AccueilContactConnexionAnglais | A+ A - |  
Laboratoire de Recherche en Sécurité Informatique
À suivre ...
20/12/2009
Soutenance de mémoire de maîtrise de Ibrahim Keita:
Sécurité des services web. Directeur de recherche: Kamel Adi, Michal Iglewski
20/12/2009
Soutenance de mémoire de maîtrise de Ikhlass Hattak:
Analyse formelle de politique de sécurité. Directeur de recherche: Kamel Adi

 

Activités

Activité

Delegation in Role-Based Access Control. Hemanth Khambhammettu(Joint work with Jason Crampton, Royal Holloway, University of London)

Date: 18 janvier 2010
User delegation is a mechanism for assigning access rights available to one user to another user. A delegation can either be a "grant" or "transfer" operation. Existing work on delegation in the context of role-based access control (RBAC) models have extensively studied grant delegations; however, transfer delegations have largely been ignored. This is largely because enforcing transfer delegation policies is more complex than grant delegation policies. In this talk, we introduce various transfer delegation operations for RBAC models and define their semantics. We will also discuss a mechanism, that is based on the concept of "administrative scope", for authorising delegations in our model. In particular, we show that the use of administrative scope for authorising delegations is more efficient than using relations.

Mahjoub Langar (Ph. D.)

Avec le développement des réseaux et de l'Internet, l'usage de code mobile téléchargeable va être certainement amené à se répandre dans l'industrie du logiciel. Or la conception de code mobile soulève de nouveaux problèmes de sécurité. En effet, un programme téléchargé ne doit pas compromettre l'intégrité et le bon fonctionnement du système dans lequel il s'insère: par exemple, une Midlet (un jeu destiné pour les systèmes embarqués écrit dans le langage Java) que l'on insère dans le système d'exploitation de son cellulaire. La mise au point et la vérification de telles entités logicielles sont très complexes, car on ne sait pas a priori dans quel contexte elles vont évoluer. Il faudrait en théorie explorer toutes les interactions possibles du programme avec son environnement, ce qui est rarement faisable en pratique même pour du code de taille modeste. Durant la dernière décennie, un nouveau sous-domaine de sécurité s'est développé. Il s'agit du code auto-certifié ou en d'autres termes de la compilation certifié. En effet, afin de permettre à un utilisateur d'un programme de vérifier la sûreté de ce dernier, il faut générer, lors de la compilation, un certificat qui atteste qu'un programme est sécuritaire. Lors du téléchargement, l'utilisateur télécharge un programme et un certificat qui lui permet de vérifier la validité du programme. Les techniques de certification de logiciels présentent une limite pour les propriétés qu'ils peuvent vérifier. En effet, la majorité des approches actuelles, se basent sur des techniques d'analyse statique. Ces dernières, n'ont pas accès aux valeurs manipulées par les programmes. Par ailleurs, il existe des techniques d'analyse dynamique qui permettent d'analyser un programme en observant son comportement. Dans cette présentation, nous nous intéressons à la technique dynamique d'instrumentation de programmes. Il s'agit d'insérer des tests à l'intérieur d'un programme afin de renforcer une politique de sécurité. Les approches d'instrumentations existantes causent une perte de performance. En effet, il n'existe aucun cadre formel pour l'élimination des tests inutiles. Dans cette présentation nous proposons une technique optimisée d'intrumentation de programme.

Mahdi Mankai (M. Sc.)

Les politiques de contrôle d'accès aux ressources réparties sur un réseau de communication sont écrites avec des langages souvent complexes pour les utilisateurs. Les risques de créer des conflits entres les différentes politiques, protégeant une ressource donnée, est donc élevé. L'objectif est de définir des méthodes pour valider et détecter les conflits dans les politiques de contrôle d'accès. Nous allons étudier le cas spécifique de XACML (eXtensible Access Control Markup Language) pour l'analyser et détecter les contradiction avec l'outil de modélisation et vérification Alloy.

Luis Cardenas (M. Sc.)

Trouver une méthodologie pour générer automatiquement des scénarios de test à partir de besoins du client, cette dernière étant spécifiée en utilisant l'approche « Software Cost Reduction ». Le projet consiste à identifier un critère de couverture c'est-à-dire identifier les cas à tester à partir des spécifications données et ensuite proposer une stratégie pour générer un ensemble minimal des scénarios qui couvrent la majorité des cas.

Mahdi Mankai (M. Sc.)

XACML offre un langage, des concepts et un environnement pour la création et la gestion des politiques de contrôle d'accès pour les services Web et les applications distribuées. L'objectif principal de XACML est de pouvoir générer une décision (accord ou refus) face à une demande d'accès à une ressource. XACML se base sur XML, donc il est indépendant des plateformes matérielles et logicielles. De plus, il permet de rendre le contrôle d'accès modulaire et réutilisable. Cette présentation va introduire les concepts de base de XACML, son architecture et son fonctionnement.

Page 1 - 2 - 3
© Laboratoire de Recherche pour la Sécurité Informatique, 2010 - Département d'informatique et d'ingénierie - Université du Québec en Outaouais
XHTML CSS