Blockchain-Based Context-Aware Authorization Management as a Service in IoT

Internet of Things (IoT) applications bring evolved and intelligent services that can help improve users’ daily lives. These applications include home automation, health care, and smart agriculture. However, IoT development and adoption face various security and privacy challenges that need to be overcome. As a promising security paradigm, context-aware security enables one to enforce security and privacy mechanisms adaptively. Moreover, with the advancements in edge computing, context-aware security services can dynamically be placed close to a user’s location and enable the support of low latency communication and mobility. Therefore, the design of an adaptive and decentralized access control mechanism becomes a necessity. In this paper, we propose a decentralized context-aware authorization management as a service based on the blockchain. The proposed architecture extends the Authentication and Authorization for Constrained Environments (ACE) framework with blockchain technology and context-awareness capabilities. Instead of a classic Open Authorization 2.0 (OAuth) access token, it uses a new contextual access token. The evaluation results show our proposition’s effectiveness and advantages in terms of usability, security, low latency, and energy consumption.

ANÁLISE DE SEGURANÇA NA CONTRATAÇÃO DE SERVIÇOS EM NUVEM

Este trabalho tem o objetivo de descrever e analisar práticas correntes de avaliação da segurança da informação na adoção de serviços de computação em nuvem. Ele discute o esforço empregado na realização destas práticas e elenca as melhorias necessárias para aumento da eficiência na execução do processo de avaliação de riscos e implementação de controles no Brasil. O artigo realiza uma revisão de duas abordagens governamentais utilizadas na gestão de riscos para a adoção de serviços de computação em nuvem: O Federal Risk and Authorization Management Program ou FedRAMP e os processos do governo brasileiro para gestão de riscos em segurança da informação. O estudo elenca ações como a manutenção de conjuntos pré-definidos de controles, o reúso das análises realizadas para qualificação dos sistemas e a categorização das informações quanto ao sigilo em grandes blocos como formas de avançar no processo de avaliação no Brasil. As formas de execução desta avaliação impactam diretamente nos desenhos das soluções, no desenvolvimento dos serviços, e nos modelos de contratação.