NDLTD Global ETD Search
  • Refine Query
  • Source
  • Publication year
  • to
  • Language
  • 8
  • 7
  • Tagged with
  • 15
  • 15
  • 12
  • 12
  • 10
  • 9
  • 4
  • 4
  • 4
  • 3
  • 3
  • 3
  • 3
  • 3
  • 3
  • About
  • The Global ETD Search service is a free service for researchers to find electronic theses and dissertations. This service is provided by the Networked Digital Library of Theses and Dissertations.
    Our metadata is collected from universities around the world. If you manage a university/consortium/country archive and want to be added, details can be found on the NDLTD website.

Search results

Showing 1 to 10 of 15 (0.066 seconds)
1

Évaluation et comparaison des modèles de contrôle d'accès

Pooda, Herman January 2015 (has links)
La protection des données et de la vie privée des personnes est devenue aujourd’hui un enjeu majeur pour les entreprises et les organisations gouvernementales qui collectent et entreposent les données à caractère personnel. L’adoption d’une politique de sécurité est un impératif. Plusieurs modèles de contrôle d’accès sont proposés dans la littérature pour guider les utilisateurs dans la mise en oeuvre de leurs politiques de sécurité. Chacun de ces modèles a ses forces et faiblesses. Les systèmes de contrôle d’accès mis en place s’érigent souvent en de véritables obstacles, rendant inefficace le travail de leurs utilisateurs. Il convient de mieux connaître les modèles de contrôles d’accès avant de les implémenter. Ce mémoire présente une étude complète des modèles de contrôle d’accès RBAC, XACML et SGAC, en dégageant les enjeux auxquels les utilisateurs devront s’attendre en adoptant ces modèles. RBAC et XACML ont été normalisés respectivement par ANSI et OASIS et sont actuellement les modèles dominants dans l’industrie et dans le monde de la recherche. SGAC est un modèle proposé à la suite d’une étude, pour implémenter le contrôle d’accès aux dossiers médicaux au profit du réseau de santé de Sherbrooke. Les récentes études ont montré que c’est dans le domaine de la santé que les violations de la vie privée sont plus fréquentes. Le mémoire présente aussi les principales exigences d’un système de contrôle d’accès dans le domaine de la santé. Sur la base des exigences identifiées, il propose une évaluation des modèles de contrôle d’accès étudiés, et fournit une comparaison de ces modèles.
Contrôle d’accès
Dossier santé électronique
Protection de la vie privée
RBAC
XACML
SGAC
2

Protection obligatoire des serveurs d’applications Web : application aux processus métiers / Mandatory protection of Web applications servers : usage for the workflow environments

Fonda, Maxime 21 May 2014 (has links)
Dans cette thèse, nous nous intéressons au contrôle d’accès obligatoire dans les serveurs d’applications Web. Nous présentons une approche de protection obligatoire fondée sur un modèle abstrait d’applications Web. Les modèles d’applications Web existants, comme par exemple SOA peuvent être représentés par ce modèle abstrait d’application. Notre protection obligatoire s’appuie sur un langage de protection dédié permettant d’exprimer les besoins en terme de contrôle d’accès au sein d’un serveur d’application Web. Ce langage de protection utilise notre modèle d’application pour contrôler de manière efficace les accès des sujets aux objets de l’applications Web. Nous établissons également une méthode de calcul automatisé des politiques de sécurité qui facilite donc l’administration de la protection obligatoire proposée. Une implémentation sur des environnements Microsoft basés sur le serveur Web IIS et le canevas .Net est présentée. La solution est indépendante des applications Web protégées car elle repose sur l’utilisation d’un adaptateur applicatif pour s’interfacer avec n’importe quelle application. Celle-ci est fonctionnelle sur des environnements de workflow de la société QualNet ayant co-financée cette thèse. Les expérimentations menées montrent que notre protection obligatoire supporte des environnements à grande échelle et impose une élévation faible du temps de traitement, de l’ordre de 5%, qui diminue lorsque la taille des applications augmente. / This thesis focuses on mandatory access control in Web applications server. We present a novel approach of mandatory protection based on an abstract Web application model. Existing models of Web applications such as SOA fit with our abstract model. Our mandatory protection uses a dedicated language that allows to express the security requirements of a Web application. This dedicated protection language uses our Web application model to control efficiently the accesses of the subjects to the objects of a Web application. We establish a method to automatically compute the requested security policies facilitating thus the administration of the mandatory protection. An implementation on Microsoft-based environments uses the IIS Web server and the .Net Framework. The solution is independent from the Web applications to protect since it uses an application adaptor to interface our mandatory protection with the applications. This implementation is fully running on the workflow environments from the QualNet society, that cofunded this Ph.D thesis. Experiments show that our mandatory protection supports large scale environments since the overhead is near to 5 % and decreases when the size of the application increases.
Sécurité
Contrôle d’accès
Serveurs Web
Protection obligatoire
Workflows
Security
Access control
Web servers
Mandatory protection
Workflows
3

