O surgimento e a popularização de arquiteturas de software que fornecem suporte à programação distribuída orientada a objetos, como CORBA, .NET e Java EE, gerou uma demanda por infra-estruturas de segurança eficientes, capazes de proteger os recursos dos sistemas de ataques maliciosos. Essa proteção começa pela identificação dos usuários que interagem com os sistemas, processo conhecido como autenticação. Entretanto, a autenticação por si só não é suficiente para garantir a segurança dos recursos, uma vez que a autenticação não determina quais ações os usuários estão autorizados a executar depois de autenticados. Em outras palavras, um mecanismo de autorização, que faz valer as políticas de controle de acesso aos recursos definidas pelos administradores de sistemas, se faz necessário. Neste trabalho estudamos mecanismos de controle de acesso baseado em papéis e a aplicabilidade dos certificados de atributos X.509 como estrutura de armazenamento desses papéis em um ambiente Java EE. Em particular, estendemos a infra-estrutura de segurança do servidor de aplicações JBoss, de modo que ela passasse a comportar os certificados de atributos X.509. Além disso, analisamos as vantagens e desvantagens do uso de tais certificados e avaliamos o desempenho da extensão desenvolvida em relação a outras alternativas que são oferecidas pelo JBoss para o armazenamento de papéis dos usuários.

The popularization of software architectures that provide support for distributed object-oriented programming, like CORBA, .NET, and Java EE, revealed the need for efficient security infrastructures to protect the resources of enterprise systems from malicious attacks. This protection usually begins with the identification of the users that interact with the systems, a process known as authentication. However, authentication alone is not enough to guarantee the protection of the resources, as it cannot determine what actions a particular user is allowed to execute on a given resource. In other words, an authorization mechanism is needed in order to enforce the access control policies as defined by the system administrators. In this dissertation we studied role-based access control mechanisms and the use of X.509 attribute certificates as data structures that store the users roles in a Java EE environment. Particularly, we added X.509 attribute certificates support to the existing JBoss application server security infrastructure. Furthermore, we evaluated the pros and cons of using these certificates, and compared the performance of the developed extension to the performance of the existing solutions provided by JBoss to store the users roles.