Cet ouvrage fait partie de la bibliothèque YouScribe
Obtenez un accès à la bibliothèque pour le lire en ligne
En savoir plus

Une approche sécurisée pour la délégation dynamique de tâches dans les systèmes de gestion de Workflow, A Secure Framework for Dynamic Task Delegation in Workflow Management Systems

De
196 pages
Sous la direction de François Charoy
Thèse soutenue le 05 octobre 2010: Nancy 1
Les systèmes de gestion de workflow font maintenant partie de l'environnement classique des grandes organisations. Ces systèmes sont cependant aujourd'hui considérés comme trop rigides et de nombreux travaux ont pour but d'introduire de la flexibilité dans la modélisation et l'exécution de leurs procédés. Dans cette problématique, la prise en compte de la flexibilité organisationnelle est une étape importante. C'est à cette dernière que nous allons nous intéresser à travers un mécanisme particulier : la délégation de tâches. En effet, la délégation est un mécanisme qui permet d'obtenir une certaine flexibilité organisationnelle dans un système de gestion de workflow. Elle permet également d'assurer une forme de délégation des autorisations dans un système de contrôle d'accès. Dans ce contexte, une délégation sécurisée de tâches implique la présence d'un ensemble d'évènements de délégation et de règles définissant les possibles délégations d'autorisation ainsi que les moyens de contrôler les politiques associées.Dans ce mémoire, nous définissons une approche sécurisée pour la délégation dynamique de tâches dans les systèmes de gestion de workflow. Pour ce faire, nous identifions les évènements spécifiques du modèle de tâches correspondant à la délégation qui entrainent des changements dynamiques de la politique d'autorisation. Puis, nous montrons comment notre approche permet de contrôler dynamiquement les autorisations liées à la délégation et comment elle peut être intégrée dans les systèmes de contrôle d'accès existants. Afin de contrôler le comportement de délégation et de spécifier ses politiques d'autorisation, nous recueillons les événements pertinents qui définissent le chemin d'exécution des tâches ainsi que les politiques générées pour la délégation. Finalement, nous proposons une technique qui automatise les politiques de délégation et qui permet d'accroître la conformité des changements dus à la délégation dans la politique d'autorisation existante
-Workflow
-Tâche
-Délégation
-Contrôle d'accès
-Politique d'autorisation
Task delegation presents one of the business process security leitmotifs. We currently observe a move away from predefined strict workflow modelling towards dynamic approaches supporting flexibility on the organisational level and dynamic authorisation on the security level. One specific approach is that of task delegation. Delegation defines a mechanism that bridges the gap between both workflow and access control systems. There are two important issues relating to delegation, namely allowing task delegation to complete, and having a secure delegation within a workflow. Delegation completion and authorisation enforcement are specified under specific constraints. Constraints are defined from the delegation context implying the presence of a fixed set of delegation events to control the delegation execution. In this dissertation, we aim to reason about delegation events to model task delegation and to specify delegation policies dynamically. To that end, we present an event-based task delegation model to monitor the delegation process. We then identify relevant events for authorisation enforcement to specify delegation policies. Subsequently, we propose a task-oriented access control model to address these requirements. Using our access control model, we analyse and specify delegation constraints into authorisation policies. Moreover, we propose a technique that automates delegation policies using event calculus to control the delegation execution and to increase the compliance of all delegation changes in the existing policy of the workflow
-Workflow
-Access control
-Task
-Delegation
-Authorisation policy
Source: http://www.theses.fr/2010NAN10058/document
Voir plus Voir moins

AVERTISSEMENT

Ce document est le fruit d'un long travail approuvé par le
jury de soutenance et mis à disposition de l'ensemble de la
communauté universitaire élargie.

Il est soumis à la propriété intellectuelle de l'auteur. Ceci
implique une obligation de citation et de référencement lors
de l’utilisation de ce document.

D’autre part, toute contrefaçon, plagiat, reproduction
illicite encourt une poursuite pénale.


