Abstract:
In den vergangenen Jahren haben sich Online Social Networks (OSNs) wie Facebook und Foursquare zu einer beliebten Möglichkeit der Kommunikation und des Teilens von Informationen unter Nutzern entwickelt.
OSNs sind virtuelle Communitys, die Informationen über die Nutzer und die zwischen ihnen bestehenden Beziehungen, wie z.~B. Freundschaften, enthalten. Zusätzlich dazu, dass eine Interaktion der Nutzer untereinander ermöglicht wird, bieten OSNs ihren Nutzern normalerweise verschiedene Arten von Dienstleistungen an, wie z.~B. die Abfrage nach Freunden innerhalb einer bestimmten Entfernung. ... mehrUm auf diese Dienstleistungen zugreifen zu können, kann es sein, dass Nutzer darum gebeten werden, in den OSN-Systemen eine Reihe von Informationen, wie z.~B. ihre physische Position, zu speichern. Da die meisten der in OSNs gespeicherten Informationen zu deren Nutzern privater Natur sind, ist es von wesentlicher Bedeutung, die Informationen vor unbefugtem Zugriff zu schützen, um Geheimhaltungsprobleme zu vermeiden. Zu diesem Zweck verwenden OSNs Zugriffskontrollsysteme. Diese Systeme haben drei Hauptkomponenten, nämlich die Zugriffskontrollrichtlinien, das Zugriffskontrollmodell und den Autorisierungsmechanismus. Die Zugriffskontrollrichtlinien ermöglichen es Nutzern zu spezifizieren, wer auf deren Ressourcen zugreifen darf. Das Zugriffskontrollmodell bietet die Syntax und Semantik, um die Zugriffskontrollrichtlinien zu formalisieren. Die formale Repräsentation der Zugriffskontrollrichtlinien in einem Zugriffskontrollmodell wird als Autorisierung bezeichnet. Der Autorisierungsmechanismus, welcher von den OSN-Anbietern verwaltet wird, setzt die Autorisierungen durch.
Obwohl in der Literatur verschiedene Zugriffskontrollsysteme vorgeschlagen wurden, gibt es zwei Hauptprobleme in Bezug auf diese Systeme, die sich auf die Verbreitung von OSNs auswirken können. Das erste Problem bezieht sich auf die Flexibilität von Zugriffskontrollmodellen. Eine der größten Herausforderungen von OSNs besteht darin, das Teilen von Informationen unter ihren Nutzern zu fördern. Nutzer neigen normalerweise dazu, Informationen nur mit Nutzern zu teilen, die bestimmte Bedingungen erfüllen; andernfalls tun sie es nicht. Zu diesem Zweck sollten Zugriffskontrollsysteme den Spezifizierern der Richtlinien Flexibilität bieten, damit diese die Bedingungen bezüglich des Zugriffs auf ihre Daten ausdrücken können. Wenn Nutzer entscheiden, wer auf ihre Ressourcen zugreifen darf, hängen die Zugriffsbedingungen von sozialen Faktoren und menschlichem Verhalten ab. Studien in Fachgebieten wie der Psychologie und der Soziologie haben nachgewiesen, dass Menschen zwar ein Selbstinteresse haben, oftmals jedoch gegenseitig von dieser Haltung abweichen. Gegenseitigkeit bedeutet, dass Menschen als Antwort auf freundliche Handlungen kooperativer werden. Daher ist Gegenseitigkeit eine starke Determinante in Bezug auf menschliches Verhalten. Bestehende Zugriffsrichtlinien erfassen dieses Phänomen der Gegenseitigkeit jedoch nicht, was dazu führen kann, dass Nutzer davon abgehalten werden, Informationen zu teilen.
Das zweite Problem besteht darin, dass Nutzer OSN-Anbietern dahingehend vertrauen müssen, dass sie ihre Daten schützen, wenn sie die Autorisierungen durchsetzen. Aktuelle Datenschutzverletzungen haben die Vertrauenswürdigkeit der Dienstleistungsanbieter in Frage gestellt. Scheinbar steigert der zunehmende wirtschaftliche Gewinn, der aus dem Verkauf personenbezogener Daten erzielt wird, die Versuchung der Anbieter, Betrug zu begehen.
In dieser Dissertation werden Techniken und Modelle entwickelt, um auf diese zwei Probleme einzugehen. Die Arbeit ist in drei Abschnitte aufgeteilt.
Der erster Beitrag behandelt das Flexibilitätsproblem von Zugriffskontrollmodellen. Hier schlagen wir die Syntax und Semantik einer neuen Art von Autorisierung vor, die als gegenseitig bezeichnet wird und es ermöglicht, wechselseitiges Verhalten zu modellieren.
