Policy-Überwachung mit besonderer Betrachtung unvollständiger

Seminararbeit
Policy-Überwachung mit
besonderer Betrachtung
unvollständiger Logs
Tobias Görgen
27. Januar 2014
Gutachter: Prof. Dr. Jan Jürjens
Dr. Sven Wenzel
Prof. Dr. Jan Jürjens Lehrstuhl 14 Software Engineering
Fakultät Informatik
Technische Universität Dortmund
Otto-Hahn-Straße 14
44227 Dortmund
http://www-jj.cs.uni-dortmund.de/secse
Tobias Görgen
[email protected]
Matrikelnummer: 133522
Studiengang: Master Informatik
Seminar Sicherheit und Softwareengineering
Thema: Policy-Überwachung mit besonderer Betrachtung unvollständiger Logs
Eingereicht: 27. Januar 2014
Betreuer: Thorsten Humberg
Prof. Dr. Jan Jürjens Lehrstuhl 14 Software Engineering
Fakultät Informatik
Technische Universität Dortmund
Otto-Hahn-Straße 14
44227 Dortmund
i
ii
iii
Ehrenwörtliche Erklärung
Ich erkläre hiermit ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig angefertigt habe; die aus fremden Quellen direkt oder indirekt übernommenen Gedanken
sind als solche kenntlich gemacht.
Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und auch noch
nicht veröffentlicht.
Dortmund, den 27. Januar 2014
Tobias Görgen
iv
INHALTSVERZEICHNIS
v
Inhaltsverzeichnis
1 Einleitung
2 Der Reduce-Algorithmus
2.1 Logik des Algorithmus . . . . . . . . .
2.1.1 Definition . . . . . . . . . . . .
2.1.2 Beispiel . . . . . . . . . . . . .
2.2 Teilstrukturen und deren Semantik . .
2.2.1 Definition Teilstruktur . . . . .
2.2.2 Semantik . . . . . . . . . . . .
2.3 Der Algorithmus . . . . . . . . . . . .
2.3.1 Definition des Algorithmus . . .
2.3.2 Anwendung auf ein Beispiel . .
2.3.3 Eigenschaften des Algorithmus .
2.4 Implementierung . . . . . . . . . . . .
2.5 Zwischenfazit . . . . . . . . . . . . . .
1
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3 Temporale Logiken als Mittel zur Überwachung von Policys
Laufzeit
3.1 Grundlagen: Lineare temporale Logik . . . . . . . . . . . . . . . .
3.2 Ansätze zur Erweiterung der LTL . . . . . . . . . . . . . . . . . .
3.2.1 Metrische temporale Logik M T L . . . . . . . . . . . . . .
3.2.2 Temporale Prädikatenlogik LCV . . . . . . . . . . . . . . .
3.2.3 Lineare temporale Logik ALC . . . . . . . . . . . . . . . .
3.3 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
3
. 3
. 3
. 4
. 5
. 5
. 5
. 6
. 7
. 8
. 9
. 10
. 11
zur
.
.
.
.
.
.
.
.
.
.
.
.
13
13
14
14
15
15
15
4 Policy-Spezifizierung sowie -Analyse
17
4.1 Ansatz mit Identifizierung des Verursachers . . . . . . . . . . . . . . 17
4.2 PrivacyLFP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.3 HIPAA-Formulierung mittels Prolog-Ansatz . . . . . . . . . . . . . . 18
5 Zusammenfassung und Fazit
21
Literaturverzeichnis
23
vi
INHALTSVERZEICHNIS
KAPITEL 1. EINLEITUNG
1
1
Einleitung
In Zeiten, in denen Technologie immer mehr Einfluss auf das Leben der Menschen
nimmt und besonders auch immer weiter in Bereiche eindringt, in denen sie nicht beheimatet ist, sondern nur als Hilfsmittel benutzt wird, wächst auch stetig der Wunsch
nach Datenschutz und besonders nach einheitlichen Richtlinien (im weiteren Verlauf
der Arbeit als Policys bezeichnet). Besonders in Bereichen in denen sehr sensible private Daten vorherrschen und übermittelt werden, muss es klare, die Daten schützende Regelungen geben. Solche Bereiche sind zum Beispiel der Gesundheitssektor oder
der Finanzsektor. Patientendaten, wie Informationen über Behandlungen oder die
Krankenhistorie einer Person, sind hochgradig persönliche Daten und dürfen nicht
einfach weitergegeben werden. Durch das Wachstum der Informationstechnologie ist
das Übermitteln von Krankenakten erheblich vereinfacht worden. So ermöglichen es
beispielsweise E-Mails innerhalb von Sekunden eine große Menge Daten von Krankenhaus zu Krankenhaus zu schicken. Ob eine solche Transaktion immer notwendig
oder gar gestattet ist, ist eine wichtige Frage, die der Datenschutz klären muss.
Auf Grund dieser Herausforderung hat beispielsweise die US-Regierung im Jahr 1996
den The Health Insurance Portability and Accountability Act of 1996“([Con96])
”
verabschiedet, welcher umfangreiche Policys für den Umgang mit privaten Daten im
Gesundheitssektor festlegte. Für den Finanzsektor folgte im Jahr 1999 der Gramm”
Leach–Bliley Act“([Con99]). Aufgrund des Umfangs dieser Policys entstand der
Wunsch Verstöße gegen diese automatisiert zu erkennen, sprich es gab Bedarf für
eine automatisierte Überwachung der Einhaltung.
Diese Ausarbeitung beschäftigt sich mit der Überwachnung von eben solchen Policys. Ein Algorithmus, der speziell auf den HIPAA zugeschnitten ist, ist hierbei
der Reduce-Algorithmus aus Policy Auditing over Incomplete Logs: Theory, Im”
plementation and Applications“[GJD11]. Nach dieser Einleitung wird er im Details
besprochen und es wird erläutert, was die Vorzüge dieses Algorithmus sind. Der
Reduce-Algorithmus zielt dabei besonders auf die Überwachung von unvollständigen Logs ab, sprich Log-Daten, in denen gewisse Informationen aus unterschiedlichen
Gründen noch nicht vorhanden sind. In der Realität sind solche unvollständigen Logs
weit verbreitet, wobei die Gründe für solche Unvollständigkeiten unterschiedlich sein
können. Deshalb hat diese Problemstellung eine besondere praktische Relevanz. Der
Reduce-Algorithmus geht dabei iterativ vor und hat als Ziel eine Policy immer weiter zu reduzieren, bis eine Verletzung der Policy auftaucht oder die Einhaltung der
Policy bestätigt werden kann.
Im darauf folgenden Abschnitt wird sich mit anderen Ansätzen aus der wissenschaftlichen Literatur beschäftigt, die auf dem Einsatz von linearen temporalen Logiken
beziehungsweise Erweiterungen darauf basieren. Hier werden insbesondere drei An-
2
sätze besprochen, die die weit verbreitete lineare temporale Logik als Basis benutzen
und erweitern, um Logs zur Laufzeit auszuwerten, was ein Unterschied zum ReduceAlgorithmus darstellt. Quellen für diese drei Ansätze sind insbesondere Monitoring
”
Algorithms for Metric Temporal Logic Specifications“[TR05], Run-Time Checking
”
of Dynamic Properties“[Sok+06] und Runtime Verification Using a Temporal Des”
cription Logic“[BBL09].
