a survery of approaches to adaptive securityの紹介
DESCRIPTION
Ahmed Elkhodary & Jon Whittle : "A Survey of Approaches to Adaptive Security", International Workshop on Software Engineering for Adaptive and Self-Managing System (SEAMS’07)TRANSCRIPT
Copyright 2012 GRACE Center All Rights Reserved.
A Survey of Approaches to Adaptive
Securityの紹介
Nobukazu Yoshioka
2 Copyright 2012 GRACE Center All Rights Reserved.
Survey Paper
A Survey of Approaches to Adaptive Security Ahmed Elkhodary & Jon Whittle (George mason University)
International Workshop on Software Engineering for Adaptive and Self-Managing System (SEAMS’07)
Contributions Adaptive Securityの対応度合いを評価するための6つの
Dimension(軸)を規定 Security Service:
Tolerance軸, Authorization軸, Authentication軸
Adaptation Model:
Computational Paradigm軸, Reconfiguration Scale軸, Conflict Handling軸
従来の提案(4事例)をこの尺度で評価
将来の研究の方向性を示す
MDD+Adaptation
3 Copyright 2012 GRACE Center All Rights Reserved.
Adaptive Securityの側面
Adaptive Security Serviceの評価基準
セキュリティのためのサービス:
1. Authentication(認証)
Identification(本人識別)とnon-repudiation(否認不可)を実現するためのサービス
2. Authorization(認可):リソースのアクセスの制御
Confidentiality(機密性)とIntegrity(完全性)を実現するためのサービス
3. Tolerance(Failureからの復帰するためのサービス)
Availability(可用性)を実現するためのサービス
分散DBなど
※発表者注:データやネットワークの暗号化サービス、署名サービス、鍵管理サービス(CA)、ログサービス、マルウェア検知サービスなどは考えないのか?
4 Copyright 2012 GRACE Center All Rights Reserved.
セキュリティサービスの観点でのAdaptation
Level
Authentication方法を脅威やユーザの信頼度に応じて 実行時に変更できる:パスワード、バイオ、IDカードなど
アクセス制御ポリシーを動的に変更できる:システム全体, ユーザ特化
Fault toleranceかつIntrusion tolerance(侵入に耐えられる)
5 Copyright 2012 GRACE Center All Rights Reserved.
Adaptive Methodの側面
Computational paradigmの評価基準 振る舞いの変更にどれだけ柔軟性があるか?
Reconfiguration Scaleの評価基準 変更できる範囲はどれだけか?
Conflict Handlingの評価基準 設定間の競合、矛盾をどこまで自動的に
解消できるか?
6 Copyright 2012 GRACE Center All Rights Reserved.
Computational paradigmの評価基準
1. Parameterization:動的に振る舞いをパラメータで変更
すべての変化をあらかじめ設計
2. コンポーネントベースで合成:動的に構成要素を組み換え
3. Reflection:振る舞い(実装)をモニターして修正
メタレベルの記述
4. アスペクト指向:変更を動的に織り込み Reflectionよりも開発効率と運用性が向上
7 Copyright 2012 GRACE Center All Rights Reserved.
Reconfiguration Scaleの評価基準
1. Single-unit:一か所のコンポーネントもしくはサービスのみ変更
2. Inter-unit:複数の構成を変更(※説明なし)
3. Architecture-wide:システムの構成要素間も変更
8 Copyright 2012 GRACE Center All Rights Reserved.
Conflict Handlingの評価基準
設定間の競合や目的の矛盾を検知して解消する能力
1. ユーザ駆動で競合を解消:エンジニアが決定
2. 自動で競合を解消:エンジニアの決定を埋め込み 直観に反したり、柔軟性に欠けることもある
3. インタラクティブに競合を解消 簡単な競合は自動で解決、複雑な競合はエンジニアに問い合わせ
Copyright 2012 GRACE Center All Rights Reserved.
