Extension paramétrée de compilateur certifié pour la programmation parallèle / Parameterised extension of certified compiler for parallel programming

Dailler, Sylvain

17 December 2015

Les applications informatiques sont de plus en plus présentes dans nos vies. Pour les applications critiques (médecine, transport, . . .), les conséquences d’une erreur informatique ont un coût inacceptable, que ce soit sur le plan humain ou financier. Une des méthodes pour éviter la présence d’erreurs dans les programmes est la vérification déductive. Celle-ci s’applique à des programmes écrits dans des langages de haut-niveau transformés, par des compilateurs, en programmes écrits en langage machine. Les compilateurs doivent être corrects pour ne pas propager d’erreurs au langage machine. Depuis 2005, les processeurs multi-coeurs se sont répandus dans l’ensemble des systèmes informatiques. Ces architectures nécessitent des compilateurs et des preuves de correction adaptées. Notre contribution est l’extension modulaire d’un compilateur vérifié pour un langage parallèle ciblant des architectures parallèles multi-coeurs. Les spécifications des langages (et leurs sémantiques opérationnelles) présents aux divers niveaux du compilateur ainsi que les preuves de la correction du compilateur sont paramétrées par des modules spécifiant des éléments de parallélisme tels qu’un modèle mémoire faible et des notions de synchronisation et d’ordonnancement entre processus légers. Ce travail ouvre la voie à la conception d’un compilateur certifié pour des langages parallèles de haut-niveau tels que les langages à squelettes algorithmiques. / Nowadays, we are using an increasing number of computer applications. Errors in critical applications (medicine, transport, . . .) may carry serious health or financial issues. Avoiding errors in programs is a challenge and may be achieved by deductive verification. Deductive verification applies to program written in a high-level languages, which are transformed into machine language by compilers. These compilers must be correct to ensure the nonpropagation of errors to machine code. Since 2005, multicore processors have spread in all electronic devices. So, these architectures need adapted compilers and proofs of correctness. Our work is the modular extension of a verified compiler for parallel languages targeting multicore architectures. Specifications of these languages (and their operational semantics) needed at all levels of the compiler and proofs of correctness of this compiler are parameterized by modules specifying elements of parallelism such as a relaxed memory model and notions of synchronization and scheduling between threads. This work is the first step in the conception of a certified compiler for high-level parallel languages such as algorithmic skeletons.

Compilation

Vérification

Parallélisme

Modularité

Assistants de preuve

Compilation

Verification

Parallelism

Modularity

Proof assistants

005.453

Methods and tools for the integration of formal verification in domain-specific languages / Méthodes et outils pour l’intégration de la vérification formelle pour les langages dédiés

