Évaluation de requêtes sous ontrle d'aès

Nousmontreronsmaintenant,omment inorporerànotrevuelausale

d'évalua-tion derequêtes,les politiquesdu ontrle d'aès. Nousmodéliserons esdernières

à l'aide des lauses de Horn ontraintes. Pour motiver notre approhe, nous

om-mençons par un exemple:

Exemple 3.3. Considérons un doument XML représentant une faulté d'une

uni-versité (Figure 3.4). On suppose que deux atégories d'utilisateurs ont l'aès à e

doument des employés administratifs Adm, et aadémiques Aad mais les

représentantsde es deux groupes nepeuvent pas aéder à la même information:

1. Adm un utilisateur administratif ne peut pas aéder à l'information

suiv-ante: lenomd'unétudiant(

Student.name

^{)etlaatégorie(}

Course.grade

^)d'un

ours que suit e dernier. Pourtant, il peut onsulter séparément es deux

infor-mations;

Faculty

Figure3.4. XMLdoumentreprésentantunefaulté

2. Aad un utilisateur aadémique peut aéder à l'information omposée du

nom d'un étudiant (

Student.name

^{) et la atégorie (}

Course.grade

^{) d'un de ses}

ours, si etseulement sil'utilisateurest la personne responsable pourleours en

question(

Course.resp

^).

On représente les atégories d'utilisateurs Adm et Aad par des prédiats unaires

Adm(x)

^et

Acad(x)

^{, qui s'évaluent en vrai si et seulement si,}

x

^est l'identiateur respetivement d'unemployéadministratifouaadémique. Voiiomment modéliser

à l'aidedes lauses purementnégatives,la politique duontrle d'aès mentionnée:

1.

← Adm(∗), Student.name, Course.grade,

[Student.name

^hild

Course.grade]

2.

← Acad(x), Student.name, Course.grade,

[Student.name

^hild

Course.grade

^,

Course.resp 6= x]

Lapolitiqueduontrled'aèspourunutilisateuradministratifquelonque(

Adm(∗)

⁾

sera violée, si les informations onsultées par e dernier peutêtre à plusieurs

reprises ontiendrontlenom d'un étudiant

Student.name

^{etla atégorie d'un de}

ses ours

Course.grade

^{, e qui est exprimé parla lause 1.}

Pendantque l'utilisateurayantunidentiateur

id

^{évaluedes requêtes surle}

do-ument donné, on onstruira un ensemble

Hist _id

^{, qui} représentera les onnaissanes aquises par

id

^{sur le doument Faulty. Cet ensemble sera omposé des lauses}

purement positives, et ontiendra au moins la lause

Cat(id) ←

^{, où}

Cat

^représente

la atégorie d'utilisateurs à laquelle appartient

id

^. L'évaluation des requêtes par

id

^restera "séurisée" tant que l'ensemble

Hist _id

^{sera onsistent ave l'ensemble}

P

omposé des lauses 1 et2, modélisant la politique du ontrle d'aès donnée.

On introduit maintenant les notions qui seront utilisées pour formaliser la

mé-thode présentée dans l'exemple plus haut. Par

U ser

^{on note un ensemble ni}

d'utilisateurs,etpar

Category

^{onomprend l'ensembledes}utilisateursd'unemême atégorie(parexemple,

Category = Adm

^{dansl'Exemple3.3). Onassoieà}

U ser

^et

Category

^{lesprédiatsunaires}orrespondant

U ser()

^et

Cat()

^{. Fixons undoument}

t

^{assujetti à une politique duontrle d'aès}

P

^{. Les règles de}

P

^sont représentées omme deslauses deHorn purementnégatives,souventaompagnées par des

on-traintes exprimant leur portée. Tout littéral apparaissant dans une telle lause est

soitunprédiatunairedelaforme

U ser(x)

^ou

Cat(x)

^{,soitunsymbole}propositionnel delaforme

σ.a

^,où

σ

^{estlenomd'unélémentsurledoument}

t

^,et

a

^estlenomd'un

attribut assoié à

σ

^{. La ontrainte de portée estpar dénition de laforme}

[constr]

^,

où

constr

^{estuneonjontionniedes}expressions

σ.a

^axis

ρ.b

^,ou

σ.a

^dir-axis

ρ.b

^,

ou/et

σ.a op val

^,où

op

^{estunopérateur deomparaison (}

=, ≤ , ≥

^et.),et

val

^estune

desvaleurspossibles pour l'attribut

a

^.

