Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Dissertation |
| Scope | Discipline-based scholarship |
| Title | The Application Profile Model: A Security Model for Downloaded Executable Content |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Language |
|
| Institution | University of Zurich |
| Faculty | Faculty of Economics, Business Administration and Information Technology |
| Number of Pages | 128 |
| Date | 1999 |
| Abstract Text | With the introduction of Java the interest in transferring executable code over the Internet. First the downloaded executable content paradigm has been deployed for animations and active forms. Nowadays, with the introduction of the Network Computer there is a tendency to deploy the downloaded executable content paradigm as a distribution mechanism for general application programs in the Internet. Executing code downloaded from the Internet raises security issues beyond those found in operating systems. Therefore most systems that implement downloaded executable content offer additional security mechanisms to complement the mechanisms of the operating system. In this thesis a novel security model for downloaded executable content is developed. The application profile model is defined to merely grant the set of access rights needed by the application, the application profile. Without breaching security, the definition can be relaxed, which results in the definition of the weak application profile model. The issue of application profile selection is addressed and an algorithm is presented to select the application profile in the weak application profile model dynamically at runtime of an application. A prototype implementation demonstrates the feasibility of this approach. A method for code analysis to determine the set of access rights required for the execution of an application is developed as an alternative approach. Based on an analysis of the theoretical limitations of code analysis methods are discussed to approximate the set of access rights. The method of generalized constants is developed and applied to Java. The application profile model and code analysis are compared and combinations of both approaches are discussed. To define a security policy based on the application profile model a specification language is defined as an extension to the PLAS language, a general purpose policy language. The extension is defined in such a way that it can be integrated with other specification languages. The new model is studied in the context of a company environment and management strategies for a security policy for downloaded executable content are developed and evaluated. |
| Zusammenfassung | Mit der Einführung von Java stieg das Interesse an der Übertragung von ausführbarem Code über das Internet. Fand das Paradigma des ladbaren Code zunächst nur in Animationen und aktiven Formularen Verwendung, so zeigt der Network Computer eine Tendenz auf, dieses Paradigma allgemein für die Verteilung von Anwendungsprogrammen im Internet einzusetzen. Die Ausführung eines solchen Programms wirft neue Sicherheitsfragen auf. Im Unterschied zum Betriebssystem, das die Betriebsmittel vor unbefugten Zugriffen durch die Benutzer schützt, steht der Schutz des Benutzers vor unerwünschtem Zugriff auf seine Ressourcen im Vordergrund der Sicherheitsüberlegungen. Aus diesem Grund verfügen die meisten Systeme zusätzlich über eigene Sicherheitsmechanismen, die die Mechanismen des Betriebssystems ergänzen. Eine einfache Übertragung der Sicherheitsmodelle aus Betriebssystemen zeigt Schwächen bezüglich der Sicherheit oder der Ausführbarkeit allgemeiner Anwendungen. Vor diesem Hintergrund wird in dieser Arbeit ein Sicherheitsmodell für ladbaren Code entwickelt. Dazu werden zunächst die Sicherheitsmechanismen und -modelle existierender Systeme analysiert und klassifiziert. Ausgehend von einem Beispielszenario wird das application profile model (Applikationsmodell), das einer Anwendung nur die von ihr benötigten Zugriffsrechte einräumt, definiert. Dabei zeigt sich, dass die ursprüngliche Definition abgeschwächt werden kann, ohne die Sicherheit des Systems herabzusetzen. Für diese schwächere Form wird ein Verfahren angegeben, das das Problem der Auswahl des Anwendungsprofils dynamisch zur Laufzeit löst. Die Realisierbarkeit dieses Verfahrens wird anhand einer Implementation in Java gezeigt. Als alternativer Ansatz wird ein Verfahren zur Codeanalyse zur Bestimmung der von einem Programm benötigten Zugriffsrechte diskutiert. Ausgehend von den theoretischen Grenzen werden Verfahren untersucht, die Menge der Zugriffsrechte zu approximieren. Dabei wird das Verfahren der verallgemeinerten Konstanten (generalized constants) entwickelt und seine Anwendbarkeit auf Java untersucht. Applikationsmodell und Codeanalyse werden miteinander verglichen und Möglichkeiten der Kombination beider Ansätze analysiert. Den Anforderungen des Applikationsmodells an die Spezifikation der Sicherheitspolitik wird mit der Definition einer Spracherweiterung Rechnung getragen. Diese wird beispielhaft in die Sprache PLAS, eine allgemeine Sprache zur Beschreibung einer Sicherheitspolitik, integriert. Die Anwendbarkeit des Applikationsmodells wird anhand eines Beispielszenarios einer Unternehmung untersucht. Dabei werden Managementstrategien für die Sicherheitspolitik entwickelt und bezüglich der errichbaren Sicherheit, der Flexibilität und dem Implementierungsaufwand miteinander verglichen. |
| PDF File |
Download
|
| Export |
BibTeX
EP3 XML (ZORA)
|