Protocolo flexível de autenticação multi-fator: estudo de caso para ambientes de telemedicina

Abstract

Sistemas de telemedicina e telessaúde necessitam de serviços de autenticação fortes para garantir a identidade e a privacidade dos dados e, ao mesmo tempo, flexíveis para atender as necessidade de profissionais e pacientes. O foco deste trabalho é o processo de autenticação. Nós propomos um protocolo de autenticação multi-fator flexível e uma implementação do mesmo baseada em tecnologias de web services voltado ao ambiente de telessaúde. Este serviço faz uso de métodos escaláveis em um processo de autenticação de dois fatores. No novo modelo o usuário se autentica da mesma forma que fazia anteriormente e, em um segundo passo, informa algum dado que prove que ele tem a posse de determinado dispositivo único (token). Suas principais características são a flexibilidade de configuração dos mecanismos de autenticação, assim como o uso de um sistema robusto para o registro de eventos. Neste trabalho são tratados a engenharia de requisitos de segurança, e os detalhes da sua implementação. Também são discutidos sua adequação no ambiente de telemedicina e telessaúde e a integração do uso de diferentes métodos de autenticação.<br>

Abstract: Telemedicine and telehealth systems require authentication services that are strong enough to ensure identification and privacy, and flexible to meet the needs of health professionals and patients. The focus of this work is the authentication process. We propose a multi-factor authentication protocol and an implementation based on web service technology for telemedicine environment. This service makes use of scalable authentication methods based on two-factor authentication mechanisms. In the new model users authenticate exactly the same way they use to do and, in a second step, they have to provide some information that proves that they possess some specific device (token). Its main characteristics are: flexibility of configuration for the authentication mechanisms, as well as the use of a robust system for recording events. In this dissertation we deal with the engineering requirements of the security system and the details of its implementation. We also discuss the efficacy and ease of use of different authentication methods.