Zalila, Faiez

09 December 2014

Les langages dédiés de modélisation (DSMLs) sont de plus en plus utilisés dans les phases amont du développement des systèmes complexes, en particulier pour les systèmes critiques embarqués. L’objectif est de pouvoir raisonner très tôt dans le développement sur ces modèles et, notamment, de conduire des activités de vérification et validation (V and V). Une technique très utilisée est la vérification des modèles comportementaux par exploration exhaustive (model-checking) en utilisant une sémantique de traduction pour construire un modèle formel à partir des modèles métiers pour réutiliser les outils performants disponibles pour les modèles formels. Définir cette sémantique de traduction, exprimer les propriétés formelles à vérifier et analyser les résultats nécessite une expertise dans les méthodes formelles qui freine leur adoption et peut rebuter les concepteurs. Il est donc nécessaire de construire pour chaque DSML, une chaîne d’outils qui masque les aspects formels aux utilisateurs. L’objectif de cette thèse est de faciliter le développement de telles chaînes de vérification. Notre contribution inclut 1) l’expression des propriétés comportementales au niveau métier en s’appuyant sur TOCL (Temporal Object Constraint Language), une extension temporelle du langage OCL; 2) la transformation automatique de ces propriétés en propriétés formelles en réutilisant les éléments clés de la sémantique de traduction; 3) la remontée des résultats de vérification grâce à une transformation d’ordre supérieur et un langage de description de correspondance entre le domaine métier et le domaine formel et 4) le processus associé de mise en oeuvre. Notre approche a été validée par l’expérimentation sur un sous-ensemble du langage de modélisation de processus de développement SPEM, et sur le langage de commande d’automates programmables Ladder Diagram, ainsi que par l’intégration d’un langage formel intermédiaire (FIACRE) dans la chaîne outillée de vérification. Ce dernier point permet de réduire l’écart sémantique entre les DSMLs et les domaines formels. / Domain specific Modeling Languages (DSMLs) are increasingly used at the early phases in the development of complex systems, in particular, for safety critical systems. The goal is to be able to reason early in the development on these models and, in particular, to fulfill verification and validation activities (V and V). A widely used technique is the exhaustive behavioral model verification using model-checking by providing a translational semantics to build a formal model from DSML conforming models in order to reuse powerful tools available for this formal domain. Defining a translational semantics, expressing formal properties to be assessed and analysing such verification results require such an expertise in formal methods that it restricts their adoption and may discourage the designers. It is thus necessary to build for each DSML, a toolchain which hides formal aspects for DSML end-users. The goal of this thesis consists in easing the development of such verification toolchains. Our contribution includes 1) expressing behavioral properties in the DSML level by relying on TOCL (Temporal Object Constraint Language), a temporal extension of OCL; 2) An automated transformation of these properties on formal properties while reusing the key elements of the translational semantics; 3) the feedback of verification results thanks to a higher-order transformation and a language which defines mappings between DSML and formal levels; 4) the associated process implementation. Our approach was validated by the experimentation on a subset of the development process modeling language SPEM, and on Ladder Diagram language used to specify programmable logic controllers (PLCs), and by the integration of a formal intermediate language (FIACRE) in the verification toolchain. This last point allows to reduce the semantic gap between DSMLs and formal domains.

Langage dédié de modélisation (DSML)

Vérification et validation (V V)

Object Constraint Language (OCL)

Vérification formelle

Sémantique translationnelle

Traçabilité

Remontée de vérification

Model Driven Engineering (MDE)

Domain specific Modeling Language (DSML)

Verification and validation (V V)

Object Constraint Language (OCL)

Formal verification

Model checking

Translational semantics

Traceability

Verification feedback

Analyse et amélioration de la robustesse des circuits asynchrones QDI / Robustness analysis and improvement of QDI self-timed circuits

