Definition of a formal framework for specifying security policies. The Or-BAC model and extensions. - Archive ouverte HAL Access content directly
Theses Year : 2005

Definition of a formal framework for specifying security policies. The Or-BAC model and extensions.

Définition d'un environnement formel d'expression de politiques de sécurité. Modèle Or-BAC et extensions.

(1)
1

Abstract

This thesis presents a new access control model called Or-BAC (Organization-Based Access Control). We aim at overcoming the limitations of the existing models while simplifying the security policy specification. We suggest a more expressive and modular model that enables us to make a distinction between the policy and its concrete implementation. This is obtained by making an abstraction of the traditional access control entities subject, action and object. Actually, subjects are empowered in roles, objects are used in views and actions implement activities. Furthermore, the concept of organization is central in our model. This makes it possible to better analyze interporability between organizations and to model an organization structure. Three other features are tackled in this dissertation. First, in order to obtain dynamic security rules, we introduce the entity context. It enables us to define in which circumstances authorizations must be activated and deactivated. Second, we consider negative authorizations since it allows to more easily specifying complex policies. As conflicts might occur between positive and negative authorizations, we provide a parametric conflict management strategy that allows us to detect and resolve potential conflicts. Finally, we define an administration model called AdOr-BAC. This administration model is fully compliant with Or-BAC and offers convenient and flexible means to manage Or-BAC policies. The last part of the dissertation is dedicated to two implementation works: The application to a network environment and the development of a prototype application, OToKit, used to design Or-BAC policies and to detect and solve conflicts.
Nous présentons dans cette thèse un nouveau modèle de contrôle d'accès dénommé Or-BAC, Organization Based Access Control. Il vise à pallier les limites des modèles de sécurité existants tout en simplifiant la spécification d'une politique de sécurité. Nous proposons un modèle plus riche et plus modulaire qui permet de distinguer la rédaction de la politique de sécurité de son implantation. Ceci est rendu possible par l'abstraction des entités traditionnelles du contrôle d'accès: les sujets sont employés dans des rôles, les objets sont utilisés dans des vues et les actions implémentent des activités. De plus l'organisation dans laquelle un règlement de sécurité est défini prend une place centrale dans ce nouveau modèle. On peut ainsi analyser l'interopérabilité d'organisations ayant chacune leur politique de sécurité et par ailleurs modéliser la structure des organisations. Trois autres aspects sont détaillés dans ce mémoire. Premièrement, afin d'obtenir un règlement de sécurité dynamique, nous intégrons une large variété de contextes. De tels contextes permettent d'activer ou de désactiver des autorisations. Deuxièmement, nous offrons la possibilité d'exprimer des autorisations négatives et définissons une méthode de gestion des conflits entre autorisations positives et négatives qui a la particularité d'être paramétrable et de permettre de détecter et surtout de prévenir les conflits. Enfin, nous associons à notre modèle un modèle d'administration, AdOr-BAC, qui permet de gérer l'ensemble d'une politique de sécurité Or-BAC de façon flexible et décentralisée. Nous présentons également deux travaux de mise en œuvre: l'adaptation de notre modèle dans un environnement réseau et le développement d'OToKit, une maquette de saisie et de validation d'une politique de sécurité Or-BAC.
Fichier principal
Vignette du fichier
These_Alexandre_Miege.pdf (1.17 Mo) Télécharger le fichier
Loading...

Dates and versions

pastel-00001376 , version 1 (08-09-2005)

Identifiers

  • HAL Id : pastel-00001376 , version 1

Cite

Alexandre Miège. Definition of a formal framework for specifying security policies. The Or-BAC model and extensions.. domain_other. Télécom ParisTech, 2005. English. ⟨NNT : ⟩. ⟨pastel-00001376⟩
332 View
1002 Download

Share

Gmail Facebook Twitter LinkedIn More