Im nächsten Abschnitt wird sich dann nochmal mit Methoden zur Policy-Spezifizierung auseinander gesetzt. Unter anderem wird ein Algorithmus aus Privacy and
”
Utility in Business Processes“[Bar+07] vorgestellt, der neben einer Policyverletzung
auch den Verursacher eben jener identifizieren kann. Außerdem erfolgt noch eine
kurze Vorstellung der P rivacyLF P 1 , welches die Logik ist, die von den Autoren des
Reduce-Algorithmus entwickelt wurde zur Formalisierung von Policys im amerikanischen Gesundheitssystem. Diese wurde in Experiences in the Logical Specification
”
of the HIPAA and GLBA Privacy Laws“[DeY+10] entwickelt und die Anwendung
auf eben jene Policys illustriert. Als alternativer Ansatz zur Formalisierung einer
Policy wird der Ansatz aus A Formalization of HIPAA for a Medical Messaging
”
System“[LMS07] dargestellt, der als Basis Formeln aus der logischen Programmiersprache Prolog benutzt.
Zum Schluß wird ein Fazit gezogen und die vorgestellten Techniken noch einmal
miteinander in Beziehung gesetzt.
1
Privacy Fixed Point Logic
KAPITEL 2. DER REDUCE-ALGORITHMUS
2
3
Der Reduce-Algorithmus
In diesem Kapitel wird der Reduce-Algorithmus aus der Primärquelle [GJD11] besprochen. Der Reduce-Algorithmus soll dabei besonders zwei praxisrelevante Probleme lösen, welche auch im Zusammenhang mit den HIPAA und GLBA-Policys
auftauchen. Diese sind zum einen unvollständige Logs und zum anderen Policys
mit unendlichen Domänen. Der Algorithmus ist durch Ideen der logischen Programmierung inspiriert, in welchen quantifizierte Formeln durch gewisse Bedingungen
beschränkt werden. Im ersten Teil wird die Idee des Algorithmus wiedergegeben
und die Logik vorgestellt, auf welcher der Algorithmus arbeitet. Das Ganze wird
anhand eines übergreifenden Beispiels veranschaulicht. Daraufhin wird sich sowohl
mit der räumlichen und zeitlichen Komplexität auseinander gesetzt, als auch mit
Faktoren wie Terminierung, Korrektheit und Minimalität. Zusätzlich findet eine Betrachtung der tatsächlichen Implementierung des Algorithmus statt. Hierbei wird
auf die unterschiedlichen Komponenten wert gelegt, die die Implementierung bilden.
2.1 Logik des Algorithmus
In diesem Abschnitt wird die Logik des Algorithmus dargestellt. Zuerst wird diese
Logik definiert und anschließend wird ein Beispiel zum besseren Verständnis gegeben.
(vgl [GJD11, S.2])
2.1.1 Definition
Der Reduce-Algorithmus ist ein iterativer Algorithmus. Das bedeutet, er verarbeitet
eine Policy zu einer neuen Policy und reduziert diese dabei so weit wie die vorhandenen Informationen es zulassen. Hierbei wird erwartet, dass die Policy in Form einer
Prädikatenlogik erste Stufe dargestellt werden kann, die aus folgenden Elementen
besteht:
Atome
P := p(t1 , . . . , tn )
Formeln
ϕ := P |>|⊥|ϕ1 ∨ ϕ2 |ϕ1 ∧ ϕ2 |∀~x.(c ⊃ ϕ)|∃~x.(c ∧ ϕ)
Restriktionen c := P |>|⊥|c1 ∨ c2 |c1 ∧ c2 |∃x.c
Prädikate p sind hierbei Relationen zwischen Termen, während Terme wiederum
Variablen und Konstanten darstellen oder zu uninterpretierten Funktionssymbolen
hinzugezogen werden. Ein Prädikat wird einer Liste von Termen t1 , . . . , tn zugeordnet. Die bekannten logischen Operatoren haben hier ihre gewöhnliche Bedeutung.
Allerdings werden die Quantoren durch den Einsatz von Restriktionen auf eine ge-
4
2.1. LOGIK DES ALGORITHMUS
wisse Form beschränkt. ∀~x.(c ⊃ ϕ)1 wird wahr definiert genau dann, wenn alle
Instanzen von ~x, die die Restriktion c befriedigen, auch ϕ befriedigen. Genau so
ist ∃~x.(c ∧ ϕ) wahr, genau dann wenn eine Belegung ~x existiert, die sowohl c als
auch ϕ wahr macht. Um die Terminierung des Algorithmus zu gewährleisten, wird
zusätzlich benötigt, dass nur eine endliche Anzahl von Substituten für quantifzierte
Variablen die Restriktionen wahr machen.
In der Logik wird aus technischen Gründen auf Negationen verzichtet. Im Gegenzug
wird angenommen, dass es zu jedem Prädikat p ein duales Prädikat p, gibt mit:
p(t1 , . . . , tn ) = > ⇔ p(t1 , . . . , tn ) = ⊥. Daraus wird ein duales ϕ definiert, was sich
analog zu der klassischen Negation verhält. So gilt beispielsweise das De Morgansche
Gesetz oder die Umkehr von Quantoren bei Einsatz der dualen Formel.
Um eine zeitliche Komponente einzufügen wird aus der Domäne von ganzen Zahlen
durch τ ein Zeitpunkt in einem Prädikat dargestellt, an dem ein mögliches Ereignis
stattgefunden haben kann. Sowohl LTL2 als auch die Erweiterung TPTL3 können in
diese Logik überführt werden, damit wird sich aber später weiter beschäftigt. (vgl
[GJD11, S.2])
2.1.2 Beispiel
Da der Algorithmus insbesondere für Policys im amerikanischen Gesundheitssystem
entwickelt wurde findet das Beispiel auch im Universum des Gesundheitssystem
statt. Die zu erstellende Policy sieht in Sprachform ausgedrückt wie folgt aus. Eine
Entität darf den Gesundheitsbericht (privat) nur an eine andere Entität schicken,
wenn die empfangende Entität der Arzt des Individuums und der Verwendungszweck
die Behandlung ist oder wenn das Individuum der Übertragung vorher zugestimmt
hat. Diese Aussage umgewandelt in die Logik sieht wie folgt aus:
ϕpol =
∀p1 , p2 , m, u, q, t, τ.(sende(p1 , p2 , m, τ ) ∧ zweck(m, u) ∧ markiert(m, q, t))
⊃ attr in(t, privat) ∨ (arztV on(p2 , q, τ ) ∧ zweck in(u, Behandlung))
∨ ∃τ 0 .(τ 0 < τ ∧ hatZugestimmt(q, sendeHandlung(p1 , p2 , (q, t)), τ 0 ))
Die Formel ist auf den ersten Blick sicherlich nicht sehr einsichtig. Deshalb wird
sie nun im Details betrachtet: Am Anfang der Formel befindet sich der Allquantor.
Hier stehen p1 und p2 für die schickende und die empfangende Entität. Die Variable
m steht für eine Nachricht. u stellt den Sendezweck dar und q ist das Indivduum
dessen Informationen verschickt werden. t ist ein Attribut mit dem eine Nachricht
versehen sein kann.
Darauf folgt das Prädikat sende(p1 , p2 , m, τ ), welches wahr ist, wenn im Log ein
Eintrag steht, der besagt, dass die Nachricht m von Entität p1 zu p2 zum Zeitpunkt
τ geschickt wurde. Das Prädikat zweck(m, u) wird wahr, wenn die Nachricht m mit
dem Zweck u versehen ist. Das Prädikat markiert(m, q, t) heißt, dass die Nachricht
m mit dem Attribut t von Individuum q markiert ist. Die beiden Prädikate attr in
und zweck in sind spezielle Prädikate, die davon ausgehen, dass die Attribute und
Zwecke eine Hierarchie haben. So ist zum Beispiel das Attribut Medikation im Attri1
Mit ⊃ wird in [GJD11] die Implikation bezeichnet, statt dem oft benutzten Pfeil →
Lineare temporale Logik
3
Gezeitete lineare temporale Logik
2
KAPITEL 2. DER REDUCE-ALGORITHMUS
5
but Krankengeschichte enthalten (also ist attr in(M edikation, Krankengeschichte)
wahr). Für den Zweck wäre ein Beispiel: zweck in(Operation, Behandlung). Das
Prädikat arztV on(p2 , q, τ ) ist wahr, wenn p2 Arzt von q zum Zeitpunkt τ ist. Zu guter Letzt bedeutet hatZugestimmt(q, sendeHandlung(p1 , p2 , (q, t)), τ 0 ), dass q der
Sendehandlung zum Zeitpunkt τ 0 zugestimmt hat.