Exemple 3.4. Par exemple, la lause

←− U ser(10), σ.a, ρ.b, δ.c, [σ.a

^hild

ρ.b, σ.a

^right

δ.c]

stipule que l'utilisateur ayant l'identité numéro

10

^{n'est pas autorisé à aéder en}

même temps aux données stokées omme les valeurs des attributs

a

^,

b

^et

c

^aux

n÷udsayant desnoms

σ

^,

ρ

^et

δ

respetivement. Par"enmême temps"onomprend que l'utilisateur no

10

^{ne peut pas déduire les trois} informations mentionnées en évaluant une ou plusieurs requêtes sur

t

^{; par ontre, il lui est permis d'aéder, par}

exemple, à l'information

σ.a, ρ.b

^{, telle que}

σ.a

^hild

ρ.b

^{, mais sans voir dans e}

asla donnée

δ.c

^{, telleque}

σ.a

^right

δ.c

^.

Dénitions formelles

Soitundoument

t

^{,assujettiàune politiqueduontrle d'aès}

P

^. Considéronsun utilisateur ayant l'identiateur

id

^{. Pour haque requête}

Q

^{évaluée par}

id

^sur

t

^{, et}

pourtoutn÷ud

v

^de

t

^{traverséparlerundusystème}

S Q

orrespondantà

Q

^,on

asso-ie trois ensembles de lauses positives, dénotés par

Hist _id (v, Q)

^,

Scope _id (v, Q)

^et

Access _id (v, Q)

^{. Cestroisensembles,dont lerleestde}représenterlesonnaissanes del'utilisateur

id

^surledoument

t

^{,sontonstruitsd'unefaçonréursivedériteplus}

bas en quatre pas Step0 Step3 (pour plus de larté, on omet l'indie

id

^pour

Hist

^,

Scope

^et

Access

^{). Notonspar}

Q ⁽⁰⁾ , Q ⁽¹⁾ , . . . , Q ⁽ⁱ⁾ , . . .

^{lasuitedesrequêtes que}

l'utilisateur

id

^évalue suessivement sur

t

^:

Step0. On pose

i := 0

^.

Step1. Pour

v = root _t

^:

ondénit

Scope(root t , Q ⁽ⁱ⁾ ) := ∅

^;

si

i = 0

^,alors

Hist(root _t , Q ⁽ⁱ⁾ )

^{estlesingleton :}

{U ser(id) ←}

^ou

{Cat(id) ←}

^;

si

i > 0

^,

Hist(root t , Q ⁽ⁱ⁾ )

^{estdénit omme}

Hist(root t , Q ⁽ⁱ⁻¹⁾ )

^;

si

i = 0

^,alors

Access(root t , Q ⁽ⁱ⁾ )

^{est l'ensemble vide;}

si

i > 0

^,

Access(root t , Q ⁽ⁱ⁾ )

^{est dénitomme}

Hist(root t , Q ⁽ⁱ⁻¹⁾ )

^.

Step2. Pour

v 6= root _t

^:

Onsupposequel'utilisateurestentraind'évaluerlarequête

Q ⁽ⁱ⁾

^{,etqu'onaonstruit}

déjàdesensembles

Access(u ^′ , Q ⁽ⁱ⁾ )

^,

Scope(u ^′ , Q ⁽ⁱ⁾ )

^et

Hist(u ^′ , Q ⁽ⁱ⁾ )

^{,pourtoutn÷ud}

u ^′

^{que le run du système}

S _Q (i)

^{a traversé avant}

v

^{. Notons par}

u

^{le n÷ud à partir}

duquellerunde

S _Q (i)

^{sedéplaevers}

v

^{. Lesensembles}

Scope(v, Q ⁽ⁱ⁾ )

^,

Access(v, Q ⁽ⁱ⁾ )

et

Hist(v, Q ⁽ⁱ⁾ )

