Design and realization of privacy guaranteeing means for context-sensitive systems [Elektronische Ressource] / vorgelegt von Michael Maaser

brandenburgische_technische_universitat_cottbus

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

171 pages

English

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Sujets

Informatik

Informations

Publié par	brandenburgische_technische_universitat_cottbus
Publié le	01 janvier 2010
Nombre de lectures	16
Langue	English
Poids de l'ouvrage	34 Mo

Extrait

Design and Realization of Privacy
Guaranteeing Means for
Context-sensitive Systems
Von der Fakultat¨ fur¨ Mathematik, Naturwissenschaften und Informatik
der Brandenburgischen Technischen Universitat¨ Cottbus
zur Erlangung des akademischen Grades
Doktor der Naturwissenschaften
(Dr. rer. nat.)
genehmigte Dissertation
vorgelegt von
Dipl.-Informatiker
Michael Maaser
geboren am 11.12.1975 in Jena
Gutachter: Prof. Dr. rer. nat. Peter Langendorf¨ er
Gutachter: Prof. Dr.-Ing. Jorg¨ Nolte
Gutachter: Prof. Dr. rer. oec. habil Gunter¨ Muller¨
Tag der mundlichen¨ Prufung:¨ 06. Juli 2010To my lovely daughteri
Abstract
Privacy issues are becoming more and more important, especially since the
cyber and the real world are converging up to certain extent when using mobile de-
vices. Means that really protect privacy are still missing. The problem is, as soon
as a user provides data to a service provider the user looses control over her/his
data. The simple solution is not to provide any data but then many useful services,
e.g., navigation applications, cannot be used.
The dissertation addresses two aspects of privacy protection. The ﬁrst aspect re-
gards not producing private information if possible. Such unnecessary information
are traces of access controlled service uses. Hence, one approach in this disser-
tation enables k-anonymous authorization for services uses. It equips the users of
the system with trusted pseudonymous certiﬁcates reﬂecting their respective autho-
rizations. Analogous to anonymous e-cash, the certiﬁcates are issued by a trusted
authority with knowledge of the actual authorizations of an identiﬁed user. The
certiﬁcates can be veriﬁed by any service supported by the trusted authority but
without knowledge of the user’s identity. Not even the issuing authority is able to
reveal the users identity from the pseudonym of a certiﬁcate. Hence, service usage
cannot be tracked, neither by the service nor by the authority. This protects the
privacy of service usage behavior of users.
The second aspect of privacy protection is to remain in control over private data re-
leased to others. Temporary release of private data is essential to context-sensitive
services, which rely on these context data to provide or improve added value.
Therefore, the dissertation designs a Privacy Guaranteeing Execution Container
(PGEC), which enables applications to access private user data and guarantees that
the user data is deleted as soon as the service or application is ﬁnished. Basically,
the concept is that the application obtains access to the user data in a specially
protected and certiﬁed environment, the PGEC. The PGEC also restricts the com-
munication between the application and the service provider to what is explicitly
allowed by the service user. In addition to those means, the PGEC also imple-
ments countermeasures against malicious attacks such as modiﬁed host systems
and covert channel attacks, which might be misusing CPU load to signal data out
of the PGEC. Thus, the PGEC guarantees a “one time use” of the provided private
data.iii
Zusammenfassung
Privatspharen-¨ und Datenschutzfragen gewinnen immer mehr an Bedeutung.
Vor allem seit die Cyber- und die reale Welt durch die Verwendung mobiler Gerate¨
zu einem gewissen Grad konvergieren. Mittel, die tatsachlich¨ die Privatsphare¨
schutzen,¨ fehlen noch immer. Das Problem ist: Sobald ein Benutzer seine Daten an
einen Diensteanbieter ubermittelt,¨ verliert er die Kontrolle uber¨ seine Daten. Die
einfachste Losung¨ ware¨ es, uberhaupt¨ keine Daten zu ubermitteln.¨ Dann konnen¨
jedoch viele nutzliche¨ Dienste, z. B. Navigations-Anwendungen, nicht verwendet
werden.
Diese Dissertation adressiert zwei Aspekte des Privatspharenschutzes.¨ Der erste
Aspekt betrit die Nicht-Erzeugung privater Informationen wenn moglich.¨ Solche
unnotigen¨ Informationen sind Nutzungsspuren an zugrisbeschrankten¨ Diensten.
Deshalb ermoglicht¨ ein Ansatz dieser Dissertation eine k-anonyme Zugangsbe-
rechtigung. Er stattet die Benutzer des Systems mit vertrauenswurdigen¨ pseudony-
misierten Zertiﬁkaten aus, welche die entsprechende Autorisierung reﬂektieren.