Etude des politiques de sécurité pour les applications distribuées : le problème des dépendances transitives : modélisation, vérification et mise en oeuvre / Study of security policies for distributed applications : the problem of transitive dependencies

Uttha, Worachet 26 September 2016 (has links)
Le contrôle d’accès est un ingrédient fondamental de la sécurité des systèmes d’information. Depuis les années 70, les travaux dans ce domaine ont apporté des solutions aux problèmes de confidentialités des données personnelles avec applications à différents environnements. Parmi les modèles de contrôle d’accès, nous nous intéressons au modèle basé sur les organisations (OrBAC) et nous en proposons une extension adaptée aux contextes distribués tels que les services web. Cette extension est capable de gérer les demandes d’accès transitifs. Ce cas peut se produire quand un service doit appeler un autre service qui peut avoir besoin d’en invoquer à son tour un ou plusieurs autres pour satisfaire la demande initiale. Nous appelons D-OrBAC (Distributed Organisation Based Access Control), l'extension du modèle OrBAC avec une notion de procuration représentée par un graphe de délégation, qui nous permet de représenter les accords entre les différentes organisations impliquées dans la chaîne d’invocations de services, et de garder la trace des autorisations transitives. Nous proposons aussi une technique d’analyse basée sur Datalog permettant de simuler des scénarios d’exécution et de vérifier l’existence de situations non sécurisées. Nous utilisons ensuite des techniques de réécriture pour assurer que la politique de sécurité spécifiée via le modèle D-OrBAC respecte les propriétés importantes telles que terminaison et consistance. Enfin, nous implémentons pour un cas d’étude, le mécanisme d’évaluation des demandes d’accès selon la norme XACML afin de montrer que notre solution est capable de fournir à la fois la fonctionnalité désirée et la sécurité nécessaire pour le système. / The access control is a fundamental ingredient of computer security. Since the 70s, the research in this area has provided many solutions to the privacy issue of personal data with applications to different environments (operating systems, databases, etc.). Among many access control models, we are interested in the model based on organisations (OrBAC) and we propose an extension adapted to distributed environments such as web services. This extended model is able, in particular, to handle access transitive requests. This situation can occur when a service has to call another service that may need to invoke in turn one or more services to meet the initial demand.We call D-OrBAC (Distributed Organisation Based Access Control), the extension of OrBAC model with a notion of delegation represented by a delegation graph. This graph allows us to represent agreements between the different organisations involved in the chain of service invocations, and to keep track of transitive authorisations. We also propose an analytical technique based on Datalog that allows us to simulate execution of scenarios and to check for the existence of unsafe situations.Thereafter, we use rewriting techniques to ensure that the security policy specified via our D-OrBAC model complies with important properties such as termination and consistency. Finally, we implement for a case study, the mechanism of access request evaluations according to the XACML on the WSO2 Identity Server platform to show that our solution is able to provide both the desired functionality and the security for the system.
Contrôle d’accès
Vérification
OrBAC
Soa
Xacml
Access Control
Verification
OrBAC
Soa
Xacml
004
4

