Télécharger La thèse :

Titre: Approche de spécification et validation de politiques RBAC au niveau des processus métiers

Domaine: Mathématiques informatique (MI)

Filière: Informatique

Option: Sécurité des Systèmes d’information

Auteur: Chehida Salim

Soutenu (e) le: 02/03/2017

Sous la direction de: Rahmouni Mustapha Kamel

Le président du jury : Haffaf Hafid

Examinateur1: Lebbah Yahia

Examinateur2: Chaoui Allaoua

Examinateur3: Saidouni Djamel Eddine

Examinateur4: Pacha Adda ALI

Invité: Ledru Yves

Mention: Très Honorable

Résumé:

La spécification de politiques de contrôle d’accès constitue une étape cruciale dans la sécurité d’un Système d’Information. Le présent travail propose une approche qui combine les langages UML et B pour la spécification et la validation de politiques de contrôle d’accès basées sur le modèle RBAC (Role Based Access Control) au niveau des activités d’un processus métier. Notre approche commence par la spécification semi-formelle des règles de contrôle d’accès à l'aide de notre extension de diagrammes d'activités d’UML2 nommée BAAC@UML (Business Activity Access Control with UML). Les diagrammes d’activités sont définis à deux niveaux : un niveau abstrait qui ne détaille pas les règles d’autorisation et un niveau concret où des contraintes sont associées à certaines actions ou à l’ensemble du diagramme. Notre profil introduit les concepts de rôle et précondition contextuelle de contrôle d'accès pour garder l'accès des utilisateurs aux activités. Nous avons défini un méta-modèle en vue de spécifier la sémantique de nos diagrammes d’activités BAAC@UML ainsi que la sémantique de leurs liens avec les modèles SecureUML qui permettent la spécification de la vue statique d’une politique RBAC. Nous avons également proposé un ensemble de règles, exprimées en OCL, qui permet d’assurer la cohérence structurelle entre les modèles BAAC@UML et les modèles SecureUML. Les modèles BAAC@UML sont ensuite traduits en spécifications formelles exprimées en langage B. La spécification B définit un cadre rigoureux favorisant la vérification et la validation (V&V) de la politique RBAC. Nous avons utilisé l’animateur ProB et le prouveur Atelier B dans les activités de V&V. La preuve assure la conservation des contraintes de sécurité invariantes dans l’exécution de l’activité. L’animation permet de simuler l’exécution des scénarios d’activité par les utilisateurs et de vérifier que la politique RBAC est bien respectée au niveau des modèles d’activités.


Mots clefs: RBAC, Processus métier, SecureUML, Diagramme d’activités d’UML2, Cohérence, Langage B, Animation, Preuve.


Publications associées à la thèse

Article 1:

Titre: Extensions du diagramme d’activité pour la spécification de politiques RBAC

Revue: Ingénierie des Systèmes d'Information (Networking and Information Systems)

Référence: Ingénierie des Systèmes d'Information (Networking and Information Systems), Volume 21 – no 2/2016 (Pages : 11-37)

Date: 26 Juin 2016