In Worten formuliert kann man die Policy also zusammenfassen: Wenn p1 an p2
Nachricht m zum Zeitpunkt τ sendet, dann ist das Attribut t nicht privat oder p2
ist zu dem Zeitunkt Arzt von q oder q hat dem Senden vorher zugestimmt.
Die Werte von Prädikaten können auf unterschiedliche Art und Weise ermittelt
werden. Möglich sind zum Beispiel Nutzereingaben oder Werte in Datenbanken, die
sagen, ob ein Prädikat mit den passenden Eingaben wahr ist. Genauer betrachtet
wird dies im Abschnitt über die Implementierung des Algorithmus. (vgl [GJD11,
S.3])
2.2 Teilstrukturen und deren Semantik
Nachdem im vorherigen Abschnitt die Logik präsentiert wurde, auf welcher der
Reduce-Algorithmus arbeitet, wird sich in diesem Kapitel mit Teilstrukturen auseinandergestzt. Teilstrukturen sind hierbei die Informationen, die der Algorithmus
benötigt, um eine Policy zu reduzieren.
2.2.1 Definition Teilstruktur
Sei D eine (unendliche) Domäne von Termen, dann heißt L Teilstruktur, wenn es
eine Abbildung von den Atomen über D auf die Menge {tt, f f, uu} ist. Das Atom
P wird als wahr, falsch oder unbekannt in L bezeichnet, wenn L(P ) tt, f f oder uu
ist. Durch die mögliche Abbildung auf uu wird die Unvollständigkeit von Logs zum
Zeitpunkt der Überprüfung dargestellt. Teilstrukturen decken damit drei Arten von
Unvollständigkeit ab (vgl [GJD11, S.3]):
• zukünftige Unvollständigkeit - zukünftige Ereignissen können nicht verfügbar
sein für einen Algorithmus zur Überprüfung des Logs
• Unvollständigkeit durch räumliche Trennung - Daten, die das Überwachungssystem benötigt, können an unterschiedlichen physikalischen Orten liegen
• subjektive Unvollständigkeit - manche Daten müssen durch Benutzereingabe
abgefragt werden. Der Nutzer ist aber nicht allwissend. Hierdurch kann es zu
Unvollständigkeiten kommen.
2.2.2 Semantik
Im folgenden wird die Semantik auf Teilstrukturen formalisiert. Diese geschieht mittels der Relation L ϕ, was bedeutet, dass ϕ in der Struktur L wahr ist. Für diese
Relation gilt:
• L P gdw. L(P ) = tt
6
2.3. DER ALGORITHMUS
• L>
• L ϕ ∨ ψ gdw. L ϕ oder L ψ
• L ϕ ∧ ψ gdw. L ϕ und L ψ
• L ∀~x.(c ⊃ ϕ) gdw. für alle ~t ∈ D gilt entweder L c[~t/~x] oder L ϕ[~t/~x]
• L ∃~x.(c ∧ ϕ) gdw. ein ~t ∈ D existiert mit: L c[~t/~x] und L ϕ[~t/~x]
Für duale Atome gilt: L(P ) = L(P ), mit tt = f f , f f = tt und uu = uu. Eine
Formel ϕ ist falsch in L, wenn L ϕ.
Diese Semantik efüllt diese zwei Eigenschaften:
1. Konsistenz: Eine Formel ϕ kann nicht gleichzeitig wahr und falsch in L sein
2. Unvollständigkeit: Eine Formel ϕ kann weder wahr noch falsch sein in L
System-Logs erweitern sich im Laufe der Zeit immer weiter. Daraus folgt, dass sich
die Informationen, die ein Log beinhaltet immer vergrößern. Daraus ergibt sich eine
Halbordnung auf den Teilstrukturen. L1 ≤ L2 (L2 erweitert L1 ) bedeutet, dass L2
mehr Informationen enthält als L1 , aber alle Informationen bis auf Ungewissheit in
L1 auch in L2 gelten. Formal gilt: L1 ≤ L2 , wenn für alle Atome P , die keine freien
Variablen haben, gilt: L1 (P ) ∈ {tt, f f } =⇒ L2 (P ) = L1 (P )
Es ist leicht zu sehen, dass die Erweiterungsrelation monton ist: Aus L1 ≤ L2 und
L1 (P ) ϕ folgt, dass L2 (P ) ϕ gilt. (vgl [GJD11, S.4])
2.3 Der Algorithmus
Der grundlegende Gedanke des Algorithmus ist es durch Iteration eine Policy immer
weiter zu reduzieren bis als Ergebnis eines Reduce-Aufrufes eine Verletzung (⊥) oder
keine Verletzung (>) festgestellt werden kann. Eine einzelne Iteration wird hierbei
bezeichnet als reduce(L, ϕ) = ψ. Das Ergebnis ψ eines solchen Aufrufs ist immer eine
Restpolicy, die aus den Teilen von ϕ besteht, welche durch den Reduce-Algorithmus
noch nicht verifiziert werden konnten. Durch Erweiterung von L auf L0 kann man
mit einer erneuten Iteration eine neue Policy generieren, die wieder kleiner ist.
Dabei soll der Algorithmus drei Eigenschaften erfüllen:
• Terminierung: Jede Iteration terminiert.
• Korrektheit: Sei reduce(L, ϕ) = ψ, dann gilt: ∀L0 ≥ L : L0 ϕ ⇔ L0 ψ
• Minimalität: Sei reduce(L, ϕ) = ψ, dann gibt es ein Atom P nur in ψ, wenn
es auch in ϕ ist und L(P ) = uu
Besonders problematisch an der Realisierung des Algorithmus ist der Umgang mit
den Quantoren über unendlichen Domänen. Ein naiver Algorithmus würde bei einem Quantor über eine unendliche Domäne oft nicht terminieren. Da es unendliche
Domänen gibt (z.B. bei einer Quantifizierung über die unendliche Domäne aller
Nachrichten), besteht die Notwendigkeit der Restriktionen, die dafür sorgen, dass
KAPITEL 2. DER REDUCE-ALGORITHMUS
7
die Anzahl der relevanten Instanzen x, die als Kandidaten für die jeweilige Formel
in Frage kommen, endlich ist. Durch den Einsatz von Techniken der Mode Analyse
aus der logischen Programmierung, ist es möglich die Restriktionen auf eine endliche Anzahl befriedigender Instanzen zu begrenzen und diese zu berechnen. Um
die Mode Analyse einzusetzen, muss bei Prädikaten angegeben werden, welche sich
endlich berechnen lassen und welche nicht. So wäre beim Beispiel bei zweck(m, u)
die Nachricht m über eine unendliche Domäne zu bekommen, während der Zweck u
aus der Nachricht berechenbar ist. Benötigte Eingaben werden hier mit einem + gekennzeichnet, während berechenbare Ausgaben mit einem - gekennzeichnet werden.
Für Zweck wäre also eine passende Kennzeichnung zweck(+, −).
Durch Anwendung eines Mode Checks bei angegebenen Mode Informationen kann
innerhalb von linearer Zeit garantiert werden, dass es eine endliche Anzahl freier
Variablen gibt, die eine Restriktion befriedigen.
