HomeContactLoginFrançais | A+ A - |  
Security Research Laboratory
Coming soon ...
Defense of a thesis of Ibrahim Keita:
Sécurité des services web. Directeur de recherche: Kamel Adi, Michal Iglewski
Soutenance de mémoire de maîtrise de Ibrahim Keita:
Sécurité des services web. Directeur de recherche: Kamel Adi, Michal Iglewski




Delegation in Role-Based Access Control. Hemanth Khambhammettu (Joint work with Jason Crampton, Royal Holloway, University of London)

Date: january 18, 2010
User delegation is a mechanism for assigning access rights available to one user to another user. A delegation can either be a "grant" or "transfer" operation. Existing work on delegation in the context of role-based access control (RBAC) models have extensively studied grant delegations; however, transfer delegations have largely been ignored. This is largely because enforcing transfer delegation policies is more complex than grant delegation policies. In this talk, we introduce various transfer delegation operations for RBAC models and define their semantics. We will also discuss a mechanism, that is based on the concept of "administrative scope", for authorising delegations in our model. In particular, we show that the use of administrative scope for authorising delegations is more efficient than using relations.

Mahjoub Langar (Ph. D.)

With the development of networks and the Internet, the use of mobile code downloaded will certainly have to be spread in the software industry. But the design of mobile code raises new security concerns. Indeed, a downloaded program does not compromise the integrity and smooth functioning of the system into which it fits, for example, a Midlet (game designed for embedded systems written in Java) that is inserted in the operating system of his cell. The development and testing of such software entities are very complex because it is not known a priori in what context they will evolve. It should theoretically explore all possible interactions of the program with its environment, which is rarely feasible in practice even for small code size. During the last decade, a new sub-field of security has developed. This is the code self-certified or other terms of the certified compilation. Indeed, to allow a user of a program to check the safety of the latter, it must generate, at compile time, a certificate proving that a program is safe. When downloaded, the user downloads a program and a certificate that allows them to check the validity of the program. The technical certification programs have a limit for properties they can verify. Indeed, most current approaches are based on static analysis techniques. The latter have no access to the values manipulated by programs. Moreover, there are techniques that allow dynamic analysis to analyze a program by observing its behavior. In this presentation, we focus on the technique of dynamic instrumentation of programs. This is insert test within a program to strengthen a security policy. The approaches of existing cause a loss of performance. Indeed, there is no formal framework for the elimination of unnecessary testing. In this presentation we propose a technique optimized instrumentation program.

Mahdi Mankai (M. Sc.)

Les politiques de contrôle d'accès aux ressources réparties sur un réseau de communication sont écrites avec des langages souvent complexes pour les utilisateurs. Les risques de créer des conflits entres les différentes politiques, protégeant une ressource donnée, est donc élevé. L'objectif est de définir des méthodes pour valider et détecter les conflits dans les politiques de contrôle d'accès. Nous allons étudier le cas spécifique de XACML (eXtensible Access Control Markup Language) pour l'analyser et détecter les contradiction avec l'outil de modélisation et vérification Alloy.

Luis Cardenas (M. Sc.)

Trouver une méthodologie pour générer automatiquement des scénarios de test à partir de besoins du client, cette dernière étant spécifiée en utilisant l'approche « Software Cost Reduction ». Le projet consiste à identifier un critère de couverture c'est-à-dire identifier les cas à tester à partir des spécifications données et ensuite proposer une stratégie pour générer un ensemble minimal des scénarios qui couvrent la majorité des cas.

Mahdi Mankai (M. Sc.)

XACML offre un langage, des concepts et un environnement pour la création et la gestion des politiques de contrôle d'accès pour les services Web et les applications distribuées. L'objectif principal de XACML est de pouvoir générer une décision (accord ou refus) face à une demande d'accès à une ressource. XACML se base sur XML, donc il est indépendant des plateformes matérielles et logicielles. De plus, il permet de rendre le contrôle d'accès modulaire et réutilisable. Cette présentation va introduire les concepts de base de XACML, son architecture et son fonctionnement.

Page 1 - 2 - 3
© Security Research Laboratory, 2010 - - Computer Sciences Department - Université du Québec en Outaouais