On-board Credentials: An open credential platform for mobile devices

 |  Login

Show simple item record

dc.contributor Aalto-yliopisto fi
dc.contributor Aalto University en
dc.contributor.author Kostiainen, Kari
dc.date.accessioned 2012-06-11T06:05:16Z
dc.date.available 2012-06-11T06:05:16Z
dc.date.issued 2012
dc.identifier.isbn 978-952-60-4598-6 (electronic)
dc.identifier.isbn 978-952-60-4597-9 (printed)
dc.identifier.issn 1799-4942 (electronic)
dc.identifier.issn 1799-4934 (printed)
dc.identifier.issn 1799-4934 (ISSN-L)
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/3568
dc.description.abstract Traditional credential solutions have well-known drawbacks. Purely software-based credentials are vulnerable to many attacks, while hardware-based security tokens and smart cards are expensive to deploy and, due to their typical single-purpose nature, force users to carry multiple hardware credentials with them. Recently, general-purpose security elements and architectures have started to become widely available on many commodity devices. On mobile devices, ARM TrustZone is a widely adopted security architecture. Such trusted execution environments enable realization of credentials that combine the flexibility of software solutions with the higher level of protection traditionally offered only by hardware credentials. In this dissertation, we present several aspects of On-board Credentials (ObC), a novel credential platform for mobile devices. The ObC platform allows flexible creation of arbitrary credentials that utilize hardware security mechanisms for higher level of security. We challenge the prevailing thinking that a credential system must be centralized and closed in order to provide a sufficient level of security and usability. The distinguishing feature of the ObC platform is an open provisioning model that allows any service provider to deploy new credential instances to end-user devices without having to request approval from a centralized authority. We study credential life-cycle management in open credential systems and present novel protocols for credential migration, temporary disabling and updates. We also describe mechanisms for key and application attestation. Our application attestation model makes property-based attestation practical by bootstrapping application authentication from existing certification infrastructures. We also compare open and closed credential platforms and show that openness does not have to imply decreased security or usability. We have implemented the On-board Credentials platform for Symbian phones using the TrustZone trusted execution environment. Our implementation is part of the latest Nokia Symbian devices, and the On-board Credentials platform is currently being ported to other smartphone platforms. The first substantial credential deployments are now starting. en
dc.description.abstract Perinteisissä avainten ja salaisuuksien tallentamiseen ja hallintaan liittyvissä tietoturvaratkaisuissa on tunnettuja ongelmia. Puhtaasti ohjelmistopohjaiset menetelmät ovat haavoittuvia monille hyökkäyksille, kun taas älykortteihin ja vastaaviin turvallisuuslaitteisiin perustuvien ratkaisujen käyttöönotto on palveluntarjoajille kallista ja käyttäjien kannalta usein hankalaa. Viime aikoina yleiskäyttöiset laitteistopohjaiset tietoturva-arkkitehtuurit ovat alkaneet yleistyä monissa kuluttajalaitteissa. Esimerkiksi useat mobiililaitteet tukevat ARM TrustZone -arkkitehtuuria. Tällaisten laitteistopohjaisten turvallisten suoritusympäristöjen avulla on mahdollista toteuttaa ratkaisuja, joissa yhdistyvät perinteisten ohjelmistomenetelmien helppokäyttöisyys ja laitteistoratkaisujen tarjoama korkeampi turvallisuuden taso. Tässä väitöskirjassa esitämme useita ominaisuuksia kannettaville laitteille suunnitellusta uudenlaisesta alustasta nimeltä On-board Credentials. On-board Credentials -järjestelmän merkittävä piirre on avainten ja salaisuuksien avoin asennusmalli, jonka ansiosta palveluntarjoajat voivat vapaasti kehittää ja käyttöönottaa uudenlaisia tietoturvaratkaisuja monenlaisiin käyttökohteisiin. Tutkimme tällaisten kredentiaalien hallintaa ja esitämme ratkaisuja kredentiaalien siirtämiseen laitteiden välillä, väliaikaiseen poistamiseen ja päivittämiseen. Olemme