recurring problem because in today's world it is inconceivable to build an application without worrying about the security context. In addition, security modules and / or components take time to mature and should not have their code constantly changed so as not to introduce new faults.

[006] Portanto componentização e reuso são fundamentais para este assunto e com isto chegar a um componente flexível e bem testado para que possa ser utilizado em novas aplicações.[006] Therefore componentization and reuse are fundamental for this subject and with this come up with a flexible and well tested component so that it can be used in new applications.

[007] Neste contexto podem ser encontrados alguns documentos de patente e trabalhos publicados que descrevem aspectos de controle de acesso, contudo nenhum desses documentos leva em consideração aspectos geográficos conforme descrito nesta patente. Dentre esses documentos podem-se destacar os seguintes: [008] O documento de patente CN101257377 B, DYNAMIC ACCESS CONTROL METHOD BASED ON COMMUNITY AUTHORISATION SERVICE, que descreve um método de controle de acesso dinâmico baseado em comunidade, baseado em serviços de capacitação da comunidade, onde usuários registram suas informações para organizações virtuais e consequentemente ganham um papel com base nas informações de registro de usuário. Contudo o contexto espacial não é tratado nestas comunidades, pois o foco é o grid computacional;[007] In this context some patent documents and published works describing aspects of access control can be found, however none of these documents take into account geographical aspects as described in this patent. These include: [008] Patent Document CN101257377 B, DYNAMIC ACCESS CONTROL METHOD BASED ON COMMUNITY AUTHORIZATION SERVICE, which describes a community-based dynamic access control method based on community enablement services where users register their information to virtual organizations and consequently gain a role based on user registration information. However, the spatial context is not addressed in these communities, as the focus is on the computational grid;

[009] O documento de patente CN 103605916 A, RBAC (ROLE-BASED POLICIES ACCESS CONTROL) ACCESSING CONTROL MODEL BASED ON ORGANIZATION, que descreve um método que proporciona um RBAC (políticas baseadas em funções de controle de acesso) que acessam um modelo de controle com base em uma organização. Este documento não trata o dinamismo baseado na área geográfica onde o trabalho será realizado e necessita de um controle de acesso, nem com a forma com que o desenvolvedor pode construir uma aplicação sem necessidade de envolvimento direto com o componente de controle de acesso;Patent Document CN 103605916 A, ROLE-BASED POLICIES ACCESS CONTROL (RBAC) ACCESSING CONTROL MODEL BASED ON ORGANIZATION, which describes a method that provides an access control function-based policies (RBAC) that access a control based on an organization. This document does not address the dynamism based on the geographic area where the work will be done and needs access control, nor how the developer can build an application without the direct involvement of the access control component;

[010] O documento de patente US 2008/0016546 A1, DYNAMIC PROFILE ACCESS CONTROL, que descreve um método dinâmico baseado na hierarquia organização. Aqui os grupos de usuários formados dinamicamente são tratados como o assunto em um componente de controle de acesso comum e são usados para conceder permissão para ou revogar a permissão para individuais ou grupos de elementos. Da mesma forma que no documento anterior este documento não trata o dinamismo baseado na área geográfica onde o trabalho será realizado e necessita de um controle de acesso, nem com a forma com que o desenvolvedor pode construir uma aplicação sem necessidade de envolvimento direto com o componente de controle de acesso;[010] US Patent Document 2008/0016546 A1, DYNAMIC PROFILE ACCESS CONTROL, which describes a dynamic method based on hierarchy organization. Here dynamically formed user groups are treated as the subject in a common access control component and are used to grant permission to or revoke permission for individual or groups of elements. As in the previous document this document does not deal with the dynamism based on the geographical area where the work will be done and needs access control, nor with the way the developer can build an application without the direct involvement with the component. access control;

[011] O artigo acadêmico (2011) (Felipe Leão, Sergio Puntar, Leonardo Guerreiro Azevedo, Fernanda Baião, Claudia Cappelli) Controle de Acesso a Dados em Sistemas de Informação através de Mecanismos de Propagação de Identidade e Execução de Regras de Autorização em http://www.researchgate.net/publication/266876142_Controle_de_Acesso_a_Dados_ em_Sistemas_de_Informao_atravs_de_Mecanismos_de_Propagao_de_Identidade_ e_Execuo_de_Regras_de_Autorizao, que apresenta a importância de um mecanismo de propagação e por consequência a automatização da tarefa de controle de acesso, um dos recursos que elevamos para o patamar de desenvolvimento de software;[011] The Academic Article (2011) (Felipe Leão, Sergio Puntar, Leonardo Guerreiro Azevedo, Fernanda Baião, Claudia Cappelli) Data Access Control in Information Systems through Identity Propagation Mechanisms and Authorization Rules Execution in http : //www.researchgate.net/publication/266876142_Data_Access_Control_in_System_Information_Tracks_ID_Propagation_Mechanisms_and_Execution_of_AuthorizationRules, which introduces the importance of a task's development control to the scheduling mechanism, and the importance of scheduling a mechanism;

[012] O artigo acadêmico (2004) (Eduardo Martins Guerra, Rodrigo Cunha de Paiva, Clovis Torres Fernandes) RBAC (Role-Based policies Access Control) com contextos de modelo de controle de acesso baseado em papéis para sistemas web utilizados por várias divisões de uma organização em ftp://linorg.cirp.usp.br/pub1/SSI/SSI2004/Poster/P04_ssi04.pdf, que apresenta a importância de tratar de forma corporativa o controle de acesso, onde estendemos o conceito para o ambiente de desenvolvimento permitindo criar novos módulos (contexto) em uma mesma solução corporativa.[012] Academic paper (2004) (Eduardo Martins Guerra, Rodrigo Cunha de Paiva, Clovis Torres Fernandes) Role-Based Access Control (RBAC) contexts with role-based access control model for web systems used by multiple divisions of an organization at ftp://linorg.cirp.usp.br/pub1/SSI/SSI2004/Poster/P04_ssi04.pdf, which presents the importance of corporate access control, where we extend the concept to the development allowing the creation of new modules (context) in the same enterprise solution.

