Access Control in Distributed Systems using SPKI Authorisation Certificates

 |  Login

Show simple item record

dc.contributor Aalto-yliopisto fi
dc.contributor Aalto University en
dc.contributor.advisor Kari, Hannu, Prof., National Defence University, Finland
dc.contributor.advisor Särelä, Mikko, Dr., Aalto University, Department of Communications and Networking, Finland
dc.contributor.author Kortesniemi, Yki
dc.date.accessioned 2015-05-20T09:02:24Z
dc.date.available 2015-05-20T09:02:24Z
dc.date.issued 2015
dc.identifier.isbn 978-952-60-6194-8 (electronic)
dc.identifier.isbn 978-952-60-6193-1 (printed)
dc.identifier.issn 1799-4942 (electronic)
dc.identifier.issn 1799-4934 (printed)
dc.identifier.issn 1799-4934 (ISSN-L)
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/16131
dc.description.abstract In distributed systems, the ability to effectively manage access to a large number of resources can be challenging. The situation becomes even more difficult, when there are limited computational resources or network availability to implement the access control solution. Examples are Internet of Things (IoT) applications, such as the many internet-connected devices at home. To make them easy to use, there has to exist a relatively simple way to manage the large number of devices and to, e.g., grant temporary access to some of them for a visiting friend. In this dissertation, I examine how the problem can be overcome with the Simple Public Key Infrastructure (SPKI), which expresses access rights as cryptographically signed authorisation certificates. I approach the issue from several angles. First, I develop a phase model to analyse the access control process / certificate life-cycle and use it to study SPKI and other certificate technologies for access control while pointing out areas requiring future work. Although SPKI has been studied for some 20 years, standardisation has not been completed. I identify three important missing parts of SPKI in utilising the certificates, as well as in managing and validating online conditions. I also expand the SPKI model to support usage quotas. I then design solutions for all these areas and analyse the resultant system for its applicability, scalability, security and usability. Of particular interest are system performance and privacy. My final focus area is certificate chain reduction, a proposed way to improve performance and privacy of SPKI. I study the approach in detail, identify the relevant design choices for the systems architect, and design a protocol for requesting reductions. For performance evaluation we implemented a prototype, which demonstrates that even modern embedded devices can reach transaction times of one second including all communication delays and using only a software implementation for cryptography. We also found that the transaction was over 40 % faster with chain reduction thus proving the promise of improved performance. Using such reductions does requires a reduction server, but calculations from our use case show that even with pessimistic assumptions, a single reduction server can support millions of users thus making scalability a manageable issue. Privacy-wise, SPKI is a good solution with support for anonymous identities - and chain reduction can further improve user privacy by hiding additional information. Finally, all my use cases demonstrate the same certificate chain structure, an hourglass-model, which I hypothesise is prevalent in many other systems, as well. It forms natural basis for reduction and provides for a consistent performance regardless of certificate chain length. en
dc.description.abstract Hajautetuissa järjestelmissä lukuisien resurssien tehokas pääsynhallinta voi olla haastavaa. Tilanteen tekee vielä vaikeammaksi, jos pääsynhallinnan toteuttamiseen on vain rajallisesti laskentatehoa tai verkkoyhteyksiä. Esimerkki tästä ovat Esineiden Internetin (Internet of Things) sovellukset kuten monet internetiin liitetyt laitteet kotona. Jotta laitteiden käyttö olisi helppoa, tarvitaan yksinkertainen tapa hallita niitä ja antaa esimerkiksi vierailevalle ystävälle tilapäinen pääsy. Tässä väitöskirjassa tutkin, miten Simple Public Key Infrastructure (SPKI) voi ratkaista ongelman. SPKI esittää pääsyoikeudet kryptografisesti allekirjoitettuina sertifikaatteina. Lähestyn asiaa useasta näkökulmasta. Ensinnäkin, kehitän vaihemallin, jolla analysoin pääsynhallintaprosessia ja sertifikaattien elinkaarta, sekä hyödynnän sitä tutkiakseni SPKI- ja muita sertifikaatteja tunnistaen samalla jatkokehitystä vaativia alueita. Vaikka SPKI-sertifikaatteja on tutkittu jo noin 20 vuotta, standardointia ei ole viety loppuun. Tunnistan kolme tärkeää puuttuvaa osaa SPKI-sertifikaateissa liittyen sertifikaattien