Automatic reconstruction and analysis of security policies from deployed security components / Analyse et reconstruction automatique de politiques de sécurité de composants de sécurité déployés

Martinez, Salvador 30 June 2014 (has links)
La sécurité est une préoccupation essentielle pour tout système d’information. Propriétés de sécurité telles que la confidentialité, l’intégrité et la disponibilité doivent être appliquées afin de rendre les systèmes sures. Dans les environnements complexes, où les systèmes d’information sont composés par un certain nombre de sous-systèmes hétérogènes, chaque sous-système joue un rôle clé dans la sécurité globale du système. Dans le cas spécifique du contrôle d’accès, politiques de contrôle d’accès peuvent être trouvées dans différents composants (bases de données, réseaux, etc.), ces derniers étant sensés travailler ensemble. Néanmoins , puisque la plupart de ces politiques ont été mises en œuvre manuellement et / ou évolué séparément ils deviennent facilement incompatibles. Dans ce contexte, la découverte et compréhension des politiques de sécurité appliquées par le système d’information devient une nécessité critique. Le principal défi à résoudre est de combler le fossé entre les caractéristiques de sécurité dépendant du fournisseur et une représentation de plus haut niveau que exprime ces politiques d’une manière faisant abstraction des spécificités de composants concrètes, et donc, plus facile à comprendre et à raisonner avec. Cette représentation de haut niveau nous permettrait également de mettre en œuvre tous les opérations de évolution / refactoring / manipulation sur les politiques de sécurité d’une manière réutilisable. Dans ce travail, nous proposons un tel mécanisme de rétro-ingénierie et d’intégration des politiques de contrôle d’accès. Nous comptons sur les technologies de l’ingénierie dirigée par les modèles pour atteindre cet objectif . / Security is a critical concern for any information system. Security properties such as confidentiality, integrity and availability need to be enforced in order to make systems safe. In complex environments, where information systems are composed by a number of heterogeneous subsystems, each subsystem plays a key role in the global system security. For the specific case of access-control, access-control policies may be found in several components (databases, networksand applications) all, supposedly, working together. Nevertheless since most times these policies have been manually implemented and/or evolved separately they easily become inconsistent. In this context, discovering and understanding which security policies are actually being enforced by the information system comes out as a critical necessity. The main challenge to solve is bridging the gap between the vendor-dependent security features and a higher-level representation that express these policies in a way that abstracts from the specificities of concrete system components, and thus, it´s easier to understand and reason with. This high-level representation would also allow us to implement all evolution/refactoring/manipulation operations on the security policies in a reusable way. In this work we propose such a reverse engineering and integration mechanism for access-control policies. We rely on model-driven technologies to achieve this goal.
Sûreté
Ingénierie dirigée par les modèles
Rétro-ingénierie
Contrôle d’accès
Security
Model-driven
Reverse-engineering
Access-Control
5

Security Analysis and Access Control Enforcement through Software Defined Networks / Analyse de sécurité et renforcement de control d’accès à travers les réseaux programmables