Gegenseitigkeit kommt im Rahmen der Zugriffskontrolle zum Zuge, wenn Personen jenen Nutzern den Zugriff auf ihre Ressourcen gewähren, die ihnen erlauben, das Gleiche zu tun. Wir verwenden standortbasierte Dienstleistungen als Beispiel für den Einsatz gegenseitiger Autorisierungen. Zu diesem Zweck schlagen wir zwei Ansätze vor, um gegenseitige Autorisierungen in diese Dienstleistungen zu integrieren. Darüber hinaus weisen wir die Stimmigkeit beider Ansätze nach und bestimmen auf dem Wege von Komplexitätsanalysen, unter welchen Bedingungen jeder Ansatz jeweils leistungsfähiger ist als der andere.
Unsere zweiten und dritten Beiträge gehen aus zwei verschiedenen Blickwinkeln auf das Misstrauen von Nutzern bezüglich der Dienstleistungsanbieter ein. Unser zweiter Beitrag erörtert das Szenario, in welchem der Nutzer, d. h. die Einheit, welche Abfragen von Daten durchführen möchte, auch Eigentümer der Daten ist.
Aufgrund von Ressourcenbeschränkungen möchte der Nutzer die Daten jedoch nicht allein verwalten. Er möchte dies an einen Dienstleistungsanbieter auslagern, um bei einer Abfrage einen Teil der Daten abrufen zu können, welche der Durchführung der Abfrage Genüge leisten.
In diesem Fall besteht kein Bedarf an Zugriffsrichtlinien, da es einen einzelnen Nutzer gibt, der Eigentümer der Daten ist. Daher kann in diesem Szenario das Vertrauensproblem bezüglich Dienstleistungsanbietern auf die Geheimhaltung ausgelagerter Daten reduziert werden.
Außerdem ist es für den Nutzer wichtig, in der Lage zu sein, eine Anpassung zwischen Geheimhaltung und Leistung vorzunehmen, da die Abfrage nutzerseitig, unter Verwendung des erhaltenen Datenabschnitts, berechnet wird und weil eine negative Korrelation zwischen Geheimhaltung und Leistung besteht. Diese Art von Szenario findet aufgrund der wirtschaftlichen und organisatorischen Vorteile von „Database-as-a-Service“ oft bei Startup-Unternehmen Anwendung. Insbesondere in diesem Bereich weisen viele Daten eine Graphstruktur auf, z.~B. Protein-Netzwerke, Straßen-Netzwerke und Stromnetz-Netzwerke.
Hier schlagen wir einen Gruppierungsansatz für die sichere Auslagerung von Daten mit Graphstrukturen vor, wobei nachweisbare Geheimhaltungsgarantien geboten werden. Unser Ansatz ermöglicht es Nutzern, Anpassungen zwischen Ebenen von Geheimhaltung und Leistung vorzunehmen. Zusätzlich entwickeln wir zur Erleichterung der Planung von Abfragen ein Modell, welches das Verhalten unseres Algorithmus vorhersagen kann.
Unser dritter Beitrag berücksichtigt den Fall, in dem es einem Nutzer nicht ermöglicht wird, auf Daten zuzugreifen, die zur Durchführung von Abfragen nötig sind. Die Nutzer haben jedoch Zugriff auf die Ergebnisse der Abfrage bezüglich der Daten. In diesem Szenario gibt es typischerweise mehrere Nutzer, wobei jeder einen anderen Teil der Daten besitzt, und jeder Nutzer auf Basis von spezifizierten Zugriffsrichtlinien auf Abfrageergebnisse bezüglich der Daten zugreifen kann, die anderen gehören. Dann muss der OSN-Anbieter die erforderliche Kernberechnung durchführen, und der Nutzer kann nur auf das Ergebnis von Dienstleistungen zugreifen, die vom OSN geboten werden. Für dieses Szenario entwickeln wir zwei Methoden, welche bestehende Verschlüsselungsschemata kombinieren, um es Nutzern von OSNs zu ermöglichen, Abfragen bezüglich Freunden in einer bestimmten Entfernung durchzuführen. Beide Ansätze beinhalten eine Aufhebungsfunktion und bieten Geheimhaltungsgarantien unter der Annahme geheimer Absprachen, d. h. ein Gegenspieler kann mit dem Dienstleistungsanbieter zusammenspielen.
Daneben bieten wir Komplexitätsanalysen unserer Ansätze, um diese bewerten und vergleichen zu können. Unsere Analysen teilen uns mit, welcher Ansatz in jeder Einheit, die in dem System involviert ist, leistungsfähiger ist.