Für die tatsächliche Berechnung der befriedigenden Belegungen einer Restriktion
c
wird die Funktion sat(L,
c) definiert, die alle Substitute σ berechnet, so dass L cσ,
mit der Annahme, dass eine Funktion sat(L, P ) alle Substitute σ für freie Variablen
in P berechnet, so dass L P σ. (vgl [GJD11, S.4])
2.3.1 Definition des Algorithmus
In Abbildung 2.1 ist die Definition des Reduce-Algorithmus dargestellt.
Abbildung 2.1: Definition des Reduce-Algorithmus aus [GJD11, S.5]
8
2.3. DER ALGORITHMUS
Wie bereits erwähnt ist das Vorgehen basiert auf einer iterativen Reduktion der
Policys. Geht man von einer Startpolicy ϕ0 und einer Sequenz L1 ≤ L2 ≤ . . . Ln , die
man iterativ auf die entstehenden Policys anwendet so ergeben sich ϕ1 , ϕ2 , . . . , ϕn ,
L1
L2
so dass reduce(Li , ϕi−1 ) = ϕi . Dieser Prozess lässt sich schreiben als ϕ0 −→
ϕ1 −→
Ln
ϕn .
. . . −→
Bei Atomen entspricht das Verhalten eines Aufrufs des Reduce-Algorithmus den Erwartungen. So ergibt
reduce(L, P ) >, ⊥ oder P , wenn L(P ) tt,f f oder uu entspricht. Auch die Verknüpfungen ∨ und ∧, sowie > und ⊥ werden wie gewöhnlich berechnet. Die interessanteren Fälle sind eindeutig, die letzten beiden, wobei diese analog zueinander verlaufen.
c
Um reduce(∀~x.(c ⊃ ϕ)) zu berechnen, wird zuerst mittels Aufruf von sat(L,
c), die
endliche Menge aller befriedigenden Instanzen ~x der Restriktion c berechnet. Für
jede dieser Instanzen t~1 , . . . , t~n wird jetzt ϕ[~ti /~x] durch einen rekursiven Aufruf des
Reduce-Algorithmus zu ψi reduziert. Da alle Instanzen von ϕ halten müssen, ist die
Ausgabe folglich ψ1 ∧ · · · ∧ ψ1 ∧ ψ 0 , wobei ψ 0 der Tatsache geschuldet ist, dass andere
Instanzen von ~x als t~1 , . . . , t~n nicht betrachtet wurden. Solche Instanzen können in
Erweiterungen von L enthalten sein. Für ∃~x.(c ∧ ϕ) verhält sich der Algorithmus
analog.
c
Wie bereits erwähnt berechnet die Funktion sat(L,
c) die Menge der befriedigenden
c
Substitute für die Restriktion c. Dabei ist sat wie folgt definiert:
c
sat(L,
p(t1 , . . . , tn )) = sat(L, p(t1 , . . . , tn ))
c
sat(L, >)
= {•}
c
sat(L,
⊥)
= {}
S
c
c
σ + sat(L,
c2 σ)
sat(L,
c1 ∧ c2 )
=
c
σ∈sat(L,c
1)
c
c
c
sat(L,
c1 ∨ c2 )
= sat(L,
c1 ) ∪ sat(L,
c2 )
c
c
sat(L,
∃x.c)
= sat(L,
c)\{x} (x frisch)
c
c
Da > immer wahr sein muss, enthält sat(L,
>) nur die leere Substitution •. sat(L,
⊥)
ist die leere Menge, da es keine Substitution geben kann, die ⊥ befriedigt. Für
c1 ∧ c2 nimmt man die befriedigen Instanzen von c1 und verbindet sie mit den
befriedigenden Instanzen von c2 σ. Bei c1 ∨ c2 handelt es sich um die Vereinigung der
beiden befriedigenden Mengen. Die befriedigenden Instanzen von ∃x.c ergeben sich
durch Herausnehmen der Substituten von x. (vgl [GJD11, S.5])
2.3.2 Anwendung auf ein Beispiel
Im Folgenden werden Teilstrukturen mittels des Reduce-Algorithmus auf das Beispiel aus Abschnitt 2.1.2 angewendet. Zur besseren Übersicht sei ~x fest definiert
als Sequenz p1 , p2 , m, u, q, t, τ und c(~x) und ϕ(~x) sind durch Pattern Matching
die Formeln, die ϕ = ∀~x.(c(~x) ⊃ ϕ(~x)) befriedigen. Desweiteren seien noch ϕ2 und
ϕ3 durch Pattern Matching definiert als ϕ(~x) = attr in(t, privat) ∨ ϕ2 (p2 , q, τ, u) ∨
ϕ3 (τ, q, p1 , p2 , t). Sei L eine Teilstruktur, die die folgenden Informationen enthält:
1. Alice sendet an Bob die Nachricht M zum Zeitpunkt 4. Die Nachricht ist
markiert, dass sie Informationen über Charlie’s Adresse enthält mit dem Zweck
der Bezahlung.
KAPITEL 2. DER REDUCE-ALGORITHMUS
9
2. Charlie hat diese Übertragung zum Zeitpunkt 2 gestattet.
Aus diesen Informationen folgt:
c
sat(L,
c(~x)) = {σ}, mit σ = [σ → (Alice, Bob, M, Bezahlung, Charlie, Adresse, 4].
Jetzt wird die Definition des Reduce-Algorithmus auf ϕpol angewendet. Das ergibt
reduce(L, ϕpol ) = ψ1 ∧ ϕ0pol , mit ψ1 = reduce(L, ϕ(~xσ)) und ϕ0pol = ∀~x.(c(~x) ∧ ~x ∈
/
{σ}) ⊃ ϕ(~x).
Da ϕ(~x) eine Disjunktion von drei Formeln ist, wo die dritte ϕ3 ist, kann durch
Anwendung von 2. gezeigt werden, dass reduce(L, ϕ3 (τ, q, p1 , p2 , t)) als Ergebnis >
hat. Das bedeutet, dass es bis hierhin kein Verletzung der Policy gab und wir durch
Anwendung des Algorithmus die Restpolicy ϕ0pol erhalten haben.
Nun wird eine Erweiterung der Teilstruktur L betrachtet, so dass wir mit neuen
Informationen L0 ≥ L erhalten und diese neue Teilstruktur auf die Restpolicy anwenden können. Es kommen die drei folgenden neuen Informationen hinzu.
3. Alice sendet an Bob die Nachricht M’ zum Zeitpunkt 5. Die Nachricht ist
markiert, dass sie Informationen über Dan’s Laborbericht enthält mit dem
Zweck der Operation.
4. L0 (hatZugestimmt(Dan, a, τ 0 )) = f f für jede Handlung a und jede beliebige
Zeit τ 0 , also ist auch insbesondere der Nachricht von Alice nicht zugestimmt
worden
5. L0 (ArztV on(Bob, Dan, 5)) = f f , also ist Bob zum Zeitpunkt 5 nicht der Arzt
von Dan
Daraus folgt: ϕ0pol = ∀~x.(c(~x) ∧ ~x ∈
/ {σ}) ⊃ ϕ(~x) war die in der ersten Iteration
0
c 0 , c0 (~x)) = {σ 0 } und
ermittelte Restpolicy. Sei nun c (~x) = c(~x) ∧ ~x ∈
/ {σ}, mit sat(L
σ 0 = [~x → (Alice, Bob, M’, Operation, Dan, Laborbericht,5)]. Durch Anwenden des
Reduce-Algorithmus berechnet sich folgendes: reduce(L0 , ϕ0pol ) = ψ2 ∧ ϕ00pol , mit ψ2 =
reduce(L0 ϕ(~x)σ 0 ), während ϕ00pol für andere Nachrichten als die beiden genannten
gebraucht wird. Durch Einsatz der Informationen 4 und 5 ergibt sich, dass ψ2 =
attr in(Laborbericht, privat) ist. Daraus folgt, dass es einen Policyverstoß gab, wenn
der Laborbericht als privat eingestuft wurde. Ansonsten war das Senden im Rahmen
des Erlaubten. (vgl [GJD11, S.5-6])
2.3.3 Eigenschaften des Algorithmus
Bis hierhin wurde gezeigt, wie der Algorithmus arbeitet und durch ein Beispiel wurde
illustriert, wie eine Verfizierung einer Policy mit einer Teilstruktur durch den ReduceAlgorithmus funktioniert. Dabei wurde nur dargestellt, dass der Reduce-Algorithmus
in der Lage ist eine Policyverletzung festzustellen, aber nicht den Grund für die
Verletzung zu nennen. Dazu ist der Reduce-Algorithmus aber ebenfalls in der Lage.