Zerkane, Salaheddine 05 November 2018 (has links)
Les réseaux programmables (SDN) sont un paradigme émergent qui promet de résoudre les limitations de l'architecture du réseau conventionnel. Dans cette thèse, nous étudions et explorons deux aspects de la relation entre la cybersécurité et les réseaux programmables. D'une part, nous étudions la sécurité pour les réseaux programmables en effectuant une analyse de leurs vulnérabilités. Une telle analyse de sécurité est un processus crucial pour identifier les failles de sécurité des réseaux programmables et pour mesurer leurs impacts. D'autre part, nous explorons l'apport des réseaux programmables à la sécurité. La thèse conçoit et implémente un pare-feu programmable qui transforme la machine à états finis des protocoles réseaux, en une machine à états équivalente pour les réseaux programmables. En outre, la thèse évalue le pare-feu implémenté avec NetFilter dans les aspects de performances et de résistance aux attaques d’inondation par paquets de synchronisation. De plus, la thèse utilise l'orchestration apportée par les réseaux programmables pour renforcer la politique de sécurité dans le Cloud. Elle propose un Framework pour exprimer, évaluer, négocier et déployer les politiques de pare-feu dans le contexte des réseaux programmables sous forme de service dans le Cloud. / Software Defined Networking (SDN) is an emerging paradigm that promises to resolve the limitations of the conventional network architecture.SDN and cyber security have a reciprocal relationship. In this thesis, we study and explore two aspects of this relationship. On the one hand, we study security for SDN by performing a vulnerability analysis of SDN. Such security analysis is a crucial process in identifying SDN security flaws and in measuring their impacts. It is necessary for improving SDN security and for understanding its weaknesses.On the other hand, we explore SDN for security. Such an aspect of the relationship between SDN and security focusses on the advantages that SDN brings into security.The thesis designs and implements an SDN stateful firewall that transforms the Finite State Machine of network protocols to an SDN Equivalent State Machine. Besides, the thesis evaluates SDN stateful firewall and NetFilter regarding their performance and their resistance to Syn Flooding attacks.Furthermore, the thesis uses SDN orchestration for policy enforcement. It proposes a firewall policy framework to express, assess, negotiate and deploy firewall policies in the context of SDN as a Service in the cloud.
Réseaux programmables
Cybersécurité
Pare-feu
Orchestration
Vulnérabilité
Contrôle d’accès
Software Defined Networks
Cyber security
Firewall
Orchestration
Vulnerability
Access Control
005.8
6

Contributions to the security of mobile agent systems / Contributions à la sécurité des systèmes d’agents mobiles

