Global ETD Search

1	Toward Visualizing Potential Policy Conflicts in eXtensible Access Control Markup Language (XACML) Rosa, William Domingo 15 May 2009 (has links) The eXtensible Access Control Markup Language (XACML) is allowing enterprises to implement a standard way of access control to their resources. Security administrators no longer need to duplicate their efforts in writing multiple policies for different resources since a XACML policy can be applied to multiple resources. Companies such as IBM, Sun Microsystems, Oracle, and Cisco are already providing integration of XACML in their products. Although the introduction of XACML has provided enterprises with a better approach of commonly realizing access control, there are still inconsistencies that policy administrators need to be aware of. This thesis identifies some of the inconsistencies in XACML today and introduces a new tool that can be used to visualize some of those inconsistencies. This new tool could be used by a policy administrator to visualize possible conflicting data among a set of policies. XACML OASIS XML DOM XPath Java Derby
2	Etude et mise en oeuvre d'une architecture pour l'authentification et la gestion de documents numériques certifiés : application dans le contexte des services en ligne pour le grand public / Study and implementation of architecture for the authentification and the management of certified digital documents : application in the context of the on-line services for the general public Abakar, Mahamat Ahmat 22 November 2012 (has links) Dans un environnement ouvert tel que l'Internet, les interlocuteurs sont parfois inconnus et toujours dématérialisés. Les concepts et les technologies de la confiance numérique et de la sécurité informatique doivent se combiner pour permettre un contrôle d'accès en environnement ouvert. Dans nos travaux, nous nous proposons d'étudier les concepts majeurs de cette problématique, puis de concevoir, et enfin de développer un système fonctionnel, basé sur des standards du contrôle d'accès, pour un environnement ouvert et appliqué à l'Internet. Plus précisément, notre étude consiste à mettre en œuvre une architecture de contrôle d'accès basée sur la confiance numérique. L'élément central de cette architecture est l'environnement utilisateur très riche et déployé en ligne. Cet environnement est doté de trois modules principaux qui permettent à l'utilisateur de mener à bien ses transactions. Ces modules sont le module d'analyse de règlements, le module de récupération de données et le module de validation de règlements. Nous avons élaborés des algorithmes utilisés dans ces modules. L'usage est le suivant. L'utilisateur demande un service à un fournisseur de services, celui-ci analyse la requête de l'utilisateur et extrait le règlement à partir de la base des règles de contrôle d'accès. Cette architecture est conçue à l'aide de modèles de contrôle d'accès basé sur les attributs et le langage XACML. Ce règlement contient des conditions à satisfaire par l'utilisateur pour obtenir le droit d'accès à la ressource demandée. Le module d'analyse de règlement permet à l'utilisateur d'analyser le règlement reçu du fournisseur de service. Cette analyse consiste à vérifier à l'aide d'un algorithme la disponibilité de ses informations auprès de ses sources d'information d'identité de confiance pour le fournisseur de services. Le module de récupération de données permet ensuite à l'utilisateur de récupérer ses certificats. Le module de validation lui permet de tester qu'il satisfait le règlement grâce aux certificats. Si le règlement est satisfait l'utilisateur diffuse ses certificats au fournisseur de service. La conception de ce système repose sur un ensemble de brique technologiques étudiées et décrites dans ces travaux. Ce document débute par une étude des différents cas d'usage dans le domaine des transactions en ligne. Cette étude permet de mettre en évidence la problématique de la gestion des identités numériques en environnement ouvert. Les organisations virtuelles, la notion de partenariat et la confiance sont des éléments clés qui entrent dans la conception des systèmes de contrôle d'accès basé sur la confiance. Une première étude d'un ensemble de modèles de contrôle d'accès nous permet de dégager le modèle ABAC et le langage XACML pour la conception de notre système. Dans un second temps, nous concevons le modèle de données de notre système de contrôle d'accès distribué et nous présentons et évaluons les algorithmes clés. Ensuite, nous concevons une architecture protocolaire satisfaisant les besoins d'interopérabilité entre les différentes entités impliquées. Il s'agit de protocoles permettant d'établir une session auprès d'un système, permettant de véhiculer un