Studio e implementazione di un Profilo SAML per Trait based Identity Management System nel Session Initiation Protocol

Transcript

1 UNIVERSITA DEGLI STUDI DI PISA FACOLTA DI INGEGNERIA Corso di Laurea Specialistica in INGEGNERIA INFORMATICA TESI DI LAUREA SPECIALISTICA Studio e implementazione di un Profilo SAML per Trait based Identity Management System nel Session Initiation Protocol Candidato : Relatori : Francesco la Torre Prof. Gianluca Dini Dott. Ing. Giovanni Stea Dott. Fabio Martinelli Anno Accademico 2007/2008

2 ii A mia madre

3 Indice Indice 1. Introduzione Il protocollo Sip e l Identity Management Il protocollo SIP Introduzione Obiettivi Protocollo di trasporto Risorse SIP Address of Record Architettura del protocollo Entità User Agent Proxy Server Redirect Registar Messaggi SIP Header Messaggi di richiesta Register Invite, ACK, BYE Estensioni delle richieste Messaggi di risposta Sip Transaction e Dialog Transaction Dialog Routing dei messaggi Modalità di connessione Record Re Routing Sip e Voip Negoziazione di una sessione Identity Management in SIP Introduzione SIP Digest authentication Overview della Digest Authentication iii

4 Indice Digest Authentication in SIP Autenticazione user to user Authenticazione proxy to user Calcolo del Digest Esempio Secure/Multipurpose Internet Mail Extensions Certificat S/MIME Transport Security Layer SIP Uniform Resource Identifier Limitazioni Enhancement for Authenticated Identity Management in SIP Introduzione Authentication Service Verifier Impiego Test ed Esempi Considerazioni Virtual hosting e Subordination Conclusioni Trait Based Identity Management System Descrizione del sistema Introduzione Framework per il sistema Trait Based Esempi di casi d uso Servizi a pagamento Permessi su risorse limitate Gestione delle priorità Security Assertion Markup Language Concetti generali Componenti di SAML SAML : dalla teoria alla pratica Relazioni fra i componenti SAML Struttura degli attribute statement Struttura dei messaggi e il Binding SOAP Privacy in SAML Sicurezza in SAML SAML e la firma digitale in XML Profilo SAML per il Protocollo SIP Introduzione Integrazione del framework SAML in SIP iv

5 Indice Le assertion e il protocollo operativo Creazione e verifica delle assertion Considerazioni sulla sicurezza Implementazione Introduzione Sip Express Router File di configurazione Gestione dei messaggi SIP Analisi e struttura di un modulo Il modulo auth_saml Strutture dati rilevanti Invio richiesta per inizio sessione Ricezione richiesta per inizio sessione Ricerca dei tratti Trait Management System Configurazione del SER per la gestione dei tratti Analisi delle prestazioni Configurazione senza supporto ai tratti Configurazione con supporto ai tratti Conclusioni e sviluppi futuri Conclusioni Sviluppi futuri Appendici Appendice A Firma digitale in XML Appendice B Setup architetturale Bibliografia v

6 Elenco delle figure Elenco delle figure. Figura 2.1. Interazione fra UA Figura 2.2. Interazione di Proxy server Figura 2.3. Redirect server Figura 2.4. Registar Figura 2.5. Subscribe/Notify Figura 2.6. Transaction Figura 2.7. Dialog Figura 2.8. Trapezoide SIP Figura 2.9. Meccanismi di sicurezza in SIP Figura Flusso di messaggi Figura Identity Encoding Figura Identity Decoding Figura 3.1. (A) Identità classica. (B) Identità con tratti Figura 3.2. Trust Relationship Figura 3.3. Modello per la gestione delle assertion Figura 3.4. Scenario Accounting Figura 3.5. Scenario con risorse limitate Figura 3.6. Scenario con gestione delle priorità Figura 3.7. Struttura del framework SAML Figura 3.8. Relazione fra i componenti di SAML Figura 3.9. Esempio di assertion Figura Attribute Statement Figura SOAP Over HTTP Figura Attribute Query in un SOAP Envelop Figura Messaggio di response in un SOAP Envelop Figura Esempio di messaggio con assertion Figura Binding SAML per SIP Figura SIP SAML Asserted Identity Figura Esempio di asserition non firmata Figura Esempio di assertion firmata Figura 4.1. Struttura logica del Sip Express Router Figura 4.2. Confronto fra proxy stateful e stateless Figura 4.3. Elaborazione di un messaggio SIP di richiesta Figura 4.4. Elaborazione di un messaggio SIP di risposta vi

7 Elenco delle figure Figura 4.5. Struttura dati ass_attribute Figura 4.6. Struttura dati saml_attribute Figura 4.7. Flusso di chiamate della funzione add_identity() Figura 4.8. Flusso di chiamate della funzione get_assertion() Figura 4.9. Flusso di chiamate della funzione query_user_attr() Figura Flusso di chiamate della funzione CreateXmlAssertion() Figura Flusso di chiamate della funzione rsa_sign_digest() Figura Flusso di chiamate della funzione VerifyAssertion() Figura Flusso di chiamate della funzione verify_file() Figura Flusso di chiamate della funzione parseassertionfile() Figura Flusso di chiamate della funzione getvalue() Figura Flusso di chiamate della funzione get_certificate() Figura Flusso di chiamate della funzione check_certificate() Figura Flusso di chiamate della funzione check_validity Figura Flusso di chiamate della funzione lookup_attribute_incoming(). 143 Figura Flusso chiamate della funzione lookup_attribute_outcoming() Figura Piattaforma TMS Figura Architettura del TMS Figura Architettura del database per la gestione dei tratti Figura Performance del SER senza il supporto ai tratti Figura Performance del SER con il supporto ai tratti vii

8 Elenco delle tabelle Elenco delle tabelle. Tabella 2.1. Intestazioni SIP Tabella 2.2. Metodi SIP Tabella 2.3. Tipi di Response Tabella 2.4. Messaggi di risposta dopo verifica del campo Identity Tabella 4.1. Principali funzioni esportate Tabella 4.2. Principali parametri del modulo auth_saml viii

9 Elenco dei listati Elenco dei listati. Listato 4.1. Struttura dati param_export Listato 4.2. Struttura dati param_export_t Listato 4.3. Struttura dati cmd_export_ Listato 4.4. Esempio esportazione funzione Listato 4.5. Struttura dati per esportazione delle funzioni Listato 4.6. Interfaccia del modulo auth_saml Listato 4.7. Struttura dati per la gestione delle assertion Listato 4.8. Script di configurazione per la gestione dei tratti in entrata Listato 4.9. Script di configurazione per la gestione dei tratti in uscita ix