Ouchet, Florent

02 December 2011

La conception de circuits intégrés asynchrones, notamment de circuits QDI (Quasi-Delay Insensitive), offrent la possibilité de disposer de circuits très robustes aux conditions environnementales (tension, température) ainsi qu'aux variations des procédés de fabrication. Ces bonnes propriétés sont dues à une conception ne comportant pas d'hypothèses temporelles à l'exception de la fourche isochrone --hypothèse finalement très faible. Ainsi, une variation de la tension se traduit par une réduction de la vitesse de fonctionnement sans pour autant altérer la fonctionnalité du circuit. Cette thèse étudie la robustesse des circuits asynchrones dans des environnements de fonctionnement très sévères susceptibles de mettre en défaut la correction fonctionnelle des circuits asynchrones QDI. Cette situation se présente par exemple quand les transitions des signaux sur les portes deviennent très lentes. Cette situation exceptionnelle peut-être directement provoquée par un environnement agressif (émission électromagnétique, particules à haute énergie, ...) ou par les effets du vieillissement du circuit intégré. Dans un contexte où le circuit est employé à des fins sécuritaires telles que les applications aéronautiques, spatiales ou médicales, il s'avère nécessaire de quantifier les limites de fonctionnement des circuits asynchrones et de trouver des moyens pour améliorer leur robustesse. Ce manuscrit propose une étude complète du comportement des circuits asynchrones et propose des techniques de conception pour en améliorer la robustesse. Les résultats obtenus ont été validés sur des technologies CMOS avancées de ST Microelectronics par des simulations analogiques d'une part, et avec l'aide d'un outil de preuve formelle développé à l'Université British Columbia au Canada d'autre part. / The design of self-timed integrated circuits, including QDI (Quasi-Delay Insensitive) circuits, lead to robust circuits against variabilities in manufacturing processes and in running conditions (voltage, temperature). These qualities are consequences of the synthesys flow that does not create timing assumptions excepted a weak one related to isochronic forks. In self-timed circuits, the running speed automatically adjusts to the available supply voltage with no behavioral changes. This work focuses on the self-timed circuit robustness in the context of environments where running conditions can make QDI self-timed circuits failing. For instance, this happens when transition speeds at gate entrances become very slow. This uncommonly encountered situation can be triggered in harsh environments (with electromagnetic disturbences, high-energy particulesdots) or because of age effects on manufactured chips. If the integrated circuit is designed for critical operations such as in aeronautical, spatial or medical applications, the self-timed circuit limits have to be carrefully evaluated and eventually shifted in order to improve the circuit robustness. This publication includes a complete study of the self-timed circuit behaviors and some design proposals in order to enhance the circuit robustness. Experimental results were obtained firstly, during analog simulations targetting advanced CMOS technologies from STMicroelectronics and secondly, using formal methods implemented in a tool from the University of British Columbia.

Asynchrone

Circuit

Vérification

Robustesse

Sécurité

QDI

Self-timed

Circuit

Verification

Robustness

Safety

QDI

Formalisation de preuves de sécurité concrète / Formal Methods For Concrete Security Proofs

Daubignard, Marion

12 January 2012

Cette thèse se propose de remédier à l'absence de formalisme dédié aux preuves de sécurité concrète à travers 3 contributions. Nous présentons d'abord la logique CIL (Computational Indistinguishability Logic), qui permet de raisonner sur les systèmes cryptographiques. Elle contient un petit nombre de règles qui correspondent aux raisonnements souvent utilisés dans les preuves. Leur formalisation est basée sur des outils classiques comme les contextes ou les bisimulations. Deuxièmement, pour plus d'automatisation des preuves, nous avons conçu une logique de Hoare dédiée aux chiffrement asymétrique dans le modèle de l'oracle aléatoire. Elle est appliquée avec succès sur des exemples de schémas existants. Enfin, nous proposons un théorème générique de réduction pour la preuve d'indifférentiabilité d'un oracle aléatoire de fonctions de hachage cryptographiques. La preuve du théorème, formalisée en CIL, en démontre l'applicabilité. Les exemples de Keccak et Chop-Merkle-Damgard illustrent ce résultat. / In this thesis, we address the lack of formalisms to carry out concrete security proofs. Our contributions are threefold. First, we present a logic, named Computational Indistinguishability Logic (CIL), for reasoning about cryptographic systems. It consists in a small set of rules capturing reasoning principles common to many proofs. Their formalization relies on classic tools such as bisimulation relations and contexts. Second, and in order to increase proof automation, it presents a Hoare logic dedicated to asymmetric encryption schemes in the Random Oracle Model that yields an automated and sound verification method. It has been successfully applied to existing encryption schemes. Third, it presents a general reduction theorem for proving indifferentiability of iterative hash constructions from a random oracle. The theorem is proven in CIL demonstrating the usefulness of the logic and has been applied to constructions such as the SHA-3 candidate Keccak and the Chop-MD construction.

