Enforcing Role-Based Access Control with Attribute-Based Cryptography for Environments with Multi-Level Security Requirements

Loading...
Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Doctoral thesis (article-based) | Defence date: 2016-05-17

Date

2016

Major/Subject

Mcode

Degree programme

Language

en

Pages

164 + app. 80

Series

Aalto University publication series DOCTORAL DISSERTATIONS, 75/2016

Abstract

Access control in computer science defines how different active processes, called subjects, may perform abstract operations on (computing) resources, called objects. General access control enforcement includes a theoretical construct called a reference monitor, which is intended to monitor the access requests between subjects and objects. This dissertation researches the possibilities to replace reference monitors with cryptography, for reasons of implementation-level assurance and distribution of computation. An information security notion called multi-level security (MLS) binds official data confidentiality levels to trustworthiness of users such that, for example, users checked ("cleared") for some level should be able to securely access information classified up to their level, inside a system which also contains information classified to a higher level. Traditionally, only cryptography has been considered to have sufficient assurance for large scale MLS environments. However, cryptographic enforcement is rather rigid and limited in some respects. Ideally, cryptographically enforced access control should comply with modern access control management principles such as role-based access control (RBAC). Recent advances in public key infrastructure (PKI), such as attribute-based encryption (ABE) and signatures (ABS), enable more complex policies in access control as well. This dissertation investigates the possibilities to use ABE and ABS in enforcing access control cryptographically, according to modern RBAC principles. The main application we target is publish-subscribe environment for MLS documents. As ABE and ABS represent only one type of PKI authentication architecture, and attributes are elemental for RBAC support, we first research the question, whether the capability to support attributes in general is particular to the authentication architecture represented by ABE, and find that this is not the case. However, due to other benefits of the ABE type, we find that they are still superior to other types. We then present the main assumptions to our application environment and show, how XML-documents can be used to support the access control enforcement cryptographically and nevertheless allow a transition period from conventional PKI to ABE. The actual framework consists of a general model on how to represent different access operations, or permissions, in such a way that they can be cryptographically enforced, as well as XACML reference architecture-based models for implementing confidentiality and integrity policies using ABE and ABS, respectively. We also map different NIST-standardized RBAC-model elements to ABE and ABS functionalities. In the confidentiality enforcement model we note a controversy in the ABE security goal of user collusion prevention with MLS environment requirements, and introduce a scheme to overcome this securely.

Pääsynhallinta tietojenkäsittelytieteessä määrittelee, kuinka erilaiset subjekteiksi kutsutut aktiiviset prosessit voivat suorittaa abstrakteja operaatioita objekteiksi kutsutuille resursseille. Yleinen pääsynhallinnan valvonta tuntee teoreettisen käsitteen nimeltään referenssimonitori. Referenssimonitorin tulee valvoa pääsynhallintapyyntöjä subjektien ja objektien välillä. Tässä väitöskirjassa tutkitaan mahdollisuuksia korvata referenssimonitorit salausteknisin toimin. Tietoturvakäsite nimeltään monitasotietoturva (MLS) taas sitoo viralliset datan luottamuksellisuustasot käyttäjien luotettavuuteen niin, että tietylle tasolle selvitetyt käyttäjät voivat periaatteessa käsitellä oman tasonsa tietoa turvallisesti myös sellaisessa järjestelmässä, jossa on myös korkeamman tasoista tietoa. Perinteisesti vain salaustekniikoiden on katsottu olevan riittävän luotettavia laajamittaisiin MLS-ympäristöihin. Kuitenkin pääsynhallinnan kannalta salaustekninen valvonta tukee vain hyvin harvoja pääsynhallinnan oikeustyyppejä, ja vain melko yksinkertaisia käytänteitä. Parhaassa tapauksessa salausteknisen pääsynvalvonnan pitäisi mukautua moderneihin pääsynhallinnan periaatteisiin, kuten roolipohjaiseen pääsyn- hallinnan (RBAC) malleihin. Viimeaikaiset edistysaskeleet sellaisilla julkisen avaimen infrastruktuurin (PKI) alueilla, kuten attribuuttipohjainen salaus (ABE) ja attribuuttipohjaiset allekirjoitukset (ABS) mahdollistavat myös monimutkaisemmat käytänteet pääsynvalvonnassa. Tämän väitöskirjan aiheena onkin tarkemmin juuri ABE:n ja ABS:n mahdollisuuksien tutkiminen modernin RBAC:n mukaisen pääsynhallinnan malleissa ja arkkitehtuureissa. Pääasiallinen sovellusalue tutkimuksessa on nk. "julkaisija-tilaaja"-ympäristö, jossa käsitellään MLS-dokumentteja. Koska ABE ja ABS kuuluvat pääsääntöisesti pelkästään nk. identiteetteihin perustuvaan PKI autentikointiarkkitehtuuriin ja attribuutit ovat hyvin olennaisia RBAC-tuen kannalta, työssä osoitettiin myös, että attribuuttien tukeminen on mahdollista myös muissa kuin ABE:n arkkitehtuurissa. Työssä esitellään sovellusympäristön pääoletukset ja näytetään, kuinka XML-dokumenteilla voidaan tukea pääsynvalvonnan toteuttamista salausteknisesti, sallien kuitenkin siirtymävaihe perinteisestä PKI:stä ABE:n ja ABS:n suuntaan. Varsinainen viitekehys koostuu kolmesta päätuloksesta: erilaisten pääsynvalontaoikeuksien esittäminen siten, että niitä voidaan valvoa salausteknisesti, XACML-referenssiarkkitehtuurin mukainen esitys luottamuksellisuus- ja eheyskäytänteiden toteuttamisesta kryptografisesti, sekä NIST:n RBAC-standardin mukaisten elementtien kuvaaminen ABE- ja ABS-toiminnallisuuksiksi. Luottamuksellisuuskäytänteiden kohdalla kiinnitetään huomiota ristiriitaan ABE:n turvatavoitteissa ja MLS-ympäristöjen vaatimuksissa käyttäjien valtuuksien yhdistämisen osalta, ja esitetään salaustekninen ratkaisu ongelmaan.