^{sont don onstruit ommesuit:}

1. Onsupposeque lesystème

S _Q (i)

^{est entrain d'évaluer uneétapede} loalisation omposant

Q ⁽ⁱ⁾

^{,dont l'axedenavigationestaxis. Soitunn÷ud}

u ^′

^{déjàtraversé}

par le run, tel que

u ^′

^axis

v

^{soit satisfait sur}

t

^{. Si}

a

^(resp.

att

^{) est un nom}

d'attribut en

u ^′

^{(resp. en}

v

^{), tel que}

name _t (u ^′ ).a

^axis

name _t (v).att

^apparaît

dans la ontrainte de portée d'une des lauses de

P

^{, alors on rée une lause}

positive

[name t (u ^′ ).a

^axis

name _t (v).att] ←

^,

etonpose:

Scope(v, Q ⁽ⁱ⁾ ) =: Scope(v, Q ⁽ⁱ⁻¹⁾ ) ∪ {[name t (u ^′ ).a

^axis

name _t (v).att] ←}

^.

2. Pour tout

name _t (v).att

^{qui apparaît dans le orps d'une lause de}

P

^{, tel que}

name _t (v).att

^{soitonsistent aveladonnée}

σ

^[

L

^{℄(oùl'étapede}loalisation

éval-uée àprésent par

S _Q (i)

^{est delaforme axis::}

σ

^[

L

^{℄), on réelalause}

name _t (v).att ← ,

etonpose:

Access(v, Q ⁽ⁱ⁾ ) := Access(v, Q ⁽ⁱ⁻¹⁾ ) ∪ {name t (v).att ←}.

3. Ondénit

Hist(v, Q ⁽ⁱ⁾ ) := Hist(v, Q ⁽ⁱ⁻¹⁾ ) ∪ Scope(v, Q ⁽ⁱ⁾ ) ∪ Access(v, Q ⁽ⁱ⁾ )

^.

Step3. On pose

i := i + 1

^{,eton revient à Step1.}

Par

D v (t)

^{on note l'ensemble desdépendanes} fontionnelles (éventuelles) entre lesattributsstokésaun÷ud

v

^d'undoument

t

^{. Onsupposeraqueesdépendanes}

sont formulées également sousforme delauses de laforme

name t (v).a i r ← name t (v).a i ₁ , name t (v).a i ₂ , . . . , name t (v).a i _k ,

où

a _j

^{sont les noms des attributs en}

v

^{. S'il n'y a pas de telles} dépendanes, on pose

D v (t) := ∅

^{. Notons par}

Hist _id

^{l'ensemble étant l'union de tous les ensembles}

Hist id (v, Q ⁱ )

^{onstruits plus haut. En utilisant les ensembles}

Hist id

^et

D v (t)

^{, on}

dénitunestratégie d'évaluationquigarantit quel'évaluationd'unerequêteneviole

paslapolitiquedu ontrle d'aès donnée:

Dénition 3.1. (Évaluation séurisée) Si une requête donnée

Q

^{est évaluée par}

unutilisateur

id

^{,à l'aidedu système}

S _Q

^{, surundoument}

t

^{assujettià une politique}

d'aès

P

^{, alors un état séletionnant peut être assigné à un n÷ud}

v

^de

t

^{, si et}

seulement si

Hist _id ∪ D v (t) ∪ P 6| = ⊥ .

Pour vérierla onditionde laDénition 3.1on utilise la résolution lausale. Voii

ertaines règles(parmi biend'autres) que l'on peutappliquer pour une telle

résolu-tion :

•

^{larésolution lassiqueentre deslittérauxpositifsetnégatifs;}

•

^{un littéral}

σ.att

^{peut être résolu ave un littéral (de signe opposé) de la forme}

σ.∗

^{;idempourdeslittéraux(ayantdessignesopposés)}

U ser(id)

^et

U ser(∗)

^,ainsi

que

Cat(id)

^et

Cat(∗)

^et.;

•

^{une ontrainte de portée}

[σ.a

^axis

ρ.b]

^{peut être résolu ave une ontrainte de}

portée de laforme

[ρ.b

^axis

⁻¹ σ.a]

^;

•

^{un littéral négatif}

[σ.a

^axis

ρ.b]

^{peut être résolu ave un littéral positif de la}

forme

[σ.a

^dir-axis

ρ.b

^℄;

•

^{un littéral négatif}

[σ.a

^axis

ρ.b]

^{peut être résolu ave un littéral positif de la}

forme

[σ.a

^axis

ρ.b, σ.a 6= ‘val ^′ ]

^.