Cryptographie Prouvable

Vérification de Preuves

Systèmes de Chiffrement

Protocoles Cryptographiques

Provable cryptography

Verification of proofs

Encryption schemes

Cryptographic protocols

Environnement générique pour la validation de simulations médicales / A generic framework for validation of medical simulations

Deram, Aurélien

23 October 2012

Dans le cadre des simulations pour l'entrainement, le planning, ou l'aide per-opératoire aux gestes médicaux-chirurgicaux, de nombreux modèles ont été développés pour décrire le comportement mécanique des tissus mous. La vérification, la validation et l'évaluation sont des étapes cruciales en vue de l'acceptation clinique des résultats de simulation. Ces tâches, souvent basées sur des comparaisons avec des données expérimentales ou d'autres simulations, sont rendues difficiles par le nombre de techniques de modélisation existantes, le nombre d'hypothèses à considérer et la difficulté de réaliser des expériences réelles utilisables. Nous proposons un environnement de comparaison basé sur une analyse du processus de modélisation et une description générique des éléments constitutifs d'une simulation (e.g. géométrie, chargements, critère de stabilité) ainsi que des résultats (expérimentaux ou provenant d'une simulation). La description générique des simulations permet d'effectuer des comparaisons avec diverses techniques de modélisation (e.g. masse-ressorts, éléments finis) implémentées sur diverses plateformes de simulation. Les comparaisons peuvent être faites avec des expériences réelles, d'autres résultats de simulation ou d'anciennes versions du modèle grâce à la description commune des résultats, et s'appuient sur un ensemble de métriques pour quantifier la précision et la vitesse de calcul. La description des résultats permet également de faciliter l'échange d'expériences de validation. La pertinence de la méthode est montrée sur différentes expériences de validation et de comparaison de modèles. L'environnement et ensuite utilisé pour étudier l'influence des hypothèses de modélisations et des paramètres d'un modèle d'aspiration de tissu utilisé par un dispositif de caractérisation des lois de comportement. Cette étude permet de donner des pistes pour l'amélioration des prédictions du dispositif. / Numerous models have been developed to describe the mechanical behavior of soft tissues for medical simulation. Verification, validation and evaluation are crucial steps towards the acceptance of simulation results by clinicians. These tasks, often based on comparisons between simulation results and experimental data or other simulations, are difficult because of the wide range of available modeling techniques, the number of possible assumptions, and the difficulty to perform validation experiments. A comparison framework is proposed based on the analysis of the modelisation process and on a generic description of both constitutive elements of a simulation (e.g. geometry, loads, stability criterion) and results (from simulations or experiments). Generic description allows comparisons between different modeling techniques implemented in various simulation platforms. Comparisons can be performed against real experiments, other simulation results or previous versions of a model thanks to the generic description of results and use a set of metrics to quantify both accuracy and computational efficiency. This description also facilitates validation experiments sharing. The usability of the method is shown on several validation and comparison experiments. The framework is then used to investigate the influence of modeling assumptions and parameters in a biomechanical finite element model of an in-vivo tissue aspiration device. This study gives clues towards the improvement of the predictions of the characterization device.

Validation

Vérification

Comparaison

Caractérisation

Tissu mous

Biomécanique

Validation

Verification

Comparison

Characterization

Soft tissues

Biomechanics

Formal Verification of Voting and Auction Protocols : From Privacy to Fairness and Verifiability / Vérification formelle des protocoles de vote et de vente aux enchères : De l'anonymat à l'équité et la vérifiabilité