Analog zu anonymen e-Cash-Ansatzen¨ werden die Zertiﬁkate von einer vertrau-
enswurdigen¨ Autoritat¨ mit Kenntnis uber¨ die tatsachlichen¨ Berechtigungen iden-
tiﬁzierter Nutzer ausgestellt. Die Zertiﬁkate konnen¨ von jedem Dienst mit Un-
¨ ¨ ¨terstutzung der Autoritat veriﬁziert werden, ohne die Identitat des Benutzers zu
kennen. Nicht einmal die ausstellende Autoritat¨ ist in der Lage, die Identitat¨ des
Benutzers aus dem Pseudonym des Zertiﬁkates zu ermitteln. Daher kann die Ser-
vicenutzung nicht nachverfolgt werden, weder durch den Dienst noch durch die
Autoritat.¨ Dieses schutzt¨ die Privatsphare¨ des Dienstnutzungsverhaltens der Nut-
zer.
Der zweite Aspekt des Privatspharenschutzes¨ ist, die Kontrolle uber¨ ausgegebe-
ne private Daten zu behalten. Die voruber¨ gehende Herausgabe privater Daten ist
unerlasslich¨ fur¨ kontextsensitive Dienste, die auf solche Kontextdaten angewiesen
sind, um den Mehrwert des Dienstes anzubieten oder zu erhohen.¨ Dazu wird in
dieser Dissertation ein Privatspharen¨ garantierender Ausfuhrungscontainer¨ (PGEC)
entworfen, der Anwendungen den Zugri auf private Nutzerdaten ermoglicht,¨ da-
bei aber garantiert, dass die Nutzerdaten geloscht¨ werden, sobald der Dienst oder
die Anwendung beendet ist. Im Grunde ist das Konzept, dass die Anwendung
den Zugri nur innerhalb einer speziell geschutzten¨ und zertiﬁzierten Umgebung,
dem PGEC, erhalt.¨ Der PGEC beschrankt¨ außerdem die Kommunikation zwischen
der Anwendung und dem Dienstanbieter auf das Maß, welches explizit durch den
Dienstnutzer festgelegt wird. Zusatzlich¨ zu diesen Mitteln wendet der PGEC Ge-
genmanahmen an gegen boswillige¨ Angrie, wie modiﬁzierte Hostsysteme und
Angrie uber¨ verdeckte Kanale,¨ die zum Beispiel die CPU-Last missbrauchen
¨konnten, um Daten aus dem PGEC herauszuschleusen. Damit garantiert der PGEC
eine “Einmalnutzung” der herausgegebenen privaten Daten.Contents
Abstract i
Zusammenfassung iii
Contents v
1 Introduction 3
1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Scenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2.1 Anonymous Authentication/Access Control . . . . . . . . . . . 6
1.2.2 Stationary/mobile use . . . . . . . . . . . . . . . . . . . . . . . 7
1.2.3 Exchange of Private Data for Purpose . . . . . . . . . . . . . . 9
1.2.4 Scenario of Accessing Medical Data of Patients . . . . . . . . . 9
2 RelatedTechnologies 13
2.1 Existing Privacy Protection Technologies . . . . . . . . . . . . . . . . 13
2.1.1 Declarative Technologies . . . . . . . . . . . . . . . . . . . . . 13
2.1.2 Enforcing T . . . . . . . . . . . . . . . . . . . . . 14
2.2 Access Control Technologies . . . . . . . . . . . . . . . . . . . . . . . 23
2.2.1 eXtensible Access Control Markup Language (XACML) . . . . 23
2.2.2 Discretionary Access Control (DAC) . . . . . . . . . . . . . . 25
2.2.3 Mandatory Access Control (MAC) . . . . . . . . . . . . . . . . 26
2.2.4 Role Based (RBAC) . . . . . . . . . . . . . . . 26
2.3 Authentication Technologies . . . . . . . . . . . . . . . . . . . . . . . 27
2.3.1 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.3.2 Pre-shared key (PSK) Authentication . . . . . . . . . . . . . . 29
2.4 Digital Rights Management (DRM) . . . . . . . . . . . . . . . . . . . 29
3 AnonymousAccessControl 33
3.1 Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2 Function Principle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
vvi CONTENTS
3.2.1 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.2 Mathematical Background . . . . . . . . . . . . . . . . . . . . 36
3.2.3 Attacks by Malicious Users . . . . . . . . . . . . . . . . . . . 38
3.2.4 by Certiﬁcate Authority (CA) . . . . . . . . 40
3.3 Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.4 Simpliﬁed Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.4.1 Issuing of Certiﬁcates . . . . . . . . . . . . . . . . . . . . . . 43
3.4.2 Anonymous Authorization and Authentication . . . . . . . . . 45
4 ProtectingPrivateDatabyTechnicalMeans 51
4.1 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.1.1 Service Classiﬁcation . . . . . . . . . . . . . . . . . . . . . . . 53
4.1.2 Economical Security . . . . . . . . . . . . . . . . . . . . . . . 55
4.1.3 Evaluate Information Load of Literals . . . . . . . . . . . . . . 56
4.1.4 Negotiation of Permitted Data . . . . . . . . . . . . . . . . . . 57
4.2 Privacy Guaranteeing Execution Container (PGEC) . . . . . . . . . . . 59
4.2.1 Stand-alone Architecture . . . . . . . . . . . . . . . . . . . . . 59
4.2.2 Distributed . . . . . . . . . . . . . . . . . . . . . 62
4.3 Protection Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.1 PGEC Threat Model . . . . . .