Idrissi, Hind 15 July 2016 (has links)
Récemment, l’informatique distribuée a connu une grande évolution en raison de l’utilisation du paradigme des agents mobiles, doté d’innovantes capacités, au lieu du système client-serveur où les applications sont liées à des nœuds particuliers dans les réseaux. Ayant capturé l’intérêt des chercheurs et de l’industrie, les agents mobiles sont capables de migrer de manière autonome d’un nœud à un autre à travers le réseau, en transférant de leur code et leurs données, ce qui leur permet d’effectuer efficacement des calculs, de recueillir des informations et d’accomplir des tâches. Cependant, en dépit de ses avantages significatifs, ce paradigme souffre encore de certaines limitations qui font obstacle à son expansion, principalement dans le domaine de la sécurité. Selon les efforts actuellement déployés pour évaluer la sécurité des agents mobiles, deux catégories de menaces sont considérées. La première catégorie concerne les attaques menées sur l’agent mobile lors de son voyage à travers des hôtes ou des entités malveillantes, tandis que la seconde catégorie traite les attaques effectuées par un agent mobile illicite afin d’affecter la plate-forme d’hébergement et de consommer ses ressources. Ainsi, il est substantiellement nécessaire de concevoir une infrastructure de sécurité complète pour les systèmes d’agents mobiles, qui comprend la méthodologie, les techniques et la validation. L’objectif de cette thèse est de proposer des approches qui fournissent cette technologie avec des fonctionnalités de sécurité, qui correspondent à sa structure globale sans compromettre ses capacités de mobilité, l’interopérabilité et l’autonomie. Notre première approche est basée sur la sérialisation XML et des primitives cryptographiques, afin d’assurer une mobilité persistante de l’agent ainsi qu’une communication sécurisée avec les plates-formes d’hébergement. Dans la seconde approche, nous avons conçu une alternative à la première approche en utilisant la sérialisation binaire et la cryptographie à base de l’identité. Notre troisième approche introduit l’aspect d’anonymat à l’agent mobile, et lui fournit un mécanisme de traçage pour détecter les intrusions le long de son voyage. La quatrième approche a été développée dans le but de restreindre l’accès aux ressources de la plate-forme de l’agent, en utilisant une politique de contrôle d’accès bien définie à base la cryptographie à seuil. A ce stade, on s’est intéressé à expérimenter l’utilité des agents mobiles avec des fonctionnalités de sécurité, dans la préservation de la sécurité des autres technologies, telles que le Cloud Computing. Ainsi, nous avons proposé une architecture innovante du Cloud, en utilisant des agents mobiles dotés de traces cryptographiques pour la détection d’intrusion et d’un protocole de révocation à base de seuil de confiance pour la prévention. / Recently, the distributed computing has witnessed a great evolution due to the use of mobile agent paradigm, endowed with innovative capabilities, instead of the client-server system where the applications are bound to particular nodes in networks. Having captured the interest of researchers and industry, the mobile agents areable to autonomously migrate from one node to another across the network, transferring their code and data, which allows them to efficiently perform computations, gather information and accomplish tasks. However, despite its significant benefits, this paradigm still suffering from some limitations that obstruct its expansion, primarily in the area of security. According to the current efforts to investigate the security of mobile agents, two categories of threats are considered. The first one concerns the attacks carried out on the mobile agent during its travel or stay by malicious hosts or entities, while the second one deals the attacks performed by a malicious mobile agent in order to affect the hosting platform and consume its resources. Thus, it is substantially needed to conceive a complete security infrastructure for mobile agent systems, which includes methodology, techniques and validation. The aim of this thesis is to propose approaches which provide this technology with security features, that meet with its overall structure without compromising its mobility, interoperbility and autonomy capabilities. Our first approach was based on XML serialization and cryptographic primitives, in order to ensure a persistent mobility of agent as well as a secure communication with hosting platforms. In the second approach, we have conceived an alternative to the first approach using binary serialization and Identity-based cryptography. Our third approach was proposed to introduce anonymity aspect to the mobile agent, and provide him with a tracing mechanism to detect intrusions along its trip. The fourth approach was developed in order to restrict the access to the resources of the agent platform, using a well-defined access control policy based on threshold cryptography. At this stage, we find it interesting to experiment the utility of mobile agents with security features in preserving the security of other technologies such as cloud computing. Thus, we have developed an innovative cloud architecture using mobile agents endowed with cryptographic traces for intrusion detection and a revocation protocol based on trust threshold for prevention.
Sécurité des agents mobiles
Cryptographie
Serialisation
Contrôle d’accès
Détection et prévention d'intrusion
Mobile agents security
Cryptography
Serialization
Access Control
Intrusion detection and prevention
7

Contrôle d'accès obligatoire pour systèmes à objets : défense en profondeur des objets Java / Mandatory access control for object systems : defense in depth for Java objects

Venelle, Benjamin 16 July 2015 (has links)
Les systèmes à objets sont présents partout dans notre quotidien. Ainsi, une vulnérabilité dans ces systèmes compromet amplement la confidentialité ou l'intégrité. Par exemple, Java est un système à objets basé sur les classes qui a été la cible de nombreuses cyber-attaques entre 2012 et 2013 au point que le département de la sécurité intérieure des Etats-Unis recommande son abandon. Dans cette thèse nous proposons de limiter les relations entre objets au moyen d’un contrôle d’accès obligatoire. Pour cela nous définissons un modèle général de système à objets supportant notamment les langages objets et à prototypes. Puis nous formalisons les relations élémentaires que nous pouvons observer et donc contrôler. Celles-ci sont la référence, l’interaction et trois types de flux (d’activité, d’information, de données). Nous proposons également une logique basée sur des automates qui permet de calculer les privilèges de chaque objet. Ainsi, nous calculons dynamiquement la politique obligatoire nécessaire pour satisfaire les objectifs de sécurité exigés. Par là même, nous résolvons d’un seul coup le calcul des politiques obligatoires et le problème d’efficacité puisque la politique obligatoire se trouve réduite. L’expérimentation propose une application aux objectifs de sécurité JAAS existants dans Java. De fait, nous avons été capables d’empêcher les malwares Java correspondant à une année de vulnérabilités au moyen de l’outil d’exploitation Metasploit. / Objects based systems are presents everywhere in our life. When such a system presents vulnerabilities, confidentiality and integrity are thus widely compromised. For example, Java is an object language authorizing many cyber-attacks between 2012 and 2013 leading the US department of homeland security to recommend its abandon. This thesis proposes to limit the relations between the objects thanks to a mandatory access control. First, a general model of objects supporting objects and prototypes languages is defined. Second, the elementary relations are formalized in order to control them. Those relations include the reference, interaction and three types of flow (activity, information and data). Automata authorize a logic that enables to compute the required mandatory policy. At the same time, the computation of the MAC policy and the efficiency are solved since the policy is reduced. Experimentations use the JAAS security objectives existing in the Java language. Thus, one year of Java vulnerabilities is prevented thanks to the Metasploit framework.
Sécurité
Contrôle d’accès obligatoire
Autonomie
Système à objets
Java
Security
Mandatory access control
Autonomous
Objects based systems
Java
005.8
8