Diese Dissertation beinhaltet eine umfassende experimentelle Analyse all unserer Ansätze auf Basis von synthetischen und realen Datensätzen, welche die Wirksamkeit unserer Methoden bestätigen.
Abstract (englisch):
In the last years, Online Social Networks (OSNs) like Facebook and Foursquare have become a popular way to communicate and share information between users. OSNs are virtual communities, which contain information about the users and the relationships existing between them, e.g., friends.
In addition to allowing interaction between users, OSNs usually offer different kinds of services to their users, e.g., querying friends within a given distance. To be able to access these services, users may be required to store in the OSN systems a variety of information such as their physical positions. ... mehr
Since most of the information stored in OSNs about their users is private, it is essential to protect the information from unauthorized access to avoid secrecy issues. For this purpose, OSNs use access control systems. These systems have three main components, namely, access control policies, access control model, and authorization mechanism. The access policies allow users to specify who can access their resources. The access control model provides the syntax and semantics to formalize access control policies. The formal representation of access control policies in an access control model are called authorizations. The authorization mechanism, which is managed by the OSN providers, enforce the authorizations.
Although different access control systems have been proposed in the literature, there are two main open issues concerning these systems that can influence the spread of OSNs.
The first issue is related to the flexibility of access control models. One of the major challenges of OSNs is to promote information sharing among their users. Users usually tend to share information only with users who fulfill certain conditions; otherwise, they do not.
To this end, access control models should provide flexibility to the policy specifiers by allowing them to express conditions on access to their data.
When users decide who may access their resources, the access conditions depend on social factors and human behavior.
Studies in fields like psychology and sociology have revealed that, although humans are self-interested, they often deviate from this attitude reciprocally. Reciprocity means that, in response to friendly actions, people are more cooperative. Hence, reciprocity is a powerful determinant of human behavior.
However, existing access policies do not capture this reciprocity phenomenon, which may restrain users from sharing information.
The second issue is that users have to trust the OSN providers to protect their data by enforcing the authorizations. However, recent privacy breaches have put into question the trustworthiness of the service providers.
The increasing economic profit obtained from selling private data increases the temptation of the providers to commit fraud.
In this thesis, we develop techniques and models to address these two issues. Our work is divided into three parts.
Our first contribution deals with the flexibility issue of access control models. Here, we propose and define the syntax and semantics of a new type of authorization, called mutual, which allows to model reciprocal behavior.
Reciprocity comes into play with access control when persons grant access to their resources to users that allow them the same. We use location-based services as an example to deploy mutual authorizations. To this end, we propose two approaches to integrate mutual authorizations into these services. Moreover, we prove the soundness of both approaches and determine, by means of complexity analyses, under which conditions each approach performs better than the other.
Our second and third contributions address the distrust of users toward the service providers from two different angles. Our second contribution considers the scenario in which the user, i.e., the entity who wants to perform queries over the data, is also the data owner.
However, due to resource constraints, the user does not want to maintain the data by himself. He wants to outsource it to a service provider and to be able to retrieve, given a query, a portion of the data that satisfies the query computation.
In this case, since there is a single user, who owns the data, there is no need of access policies. Therefore, in this scenario, the problem of trust in service providers can be reduced to secretizing the outsourced data.
In addition, since the query is computed at the user-side, using the received data portion, and because there is a negative correlation between secrecy and performance, it is important for the user to be able to adjust between secrecy and performance. This kind of scenario often applies to start-ups due to the economic and organizational advantages of database\-as-a-service. Especially in this sector, many data exhibit a graph structure, e.g., protein networks, road networks and power-grid networks.
Here, we propose a bucketization approach for secure outsourcing of graph- structured data that offer provable secrecy guarantees. Our approach allows users to adjust between the levels of secrecy and performance. In addition, to facilitate query planning, we develop a model that can predict the behavior of our algorithm.
Our third contribution considers the case in which the user is not allowed to access the data needed to compute queries. However, users are allowed to access query results over the data. In this scenario, typically, there are multiple users, each user owns a different portion of the data, and every user can access to query results over data owned by others based on the specified access policies. Then, the OSN provider has to perform the core computation needed, and the user gets access only to the result of the services provided by the OSN. For this scenario, we develop two methods, which combine existing encryption schemes, to allow users of OSNs to query friends within a given distance. Both approaches include a revocation feature and provide secrecy guarantees under collusion assumption, i.e., an adversary can collude with the service provider.
Besides, to evaluate and compare the performance of our approaches, we provide complexity analyses of them. Our analyses tell us which approach performs better at each entity involved in the system.
This dissertation includes an extensive experimental analysis of all our approaches based on synthetic and real-world datasets, which confirm the effectiveness of our methods.