Hierzu muss nicht der Algorithmus angepasst werden, sondern lediglich die Policy
muss erweitert werden. Dies kann durch ein neues Prädikat verletzt(~x) realisiert
werden, welches für alle ~x unbekannt ist. Eine Policy der Form ϕpol = ∀~x.(c ⊃ ϕ),
wird also so erweitert, dass ϕ0pol = ∀~x.(c ⊃ (verletzt(~x) ∨ ϕ)) erhalten wird. Da
für diese Policy eine Verletzung entsteht, wenn es eine Variablenbelegung gibt, so
10
2.4. IMPLEMENTIERUNG
dass die Restriktion falsch ist, aber die Formel wahr, ergibt sich im Falle einer
Verletzung, dass der Reduce-Algorithmus eine Restpolicy in der Form verletzt(~a1 ) ∧
· · · ∧ verletzt(~an ) zurückgibt, so dass alle ~a1 , . . . , ~an die Belegungen sind, die die
Policy verletzen. Eine solche Policyerweiterung ist für jede Formel der Logik möglich.
(vgl [GJD11, S.6])
In [GJD11] werden zudem noch weitere Eigenschaften des Reduce-Algorithmus präsentiert. Folgende Eigenschaften werden gezeigt:
• Partielle Korrektheit und Minimalität (s.o.)
• Vollständigkeit: Wenn ϕ den Mode Check besteht, dann existiert auch ein ψ
mit: reduce(L, ϕ) = ψ, welches den Mode Check besteht.
• Komplexität: reduce(L, ϕ) liegt in den Komplexitätsklassen T IM E(|L|O(|ϕ|) )
und P SP ACE(|ϕ|).
2.4 Implementierung
Die Implementierung des Reduce-Algorithmus orientiert sich stark an der mathematischen Definition. Das Programm ist in Standard ML4 geschrieben. Das Programm
besteht aus fünf Komponenten, die die Struktur L darstellen und insbesondere eine
Auswertung von sat(L, P ) und L(P ) ermöglichen.
Als erstes muss jedes Prädikat nach Art der Auswertung kategorisiert werden. Dies
wird als Kategorie bezeichnet. In der Implementierung stehen drei Kategorien zur
Auswahl:
• DB: Das Prädikat ergibt sich aus einem Eintrag in einer Tabelle einer relationalen Datenbank.
• EVAL: Das Prädikat ist durch eine berechenbare Operation verifizierbar. (z.B.
eine mathematische Berechnung)
• SUBJ: Um das Prädikat zu verifzieren muss eine menschliche Eingabe erfolgen.
Die zweite Komponente ist eine lookup-Funktion, welche Anfragen in die Datenbank
stellen kann um die Prädikate auszuwerten. Aus dieser lookup-Funktion, lässt sich
eine sat db(P ) definierten, die alle befriedigenden Belegungen von einem Atom in
der Datenbank findet.
Drittens muss es eine Funktion eval(P ) geben, die Prädikate der Kategorie EVAL
auswerten kann.
Als viertes bedarf es einer Funktion isF inal(P ), die angibt, ob durch zusätzliche
Eingaben sich die Auswertung des Prädikats noch verändern kann. Zum Beispiel
wenn neue Informationen in die Datenbank hinzugefügt werden.
Als letztes sind zwei Tabellen (subjWahr und subjFalsch) nötig, die die Prädikate der
Kategorie SUBJ beinhalten, die wahr oder falsch sind. Diese Tabellen können zum
Beispiel durch eine Front-End von einem menschlichen Benutzer aufgefüllt werden.
4
Meta Language
KAPITEL 2. DER REDUCE-ALGORITHMUS
Hieraus ergeben sich für die Auswertung

 sat db(P )
eval(P )
sat(L, P ) =

undef iniert
11
von sat folgendes:
wenn P in Kategorie DB ist
wenn P in Kategorie EVAL ist
wenn P in Kategorie SUBJ ist
Durch die Definition von sat ist es jetzt auch möglich L(P ) zu definieren:

 tt
ff
L(P ) =

uu
wenn sat(L, P ) = {•} oder P ∈ subjW ahr
wenn sat(L, P ) = {} und isF inal(P ) = wahr oder P ∈ subjF alsch
andernfalls
Dabei ist die Evaluierung von P wahr, wenn es eine befriedigende Belegung gibt oder
es in subjWahr ist. Gibt es keine befriedigende Belegung und das Prädikat kann auch
nicht mehr wahr werden oder es ist in subjFalsch, dann ist die Evaluierung falsch.
Für alle anderen Fälle bleibt das P unbekannt. (vgl [GJD11, S.7])
Zur Optimierung der Implementierung werden in [GJD11, S.7ff] noch einige mögliche
Verfahren angesprochen, auf die hier aber nicht weiter eingegangen wird.
2.5 Zwischenfazit
Der Reduce-Algorithmus ist ein leistungsstarker Algorithmus zur Überwachung der
Einhaltung von Policys mittels Logs. Die Logs können durch die Modellierung der
Logik, auf der der Algorithmus arbeitet unvollständig sein und trotzdem evaluiert
werden. So schafft der Reduce-Algorithmus, dass die Policys iterativ verkleinert werden. Durch einfache Änderungen an einer Policy ist es zudem möglich nicht nur eine
Policy-Verletzung zu erkennen, sondern auch die Ursache für diese zu lokalisieren.
Eine große Schwierigkeit, die der Reduce-Algorithmus durch den Einsatz von Restriktionen überwindet, ist die Existenz unendlicher Domänen. Durch Mode Analyse kann der Algorithmus trotzdem garantieren, dass eine Terminierung stattfindet.
Andere Logiken lassen sich in die Logik des Reduce-Algorithmus übertragen. In
den folgenden Kapiteln wird sich mit weiteren alternativen Ansätzen zum Thema
Policy-Überwachung auseinandergesetzt. So ist der Reduce-Algorithmus nicht dafür
ausgelegt Policys und Logs während der Laufzeit eines Programms auf Einhaltung
zu überprüfen, da der Reduce-Algorithmus von zwei unterschiedlichen Datensätzen
für das Log und die Policys ausgeht. Für solche Fälle bedarf es anderer Ansätze, die
im nächsten Kapitel skizziert werden. Auch die PrivacyLFP, die Logik auf der die
Reduce-Logik basiert, wird zum Schluß genauer vorgestellt.
