Defensa en profundidad en sistemas de control de accesos mediante autenticación continua

• Autores: Javier Junquera Sánchez
• Directores de la Tesis: José Javier Martínez Herráiz (dir. tes.) , Luis de Marcos Ortega (codir. tes.)
• Lectura: En la Universidad de Alcalá ( España ) en 2023
• Idioma: español
• Tribunal Calificador de la Tesis: Victor Abraham Villagrá González (presid.) , María Teresa Villalba de Benito (secret.) , Ricardo Julio Rodríguez Fernández (voc.)
• Enlaces
  • Tesis en acceso abierto en: TESEO
• Resumen
  • español

    La seguridad de los sistemas de información depende, en gran medida, de que el proceso de control de accesos funcione correctamente. Pero, en los modelos clásicos, la identidad del operador sólo se autentica en momentos puntuales. Tras décadas de implantación de dispositivos móviles en la sociedad [2], se encuentran presentes en prácticamente todos los procesos de negocio, pero estos activos sufren de debilidades en la gestión de su seguridad: no se ubican en perímetros de red bien definidos y bastionables, son más susceptibles de ser robados, etc.; y en un modelo clásico de control de accesos, una vez iniciada la sesión, careceríamos de medidas para combatir estas amenazas. Activar el proceso de autenticación periódicamente sería molesto y contraproducente, pero mediante biometría conductual (i.e., caracterizando la identidad de un usuario por cómo se comporta con el sistema), sí podría implementarse un sistema que validase la identidad del operador sin interferir en su sesión de trabajo: un sistema de autenticación continua. En esta tesis se aborda cómo la autenticación continua puede ayudar a mitigar los riesgos comentados, convirtiéndose en una tecnología diferenciadora al implantar medidas de defensa en profundidad en los sistemas de control de accesos.

    Al no existir un criterio claro para definir la autenticación continua, en primer lugar se ha desarrollado un estudio sistemático de la literatura, que permite caracterizar este área de investigación. En el segundo artículo se plantea un caso de uso, donde se refuerza la seguridad de un sistema distribuido aplicando principios de la autenticación continua; evidenciando al mismo tiempo las carencias de los sistemas dinámicos, y acotando la definición de autenticación continua. Finalmente, se estudia, experimentalmente, el rendimiento de 7 algoritmos supervisados de clasificación en el ámbito de la autenticación continua. Este estudio, junto con los resultados previos, sirve de soporte a la toma de decisiones en la implantación de la autenticación continua. Fija una base homogénea de conocimiento, que permite comparar las particularidades de estos algoritmos en el procesado de datos de biometría conductual, y discute su utilidad en función de los requisitos del sistema de control de accesos.

    Esta tesis evidencia que el uso de autenticación continua contribuye a la defensa en profundidad de los sistemas de control de accesos, especialmente, aunque exclusivamente, a la de aquellos con un operador cuya sesión de trabajo debe ser autenticada.

  • English

    The security of information systems is highly dependent on the access control process, but this process’s reliability lies, mainly, on the punctual authentication of the operator’s identity. After decades of implantation, [2], mobile phone technologies are present in practically all the current business processes, but, regarding information security, they have several weaknesses: they do not always operate in trusted environments, are easier to steal, etc.; what, from the point of view of access control, derives in a total absence of mechanisms to protect the information system once the operator’s identity has been authenticated. Asking for authentication periodically could be obtrusive for a working session, but by using behavioural biometrics, it could be possible to evaluate the operators’ identity without disturbing them: this is continuous authentication. This PhD Thesis addresses, through three research articles, how continuous authentication could mitigate the new risks of the information systems, leading to a successful defence-in-depth model for access control systems.

    While there is no one formal definition of what continuous authentication is, the first step has been developing a systematic literature review, which has led to characterize this research area. The second article describes a use case where continuous authentication principles reinforce the security of a distributed information system, making evident the differences between dynamic authentication systems and continuous authentication ones.

    Finally, we have conducted an experiment where 7 supervised classification algorithms have been tested, analyzing how, and with which particularities, they can lead to continuous authentication. This final research aims to give support to the decision-making processes where continuous authentication is needed, but also to fix a solid knowledge base that allows the comparison of these algorithms in regards the behavioural biometrics.

    This PhD thesis evidences that continuous authentication contributes to the defencein-depth of access control systems, especially for those where a human operator must be authenticated during a working session.