Approche de spécification et validation de politiques RBAC au niveau des processus métiers

Vignette d'image
Fichiers
TH4685.pdf(3.56 MB)
Date
2017-03-02
Auteurs
Chehida Salim
Nom de la revue
ISSN de la revue
Titre du volume
Éditeur
Université Oran 1 Ahmed Ben Bella
Résumé
La spécification de politiques de contrôle d’accès constitue une étape cruciale dans la sécurité d’un Système d’Information. Le présent travail propose une approche qui combine les langages UML et B pour la spécification et la validation de politiques de contrôle d’accès basées sur le modèle RBAC (Role Based Access Control) au niveau des activités d’un processus métier. Notre approche commence par la spécification semi-formelle des règles de contrôle d’accès à l'aide de notre extension de diagrammes d'activités d’UML2 nommée BAAC@UML (Business Activity Access Control with UML). Les diagrammes d’activités sont définis à deux niveaux : un niveau abstrait qui ne détaille pas les règles d’autorisation et un niveau concret où des contraintes sont associées à certaines actions ou à l’ensemble du diagramme. Notre profil introduit les concepts de rôle et précondition contextuelle de contrôle d'accès pour garder l'accès des utilisateurs aux activités. Nous avons défini un méta-modèle en vue de spécifier la sémantique de nos diagrammes d’activités BAAC@UML ainsi que la sémantique de leurs liens avec les modèles SecureUML qui permettent la spécification de la vue statique d’une politique RBAC. Nous avons également proposé un ensemble de règles, exprimées en OCL, qui permet d’assurer la cohérence structurelle entre les modèles BAAC@UML et les modèles SecureUML. Les modèles BAAC@UML sont ensuite traduits en spécifications formelles exprimées en langage B. La spécification B définit un cadre rigoureux favorisant la vérification et la validation (V&V) de la politique RBAC. Nous avons utilisé l’animateur ProB et le prouveur Atelier B dans les activités de V&V. La preuve assure la conservation des contraintes de sécurité invariantes dans l’exécution de l’activité. L’animation permet de simuler l’exécution des scénarios d’activité par les utilisateurs et de vérifier que la politique RBAC est bien respectée au niveau des modèles d’activités.
Description
Mots-clés
RBAC, Processus métier, SecureUML, Diagramme d’activités d’UML2, Cohérence, Langage B, Animation, Preuve
Citation
URI
https://dspace.univ-oran1.dz/handle/123456789/2176
Collections
Thèses de Doctorat "Informatique"