12
2.5. ZWISCHENFAZIT
KAPITEL 3. TEMPORALE LOGIKEN ALS MITTEL ZUR ÜBERWACHUNG VON POLICYS ZUR LAUFZEIT13
3 Temporale Logiken als Mittel zur Überwachung von
Policys zur Laufzeit
In diesem Kapitel soll sich mit temporalen Logiken auseinandergesetzt werden, die
häufig zur Überwachung von Policys zur Laufzeit eingesetzt werden und von denen
es in der Literatur viele unterschiedliche Variationen beziehungsweise Erweiterungen gibt. So benutzt zum Beispiel [TR05] die MTL1 , welches eine Erweiterung der
LTL ist, in der zusätzlich Zeitintervalle festgelegt werden können. Weitere Beispiele für Beschreibungen von Erweiterungen der temporalen Logiken sind in [Sok+06]
und [BBL09] zu finden. In [Sok+06] handelt es sich um die temporale Prädikatenlogik LCV , welche sich besonders mit den Aspekten Ereignisattribute und dynamischer Indexierung von Eigenschaften beschäftigt, während [BBL09] die ALC-LTL
vorstellt, welche auf Axiome der Beschreibungslogik ALC zurückgreift und auch auf
unvollständig beschriebenen Zuständen arbeiten kann. Der im vorherigen Kapitel betrachtete Reduce-Algorithmus unterscheidet sich von solchen Ansätzen insbesondere
dadurch, dass der Reduce-Algorithmus davon ausgeht, dass System-Logs unabhängig von der Ausführung eines Programms ausgelesen werden. Die hier vorgestellten
Ansätze sollen eine Auswertung von Logs zur Laufzeit gewährleisten können.
Zu Beginn des Kapitels findet eine kurze Beschreibung der linearen temporalen Logik
statt. Hierbei sollen vor allem die Grundlagen dieser Logik ins Gedächtnis gerufen
werden. Im zweiten Abschnitt des Kapitels folgt dann eine Beschreibung der drei
LTL-Erweiterungen M T L, LCV und ALC in genau dieser Reihenfolge. Ziel dieser
Abschnitte ist es ein grundlegendes Verständnis für die unterschiedlichen Ansätze
der Erweiterungen zu vermitteln und die Breite der möglichen Ansätze in der Wissenschaft aufzuzeigen.
3.1 Grundlagen: Lineare temporale Logik
Die lineare temporale Logik ist eine Logik zu Modellierung von Entwicklungen in
der Zukunft. So gibt es in ihr Operatoren, mit denen Aussagen über die zukünftige
Entwicklung von Pfaden getroffen werden können. Eine passende Definition findet
sich in [Roz10].
Neben den üblichen Operatoren, die es in den anderen Logiken gibt (∧, ∨, ¬, . . . )
stehen in der LTL noch die folgenden Operatoren zur Verfügung:
• X steht für den Nachfolger
• G (alternativ auch ) steht für eine globale Aussage
1
Metric Temporal Logik
14
3.2. ANSÄTZE ZUR ERWEITERUNG DER LTL
• F (alternativ auch ) steht dafür, dass eine Formel irgendwann gelten soll
(finally)
• U steht dafür, dass eine Formel bis irgendwann gelten soll (until)
• R steht dafür, dass eine Formel irgendwann aufgelöst wird (release).
X und G sind dabei unäre Operatoren, während F, U und R binäre Operationen
sind. Also sind Xϕ und ϕU ψ syntaktisch korrekte Formeln, wenn ϕ und ψ auch
syntaktisch korrekt sind.
Eine LTL-Formel wird dabei auf einen Pfad angewendet, der eine Sequenz von Aussagen ist. Die Formel ist genau dann erfüllt, wenn sie auf der ersten Position des
Pfades erfüllt ist. Aufgrund der Eigenschaft, dass die LTL immer Sequenzen von
Aussagen beziehungsweise Zuständen ist, lässt sich schon erkennen, dass sie sich dafür eignet, um Programmschritte zu überprüfen. Ein Programmschritt entspricht in
diesem Fall einem Zustand der LTL-Formel. LTL-Formeln stellen dann Bedingungen an den Ablauf eines Programmes dar. Diese zu überprüfen ist das Ziel der im
folgenden vorgestellten Ansätze.
3.2 Ansätze zur Erweiterung der LTL
In diesem Abschnitt werden kurz mehrere Ansätze beschrieben, die unterschiedliche
Erweiterungen von LTL darstellen zur Überwachung von Logs zur Laufzeit eines
Programms. Dabei wird nicht weiter auf die mathematischen Details eingegangen,
sondern es soll lediglich ein grober Überblick über die Ansätze in der Forschung
gewährt werden.
3.2.1 Metrische temporale Logik M T L
In [TR05] wird mittels der M T L ein Verfahren dargelegt, zur Überwachung eines
Programms zur Laufzeit. Dabei wird davon ausgegangen, dass keine Speicherung
der Ablaufverfolgung des Programms stattfindet, während dies in anderen Ansätzen
passiert. Die M T L ist hierbei eine Erweiterung der klassischen linearen temporalen
Logik (LTL), die auf diskrete Zeiteigenschaften verweisen kann. So ist es möglich
Zustände der Vergangenheit oder der Zukunft zu modellieren. Als Beispiel sei hier
die Formel φU[3,7] ψ zu betrachten. Ihre Bedeutung soll sein, dass ψ vom aktuellen
Zeitpunkt aus zwischen 3 und 7 Zeiteinheiten lang noch wahr sein soll und ab dann
soll ψ wahr sein. Das angegebene Intervall kann hierbei zwischen 0 und ∞ liegen.
Hieraus ergibt sich, dass die LT L ein Spezialfall der M T L ist, in der alle Intervalle
[0, ∞) sind. Zusätzlich zu Intervallen ist es noch möglich Kongruenzen anzugeben.
Das bedeutet, man kann das periodische Wiederkehren von Aussagen modellieren.
Der in [TR05] vorgestellte Algorithmus hat dabei eine räumliche Komplexität von
O(m2m ) und eine zeitliche Komplexität von O(m3 23m ), wobei m der Summe aus
den Formeln |φ| und die Anzahl aller numerischen Konstanten in φ ist, wobei diese
Schranken für manche Spezialfälle noch verbessert werden können. M T L wird hier
als ausdrucksstarke und mächtige Logik für Überwachungsanforderungen bezeichnet
und die Autoren sind der Meinung, dass der Algorithmus auch für praktische Zwecke einen Nutzen haben kann. Since MTL is an expressive and powerful logic for
”
KAPITEL 3. TEMPORALE LOGIKEN ALS MITTEL ZUR ÜBERWACHUNG VON POLICYS ZUR LAUFZEIT15
monitoring requirements, the presented novel and close to optimal algorithms can
be used in practical runtime verifcation and testing tools, such as JPaX2 .“([TR05,
S.15])
3.2.2 Temporale Prädikatenlogik LCV
In diesem Abschnitt erfolgt eine kurze Vorstellung der in [Sok+06] entwickelten
temporalen Prädikatenlogik LCV . Hierbei sei erwähnt, dass LCV einer Erweiterung
von LCp ist, die von teilweise den gleichen Autoren in [Kim+04] entwickelt wurde.
LCV erweitert die ursprüngliche Logik um zwei Eigenschaften:
• Ereignisattribute: Diese Attribute sind zusätzliche Informationen, die ein Ereignis im Log mit sich bringt. So sind möglicherweise die Werte von einem
Systemaufruf von größerer Bedeutung.
• Dynamische Indexierung von Eigenschaften: Hierbeit wird unterschieden zwischen statischen Objekten, die sich nie oder nur selten ändern und beweglichen Objekten. Bei statischen Objekten steht immer fest, welche Eigenschaften
überprüft werden müssen, während bei beweglichen Objekten dynamisch von
Fall zu Fall unterschiedliche Sachen abgefragt werden müssen.
Ziel der Prädikatenlogik LCV ist es dynamische Eigenschaften von Systemen zu
spezifizieren. Praktische Anwendung soll die LCV in Java-MaC3 finden, welche eine
Architektur zur Sicherstellung einer korrekten Ausführung von Java-Programmen
ist.