[013] De modo geral, as publicações nas áreas de controle de acesso não especificam a forma de tratar os conceitos espaciais no contexto de controle de acesso e não tem uma forma sistemática para que quem construa uma aplicação não tenha que ficar programando o controle de acesso.[013] In general, publications in the areas of access control do not specify how to handle spatial concepts in the context of access control and do not have a systematic way that anyone who builds an application does not have to be programming access control. access.

[014] As vantagens de uma abordagem como a proposta nesta patente é poder ter projetos semiprontos, com código testado, para serem reusados largamente em novas aplicações geográficas com uma programação padrão e sem necessidade de ficar informando a entrada de novos objetos.[014] The advantages of an approach such as the one proposed in this patent is that it can have semi-ready, code-tested designs to be widely reused in new geographic applications with standard programming and without having to report new objects.

[015] Para conseguir este objetivo, várias técnicas podem ser utilizadas como programas introspectivos utilizando metadados/metaprogramas, alteração dinâmica de comportamento (código) através de reflexão comportamental, e de estrutura de dados através de reflexão estrutural associadas com os padrões para dados espaciais.[015] To achieve this goal, various techniques can be used as introspective programs using metadata / metaprograms, dynamic behavior change (code) through behavioral reflection, and data structure through structural reflection associated with spatial data standards.

Descrição das Figuras [016]A seguir faz-se referência às Figuras que acompanham este relatório descritivo, para melhor entendimento e ilustração do mesmo, onde se vê: Figura 1 é um fluxograma ilustrativo do fluxo padrão de uma aplicação do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente.Description of the Figures [016] The following is a reference to the Figures accompanying this descriptive report for a better understanding and illustration thereof: Figure 1 is a flow chart illustrating the standard flow of a Method application and development system. of secure georeferenced applications using nonintrusive dynamic access control based on metainformation, object of the present patent.

Figura 2 ilustra a modelagem do componente de controle de acesso do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente, destacando os Padrões Envolvidos: Composite, CallBack; State, Observe; Abstract Factory, e os Menus Figura 3 ilustra o modelo lógico da infra-estrutura necessária do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente, destacando o Modelo Conceitual, que Atua sobre os programas não-Java: C/C++, VB, etc.; e Java que permite um Perfil de Administração, compatível com JAASFigure 2 illustrates the access control component modeling of the secure georeferenced method and application development system using dynamic, non-intrusive metainformation-based access control, object of the present patent, highlighting the Involved Standards: Composite, CallBack; State, Observe; Abstract Factory, and the Menus Figure 3 illustrates the logical model of the necessary infrastructure of the Method and system of development of secure georeferenced applications using dynamic and non-intrusive metainformation-based access control, object of the present patent, highlighting the Conceptual Model. , which acts on non-Java programs: C / C ++, VB, etc .; and Java that enables a JAAS-compliant Administration Profile

Figura 4 ilustra o modelo de interação entre uma nova aplicação e os componentes de controle de acesso do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente.Figure 4 illustrates the interaction model between a new application and the access control components of the Method and secure georeferenced application development system using dynamic and non-intrusive metainformation-based access control, object of the present invention.

Figura 5 ilustra as camadas de uma aplicação exemplo do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente. Destacando o mecanismo de controle de acesso em aplicações, que atua nas camadas anteriores a de apresentação, Identifica e autentica usuários, autoriza ações de usuários dentro de aplicações, e filtra itens de interface não autorizados Figura 6 ilustra o modelo de execução do Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente.Figure 5 illustrates the layers of an example application of the secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control object of the present invention. Highlighting the application access control mechanism, which acts in the pre-presentation layers, Identifies and authenticates users, authorizes user actions within applications, and filters unauthorized interface items. Figure 6 illustrates the Method and system execution model. of secure georeferenced application development using dynamic and non - intrusive metainformation - based access control, object of the present patent.

Descrição da Invenção [017] Em seguida descreve-se uma forma preferencial não restritiva de realização do presente método e sistema, objeto desta patente, onde a configuração, maneira de implementação e aplicação podem variar na forma adequada para cada modelo e situação de aplicação desejada; descrevendo uma das possibilidades construtivas e funcionais que levam a concretizar o objeto descrito e a forma em que o mesmo é utilizado.Description of the Invention The following describes a non-restrictive preferred embodiment of the present method and system, object of this patent, where the configuration, manner of implementation and application may vary in the form appropriate for each desired model and application situation. ; describing one of the constructive and functional possibilities that lead to the realization of the object described and the way in which it is used.

[018] MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, objeto da presente patente, propicia a criação de soluções seguras, por meio de criação ou adição de novos módulos.[018] METHOD AND SYSTEM FOR DEVELOPING SAFE GEOREFERRED APPLICATIONS WITH THE USE OF DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL, PURPOSE OF THE PRESENT PATENT, provides for the creation of secure solutions by creating or adding new modules.

[019] O método proposto atende à vasta gama de requisitos das geoaplicações seguras, além de implementar o conceito de evolução incremental. A combinação desses dois fatores proporciona efeitos técnicos novos, ou seja, uma série de benefícios em relação às soluções existentes.[019] The proposed method meets the wide range of requirements for safe geoapplications and implements the concept of incremental evolution. The combination of these two factors provides new technical effects, ie a number of benefits over existing solutions.

[020] Para atender essas características, a solução deve ser flexível e seguir padrões internacionais. Além de ter uma interface visual de administração, deve possuir um conjunto de APIs (Application Programming Interface) para desenvolvimento.[020] To meet these characteristics, the solution must be flexible and follow international standards. In addition to having a visual administration interface, it must have a set of Application Programming Interface (APIs) for development.

[021] A linguagem Java SDK, a partir da versão 1.4 - Oferece um serviço-padrão de autenticação e autorização chamado Java Authentication and Authorization Service (JAAS). A partir desse padrão, foi desenvolvida uma API de autorização, ou seja, de verificação de permissões, que funciona basicamente segundo os mesmos princípios do JAAS, mas oferece uma interface mais simples para o programador, permitindo ao mesmo tempo maior flexibilidade.[021] Java SDK language, as of version 1.4 - Provides a standard authentication and authorization service called Java Authentication and Authorization Service (JAAS). From this standard, an authorization, that is, permission checking API was developed, which works basically on the same principles as JAAS, but offers a simpler interface for the programmer while allowing for greater flexibility.

