SlideShare une entreprise Scribd logo
Contexte
                                    État de l'art
               Comparaison avec d'autres travaux
                                     Conclusion
                                   Bibliographie




                 Usage-Based Security Framework for

                 Collaborative                  Computing Systems




                                        Romain Bochet


                                     Dpt Telecom, Insa Lyon




                                        22 janvier 2010




       Article de X. Zhang, M. Nakae, M. Covington, R. Sandhu



1/27                                  Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ?




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m

         À quelle hauteur vole un avion de ligne ?




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m

         À quelle hauteur vole un avion de ligne ?             15km




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m

         À quelle hauteur vole un avion de ligne ?             15km

         À quelle hauteur peut aller un ballon météorologique ?




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m

         À quelle hauteur vole un avion de ligne ?             15km

         À quelle hauteur peut aller un ballon météorologique ? 30km




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                  État de l'art
             Comparaison avec d'autres travaux
                                   Conclusion
                                 Bibliographie
   La juste hauteur




         Quelle est l'altitude du Mont Blanc ? 4807m

         À quelle hauteur vole un avion de ligne ?             15km

         À quelle hauteur peut aller un ballon météorologique ? 30km

         Quelle serait la hauteur d'une pile de CD contenant un an de
         données du LHC ?




2/27                                Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                    État de l'art
               Comparaison avec d'autres travaux
                                     Conclusion
                                   Bibliographie
   La juste hauteur




           Quelle est l'altitude du Mont Blanc ? 4807m

           À quelle hauteur vole un avion de ligne ?             15km

           À quelle hauteur peut aller un ballon météorologique ? 30km

           Quelle serait la hauteur d'une pile de CD contenant un an de
           données du LHC ?

       ⇒   20km !




2/27                                  Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                      État de l'art
                 Comparaison avec d'autres travaux
                                       Conclusion
                                     Bibliographie
   Plan



       1   Contexte


       2   État de l'art
             Sujets & Objets
             L'ABC de l'Usage Control
             Décision & implémentation


       3   Comparaison avec d'autres travaux
             Les articles
             Avantages comparés
             Des faux et vrais problèmes


       4   Conclusion



3/27                                    Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                       État de l'art
                  Comparaison avec d'autres travaux
                                        Conclusion
                                      Bibliographie
   Les Organisations Virtuelles




       Denition

       Alliance   temporaire      d'organisations qui se regroupent pour partager
       leur ressources an de répondre à des opportunités métier qui se
       présentent.




4/27                                     Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                       État de l'art
                  Comparaison avec d'autres travaux
                                        Conclusion
                                      Bibliographie
   Les Organisations Virtuelles




       Denition

       Alliance   temporaire      d'organisations qui se regroupent pour partager
       leur ressources an de répondre à des opportunités métier qui se
       présentent.


       Exemples de mutualisation :

           Espace de stockage ;

           Puissance de calcul ;

           Réseaux Peer-to-peer ;

           Environnements Numériques de Travail.




4/27                                     Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                 État de l'art
            Comparaison avec d'autres travaux
                                  Conclusion
                                Bibliographie
   Les acteurs d'une VO




                              Fig.: Les acteurs d'une VO
5/27                              Romain Bochet  Usage-Based Security Framework for Collaborative C
Contexte
                                     État de l'art
                Comparaison avec d'autres travaux
                                      Conclusion
                                    Bibliographie
   Les enjeux de sécurité dans les VO




       Interrogations d'un RP

       À qui faire conance ? Comment puis-je m'assurer que mes
       ressources sont utilisées conforméments aux accords ?




6/27                                   Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                     État de l'art
                Comparaison avec d'autres travaux
                                      Conclusion
                                    Bibliographie
   Les enjeux de sécurité dans les VO




       Interrogations d'un RP

       À qui faire conance ? Comment puis-je m'assurer que mes
       ressources sont utilisées conforméments aux accords ?

       Les réponses d'UCON (Usage CONtrol) :

           Délégation des droits à la VO ;

           Politiques d'autorisation
                Ne pas distribuer le document D
                Ne pas jouer le lm F plus de 3 fois
                Consulter le dossier du patient P uniquement avec son accord



6/27                                   Romain Bochet   Usage-Based Security Framework for Collaborative C
Contexte
                                    État de l'art
               Comparaison avec d'autres travaux
                                     Conclusion
                                   Bibliographie
   Sujet de l'article


       Mise en place d'un module Apache gérant un dépôt SVN.
       Contraintes
           Personnel appartenant à plusieurs VO
           Prise en compte du lieu de connexion (dépendance
           environnement)