règlement de contrôle d'accès et permettant d'obtenir et de diffuser des informations entre tiers de confiance. La dernière partie est consacrée à l'implémentation réalisée en langage python et en utilisant le « framework » de développement Web Django / In an open environment such as the Internet, the interlocutors are sometimes unknown and always dematerialized. The concepts and the technologies of the digital confidence and the IT security have to harmonize to allow an access control in open environment. In our works, we suggest studying the major concepts of this problem, then designing, and finally developing a functional system, based on standards of the access control, for an environment open and applied to the Internet. More exactly, our study consists in implementing architecture of access control based on the digital confidence. The central element of this architecture is the on-line very rich and spread user environment. This environment is endowed with three main modules which allow the user to bring to a successful conclusion his transactions. These modules are the module of analysis of regulations, the module of data recovery and the module of validation of regulations. We developed algorithms used in these modules. The use is the following one. The user asks for a service in a service provider, this one analyzes the request of the user and extracts the regulation from the basis of the rules of access control. This architecture is designed by means of models of access control based on the attributes and the language XACML. This payment contains conditions to be satisfied by the user to obtain the access right in the wanted resource. The module of analysis of payment allows the user to analyze the regulation received from the supplier of service. This analysis consists in verifying by means of an algorithm the availability of its information with its information sources of reliable identity for the service provider. The module of data recovery allows then the user to get back its certificates. The module of validation allows him to test that it satisfies the payment thanks to certificates. If the payment is satisfied the user spreads his certificates to the supplier of service. The design of this system rests on a set of brick technological studied and described in these works. This document begins with a study of the various cases of use in the field of the on-line transactions. This study allows to highlight the problem of the management of the digital identities in open environment. The virtual organizations, the notion of partnership and the confidence are key elements which enter the conception of the systems of access control based on the confidence. A first study of a set of models of access control allows us to clear the model ABAC and the language XACML for the design of our system. Secondly, we conceive the model of data of our system of distributed access control and we present and estimate the key algorithms. Then, we conceive formal architecture satisfying the needs for interoperability between the various implied entities. It is about protocols allowing to establish a session with a system, allowing to convey a payment of access control and allowing to obtain and to spread information between trusted third party. The last part is dedicated to the implementation realized in language Python and by using the "framework" of Web development Django Environnement ouvert In cloud Identité Architecture Certificat ABAC XACML Open environment In cloud Identity Architecture Certificate ABAC XACML
3	Etude des politiques de sécurité pour les applications distribuées : le problème des dépendances transitives : modélisation, vérification et mise en oeuvre / Study of security policies for distributed applications : the problem of transitive dependencies Uttha, Worachet 26 September 2016 (has links) Le contrôle d’accès est un ingrédient fondamental de la sécurité des systèmes d’information. Depuis les années 70, les travaux dans ce domaine ont apporté des solutions aux problèmes de confidentialités des données personnelles avec applications à différents environnements. Parmi les modèles de contrôle d’accès, nous nous intéressons au modèle basé sur les organisations (OrBAC) et nous en proposons une extension adaptée aux contextes distribués tels que les services web. Cette extension est capable de gérer les demandes d’accès transitifs. Ce cas peut se produire quand un service doit appeler un autre service qui peut avoir besoin d’en invoquer à son tour un ou plusieurs autres pour satisfaire la demande initiale. Nous appelons D-OrBAC (Distributed Organisation Based Access Control), l'extension du modèle OrBAC avec une notion de procuration représentée par un graphe de