Contextinformatie maakt dienstverlening veiliger
Het gebruik van sensorinformatie voor het verbeteren van onze informatie- en communicatietechnologie (ICT) is heel populair op dit moment. GPS-locatie-informatie wordt gebruikt voor routeplanning, RFID-statusinformatie voor het optimaliseren van de logistiek, en GSM-celinformatie voor het personaliseren van de dienstverlening. Het gebruik van dit soort informatie voor het verbeteren van de ICT-beveiliging staat nog in de kinderschoenen maar biedt interessante mogelijkheden.
De huidige beveiligingsmechanismen voor toegang tot diensten of informatie zijn relatief statisch van aard. Ze zijn gebaseerd op het beveiligingsprincipe van iets hebben (een gebruikersnaam), iets weten (een wachtwoord) en iets zijn (een vingerafdruk). In moderne, heterogene en dynamische communicatieomgevingen wordt het steeds moeilijker om vast te houden aan dit principe. Een aantal redenen is hiervoor aan te wijzen.
Ten eerste is de beveiliging een te grote storende factor bij het gebruiken van diensten of om toegang te krijgen tot bepaalde informatie. Te vaak een wachtwoord intoetsen wekt ergernis op waardoor mensen eerder afhaken. Een tweede reden is dat het uitrollen van een beveiligingsinfrastructuur, zoals bijvoorbeeld een PKI, erg duur is en veel organisatorische inspanningen vereist. Een laatste cruciale factor is dat de identiteit van de gebruiker niet relevant is in veel gevallen. Veel belangrijker is het om te weten hoe oud iemand is of waar hij zich bevindt.
Contextinformatie, zoals locatie, kan als vierde dimensie aan het hierboven beschreven beveiligingsprincipe worden toegevoegd. Andere contextuele informatiebronnen zijn bijvoorbeeld snelheid, temperatuur, batterijvermogen, hartslag of het niveau van authenticatie. Zonder dat we het vaak zelf weten maken we in onze fysieke wereld al dagelijks gebruik van contextinformatie voor beveiligingsdoeleinden. Een politieman wordt bijvoorbeeld visueel geauthenticeerd op grond van zijn uniform, en de wetenschap dat er een arts in de buurt is geeft ons meer vertrouwen bij het afdalen van de skipiste. Ook in de beveiligingswereld wordt al enige tijd succes geboekt met het gebruik van contextinformatie. Op sommige vliegvelden werken beveiligingsemployés die niet geïnteresseerd zijn in de identiteit van de reiziger maar erop letten hoe hij zich gedraagt: of hij zenuwachtig is, transpireert, alleen reist, bagage bij zich heeft etcetera. Elk afwijkend gedrag wordt gebruikt om mensen aan te spreken, erachter te komen wat de ware intenties zijn, en eventueel de toegang tot het vliegtuig te ontzeggen.
Transparantie
Het gebruik van contextinformatie biedt interessante mogelijkheden voor het beveiligen van moderne communicatieomgevingen. Het is op zich niet nieuw. In verschillende settings is al geëxperimenteerd met het toepassen van contextgebaseerde beveiliging. De satelliettelevisie-industrie heeft geëxperimenteerd met locatiegebaseerde authenticatie van settop boxen om zo de locatie ervan te kunnen traceren (om te voorkomen dat zij bijvoorbeeld over de landsgrens werden geplaatst en copyrightwetten zouden schenden). In een Wireless LAN-omgeving zijn proeven gedaan om op grond van de signaalsterkte tussen het mobiele toestel en het access point, wat gebruikt kan worden als een maat voor de afstand, toegang te verlenen tot diensten op het Wireless LAN. Voor militaire doeleinden is een oplossing bedacht voor het versleutelen van vertrouwelijke gegevens met behulp van locatie-informatie op een zodanige manier dat de gegevens pas leesbaar worden als men op de juiste locatie is aangekomen. In de medische sector is bestudeerd hoe met behulp van contextinformatie de toegang tot applicaties in een hectische ziekenhuisomgeving vereenvoudigd kan worden. Tenslotte zijn er ook tal van toepassingen voorgesteld in zogenaamde ‘smart home’-omgevingen. Te denken valt dan aan authenticatie op grond van iemands manier van lopen op een drukgevoelige ondergrond of aan het aangeven van iemands beschikbaarheid op grond van de huidige situatie in het huis of activiteit.
