Data confidentiality and reputation schemes in distributed information systems

Fischmann, Matthias

11 September 2008

Diese Arbeit betrachtet zwei anspruchsvolle Probleme aus dem Bereich Computer- und Kommunikationssicherheit und Vertrauen. Beim Datenbank-Serviceprovider-Problem moechte ein Anwender seine Datenbank an einen Datenbank-Serviceprovider (DSP) uebergeben, damit dieser sie betreiben und ihm zur Verfuegung stellen kann. Er vertraut diesem DSP, und damit auch vertraglichen Abmachungen, nur bedingt und muss die Vertraulichkeit seiner Daten durch technische Massnahmen sicherstellen. Das zweite Problem ist das Verbreiten verlaesslicher Reputationsinformation ueber eine (moeglicherweise sehr grosse) Anzahl von Netzwerk-Knoten in einer Peer-to-Peer-Umgebung (P2P). Beide Probleme straeuben sich hartnaeckig gegen einfache Loesungen. Im Gegensatz zu traditionellen Sicherheitsproblemen in der Informatik hat der Gegner in beiden ein hohes Mass an Kontrolle ueber die Situation. Der nicht ausreichend vertrauenswuerdige DSP muss in der Lage sein, die Daten seines Kunden zu verarbeiten, ohne etwas ueber sie zu lernen, was intuitiv wie ein Widerspruch erscheint. In P2P-Anwendungen ist es wuenschenswert, dass Knoten anonym beitreten und jederzeit wieder austreten koennen, aber diese Anonymitaet erleichtert es, falsche Reputationsinformation zu verbreiten. Ein Knoten, der erstmalig in ein P2P-Netzwerk eintritt, muss den behaupteten Beobachtungen anderer Knoten vertrauen. Die Resultate dieser Arbeit sind keine Idealloesungen, und dennoch aufschlussreich in mehrerlei Hinsicht: Es werden gelockerte, aber immer noch nuetzliche Sicherheitsbegriffe fuer das DSP-Problem vorgeschlagen; es werden theoretische Grenzen des DSP-Loesungsraums gezogen; und die Auswirkung feindseligen Verhaltens in P2P-Reputationssystemen wird durch heuristische Methoden reduziert. Ein Nebeneffekt unserer Arbeit ist ein speziell fuer Reputationssysteme in P2P-Netzwerken geeignetes Simulations-Tool, das zum Vergleich und zum Fine-Tuning bestehender und zukuenftiger Forschungsarbeiten genutzt werden kann. / In this thesis we discuss two demanding problems from the field of computer and communication security that involve trust. The first is known as the database service provider problem: A database owner wants a database service provider (DSP) to host her database. She only trusts this DSP to a limited extent, so she does not want to rely solely on contractual solutions. It is therefore necessary to enforce confidentiality of her data by technical means. The second problem concerns a (potentially very large) number of network nodes in a peer-to-peer (P2P) environment. Both problems are notoriously hard because, other than in traditional computer security problems, the adversary has a lot of control over the situation. The untrusted DSP needs to be able to process the data without learning anything about it, which seems to be a contradiction. In P2P applications it is desirable that nodes can join anonymously, but anonymity makes it easy to spread false reputation information. A node that enters a P2P application network for the first time needs to trust the claimed observations of other nodes, independent of the rate of malicious behaviour. Our findings are not perfect solutions, but nevertheless instructive in several ways: We propose relaxed, but still practically useful, notions of security for the DSP problem; we identify theoretical limitations of the DSP solution space; and we gradually reduce the impact of adversarial behaviour in P2P reputation systems using heuristic methods. As a side effect of our work, we present a special-purpose framework for simulation of P2P reputation systems that can be used to compare and fine-tune previous and upcoming work.

Sicherheit

Datenbanken

Vertrauen

Vertraulichkeit

Service-Provider

Reputation

Reputationssysteme

Kryptographie

IT-Sicherheit

Kommunikationssicherheit

databases

trust

cryptography

IT security

communication security

security

confidentiality

service provider

reputation

reputation schemes

330 Wirtschaft

17 Wirtschaft

QP 345

ddc:330

Model-driven security in service-oriented architectures : leveraging security patterns to transform high-level security requirements to technical policies

