Équivalence entre chemin et séquence

Dans cette section, nous proposons de prouver qu’il y a équivalence entre l’ensembles des fer-metures transitives causales (séquences) et l’ensembles des chemins dans le graphe de dépendance causale. De ce fait, la recherche de tous les chemins existants entre deux nœuds, nous permettra d’énumérer toutes les séquences réalisables entre deux contextes. Nous proposons donc de prouver qu’un chemin correspond à une séquence, puis nous montrerons qu’une séquence correspond à un chemin. Finalement, nous énoncerons le théorème 4.2.1 d’équivalence entre un chemin du graphe et une séquence.

Nous commençons par montrer qu’un chemin de deux arcs implique une dépendance causale. Lemme 4.2.1 Soit it₁ et it₂ deux interactions effectuant respectivement les opérations eo₁ et eo₂, telles que sc1, sc₂∈ it1 et sc2, sc₃ ∈ it2.

Si, dans le graphe d’interactions Gc = (N, E), il existe un chemin sc₁ 7−→eo1 sc₂ 7−→eo2 sc₃ alors il y a dépendance causale it₁ ։it₂.

Preuve :

Comme sc₁ et sc₂ appartiennent à l’arc sc₁ 7−→eo1 sc₂ étiqueté par eo₁, cet arc correspond à l’interaction it₁(prop. 4.2.1). De même l’arc sc₂ 7−→eo2 sc₃correspond à l’interaction it₂.

Par construction, sc₁ 7−→eo1 sc₂ implique que sc₁ modifie l’état de sc₂, donc it₁ modifie l’état de sc₂. De même, it₂ modifie l’état de sc₃.

De plus, sc₁ 7−→eo1 sc₂ 7−→eo2 sc₃implique que sc₂ est le contexte partagé par it₁et it₂.

L’apparition de sc₁ 7−→eo1 sc₂ 7−→eo2 sc₃ implique que it₁ apparaîtra avant it₂ et donc que tsc2(debut(eo₁)) 6 tsc2(f in(eo₂)) (prop. 4.2.2).

Finalement, nous avons :

sc₁7−→eo1 sc₂7−→eo2 sc₃ =⇒                    sc₁ 7−→eo1 sc₂ ⇔ it1 sc₂ 7−→eo2 sc₃ ⇔ it2 sc₂ ∈ it1 sc₂ ∈ it2 tsc2(debut(eo₁)) 6 tsc2(f in(eo₂)) it₁modifie l’état du contexte partagé sc₂ it₂modifie l’état du contexte sc₃

Ceci correspond à la définition de la dépendance causale (def. 3.2.2, page 65). Nous avons donc bien : sc₁7−→eo1 sc₂ 7−→eo2 sc₃ =⇒ it1 ։it₂



Nous montrons maintenant qu’un chemin entre n contextes (sc₁, . . . , sc_n) implique une séquence sc₁ ⇒ scn.

Lemme 4.2.2 Si, dans le graphe de dépendance causale, il existe un chemin sc1 7−→eo1 sc₂ 7−→eo2

Preuve :

D’après la propriété. 4.2.1 :

∀i = 1..n, [sci7−→eoi sc_i+1] =⇒ [iti= sci eoi

−−→ sci+1ou sc_i+1 ^eoi

−−→ sci] Et,

sc₁ ∈ it1, sc_n+1∈ itn

D’autre part, dans les suppositions du lemme, nous avons :

sc₁ 7−→eo1 sc₂7−→eo2 . . .7−→eon sc_n+1 Or, d’après le lemme 4.2.1 :

∀i = 1..n − 1, [sci7−→eoi sc_i+17−→eoi+i sc_i+2] =⇒ [iti ։it_i+1] Nous avons donc :

∀i = 1..n − 1, iti ։it_i+1 Finalement, nous avons :

[sc₁ 7−→eo1 sc₂ 7−→eo2 . . .7−→eon sc_n+1] =⇒        ∀i = 1..n, sci7−→eoi sc_i+1 sc₁ ∈ it1 sc_n+1∈ itn ∀k = 1..n − 1, itk։it_k+1 Ceci correspond à la définition d’une séquence (def. 3.2.3, page 65). Nous avons donc bien :

[sc1 7−→eo1 sc₂ 7−→eo2 . . .7−→eo_n−1 sc_n] =⇒ [sc1 ⇒ scn] 

Nous venons de montrer que si il existe un chemin dans le graphe de dépendance causale alors il existe une séquence dans la politique de contrôle d’accès. Nous allons maintenant montrer qu’une séquence implique un chemin dans le graphe de dépendance causale. Pour cela, nous montrons, tout d’abord, qu’une dépendance causale implique un chemin de deux arcs dans le graphe de dépendance causale.