Contact SCD Nancy 1 : theses.sciences@scd.uhp-nancy.fr


LIENS
Code de la Propriété Intellectuelle. articles L 122. 4
Code de la Propriété Intellectuelle. articles L 335.2- L 335.10
http://www.cfcopies.com/V2/leg/leg_droi.php
http://www.culture.gouv.fr/culture/infos-pratiques/droits/protection.htm
?´D´epartement de formation doctorale en informatique Ecole doctorale IAEM Lorraine
UFR Sciences et Technologies
Une Approche S´ecuris´ee pour la
D´el´egation Dynamique de Tˆaches dans
les Syst`emes de Gestion de Workflow
`THESE
pr´esent´ee et soutenue publiquement le 05/10/2010
pour l’obtention du
Doctorat de l’universit´e Henri Poincar´e – Nancy 1
(sp´ecialit´e informatique)
par
Khaled Gaaloul
Composition du jury
Rapporteurs : Salima Benbernou, Professeur `a l’Universit´e Paris Descartes, LIPADE
Chihab Hanachi, Professeur `a l’Universit´e Paul Sabatier, IRIT
Examinateurs : Claude Godart, Professeur a` l’Universit´e Henri Poincar´e, LORIA
Selmin Nurcan, Maˆıtre de Conf´erences `a l’Universit´e Paris 1, CRI
Andreas Schaad, Senior Researcher, SAP AG, Allemagne
Samir Tata, Professeur a` Telecom SudParis, INF
Directeur de th`ese : Francoi¸ s Charoy, Maˆıtre de conf´erence, HDR, `a l’Universit´e Henri Poincar´e, LORIA
Laboratoire Lorrain de Recherche en Informatique et ses Applications — UMR 7503Mis en page avec la classe thloria.R´esum´e
Les syst`emes de gestion de workflow font maintenant partie de l’environnement classique
des grandes organisations. Ces syst`emes sont cependant aujourd’hui consid´er´es comme
troprigidesetdenombreuxtravauxontpourbutd’introduiredelaflexibilit´edanslamod-
´elisationetl’ex´ecutiondeleursproc´ed´es. Danscetteprobl´ematique, lapriseencomptede
la flexibilit´e organisationnelle est une ´etape importante. C’est `a cette derni`ere que nous
allons nous int´eresser `a travers un m´ecanisme particulier : la d´el´egation de tˆaches. En
effet, la d´el´egation est un m´ecanisme qui permet d’obtenir une certaine flexibilit´e organi-
sationnelle dans un syst`eme de gestion de workflow. Elle permet ´egalement d’assurer une
forme de d´el´egation des autorisations dans un syst`eme de contrˆole d’acc`es. Dans ce con-
texte, uned´el´egations´ecuris´eedetˆachesimpliquelapr´esenced’unensembled’´ev`enements
de d´el´egation et de r`egles d´efinissant les possibles d´el´egations d’autorisation ainsi que les
moyens de contrˆoler les politiques associ´ees.
Dans ce m´emoire, nous d´efinissons une approche s´ecuris´ee pour la d´el´egation dy-
namique de tˆaches dans les syst`emes de gestion de workflow. Pour ce faire, nous iden-
tifions les ´ev`enements sp´ecifiques du mod`ele de tˆaches correspondant `a la d´el´egation
qui entrainent des changements dynamiques de la politique d’autorisation. Puis, nous
montrons comment notre approche permet de contrˆoler dynamiquement les autorisations
li´ees `a la d´el´egation et comment elle peut ˆetre int´egr´ee dans les syst`emes de contrˆole
d’acc`es existants. Afin de controlerˆ le comportement de d´el´egation et de sp´ecifier ses
politiques d’autorisation, nous recueillons les ´ev´enements pertinents qui d´efinissent le
chemin d’ex´ecution des tˆaches ainsi que les politiques g´en´er´ees pour la d´el´egation. Finale-
ment, nous proposons une technique qui automatise les politiques de d´el´egation et qui
permet d’accroˆıtre la conformit´e des changements dus a` la d´el´egation dans la politique
d’autorisation existante.
Mots-cl´es: Workflow, tˆache, d´el´egation, contrˆole d’acc`es, politique d’autorisation.Abstract
Task delegation presents one of the business process security leitmotifs. We currently
observe a move away from predefined strict workflow modelling towards dynamic ap-
proaches supporting flexibility on the organisational level and dynamic authorisation on
the security level. One specific approach is that of task delegation. Delegation defines
a mechanism that bridges the gap between both workflow and access control systems.
There are two important issues relating to delegation, namely allowing task delegation to
complete, and having a secure delegation within a workflow. Delegation completion and
authorisationenforcementarespecifiedunderspecificconstraints. Constraintsaredefined
