TU Darmstadt / ULB / TUprints

Behavior Compliance Control for More Trustworthy Computation Outsourcing

Alsouri, Sami (2013)
Behavior Compliance Control for More Trustworthy Computation Outsourcing.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Text
Final-rev67.svn000.tmp.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .

Download (2MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Behavior Compliance Control for More Trustworthy Computation Outsourcing
Language: English
Referees: Katzenbeisser, Prof. Dr. Stefan ; Bodden, Prof. Dr. Eric
Date: 20 June 2013
Place of Publication: Darmstadt
Date of oral examination: 2 August 2013
Abstract:

Computation outsourcing has become a hot topic in both academic research and industry. This is because of the benefits accompanied with outsourcing, such as cost reduction, focusing on core businesses and possibility for benefiting from modern payment models like the pay-per-use model. Unfortunately, outsourcing to potentially untrusted third parties' hosting platforms requires a lot of trust. Clients need assurance that the intended code was loaded and executed, and that the application behaves correctly and trustworthy at runtime. That is, techniques from Trusted Computing which are used to allow issuing evidence about the execution of binaries and reporting it to a challenger are not sufficient. Challengers are more interested in evidence which allows detecting misbehavior while the outsourced computation is running on the hosting platform.

Another challenging issue is providing a secure data storage for collected evidence information. Such a secure data storage is provided by the Trusted Platform Module (TPM). In outsourcing scenarios where virtualizations technologies are applied, the use of virtual TPMs (vTPMs) comes into consideration. However, researcher identified some drawbacks and limitations of the use of TPMs. These problems include privacy and maintainability issues, problems with the sealing functionality and the high communication and management efforts. On the other hand, virtualizing TPMs, especially virutalizing the Platform Configuration Registers (PCRs), strikes against one of the core principles of Trusted Computing, namely the need for a hardware-based secure storage.

In this thesis, we propose different approaches and architectures which can be used to mitigate the problems above. In particular, in the first part of our thesis we propose an approach called Behavior Compliance Control (BCC) to defines architectures to describe how the behavior of such outsourced computations is captured and controlled as well as how to judge the compliance of it compared to a trusted behavior model. We present approaches for two abstraction levels; one on a program code level and the other is on the level of abstract executable business processes.

In the second part of this thesis, we propose approaches to solve the aforementioned problems related to TPMs and vTPMs, which are used as storage for evidence data collected as assurance for behavior compliance. In particular, we recognized that the use of the SHA-1 hash to measure system components requires maintenance of a large set of hashes of presumably trustworthy software; furthermore, during attestation, the full configuration of the platform is revealed. Thus, our approach shows how the use of chameleon hashes allows to mitigate the impact of these two problems. To increase the security of vTPM, we show in another approach how strength of hardware-based security can be gained in virtual PCRs by binding them to their corresponding hardware PCRs. We propose two approaches for such a binding. For this purpose, the first variant uses binary hash trees, whereas the other variant uses incremental hashing.

We further provide implementations of the proposed approach and evaluate their impact in practice. Furthermore, we empirically evaluate the relative efficacy of the different behavioral abstractions of BCC that we define based on different real world applications. In particular, we examined the feasibility, the effectiveness, the scalability and efficiency of the approach. To this end, we chose two kinds of applications, a web-based and a desktop application, performing different attacks on them, such as malicious input attach and SQL injection attack. The results show that such attacks can be detected so that the application of our approach can increase the protection against them.

Alternative Abstract:
Alternative AbstractLanguage

Auslagerung (Outsourcing) von Geschäftsprozessen ist ein heißes Thema geworden, sowohl in der akademischen Forschung als auch in der Industrie. Dies ist wegen der Vorteile, die das Outsourcing mit sich bringt, wie z.B. Kostenreduzierung, Fokussierung auf das Kerngeschäft und die Möglichkeit von modernen Zahlungsmodellen zu profitieren, wie z.B. das Pay-per-Use-Modell.

Leider ist das Outsourcing zu nicht notwendigerweise vertrauenswürdigen Hosting-Platform erfordert viel Vertrauen. Kunden brauchen die Gewissheit, dass der beabsichtigte Code nicht nur geladen und ausgeführt wird, sondern auch dass sich der Code zur Laufzeit richtig und wie gewünscht verhält.

Das heißt, Techniken aus der Trusted Computing die angewendet werden, um Beweise über die Ausführung bestimmer Programme zu erstellen und zu einem Herrausforderer auszuliefern, sind nicht ausreichend. Viel mehr sind Herrausforderer daran interessiert, Missverhalten eines ausgelagerten Programms zu entdecken und entsprechend zu reagieren.