[022] Essa API tem também como objetivo fornecer uma implementação simples do modelo de controle de acessos baseado em roles, ou Role-Based Access Control (RBAC). Essa API fornece uma implementação mais genérica porque também permite o controle de acessos discreto DAC (Discretionary Access Control).[022] This API is also intended to provide a simple implementation of the role-based access control (RBAC) model. This API provides a more generic implementation because it also allows discrete access control Discretionary Access Control (DAC).

[023] O mecanismo-padrão de autorização do JAAS funciona basicamente em duas etapas: [024] Na primeira etapa o usuário é autenticado usando módulos configuráveis que seguem uma interface-padrão (LoginModules). Se a autenticação for realizada com sucesso, um objeto representando o usuário autenticado é devolvido à classe que requisitou a autenticação. Esse objeto é um “subject”, contendo um conjunto de “principals” a ele associadas ao final do processo de autenticação.[023] The default JAAS authorization mechanism works basically in two steps: [024] In the first step the user is authenticated using configurable modules that follow a standard interface (LoginModules). If authentication is successful, an object representing the authenticated user is returned to the class that requested authentication. This object is a subject, containing a set of principals associated with it at the end of the authentication process.

[025] Na segunda etapa durante a verificação de uma permissão, através do método “doAsPrivileged”, da classe “subject” (assunto), as “principals” (identidades) do usuário corrente são associadas a “thread” corrente de execução. O “SecurityManager” (gerente de segurança) solicita à classe “Policy” (política de segurança) quais são as permissões associadas àquelas “principals” e realiza a verificação da permissão através do método “implies” (método de permissão de uso) da “PermissionCollection” (coleção/lista de permissão) retornada pela classe “Policy”.[025] In the second step during the verification of a permission, via the doAsPrivileged method of the subject class, the current user's principals are associated with the current thread of execution. The SecurityManager asks the Policy class what permissions are associated with those principals and checks the permission using the implies method of the PermissionCollection ”(collection / whitelist) returned by the“ Policy ”class.

[026] Para execução dessas etapas alguns parâmetros ou ações devem ser definidos, tais como: a identidade o usuário, os perfis, a associação de usuários a perfis, os grupos, a associação de usuários a grupos, as autorizações, as associações, a associação de autorizações, e a alteração e customização de perfis. A seguir descritas: [027] Identidades do usuário [028] As “principals” utilizadas durante o processo de autorização são identidades que distinguem o usuário autenticado de outros usuários do sistema. O significado delas depende do mecanismo de autenticação utilizado e do contexto em que o usuário foi autenticado. Elas podem ser números de sessão, códigos de acesso, tickets, etc. No caso da API especificada acima, as “principals” associadas aos usuários, são quatro a UserRegistrationPrincipal, a UserGroupPrincipal, a UserRolePrincipal e a RealmPrincipal, a seguir: [029] A UserRegistrationPrincipal, contém o registro (login) do usuário. Somente uma principal desse tipo é associada.[026] To perform these steps, some parameters or actions must be defined, such as: user identity, profiles, user association with profiles, groups, user association with groups, authorizations, associations, association of authorizations, and changing and customizing profiles. Described below: [027] User Identities [028] The “principals” used during the authorization process are identities that distinguish the authenticated user from other system users. Their meaning depends on the authentication mechanism used and the context in which the user was authenticated. These can be session numbers, access codes, tickets, etc. In the case of the API specified above, the "principals" associated with users are four: UserRegistrationPrincipal, UserGroupPrincipal, UserRolePrincipal, and RealmPrincipal, as follows: [029] The UserRegistrationPrincipal contains the user login. Only one such principal is associated.

[030] A UserGroupPrincipal é grupo onde cada principal desse tipo contém o código de um grupo que se encontra associado ao usuário.[030] The UserGroupPrincipal is a group where each principal of this type contains the code of a group that is associated with the user.

[031] A UserRolePrincipal, e a relação onde cada principal desse tipo contém o código de um role (ou perfil) que se encontra associado ao usuário. Cada usuário pode ter somente um role por módulo.[031] The UserRolePrincipal, and the relationship where each principal of this type contains the code of a role (or profile) that is associated with the user. Each user can have only one role per module.

[032] A RealmPrincipal contém as informações a respeito do contexto em que o usuário foi autenticado (por exemplo, host e banco). Essa principal é utilizada pelo controle de acessos para determinar de onde as permissões devem ser carregadas.[032] RealmPrincipal contains information regarding the context in which the user was authenticated (for example, host and bank). This principal is used by access control to determine where permissions should be loaded from.

[033] A associação de “principals” que identificam os grupos e roles a que o usuário se encontra associado tem como objetivo permitir que o controle de acessos determine quais permissões o usuário possui. Essas permissões tanto podem ter sido diretamente atribuídas a ele como podem estar configuradas pelo perfil que ele possui ou pelos grupos a que ele se encontra associado.[033] The association of principals that identify the groups and roles the user is associated with is intended to allow access control to determine which permissions the user has. These permissions may have been directly assigned to him or may be set by the profile he has or the groups he is associated with.

[034] Perfis [035] Os Perfis representam conjuntos de funcionalidades pertencentes a um único módulo do sistema. Usuários que são associados a um perfil têm acesso a todas as funcionalidades que seu perfil permite utilizar.[034] Profiles [035] Profiles represent feature sets belonging to a single system module. Users who are associated with a profile have access to all the features that their profile allows to use.

[036] Cada perfil é equivalente a um tipo diferente de função, ou papel, que pode ser desempenhada pelos usuários de um módulo. Dessa forma, pode haver um ou mais perfis disponíveis para um mesmo módulo. Por exemplo, pode haver vários perfis de administrador, cada um representando um conjunto diferente de funcionalidades do módulo de administração.[036] Each profile is equivalent to a different type of role, or role, that can be performed by users of a module. Thus, there may be one or more profiles available for the same module. For example, there may be multiple administrator profiles, each representing a different set of administration module functionality.