                               Fig.: Simulateur de connexion
7/27                                 Romain Bochet Usage-Based Security Framework for Collaborative C
Contexte
                                      État de l'art     Sujets  Objets
                 Comparaison avec d'autres travaux      L'ABC de l'Usage Control
                                       Conclusion       Décision  implémentation
                                     Bibliographie
   Plan



       1   Contexte


       2   État de l'art
             Sujets  Objets
             L'ABC de l'Usage Control
             Décision  implémentation


       3   Comparaison avec d'autres travaux
             Les articles
             Avantages comparés
             Des faux et vrais problèmes


       4   Conclusion



8/27                                    Romain Bochet       Usage-Based Security Framework for Collaborative C
Contexte
                                     État de l'art     Sujets  Objets
                Comparaison avec d'autres travaux      L'ABC de l'Usage Control
                                      Conclusion       Décision  implémentation
                                    Bibliographie
   Étude du modèle UCONABC


       Basé sur les 3 concepts suivants :

         1 Authorisations
         2 oBligations
         3 Conditions




9/27                                   Romain Bochet       Usage-Based Security Framework for Collaborative C
Contexte
                                     État de l'art     Sujets  Objets
                Comparaison avec d'autres travaux      L'ABC de l'Usage Control
                                      Conclusion       Décision  implémentation
                                    Bibliographie
   Étude du modèle UCONABC


       Basé sur les 3 concepts suivants :

         1 Authorisations
         2 oBligations
         3 Conditions



       En tenant compte des paramètres suivants

           Mutabilité des attributs

           Continuité de la décision




9/27                                   Romain Bochet       Usage-Based Security Framework for Collaborative C
Contexte
                                     État de l'art     Sujets  Objets
                Comparaison avec d'autres travaux      L'ABC de l'Usage Control
                                      Conclusion       Décision  implémentation
                                    Bibliographie
   Étude du modèle UCONABC


       Basé sur les 3 concepts suivants :

         1 Authorisations
         2 oBligations
         3 Conditions



       En tenant compte des paramètres suivants

           Mutabilité des attributs

           Continuité de la décision




       Légimité du sujet     S   pour eectuer le traitement             T
9/27                                   Romain Bochet       Usage-Based Security Framework for Collaborative C
Contexte
                                      État de l'art   Sujets  Objets
                 Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                       Conclusion     Décision  implémentation
                                     Bibliographie
   Les Sujets




        Denition

        Entités qui eectuent des actions sur les objets




10/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Sujets  Objets
                 Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                       Conclusion     Décision  implémentation
                                     Bibliographie
   Les Sujets




        Denition

        Entités qui eectuent des actions sur les objets


        Quelques exemples de caractéristiques :

            le Nom (immutable)

            la Date De Naissance (immutable)

            les Permissions (mutable)
                 S1 a un accès en lecture seule sur r.txt
                 S2 peut soumettre des travaux sur un RP pendant les horaires
                 de bureau



10/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                       État de l'art   Sujets  Objets
                  Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                        Conclusion     Décision  implémentation
                                      Bibliographie
   Les Objets




        Denition

        Entités qui sont utilisées par les sujets




11/27                                     Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                       État de l'art   Sujets  Objets
                  Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                        Conclusion     Décision  implémentation
                                      Bibliographie
   Les Objets




        Denition

        Entités qui sont utilisées par les sujets


        Quelques exemples de caractéristiques :

             la Valeur (Mutable/Immutable)
                  La puissance en Teraops (3 101,741 TeraFlops pour Boinc)
                  L'espace de stockage encore disponible (sur Amazon S3 par
                  exemple)
             un Crédit
                  Ce lm pourra être visionné encore 3 fois



11/27                                     Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                 État de l'art   Sujets  Objets
            Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                  Conclusion     Décision  implémentation
                                Bibliographie
   Le modèle    ABC

        Autorisations : prédicats évaluant
               Attributs des sujets
               Attributs des objets
               Les Droits et Actions
        Obligation
               Signature d'un agréément
               Paiement d'une redevance
        Condition
               Charge du système  0,75
               En dehors des horaires de bureau



12/27                               Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                  État de l'art   Sujets  Objets
             Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                   Conclusion     Décision  implémentation
                                 Bibliographie
   Continuité de la décision




             Fig.: La continuité de décision dans le modèle UCON




13/27                                Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Sujets  Objets
                 Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                       Conclusion     Décision  implémentation
                                     Bibliographie
   Continuité de la décision




                 Fig.: La continuité de décision dans le modèle UCON

        Évaluation des droits :

             Avant l'exécution
             Durant l'exécution
         ⇒   Continuité de la décision
13/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Sujets  Objets
                 Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                       Conclusion     Décision  implémentation
                                     Bibliographie
   Le centre nerveux du système




        Règle absolue

        La séparation entre le pôle décisionnel et celui qui applique les
        consignes doit être respectée !