from the delegation context implying the presence of a fixed set of delegation events to
control the delegation execution.
Inthisdissertation, weaimtoreasonaboutdelegationeventstomodeltaskdelegation
and to specify delegation policies dynamically. To that end, we present an event-based
task delegation model to monitor the delegation process. We then identify relevant events
for authorisation enforcement to specify delegation policies. Subsequently, we propose
a task-oriented access control model to address these requirements. Using our access
control model, we analyse and specify delegation constraints into authorisation policies.
Moreover, we propose a technique that automates delegation policies using event calculus
tocontrolthedelegationexecutionandtoincreasethecomplianceofalldelegationchanges
in the existing policy of the workflow.
Keywords: Workflow, access control, task, delegation, authorisation policy.Remerciements
Je voudrais exprimer mes sentiments les plus sinc`eres envers les personnes qui sans
lesquelles ce travail de th`ese n’aurait pas pu voir le jour. Leur aide, accompagnement et
soutien m’ont ´et´e indispensables afin de pouvoir aboutir aux contributions de ma th`ese.
Je voudrais tout d’abord exprimer ma reconnaissance envers tous les membres du jury
pour la grande attention qu’ils ont bien voulu porter `a mon travail.
Jesuistr`esreconnaissanta`MonsieurFran¸coisCharoy, mondirecteurdeth`ese, quim’a
encadr´e et dirig´e dans mes recherches tout au long de ces ann´ees. Je lui dis ma gratitude
pour l’aide comp´etente qu’il m’a apport´ee, pour ses encouragements et pour la confiance
qu’il m’a toujours t´emoign´ee.
Mes plus chaleureux remerciements vont ´egalement `a Monsieur Claude Godart, Pro-
fesseur a` l’Universit´e Henri Poincar´e, pour m’avoir accueilli dans son ´equipe, pour sa
disponibilt´e et pour ses conseils pr´ecieux pendant les moments les plus difficiles de ma
th`ese. Qu’il trouve ici l’expression de ma profonde reconnaissance.
Je remercie tr`es sinc`erement mes rapporteurs Madame Salima Benbernou, Professeur
`a l’Universit´e Paris Descartes, et Monsieur Chihab Hanachi, Professeur `a l’Universit´e
Paul Sabatier, pour avoir bien accept´e d’ˆetre mes rapporteurs et pour avoir bien voulu
lire et ´evaluer mon travail de th`ese. Je les remercie pour leurs lectures approfondies de
mon m´emoire de th`ese, pour tout le temps qu’ils m’ont accord´e et pour les remarques
tr`es constructives qu’ils m’ont donn´ees et qui ont ´et´e b´en´efiques a` la r´ealisation de ce
manuscrit.
Jeremercie´egalementMonsieurSamirTata, Professeur`aTelecomSudParis, Monsieur
Andreas Schaad, Senior Researcher `a SAP Allemagne, et Madame Selmin Nurcan, Maˆıtre
de Conf´erences a` l’Universit´e Paris 1, pour leur participation au jury de cette th`ese et le
temps qu’ils ont bien voulu consacrer a` l’´evaluation de mon travail.
Je remercie l’ensemble des membres de SAP Research avec qui j’ai eu le plaisir de tra-
vailler ces trois derni`eres ann´ees. Je pense particuli`erement `a Philip Miseldine, Andreas
Schaad, Zoltan Nochta, Christian Wolter, Achim Brucker, Mathias Kohler et Helmut
Petritsch. Mes plus amicaux remerciements vont aussi `a mes coll`egues du LORIA, no-
tammentWalidFdhila,BilelNefzi,EhteshemZahoor,NawalGuermoucheetG´eraldOster
qui ont permis de faire de cette exp´erience de th`ese une exp´erience riche tant scientifique-
ment que humainement. Je tiens a` remercier aussi toutes les personnes qui travaillent
dans l’ombre mais qui r´epondent toujours pr´esentes quand nous avons besoin d’elles, et
particuli`erement Isabelle Herlich et Rudiger Winter.
Enfin, je voudrais remercier ma famille `a qui je d´edie ce travail, ma tante et sa famille,
en particulier mes cousins Sahbi et Ziad pour leurs soutiens et encouragements. Merci a`
tousmesamis,enparticulierWalid,Bilel,Morfus,Imotep,Samu,Phil,Mohsen,Mohamed
et `a tous ceux que je vois encore et ceux que le vent a emmen´e vers d’autres rives.
56Je d´edie ce travail `a mes parents `a qui je dois TOUT, `a ma sœur et mes fr`eres, surtout mon
`grand fr`ere Walid mon exemple et mon meilleur soutien. A la m´emoire de mes grands-parents
Ahmed et Aicha, vous me manquez ´enorm´ement. Que vos ˆames reposent en paix.
7