Présenté par :

Bouafia Doria.

Ziraoui Bouchra.

Proposé et encadré:

Docteur N.Boustia.

1

1. Problématique .

2. Travaux réalisés dans le même axe de recherche

( la délégation).

3. Objectifs .

4. Le contrôle d’accès.

5. La délégation .

6. La notion de non monotonie.

7. Modélisation .

8. Réalisation .

9. Conclusion et perspectives .

2

réaliser un modèle de contrôle d’accès

comprenant la modélisation du concept de

délégation formalisé avec une logique non

monotone .

3

Délégation non monotone dans

le contrôle d’accès

4

Sujet Institution/

organisme de recherche

Caractéristiques

Managing Delegation in

Access Control ModelsENST BRETAGNE • Modèle de délégation

pour OrBAC

• Formalisme utilisé :

logique du premier

ordre

La délégation des

permissions dans le

contrôle d’accès avec

logique de description

Saad Dahleb/

LRIS -USTHB

• Modèle de délégation

pour OrBAC

• Formalisme utilisé:

logique de description.

5

I. Conception d’un modèle de contrôle d’accès :

1) Inspiré d’OrBAC.

2) Incluant la modélisation de la délégation .

3) Basé sur une logique non monotone qui est une

logique défaut () et exception ().

II. Application de ce modèle sur un exemple concret.

les modèles de contrôle

d'accès discrétionnaires.

DAC

les modèles de contrôle

d'accès obligatoires.

MAC

Modèle de sécurité à base de rôle.

RBAC

Inconvénient Majeur :

Ces modèles ne permettent de modéliser que les

politiques de sécurité qui se restreignent à des

permissions statiques .[1]

6

[1]:Anas Abou El Kalam, Rania El Baida, Philippe Balbiani,Salem Benferhat,Frédéric Cuppens, Yves Deswarte, Alexandre

Miège,Claire Saurel, Gilles Trouessin, « ORBAC : un modèle de contrôle d’accès basé sur les organisations », projet RNRT MP6

(Modèles et Politiques de Sécurité des Systèmes d’ Informations et de Communication en Santé et en Social).

OrBAC

7

organisation

Action

sujet

Activité

contexte

Objet

Rôle

Vue

Niveau

concret

Niveau

abstrait

8

Action

sujet

Activité

contexte

Objet

Rôle

Vue

Habilite

Utilise

Considère

Organisation

Définit

9

Action

sujet

Activité

contexte

Objet

Rôle

Vue

PermissionEst-Permis

Niveau

concret

Niveau

abstrait

10

L’organisation

Vue Rôle Activité

Sous-

rôle1

Sous-

rôle2

Sous-

vue1

Sous-

vue2

Sous-

Activité1

Sous-

Activité2

1 2 3

11

Le modèle AdOr-BAC permet d‘administrer une politique de sécurité Or-

BAC. Il permet de gérer toutes ces relations. [2]

PRA (Permission-Role

Assignment)URA (User-Role

Assignment) :

UPA (User-Permission

Assignment) :

Délégation

[2]:Mokhtari Mohamed Amine ,Ghersi Cherifa « Mémoire pour l’obtention d’un Master « Délégation dans le contrôle

d’accès avec logique de description » , juillet 2012

12

Rôle assignment Licence assignment

La délégation permet de donner à un utilisateur particulier

un privilège, sans donner ce privilège à toutes les

personnes ayant le même rôle que lui. [3]

[3]:www.orbac.org.

13

14

Délégation

temporaire/

permanente

Délégation

monotone/non

monotone

Délégation Grant-

dependant/Grant-

independant

Délégation par accord

unilatéral/bilatéral

Délégation

totale/partielle

Délégation

simple/multiple

Délégation par agent

/auto-active

Délégation à un-pas/à

pas-multiple

15

Révocation simple

Révocation GD

Révocation en

cascade

Révocation GID

16

17

TBOX

ABOX

InférenceLangage de

description

Base de

connaissances

Définition des

concepts et leur

propriétés

Déclaration des

instances ( individus)

18

Critère de

comparaison

Logique du premier

ordre

Logique de

description

Complexité Calcul des prédicats

semi décidable

Algorithmes

d’inférence

décidables et parfois

polynomiaux.

