Une approche sécurisée pour la délégation dynamique de tâches dans les systèmes de gestion de Workflow, A Secure Framework for Dynamic Task Delegation in Workflow Management Systems

Thesee - Khaled Gaaloul

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

196 pages

English

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

Sous la direction de François Charoy
Thèse soutenue le 05 octobre 2010: Nancy 1
Les systèmes de gestion de workflow font maintenant partie de l'environnement classique des grandes organisations. Ces systèmes sont cependant aujourd'hui considérés comme trop rigides et de nombreux travaux ont pour but d'introduire de la flexibilité dans la modélisation et l'exécution de leurs procédés. Dans cette problématique, la prise en compte de la flexibilité organisationnelle est une étape importante. C'est à cette dernière que nous allons nous intéresser à travers un mécanisme particulier : la délégation de tâches. En effet, la délégation est un mécanisme qui permet d'obtenir une certaine flexibilité organisationnelle dans un système de gestion de workflow. Elle permet également d'assurer une forme de délégation des autorisations dans un système de contrôle d'accès. Dans ce contexte, une délégation sécurisée de tâches implique la présence d'un ensemble d'évènements de délégation et de règles définissant les possibles délégations d'autorisation ainsi que les moyens de contrôler les politiques associées.Dans ce mémoire, nous définissons une approche sécurisée pour la délégation dynamique de tâches dans les systèmes de gestion de workflow. Pour ce faire, nous identifions les évènements spécifiques du modèle de tâches correspondant à la délégation qui entrainent des changements dynamiques de la politique d'autorisation. Puis, nous montrons comment notre approche permet de contrôler dynamiquement les autorisations liées à la délégation et comment elle peut être intégrée dans les systèmes de contrôle d'accès existants. Afin de contrôler le comportement de délégation et de spécifier ses politiques d'autorisation, nous recueillons les événements pertinents qui définissent le chemin d'exécution des tâches ainsi que les politiques générées pour la délégation. Finalement, nous proposons une technique qui automatise les politiques de délégation et qui permet d'accroître la conformité des changements dus à la délégation dans la politique d'autorisation existante
-Workflow
-Tâche
-Délégation
-Contrôle d'accès
-Politique d'autorisation
Task delegation presents one of the business process security leitmotifs. We currently observe a move away from predefined strict workflow modelling towards dynamic approaches supporting flexibility on the organisational level and dynamic authorisation on the security level. One specific approach is that of task delegation. Delegation defines a mechanism that bridges the gap between both workflow and access control systems. There are two important issues relating to delegation, namely allowing task delegation to complete, and having a secure delegation within a workflow. Delegation completion and authorisation enforcement are specified under specific constraints. Constraints are defined from the delegation context implying the presence of a fixed set of delegation events to control the delegation execution. In this dissertation, we aim to reason about delegation events to model task delegation and to specify delegation policies dynamically. To that end, we present an event-based task delegation model to monitor the delegation process. We then identify relevant events for authorisation enforcement to specify delegation policies. Subsequently, we propose a task-oriented access control model to address these requirements. Using our access control model, we analyse and specify delegation constraints into authorisation policies. Moreover, we propose a technique that automates delegation policies using event calculus to control the delegation execution and to increase the compliance of all delegation changes in the existing policy of the workflow
-Workflow
-Access control
-Task
-Delegation
-Authorisation policy
Source: http://www.theses.fr/2010NAN10058/document

Sujets

Tache

Délégation

Contrôle d'accès

Informations

Publié par	Thesee
Nombre de lectures	14
Langue	English
Poids de l'ouvrage	3 Mo

Extrait

AVERTISSEMENT

Ce document est le fruit d'un long travail approuvé par le
jury de soutenance et mis à disposition de l'ensemble de la
communauté universitaire élargie.

Il est soumis à la propriété intellectuelle de l'auteur. Ceci
implique une obligation de citation et de référencement lors
de l’utilisation de ce document.

D’autre part, toute contrefaçon, plagiat, reproduction
illicite encourt une poursuite pénale.