De drijfveren voor deze experimenten zijn evident: meer transparantie van de beveiliging omdat contextinformatie zoals GPS-locatie, vaak zonder enige gebruikersinteractie automatisch verwerkt kan worden, meer flexibiliteit in het definiëren van de toegangsrechten, en meer privacy omdat de identiteit van de gebruiker niet meer nodig is, alleen zijn context (wat op zich ook weer privacyvragen oproept).
Desalniettemin kleven er nog wat nadelen aan contextgebaseerde beveiliging (die er veelal toe hebben geleid dat de bovenstaande voorbeelden vaak niet verder kwamen dan het experimentele stadium). Het grootste nadeel van contextinformatie is het publieke karakter en de voorspelbaarheid ervan. Dit in tegenstelling tot het ‘geheime’ wachtwoord of de private key die momenteel gebruikt wordt in de ICT-beveiliging. Het is dus van essentieel belang dat de gebruikte contextinformatie goed geverifieerd wordt.
Privacy is een ander knelpunt dat vaak gekoppeld is aan het gebruik van contextinformatie. Belangrijk is om ervoor te zorgen dat er een goede ontkoppeling is van de contextinformatie met de identiteit van de eigenaar ervan. Bovenal moet de eigenaar ingestemd hebben met het gebruik van de contextinformatie voor beveiligingsdoeleinden. Andere nadelen zijn de accuraatheid van de contextinformatie, het up-to-date zijn ervan, en in veel gevallen het ontbreken van de benodigde technische infrastructuur voor het overdragen (doorgeven) van de contextinformatie. Met name het up-to-date houden van contextinformatie zal een grote impact op de messaging-overhead van de infrastructuur hebben. Zo’n ‘context-aware’-infrastructuur zal bestaan uit contextproviders en brokers die er respectievelijk voor zorgen dat de contextinformatie van een gebruiker - de eigenaar - op een integere manier gemanaged wordt en op een zodanige manier aangeboden wordt aan serviceproviders dat zij er hun beveiliging mee kunnen verbeteren (zie figuur). Een context-aware-infrastructuur vormt een essentiële basis voor contextgebaseerde beveiliging en begint nu pas van de grond te komen, zij het dan vooral voor de al eerder genoemde logistieke of gepersonaliseerde diensten.
In de trein
In veel van de genoemde experimenten wordt contextinformatie als extra parameter in het authenticatie- of toegangsproces gebruikt. Naast de gebruikersnaam en het wachtwoord kan bijvoorbeeld de locatie worden meegenomen. Echter, de beveiliging kan ook volledig gebaseerd zijn op contextinformatie. Potentiële toepassingen liggen met name bij de toegangscontrole: bij 130 kilometer per uur in de trein toegang krijgen tot het nieuwste on line Colin McRae Rally-spel, alleen museumbezoekers toegang geven tot de virtuele rondleiding, hackers op de parkeerplaats uitsluiten van Wireless LAN-toegang, of de toegang tot bedrijfsvertrouwelijke digitale informatie blokkeren voor medewerkers die in Zuid-Amerika zijn.
Het proces om toegang te krijgen tot diensten of informatie bestaat uit een aantal fases. Allereerst moet de gebruiker geauthenticeerd worden. Hiervoor dient hij de nodige gegevens te verstrekken. Belangrijk is dat deze gegevens geverifieerd kunnen worden. Als de gebruiker geauthenticeerd is, wordt gekeken naar de rechten die deze gebruiker heeft. Pas na deze controle wordt al dan niet toegang verstrekt aan de gebruiker (zie tabel).
Naast het transparant toegang verkrijgen op grond van contextinformatie, zal ook de toegang op een gebruikersvriendelijke manier geweigerd moeten worden als niet meer aan de contextuele toegangsvoorwaarden wordt voldaan.
Vanwege het publieke karakter van contextinformatie is de verificatie ervan voor beveiligingsdoeleinden uitermate belangrijk. Verificatie van contextinformatie kan op een aantal manier gebeuren. De meest voor de hand liggende optie is om te vergelijken met een betrouwbaar referentiepunt. Met behulp van GPS-ontvangers kan bijvoorbeeld de snelheid van een reiziger in de trein worden vergeleken met de snelheid van de trein zelf of van de conducteur in die trein. Een gelijke snelheid levert toegang op tot het Colin McRae-spel. Hieruit blijkt ook het belang van een goede synchronisatie tussen de informatie van de reiziger en die van de conducteur: een minimaal tijdsverschil kan al resulteren in een mismatch tussen de gegevens met als gevolg dat de toegang tot het spel ontzegd wordt.