14/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                       État de l'art   Sujets  Objets
                  Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                        Conclusion     Décision  implémentation
                                      Bibliographie
   Le centre nerveux du système




        Règle absolue

        La séparation entre le pôle décisionnel et celui qui applique les
        consignes doit être respectée !


        Entitées :

             PDP     (Policy Decision Point)
             Prend la décision en fonction de l'identité et des certicats de
             l'utilisateur

             PEP     (Policy Enforcement Point)
             Fait appliquer la consigne décidée par le PDP (délivre ou non
             l'accès à ressource)




14/27                                     Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Sujets  Objets
                 Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                       Conclusion     Décision  implémentation
                                     Bibliographie
   Push'n Pull




                 Fig.: La continuité de décision dans le modèle UCON

        Deux famille de modèles :
            Push (gauche)
            Pull (droite)
15/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                        État de l'art   Sujets  Objets
                   Comparaison avec d'autres travaux    L'ABC de l'Usage Control
                                         Conclusion     Décision  implémentation
                                       Bibliographie
   Un modèle hybride




        Le modèle choisi est un hybride des deux précédents :

            Push pour les attributs immutables
            Pull pour les attributs mutables

        Avantage

        Permet de réduire les risques de fraudes de la part des usagers




16/27                                      Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                       État de l'art   Les articles
                  Comparaison avec d'autres travaux    Avantages comparés
                                        Conclusion     Des faux et vrais problèmes
                                      Bibliographie
   Plan



        1   Contexte


        2   État de l'art
              Sujets  Objets
              L'ABC de l'Usage Control
              Décision  implémentation


        3   Comparaison avec d'autres travaux
              Les articles
              Avantages comparés
              Des faux et vrais problèmes


        4   Conclusion



17/27                                     Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                        État de l'art   Les articles
                   Comparaison avec d'autres travaux    Avantages comparés
                                         Conclusion     Des faux et vrais problèmes
                                       Bibliographie
   A Community Authorization Service for Group Collaboration




        Principes du service :

             Authentication dans une VO

             Autorisation      unique     pour une période donnée

        Avantages par rapport au framework :

         + Une seule authentication (intégration du SSO)

        Mais ...

           - Granularité moindre

           - Moins orienté sécurité




18/27                                      Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                        État de l'art   Les articles
                   Comparaison avec d'autres travaux    Avantages comparés
                                         Conclusion     Des faux et vrais problèmes
                                       Bibliographie
   A General Obligation Model and Continuity-Enhanced Policy

   Enforcement Engine for Usage Control




        Principe du modèle :

             Composant ajoutés autour d'un moteur d'authentication

             Utilisation d'une Finite State Machine pour gérer les sessions

        Avantages par rapport au framework :

         + Gestions de la continuité des autorisations

         + Révocations possible à tout moment

        Mais ...

           - Nécessite une technologie de bout en bout (lecteur)




19/27                                      Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Les articles
                 Comparaison avec d'autres travaux    Avantages comparés
                                       Conclusion     Des faux et vrais problèmes
                                     Bibliographie
   PEI for a patchy module ?
        Implémentation d'un module Apache avec le framework PEI




                                          Fig.: Modèle PEI

        Cadre du projet :

            Utilisation de Apache + SVN

            Gestion des autorisations (lieux, tâches aectées, équipes)


20/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Les articles
                 Comparaison avec d'autres travaux    Avantages comparés
                                       Conclusion     Des faux et vrais problèmes
                                     Bibliographie
   Les   Attribute Repository
        Contraintes sur les attributs         mutable    des objets et sujets :
             Accessibles simplement, rapidement
             Respect de l'intégrité
             Un utilisateur    ne doit pas       pouvoir modier ses attributs
         ⇒   Base du modèle hybride




                        Fig.: Implémentation à l'aide d'OpenLDAP

21/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                        État de l'art   Les articles
                   Comparaison avec d'autres travaux    Avantages comparés
                                         Conclusion     Des faux et vrais problèmes
                                       Bibliographie
   Non implémentation de la continuité de la décision




        Rappel

        La   continuité de la décision permet de révoquer                  ou de modier les
        droits du sujet  durant son utilisation de l'objet.




22/27                                      Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                        État de l'art   Les articles
                   Comparaison avec d'autres travaux    Avantages comparés
                                         Conclusion     Des faux et vrais problèmes
                                       Bibliographie
   Non implémentation de la continuité de la décision




        Rappel

        La   continuité de la décision permet de révoquer                  ou de modier les
        droits du sujet  durant son utilisation de l'objet.