Dreier, Jannik

25 November 2013

Dans cette thèse nous étudions formellement la sécurité des protocoles de vote et d'enchère en ligne. Le vote en ligne est utilisé en Estonie et dans certaines régions de la Suisse. D'autre part, les enchères en ligne sont de plus en plus populaires: eBay comptait plus de 112 millions utilisateurs actifs et plus de 350 millions d'objets à vendre en 2012, avec un chiffre d'affaires de 14 milliards de dollars. Dans ces deux applications, la sécurité est primordiale, à cause d'enjeux financiers et politiques. Dans le cas des protocoles de vote, le secret du vote est crucial pour le libre choix des votants. Nous proposons une hiérarchie des notions de secret du vote par rapport à plusieurs niveaux de coercition, des attaques spécifiques (comme l'abstention forcé), et des votants corrompus. Nous développons également des notions généralisées pour le cas des votes pondérés (par exemple par rapport au nombre d'actions dans une société), et montrons que pour beaucoup de protocoles le cas avec plusieurs votants sous attaque se réduit au cas avec un seul votant sous attaque. Ce résultat a été obtenu grâce à un autre résultat dans le pi-calcul appliqué montrant que tout processus fini peut se décomposer de manière unique en processus premiers. Nous illustrons notre hiérarchie sur plusieurs exemples, soulignant comment elle permet d'évaluer le niveau d'anonymat d'un protocole donné. Dans le cas des protocoles d'enchère en ligne, nous proposons aussi une hiérarchie de notions d'anonymat, et plusieurs notions d'équité et d'authentification comme la non-interférence, la non-annulation et la non-répudiation. Nous analysons ces propriétés automatiquement à l'aide de l'outil ProVerif sur trois exemples, et découvrons plusieurs faiblesses. De plus, nous proposons une définition abstraite de la vérifiabilité, et l'appliquons sur des exemples aussi bien dans le modèle calculatoire que dans le modèle symbolique en utilisant CryptoVerif et ProVerif respectivement. Nous démontrons dans le modèle calculatoire qu'un des protocoles est vérifiable, et découvrons plusieurs faiblesses sur le deuxième exemple. Finalement nous étudions le concept d'«enchères vraiment vérifiable par les enchérisseurs», c'est-à-dire des protocoles d'enchère ou le bon déroulement peut être vérifié par un non-expert, car la sécurité est assurée par des moyens physiques, et non cryptographiques. Nous proposons deux tels protocoles, et une analyse formelle de ces protocoles avec ProVerif grâce à une modélisation symbolique des propriétés physiques. / In this document, we formally analyze security in electronic voting and electronic auctions. On-line voting over is now available in several countries, for example in Estonia or parts of Switzerland. Similarly, electronic auctions are increasingly used: eBay had over 112 million active users and over 350 million listings in 2012, and achieved a revenue of more than 14 billion US Dollars. In both applications, security is a main concern, as fairness is important and money is at stake. In the case of voting protocols, privacy is crucial to ensure free elections. We propose a hierarchy of privacy notions in the Applied Pi-Calculus, including different levels of coercion, special attacks such as forced-abstention attacks, and inside attackers. We also provide generalized notions for situations where votes are weighted (e.g. according to the number of shares in a company), and show that for many protocols the case with multiple coerced voters can be reduced to the case with one coerced voter. This result is made possible by a unique decomposition result in the Applied Pi-Calculus showing that any finite process has a unique normal form with respect to labeled bisimilarity. Moreover we provide multiple case studies illustrating how our taxonomy allows to assess the level of privacy ensured by a voting protocol. In the case of auction protocols we also consider a hierarchy of privacy notions, and several fairness and authentication properties such as Non-Interference, Non-Cancellation and Non-Repudiation. We analyze all these properties automatically using ProVerif on three case studies, and identify several flaws. Moreover we give an abstract definition of verifiability in auctions and provide case studies in the symbolic and computational model using ProVerif and CryptoVerif respectively. Again, we identify several shortcomings, but also give a computational proof for one protocol. Finally we explore the idea of ``true bidder-verifiable auctions'', i.e. auctions that can be verified by a non-expert, as the property is ensured through physical properties instead of complex cryptography. We propose two such protocols, discuss how to model the underlying physical properties, and provide a formal analysis of both protocols using ProVerif.

