View
177
Download
2
Category
Preview:
Citation preview
Présenté par :
Bouafia Doria.
Ziraoui Bouchra.
Proposé et encadré:
Docteur N.Boustia.
1
1. Problématique .
2. Travaux réalisés dans le même axe de recherche
( la délégation).
3. Objectifs .
4. Le contrôle d’accès.
5. La délégation .
6. La notion de non monotonie.
7. Modélisation .
8. Réalisation .
9. Conclusion et perspectives .
2
réaliser un modèle de contrôle d’accès
comprenant la modélisation du concept de
délégation formalisé avec une logique non
monotone .
3
Délégation non monotone dans
le contrôle d’accès
4
Sujet Institution/
organisme de recherche
Caractéristiques
Managing Delegation in
Access Control ModelsENST BRETAGNE • Modèle de délégation
pour OrBAC
• Formalisme utilisé :
logique du premier
ordre
La délégation des
permissions dans le
contrôle d’accès avec
logique de description
Saad Dahleb/
LRIS -USTHB
• Modèle de délégation
pour OrBAC
• Formalisme utilisé:
logique de description.
5
I. Conception d’un modèle de contrôle d’accès :
1) Inspiré d’OrBAC.
2) Incluant la modélisation de la délégation .
3) Basé sur une logique non monotone qui est une
logique défaut () et exception ().
II. Application de ce modèle sur un exemple concret.
les modèles de contrôle
d'accès discrétionnaires.
DAC
les modèles de contrôle
d'accès obligatoires.
MAC
Modèle de sécurité à base de rôle.
RBAC
Inconvénient Majeur :
Ces modèles ne permettent de modéliser que les
politiques de sécurité qui se restreignent à des
permissions statiques .[1]
6
[1]:Anas Abou El Kalam, Rania El Baida, Philippe Balbiani,Salem Benferhat,Frédéric Cuppens, Yves Deswarte, Alexandre
Miège,Claire Saurel, Gilles Trouessin, « ORBAC : un modèle de contrôle d’accès basé sur les organisations », projet RNRT MP6
(Modèles et Politiques de Sécurité des Systèmes d’ Informations et de Communication en Santé et en Social).
OrBAC
7
organisation
Action
sujet
Activité
contexte
Objet
Rôle
Vue
Niveau
concret
Niveau
abstrait
8
Action
sujet
Activité
contexte
Objet
Rôle
Vue
Habilite
Utilise
Considère
Organisation
Définit
9
Action
sujet
Activité
contexte
Objet
Rôle
Vue
PermissionEst-Permis
Niveau
concret
Niveau
abstrait
10
L’organisation
Vue Rôle Activité
Sous-
rôle1
Sous-
rôle2
Sous-
vue1
Sous-
vue2
Sous-
Activité1
Sous-
Activité2
1 2 3
11
Le modèle AdOr-BAC permet d‘administrer une politique de sécurité Or-
BAC. Il permet de gérer toutes ces relations. [2]
PRA (Permission-Role
Assignment)URA (User-Role
Assignment) :
UPA (User-Permission
Assignment) :
Délégation
[2]:Mokhtari Mohamed Amine ,Ghersi Cherifa « Mémoire pour l’obtention d’un Master « Délégation dans le contrôle
d’accès avec logique de description » , juillet 2012
12
Rôle assignment Licence assignment
La délégation permet de donner à un utilisateur particulier
un privilège, sans donner ce privilège à toutes les
personnes ayant le même rôle que lui. [3]
[3]:www.orbac.org.
13
14
Délégation
temporaire/
permanente
Délégation
monotone/non
monotone
Délégation Grant-
dependant/Grant-
independant
Délégation par accord
unilatéral/bilatéral
Délégation
totale/partielle
Délégation
simple/multiple
Délégation par agent
/auto-active
Délégation à un-pas/à
pas-multiple
15
Révocation simple
Révocation GD
Révocation en
cascade
Révocation GID
16
17
TBOX
ABOX
InférenceLangage de
description
Base de
connaissances
Définition des
concepts et leur
propriétés
Déclaration des
instances ( individus)
18
Critère de
comparaison
Logique du premier
ordre
Logique de
description
Complexité Calcul des prédicats
semi décidable
Algorithmes
d’inférence
décidables et parfois
polynomiaux.