[037] Por outro lado, cada usuário somente pode estar associado a um único perfil por módulo, uma vez que se supõe que cada usuário desempenhe somente uma função quando utilizar cada módulo. Assim, usuários que utilizem mais de um módulo devem ser associados aos perfis correspondentes às funções que desempenham em cada um de seus módulos. Para facilitar o gerenciamento e impedir que um mesmo usuário acumule funções diferentes em mesmo módulo, os perfis são divididos em categorias. Cada categoria corresponde a um determinado módulo do sistema e nenhum usuário pode ser associado a mais de um perfil pertencente à mesma categoria.[037] On the other hand, each user can only be associated with a single profile per module, as each user is supposed to perform only one role when using each module. Thus, users who use more than one module should be associated with the profiles corresponding to the roles they perform in each of their modules. To facilitate management and prevent the same user from accumulating different roles in the same module, profiles are divided into categories. Each category corresponds to a particular system module and no user can be associated with more than one profile belonging to the same category.

[038] Associação de usuários a perfis [039] A associação de perfis a usuários pode ser feita de duas formas: adicionando-se o perfil desejado à lista de perfis do usuário ou acrescentando-se o usuário desejado à lista de usuários do perfil.[038] Associating users with profiles [039] Associating profiles with users can be done in two ways: by adding the desired profile to the user profile list or by adding the desired user to the profile user list.

[040] Como explicado anteriormente, não é possível associar mais de um perfil da mesma categoria a um único usuário. Além disso, por questões de segurança, não é permitido que um administrador se associe a um perfil ou desassocie-se de um perfil a que tenha sido associado por outro administrador ou pelo root (administrador) do sistema.[040] As explained earlier, it is not possible to associate more than one profile of the same category with a single user. Also, for security reasons, an administrator is not allowed to associate with a profile or unlink from a profile that has been associated with another administrator or the system root.

[041] Grupos [042] Um grupo representa um conjunto de usuários do sistema. Esses usuários podem ter funções diferentes, mas é permitido que executem as mesmas funcionalidades dentro de um ou mais módulos do sistema.[041] Groups [042] A group represents a set of system users. These users may have different roles, but are allowed to perform the same functionality within one or more system modules.

[043] O grupo de caráter mais geral é "Todos Usuários”. Quando um novo usuário é cadastrado, ele é automaticamente associado a esse grupo. Isso permite autorizar uma determinada funcionalidade do sistema a todos os usuários, sem a necessidade de autorizá-la individualmente, o que seria muito custoso.[043] The most general character group is "All Users." When a new user is registered, they are automatically associated with that group. This allows authorizing certain system functionality to all users without having to authorize it. individually, which would be very costly.

[044] Através da criação de grupos de usuários, possibilita-se também que determinadas funcionalidades sejam autorizadas a um conjunto particular de usuários. Da mesma forma, é agilizada a atribuição de permissões aos membros do grupo, uma vez que não é necessário autorizar individualmente cada usuário.[044] By creating user groups, it is also possible for certain features to be authorized for a particular set of users. Likewise, group members are quickly assigned permissions, as there is no need to individually authorize each user.

[045] Associação de usuários a grupos [046] A associação de grupos a usuários, ou de usuários a grupos, é feita de forma semelhante à associação de perfis, podendo também ser feita de duas maneiras. A primeira maneira é adicionando o grupo desejado à lista de grupos do usuário, e a segunda, adicionando o usuário desejado à lista de membros do grupo: [047] Diferentemente de perfis, não há restrições quanto ao número ou tipo de grupos a que um usuário comum pode pertencer, já que grupos não correspondem a papéis específicos dentro de um sistema. Entretanto, por questões de segurança, também não é possível a um administrador associar-se a um grupo ou desassociar-se de um perfil a que tenha sido associado por outro administrador ou pelo root do sistema.[045] Associating users with groups [046] Associating groups with users, or users with groups, is similar to profile association, and can also be done in two ways. The first way is by adding the desired group to the user's group list, and the second way by adding the desired group to the group's member list: [047] Unlike profiles, there are no restrictions on the number or type of groups a Ordinary user may belong as groups do not correspond to specific roles within a system. However, for security reasons, it is also not possible for an administrator to join a group or to disassociate from a profile that has been joined by another administrator or the system root.

[048] Autorizações [049] Podem-se configurar as funcionalidades às quais os usuários, perfis ou grupos têm acesso através da atribuição de permissões ou proibições a eles. As permissões podem ser entendidas como autorizações concedidas para a execução de operações sobre objetos ou recursos do sistema. De forma análoga, as proibições são autorizações negadas para a execução de operações.[048] Authorizations [049] You can configure the features to which users, profiles, or groups have access by assigning permissions or prohibitions to them. Permissions can be understood as authorizations granted to perform operations on system objects or resources. Similarly, bans are denied authorizations to carry out operations.

[050] Pode haver tipos diferentes de autorizações em um sistema, tais como autorizações para a utilização de módulos, autorizações para a abertura de bancos de dados, autorizações sobre objetos de rede ou autorizações para a abertura de menus de aplicativos. Assim, cada tipo de autorização controla o acesso a um tipo específico de recurso do sistema.[050] There may be different types of authorizations in a system, such as authorizations to use modules, authorizations to open databases, authorizations to network objects, or authorizations to open application menus. Thus, each authorization type controls access to a specific type of system resource.

[051] Da mesma forma, operações como abrir, inserir, remover e alterar dependem do tipo de recurso sendo considerado. Por exemplo, pode-se abrir um banco, inserir e remover um usuário, ou alterar dados de um cadastro.[051] Likewise, operations such as opening, inserting, removing, and changing depend on the type of resource being considered. For example, you can open a bank, enter and remove a user, or change data from a register.