Si on ne veut pas qu'une politique du ontrle d'aès soit violée, il est

indis-pensable de garder latrae de toute information à laquelle un utilisateur a aédé

en évaluant sesdiérentesrequêtes, ommelemontrel'exemple suivant.

Exemple 3.5. Soientledoument Faultyetlapolitique duontrled'aès

onsid-érés dans l'Exemple 3.3. Supposons que l'attribut

grade

^{stoké à toutn÷ud}

Course

n'a pas toujours la même valeur, .àd., les étudiants de atégories (

grade

⁾

dié-rentes peuvent suivre le même ours. Supposons qu'un utilisateur administratif

id

évalue suessivement les trois requêtes suivantes:

Q ₁ =

^//

Student

^/

@∗

Q ₂ =

^//

Course

^/

@grade

Q ₃ =

^//

Course

^[

@grade 6= M

^℄/parent::

Student

^/

@name

Analysons e qui sepasse sil'ensemble

Hist _id

^{n'est pas gardé :}

•

^{En évaluant}

Q ₁

^, l'utilisateur prend onnaissane de toutes les données stokées à haque n÷ud

Student

^{, enpartiulier les noms detous les étudiants.}

•

^Enévaluant

Q ₂

^{ilobtientlesvaleursd'attribut}

grade

^{pourtouslesn÷uds}

Course

^.

•

^{La REPONSE à}

Q ₃

^{donne ànotre} utilisateur les nomsdetous lesétudiants qui nesontpasenregistrés dans la atégorie

M

^.

Il a maintenant toutes les informations susantes pour déduire les noms des

étu-diants enregistrés dans la atégorie

M

^{il sut de prendre le omplément de}

l'ensemble qui onstitue la REPONSE à

Q ₃

^{e qui viole la politique du ontrle}

d'aès imposée dans l'Exemple 3.3:

← Adm(∗), Student.name, Course.grade,

[Student.name

^hild

Course.grade]

^.

Garder l'ensemble

Hist _id

^{la trae} d'information à laquelle l'administratif

id

^à

aédépermetd'éviterlaviolationdelapolitiqueduontrled'aèsdonnée. En

eet,aprèsavoirévaluélesrequêtes

Q ₁

^et

Q ₂

^,

Hist id

^{vaontenirleslausespositives}

suivantes :

Adm(id) ←

^,

student.∗ ←

^,

course.grade ←

^.

Pendant l'évaluation delarequête

Q ₃

^{on yaura ajoutélalause :}

[course.grade

^parent

student.name, course.grade 6= M ] ←

^.

En partiulier, laontraintede portée

[course.grade 6= M]

^{s'évalue en vrai. Il n'est}

pasdiile de remarquer(en utilisant larésolution lausale) que l'ensemble

Hist _id

n'est pasonsistent ave la lause

← Adm(∗), Student.name, Course.grade,

[Student.name

^hild

Course.grade]

^.

Par onséquent, l'évaluation de

Q ₃

^{va être} interrompue, etne fournira auun nom d'étudiant.

Notreméthode d'évaluation de requêtes surles doumentsassujettis àune

poli-tique du ontrle d'aès est omplète, omme le montre la proposition suivante,

dont la preuve déoule diretement des dénitions introduites dans ette setion

(notamment laDénition 3.1):

Proposition 3.2. Soitundoument

t

^{assujettiàunepolitiqueduontrled'aès}

P

^.

Une donnée stokée omme la valeur d'un attribut

att

^{au n÷ud}

u

^du

t

^{est aessible}

pour un utilisateur

id

^{, si et seulement si}

{name t (u).att ←} ∪ Hist id ∪ D u (t)

^est

onsistent ave l'ensemble des lauses négatives

P

^.

Dans le document Automates pour l'analyse de documents XML compressés, applications à la sécurité d'accès (Page 37-42)