Distributed data management with access control : social Networks and Data of the Web / Gestion de Données Distribuées avec Contrôle d’Accès : réseaux sociaux et données du Web

Galland, Alban 28 September 2011 (has links)
La masse d’information disponible sur leWeb s’accroit rapidement, sous l’afflux de données en provenance des utilisateurs et des compagnies. Ces données qu’ils souhaitent partager de façon controllée sur le réseau et quisont réparties sur de nombreuses machines et systèmes différents, ne sont rapidement plus gérables directement par des moyens humains. Nous introduisons WebdamExchange, un nouveau modèle de bases de connaissancesdistribuées, qui comprend des assertions au sujet des données, du contrôle d’accés et de la distribution. Ces assertions peuvent être échangées avec d’autres pairs, répliquées, interrogées et mises à jour, en gardant la trace de leur origine. La base de connaissance permet aussi de guider de façon automatique sa propre gestion. WebdamExchange est basé surWebdamLog, un nouveau langage de règles pour la gestion de données distribuées, qui associe formellement les règles déductives de Datalog avec négation et les règles actives de Datalog::. WebdamLog met l’accent sur la dynamicité et les interactions, caractéristiques du Web 2.0. Ce modèle procure à la fois un langage expressif pour la spécification de systèmes distribués complexes et un cadre formel pour l’étude de propriétés fondamentales de la distribution. Nous présentons aussi une implémentation de notre base de connaissance. Nous pensons que ces contributions formentune fondation solide pour surmonter les problèmes de gestion de données du Web, en particulier dans le cadre du contrôle d’accès. / The amount of information on the Web is spreading very rapidly. Users as well as companies bring data to the network and are willing to share with others. They quickly reach a situation where their information is hosted on many machines they own and on a large number of autonomous systems where they have accounts. Management of all this information is rapidly becoming beyond human expertise. We introduce WebdamExchange, a novel distributed knowledge-base model that includes logical statements for specifying information, access control, secrets, distribution, and knowledge about other peers. These statements can be communicated, replicated, queried, and updated, while keeping track of time and provenance. The resulting knowledge guides distributed data management. WebdamExchange model is based on WebdamLog, a new rule-based language for distributed data management that combines in a formal setting deductiverules as in Datalog with negation, (to specify intensional data) and active rules as in Datalog:: (for updates and communications). The model provides a novel setting with a strong emphasis on dynamicity and interactions(in a Web 2.0 style). Because the model is powerful, it provides a clean basis for the specification of complex distributed applications. Because it is simple, it provides a formal framework for studying many facets of the problem such as distribution, concurrency, and expressivity in the context of distributed autonomous peers. We also discuss an implementation of a proof-of-concept system that handles all the components of the knowledge base and experiments with a lighter system designed for smartphones. We believe that these contributions are a good foundation to overcome theproblems of Web data management, in particular with respect to access control.
Distribution
Contrôle d’Accès
Réseaux Sociaux
Gestion de Données du We
Datalog Distribué
Distribution
Access Control
Social Network
Web Data Management
Distributed Datalog
9

Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise / Collaborative resources security in enterprises social networking

Bouchami, Ahmed 02 September 2016 (has links)
Les réseaux sociaux d’entreprise (RSE) ont révolutionné la collaboration entre les organisations professionnelles. Grâce aux RSEs, les contraintes classiques de mobilité, de procédures compliquées d’échange de services et de manque de flexibilité et de communication en matière de cercles collaboratifs ne sont plus d’actualité. Dans cette thèse, nous avons travaillé sur le projet OpenPaaS RSE. Principalement nous nous sommes focalisés sur la partie gestion du contrôle d’accès, qui nous a conduit vers d’autres besoins, à savoir la gestion des identités numériques et leurs supervisions. Nous avons travaillé en premier lieu sur la gestion de l’authentification des identités numériques au sein de communautés de collaboration regroupant des entreprises hétérogènes en matière de gestion de l’authentification. Pour cela, nous avons proposé une architecture de fédération interopérable en matière de gestion de l’authentification, permettant ainsi à chaque entreprise de préserver son mécanisme d’authentification (propre) et aux acteurs de procéder à une authentification unique. Nous nous sommes ensuite concentrés sur la gestion des accréditations des identités numériques (i.e. contrôle d’accès). Sur cet aspect, nous avons proposé un mécanisme flexible de contrôle d’accès basé sur un ensemble d’attributs identitaires, que nous avons conçu sur la base d’un langage formel fondé sur la logique temporelle Event-Calculus. Nous sommes ainsi en mesure de rendre le partage de ressources fluide et agile, et par ailleurs capables de gérer des autorisations temporaires (i.e. les délégations). La fluidité et l’agilité du partage sont dues au fait que nous avons modélisé notre mécanisme de contrôle d’accès de telle sorte que le partage soit basé principalement sur les acteurs de collaboration (i.e. user-centric), et ce de la manière la plus simple possible. En outre, le formalisme logique nous a permis de vérifier automatiquement la cohérence des politiques notamment celles liées au partage de ressources. Notre système de contrôle d’accès donne aux entreprises le pouvoir de contrôler de manière abstraite les politiques de partage de ressources définies à l’échelle des acteurs, et ce grâce à des politiques fondées sur un mécanisme de gestion du risque qui émane des requêtes externes de demande d’accès. Les politiques basées sur le risque sont combinées avec les politiques de partage. Dans notre mécanisme de gestion du risque, nous nous sommes basés sur les standards liés au risque (définis par le NIST) que nous avons alignés avec des paramètres pertinents pour le contrôle d’accès dans le contexte RSE. Notre gestion dynamique du risque inclut en effet les paramètres suivants : l’importante de chaque ressource collaborative, les vulnérabilités des systèmes d’authentification utilisés pour authentifier les acteurs au sein d’une communauté et la confiance reflétée à travers le comportement de chaque acteur de collaboration. Sur ce dernier aspect de confiance, nous avons procédé à une évaluation de la confiance numérique à travers le cumul de réputations basé sur l’historique d’interactions collaboratives de chaque sujet. Enfin, nous avons développé ces différents modules de sécurité orientés pour le contrôle d’accès dans les environnements collaboratifs socioprofessionnels, et nous les avons intégrés au prototype du RSE OpenPaaS / Enterprise social networks (ESN) have revolutionized collaboration between professional organizations. By means of an ESN, conventional mobility constraints, complex procedures for services exchange and the lack of flexibility and communication are no longer concerns. In this thesis we have worked on the project OpenPaaS ESN. Mainly we focused on the management of the access control, which led us to other needs, namely the management of digital identities and their monitoring. We worked primarily on managing the authentication of digital identities within collaborative communities made of heterogeneous enterprises regarding authentication management systems. For this, we have proposed an interoperable architecture for managing federated authentication, allowing thus each enterprise to preserve its (own) authentication mechanism and each principal to perform a single sign on authentication regarding different enterprises. Further, we focused on the management of digital identities accreditations, i.e. Access Control. On this aspect, we have proposed a flexible access control model based on a set of identity attributes. We developed this model on the basis of a formal language based on temporal logic, namely the Event-Calculus logic. We were thus able to make the sharing of resources fluid and agile, and also able to handle temporary authorizations, i.e. delegations. The fluidity and agility of the shares is due to the user-centric resources’ sharing in a straightforward manner. In addition, the logical formalism has allowed us to automatically check the access control policies consistency. For enterprises, our access control system gives them the ability to control the user-centric sharing policies through policies based on a risk management mechanism, which make our access control mechanism dynamic. The risk mechanism is based on the NIST’s risk definition with an alignment with a set of parameters that include access control in the ESN context. More precisely, the dynamic risk management includes, the collaborative resource’s importance, the authentication system’s vulnerabilities and trust level reflected through the behavior of each collaborative actor. On this latter aspect of trust, we made an evaluation of trust through the computation of reputation scores based on the history of collaborative interactions of each subject of collaboration. Finally, we have implemented all those security modules and integrate them as a prototype into OpenPaaS ESN.
Sécurité
Fédération d’identité
ABAC
Contrôle d’accès
Délégation
Gestion du risque
Confiance numérique
Security
Identity Federation
ABAC
Access control
Delegation
Risk management
Digital trust
005.8
658.472
10