        La question de l'usage :

               Corrélé à la longueur de l'utilisation du service

             ? Nécessaire dans le cas de récupération de code source SVN ?

             ? Nécessaire pour la lecture d'un dossier médical ?

             ? Nécessaire pour des chiers de police ?




22/27                                      Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                      État de l'art   Les articles
                 Comparaison avec d'autres travaux    Avantages comparés
                                       Conclusion     Des faux et vrais problèmes
                                     Bibliographie
   Performances


        Toute structure de contrôle induit obligatoirement une latence
        supplémentaire sur le réseau.

            # Fichier       Poids chier          Temps PDP (msec)                  # accès
                1                10KB                      2304                       26
                1              1000KB                      2473                       26
                10               10KB                      3993                       44
                10             1000KB                      3506                       44
               100             1000KB                     10147                      224

                 Tab.: Temps d'accès pour la récupération de chiers

        Ordre de grandeur :

            Kernel Linux : 37 920 chiers, 411Mo

            JEdit : 65 408 chiers, 1,2 Go
23/27                                    Romain Bochet     Usage-Based Security Framework for Collaborative
Contexte
                                       État de l'art
                  Comparaison avec d'autres travaux
                                        Conclusion
                                      Bibliographie
   Plan



        1   Contexte


        2   État de l'art
              Sujets  Objets
              L'ABC de l'Usage Control
              Décision  implémentation


        3   Comparaison avec d'autres travaux
              Les articles
              Avantages comparés
              Des faux et vrais problèmes


        4   Conclusion



24/27                                     Romain Bochet   Usage-Based Security Framework for Collaborative
Contexte
                                         État de l'art
                    Comparaison avec d'autres travaux
                                          Conclusion
                                        Bibliographie
   Conclusion




        En résumé,

             Programmation sûre avec PEI

             Modèle UCONABC sécurisé

         ⇒   Sécurité accrue pour la VO



        Conséquence

        Permet l'extension de l'utilisation des VO, dont le nombre est
        croissant




25/27                                       Romain Bochet   Usage-Based Security Framework for Collaborative
Contexte
                                    État de l'art
               Comparaison avec d'autres travaux
                                     Conclusion
                                   Bibliographie
   Bibliographie


         B. Katt, X. Zhang, R. Breu, M. Hafner, and J.-P. Seifert.
         A general obligation model and continuity : enhanced policy
         enforcement engine for usage control.
         In SACMAT '08 : Proceedings of the 13th ACM symposium on
         Access control models and technologies, New York, NY, USA, 2008.


         L. Pearlman, V. Welch, I. Foster, C. Kesselman, and S. Tuecke.
         A community authorization service for group collaboration.
         In POLICY '02 : Proceedings of the 3rd International Workshop on
         Policies for Distributed Systems and Networks (POLICY'02), 2002.


         X. Zhang, M. Nakae, M. J. Covington, and R. Sandhu.
         Toward a usage-based security framework for collaborative
         computing systems.
         ACM Trans. Inf. Syst. Secur., 11(1), 2008.

26/27                          Romain Bochet   Usage-Based Security Framework for Collaborative
Contexte
                                 État de l'art
            Comparaison avec d'autres travaux
                                  Conclusion
                                Bibliographie
   Merci de votre attention




                                                     Questions ?
27/27                               Romain Bochet   Usage-Based Security Framework for Collaborative

Contenu connexe

En vedette

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
Cyber Security Alliance
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par  Fouad Guenane Security Day "Définitions, Risques et Droits" par  Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
WEBDAYS
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015
Celine Kahouadji
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
felixaime
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Pierre Neis marshmallow challenge
Pierre Neis marshmallow challengePierre Neis marshmallow challenge
Pierre Neis marshmallow challenge
Pierre E. NEIS
 
Foundations of Platform Security
Foundations of Platform SecurityFoundations of Platform Security
Foundations of Platform Security
Nate Lawson
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
Patrick Bouillaud
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP
Cyber Security Alliance
 
Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...
Vicente García Díaz
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
Thierry Pertus
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
EBIOS
EBIOSEBIOS
Architecture des Systèmes Logiciels
Architecture des Systèmes LogicielsArchitecture des Systèmes Logiciels
Architecture des Systèmes Logiciels
Ghazouani Mahdi
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Secure Architecture and Programming 101
Secure Architecture and Programming 101Secure Architecture and Programming 101
Secure Architecture and Programming 101
QAware GmbH
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
Safae Rahel
 

