Static verification and enforcement of authorization policies

Abstract

La tesi affronta il problema della verifica e dell'imposizione di politiche di autorizzazione tramite tecniche di analisi statica. I contributi principali sono tre: una semantica formale per grsecurity, che permette di validare in modo efficiente una serie di proprietà di sicurezza desiderabili per una gestione degli accessi basata su ruoli; un'estensione di RCF basata su logica affine per garantire il rispetto di espressive politiche di autorizzazione relative all'utilizzo di risorse; una metodologia di verifica per applicazioni Android atta a garantire una forma di controllo degli accessi protetta da acquisizione indebita di privilegi. Tutte le tecniche proposte sono dimostrate corrette e sono discusse le problematiche relative alla loro implementazione pratica.

The thesis addresses the problem of the verification and enforcement of authorization policies through static analysis techniques. The main contributions are threefold: a formal semantics for grsecurity, which allows us to effectively validate a number of desirable security properties for role-based access control systems; an extension of RCF based on affine logic, to guarantee the enforcement of expressive authorization policies predicating on resource usage bounds; a verification methodology for Android applications, targeted to the enforcement of an access control policy robust against privilege escalation attacks. All the proposed techniques are proved sound and the issues related to their practical implementation are discussed.