[052] A atribuição de autorizações a perfis, grupos de usuários ou indivíduos tem objetivos diferentes em um sistema. Autorizações a perfis funcionam como modelos para o controle de acessos de diferentes tipos de usuários. Ao atribuir uma autorização a um perfil, automaticamente todos os usuários associados a esse perfil recebem essa autorização. Entretanto, há situações nas quais se deseja que um conjunto específico de pessoas, independentemente de seus perfis, tenha determinadas autorizações. Nesses casos, deve-se criar um grupo que represente esse conjunto específico de pessoas para atribuir as autorizações a esse grupo. As autorizações a grupos também são úteis para que um grupo restrito de usuários com um mesmo perfil tenha acesso a um recurso do sistema. Por exemplo, pode-se especificar que somente um grupo pequeno de administradores ou de operadores tenha acesso a um banco contendo informações confidenciais. Pode-se também dividir usuários com um mesmo perfil em grupos que gerenciam dados obtidos de regiões específicas (no caso, de um sistema GIS (Geographic Information System)). Finalmente, pode ser necessário especificar autorizações individuais quando se deseja controlar o acesso a recursos altamente restritos ou quando se deseja customizar o perfil para um usuário específico.[052] Assigning authorizations to profiles, user groups, or individuals has different purposes in a system. Profile authorizations act as templates for access control for different types of users. When you assign an authorization to a profile, all users associated with that profile automatically receive this authorization. However, there are situations where you want a specific set of people, regardless of their profiles, to have certain authorizations. In such cases, you must create a group that represents this specific set of people to assign authorizations to this group. Group permissions are also useful for giving a restricted group of users with the same profile access to a system resource. For example, you can specify that only a small group of administrators or operators have access to a bank containing sensitive information. You can also divide users with the same profile into groups that manage data obtained from specific regions (in this case, from a Geographic Information System (GIS)). Finally, you may need to specify individual authorizations when you want to control access to highly restricted resources or when you want to customize the profile for a specific user.

[053] Uma vez que existem autorizações para perfis, grupos e usuários, definiu-se uma ordem de prioridade para essas autorizações, de forma a se evitar inconsistências ou conflitos. Autorizações específicas têm prioridade maior que autorizações não específicas. Isso significa que autorizações concedidas ou negadas a um usuário específico têm prioridade sobre aquelas atribuídas aos grupos a que ele pertence, as quais, por sua vez, têm prioridade sobre as autorizações atribuídas aos perfis a que ele se encontra associado. Essa fila de prioridades permite customizar perfis para um determinado grupo de usuários ou, como citado anteriormente, customizar perfis para um usuário específico.[053] Since authorizations for profiles, groups, and users exist, a priority order has been set for these authorizations to avoid inconsistencies or conflicts. Specific authorizations have higher priority than non-specific authorizations. This means that authorizations granted or denied to a specific user have priority over those assigned to the groups to which they belong, which in turn have priority over the authorizations assigned to the profiles with which they are associated. This priority queue allows you to customize profiles for a particular user group or, as mentioned earlier, to customize profiles for a specific user.

[054] Além da definição de prioridade com relação à especificidade das autorizações, há também a relação de prioridade quanto ao tipo de autorização (se é proibição ou permissão). Define-se que as proibições têm prioridade sobre as permissões, o que significa que se, por algum motivo, a autorização de acesso a um recurso do sistema estiver concedida e ao mesmo tempo negada para um usuário, considera-se que ela está negada.[054] In addition to the definition of priority over the specificity of authorizations, there is also the priority relationship regarding the type of authorization (whether it is a ban or a permit). Prohibitions are defined as having priority over permissions, which means that if for some reason authorization to access a system resource is granted and at the same time denied to a user, it is considered to be denied.

[055] Geralmente, em um sistema de grande porte, tal como um GIS (Geographic Information System), o número de tipos de objetos que devem ser controlados é muito grande. Por isso, torna-se impraticável autorizar individualmente cada um deles. Nesses casos, é mais adequado permitir o acesso irrestrito a todos os recursos e, em seguida, proibir o acesso aos recursos e/ou operações que devem ter acesso restrito a determinados usuários. Nesse caso, a prioridade maior das proibições em relação às permissões é muito útil porque permite conceder autorização de execução de todas as operações sobre um determinado recurso e, em seguida, proibir as operações que são restritas ao perfil, grupo, ou usuário em questão.[055] Generally, in a large system, such as a Geographic Information System (GIS), the number of object types that must be controlled is very large. It is therefore impracticable to authorize each one individually. In such cases, it is more appropriate to allow unrestricted access to all resources and then to prohibit access to resources and / or operations that should be restricted to certain users. In this case, the higher priority of permissions bans is very useful because it allows you to grant permission to perform all operations on a given resource and then prohibit operations that are restricted to the profile, group, or user in question.

[056] Um exemplo simples do uso de proibições está na construção ou habilitação de menus de aplicativos. Geralmente, usuários de aplicativos possuem acesso irrestrito à maioria dos menus, mas alguns menus devem estar desabilitados porque oferecem acesso a funcionalidades de uso confidencial ou muito específicas do sistema. Nessas situações, a solução mais adequada é autorizar o acesso a todos os menus e, em seguida, proibir aqueles que não são permitidos para cada um dos perfis de usuários que utilizam o aplicativo.[056] A simple example of using bans is building or enabling application menus. Application users often have unrestricted access to most menus, but some menus should be disabled because they offer access to sensitive or very system-specific functionality. In these situations, the most appropriate solution is to allow access to all menus and then prohibit those not allowed for each of the user profiles using the application.

[057] Associação de autorizações [058] Há uma cadeia de confiança entre os administradores do sistema, começando pelo root (administrador), uma vez que usuários administradores somente podem autorizar/desautorizar funcionalidades ou recursos a que eles mesmos tenham sido autorizados pelo root. Isso impede que usuários administradores intencionalmente "ganhem” mais privilégios do que aqueles que foram previamente determinados por seus perfis e, ao mesmo tempo, permitem ao root delegar determinadas tarefas de administração a outros administradores de forma mais bem-controlada.[057] Authorization Association [058] There is a chain of trust between system administrators, starting with root, as administrator users can only authorize / disallow features or resources that they themselves have been authorized by root. This prevents administrator users from intentionally "gaining" more privileges than those previously determined by their profiles, while allowing root to delegate certain administration tasks to other administrators in a more controlled manner.