En vedette (20)

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par  Fouad Guenane Security Day "Définitions, Risques et Droits" par  Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Pierre Neis marshmallow challenge
Pierre Neis marshmallow challengePierre Neis marshmallow challenge
Pierre Neis marshmallow challenge
 
Foundations of Platform Security
Foundations of Platform SecurityFoundations of Platform Security
Foundations of Platform Security
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP
 
Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
EBIOS
EBIOSEBIOS
EBIOS
 
Architecture des Systèmes Logiciels
Architecture des Systèmes LogicielsArchitecture des Systèmes Logiciels
Architecture des Systèmes Logiciels
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Secure Architecture and Programming 101
Secure Architecture and Programming 101Secure Architecture and Programming 101
Secure Architecture and Programming 101
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 

Plus de Romain Bochet

Revue de presse IoT / Data / Energie du 02/04/2017
Revue de presse IoT / Data / Energie du 02/04/2017Revue de presse IoT / Data / Energie du 02/04/2017
Revue de presse IoT / Data / Energie du 02/04/2017
Romain Bochet
 
Revue de presse IoT / Data du 26/03/2017
Revue de presse IoT / Data du 26/03/2017Revue de presse IoT / Data du 26/03/2017
Revue de presse IoT / Data du 26/03/2017
Romain Bochet
 
Revue de presse IoT / Data du 19/03/2017
Revue de presse IoT / Data du 19/03/2017Revue de presse IoT / Data du 19/03/2017
Revue de presse IoT / Data du 19/03/2017
Romain Bochet
 
Revue de presse IoT / Data du 13/03/2017
Revue de presse IoT / Data du 13/03/2017Revue de presse IoT / Data du 13/03/2017
Revue de presse IoT / Data du 13/03/2017
Romain Bochet
 
Revue de presse IoT / Data du 04/03/2017
Revue de presse IoT / Data du 04/03/2017Revue de presse IoT / Data du 04/03/2017
Revue de presse IoT / Data du 04/03/2017
Romain Bochet
 
Revue de presse IoT / Data du 26/02/2017
Revue de presse IoT / Data du 26/02/2017Revue de presse IoT / Data du 26/02/2017
Revue de presse IoT / Data du 26/02/2017
Romain Bochet
 
Revue de presse IoT / Data du 19/02/2017
Revue de presse IoT / Data du 19/02/2017Revue de presse IoT / Data du 19/02/2017
Revue de presse IoT / Data du 19/02/2017
Romain Bochet
 
Revue de presse IoT / Data du 04/02/2017
Revue de presse IoT / Data du 04/02/2017Revue de presse IoT / Data du 04/02/2017
Revue de presse IoT / Data du 04/02/2017
Romain Bochet
 
Revue de presse IoT / Data du 28/01/2017
Revue de presse IoT / Data du 28/01/2017Revue de presse IoT / Data du 28/01/2017
Revue de presse IoT / Data du 28/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 22/01/2017
Revue de presse IoT / Data du 22/01/2017Revue de presse IoT / Data du 22/01/2017
Revue de presse IoT / Data du 22/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 15/01/2017
Revue de presse IoT / Data du 15/01/2017Revue de presse IoT / Data du 15/01/2017
Revue de presse IoT / Data du 15/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 01/01/2017
Revue de presse IoT / Data du 01/01/2017Revue de presse IoT / Data du 01/01/2017
Revue de presse IoT / Data du 01/01/2017
Romain Bochet
 
Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016
Romain Bochet
 
Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016
Romain Bochet
 
Revue de presse IoT / Data du 17/12/2016
Revue de presse IoT / Data du 17/12/2016Revue de presse IoT / Data du 17/12/2016
Revue de presse IoT / Data du 17/12/2016
Romain Bochet
 
Revue de presse IoT / Data du 01/12/2016
Revue de presse IoT / Data du 01/12/2016Revue de presse IoT / Data du 01/12/2016
Revue de presse IoT / Data du 01/12/2016
Romain Bochet
 
Revue de presse IOT/ data du 03/12/2016
Revue de presse IOT/ data du 03/12/2016Revue de presse IOT/ data du 03/12/2016
Revue de presse IOT/ data du 03/12/2016
Romain Bochet
 
Big data
Big dataBig data
Big data
Romain Bochet
 

Plus de Romain Bochet (20)

Revue de presse IoT / Data / Energie du 02/04/2017
Revue de presse IoT / Data / Energie du 02/04/2017Revue de presse IoT / Data / Energie du 02/04/2017
Revue de presse IoT / Data / Energie du 02/04/2017
 