In het geval dat er geen betrouwbare referentiepunten aanwezig zijn, kan gekeken worden naar andere reizigers in dezelfde trein. Het samenzijn van meerdere individuen (anonieme treinreizigers) in dezelfde context (met gelijke snelheid), vormt voldoende bewijs om uit te sluiten dat de door een individu aangeleverde contextinformatie is vervalst of gegokt.
Een andere meer geavanceerde verificatiemethode is om op grond van ervaringen, geschiedenis, statistieken of patronen, te voorspellen met wie we te maken hebben. Locatiegeschiedenis en bewegingspatronen kunnen worden gebruikt om de actuele locatie van een gebruiker beter te bepalen.
’s Nachts
Kan, in vergelijking met de huidige identificerende technieken, met contextinformatie een voldoende hoog niveau van beveiliging worden bereikt? Een pasklaar antwoord op deze vraag is er niet. Het hangt af van het type dienst dat aangeboden wordt, de grootte van de gebruikersgroep, financiële middelen, privacy-aspecten et cetera. De vraag kan ook worden omgedraaid: geef ik iemand lees- en schrijfrechten als ik wel de identiteit van hem weet, maar niet weet dat hij bijvoorbeeld in Zuid-Amerika of het Midden-Oosten zit? Met andere woorden, ook de pure identificerende technieken zijn voor verbetering vatbaar. Zeker is dat het beveiligingsniveau van de huidige technieken enorm verhoogd kan worden als contextinformatie meegenomen wordt. Het kan bijvoorbeeld argwaan wekken, en daardoor leiden tot extra beveiligingsmaatregelen, wanneer een netwerkbeheerder om drie uur ’s nachts inlogt terwijl hij dat normaal gesproken om negen uur ’s ochtends doet.
Kortom, met het oprukken van GPS, RFID en andere sensornetwerken in onze informatie- en communicatiemaatschappij kan het gebruik van de hiermee gegenereerde informatie interessante mogelijkheden bieden voor het verhogen, flexibel en transparant maken van de beveiliging van elektronische dienstverlening. Door niet alleen de context van een individuele gebruiker in acht te nemen, maar ook die van anderen met een soortgelijke context, kunnen er op een efficiënte manier beslissingen genomen worden in het toegangsproces. Er zullen echter nog heel wat componenten ontwikkeld moeten worden om de verzamelde contextinformatie op een goede en slimme manier te verwerken zodat zij bruikbaar wordt voor beveiligingsdoeleinden.
Dr. Bob Hulsebosch is als onderzoeker en beveiligingsspecialist werkzaam bij het Telematica Instituut te Enschede.
Context-aware infrastructuur
De figuur geeft enkele essentiële componenten weer voor het verwerken van contextinformatie. Een contextsensor, in dit geval een GPS-ontvanger, communiceert met client-software op de (mobiele) terminal van de gebruiker. De uitgelezen GPS-informatie wordt vervolgens veilig opgeslagen en beheerd door een contextprovider. Hierdoor kunnen andere partijen, zonder de gebruiker lastig te vallen, gebruik maken van de informatie. De contextprovider heeft een vertrouwensrelatie met de gebruiker. Als de gebruiker vervolgens van een omgevingsbewuste on line dienst gebruik wil maken, kan de serviceprovider vragen naar de gewenste locatie-informatie. Een context broker kan hierin op een efficiënte manier voorzien. Zo’n broker verzamelt contextinformatie bij contextproviders en interpreteert deze informatie zodanig dat het bruikbaar is voor de serviceprovider. Als de verzamelde en geverifieerde contextinformatie voldoet aan de toegangseisen, wordt de dienst aangeboden aan de gebruiker. In dit geval zal gecontroleerd worden of de gebruiker zich bevindt op een locatie die recht geeft op toegang tot de dienst. In het vervolg zal de serviceprovider regelmatig de locatie van de gebruiker opvragen om te controleren of hij nog steeds recht op toegang heeft.
Toegangs-processen
De toegangscontrole tot diensten of informatie kan op verschillende manieren worden geïmplementeerd. Bekende voorbeelden zijn de conventionele gebruikersnaam/wachtwoordcombinatie, digitale certificaten met public keys of rolgebaseerde toegang. De verschillen tussen deze hedendaagse en context-gebaseerde toegangsprocessen zitten voornamelijk in de authenticatie- en verificatiefases. De tabel laat zien hoe in de verschillende gevallen de toegang wordt bepaald.