Lemme 4.2.3 Soit it1et it2deux interactions effectuant respectivement les opérations eo1et eo2, tels que sc₁, sc₂ ∈ it1et sc₂, sc₃∈ it2.

Si il existe une dépendance causale it₁ ։ it₂ alors il existe un chemin sc₁ 7−→eo1 sc₂ 7−→eo2 sc₃ dans le graphe de dépendance causale.

Preuve :

D’après la définition de la dépendance causale 3.2.2 :

it₁ ։it₂ ⇐⇒            sc₁, sc₂ ∈ it1 sc₂, sc₃ ∈ it2 tsc2(debut(eo₁)) 6 tsc2(f in(eo₂)) it₁modifie l’état du contexte partagé sc₂ it₂modifie l’état du contexte sc₃

4.2. GRAPHE DE DÉPENDANCE CAUSALE 99 Comme it₁modifie l’état du contexte partagé sc₂ , cela implique, par construction (fonctionordre), qu’il existe un arc sc₁7−→eo1 sc₂.

De même, it₂ modifie l’état du contexte sc₃implique qu’il existe un arc sc₂7−→eo2 sc₃. Comme chaque contexte correspond à un unique nœud dans le graphe, nous avons donc :

[sc₁ 7−→eo1 sc₂et sc₂ 7−→eo1 sc₃] =⇒ [sc1 7−→eo1 sc₂7−→eo2 sc₃] De ce fait, nous avons donc bien :

[it₁ ։it₂] =⇒ [sc1 7−→eo1 sc₂7−→eo2 sc₃] 

Nous allons maintenant montrer qu’une séquence implique un chemin dans le graphe.

Lemme 4.2.4 Soit n interactions iti effectuant l’opération eoi tel que ∀i = 1..n, on a sci, sc_i+1 ∈ iti.

Si il existe une fermeture transitive causale (séquence) sc1 ⇒ scn+1 alors il existe un chemin sc₁ 7−→eo1 sc₂7−→eo2 . . .7−→eon sc_n+1dans un graphe de dépendance causale.

Preuve :

D’après la définition 3.2.3, une fermeture transitive causale sc₁⇒ scn+1implique que : ∀i = 1..n − 1, iti ։it_i+1

D’après le lemme 4.2.3,

∀i = 1..n − 1, [iti։it_i+1] =⇒ [sci 7−→eoi sc_i+17−→eoi+1 sc_i+2] Chaque contexte étant identifié de manière unique dans le graphe, nous avons donc :

sc₁ 7−→eo1 sc₂7−→eo2 . . .7−→eon sc_n+1 De ce fait, nous avons donc bien :

[sc₁⇒ scn+1] =⇒ [sc1 7−→eo1 sc₂ 7−→eo2 . . .7−→eon sc_n+1] 

A partir de ces quatre lemmes, nous pouvons désormais énoncer le théorème d’équivalence entre un chemin et une fermeture transitive causale.

Théorème 4.2.1 Dans un graphe de dépendance causale Gc = (N, E), il existe un chemin entre sc₁ et sc_nsi et seulement si il existe une séquence (fermeture transitive causale) sc₁ ⇒ scndans la politique associée à ce graphe.

Preuve :

D’après le lemme 4.2.2, si il existe un chemin entre sc₁et scn, alors il existe une séquence sc₁ ⇒ scn: [sc₁ 7−→eo1 sc₂ 7−→eo2 . . .7−→eo_n−1 sc_n] =⇒ [sc1 ⇒ scn]

D’après le lemme 4.2.4, si il existe une séquence sc₁ ⇒ scn, alors il existe un chemin entre sc₁ et sc_n:

Nous avons donc bien :

[sc₁ ⇒ scn]⇐⇒ [sc1 7−→eo1 sc₂ 7−→eo2 . . .7−→eo_n−1 sc_n] 

Ce théorème montre une équivalence entre le graphe de dépendance causale et les séquences qui sont autorisées par une politique. Si cette preuve est obtenue facilement par construction du graphe, son intérêt pratique est prépondérant. D’après ce théorème d’équivalence entre un chemin et une fermeture transitive causale, nous pouvons donc énumérer toutes les séquences, entre deux contextes, légales du point de vue de la politique de contrôle d’accès, par énumération de tous les chemins entre deux nœuds dans le graphe de dépendance causale. Nous avons vu dans la section 3.3, que la formalisation des propriétés de sécurité fait apparaître des conditions portant sur l’existence de séquences. Une violation d’une de ces conditions se traduit ainsi par l’existence d’une séquence qui correspond ainsi à la présence d’un chemin dans le graphe de dépendance causale. Nous avons ainsi un modèle général permettant d’analyser une politique de contrôle d’accès afin de rechercher toute violation possible d’une propriété de sécurité.