Revue de presse IoT / Data du 26/03/2017
Revue de presse IoT / Data du 26/03/2017Revue de presse IoT / Data du 26/03/2017
Revue de presse IoT / Data du 26/03/2017
 
Revue de presse IoT / Data du 19/03/2017
Revue de presse IoT / Data du 19/03/2017Revue de presse IoT / Data du 19/03/2017
Revue de presse IoT / Data du 19/03/2017
 
Revue de presse IoT / Data du 13/03/2017
Revue de presse IoT / Data du 13/03/2017Revue de presse IoT / Data du 13/03/2017
Revue de presse IoT / Data du 13/03/2017
 
Revue de presse IoT / Data du 04/03/2017
Revue de presse IoT / Data du 04/03/2017Revue de presse IoT / Data du 04/03/2017
Revue de presse IoT / Data du 04/03/2017
 
Revue de presse IoT / Data du 26/02/2017
Revue de presse IoT / Data du 26/02/2017Revue de presse IoT / Data du 26/02/2017
Revue de presse IoT / Data du 26/02/2017
 
Revue de presse IoT / Data du 19/02/2017
Revue de presse IoT / Data du 19/02/2017Revue de presse IoT / Data du 19/02/2017
Revue de presse IoT / Data du 19/02/2017
 
Revue de presse IoT / Data du 04/02/2017
Revue de presse IoT / Data du 04/02/2017Revue de presse IoT / Data du 04/02/2017
Revue de presse IoT / Data du 04/02/2017
 
Revue de presse IoT / Data du 28/01/2017
Revue de presse IoT / Data du 28/01/2017Revue de presse IoT / Data du 28/01/2017
Revue de presse IoT / Data du 28/01/2017
 
Revue de presse IoT / Data du 22/01/2017
Revue de presse IoT / Data du 22/01/2017Revue de presse IoT / Data du 22/01/2017
Revue de presse IoT / Data du 22/01/2017
 
Revue de presse IoT / Data du 15/01/2017
Revue de presse IoT / Data du 15/01/2017Revue de presse IoT / Data du 15/01/2017
Revue de presse IoT / Data du 15/01/2017
 
Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017
 
Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017Revue de presse IoT / Data du 08/01/2017
Revue de presse IoT / Data du 08/01/2017
 
Revue de presse IoT / Data du 01/01/2017
Revue de presse IoT / Data du 01/01/2017Revue de presse IoT / Data du 01/01/2017
Revue de presse IoT / Data du 01/01/2017
 
Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016
 
Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016Revue de presse IoT / Data du 24/12/2016
Revue de presse IoT / Data du 24/12/2016
 
Revue de presse IoT / Data du 17/12/2016
Revue de presse IoT / Data du 17/12/2016Revue de presse IoT / Data du 17/12/2016
Revue de presse IoT / Data du 17/12/2016
 
Revue de presse IoT / Data du 01/12/2016
Revue de presse IoT / Data du 01/12/2016Revue de presse IoT / Data du 01/12/2016
Revue de presse IoT / Data du 01/12/2016
 
Revue de presse IOT/ data du 03/12/2016
Revue de presse IOT/ data du 03/12/2016Revue de presse IOT/ data du 03/12/2016
Revue de presse IOT/ data du 03/12/2016
 
Big data
Big dataBig data
Big data
 

Dernier

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Usage based security Framework for Collaborative Computing Systems