Ein weiteres relevantes Thema ist die Bereitstellung eines Laufzeit-sicheren Speichers, der zum Speichern von gesammelten Beweisdaten verwendet wird. Eine solche sichere Datenspeicherung wird bereitgestellt durch das Trusted Platform Module (TPM). In Outsourcing-Szenarien, in denen Virtualisierungstechnologien zum Einsatz kommen, werden virtuelle TPMs (vTPMs) benutzt um die Funktionalitäten eines wirklichen TPMs in virtualisierten Umgebungen zur Verfügung zu stellen. Jedoch haben Forscher einige Nachteile und Grenzen der Verwendung von TPM identifiziert. Zu diesen Problemen zählen Privatsphäre und Wartbarkeit Probleme, Probleme mit der Sealing-Funktionalität sowie der hohe Kommunikation und Management-Aufwand. Auf der anderen Seite, TPM- Virtualisierung, insbesondere Virtualisierung von PCRs (Plattform Configuration Register), stoßt gegen einen der wichtigsten Grundsätze der Trusted Computing, nämlich die Notwendigkeit für eine hardware-basierte sichere Aufbewahrung von Daten.

In dieser Arbeit präsentieren wir unterschiedliche Ansätze und Architekturen, die verwendet werden können, um die durch die oben genannten Probleme entstehenden Nachteile zu mildern. Im ersten Teil dieser Arbeit präsentieren wir einen Ansatz namens Behavior Compliance Control (BCC), die verschiedene Ansätze und Architekturen beinhaltet, die beschreiben, wie das Verhalten der ausgelagerten Berechnungen erfasst und gesteuert wird, sowie die Möglichkeit zur Beurteilung über die Übereinstimmung des registrierten Verhaltens mit einem vertrauenswürdigen Verhaltensmodell. Genauer, wir präsentieren Ansätze für zwei Abstraktionsebenen, einen auf eine Programm-Code-Ebene und einen anderen auf der Ebene der abstrakten ausführbaren Geschäftsprozesse.

Im zweiten Teil dieser Arbeit präsentieren wir unsere entwickelten Lösungen zu den oben genannten Problemen von TPMs und vTPMs. Wir haben festgestellt, dass die Verwendung von SHA-1 Hashfunktion zur Messung von Systemkomponenten zur Wartung von langen Listen von vertrauenswürdigen Software führt. Viel mehr wird die genaue Zusammensetzung der Konfiguration der Hosting-Platform bei der Ausführung vom Prozess der Remote Attestation bekanntgegeben. So zeigt unser Ansatz wie die Verwendung von Chamaleon Hashfunktionen es erlaubt, die Auswirkungen dieser beiden Probleme zu mildern. Auf der anderen Seite, um die Sicherheit der vTPMs zu erhöhen, zeigen wir in einem anderen Ansatz, wie die Stärke der Hardware-basierten Sicherheit für virtuelle PCRs durch Bindung ihrer Werte an die entsprechenden Hardware-PCRs zurückgewonnen werden kann. Wir entwickelten zwei Ansätze um eine solche Bindung zu realisieren; im ersten Ansatz verwenden wir binäre Hash-Bäume, während wir im zweiten Ansatz das inkrementelle Hashing nutzten.

Außerdem haben wir die vorgeschlagenen Ansätze prototypisch implementiert, um ihre Machbarkeit und Wirkung in der Praxis zu evaluieren. Darüber hinaus präsentieren wir eine empirische Bewertung der relativen Wirksamkeit der verschiedenen Verhaltens-Abstraktionen von BCC, die wir basierend auf reale Anwendungen erstellt haben. Insbesondere untersuchten wir die Machbarkeit, die Wirksamkeit, die Skalierbarkeit und Effizienz des BCC-Ansatzes. Zu diesem Zweck haben wir uns zwei Arten von Anwendungen ausgesucht, ein Web-basiertes und eine Desktop-Anwendung, auf die wir verschiedene Angriffe durchgefürt haben, wie z.B., Eingabe von bösartigen Inhalten und SQL-Injection-Angriffe. Die Ergebnisse zeigen, dass solche Angriffe mit Hilfe unseres Ansatzes erkannt werden können, so dass mehr Schutz gegen sie erreicht werden kann.

German
URN: urn:nbn:de:tuda-tuprints-35789
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Security Engineering
Date Deposited: 24 Sep 2013 09:38
Last Modified: 09 Jul 2020 00:31
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/3578
PPN: 332109135
Export:
Actions (login required)
View Item View Item