Please use this identifier to cite or link to this item: http://www.repositorio.ufc.br/handle/riufc/48100
Title in Portuguese: SCUDO: Secure CloUd storage service for Detecting viOlations of security properties in a data sharing environment
Title: SCUDO: Secure CloUd storage service for Detecting viOlations of security properties in a data sharing environment
Author: Carvalho, Carlos André Batista de
Advisor(s): Andrade, Rossana Maria de Castro
Co-advisor(s): Castro, Miguel Franklin de
Keywords: Secure storage
Cloud security
Monitoring and auditing
Violation detection
Issue Date: 2018
Citation: CARVALHO, Carlos André Batista de. SCUDO: Secure CloUd storage service for Detecting viOlations of security properties in a data sharing environment. 2018. 109 f. Tese (Doutorado em Ciência da Computação) - Universidade Federal do Ceará, Fortaleza, 2018.
Abstract in Portuguese: Um serviço de armazenamento na nuvem implementa mecanismos de segurança para proteger os dados dos usuários. Devido às necessidades dos clientes e às ameaças existentes, o compartilhamento seguro de dados é uma questão importante destacada na literatura. Além disso, devido à perda de controle sobre a infraestrutura de nuvem, é essencial projetar mecanismos de segurança focados transparência nos serviços em nuvem, aumentando a confiança nos mesmos. Normalmente, os mecanismos de auditoria e monitoramento são usados para detectar violações de propriedades de segurança. A confidencialidade, integridade, freshness e write-serializability são as propriedades de segurança analisadas nesta pesquisa. Uma análise da literatura revela ataques que não são detectados pelas soluções existentes. Um broker pode ser utilizado para viabilizar a detecção de violações em tempo real. Contudo, é necessário identificar ataques de conluio (collusion attacks) resultantes de ações maliciosas desse broker. Além disso, a detecção de violações de integridade não tem sido tratada adequadamente, ignorando a possibilidade de usuários cujas permissões foram revogadas escreva arquivos usando chaves antigas. Similarmente, é possível que usuários revogados consigam ler arquivos, violando a confidencialidade dos dados. Por fim, a verificação de write-serializability deve identificar adequadamente os cenários de violação existentes. Neste contexto, este trabalho propõe um serviço de armazenamento seguro para computação em nuvem, denominado SCUDO, melhorando a detecção de violações enquanto permite o compartilhamento de dados. Esta detecção de violações é baseada no log das transações realizadas que é assinado para prover o não repúdio dessas transações. A avaliação do SCUDO é feita com base em uma modelagem formal utilizando Redes de Petri Coloridas (CPNs), que é essencial para avaliar a segurança da solução proposta, e em um protótipo implantado em uma infraestrutura de nuvem. Como resultado, o provedor não pode negar uma violação e os ataques são detectados o mais rápido possível, reduzindo o dano desses ataques. Então, os mecanismos de segurança existentes no SCUDO permitem que o provedor e o broker ofereçam garantias quanto às propriedades de segurança e mostrem evidências que são honestos.
Abstract: A cloud storage service implements security mechanisms to protect user data. Due to the customer needs and existing threats, the secure data sharing is a key issue highlighted in the literature. Moreover, due to the loss of control over the cloud infrastructure, it is essential to design security mechanisms that focus on the trust and transparency of the cloud services. The confidentiality, integrity, freshness and write-serializability are the security properties analyzed in this research. Usually, auditing and monitoring mechanisms are used to detect violations of security properties. However, an analysis of the literature reveals attacks that are not identified by existing solutions. Although a broker has been used to enable a real-time detection, it is necessary to identify collusion attacks resulted from malicious actions of this broker. The detection of integrity violations has not been properly addressed, ignoring the violations that result from the writing transactions performed by revoked users. Similarly, the reading by revoked users implies in confidentiality violations that must also be detected. Last, the verification of write-serializability violations should be effective, identifying properly the violation’s scenarios. Therefore, a secure storage service for cloud computing, called SCUDO, is proposed in this thesis to address these issues, improving the violation detection while allowing the data sharing. The detection of violations is based on the log of the performed transactions that is signed for purposes of non-repudiation. The evaluation of SCUDO is performed based on a formal model using Colored Petri Nets (CPNs) and a prototype deployed in a cloud infrastructure. The results show that the provider cannot deny a violation and attacks are detected as soon as possible, reducing the damage of an attack. Then, the security mechanisms at SCUDO can allow the provider and the broker to ensure security properties and show evidence that they are honest.
URI: http://www.repositorio.ufc.br/handle/riufc/48100
metadata.dc.type: Tese
Appears in Collections:DCOMP - Teses defendidas na UFC

Files in This Item:
File Description SizeFormat 
2018_tese_cabcarvalho.pdf7,51 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.