Structuration des
connaissances NON OUI
19
CClassicδε
comprend tous les connecteurs
de la LD C‐CLASSIC
les connecteurs δ
et ε d’ALδε
21
20
21
La TBOX
Des entités et
relations d’OrBAC
La ABOX
des individus de la
TBOX décrite
(instances)
Représentation
logique
Représentation
logique
De la délégation
Héritage
22
Contexte
défaut
Contexte
exception
δ Est-Permis ⊑ δ Permission ⊓ Habilite ⊓ Utilise
⊓ Considère
Est-Permis ε ⊑ Permission ε ⊓ Habilite ⊓ Utilise
⊓ Considère
Par défaut, le contexte est normal·
toute action qui n’est pas permise est interdite.
Est-Permis ⊑ Est-Permis ε
Est-Permis ⊑ δ Est-Permis
23
Licence
assignement Rôle
assignement
Licence
Délégation
Grant option
Licence Licence transfer
Rôle
Délégation
Vues
administratives
Vues de
Délégation
Cessionnaire
C’est un sujet ou
un rôle qui
délègue une
licence, c’est le
délégant.
24
25
Licence
Délégation
Contexte
exceptionContexte défaut
Délégation
Partielle
Délégation Permanente Délégation Temporaire
Permission ⊑ UtiliseL.Licence_Délégation ⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action⊓ CibleL.Objet .
Permission ε ⊑ UtiliseL.Licence_Délégation ⊓ BénéficiaireL.bénéficiaire
⊓ PrivilègeL.Action⊓ CibleL.Objet .
1
1
2
2
26
Rôle
DélégationDélégation totale
Habilite ⊑ UtiliseRD.Rôle_Délégation ⊓ AssigneeRD.bénéficiaire ⊓AssignmentRD.Rôle.
27
Grant Option
Licence
Contexte
exceptionContexte défaut
Délégation à
n-pas.Délégation à
1-pas.
Permission ⊑ UtiliseL.GOL⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action ⊓ CibleL.Objet ⊓ niveau <=niveauMax
Permission ⊑ UtiliseL.GOL⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action ⊓ Cible.Objet⊓ niveau <=niveauMax
1
1
2
2
28
Licence
Transfer
Contexte
exceptionContexte défaut
Délégation
Non monotone
Délégation
Monotone
Licence_Délégation ⊑ UtiliseL.licence_transfer
Licence_Délégation ⊑ UtiliseL.licence_transfer
1
1
2
2
29
30
Révocation GD
Révocation GID
Révocation en
cascade
Définit ⊑ UtiliseL.Licence_Délégation ⊓CessionnaireL.cessionnaire.
Définit ⊑ UtiliseL.Licence_Délégation ⊓CessionnaireL.cessionnaire ⊓ HabiliteGR.Rôle⊓HabiliteU.Rôle.
Délégation en
cascade
Licence
délégation
31
32
Le Système d’information médical du service de
cardiologie de l’hôpital Frantz-Fanon.
1. Nous avons dressé trois organigrammes pour la
hiérarchisation de rôles , d’activités et de vues .
2. Cette hiérarchisation est particulièrement utile pour
appliquer le mécanisme d’inférence d’héritage .
3. Nous avons dressé une ABOX reflétant le service de
cardiologie tel qu’il est, en prenant en considération
que les rôles principaux vue l’effectif de ce service.
33
Ajout/modification
/suppression
Ajout /
suppression
Service
d’interrogation
Pour avoir
l’état actuel de
la base
Des entités
OrBACDes relations
OrBAC
34
Expression de la
délégation
Administration de
la délégation
Révocation avec ses
différents types
Expression des
différents types de
délégation
Gestion de cessionnaires
35
Nous avons conçu un modèle de sécurité dynamique et
contextuelle où:
on peut exprimer la délégation avec ses différents types en
utilisant les entités et relations définies dans le modèle
OrBAC.
la modélisation a été réalisée avec une logique de
description augmentée des operateurs et pour
l’expression du contexte .
36
Prendre en compte d’autres contextes tels que le contexte temporel et
spatial.
Intégrer à notre modèle, en plus des permissions les obligations et les
recommandations.
Etendre la prise en charge des types de délégations à tous les types
existants .
37
Recommended