3.2.3 Lineare temporale Logik ALC
Zum Schluss wird in diesem Kapitel ein Ansatz von [BBL09] vorgestellt, der die LT LErweiterung LT L−ALC aus [BGL08] für einen Algorithmus benutzt. Auch hier wird
die LTL erweitert um dynamische Eigenschaften eines Systems zu beschreiben. Diese
geschieht mittels der Beschreibungslogik ALC. Die Aufgabe der Verifizierung ist es
zu überprüfen, ob alle möglichen Systemabläufe die nötigen Formeln befriedigen.
Hierbei setzen die Autoren auf den Einsatz von Büchi-Automaten, die dazu benutzt
werden um ω-Sprachen (Mengen über unendlichen Wörten) zu definieren.
Der in dieser Arbeit vorgestellte Algorithmus hat eine dreifach exponentiale Laufzeit
in Abhängigkeit zu der Größe der Formeln φ. Die Autoren meinen jedoch, dass diese
häufig ziemlich klein sind, wodurch dies weniger schwer ins Gewicht fällt.
3.3 Zwischenfazit
In diesem Kapitel wurden mehrere Ansätze grob skizziert, die zeigen sollen, dass
gerade im Bereich der LT L viele unterschiedliche Entwicklungen in Bezug auf Policyüberwachung voran getrieben werden. Dabei stehen die hier angesprochenen Ansätze nur beispielhaft für eine große Menge wissenschaftlicher Literatur, die sich mit
2
3
Java Path Explorer
Monitoring and Checking
16
3.3. ZWISCHENFAZIT
dem Bereich auseinander setzt. Diese Ansätze werden am Ende dieser Ausarbeitung
noch in Verbindung mit dem Reduce-Algorithmus gesetzt.
KAPITEL 4. POLICY-SPEZIFIZIERUNG SOWIE -ANALYSE
4
17
Policy-Spezifizierung sowie -Analyse
In diesem Kapitel wird sich mit weiteren alternativen Ansätzen zur Policy-Spezifizierung auseinander gesetzt und diese werden mit dem Reduce-Algorithmus beziehungsweise dessen Logik verglichen. Hierfür eigenen sich zum Beispiel der Ansatz
von [Bar+07]. Hier wird ein Algorithmus zur Policy-Überprüfung vorgestellt, der
als Besonderheit im Vergleich zum Reduce-Algorithmus auch den Verursacher eines
Policybruchs ausfindig machen kann. Ein weiteres Augenmerk wird in diesem Kapitel auf die PrivacyLFP aus [DeY+10] gelegt. Die PrivacyLFP ist hierbei die Logik,
auf welche der Reduce-Algorithmus basiert und die zu dem Zweck entwickelt wurde
die HIPAA1 - und GLBA2 -Policys zu spezifizieren. In [LMS07] gibt es einen weiteren
Ansatz zur Formulierung und Spezifizierung von HIPAA-Policys, welcher als Basis
die logische Programmiersprache Prolog hat.
4.1 Ansatz mit Identifizierung des Verursachers
Der in [Bar+07] vorgestellte Ansatz setzt sich als Ziel neben einer Policy-Verletzung
auch den Verursacher eben jener zu erkennen. Grundlage für den Ansatz ist die
bereits in 3.1 vorgestellte LTL. Auch dieser Ansatz hat als Ziel mit unvollständigen
Informationen umgehen zu können.
Der große Unterschied zum Ansatz des Reduce-Algorithmus ist hier die Identifizierung eines schuldigen Agenten, sprich dem Akteur, der eine Policy-Verletzung
auslöst. Der Reduce-Algorithmus ist lediglich dazu in der Lage den Grund für die
Aussage zu identifizieren, während hier auch auf die Akteure gezielt wird. Um dies zu
realisieren, definieren die Autoren den Begriff der starken Konformität. Dabei ist eine Aktion stark konform zu einer Ablauffolge, wenn es eine fortführende Ausführung
gibt, die die Policy befriedigt. Wenn Akteure jetzt erkennen können, ob eine Aktion stark konform ist, dann können sie verhindern, dass sie einen Policy-Verletzung
begehen.
Zusätzlich wird in [Bar+07] die Verantwortlichkeit für eine Policy-Verletzung wie
folgt definiert: Ein Akteur ist verantwortlich für eine Policy-Verletzung, wenn er eine
Tätigkeit in der Ablauffolge unternommen hat, die eine Policy-Verletzung verursacht
hat. Zur Identifizierung eines verantwortlichen Agenten wird ein Kausalitätsgraph
erzeugt, über den sich die Verantwortung für eine Verletzung ableiten kann.
1
2
Health Insurance Portability and Accountability Act
Gramm-Leach-Bliley Act
18
4.2. PRIVACYLFP
4.2 PrivacyLFP
Die P rivacyLF P ist eine Logik von den Machern des Reduce-Algorithmus, die in
[DeY+10] vorgestellt wird. Sie ist dafür konstruiuert, die HIPAA- und GLBA-Policys
in einer Logik zu formalisiern. Sie ist der Vorgänger für die Logik, welche hinterher
für den Reduce-Algorithmus benutzt wird. In [GJD11] betonen die Autoren, dass
die PrivacyLFP, durch leicht anzuwendene Änderungen in die Logik des ReduceAlgorithmus übertragbar ist. Wie der Name schon vermuten lässt, ist P rivacyLF P
darauf ausgelegt insbesondere Policys bezüglich Privatsphäre und Datenschutz zu
formalisieren.
So werden in [DeY+10, Abschnitt 2] mehrere wichtig Konzepte bezüglich Datenschutzpolicys dargelegt, die gleichzeitig eine Herausforderung an die Logik stellen.
Diese sind unter anderem:
• Der Umgang mit positiven und negativen Regeln: Eine positive Regel erlaubt
etwas, während eine negative Regel etwas auf eine Bedingung einschränkt
• Kombination von Regeln
• Ausnahmen von Regeln
• Selbstreferenzierung: Es kann passieren, dass eine Regel rekursionsartig auf
sich selbst verweist
• Daten-Attribute: Wie bereits in Kapitel 2.1.2 erwähnt, kann es eine Hierarchie
der Attribute geben
• Dynamische Rollen: Eine Regel kann statt auf bestimmte Personen auf eine
Rolle definiert sein.
• ...
Mit der P rivacyLF P sollen diese Probleme gelöst werden. Dabei setzt die P rivacyLF P auf die LF P , welche neben den üblichen logischen Operatoren auch noch
Fixpunktoperatoren zur Verfügung stellt. Dabei gibt es sowohl einen geringsten,
als auch einen größten Fixpunktoperator. So ist es zum Beispiel möglich mittels
dieser Fixpunkte die natürlichen Zahlen zu definieren: X(x) , (x = 0) ∨ (∃y.(x =
y + 1) ∧ X(y)) (vgl. [DeY+10, Abschnitt 3]). Die P rivacyLF P vereinigt hierbei die
LF P mit der LT L. So ergibt sich eine mächtige Logik, mit der man in der Lage ist
die HIPAA- und GLBA-Policys zu formalisieren.
4.3 HIPAA-Formulierung mittels Prolog-Ansatz
Zum Abschluss dieser Ausarbeitung wird der Ansatz von [LMS07], welcher eine
alternative Möglichkeit aufzeigt die HIPAA-Policys zu formalisieren und maschinell
auszuwerten. Hierfür wird ein Ansatz verfolgt, der sich die Fragmente aus Prolog
nimmt, wobei der Einsatz von Negationen limitiert ist.