délégation, qui nous permet de représenter les accords entre les différentes organisations impliquées dans la chaîne d’invocations de services, et de garder la trace des autorisations transitives. Nous proposons aussi une technique d’analyse basée sur Datalog permettant de simuler des scénarios d’exécution et de vérifier l’existence de situations non sécurisées. Nous utilisons ensuite des techniques de réécriture pour assurer que la politique de sécurité spécifiée via le modèle D-OrBAC respecte les propriétés importantes telles que terminaison et consistance. Enfin, nous implémentons pour un cas d’étude, le mécanisme d’évaluation des demandes d’accès selon la norme XACML afin de montrer que notre solution est capable de fournir à la fois la fonctionnalité désirée et la sécurité nécessaire pour le système. / The access control is a fundamental ingredient of computer security. Since the 70s, the research in this area has provided many solutions to the privacy issue of personal data with applications to different environments (operating systems, databases, etc.). Among many access control models, we are interested in the model based on organisations (OrBAC) and we propose an extension adapted to distributed environments such as web services. This extended model is able, in particular, to handle access transitive requests. This situation can occur when a service has to call another service that may need to invoke in turn one or more services to meet the initial demand.We call D-OrBAC (Distributed Organisation Based Access Control), the extension of OrBAC model with a notion of delegation represented by a delegation graph. This graph allows us to represent agreements between the different organisations involved in the chain of service invocations, and to keep track of transitive authorisations. We also propose an analytical technique based on Datalog that allows us to simulate execution of scenarios and to check for the existence of unsafe situations.Thereafter, we use rewriting techniques to ensure that the security policy specified via our D-OrBAC model complies with important properties such as termination and consistency. Finally, we implement for a case study, the mechanism of access request evaluations according to the XACML on the WSO2 Identity Server platform to show that our solution is able to provide both the desired functionality and the security for the system. Contrôle d’accès Vérification OrBAC Soa Xacml Access Control Verification OrBAC Soa Xacml 004
4	A Verified Algorithm for Detecting Conflicts in XACML Access Control Rules St-Martin, Michel 11 January 2012 (has links) The goal of this thesis is to find provably correct methods for detecting conflicts between XACML rules. A conflict occurs when one rule permits a request and another denies that same request. As XACML deals with access control, we can help prevent unwanted access by verifying that it contains rules that do not have unintended conflicts. In order to help with this, we propose an algorithm to find these conflicts then use the Coq Proof Assistant to prove correctness of this algorithm. The algorithm takes a rule set specified in XACML and returns a list of pairs of indices denoting which rules conflict. It is then up to the policy writer to see if the conflicts are intended, or if they need modifying. Since we will prove that this algorithm is sound and complete, we can be assured that the list we obtain is complete and only contains true conflicts. conflict detection XACML Coq Proof Assistant access control rules algorithm
5	A Verified Algorithm for Detecting Conflicts in XACML Access Control Rules St-Martin, Michel 11 January 2012 (has links) The goal of this thesis is to find provably correct methods for detecting conflicts between XACML rules. A conflict occurs when one rule permits a request and another denies that same request. As XACML deals with access control, we can help prevent unwanted access by verifying that it contains rules that do not have unintended conflicts. In order to help with this, we propose an algorithm to find these conflicts then use the Coq Proof Assistant to prove correctness of this algorithm. The algorithm takes a rule set specified in XACML and returns a list of pairs of indices denoting which rules conflict. It is then up to the policy writer to see if the conflicts are intended, or if they need modifying. Since we will prove that this algorithm is sound and complete, we can be assured that the list we obtain is complete and only contains true conflicts. conflict detection XACML Coq Proof Assistant access control rules algorithm
