Mod´elisation du contrˆole d’acc`es dans les Workflows

Les auteurs de (Atluri and Huang, 1996; Yi et al., 2004) s’int´eressent `a la mod´elisation de la gestion des autorisations (les privil`eges et les permissions) et des contraintes de s´ecurit´e telles que la s´eparation des tˆaches, le cloisonnement de l’information et la hi´erarchie des rˆoles int´egr´ee dans le mod`ele Workflow. Dans (Atluri and Huang, 1996), le mod`ele impl´emente le principe du cloisonnement de l’information (Least Privilege) o`u les permissions sont accord´ees aux sujets autoris´es pour ex´ecuter les tˆaches qui leur

sont prescrites pendant une p´eriode de temps. D’une part, les rˆoles sont attribu´es aux sujets selon les tˆaches qu’ils vont ex´ecuter, et d’autre part l’utilisation des rˆoles associ´es aux sujets est restreinte `a une p´eriode de temps en dehors de laquelle, les privil`eges ac- cord´es `a un sujet pour ex´ecuter la tˆache lui seront retir´es pour ´eviter les abus. Une tˆache est d´efinie par un ensemble d’op´erations, un ensemble d’objets rec¸us en entr´ee, un en- semble d’objets ´eventuellement produits en sortie et un intervalle de temps d’ex´ecution. Chaque tˆache est en plus, associ´ee un ou plusieurs templates d’autorisation qui accor- dent aux sujets les privil`eges requis au d´ebut de l’ex´ecution de la tˆache et qui les retire imm´ediatement `a la fin de l’ex´ecution. Des contraintes temporelles sont associ´ees aux tˆaches pour v´erifier que les autorisations sont sp´ecifi´ees de mani`ere `a permettre aux su- jets d’obtenir les acc`es aux objets seulement durant l’ex´ecution de la tˆache. Par exemple, si l’intervalle de temps d’une tˆache est fix´e `a [tb, te] et que le temps d’ex´ecution d’une instance de la tˆache est [ts, tf], les autorisations associ´ees `a la tˆache ne sont valides que durant l’intersection des deux intervalles.

Selon (Atluri and Huang, 1996; Yi et al., 2004), repr´esenter l’autorisation en termes de tˆaches offre l’avantage de raisonner `a diff´erents niveaux d’abstraction. La sp´ecification du syst`eme peut ˆetre faite selon les comp´etences des d´ecideurs puisque chacun va op´erer au niveau d’abstraction auquel il est habilet´e. Par exemple un chef d’entreprise qui com- prend l’organisation de la structure de l’organisation et les r`egles d’affaires, d´efinirait les rˆoles l´egitimes pour chaque tˆache. Un d´eveloppeur, quant `a lui, il d´eterminera les privil`eges associ´es `a chaque application utilis´ee pour effectuer une tˆache. Tandis qu’un employ´e des ressources humaines se charge d’assigner les rˆoles aux usagers. Ainsi, le mod`ele de (Atluri and Huang, 1996) a ´et´e revu dans (Yi et al., 2004) pour prendre en compte la hi´erarchie des rˆoles, raffiner le principe de la s´eparation des tˆaches et mod´eliser les situations de conflits entre tˆaches. Dans le mod`ele de (Yi et al., 2004), une tˆache est repr´esent´ee par deux transitions pour indiquer le d´ebut et la fin d’ex´ecution. Il existe deux types de places : les places de rˆoles et les places de contrˆole. Les places de rˆoles

en entr´ee d’une transition indiquent les rˆoles l´egitimes (en fonction de leurs couleurs) autoris´es `a ex´ecuter la tˆache. Il y a une place par rˆole. Les usagers sont repr´esent´es par les jetons color´es. Une assignation rˆole-usager est indiqu´ee par la pr´esence d’un jeton color´e dans la place de rˆole. Lorsqu’une transition est tir´ee, les autorisations sont alors accord´ees `a l’utilisateur pour ex´ecuter la (les) tˆache (s) associ´ee (s) `a la transi- tion. Ces autorisations lui seront r´evoqu´ees lorsque la (les) tˆache (s) se termine (ent). Le mod`ele permet aussi de repr´esenter la hi´erarchie des rˆoles et ce, en ajoutant une transition qui relie un rˆole senior `a tous ses rˆoles juniors. Lorsque cette transition est franchie, un jeton dans la place du rˆole senior est transf´er´e dans une place de rˆole junior. Cependant, ce mod`ele ne tire pas profit de la puissance de mod´elisation des r´eseaux de Petri color´es pour repr´esenter les diff´erentes relations d’assignation, ni les relations d’hi´erarchie. Chaque rˆole est repr´esent´e par une place. Ainsi, il y aura autant de places qu’il y a de rˆoles dans l’organisation. Par ailleurs, si un usager a plusieurs rˆoles, il y aura le mˆeme nombre de jetons distribu´es dans diff´erentes places. Ceci pourrait produire des mod`eles d’autorisation dont la taille croˆıt rapidement avec la complexit´e du syst`eme, et qui deviennent rapidement impossible `a comprendre et `a g´erer. De plus, le mod`ele de (Yi et al., 2004) fait l’hypoth`ese qu’un usager ne peut ˆetre attribu´e plus d’un rˆole dans une mˆeme instance du Workflow, ce qui n’est d’ailleurs pas r´ealiste.

5.3 Conclusion

Il est int´eressant de remarquer qu’une approche de mod´elisation des Workflows, bas´ee sur les r´eseaux de Petri, permet de tracer `a la fois le flux des donn´ees, de contrˆole et d’autorisation entre les diff´erents intervenants du syt`eme.

Dans le chapitre suivant, nous pr´esentons une extension du mod`ele TSCPN (Timed Se- cure Colored Petri Net), initialement pr´esent´e dans mon m´emoire de maˆıtrise. Le mod`ele TSCPN est une extension des r´eseaux de Petri color´es temporels qui impl´emente une

politique mandataire multi-niveaux et permet d’exprimer des conditions temporelles sur la disponibilit´e et la validit´e des donn´ees. L’analyse du mod`ele se base sur le contrˆole du flot d’information par le biais de la construction du graphe des classes. Or, la partic- ularit´e des mod`eles incluant le temps, est d’ˆetre g´en´eralement infinis et `a branchement infini. Pour y pallier, nous proposons une m´ethode de contraction qui pr´esente des con- ditions suffisantes `a satisfaire pour garantir la finitude (Diaz, 2001) du graphe contract´e ainsi que la d´ecidabilit´e des propri´et´es `a v´erifier.