Adaptive Application-Security
Approaches
4つの事例でAdaptationの度合いを評価
10 Copyright 2012 GRACE Center All Rights Reserved.
事例1:Extensible Security Infrastructure
モバイルプログラムのセキュリティポリシーの変更を可能にする基盤
論文:Brant Hashii, Scott Malabarba, Raju Pandey, Matt Bishop: Supporting reconfigurable security policies for mobile programs. Computer Networks 33(1-6): 77-93 (2000)
リソースへのアクセス制御ポリシーを変更
(event, condition, response)
動的に変更したポリシーに従ってリソースにアクセス許可
11 Copyright 2012 GRACE Center All Rights Reserved.
Extensible Security Infrastructure
Adaptation Level セキュリティサービスレベル
Adaptive authorization:アクセス制御を動的に変更可能 ☹ Authentication, Availabilityの対応はなし
✔
✔ ✔
✔
✔
✔ アクセス制御に矛盾があった場合は、ルールの優先順によって解決
12 Copyright 2012 GRACE Center All Rights Reserved.
事例2:Strata Security API
Strata: プログラム実行を命令ベースで変更可能なプラットフォーム Software Dynamic Translation (SDT)を応用
セキュリティ以外にも最適化やプロファイラーにも応用
特定のコードを置き換え OS (システムコール)レベル
13 Copyright 2012 GRACE Center All Rights Reserved.
Strata Security API
Adaptation Level
セキュリティサービスレベル ☹ 書こうと思えば何でも書けるが記述が低レベル
?
✔ ?
✔
✔
ワイルドカード記述ができない
コンポーネントの合成も書ける
☹
14 Copyright 2012 GRACE Center All Rights Reserved.
事例3:The Willow Architecture
動的制御のためのフレームワーク 故障やアタックされた機能を切り離すことにより
Survivabilityを実現
構成要素: 1. Control Loop:Monitor, Diagnose, Coordinate and
Reconfigureの機能を持つ 2. Proactive制御:管理者が設定を動的に変更可能 3. Reactive制御:有限状態遷移図に基づき、エラー
状態に遷移した時に振る舞いを自動変更 4. Priority Enforcer:複数のControl Loopによる設
定変更要求があった場合、要求に優先度をつけた後に、分散設定
5. 防衛機能:制御メカニズムや制御データを攻撃から防御
6. 通信機能:効率の良いイベント通知サービスを使った通信
15 Copyright 2012 GRACE Center All Rights Reserved.
The Willow Architecture
Adaptation Level セキュリティサービスレベル
Fault toleranceとIntrusion toleranceの両方を実現 ☹ AuthenticationとAuthorizationをどう変更するかは規定していない
✔
✔
✔
☹
コンポーネントの中を変更できない
コンポーネント間の関係を変更可能
✔ ✔
✔
16 Copyright 2012 GRACE Center All Rights Reserved.
事例4:Adaptive Trust Negotiation
Framework
動的なアクセス制御とトラスト交渉のためのフレームワーク
構成要素:
GAA-API:脅威レベルに応じてアクセス制御ポリシーを変更
TrustBuilder:証明書に基づくユーザの信頼度に応じて認証方式を変更
17 Copyright 2012 GRACE Center All Rights Reserved.
Adaptive Trust Negotiation Framework
アクセスできるかどうか判定
証明書で信頼度を決定
18 Copyright 2012 GRACE Center All Rights Reserved.
Adaptive Trust Negotiation Framework
Adaptation Level
セキュリティサービスレベル AuthenticationとAuthorizationを動的に変更
✔
✔
✔
☹
Threat-levelとSuspicion-levelで判断
信頼度に基づく制御により間接的貢献
✔ ✔ ?
19 Copyright 2012 GRACE Center All Rights Reserved.
Future Work
1. すべてのセキュリティサービスをサポート
2. Adaptationに関する運用性や再利用性の向上
3. Single-unit, inter-unit, architecture-wideの設定変更の統一性のある形式化
4. 自動化とインタラクティブな競合解消に関する生産性と柔軟性のトレードオフ分析
所感:
セキュリティサービスレベルを、非機能要求とそれを支える機能・サービスに置き換えることで、他の非機能要求への応用が可能だろう