kehittäneet uudenlaisia menetelmiä, joiden avulla ulkoiset tahot voivat varmistua On-board Credentials -järjestelmässä talletettujen avainten ja salaisuuksien turvallisuudesta ja tällaisia kredentiaaleja käyttävien sovellusten luotettavuudesta. Analysoimme avointa asennusmallia ja osoitamme, että avoimuus ei vähennä järjestelmän turvallisuutta. Olemme toteuttaneet On-board Credentials -järjestelmän TrustZone-arkkitehtuuria tukeville mobiililaitteille. Meidän toteutuksemme on osa Nokian uusimpia Symbian-laitteita ja järjestelmän mukauttaminen uusille alustoille on parhaillaan käynnissä. On-board Credentials mahdollistaa uusien palveluiden turvallisen, helppokäyttöisen ja edullisen integroinnin mobiililaitteisiin. Ensimmäiset merkittävät palveluiden käyttöönotot ovat tällä hetkellä alkamassa. fi
dc.format.extent 186
dc.format.mimetype application/pdf
dc.language.iso en en
dc.publisher Aalto University en
dc.publisher Aalto-yliopisto fi
dc.relation.ispartofseries Aalto University publication series DOCTORAL DISSERTATIONS en
dc.relation.ispartofseries 49/2012
dc.relation.haspart [Publication1]: Kari Kostiainen, Elena Reshetova, Jan-Erik Ekberg and N. Asokan. Old, New, Borrowed, Blue - A Perspective on the Evolution of Mobile Platform Security Architectures. In Proceedings of the ACM Conference on Data and Application Security and Privacy (CODASPY), pages 13-24, February 2011.
dc.relation.haspart [Publication2]: Kari Kostiainen, Jan-Erik Ekberg, N. Asokan and Aarne Rantala. On-board Credentials with Open Provisioning. In Proceedings of the ACM Symposium on Information, Computer and Communications Security (ASIACCS), pages 104-115, March 2009.
dc.relation.haspart [Publication3]: Kari Kostiainen, N. Asokan and Alexandra Afanasyeva. Towards User-Friendly Credential Transfer on Open Credential Platforms. In Proceedings of the International Conference on Applied Cryptography and Network Security (ACNS), pages 395-412, June 2011.
dc.relation.haspart [Publication4]: Kari Kostiainen, Alexandra Dmitrienko, Jan-Erik Ekberg, Ahmad-Reza Sadeghi and N. Asokan. Key Attestation from Trusted Execution Environments. In Proceedings of the International Conference on Trust and Trustworthy Computing (TRUST), pages 30-46, June 2010.
dc.relation.haspart [Publication5]: Kari Kostiainen, N. Asokan and Jan-Erik Ekberg. Credential Disabling from Trusted Execution Environments. In Proceedings of the Nordic Conference in Secure IT Systems (Nordsec), pages 171-186, October 2010.
dc.relation.haspart [Publication6]: Kari Kostiainen, N. Asokan and Jan-Erik Ekberg. Practical Property-Based Attestation on Mobile Devices. In Proceedings of the International Conference on Trust and Trustworthy Computing (TRUST), pages 78-92, June 2011.
dc.relation.haspart [Publication7]: Kari Kostiainen and N. Asokan. Credential Life Cycle Management in Open Credential Platforms (Short Paper). In Proceedings of the ACM workshop on Scalable Trusted Computing (STC), pages 65-70, October 2011.
dc.subject.other Computer science en
dc.title On-board Credentials: An open credential platform for mobile devices en
dc.title Avoin malli avainten ja salaisuuksien turvalliseen hallintaan mobiililaitteissa fi
dc.type G5 Artikkeliväitöskirja fi
dc.contributor.school Perustieteiden korkeakoulu fi
dc.contributor.school School of Science en
dc.contributor.department Tietotekniikan laitos fi
dc.contributor.department Department of Computer Science and Engineering en
dc.subject.keyword security en
dc.subject.keyword credentials en
dc.subject.keyword trusted computing en
dc.subject.keyword mobile devices en
dc.subject.keyword tietoturvallisuus fi
dc.subject.keyword avainten ja salaisuuksien hallinta fi
dc.subject.keyword mobiililaitteet fi
dc.identifier.urn URN:ISBN:978-952-60-4598-6
dc.type.dcmitype text en
dc.type.ontasot Doctoral dissertation (article-based) en
dc.type.ontasot Väitöskirja (artikkeli) fi
dc.contributor.supervisor Aura, Tuomas, Professor
dc.opn Mitchell, Chris, Professor, Royal Holloway, University of London, UK
dc.rev Mannan, Mohammad, Assistant Professor, Concordia University, Canada
dc.rev McCune, Jonathan M., Dr., Carnegie Mellon University, USA
dc.date.defence 2012-05-25


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

My Account