[059] A atribuição ou associação de autorizações a perfis pode ser feita através do objeto relacionado Permissões do Perfil. Analogamente, isso é feito para grupos através do relacionado Permissões do Grupo e, para usuários, através do relacionado Permissões do Usuário. O funcionamento desses três objetos, explicado a seguir, é o mesmo. Como exemplo, para atribuir autorizações a um perfil, procede-se da seguinte forma: [060] - Em Gerência de Usuários/Perfil, selecione o perfil desejado e abra o relacionado Permissões do Perfil.[059] Assignment or association of authorizations to profiles can be done through the related Profile Permissions object. Similarly, this is done for groups through the related Group Permissions and for users through the related User Permissions. The operation of these three objects, explained below, is the same. As an example, to assign permissions to a profile, proceed as follows: [060] - Under User / Profile Management, select the desired profile and open the related Profile Permissions.

[061] - No campo Permissão, escolha o tipo de permissão que se deseja conceder ou negar. Cada tipo de permissão corresponde a um tipo diferente de recurso como, por exemplo, módulos, bancos, menus, etc.[061] - In the Permission field, choose the type of permission you want to grant or deny. Each permission type corresponds to a different type of resource, such as modules, banks, menus, etc.

[062] - Selecione a operação desejada no campo Operação. Na ajuda desse campo somente serão apresentadas as operações que podem ser aplicadas sobre o tipo de recurso em questão.[062] - Select the desired operation in the Operation field. In the help of this field only the operations that can be applied on the type of resource in question will be presented.

[063] - Em seguida, no campo Objeto, escolha o recurso que deve ser controlado através dessa autorização. Exemplificando, se o tipo de permissão escolhido anteriormente foi Permissão de Menu, na ajuda desse campo deverá ser apresentada uma lista de menus de aplicativos que podem ser permitidos ou proibidos.[063] - Then, in the Object field, choose the resource that should be controlled through this authorization. For example, if the permission type previously chosen was Menu Permission, in the help of this field you should be presented with a list of application menus that may be allowed or prohibited.

[064] - Finalmente, escolha a ação a ser executada: autorizar ou proibir.[064] - Finally, choose the action to perform: authorize or prohibit.

[065] Em casos pertinentes, no campo Operação poderá ser escolhida uma operação especial chamada "Todas Operações”. Ela é equivalente a todas as outras operações. Com isso, ao ser autorizado, autorizam-se automaticamente todas as outras. Alguns tipos de recurso não permitem essa facilidade por apresentarem somente uma operação. Da mesma forma, para alguns tipos de recurso, poderá ser escolhido um objeto especial chamado "Todos Objetos”. Ao autorizá-lo, o administrador autoriza automaticamente todos os objetos de mesmo tipo que existem atualmente ou que poderão existir no futuro.[065] In relevant cases, a special operation called "All Operations" may be chosen in the Operation field. It is equivalent to all other operations. This allows all others to be automatically authorized. do not allow this feature because they have only one operation, and for some resource types a special object called "All Objects" may be chosen. By authorizing it, the administrator automatically authorizes all objects of the same type that currently exist or may exist in the future.

[066] Para atribuir permissões ou proibições a grupos e usuários, procede-se da mesma forma, mas é importante frisar que o relacionado Permissões do Usuário somente apresenta as permissões e proibições diretamente atribuídas ao usuário. Assim, as permissões específicas de um usuário apresentadas nesse objeto relacionado não dependem de grupos ou perfis a que esse usuário possa estar associado.[066] To assign permissions or prohibitions to groups and users, the same procedure is done, but it is important to note that the related User Permissions only has the permissions and prohibitions directly assigned to the user. Thus, the specific permissions of a user presented in this related object do not depend on groups or profiles to which that user may be associated.

[067] Alteração e customização de perfis [068] A alteração de perfis pode ser feita simplesmente pela associação ou desassociação de permissões ou proibições ao perfil, através do relacionado Permissões do Perfil, como explicado anteriormente. A alteração de um perfil afeta todos os usuários a ele associados.[067] Changing and Customizing Profiles [068] Changing profiles can be done simply by associating or disassociating permissions or prohibitions with the profile, through the related Profile Permissions, as explained above. Changing a profile affects all users associated with it.

[069] A customização de um perfil, ao contrário, afeta somente um grupo de usuários ou um usuário específico. Ela pode ser feita através da autorização de funcionalidades que estavam previamente desautorizadas pelo perfil ou, analogamente, através da desautorização de funcionalidades que estavam previamente autorizadas pelo perfil.[069] Customizing a profile, by contrast, only affects a user group or a specific user. It can be done by authorizing features that were previously unauthorized by the profile or, similarly, by disabling features that were previously unauthorized by the profile.

[070] Exemplo de customização: imagine-se um perfil para um módulo fictício contendo, entre outras, as seguintes autorizações (permissões e proibições) utilizadas na carga do menu do aplicativo: Permissão Operação Objeto Ação Permissão de menu Abrir Implantação Proibir Permissão de menu Abrir Cadastro de instalação Autorizar Permissão de menu Abrir Cadastro de retirada Proibir Permissão de menu Abrir Atualizações Autorizar [071] Deseja-se customizar esse perfil para um usuário específico, de tal forma que somente ele possa também fazer o cadastro de retiradas. Para tanto, deve-se conceder a seguinte autorização ao usuário, através do relacionado Permissões do Usuário: Permissão Operação Objeto Ação Permissão de menu Abrir Cadastro de retirada Autorizar [072] Essa permissão sobrescreverá a proibição especificada pelo perfil, mas afetará somente o usuário em questão. A mesma idéia de customização pode ser aplicada a grupos de usuários, lembrando que a prioridade maior é a do usuário, depois a dos grupos e, finalmente, a do perfil.[070] Customization example: Imagine a profile for a dummy module containing, among others, the following authorizations (permissions and prohibitions) used in the application menu load: Permission Operation Object Action Menu permission Open Deployment Prohibit Menu permission Open Installation Master File Authorize Menu Permission Open Pickup File Prohibit Menu Permission Open Updates Authorize [071] You want to customize this profile for a specific user so that only he or she can also make the checkout register. To do so, the following authorization must be granted to the user through the related User Permissions: Permission Operation Object Action Menu permission Open Withdrawal Registration Authorize [072] This permission will override the prohibition specified by the profile, but will only affect the user in question. question. The same idea of customization can be applied to user groups, remembering that the highest priority is that of the user, then that of groups, and finally that of profile.