käyttöön sekä verkotettujen voimassoloehtojen hallintaan ja validointiin. Laajennan myös SPKI-mallia tukemaan käyttökiintiöitä. Sen jälkeen suunnittelen ratkaisut kaikkiin näihin osa-alueisiin sekä analysoin järjestelmän toimintaa soveltuvuuden, skaalautuvuuden, turvallisuuden ja käytettävyyden näkökulmasta. Keskityn erityisesti järjestelmän suorituskykyyn ja yksityisyyteen. Viimeinen fokusalueeni on SPKI-sertifikaattiketjujen reduktio, suorituskyvyn ja yksityisyyden parantamiseksi ehdotettu menetelmä. Tutkin menetelmää yksityiskohtaisesti, tunnistan järjestelmäarkkitehdin kannalta keskeiset suunnitteluvalinnat sekä suunnittelen protokollan reduktioiden pyytämiseen. Suorituskyvyn arvioimiseksi toteutimme prototyypin, joka osoittaa, että jopa moderni sulautettu järjestelmä voi saavuttaa alle sekunnin vasteajan sisältäen kaikki tiedonsiirtoviiveet ja käyttäen ohjelmallisesti toteutettua kryptografiaa. Havaitsimme myös, että ketjureduktiolla transaktio nopeutui yli 40 % saavuttaen näin lupauksen paremmasta suorituskyvystä. Tällaisten reduktioiden hyödyntäminen vaatii järjestelmään erillisen reduktiopalvelimen, mutta laskelmat käyttötapauksestamme osoittavat, että pessimistisilläkin oletuksilla yksi reduktiopalvelin voi palvella miljoonia käyttäjiä tehden järjestelmästä skaalautuvan. Yksityisyyden kannalta SPKI on hyvä ratkaisu, joka tukee anonyymejä identiteettejä ja ketjureduktion avulla voidaan piilottaa vielä lisää tietoa. Lopuksi, kaikki käyttötapaukseni noudattivat samaa sertifikaattiketjurakennetta, tiimalasimallia, jonka oletan esiintyvän monissa muissakin järjestelmissä. Se muodostaa luontevan pohjan reduktioiden käytölle ja mahdollistaa tasaisen suorituskyvyn riippumatta sertifikaattiketjujen pituudesta. fi
dc.format.extent 72 + app. 91
dc.format.mimetype application/pdf en
dc.language.iso en en
dc.publisher Aalto University en
dc.publisher Aalto-yliopisto fi
dc.relation.ispartofseries Aalto University publication series DOCTORAL DISSERTATIONS en
dc.relation.ispartofseries 63/2015
dc.relation.haspart [Publication 1]: Yki Kortesniemi, Mikko Särelä. Survey of Certificate Usage in Distributed Access Control. Computers & Security, Volume 44, July, pp. 16-32, 2014. DOI: 10.1016/j.cose.2014.03.013
dc.relation.haspart [Publication 2]: Yki Kortesniemi. Validity Management in SPKI. In Proceedings of the 1st Annual PKI Research Workshop, 2002.
dc.relation.haspart [Publication 3]: Yki Kortesniemi, Tero Hasu, Jonna Särs. A Revocation, Validation and Authentication Protocol for SPKI Based Delegation Systems. In Proceedings of the Network and Distributed System Security Symposium, 2000.
dc.relation.haspart [Publication 4]: Yki Kortesniemi. SPKI Performance and Certificate Chain Reduction. In Proceedings of Informatik 2002, Workshop on "Credential-basierte Zugriffskontrolle in offenen, interoperablen IT-Systemen", 2002.
dc.relation.haspart [Publication 5]: Yki Kortesniemi, Timo Kiravuo, Mikko Särelä, Hannu Kari. Chain Reduction of Authorisation Certificates. International Journal of Security and Networks, Accepted for publication, 2015.
dc.relation.haspart [Publication 6]: Kristiina Karvonen, Yki Kortesniemi, Antti Latva-Koivisto. Evaluating Revocation Management in SPKI from a User’s Point of View. In Proceedings of Human Factors in Telecommunication, 2001.
dc.subject.other Telecommunications engineering en
dc.title Access Control in Distributed Systems using SPKI Authorisation Certificates en
dc.title Hajautettujen järjestelmien pääsynhallinta SPKI-valtuussertifikaattien avulla fi
dc.type G5 Artikkeliväitöskirja fi
dc.contributor.school Sähkötekniikan korkeakoulu fi
dc.contributor.school School of Electrical Engineering en
dc.contributor.department Tietoliikenne- ja tietoverkkotekniikan laitos fi
dc.contributor.department Department of Communications and Networking en
dc.subject.keyword SPKI en
dc.subject.keyword authorisation certificates en
dc.subject.keyword access control en
dc.subject.keyword distributed systems en
dc.subject.keyword SPKI fi
dc.subject.keyword valtuussertifikaatit fi
dc.subject.keyword pääsynhallinta fi
dc.subject.keyword hajautetut järjestelmät fi
dc.identifier.urn URN:ISBN:978-952-60-6194-8
dc.type.dcmitype text en
dc.type.ontasot Doctoral dissertation (article-based) en
dc.type.ontasot Väitöskirja (artikkeli) fi
dc.contributor.supervisor Manner, Jukka, Prof., Aalto University, Department of Communications and Networking, Finland
dc.opn Niemi, Valtteri, Prof., Helsinki University, Finland
dc.date.dateaccepted 2015-04-09
dc.rev Maguire, Gerald Q. Jr., Prof., KTH Royal Institute of Technology, Sweden
dc.rev Schultz, Göran, Doc., University of Turku, Finland
dc.date.defence 2015-05-29


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

My Account