Contact SCD Nancy 1 : theses.sciences@scd.uhp-nancy.fr

LIENS
Code de la Propriété Intellectuelle. articles L 122. 4
Code de la Propriété Intellectuelle. articles L 335.2- L 335.10
http://www.cfcopies.com/V2/leg/leg_droi.php
http://www.culture.gouv.fr/culture/infos-pratiques/droits/protection.htm
?´D´epartement de formation doctorale en informatique Ecole doctorale IAEM Lorraine
UFR Sciences et Technologies
Une Approche S´ecuris´ee pour la
D´el´egation Dynamique de Tˆaches dans
les Syst`emes de Gestion de Workﬂow
`THESE
pr´esent´ee et soutenue publiquement le 05/10/2010
pour l’obtention du
Doctorat de l’universit´e Henri Poincar´e – Nancy 1
(sp´ecialit´e informatique)
par
Khaled Gaaloul
Composition du jury
Rapporteurs : Salima Benbernou, Professeur `a l’Universit´e Paris Descartes, LIPADE
Chihab Hanachi, Professeur `a l’Universit´e Paul Sabatier, IRIT
Examinateurs : Claude Godart, Professeur a` l’Universit´e Henri Poincar´e, LORIA
Selmin Nurcan, Maˆıtre de Conf´erences `a l’Universit´e Paris 1, CRI
Andreas Schaad, Senior Researcher, SAP AG, Allemagne
Samir Tata, Professeur a` Telecom SudParis, INF
Directeur de th`ese : Francoi¸ s Charoy, Maˆıtre de conf´erence, HDR, `a l’Universit´e Henri Poincar´e, LORIA
Laboratoire Lorrain de Recherche en Informatique et ses Applications — UMR 7503Mis en page avec la classe thloria.R´esum´e
Les syst`emes de gestion de workﬂow font maintenant partie de l’environnement classique
des grandes organisations. Ces syst`emes sont cependant aujourd’hui consid´er´es comme
troprigidesetdenombreuxtravauxontpourbutd’introduiredelaﬂexibilit´edanslamod-
´elisationetl’ex´ecutiondeleursproc´ed´es. Danscetteprobl´ematique, lapriseencomptede
la ﬂexibilit´e organisationnelle est une ´etape importante. C’est `a cette derni`ere que nous
allons nous int´eresser `a travers un m´ecanisme particulier : la d´el´egation de tˆaches. En
eﬀet, la d´el´egation est un m´ecanisme qui permet d’obtenir une certaine ﬂexibilit´e organi-
sationnelle dans un syst`eme de gestion de workﬂow. Elle permet ´egalement d’assurer une
forme de d´el´egation des autorisations dans un syst`eme de contrˆole d’acc`es. Dans ce con-
texte, uned´el´egations´ecuris´eedetˆachesimpliquelapr´esenced’unensembled’´ev`enements
de d´el´egation et de r`egles d´eﬁnissant les possibles d´el´egations d’autorisation ainsi que les
moyens de contrˆoler les politiques associ´ees.
Dans ce m´emoire, nous d´eﬁnissons une approche s´ecuris´ee pour la d´el´egation dy-
namique de tˆaches dans les syst`emes de gestion de workﬂow. Pour ce faire, nous iden-
tiﬁons les ´ev`enements sp´eciﬁques du mod`ele de tˆaches correspondant `a la d´el´egation
qui entrainent des changements dynamiques de la politique d’autorisation. Puis, nous
montrons comment notre approche permet de contrˆoler dynamiquement les autorisations
li´ees `a la d´el´egation et comment elle peut ˆetre int´egr´ee dans les syst`emes de contrˆole
d’acc`es existants. Aﬁn de controlerˆ le comportement de d´el´egation et de sp´eciﬁer ses
politiques d’autorisation, nous recueillons les ´ev´enements pertinents qui d´eﬁnissent le
chemin d’ex´ecution des tˆaches ainsi que les politiques g´en´er´ees pour la d´el´egation. Finale-
ment, nous proposons une technique qui automatise les politiques de d´el´egation et qui
permet d’accroˆıtre la conformit´e des changements dus a` la d´el´egation dans la politique
d’autorisation existante.
Mots-cl´es: Workﬂow, tˆache, d´el´egation, contrˆole d’acc`es, politique d’autorisation.Abstract
Task delegation presents one of the business process security leitmotifs. We currently
observe a move away from predeﬁned strict workﬂow modelling towards dynamic ap-
proaches supporting ﬂexibility on the organisational level and dynamic authorisation on
the security level. One speciﬁc approach is that of task delegation. Delegation deﬁnes
a mechanism that bridges the gap between both workﬂow and access control systems.
There are two important issues relating to delegation, namely allowing task delegation to
complete, and having a secure delegation within a workﬂow. Delegation completion and