Sécurité

Vérification

Protocol

Anonymat

Vote

Vente aux enchères

Security

Verification

Protocol

Privacy

Voting

Auctions

004

Quantitative Verification and Synthesis / Vérification et synthèse quantitative

Von Essen, Christian

28 April 2014

Cette thèse contribue à l'étude théorique et a l'application de la vérification et de la synthèse quantitative. Nous étudions les stratégies qui optimisent la fraction de deux récompenses des MDPs. L'objectif est la synthèse de régulateurs efficaces dans des environnements probabilistes. Premièrement nous montrons que les stratégies déterministes et sans mémoire sont suffisants. Sur la base de ces résultats, nous proposons trois algorithmes pour traiter des modèles explicitement encodées. Notre évaluation de ces algorithmes montre que l'un de ces derniers est plus rapide que les autres. Par la suite nous proposons et mettons en place une variante symbolique basé sur les diagrammes de décision binaire.Deuxièmement, nous étudions le problème de réparation des programmes d'un point de vue quantitatif. Cela conduit à une reformulation de la réparation d'un log: que seules les exécutions fautives du programme soient modifiées. Nous étudions les limites de cette approche et montrons comment nous pouvons assouplir cette nouvelle exigence. Nous concevons et mettons en œuvre un algorithme pour trouver automatiquement des réparations, et montrons qu'il améliore les modifications apportées aux programmes. Troisièmement, nous étudions une nouvelle approche au framework pour la vérification et synthèse quantitative. La vérification et la synthèse fonctionnent en tandem pour analyser la qualité d'un contrôleur en ce qui concerne, par exemple , de robustesse contre des erreurs de modélisation. Nous considérons également la possibilité d'approximer la courbure de Pareto, qui appataît de la combinaison du modèle avec de multiples récompenses. Cela nous permet à la fois d'étudier les compromis inhérents au système et de choisir une configuration adéquate. Nous appliquons notre framework aux plusieurs études de cas. La majorité de l'étude de cas est concernée par un système anti-collision embarqué (ACAS X). Nous utilisons notre framework pour aider à analyser l'espace de conception du système et de valider le contrôleur en cours d'investigation par la FAA. En particulier, nous contribuons l'analyse par PCTL et stochastic model checking. / This thesis contributes to the theoretical study and application of quantitative verification and synthesis. We first study strategies that optimize the ratio of two rewards in MDPs. The goal is the synthesis of efficient controllers in probabilistic environments. We prove that deterministic and memoryless strategies are sufficient. Based on these results we suggest 3 algorithms to treat explicitly encoded models. Our evaluation of these algorithms shows that one of these is clearly faster than the others. To extend its scope, we propose and implement a symbolic variant based on binary decision diagrams, and show that it cope with millions of states. Second, we study the problem of program repair from a quantitative perspective. This leads to a reformulation of program repair with the requirement that only faulty runs of the program be changed. We study the limitations of this approach and show how we can relax the new requirement. We devise and implement an algorithm to automatically find repairs, and show that it improves the changes made to programs.Third, we study a novel approach to a quantitative verification and synthesis framework. In this, verification and synthesis work in tandem to analyze the quality of a controller with respect to, e.g., robustness against modeling errors. We also include the possibility to approximate the Pareto curve that emerges from combining the model with multiple rewards. This allows us to both study the trade-offs inherent in the system and choose a configuration to our liking. We apply our framework to several case studies. The major case study is concerned with the currently proposed next generation airborne collision avoidance system (ACAS X). We use our framework to help analyze the design space of the system and to validate the controller as currently under investigation by the FAA. In particular, we contribute analysis via PCTL and stochastic model checking to add to the confidence in the controller.