Description

Supervising professor

Nyberg, Kaisa, Prof., Aalto University, Department of Information and Computer Science, Finland

Thesis advisor

Candolin, Catharina, Dr., Finnish Defence Forces, Finland

Keywords

multi-level security, RBAC, ABAC, MLS, ABE, ABS, functional encryption, monitasotietoturva, funktionaalinen salaus

Other note

Parts

  • [Publication 1]: Kiviharju, Mikko. Fuzzy Pairings-Based CL-PKC. In SAGA 2007, Series on Number Theory and Its Applications: Algebraic Geometry and Its Applications, Vol 5, Pages 168-187, 2008, (20 pages).
    DOI: 10.1142/9789812793430_0009 View at publisher
  • [Publication 2]: Kiviharju, Mikko. On Multi-Level Structured Content: A cryptographic key management-independent XML schema for MLS content. In Proceedings of Military Communications and Information Systems Conference - MCC 2012, Gdansk, Poland, October 8-9, 2012 (8 pages).
  • [Publication 3]: Kiviharju, Mikko. Towards Pervasive Cryptographic Access Control Models. In Proceedings of the International Conference on Security and Cryptography - SECRYPT 2012, Rome, Italy, July 24-27, 2012, pp. 239-244 (6 pages).
    DOI: 10.5220/0004042502390244 View at publisher
  • [Publication 4]: Kiviharju, Mikko. Cryptographic Roles in the Age of Wikileaks: Implementation Models for Cryptographically Enforced RBAC. In Proceedings of Military Communications Conference - MILCOM 2013, San Diego, CA, USA, November 18-20, 2013, pp. 1779-1788 (10 pages). DOI 10.1109/MILCOM.2013.301
  • [Publication 5]: Kiviharju, Mikko. RBAC with ABS: Implementation Practicalities for RBAC Integrity Policies. In Proceedings of the International Conference on Security and Cryptography - SECRYPT 2014, Vienna, Austria, August 28-30, 2014, pp. 500-509 (10 pages).
    DOI: 10.5220/0005122105000509 View at publisher
  • [Publication 6]: Kiviharju, Mikko. Attribute Pooling for Cryptographic Access Control: Enabling Cryptographical User-Terminal Policies for MLS-Content. In Proceedings of International Conference on Military Communications and Information Systems (ICMCIS 2015), Krakow, Poland, May 18-19, 2015, (12 pages).
    DOI: 10.1109/ICMCIS.2015.7158677 View at publisher

Citation