authorisationenforcementarespeciﬁedunderspeciﬁcconstraints. Constraintsaredeﬁned
from the delegation context implying the presence of a ﬁxed set of delegation events to
control the delegation execution.
Inthisdissertation, weaimtoreasonaboutdelegationeventstomodeltaskdelegation
and to specify delegation policies dynamically. To that end, we present an event-based
task delegation model to monitor the delegation process. We then identify relevant events
for authorisation enforcement to specify delegation policies. Subsequently, we propose
a task-oriented access control model to address these requirements. Using our access
control model, we analyse and specify delegation constraints into authorisation policies.
Moreover, we propose a technique that automates delegation policies using event calculus
tocontrolthedelegationexecutionandtoincreasethecomplianceofalldelegationchanges
in the existing policy of the workﬂow.
Keywords: Workﬂow, access control, task, delegation, authorisation policy.Remerciements
Je voudrais exprimer mes sentiments les plus sinc`eres envers les personnes qui sans
lesquelles ce travail de th`ese n’aurait pas pu voir le jour. Leur aide, accompagnement et
soutien m’ont ´et´e indispensables aﬁn de pouvoir aboutir aux contributions de ma th`ese.
Je voudrais tout d’abord exprimer ma reconnaissance envers tous les membres du jury
pour la grande attention qu’ils ont bien voulu porter `a mon travail.
Jesuistr`esreconnaissanta`MonsieurFran¸coisCharoy, mondirecteurdeth`ese, quim’a
encadr´e et dirig´e dans mes recherches tout au long de ces ann´ees. Je lui dis ma gratitude
pour l’aide comp´etente qu’il m’a apport´ee, pour ses encouragements et pour la conﬁance
qu’il m’a toujours t´emoign´ee.
Mes plus chaleureux remerciements vont ´egalement `a Monsieur Claude Godart, Pro-
fesseur a` l’Universit´e Henri Poincar´e, pour m’avoir accueilli dans son ´equipe, pour sa
disponibilt´e et pour ses conseils pr´ecieux pendant les moments les plus diﬃciles de ma
th`ese. Qu’il trouve ici l’expression de ma profonde reconnaissance.
Je remercie tr`es sinc`erement mes rapporteurs Madame Salima Benbernou, Professeur
`a l’Universit´e Paris Descartes, et Monsieur Chihab Hanachi, Professeur `a l’Universit´e
Paul Sabatier, pour avoir bien accept´e d’ˆetre mes rapporteurs et pour avoir bien voulu
lire et ´evaluer mon travail de th`ese. Je les remercie pour leurs lectures approfondies de
mon m´emoire de th`ese, pour tout le temps qu’ils m’ont accord´e et pour les remarques
tr`es constructives qu’ils m’ont donn´ees et qui ont ´et´e b´en´eﬁques a` la r´ealisation de ce
manuscrit.
Jeremercie´egalementMonsieurSamirTata, Professeur`aTelecomSudParis, Monsieur
Andreas Schaad, Senior Researcher `a SAP Allemagne, et Madame Selmin Nurcan, Maˆıtre
de Conf´erences a` l’Universit´e Paris 1, pour leur participation au jury de cette th`ese et le
temps qu’ils ont bien voulu consacrer a` l’´evaluation de mon travail.
Je remercie l’ensemble des membres de SAP Research avec qui j’ai eu le plaisir de tra-
vailler ces trois derni`eres ann´ees. Je pense particuli`erement `a Philip Miseldine, Andreas
Schaad, Zoltan Nochta, Christian Wolter, Achim Brucker, Mathias Kohler et Helmut
Petritsch. Mes plus amicaux remerciements vont aussi `a mes coll`egues du LORIA, no-
tammentWalidFdhila,BilelNefzi,EhteshemZahoor,NawalGuermoucheetG´eraldOster
qui ont permis de faire de cette exp´erience de th`ese une exp´erience riche tant scientiﬁque-
ment que humainement. Je tiens a` remercier aussi toutes les personnes qui travaillent
dans l’ombre mais qui r´epondent toujours pr´esentes quand nous avons besoin d’elles, et
particuli`erement Isabelle Herlich et Rudiger Winter.
Enﬁn, je voudrais remercier ma famille `a qui je d´edie ce travail, ma tante et sa famille,
en particulier mes cousins Sahbi et Ziad pour leurs soutiens et encouragements. Merci a`
tousmesamis,enparticulierWalid,Bilel,Morfus,Imotep,Samu,Phil,Mohsen,Mohamed
et `a tous ceux que je vois encore et ceux que le vent a emmen´e vers d’autres rives.
56Je d´edie ce travail `a mes parents `a qui je do