Vérification quantitative

Synthèse quantitative

Systèmes adaptatifs

Quantitative Verification

Quantitative Synthesis

Adaptive Systems

Program Repair

004

L'incarcération hors jugement / The imprisonment without judgment

Bonnot, Marion

14 December 2010

Le risque de détention arbitraire est inhérent à toute action répressive et il s'accroît lorsque l'individu est détenu sans avoir été jugé. N'est-il pas présumé innocent, aux termes de l'article 9 de la Déclaration de 1789 ? Pourtant, les nécessités de la recherche judiciaire et la préservation de l'ordre public ont depuis longtemps justifié la détention temporaire. L'incarcération hors jugement est acceptée dans la mesure où elle est encadrée par des procédures précises. Cependant, souvent considérées comme contraires aux principes fondamentaux elles sont fréquemment remises en cause. C'est pourquoi l'objectif premier doit être la recherche de mesures, moins privatives de droit, qui permettent le plus possible, d'éviter que la personne soit privée de liberté. Des propositions en ce sens peuvent être faites, comme par exemple un renforcement de l'accompagnement psychologique, ou une modification du rapport à l'idée de contrainte, mais cela engendrerait une profonde transformation du système français. / The risk of arbitrary detention is inherent to any repressive action and it increases when the individual is detained without having been judged. Is not he presumed innocent, at the end of the article 9 of the Declaration of 1789? Nevertheless, the necessities of the judicial research and the conservation of the law and order justified for a long time the temporary detention. The imprisonment without judgment is accepted as far as it is framed by precise procedures. However, often considered as opposite in the fundamental principles they are frequently questioned. That is why the first objective has to be the research for measures, less privative of rights, which allow as much as possible to avoid that the person is deprived of liberty. Propositions in this way can be made, as for example an intensification of the psychological accompaniment, or a modification of the relation to the idea of constraint, but that would generate a deep transformation of the French system.

Contrôle et vérification d'identité

Garde à vue

Retenue douanière

Rétention administrative

Détention provisoire

Custody

Customs restraint

Temporary detention

Etude des politiques de sécurité pour les applications distribuées : le problème des dépendances transitives : modélisation, vérification et mise en oeuvre / Study of security policies for distributed applications : the problem of transitive dependencies

Uttha, Worachet

26 September 2016

Le contrôle d’accès est un ingrédient fondamental de la sécurité des systèmes d’information. Depuis les années 70, les travaux dans ce domaine ont apporté des solutions aux problèmes de confidentialités des données personnelles avec applications à différents environnements. Parmi les modèles de contrôle d’accès, nous nous intéressons au modèle basé sur les organisations (OrBAC) et nous en proposons une extension adaptée aux contextes distribués tels que les services web. Cette extension est capable de gérer les demandes d’accès transitifs. Ce cas peut se produire quand un service doit appeler un autre service qui peut avoir besoin d’en invoquer à son tour un ou plusieurs autres pour satisfaire la demande initiale. Nous appelons D-OrBAC (Distributed Organisation Based Access Control), l'extension du modèle OrBAC avec une notion de procuration représentée par un graphe de délégation, qui nous permet de représenter les accords entre les différentes organisations impliquées dans la chaîne d’invocations de services, et de garder la trace des autorisations transitives. Nous proposons aussi une technique d’analyse basée sur Datalog permettant de simuler des scénarios d’exécution et de vérifier l’existence de situations non sécurisées. Nous utilisons ensuite des techniques de réécriture pour assurer que la politique de sécurité spécifiée via le modèle D-OrBAC respecte les propriétés importantes telles que terminaison et consistance. Enfin, nous implémentons pour un cas d’étude, le mécanisme d’évaluation des demandes d’accès selon la norme XACML afin de montrer que notre solution est capable de fournir à la fois la fonctionnalité désirée et la sécurité nécessaire pour le système. / The access control is a fundamental ingredient of computer security. Since the 70s, the research in this area has provided many solutions to the privacy issue of personal data with applications to different environments (operating systems, databases, etc.). Among many access control models, we are interested in the model based on organisations (OrBAC) and we propose an extension adapted to distributed environments such as web services. This extended model is able, in particular, to handle access transitive requests. This situation can occur when a service has to call another service that may need to invoke in turn one or more services to meet the initial demand.We call D-OrBAC (Distributed Organisation Based Access Control), the extension of OrBAC model with a notion of delegation represented by a delegation graph. This graph allows us to represent agreements between the different organisations involved in the chain of service invocations, and to keep track of transitive authorisations. We also propose an analytical technique based on Datalog that allows us to simulate execution of scenarios and to check for the existence of unsafe situations.Thereafter, we use rewriting techniques to ensure that the security policy specified via our D-OrBAC model complies with important properties such as termination and consistency. Finally, we implement for a case study, the mechanism of access request evaluations according to the XACML on the WSO2 Identity Server platform to show that our solution is able to provide both the desired functionality and the security for the system.