Structuration des

connaissances NON OUI

19

CClassicδε

comprend tous les connecteurs

de la LD C‐CLASSIC

les connecteurs δ

et ε d’ALδε

21

20

21

La TBOX

Des entités et

relations d’OrBAC

La ABOX

des individus de la

TBOX décrite

(instances)

Représentation

logique

Représentation

logique

De la délégation

Héritage

22

Contexte

défaut

Contexte

exception

δ Est-Permis ⊑ δ Permission ⊓ Habilite ⊓ Utilise

⊓ Considère

Est-Permis ε ⊑ Permission ε ⊓ Habilite ⊓ Utilise

⊓ Considère

Par défaut, le contexte est normal·

toute action qui n’est pas permise est interdite.

Est-Permis ⊑ Est-Permis ε

Est-Permis ⊑ δ Est-Permis

23

Licence

assignement Rôle

assignement

Licence

Délégation

Grant option

Licence Licence transfer

Rôle

Délégation

Vues

administratives

Vues de

Délégation

Cessionnaire

C’est un sujet ou

un rôle qui

délègue une

licence, c’est le

délégant.

24

25

Licence

Délégation

Contexte

exceptionContexte défaut

Délégation

Partielle

Délégation Permanente Délégation Temporaire

Permission ⊑ UtiliseL.Licence_Délégation ⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action⊓ CibleL.Objet .

Permission ε ⊑ UtiliseL.Licence_Délégation ⊓ BénéficiaireL.bénéficiaire

⊓ PrivilègeL.Action⊓ CibleL.Objet .

1

1

2

2

26

Rôle

DélégationDélégation totale

Habilite ⊑ UtiliseRD.Rôle_Délégation ⊓ AssigneeRD.bénéficiaire ⊓AssignmentRD.Rôle.

27

Grant Option

Licence

Contexte

exceptionContexte défaut

Délégation à

n-pas.Délégation à

1-pas.

Permission ⊑ UtiliseL.GOL⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action ⊓ CibleL.Objet ⊓ niveau <=niveauMax

Permission ⊑ UtiliseL.GOL⊓ BénéficiaireL.bénéficiaire⊓PrivilègeL.Action ⊓ Cible.Objet⊓ niveau <=niveauMax

1

1

2

2

28

Licence

Transfer

Contexte

exceptionContexte défaut

Délégation

Non monotone

Délégation

Monotone

Licence_Délégation ⊑ UtiliseL.licence_transfer

Licence_Délégation ⊑ UtiliseL.licence_transfer

1

1

2

2

29

30

Révocation GD

Révocation GID

Révocation en

cascade

Définit ⊑ UtiliseL.Licence_Délégation ⊓CessionnaireL.cessionnaire.

Définit ⊑ UtiliseL.Licence_Délégation ⊓CessionnaireL.cessionnaire ⊓ HabiliteGR.Rôle⊓HabiliteU.Rôle.

Délégation en

cascade

Licence

délégation

31

32

Le Système d’information médical du service de

cardiologie de l’hôpital Frantz-Fanon.

1. Nous avons dressé trois organigrammes pour la

hiérarchisation de rôles , d’activités et de vues .

2. Cette hiérarchisation est particulièrement utile pour

appliquer le mécanisme d’inférence d’héritage .

3. Nous avons dressé une ABOX reflétant le service de

cardiologie tel qu’il est, en prenant en considération

que les rôles principaux vue l’effectif de ce service.

33

Ajout/modification

/suppression

Ajout /

suppression

Service

d’interrogation

Pour avoir

l’état actuel de

la base

Des entités

OrBACDes relations

OrBAC

34

Expression de la

délégation

Administration de

la délégation

Révocation avec ses

différents types

Expression des

différents types de

délégation

Gestion de cessionnaires

35

Nous avons conçu un modèle de sécurité dynamique et

contextuelle où:

on peut exprimer la délégation avec ses différents types en

utilisant les entités et relations définies dans le modèle

OrBAC.

la modélisation a été réalisée avec une logique de

description augmentée des operateurs et pour

l’expression du contexte .

36

Prendre en compte d’autres contextes tels que le contexte temporel et

spatial.

Intégrer à notre modèle, en plus des permissions les obligations et les

recommandations.

Etendre la prise en charge des types de délégations à tous les types

existants .

37