TU Darmstadt / ULB / TUprints

Trust Building and Usage Control for Electronic Business Processes

Tafreschi, Omid (2009)
Trust Building and Usage Control for Electronic Business Processes.
Technische Universität
Ph.D. Thesis, Primary publication

[img]
Preview
PDF
Diss-Tafreschi-Final.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .

Download (3MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Trust Building and Usage Control for Electronic Business Processes
Language: English
Referees: Eckert, Prof. Dr. Claudia ; Grimm, Prof. Dr. Rüdiger ; Katzenbeisser, Prof. Dr. Stefan
Date: 4 June 2009
Place of Publication: Darmstadt
Date of oral examination: 18 May 2009
Abstract:

Information technology (IT) supports companies to streamline their business processes. The main contributions of IT are the digitalization of data and efficient communication networks, which allow companies to automatize their business processes and thus increase their efficiency, i.e., their value creation. This effort started with the optimization of internal business processes within a company. Nowadays, it also includes external business processes, in which multiple enterprises and even customers are involved. However, using IT also causes undesirable side effects for companies. They are exposed to a wide range of vulnerabilities and threats. Digitalizing data, e.g., documents, spurs the access to that data and the exchange of it. However, a disadvantageous result of digitalizing data is the increased risk of unauthorized access to that data. Communication networks provide an excellent foundation for collaboration between companies. At the same time, the open and anonymous character of communication networks is a reason for distrust towards business partners offering their goods and services over such networks. As a result of these undesirable side effects, the outcome of a certain business process supported by IT may be suboptimal or companies may refrain from using IT. Against this background, this thesis focuses on securing electronic business processes with regard to two aspects, i.e., building trust in open networks and controlling the usage of digital objects. Trust is the prerequisite for all kinds of commercial transactions. Using reputation information is one possible way to build up trust among business partners. In this thesis, we propose two new reputation systems to establish trust for ad-hoc processes in open markets. The first reputation system facilitates trust building in the context of electronic negotiations which are performed with the help of a centralized system. The reputation system enables companies to find trustworthy business partners and provides decision support during a negotiation. The second reputation system supports trust building in decentralized Peer-to-Peer (P2P) networks. A main feature of this system is its robustness against coalition attacks, which is proven with the help of a simulation. Controlling the usage of digital objects demands two functionalities. First, we need methods for defining usage rules. Second, mechanisms for enforcing the defined usage rules are required. In this thesis, we address both aspects of usage control. Digital documents play a central role in business processes, since they are a means of integration and are handled among business partners. Some documents are sensitive and thus have to be protected from being accessed by unauthorized parties. For this purpose, we propose a flexible and expressive access control model for electronic documents. Our model captures the information about the operations performed on documents. This history information can be used to define access control rules. Customers are involved in the execution of special kinds of business processes, such as selling and consuming digital goods. In these cases, digital goods have to be protected from being used in an unauthorized way, e.g., being shared in public networks. Thus, the trustworthiness of customers' platforms has to be verified before transferring digital goods. For this, we propose a robust integrity reporting protocol which is necessary when a remote platform has to perform security relevant operations, e.g., to enforce a security policy which controls the usage of digital content. This integrity reporting protocol is a building block of a new Digital Rights Management system which is also presented in this thesis. This system provides a high protection level. At the same time, it allows users to transfer their purchased content to other devices or users.