Protection obligatoire répartie : usage pour le calcul intensif et les postes de travail / Distributed mandatory protection

Gros, Damien 30 June 2014 (has links)
La thèse porte sur deux enjeux importants de sécurité. Le premier concerne l’amélioration de la sécurité des systèmes Linux présents dans le calcul intensif et le second la protection des postes de travail Windows. Elle propose une méthode commune pour l’observation des appels système et la répartition d’observateurs afin de renforcer la sécurité et mesurer les performances obtenues. Elle vise des observateurs du type moniteur de référence afin de garantir de la confidentialité et de l’intégrité. Une solution utilisant une méthode de calcul intensif est mise en oeuvre pour réduire les surcoûts de communication entre les deux moniteurs de référence SELinux et PIGA. L’évaluation des performances montre les surcoûts engendrés par les moniteurs répartis et analyse la faisabilité pour les différents noeuds d’environnements de calcul intensif. Concernant la sécurité des postes de travail, un moniteur de référence est proposé pour Windows. Il repose sur les meilleures protections obligatoires issues des systèmes Linux et simplifie l’administration. Nous présentons une utilisation de ce nouveau moniteur pour analyser le fonctionnement de logiciels malveillants. L’analyse permet une protection avancée qui contrôle l’ensemble du scénario d’attaque de façon optimiste. Ainsi, la sécurité est renforcée sans nuire aux activités légitimes. / This thesis deals with two major issues in the computer security field. The first is enhancing the security of Linux systems for scientific computation, the second is the protection of Windows workstations. In order to strengthen the security and measure the performances, we offer a common method for the distributed observation of system calls. It relies on reference monitors to ensure confidentiality and integrity. Our solution uses specific high performance computing technologies to lower the communication latencies between the SELinux and PIGA monitors. Benchmarks study the integration of these distributed monitors in the scientific computation. Regarding workstation security, we propose a new reference monitor implementing state of the art protection models from Linux and simplifying administration. We present how to use our monitor to analyze the behavior of malware. This analysis enables an advanced protection to prevent attack scenarii in an optimistic manner. Thus, security is enforced while allowing legitimate activities.
Sécurité
Contrôle d’accès obligatoire
Systèmes d’exploitation
Logiciels malveillants
Poste de travail
Calcul intensif
Security
Mandatory access control
Operating systems
Malware
Workstation
High performance computing laborat

Page generated in 0.4602 seconds