KAPITEL 4. POLICY-SPEZIFIZIERUNG SOWIE -ANALYSE
19
In diesem Ansatz wird eine Nachricht nach acht Kategorien eingeordnet: Zu, V on,
Ü ber, Art, Zweck, AlsAntwortauf , ZugestimmtV on und Annahmen. Wobei Zu
und V on für den Empfänger bzw. den Absender einer Nachricht stehen. Ü ber ist
die Person, über die die Nachricht Informationen enthält. Die Art Kategorie sagt,
welche Informationen in der Nachricht enthalten sind und Zweck steht für den
Grund der Nachrichtenübertragung. AlsAntwortauf soll benutzt werden, wenn die
Nachricht eine Antwort auf eine andere Nachricht ist. ZugestimmtV on weißt auf
die Person, die der Übertragung zugestimmt und die Annahmen Kategorie steht
für Annahmen, die zum Zeitpunkt der Nachricht gelten. Mathematisch kann dies
in ein 8-Tupel zusammengefasst werden, was genau diese Informationen enthält.
Eine HIPAA-Policy wird dann als Abbildung von der Menge der 8-Tupel auf {T, F }
angesehen.
Anhand dieser Definitionen können Aktionen dann kategorisiert werden. So kann
man zum Beispiel alle Aktionen in eine Kategorie zusammenfassen, die vom gleichen
Absender kommen. Durch solche Kategorisierungen ist es dann möglich bestimmten
Aktionen in erlaubte oder verbotene Aktionen einzuordnen. Dies geschieht durch
den Einsatz von Prolog-Formeln. Mit diesem Ansatz als Grundlage wurde eine Webinterface geschaffen, welches frei zugänglich ist. Dieses ist unter [Gro] zu finden.
20
4.3. HIPAA-FORMULIERUNG MITTELS PROLOG-ANSATZ
KAPITEL 5. ZUSAMMENFASSUNG UND FAZIT
5
21
Zusammenfassung und Fazit
In dieser Ausarbeitung wurden unterschiedliche Ansätze von Policyüberwachung
vorgestellt, von denen sich die meisten in gewissen Zielsetzungen unterscheiden. Das
größte Augenmerk wurde hierbei auf den Reduce-Algorithmus gelegt. Das Ziel vom
Reduce-Algorithmus ist insbesondere die Überwachung von Logs basierend auf dem
HIPAA. Es wurde dargelegt, wie der Reduce-Algorithmus definiert ist und anhand
welcher Logik man eine Policy für den Reduce-Algorithmus auswertbar macht. Die
Besonderheit bei diesem Ansatz ist das Einbeziehen von unvollständigen Informationen, wie sie in der Realität wirklich auftreten. So ist der Algorithmus in der Lage
auch auf diesen zu arbeiten und eine Policy schrittweise zu reduzieren. Außerdem
ist der Algorithmus in der Lage auf unendlichen Domänen zu arbeiten. Es wurde
skizziert, wie die tatsächliche Implementierung des Algorithmus von statten ging.
Im weiteren Verlauf wurden Ansätze vorgestellt, die ein Log oder einen Programmablauf zur Laufzeit überwachen sollen. Diese Ansätze hatten als Gemeinsamkeit,
dass sie als Basis die LTL haben. Diese Ansätze unterscheiden sich gerade durch die
Laufzeit Komponente durch den Reduce-Algorithmus. Während dieser eine Trennung von Policy und Informationen über Handlungen vorsieht, werten diese Algorithmen beides miteinander gekoppelt aus. Vorgestellt wurden hierbei Ansätze die
auf den Logiken M T L, LCV und LT L − ALC basieren.
Zum Schluss wurde noch ein weiterer Ansatz vorgestellt, der sich im Unterschied
zum Reduce-Algorithmus auch besonders mit der Identifizierung von Verursachern
für Policyverletzungen auseinander setzt, sowie Akteure zu warnen, dass sie eine
Policyverletzung begehen könnten. Zusätzlich wurden noch zwei Ansätze diskutiert,
die sich mit der Formalisierung der HIPAA-Policys beschäftigten. Das eine war die
P rivacyLF P , die der Vorgänger für die Logik des Reduce-Algorithmus ist und eine
weitere Formalisierung mittels Grundgedanken der Programmiersprache Prolog.
Das Thema Policy-Überwachung ist ein ziemlich breites Thema mit einer Fülle von
unterschiedlichen Ansätzen, die alle auf unterschiedliche Ziele hinarbeiten. Ein gemeinsamer Nenner der Ansätze ist meistens die Entwicklung einer Logik, die als
Grundgerüst zur Formulierung von Policys dient. Der Reduce-Algorithmus zielt
hierbei besonders auf die Überwachung der HIPAA-Policys ab. Er wurde für diesen Zweck entwickelt und eignet sich deshalb nicht so gut für die Überwachung
von laufenden Programmen. Hierfür müssen andere Ansätze gefunden werden beziehungsweise existieren andere Ansätze. Für die HIPAA-Policys scheint er aber gut zu
arbeiten. So können mit der Logik, alle 84 HIPAA-Policys dargestellt werden und
durch den Algorithmus performant überwacht werden.
22
LITERATUR
23
Literatur
[Bar+07]
Adam Barth u. a. Privacy and Utility in Business Processes“. In: Pro”
ceedings of the 20th IEEE Computer Security Foundations Symposium.
2007.
[BBL09]
Franz Baader, Andreas Bauer und Marcel Lippmann. Runtime Veri”
fication Using a Temporal Description Logic“. In: Proceedings of the
7th International Conference on Frontiers of Combining Systems. 2009,
S. 149–164.
[BGL08]
Franz Baader, Silvio Ghilardi und Carsten Lutz. LTL over Description
”
Logic Axioms“. In: Proceedings of the 21st International Workshop on
Description Logics (DL2008). Bd. 353. CEUR-WS. 2008.
[Con96]
104th Congress. Public Law 104-191. 1996. url: http://www.gpo.gov/
fdsys/pkg/PLAW-104publ191/html/PLAW-104publ191.htm (besucht
am 27. 01. 2014).
[Con99]
106th Congress. Public Law 106-102. 1999. url: http://www.gpo.gov/
fdsys/pkg/PLAW-106publ102/html/PLAW-106publ102.htm (besucht
am 27. 01. 2014).
[DeY+10] Henry DeYoung u. a. Experiences in the Logical Specification of the
”
HIPAA and GLBA Privacy Laws“. In: Proceedings of the 9th Annual
ACM Workshop on Privacy in the Electronic Society (WPES). 2010.
[GJD11]
Deepak Garg, Limin Jia und Anupam Datta. Policy Auditing over Incomplete Logs: Theory, Implementation and Applications. Chicago, Illinois. 2011.
[Gro]
Stanford Privacy Group. HIPAA Compliance Checker. url: http://
crypto.stanford.edu/privacy/HIPAA/ (besucht am 27. 01. 2014).
[Kim+04]
M. Kim u. a. Java-MaC: a run-time assurance approach for Java pro”
grams“. In: Formal Methods in Systems Design 24.2 (2004), S. 129–155.
[LMS07]
Peifung E. Lam, John C. Mitchell und Sharada Sundaram. A Forma”
lization of HIPAA for a Medical Messaging System“. In: Proceedings on
the 6th International Conference on Trust (2007), S. 279–294.
[Roz10]
Kristin Y. Rozier. Linear Temporal Logic Symbolic Model Checking“.
”
In: Computer Science Review (2010).
[Sok+06]
Oleg Sokolsky u. a. Run-Time Checking of Dynamic Properties“. In:
”
Electronic Notes in Theoretical Computer Science 144 (2006), S. 91–
108.
24
[TR05]
LITERATUR
Prasanna Thati und Grigore Rosu. Monitoring Algorithms for Metric
”
Temporal Logic Specifications“. In: Electronic Notes in Theoretical Computer Science 113 (2005), S. 145–162.