Information flow security for asynchronous, distributed, and mobile applications
par Felipe Luna del Aguila
Thèse de doctorat en Informatique
Sous la direction de Isabelle Attali.
Soutenue en 2005
à Nice .
- Circuits asynchrones
- Systèmes à paramètres répartis
- Méthodes formelles (informatique)
- Systèmes informatiques -- Mesures de sûreté
mots clés
-
Titre traduit
Sécurité par contrôle de flux d'applications asynchrones, distribuées et mobiles
-
Résumé
L'objectif pour ce travail est de proposer une solution de sécurité pour contrôler des flux d'information, spécifiquement par un mécanisme de contrôle d'accès et de flux. L'objectif vise les applications réparties en utilisant les objets actifs avec des communications asynchrones. Il inclut une politique de sécurité et les mécanismes qui imposeront les règles présentes dans de telles politiques. La confidentialité des données et des flux d'information sécurisés est fournie par une vérification dynamique des communications. Tandis que les flux d'information sont généralement vérifiés statiquement {Mye,BN03,Her,HR_infoFlow,ZZN+,Sab,HVY,CBC}, notre attention est concentrée sur des vérifications dynamiques. Pour la réaliser, le modèle proposé a une politique de contrôle de l'information qui inclut des règles discrétionnaires, et comme ces règles sont dynamiquement exécutables, il est possible de tirer profit des contrôles dynamiques pour effectuer en même temps tous les contrôles obligatoires. Les autres avantages de cette approche font que: les contrôles dynamiques n'exigent pas la modification des compilateurs, ne changent pas le langage de programmation, n'exigent pas des modifications aux codes sources existants, et fournissent une flexibilité au moment d'exécution. Ainsi, les contrôles dynamiques sont bien adaptés pour être inclus dans une couche logiciel de type middleware, qui, d'une façon non-intrusive, fournit et assure des services de sécurité aux applications de niveau supérieur. Le modèle de programmation fondamental {CKV} est basé sur les objets actifs, les communications asynchrones, et les synchronisations de flux de données. Ces notions sont liées au domaine des systèmes répartis mais avec une caractéristique qui le distingue des autres: la présence d'entités mobiles, indépendants et capables d'agir l'un sur l'autre avec d'autres entités également mobiles. Par conséquent, le modèle de sécurité proposé se fonde fortement sur des règles de politique de sécurité avec des conditions obligatoires pour le contrôle des flux d'information. Des niveaux de sécurité sont employés pour étiqueter indépendamment les entités impliquées dans les événements de communication: objets actifs et données transmises. Cet étiquetage "indépendant" est sujet cependant à des règles discrétionnaires. La combinaison des règles obligatoires et discrétionnaires permet de relâcher les contrôles strictes imposés par l'utilisation unique des règles obligatoires. Le modèle final de sécurité suit une approche dont les avantages sont doubles: Une base saine. Le modèle de sécurité est fondé sur un fond théorique fort, le calcul séquentiel asynchrone des processus (ASP) {CHS_POPL04}, lié aux formalismes bien connus {HR_infoFlow,Hen,CBC,CF}. Puis, la sémantique formelle d'ASP est étendue avec de nouvelles prémisses. Ceci fournit une base formelle à notre modèle et, en même temps, permet de vérifier dynamiquement les accès non autorisés. En conclusion, afin de prouver l'exactitude du modèle de sécurité, une propriété intuitive pour la sécurisation de flux de l'information est définie et est assurée par l'application du modèle de contrôle d'accès. Extensibilité et flexibilité. Une application pratique de ce modèle est également visé, par une intégration dans des logiciels du type middleware, comme par exemple ProActive. La granularité de ce modèle de sécurité est défini afin de la rendre efficace (parce qu'il n'y a aucune sécurité à vérifier à l'intérieur d'une activité) et finement réglable: des niveaux de sécurité peuvent être définis sur des activités en raison de l'absence de la mémoire partagée, mais un niveau spécifique peut être indiqué pour les paramètres des requêtes et les activités créées. D'ailleurs, l'implémentation pratique du mécanisme de sécurité permet son utilisation par des appels de bibliothèque de haut niveau sans avoir besoin de changer le langage de programmation ou d'imposer l'existence de compilateurs spéciaux.
-
Résumé
The objective for this work is to propose a security solution to regulate information flows, specifically through an access and flow control mechanism, targeted to distributed applications using active objects with asynchronous communications. It includes a security policy and the mechanism that will enforce the rules present in such policies. Data confidentiality and secure information flows is provided through dynamic checks in communications. While information flows are generally verified statically {Mye,BN03,Her,HR_infoFlow,ZZN+,Sab,HVY,CBC}, our attention is focused on dynamic verifications. To achieve it, the proposed model has an information control policy that includes discretionary rules, and because these rules are by nature dynamically enforceable, it is possible to take advantage of the dynamic checks to carry out at the same time all mandatory checks. As another advantage of this approach, dynamic checks do not require to modify compilers, do not alter the programming language, do not require modifications to existing source codes, and provide flexibility at run-time. Thus, dynamic checks fit well in a middleware layer which, in a non-intrusive manner, provides and ensures security services to upper-level applications. The underlying programming model {CKV} is based on active objects, asynchronous communications, and data-flow synchronizations. These notions are related to the domain of distributed systems but with a characteristic that distinguishes it from others: the presence of mobile entities, independents and capables to interact with other also mobile entities. Hence, the proposed security model heavily relies on security policy rules with mandatory enforcements for the control of information flow. Security levels are used to independently tag the entities involved in the communication events: active objects and transmitted data. These "independent" tagging is however subject to discretionary rules. The combination of mandatory and discretionary rules allows to relax the strict controls imposed by the sole use of mandatory rules. The final security model follows an approach whose advantages are twofold: A sound foundation. The security model is founded on a strong theoretical background, the Asynchronous Sequential Processes (ASP) calculus {CHS_POPL04}, related to well-known formalisms {HR_infoFlow,Hen,CBC,CF}. Then, the formal semantics of ASP are extended with predicate conditions. This provides a formal basis to our model and, at the same time, makes it possible to dynamically check for unauthorized accesses. Finally, in order to prove the correctness of the security model, an intuitive secure information flow property is defined and proved to be ensured by the application of the access control model. Scalability and flexibility. A practical use of this model is also targeted, with an implementation into middlewares, e. G. ProActive. The granularity of this security model is defined in order to make it both efficient (because there are no security checks inside an activity) and finely tunable: levels can be defined on activities because of the absence of shared memory, but a specific level can be given for request parameters and created activities. Moreover, the practical implementation of the security mechanism allows its use through high level library calls with no need to change the programming language or the existence of special compilers.
Autre version
Cette thèse a donné lieu à une publication en 2005 par [CCSD] à Villeurbanne
Information flow security for asynchronous, distributed, and mobile applications