Alternative Abstract:
Alternative AbstractLanguage

Aus Sicht von Unternehmen ist die Informationstechnologie (IT) die Schlüsseltechnologie zur Erhaltung ihrer Wettbewerbsfähigkeit. Zu diesem Zweck setzen Unternehmen IT ein, um ihre Geschäftsprozesse zu optimieren. Dabei werden nicht nur interne Geschäftsprozesse, welche innerhalb eines Unternehmens ablaufen, betrachtet, sondern auch zwischenbetriebliche Geschäftsprozesse, an denen mehrere autonome Unternehmen mit Eigeninteressen beteiligt sind, berücksichtigt. Jedoch bringt der IT-Einsatz nicht nur Vorteile mit sich, sondern auch eine Reihe an Schwachstellen und Risiken. Die Digitalisierung von Daten, zum Beispiel Dokumenten, erleichtert deren Bearbeitung und Austausch. Zugleich vereinfacht die Digitalisierung unautorisierte Zugriffe auf sensible Daten. Hoch verfügbare Kommunikationsnetze bieten effiziente Plattformen für Unternehmenskooperationen. Mit diesem Potenzial gehen auch Missbrauchsmöglichkeiten einher, die auf Grund des offenen und anonymen Charakters von Kommunikationsnetzen entstehen. Zum diesen Missbrauchsmöglichkeiten zählt unter anderem Nichteinhaltung von Vereinbarungen, zum Beispiel in Bezug auf die Qualität der gelieferten Güter oder auf Zahlungsmodalitäten. Als Folge der skizzierten Schwachstellen leidet die Effizienz (die Wertschaffung) eines Geschäftsprozesses oder die Unternehmen verhalten sich zurückhaltend in Bezug auf den IT-Einsatz zwecks Optimierung ihrer Geschäftsprozesse. Vor diesem Hintergrund hat diese Arbeit die Entwicklung von Sicherheitsmechanismen für Geschäftsprozesse zum Ziel. Angesichts der oben genannten Schwachstellen werden die Themen Vertrauensbildung in Kommunikationsnetzen und Nutzungskontrolle für digitale Daten, zum Beispiel elektronische Dokumente, adressiert. Im Bereich Vertrauensbildung werden zwei neue Reputationssysteme vorgestellt. Das erste Reputationssystem fördert die Vertrauensbildung in einer Kooperationsplattform, welche die Durchführung bilateraler und multiattributiver Verhandlungen ermöglicht. Dabei berücksichtigt das Reputationssystem alle Phasen einer Markttransaktion. Es ermöglicht die Findung eines vertrauenswürdigen Geschäftspartners und bietet anschließend eine Entscheidungsunterstützung während einer Verhandlung. Das zweite Reputationssystem eignet sich zur Vertrauensbildung im Rahmen von Geschäftsprozessen in dezentralen P2P-Netzen. Das System besteht aus einer Reihe von Protokollen, welche die Robustheit des Systems gegenüber Angriffen gegen das Reputationssystem sicherstellen. Ein Schwerpunkt hierbei ist die transitive Berechnung von Vertrauenswerten, welche gegen gängige Koalitionsangriffe gegen Reputationssysteme robust ist. Diese Eigenschaft des Reputationssystems wird mittels Simulation nachgewiesen. Das Themenfeld Nutzungskontrolle umfasst zwei Aspekte. Einerseits geht es um die Formulierung von Sicherheitsrichtlinien zur Nutzungskontrolle. Andererseits sind Mechanismen zur Durchsetzung der definierten Sicherheitsrichtlinien notwendig. Diese Arbeit liefert Lösungen zur Formulierung und Durchsetzung von Sicherheitsrichtlinien. Im Themenfeld Formulierung von Sicherheitsrichtlinien wird ein innovativer Ansatz für die Zugriffskontrolle für strukturierte Dokumente vorgestellt. Das Besondere hierbei ist die Aufzeichnung von ausgeführten Operationen in einer Historie, welche für die Definition von Zugriffsregeln verwendet wird. Das Ergebnis ist ein feingranularer und zugleich flexibler Mechanismus zur Formulierung von Regeln zur Zugriffskontrolle für elektronische Dokumente, die im Rahmen von Geschäftsprozessen ausgetauscht und bearbeitet werden. Im Bereich Durchsetzung von Sicherheitsrichtlinien wird ein System zur Umsetzung der Nutzungskontrolle für digitale Güter vorgestellt. Es erlaubt die Umsetzung von Geschäftsprozessen im Bereich des Vertriebs digitaler Güter. Das System bietet Anbietern digitaler Güter ein hohes Sicherheitsniveau und ermöglicht gleichzeitig Nutzern flexible Nutzungsmöglichkeiten, zum Beispiel den Transfer von digitalen Inhalten zu anderen Geräten oder Nutzern. Ein wesentlicher Baustein des Systems ist ein robustes Protokoll, welches die Überprüfung der Integrität einer entfernten Plattform, die für die Durchsetzung von Sicherheitsrichtlinien verantwortlich ist, ermöglicht.

German
Uncontrolled Keywords: Trust Building, Usage Control, Electronic Business Processes
Alternative keywords:
Alternative keywordsLanguage
Trust Building, Usage Control, Electronic Business ProcessesEnglish
URN: urn:nbn:de:tuda-tuprints-13980
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Security Engineering
Date Deposited: 09 Jun 2009 09:24
Last Modified: 08 Jul 2020 23:19
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/1398
PPN: 212932489
Export:
Actions (login required)
View Item View Item