J'ai le plaisir de vous inviter à la soutenance de ma thèse intitulée
"Formalisations et comparaisons de politiques et de systèmes de sécurité"
qui aura lieu le jeudi 16 juin à 10h dans la salle 203-205 au 2ème étage
du bâtiment 41. Vous êtes également invités au pot qui suivra.
------
Jury
------
Rapporteurs :
Christèle Faure, SafeRiver
Ludovic Mé, Supélec
Valérie Viêt Triêm Tông, Supélec
Examinateurs :
Horatiu Cirstea, LORIA
Christian Queinnec, UPMC
Direction :
Thérèse Hardin, UPMC
Mathieu Jaume, UPMC
--------
Résumé
--------
L'objectif de cette thèse est d'améliorer le degré de confiance
qu'il est possible d'avoir dans le domaine de la sécurité de
l'information, en s'appuyant sur les méthodes formelles. Pour ce faire,
nous définissons un cadre sémantique générique qui permet de
formaliser et de comparer des politiques et des systèmes de sécurité.
Nous décrivons deux approches de formalisation des politiques de
sécurité, et nous montrons de quelle manière nous exprimons des
politiques de sécurité administratives selon ces deux approches. Nous
présentons la notion de systèmes de sécurité qui consiste à mettre
en oeuvre une politique de sécurité par un système de transition
selon deux techniques permettant d'obtenir des systèmes de sécurité
qui respectent des politiques de sécurité par construction, ce qui
participe à remplir notre objectif. Nous introduisons trois préordres
permettant de comparer des politiques et des systèmes de sécurité,
qui caractérisent leur pouvoir d'expression. Nous appliquons les
définitions introduites dans notre cadre en formalisant et en comparant
des politiques de contrôle de permissions, d'accès et de flots
d'information, des politiques de sécurité administratives, et des
systèmes de sécurité. D'autre part, nous mettons en perspective notre
travail avec des travaux connexes. Enfin, nous exposons deux applications
pratiques réalisées avec l'atelier Focalize, le test d'une politique
de contrôle d'accès multi-niveaux, et le développement d'une
bibliothèque de politiques de sécurité, ce qui nous permet de montrer
que notre approche formelle, destinée à obtenir un niveau d'assurance
élevé, est viable dans la pratique.
----------
Abstract
----------
The objective of this thesis is to improve the degree of confidence that
one can have in the domain of information security, by relying on formal
methods. To do so, we define a generic semantic framework allowing to
formalize and to compare security policies and systems. We describe two
formalization approaches of security policies, and we show how we express
administrative security policies according to these two approaches. We
present the notion of security systems which consists in enforcing a
security policy by a transition system according to two techniques allowing
to obtain security systems which respect security policies by construction,
which contributes to fulfill our objective. We introduce three preorders
allowing to compare security policies and systems, which characterize their
expressing power. We apply the definitions introduced in our framework
by formalizing and comparing permissions, access and information flows
control policies, administrative security policies, and security systems.
On the other hand, we put in perspective our work with some related work.
Finally, we expose two practical applications realized within Focalize,
the test of a multi-level access control policy, and the development of
a library of security policies, which allows us to show that our formal
approach, intended to obtain a high level of assurance, is viable in
practice.
Cordialement,
Lionel Habib
--
Lionel Habib
UPMC - LIP6 - SPI
Aucun commentaire:
Enregistrer un commentaire