Menzel, Michael

January 2011

Service-oriented Architectures (SOA) facilitate the provision and orchestration of business services to enable a faster adoption to changing business demands. Web Services provide a technical foundation to implement this paradigm on the basis of XML-messaging. However, the enhanced flexibility of message-based systems comes along with new threats and risks. To face these issues, a variety of security mechanisms and approaches is supported by the Web Service specifications. The usage of these security mechanisms and protocols is configured by stating security requirements in security policies. However, security policy languages for SOA are complex and difficult to create due to the expressiveness of these languages. To facilitate and simplify the creation of security policies, this thesis presents a model-driven approach that enables the generation of complex security policies on the basis of simple security intentions. SOA architects can specify these intentions in system design models and are not required to deal with complex technical security concepts. The approach introduced in this thesis enables the enhancement of any system design modelling languages – for example FMC or BPMN – with security modelling elements. The syntax, semantics, and notion of these elements is defined by our security modelling language SecureSOA. The metamodel of this language provides extension points to enable the integration into system design modelling languages. In particular, this thesis demonstrates the enhancement of FMC block diagrams with SecureSOA. To enable the model-driven generation of security policies, a domain-independent policy model is introduced in this thesis. This model provides an abstraction layer for security policies. Mappings are used to perform the transformation from our model to security policy languages. However, expert knowledge is required to generate instances of this model on the basis of simple security intentions. Appropriate security mechanisms, protocols and options must be chosen and combined to fulfil these security intentions. In this thesis, a formalised system of security patterns is used to represent this knowledge and to enable an automated transformation process. Moreover, a domain-specific language is introduced to state security patterns in an accessible way. On the basis of this language, a system of security configuration patterns is provided to transform security intentions related to data protection and identity management. The formal semantics of the security pattern language enable the verification of the transformation process introduced in this thesis and prove the correctness of the pattern application. Finally, our SOA Security LAB is presented that demonstrates the application of our model-driven approach to facilitate a dynamic creation, configuration, and execution of secure Web Service-based composed applications. / Im Bereich der Enterprisearchitekturen hat das Paradigma der Service-orientierten Architektur (SOA) in den vergangenen Jahren eine große Bedeutung erlangt. Dieser Ansatz ermöglicht die Strukturierung und Umsetzung verteilter, IT-basierter Geschäftsfunktionen, um einen effizienten und flexiblen Einsatz von IT-Ressourcen zu ermöglichen. Während in der Vergangenheit fachliche Anforderungen in monolithischen Applikationen umgesetzt wurden, setzt dieser Architekturansatz auf wiederverwendbare Dienste, die spezifische Geschäftsfunktionen implementieren. Diese Dienste können dann dynamisch zur Umsetzung von Geschäftsprozessen herangezogen werden und ermöglichen eine schnelle Reaktion auf verändernde geschäftliche Rahmenbedingungen durch Anpassung der Prozesse. Die einzelnen Dienste existieren unabhängig voneinander und sind lose über einen Nachrichtenaustausch gekoppelt. Diese Unabhängigkeit unterscheidet den SOA-Ansatz von der bisherigen Entwicklung klassischer verteilter Anwendungen. Die Verwendung unabhängiger Dienste geht aber auch mit einem größeren Gefährdungspotential einher, da eine Vielzahl von Schnittstellen bereitgestellt wird, die mittels komplexer Protokolle angesprochen werden können. Somit ist die korrekte Umsetzung von Sicherheitsmechanismen in allen Diensten und SOA-Infrastrukturkomponeten essentiell. Kommunikationspartner müssen an jedem Kommunikationsendpunkt authentifiziert und autorisiert werden und ausgetauschte Nachrichten müssen immer geschützt werden. Solche Sicherheitsanforderungen werden in technischen Sicherheitskonfigurationen (Policydokumenten) mittels einer Policysprache kodiert und werden an die Dienste verteilt, die diese Anforderungen durchsetzen. Da Policysprachen für SOA aber durch die Vielzahl und Vielfalt an Sicherheitsmechanismen, -protokollen und -standards eine hohe Komplexität aufweisen, sind Sicherheitskonfigurationen höchst fehleranfällig und mit viel Fachwissen zu erstellen. Um die Generierung von Sicherheitskonfigurationen in komplexen Systemen zu vereinfachen, wird in dieser Arbeit ein modellgetriebener Ansatz vorgestellt, der eine visuelle Modellierung von Sicherheitsanforderungen in Architekturmodellen ermöglicht und eine automatisierte Generierung von Sicherheitskonfigurationen auf Basis dieser Anforderungen unterstützt. Die Modellierungsebene ermöglicht eine einfache und abstrakte Darstellung von Sicherheitsanforderungen, die sich auch für Systemarchitekten erschließen, welche keine Sicherheits-experten sind. Beispielsweise können modellierte Daten einfach mit einem Schloss annotiert werden, um den Schutz dieser Daten zu fordern. Die Syntax, die Semantik und die Darstellung dieser Anforderungen werden durch die in dieser Arbeit vorgestellte Sicherheitsmodellierungssprache SecureSOA spezifiziert. Der vorgestellte modellgetriebene Ansatz transformiert die modellierten Anforderungen auf ein domänen-unabhängiges Policymodell, das eine Abstraktionsschicht zu konkreten Policysprachen bildet. Diese Abstrak-tionsschicht vereinfacht die Generierung von Sicherheitspolicies in verschiedenen Policysprachen. Allerdings kann diese Transformation nur erfolgen, wenn im System Expertenwissen hinterlegt ist, das die Auswahl von konkreten Sicherheitsmechanismen und -optionen bestimmt. Im Rahmen dieser Arbeit werden Entwurfsmuster für SOA-Sicherheit zur Transformation herangezogen, die dieses Wissen repräsentieren. Dazu wird ein Katalog von Entwurfsmustern eingeführt, der die Abbildung von abstrakten Sicherheitsanforderungen auf konkrete Konfigurationen ermöglicht. Diese Muster sind mittels einer Entwurfsmustersprache definiert, die in dieser Arbeit eingeführt wird. Die formale Semantik dieser Sprache ermöglicht die formale Verifikation des Transformationsprozesses, um die Korrektheit der Entwurfsmusteranwendung nachzuweisen. Die Definition dieses Entwurfsmusterkatalogs und der darauf basierende Transformationsprozess ermöglichen die Abbildung von abstrakten Sicherheitsanforderungen auf konkrete technische Sicherheitskonfigurationen und stellen den Beitrag dieser Arbeit dar. Abschließend wird in dieser Arbeit das SOA-Security-Lab vorgestellt, das die Umsetzung dieses Ansatzes demonstriert.

IT-Sicherheit

Service-Orientierte Architekturen

Modell-getriebene Sicherheit

Sicherheitsmodellierung

Entwurfsmuster für SOA-Sicherheit

IT-Security

Service-oriented Architectures

Modell-driven Security

Security Modelling

SOA Security Pattern

Data processing Computer science