6	Vérification des politiques XACML avec le langage Event-B Errachid, Mohammed 03 1900 (has links) (PDF) Les politiques permettent de définir les règles de la sécurité et de la gestion des différents composants du système. Cela implique l'emploi d'un langage pour exprimer les règles d'affaires et les règles non fonctionnelles, et de donner aux utilisateurs la possibilité de tester et de corriger les politiques. Plusieurs langages tels que XACML, Rei ou PONDER, sont utilisés pour exprimer les politiques par rapport aux objectifs du système d'information. Ces langages peuvent définir plusieurs règles et politiques, mais la plupart de ces langages ne donnent pas de mécanisme pour tester et vérifier la présence des conflits et de l'incohérence entre les politiques du système. Ce mémoire vise la vérification des politiques de contrôle d'accès. Notre approche consiste à traduire les politiques XACML sous forme d'un ensemble de machines abstraites de la méthode B. Nous exprimons aussi les propriétés à vérifier par des formules logiques. L'approche offre aux utilisateurs des moyens pour vérifier les politiques afin de s'assurer que les règles expriment bien les objectifs régissant le comportement et les interactions des systèmes gérés. Dans la première phase, les composantes des politiques XACML ont été exprimées avec des expressions formelles basées sur la logique du premier ordre. Par la suite, les outils développés pour la méthode B, comme le langage Event-B sous la plate forme Rodin, ont été utilisés pour vérifier les règles des politiques par rapport à un ensemble de propriétés que nous avons définies. Notre approche est plus flexible et permet aux utilisateurs de tester et de vérifier les règles avant l'implémentation de ces politiques. Une telle vérification est fondée sur les preuves avec logique du premier ordre, où des propriétés importantes de la politique peuvent être énoncées et prouvées. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Politique, XACML, Méthode formelle, Event-B, Vérification. Contrôle d'accès Méthode B (Informatique) XACML (Langage de balisage) Vérification formelle
7	A Verified Algorithm for Detecting Conflicts in XACML Access Control Rules St-Martin, Michel 11 January 2012 (has links) The goal of this thesis is to find provably correct methods for detecting conflicts between XACML rules. A conflict occurs when one rule permits a request and another denies that same request. As XACML deals with access control, we can help prevent unwanted access by verifying that it contains rules that do not have unintended conflicts. In order to help with this, we propose an algorithm to find these conflicts then use the Coq Proof Assistant to prove correctness of this algorithm. The algorithm takes a rule set specified in XACML and returns a list of pairs of indices denoting which rules conflict. It is then up to the policy writer to see if the conflicts are intended, or if they need modifying. Since we will prove that this algorithm is sound and complete, we can be assured that the list we obtain is complete and only contains true conflicts. conflict detection XACML Coq Proof Assistant access control rules algorithm
8	A Verified Algorithm for Detecting Conflicts in XACML Access Control Rules St-Martin, Michel January 2012 (has links) The goal of this thesis is to find provably correct methods for detecting conflicts between XACML rules. A conflict occurs when one rule permits a request and another denies that same request. As XACML deals with access control, we can help prevent unwanted access by verifying that it contains rules that do not have unintended conflicts. In order to help with this, we propose an algorithm to find these conflicts then use the Coq Proof Assistant to prove correctness of this algorithm. The algorithm takes a rule set specified in XACML and returns a list of pairs of indices denoting which rules conflict. It is then up to the policy writer to see if the conflicts are intended, or if they need modifying. Since we will prove that this algorithm is sound and complete, we can be assured that the list we obtain is complete and only contains true conflicts. conflict detection XACML Coq Proof Assistant access control rules algorithm
9	XML bezpečnost a její uplatnění v univerzitním informačním prostředí Brechlerová, Dagmar January 2008 (has links) XML security je komplexem bezpečnostních řešení, která spojují rysy XML a internetu k řešení bezpečnosti zejména v rozsáhlých počítačových sítích. XML security se velmi dynamicky rozvíjí, v současnosti jsou některé části (podpis, šifrování) již ve fázi konečného vývoje, jiné stále procházejí velmi rychlým vývojem, který je velmi obtížné sledovat. Hlavním cílem práce bylo kriticky zmapovat oblast XML security, popsat výhody, zápory i rizika proti jiným bezpečnostním řešením, a navrhnout některé možnosti použití v univerzitním informačním systému.
