Sécurité de la base de données cadastrales / Security cadastral database

El Khalil, Firas

28 January 2015

Le contrôle d'agrégation dit Quantity Based Aggregation (QBA) est lié au contrôle de l'inférence dans les bases de données et a rarement été traité par la communauté scientifique. Considérons un ensemble S formé de N éléments. L'agrégation d'éléments de l'ensemble S n'est considérée comme étant confidentielle qu'à partir d'un certain seuil k, avec k < N. Le but du contrôle QBA est donc de garantir que le nombre d'éléments de S délivrés à un utilisateur reste toujours inférieur à k. Dans cette thèse, nous traitons du problème du contrôle QBA dans les bases de données cadastrales. Ce travail répond à un besoin du service des affaires foncières de la Polynésie française. La politique de sécurité qu'il nous a été demandé d'implanter donne le droit à chaque utilisateur de connaître le propriétaire de n'importe quelle parcelle. Cette permission est toutefois limitée par les interdictions suivantes: l'utilisateur ne doit jamais arriver à connaître 1- tous les propriétaires dans une région donnée, et 2- toutes les parcelles appartenant au même propriétaire. Chacune de ces interdictions correspond, de manière évidente, à un problème de type QBA. Dans cette thèse, nous développons d'abord un modèle pour assurer la première interdiction, ensuite nous montrons comment adapter notre modèle à la seconde interdiction. Nous présentons, en outre, une implémentation de notre modèle pour les bases de données relationnelles. / Quantity Based Aggregation (QBA) controls closely related to inference control database and has been rarely addressed by the scientific community. Let us consider a set S of N elements. The aggregation of k elements, at most, out of N is not considered sensitive, while the aggregation of mor than k out of N elements is considered sensitive and should be prevented. The role of QBA control is to make sure the number of disclosed elements of S is less than or equal to k, where k<N. In this thesis we work on QBA problems in the context of cadastral databases. This work addresses an actual need of the real-estate service of French Polynesia. The security policy, that we were asked to implement, gives every user the right to know the owner of any parcel in the database. This permission is, however, constrained with the following prohibitions: the user cannot acquire the knowledge of the owners of all parcels in a given region, and all parcels belonging to the same owner. Each prohibition represents, obviously, a distinct QBA problem. In this manuscript, we develop a model to enforce the first prohibition, then we show how this work can be adapted to the enforcement of the second prohibition. Afterwards, we present an implementation for relational databases. Our model addresses several aspects: We take collusions into account (when multiple users collaborate to circumvent the security policy). We discuss the notion of a region and we propose two basic definitions: the “zone” and the “dominant zone.” • We discuss database updates specific to the cadastral application, and its implications on QBA control. We propose a scheme to handle buy, sell, merge and split operations. We propose a strategy to handle access history in order to guarantee that honest users do not get blocked indefinitely on a set of accessible parcels, thus increasing the availability and the utility of the database. At the end of this manuscript we present the prototype we developed to showcase QBA control, in addition to benchmarks showing the advantage of one definition of a region (the “dominant zone”) over another (the “zone”). We show that the adoption of the “dominant zone” increases data availability and improves the performance of the QBA control enforcement algorithm.

Sécurité

Base de données

Controle d'Accès

Inférence

Agrégation

Security

Database

Control access

Access control and inference problem in data integration systems / Problème d'inférence et contrôle d'accès dans les systèmes d'intégration de données

Haddad, Mehdi

01 December 2014

Dans cette thèse nous nous intéressons au contrôle d’accès dans un système issu d’une intégration de données. Dans un système d’intégration de données un médiateur est défini. Ce médiateur a pour objectif d’offrir un point d’entrée unique à un ensemble de sources hétérogènes. Dans ce type d’architecture, l’aspect sécurité, et en particulier le contrôle d’accès, pose un défi majeur. En effet, chaque source, ayant été construite indépendamment, définit sa propre politique de contrôle d’accès. Le problème qui émerge de ce contexte est alors le suivant : "Comment définir une politique représentative au niveau du médiateur et qui permet de préserver les politiques des sources de données impliquées dans la construction du médiateur?" Préserver les politiques des sources de données signifie qu’un accès interdit au niveau d’une source doit également l’être au niveau du médiateur. Aussi, la politique du médiateur doit préserver les données des accès indirects. Un accès indirect consiste à synthétiser une information sensible en combinant des informations non sensibles et les liens sémantiques entre ces informations. Détecter tous les accès indirects dans un système est appelé problème d’inférence. Dans ce manuscrit, nous proposons une méthodologie incrémentale qui permet d’aborder le problème d’inférence dans un contexte d’intégration de données. Cette méthodologie est composée de trois phases. La première, phase de propagation, permet de combiner les politiques sources et ainsi générer une politique préliminaire au niveau médiateur. La deuxième phase, phase de détection, caractérise le rôle que peuvent jouer les relations sémantiques entre données afin d’inférer une information confidentielle. Par la suite, nous introduisant, au sein de cette phase, une approche basée sur les graphes afin d’énumérer tous les accès indirects qui peuvent induire l’accès à une information sensible. Afin de remédier aux accès indirects détectés nous introduisons la phase de reconfiguration qui propose deux solutions. La première solution est mise en œuvre au niveau conceptuel. La seconde solution est mise en œuvre lors de l’exécution. / In this thesis we are interested in controlling the access to a data integration system. In a data integration system, a mediator is defined. This mediator aims at providing a unique entry point to several heterogeneous sources. In this kind of architecture security aspects and access control in particular represent a major challenge. Indeed, every source, designed independently of the others, defines its own access control policy. The problem is then: "How to define a representative policy at the mediator level that preserves sources’ policies?" Preserving the sources’ policies means that a prohibited access at the source level should also be prohibited at the mediator level. Also, the policy of the mediator needs to protect data against indirect accesses. An indirect access occurs when one could synthesize sensitive information from the combination of non sensitive information and semantic constraints. Detecting all indirect accesses in a given system is referred to as the inference problem. In this manuscript, we propose an incremental methodology able to tackle the inference problem in a data integration context. This methodology has three phases. The first phase, the propagation phase, allows combining source policies and therefore generating a preliminary policy at the mediator level. The second phase, the detection phase, characterizes the role of semantic constraints in inducing inference about sensitive information. We also introduce in this phase a graph-based approach able to enumerate all indirect access that could induce accessing sensitive information. In order to deal with previously detected indirect access, we introduce the reconfiguration phase which provides two solutions. The first solution could be implemented at design time. The second solution could be implemented at runtime.

Informatique

Sécurité informatique

Controle d'accès

Intégration de données

Problème dinférence

Intégration de politique d'autorisation

Information Technology

Data security

Access control

Data integration

Inference problem

Authorization policy integration

005.807 2