[073] Toda esta infra-estrutura é feita para ser automaticamente montada a partir das informações recuperadas do metamodelo.[073] All of this infrastructure is designed to be automatically assembled from information retrieved from the metamodel.

[074] Realização Preferencial da invenção [075] O Método e sistema de desenvolvimento de aplicações georreferenciadas seguras com utilização de controle de acesso dinâmico e não intrusivo baseado em metainformação, objeto da presente patente, trata-se de um sistema computacional, desenvolvido especificamente para a sua aplicação denominado "Sistema de desenvolvimento de aplicações de software georreferenciadas seguras”, que implementa a o sistema e método desta invenção.[074] Preferred Embodiment of the Invention [075] The method and system for developing secure georeferenced applications using dynamic, non-intrusive metainformation-based access control object of the present invention is a computer system specifically developed for its application called "Secure Georeferenced Software Application Development System", which implements the system and method of this invention.

[076] Esse sistema disponibiliza um conjunto de funcionalidades e um ambiente seguro para aplicações de software para gerência de uma Planta de Telecomunicações.[076] This system provides a set of features and a secure environment for software applications for managing a Telecommunication Plant.

[077] A seguir são apresentadas as principais funcionalidades de segurança do método aqui proposto, onde o ambiente de segurança utilizado foi criado conforme descrito.[077] Following are the key security features of the method proposed here, where the security environment used was created as described.

[078] Os exemplos de funcionalidades que são apresentados a seguir foram providos de acordo com os aspectos de segurança genéricos, conforme o método desta invenção, a saber: [079] Segurança da geoaplicação [080] -AccessManager: Controle de acesso implementado utilizando padrões internacionais tais como: Norma ISO 15408, Role-Based Access Control (RBAC) do National Institute of Standards and Technology (NIST) e Java Authentication and Authorization Service (API JAAS). Camada disponibilizada no servidor de aplicação.[078] The following feature examples have been provided according to the generic security aspects according to the method of this invention, namely: [079] Geoplication Security [080] -AccessManager: Access Control Implemented Using Standards such as: ISO 15408 Standard, National Institute of Standards and Technology (NIST) Role-Based Access Control (RBAC), and Java Authentication and Authorization Service (JAAS API). Layer made available on the application server.

[081] -MetaServer: Fornece metainformações para outras funcionalidades como de segurança.[081] -MetaServer: Provides meta information for other features such as security.

[082] -MetaWizard: Provê modelagem de metainformações.[082] -MetaWizard: Provides modeling of meta information.

[083] -DeployWizard: Facilita a instalação e a configuração de geoaplicações.[083] -DeployWizard: Facilitates the installation and configuration of geoapplications.

[084] -WebAdm: Elemento específico de segurança flexível que segue padrões internacionais de segurança. Além de ferramentas de administração, possui um conjunto de APIs para desenvolvimento.[084] -WebAdm: Specific flexible security element that follows international security standards. In addition to administration tools, it has a set of APIs for development.

[085] -Módulo Genérico: Elemento específico para criar um módulo que vai respeitar as especificações de segurança. Tem a função de validar a abertura do módulo, validar os menus que serão apresentados como fornecer um gerenciador de atributos que monta a tela dinamicamente respeitando o controle de acesso configurado.[085] - Generic Module: Specific element to create a module that will meet the safety specifications. It has the function of validating the opening of the module, validating the menus that will be presented as providing an attribute manager that assembles the screen dynamically respecting the configured access control.

[086] Desta forma, o MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, objeto da presente patente, que descreve um método de gerenciar usuários e um sistema de segurança, conforme descrito acima, apresenta uma configuração nova e única que lhe configura grandes vantagens em relação aos métodos conhecidos e utilizados atualmente. Dentre essas vantagens podem-se citar: o fato de oferecer maior segurança e mais agilidade no desenvolvimento de geoaplicações de software seguro para gerência de redes; o fato de levara em consideração da parte espacial; o fato de não ser intrusivo; o fato de possuir desenvolvimento em evolução incremental.[086] Accordingly, the secure GEORREFERENCED APPLICATION METHOD AND DEVELOPMENT SYSTEM WITH THE USE OF DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL, object of this patent, which describes a method of managing users and a security system as described above presents a unique new configuration that gives you great advantages over the known and currently used methods. These advantages include: providing greater security and agility in the development of secure network management software geoapplications; the fact that he had taken into account the space part; the fact that it is not intrusive; the fact that it has development in incremental evolution.

[087]Assim, pelas características de configuração e funcionamento, acima descritas, pode-se notar claramente que a MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, trata-se de um dispositivo novo para o Estado da Técnica o qual reveste-se de condições de inovação, atividade inventiva e industrialização inéditas, que o fazem merecer o Privilégio de Patente de Invenção.[087] Therefore, due to the configuration and operation characteristics described above, it can be clearly noted that the safe and non-intrusive geo-referenced GEORFERENTIAL APPLICATION DEVELOPMENT METHOD AND DEVELOPMENT METHOD is new device for the State of the Art which has the conditions of innovation, inventive activity and unprecedented industrialization, which earn it the Privilege of Invention Patent.