  • 1. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Usage-Based Security Framework for Collaborative Computing Systems Romain Bochet Dpt Telecom, Insa Lyon 22 janvier 2010 Article de X. Zhang, M. Nakae, M. Covington, R. Sandhu 1/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 2. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 3. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 4. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 5. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 15km 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 6. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 15km À quelle hauteur peut aller un ballon météorologique ? 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 7. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 15km À quelle hauteur peut aller un ballon météorologique ? 30km 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 8. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 15km À quelle hauteur peut aller un ballon météorologique ? 30km Quelle serait la hauteur d'une pile de CD contenant un an de données du LHC ? 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 9. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie La juste hauteur Quelle est l'altitude du Mont Blanc ? 4807m À quelle hauteur vole un avion de ligne ? 15km À quelle hauteur peut aller un ballon météorologique ? 30km Quelle serait la hauteur d'une pile de CD contenant un an de données du LHC ? ⇒ 20km ! 2/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 10. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Plan 1 Contexte 2 État de l'art Sujets & Objets L'ABC de l'Usage Control Décision & implémentation 3 Comparaison avec d'autres travaux Les articles Avantages comparés Des faux et vrais problèmes 4 Conclusion 3/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 11. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Les Organisations Virtuelles Denition Alliance temporaire d'organisations qui se regroupent pour partager leur ressources an de répondre à des opportunités métier qui se présentent. 4/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 12. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Les Organisations Virtuelles Denition Alliance temporaire d'organisations qui se regroupent pour partager leur ressources an de répondre à des opportunités métier qui se présentent. Exemples de mutualisation : Espace de stockage ; Puissance de calcul ; Réseaux Peer-to-peer ; Environnements Numériques de Travail. 4/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 13. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Les acteurs d'une VO Fig.: Les acteurs d'une VO 5/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 14. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Les enjeux de sécurité dans les VO Interrogations d'un RP À qui faire conance ? Comment puis-je m'assurer que mes ressources sont utilisées conforméments aux accords ? 6/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 15. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Les enjeux de sécurité dans les VO Interrogations d'un RP À qui faire conance ? Comment puis-je m'assurer que mes ressources sont utilisées conforméments aux accords ? Les réponses d'UCON (Usage CONtrol) : Délégation des droits à la VO ; Politiques d'autorisation Ne pas distribuer le document D Ne pas jouer le lm F plus de 3 fois Consulter le dossier du patient P uniquement avec son accord 6/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 16. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Sujet de l'article Mise en place d'un module Apache gérant un dépôt SVN. Contraintes Personnel appartenant à plusieurs VO Prise en compte du lieu de connexion (dépendance environnement) Fig.: Simulateur de connexion 7/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 17. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Plan 1 Contexte 2 État de l'art Sujets Objets L'ABC de l'Usage Control Décision implémentation 3 Comparaison avec d'autres travaux Les articles Avantages comparés Des faux et vrais problèmes 4 Conclusion 8/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 18. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Étude du modèle UCONABC Basé sur les 3 concepts suivants : 1 Authorisations 2 oBligations 3 Conditions 9/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 19. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Étude du modèle UCONABC Basé sur les 3 concepts suivants : 1 Authorisations 2 oBligations 3 Conditions En tenant compte des paramètres suivants Mutabilité des attributs Continuité de la décision 9/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 20. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Étude du modèle UCONABC Basé sur les 3 concepts suivants : 1 Authorisations 2 oBligations 3 Conditions En tenant compte des paramètres suivants Mutabilité des attributs Continuité de la décision Légimité du sujet S pour eectuer le traitement T 9/27 Romain Bochet Usage-Based Security Framework for Collaborative C
  • 21. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Les Sujets Denition Entités qui eectuent des actions sur les objets 10/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 22. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Les Sujets Denition Entités qui eectuent des actions sur les objets Quelques exemples de caractéristiques : le Nom (immutable) la Date De Naissance (immutable) les Permissions (mutable) S1 a un accès en lecture seule sur r.txt S2 peut soumettre des travaux sur un RP pendant les horaires de bureau 10/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 23. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Les Objets Denition Entités qui sont utilisées par les sujets 11/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 24. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Les Objets Denition Entités qui sont utilisées par les sujets Quelques exemples de caractéristiques : la Valeur (Mutable/Immutable) La puissance en Teraops (3 101,741 TeraFlops pour Boinc) L'espace de stockage encore disponible (sur Amazon S3 par exemple) un Crédit Ce lm pourra être visionné encore 3 fois 11/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 25. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Le modèle ABC Autorisations : prédicats évaluant Attributs des sujets Attributs des objets Les Droits et Actions Obligation Signature d'un agréément Paiement d'une redevance Condition Charge du système 0,75 En dehors des horaires de bureau 12/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 26. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Continuité de la décision Fig.: La continuité de décision dans le modèle UCON 13/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 27. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Continuité de la décision Fig.: La continuité de décision dans le modèle UCON Évaluation des droits : Avant l'exécution Durant l'exécution ⇒ Continuité de la décision 13/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 28. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Le centre nerveux du système Règle absolue La séparation entre le pôle décisionnel et celui qui applique les consignes doit être respectée ! 14/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 29. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Le centre nerveux du système Règle absolue La séparation entre le pôle décisionnel et celui qui applique les consignes doit être respectée ! Entitées : PDP (Policy Decision Point) Prend la décision en fonction de l'identité et des certicats de l'utilisateur PEP (Policy Enforcement Point) Fait appliquer la consigne décidée par le PDP (délivre ou non l'accès à ressource) 14/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 30. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Push'n Pull Fig.: La continuité de décision dans le modèle UCON Deux famille de modèles : Push (gauche) Pull (droite) 15/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 31. Contexte État de l'art Sujets Objets Comparaison avec d'autres travaux L'ABC de l'Usage Control Conclusion Décision implémentation Bibliographie Un modèle hybride Le modèle choisi est un hybride des deux précédents : Push pour les attributs immutables Pull pour les attributs mutables Avantage Permet de réduire les risques de fraudes de la part des usagers 16/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 32. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie Plan 1 Contexte 2 État de l'art Sujets Objets L'ABC de l'Usage Control Décision implémentation 3 Comparaison avec d'autres travaux Les articles Avantages comparés Des faux et vrais problèmes 4 Conclusion 17/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 33. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie A Community Authorization Service for Group Collaboration Principes du service : Authentication dans une VO Autorisation unique pour une période donnée Avantages par rapport au framework : + Une seule authentication (intégration du SSO) Mais ... - Granularité moindre - Moins orienté sécurité 18/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 34. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie A General Obligation Model and Continuity-Enhanced Policy Enforcement Engine for Usage Control Principe du modèle : Composant ajoutés autour d'un moteur d'authentication Utilisation d'une Finite State Machine pour gérer les sessions Avantages par rapport au framework : + Gestions de la continuité des autorisations + Révocations possible à tout moment Mais ... - Nécessite une technologie de bout en bout (lecteur) 19/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 35. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie PEI for a patchy module ? Implémentation d'un module Apache avec le framework PEI Fig.: Modèle PEI Cadre du projet : Utilisation de Apache + SVN Gestion des autorisations (lieux, tâches aectées, équipes) 20/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 36. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie Les Attribute Repository Contraintes sur les attributs mutable des objets et sujets : Accessibles simplement, rapidement Respect de l'intégrité Un utilisateur ne doit pas pouvoir modier ses attributs ⇒ Base du modèle hybride Fig.: Implémentation à l'aide d'OpenLDAP 21/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 37. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie Non implémentation de la continuité de la décision Rappel La continuité de la décision permet de révoquer ou de modier les droits du sujet durant son utilisation de l'objet. 22/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 38. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie Non implémentation de la continuité de la décision Rappel La continuité de la décision permet de révoquer ou de modier les droits du sujet durant son utilisation de l'objet. La question de l'usage : Corrélé à la longueur de l'utilisation du service ? Nécessaire dans le cas de récupération de code source SVN ? ? Nécessaire pour la lecture d'un dossier médical ? ? Nécessaire pour des chiers de police ? 22/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 39. Contexte État de l'art Les articles Comparaison avec d'autres travaux Avantages comparés Conclusion Des faux et vrais problèmes Bibliographie Performances Toute structure de contrôle induit obligatoirement une latence supplémentaire sur le réseau. # Fichier Poids chier Temps PDP (msec) # accès 1 10KB 2304 26 1 1000KB 2473 26 10 10KB 3993 44 10 1000KB 3506 44 100 1000KB 10147 224 Tab.: Temps d'accès pour la récupération de chiers Ordre de grandeur : Kernel Linux : 37 920 chiers, 411Mo JEdit : 65 408 chiers, 1,2 Go 23/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 40. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Plan 1 Contexte 2 État de l'art Sujets Objets L'ABC de l'Usage Control Décision implémentation 3 Comparaison avec d'autres travaux Les articles Avantages comparés Des faux et vrais problèmes 4 Conclusion 24/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 41. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Conclusion En résumé, Programmation sûre avec PEI Modèle UCONABC sécurisé ⇒ Sécurité accrue pour la VO Conséquence Permet l'extension de l'utilisation des VO, dont le nombre est croissant 25/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 42. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Bibliographie B. Katt, X. Zhang, R. Breu, M. Hafner, and J.-P. Seifert. A general obligation model and continuity : enhanced policy enforcement engine for usage control. In SACMAT '08 : Proceedings of the 13th ACM symposium on Access control models and technologies, New York, NY, USA, 2008. L. Pearlman, V. Welch, I. Foster, C. Kesselman, and S. Tuecke. A community authorization service for group collaboration. In POLICY '02 : Proceedings of the 3rd International Workshop on Policies for Distributed Systems and Networks (POLICY'02), 2002. X. Zhang, M. Nakae, M. J. Covington, and R. Sandhu. Toward a usage-based security framework for collaborative computing systems. ACM Trans. Inf. Syst. Secur., 11(1), 2008. 26/27 Romain Bochet Usage-Based Security Framework for Collaborative
  • 43. Contexte État de l'art Comparaison avec d'autres travaux Conclusion Bibliographie Merci de votre attention Questions ? 27/27 Romain Bochet Usage-Based Security Framework for Collaborative