10	Policy Management in Context-Aware Networks Bhatia, Nupur January 2007 (has links) The Ambient Network (AN) Project is part of the European Commission’s 6th Framework Programme and aims to enable cooperation between heterogeneous networks, using current and future wireless technologies, minimising the effort of mobile users to gain access to the services that they are interested in - irrespective of their location or the network they are currently using. Because of the highly mobile nature of users and a demand for instant and dynamic access to services, these networks have to be composed ‘on the fly’ without any pre-configurations. The use of context information in AN can remove the need for pre-configuration of networks, hence making them autonomic. However, a concern exists that the free and uncontrolled dissemination of context information could breech the privacy of the participants. It is extremely important to address these privacy issues in order to control who has access to what context information. This control can be achieved through the use of well defined policies. This creates a requirement for a framework in the ContextWare architecture for protecting context information. This masters thesis project is part of an effort to create a policy based infrastructure for authorisation of access to network context information within the AN. The thesis investigates, models, and designs an architecture for a policy management system based on OASIS XACML, that creates an extension to the architecture for management of context information in the AN. In addition to a policy management architecture within an AN, a policy management architecture for composing ANs is also created. To facilitate the transfer of requests and policies, the thesis creates a Policy Management Protocol. The designed architecture was then implemented to create a proof of concept. The designed architecture and protocol were evaluated by running tests on the prototype. The measurements from the tests are analysed and presented in this thesis. The analysis of the experimental data indicates that a policy management system is both feasible and practical. The results show that the delay overhead caused by introducing policy management in a distributed context provisioning system, ranges from 1.7% in a system without load to 6% in a worst case scenario. The throughput of the policy management system is 15 requests per second under load. / Ambient Network är ett EU-finansierat project inom det 6:e ramprogrammet.Projektets mål är att möjliggöra samarbete mellan heterogena nätverk, som använderbåde dagens men även framtidens trådlösa teknologier, för att minimeraslutanvändarens insats för att nå den tjänst de är intresserade av – oberoende av platseller vilket nätverk de använder. På grund av den stora delen av mobila användaresom kräver omedelbar och dynamisk tillgång till tjänster måste dessa nätverk gåsamman ’on the fly’ utan tidigare konfigurering.Användningen av context information i Ambient Networks kan elmininera behovet avförkonfigurering av nätverk, följaktligen blir de då autonoma. Dock, ett problem somuppkommer med detta är att den fria och okontrollerade spridningen av contextinformation bryter integriteten för deltagarna. Det är väldigt viktigt att ta itu med dettaproblem för att kunna kontrollera vilka som har tillgång till vilken contextinformation. Den här kontrollen kan uppnås genom väldefinierade policies. Dettaskapar ett behov av ett ramverk inom ContextWare arkitekturen för att skydda dentillgängliga context informationen. Den här uppsatsen är en del i ansträngningen att skapa en policy baserad infrastrukturför attestering av tillgång till context information inom Ambient Networks. Uppsatsenundersöker och designar en arkitektur för ett policy handhavande system som ärbaserat på OASIS XACML, den bygger vidare på arkitekturen för handhavande avcontext information i Ambient Networks. Utöver policy hantering inom ett ambientnetwork skapas också policy hantering mellan ambient networks när de förenas. Denframtagna arkitekturen är därefter implementerad för att visa på konceptets hållbarhet. En sammanslagning av två policy handhavande system när två nätverk slås ihop ärbehandlat endast i teorin, det är inte implementerat. Designen utvärderas genom att köra test på den implementerade versionen ochdärefter analysera och visa resultaten i rapporten. Dessa test innehåller mätningar avfördröjningen av en enda begäran samt flera, responstiden i ett system med policyhanteringjämfört med utan samt prestandan i ett policy-hanteringssystem med en litenmängd policies jämfört med en större mängd policies. Policy management access control context OASIS XACML Communication Systems Kommunikationssystem

Search results