REIVINDICAÇÕES

Claims (4)

1 - MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, caracterizado por tratar-se de um sistema e seu método de operação essencialmente composto de um conjunto de componentes para gestão das permissões através de metamodelo e interface API de integração, com soluções geoespaciais, que compreende as etapas de: Definição de uma nova solução/módulo do metamodelo do modulo existente; Definição de um novo metadados; e Empacotamento da solução com inclusão dos componentes básicos de segurança que conseguem ler os metadados e montar dinamicamente o ambiente de administração; fornecendo uma interface visual de administração com um componente de auto-configuração, com conjunto de APIs (Application Programming Interface) de programação e uma camada de controle de acesso na camada de entrada do servidor de aplicação.1 - METHOD AND SYSTEM FOR DEVELOPING SAFE GEORREFERRED APPLICATIONS WITH THE USE OF DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL, BASED ON A SYSTEM AND ITS OPERATION METHOD THAT IS COMPLETELY composed of a set of components for the management of permits. metamodel and API integration interface, with geospatial solutions, which comprises the steps of: Definition of a new metamodel solution / module of the existing module; Definition of a new metadata; and Solution packaging with the inclusion of basic security components that can read metadata and dynamically mount the administration environment; providing a visual administration interface with a self-configuring component, a set of programming application programming interface (APIs), and an access control layer on the application server input layer. 2 - MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, de acordo com a reivindicação 1, caracterizado por conjunto de componentes terem adoção de conceitos tecnológicos com tela dinâmica para controle dos atributos e execução de operações dependendo do controle de acesso incluindo as restrições por regiões geográficas; e possuírem as funcionalidades de controlar a abertura do módulo, validar a visibilidade de menus, e armazenar de tudo que entra (in) e sai (out) da aplicação.2 - METHOD AND SYSTEM FOR DEVELOPING SAFE GEOREFERRED APPLICATIONS WITH USE OF DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL, according to claim 1, characterized in that the set of components have the adoption of technological concepts with dynamic screen for the control of attributes and execution of operations depending on access control including restrictions by geographic regions; and have the functionality of controlling module openness, validating menu visibility, and storing everything in and out of the application. 3 - MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, de acordo com a reivindicação 1, caracterizado por API de autorização funcionar basicamente segundo os mesmos princípios e utilizar a linguagem Java SDK, JAAS (Java Authentication and Authorization Service).3. METHOD AND SYSTEM FOR DEVELOPING SAFE GEORREFERRED APPLICATIONS WITH THE USE OF DYNAMIC AND NON-INTRUSIVE ACCESS CONTROL, according to claim 1, characterized in that the authorization API operates basically on the same principles and uses the Java SDK language, Java Authentication and Authorization Service (JAAS). 4 - MÉTODO E SISTEMA DE DESENVOLVIMENTO DE APLICAÇÕES GEORREFERENCIADAS SEGURAS COM UTILIZAÇÃO DE CONTROLE DE ACESSO DINÂMICO E NÃO INTRUSIVO BASEADO EM METAINFORMAÇÃO, de acordo com a reivindicação 1, caracterizado por_sistemas construídos com o método compreenderem: adaptação automática da ferramenta de gestão de acesso com a inclusão de novas funcionalidades, gestão espacial de permissão, auditoria das operações dos objetos, e criação de uma base de dados corporativa de segurança.Method - System and system for developing secure geo-referenced applications using non-intrusive, non-intrusive access control according to claim 1, characterized in that systems constructed with the method comprise: automatic adaptation of the access management tool adding new functionality, permitting spatial management, auditing object operations, and creating a corporate security database.
BR102015028194A 2015-11-09 2015-11-09 secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control BR102015028194A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
BR102015028194A BR102015028194A2 (en) 2015-11-09 2015-11-09 secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BR102015028194A BR102015028194A2 (en) 2015-11-09 2015-11-09 secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control

Publications (1)

Publication Number Publication Date
BR102015028194A2 true BR102015028194A2 (en) 2017-05-09

Family

ID=58743508

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102015028194A BR102015028194A2 (en) 2015-11-09 2015-11-09 secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control

Country Status (1)

Country Link
BR (1) BR102015028194A2 (en)

Similar Documents

Publication Publication Date Title
US12143387B2 (en) Dynamic authorization in a multi-tenancy environment via tenant policy profiles
Tang et al. A multi-tenant RBAC model for collaborative cloud services
CN101366040B (en) Method and system for managing user access to a server containing objects
KR102355480B1 (en) System and method for supporting security in a multitenant application server environment
US20070186102A1 (en) Method and apparatus for facilitating fine-grain permission management
US12250212B2 (en) Computer user credentialing and verification system
US20140115693A1 (en) Managing permission settings applied to applications
US20210103649A1 (en) Project-based permission system
CN118337437A (en) A Kubernetes cluster management method, device, equipment, medium and program product
US20230156011A1 (en) System and method for authorizing services access to protected resources
Martinelli et al. On usage control for grid systems
Dikanski et al. Identification and implementation of authentication and authorization patterns in the spring security framework
JP2004110335A (en) Access control system
KR20060043725A (en) Systems and methods for displaying and managing security information
CN112733165B (en) File access control method, device and medium
KR100833973B1 (en) Meta access control system
Siebach The Abacus: A New Approach to Authorization
BR102015028194A2 (en) secure georeferenced application development method and system using dynamic, non-intrusive metainformation-based access control
Poniszewska-Maranda Management of access control in information system based on role concept
Chang et al. MD-UCON: A multi-domain access control model for SDN northbound interfaces
Pereira et al. Managing role-based access control policies for grid databases in OGSA-DAI using CAS
Ott The role compatibility security model
Da Silva et al. PEP4Django-a policy enforcement point for python web applications
Jaidi Requirements, Compliance and Future Directives
US20080301781A1 (en) Method, system and computer program for managing multiple role userid

Legal Events

Date Code Title Description
B03A Publication of an application: publication of a patent application or of a certificate of addition of invention
B08F Application fees: dismissal - article 86 of industrial property law

Free format text: REFERENTE A 3A ANUIDADE.

B08K Lapse as no evidence of payment of the annual fee has been furnished to inpi (acc. art. 87)

Free format text: REFERENTE AO ARQUIVAMENTO PUBLICADO NA RPI 2498 DE 21/11/2018.