Index

Autor:  

Groß, Thomas

Titel:  

Browser-based identity federation


Dissertation 
URN:  urn:nbn:de:hbz:294-28755
URL:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/GrossThomas/diss.pdf
Format:  application/pdf (2.8 M)
Kommentar:  Ruhr-Universität Bochum, Fakultät für Elektrotechnik und Informationstechnik. Tag der mündlichen Prüfung: 2009-11-05

Inhaltsverzeichnis
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/GrossThomas/Inhaltsverzeichnis.pdf
Format:  application/pdf (21.9 k)

Zusammenfassung
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/GrossThomas/Zusammenfassung.pdf
Format:  application/pdf (14.6 k)

Abstract
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/GrossThomas/Abstract.pdf
Format:  application/pdf (17.3 k)

Schlagworte:  Informatik; Computersicherheit; Kryptologie; Föderiertes System; Formale Spezifikationstechnik

Inhalt der Arbeit: 

Browserbasierte Identitätsföderation etabliert eine Dreiparteienauthentifikation mit einem Standard-Webbrowser als Client. Ein Standard-Webbrowser ist nicht unmittelbar in der Lage, die vorherrschende Methode des sicheren Sitzungsschlüsselaustausches für Identitätsföderation einzusetzen. Stattdessen verwendet ein Webbrowser einen bereits etablierten server-authentifizierten Kanal, um den Berechtigungsnachweis einer dritten Partei zu übertragen. Mit diesen zwei Schritten wird ein beidseitig authentifizierter Kanal aufgebaut.
Diese Arbeit führt detaillierte Protokollanalysen von Föderationsstandards durch, welche eine Reihe potentieller Sicherheitslücken bei einem realistischen Angreifermodell aufzeigen. Sie zeigt den ersten rigorosen Sicherheitsbeweis für standardisierte Identitätsföderation mit einem formalen Browsermodell. Im Prinzip garantiert Channel Authenticity einen sicheren Kanal zwischen dem identifizierten Benutzer und einem akzeptierenden Dienstleister.


Inhalt der Arbeit (übersetzt): 

This thesis considers secure authentication by browser-based identity federation. This special class of identity federation only uses a standard web browser as client and therefore provides a zero-footprint authentication. Instead of a traditional key exchange and subsequent channel establishment, this protocol class bootstraps a server-authenticated secure channel with a third-party credential to obtain mutual authentication. The results of our investigation include vulnerabilities and novel security mechanisms, which have improved SAML and WS-Federation as major standards.
We will present the first formal model for browser-based protocols built upon the Reactive Simulatability framework, and establish channel authenticity as new security goal for this area. Through our formal model of the standardized WS-Federation Passive Requestor Profile, we achieve the first rigorous security proof for browser-based identity federation.


Angaben des Autors:
E-Mail:  thomasgross@acm.org
Homepage:  http://www.thomasgross.net
Teile der Arbeit veröffentlicht in:  

SAML artifact information flow revisited / Thomas Groß and Birgit Pfitzmann
In: IBM Research Report RZ3643 09/01/06, 2006

Tailoring the Dolev-Yao abstraction to web services realities / Michael Backes and Thomas Groß
In: 2005 ACMWorkshop on SecureWeb Services (SWS), S. 6574, ACM Press, 2005

Proving a WS-Federation Passive Requestor Profile with a browser model / Thomas Groß, Birgit Pfitzmann, and Ahmad-Reza Sadeghi
In: 2005 ACM Workshop on Secure Web Services (SWS), S. 5464, ACM Press, 2005

Browser model for security analysis of browser-based protocols / Thomas Groß, Birgit Pfitzmann, and Ahmad-Reza Sadeghi
In: 10th European Symposium on Research in Computer Security (ESORICS), S. 489508, Springer Verlag, 2005
(Lecture Notes on Computer Science; 3679)

Proving a WS-Federation Passive Requestor Profile / Thomas Groß and Birgit Pfitzmann
In: 2004 ACM Workshop on Secure Web Services (SWS), S. 2534, ACM Press, 2004

Security analysis of the SAML single sign-on browser/artifact profile / Thomas Groß
In: 19th Annual Computer Security Applications Conference (ACSAC 2003). IEEE Computer Society Press, 2003