Contrôle d’accès

Vérification

OrBAC

Soa

Xacml

Access Control

Verification

OrBAC

Soa

Xacml

004

Charged particle therapy, ion range verification, prompt radiation / Mesures physiques pour la vérification du parcours des ions en hadronthérapie

Testa, Mauro

14 October 2010

Cette thèse porte sur les mesures expérimentales des γ-prompts créés lors de la fragmentation du faisceau d'ions carbone en hadronthérapie. Deux expériences ont été effectuées aux laboratoires GANIL et GSI avec des ions 12C6+ de 95MeV/u et 305MeV/u irradiant une cible d'eau ou de PMMA. Dans les deux expériences une nette corrélation a été obtenue entre le parcours des ions carbone et le profil longitudinal des γ- prompts. Une des plus grandes difficultés de ces mesures vient de la discrimination entre le signal des γ-prompts (qui est corrélé avec le parcours des ions) et un important bruit de fond dû aux neutrons (non corrélé au parcours). Deux techniques sont employées pour effectuer la discrimination entre γ et neutrons: le temps de vol (TDV) et la discrimination par forme de signal (DFS). Le TDV a permis de démontrer la corrélation entre la production de γ-prompts et le parcours des ions. La DFS a fourni des informations précieuses pour la compréhension des caractéristiques des spectres en TDV. Dans ce travail on a démontré qu'un système de détection de γ-prompt collimaté, basé sur la technique du temps de vol, peut permettre une vérification en temps réel de la position du Pic de Bragg en conditions cliniques. Dans la dernière partie de la thèse, un travail de simulation a été effectué à l'aide du code de simulation Geant4 pour évaluer l'influence des principaux paramètres du design d'un dispositif de multi-détecteurs et multicollimateurs sur la résolution spatiale et l'efficacité atteignable par une Camera γ-Prompt. Plusieurs configurations géométriques ont été étudiées de façon systématique et les principales contraintes du design sont analysées. / This PhD thesis reports on the experimental investigation of the prompt photons created during the fragmentation of the carbon beam used in particle therapy. Two series of experiments have been performed at the GANIL and GSI facilities with 95 MeV/u and 305 MeV/u 12C6+ ion beams stopped in PMMA and water phantoms. In both experiments a clear correlation was obtained between the C-ion range and the prompt photon profile. A major issue of these measurements is the discrimination between the prompt photon signal (which is correlated with the ion path) and a vast neutron background uncorrelated with the Bragg-Peak position. Two techniques are employed to allow for this photon-neutron discrimination: the time-of-flight (TOF) and the pulse-shape-discrimination (PSD). The TOF technique allowed demonstrating the correlation of the prompt photon production and the primary ion path while the PSD technique brought great insights to better understand the photon and neutron contribution in TOF spectra. In this work we demonstrated that a collimated set-up detecting prompt photons by means of TOF measurements, could allow real-time control of the longitudinal position of the Bragg-peak under clinical conditions. In the second part of the PhD thesis a simulation study was performed with Geant4 Monte Carlo code to assess the influence of the main design parameters on the efficiency and spatial resolution achievable with a multidetector and multi-collimated Prompt Gamma Camera. Several geometrical configurations for both collimators and stack of detectors have been systematically studied and the considerations on the main design constraints are reported.

Hadronthérapie

Vérification du range en temps réel

Variation prompte

Hadrontherapy

Charge particle therapy

Ion range verification

Prompte radiation