Kashmar, Nadine (2022). Un nouveau modèle de contrôle d'accès appliqué aux environnements informatiques ; étude de cas et application en industrie 4.0. Thèse. Rimouski, Université du Québec à Rimouski, Département de mathématiques, informatique et génie, 248 p.
Prévisualisation |
PDF
Télécharger (41MB) | Prévisualisation |
Résumé
RÉSUMÉ : L'émergence de la nouvelle génération d'environnements de mise en réseau avec la transformation numérique, tels que l'internet des objets (IdO) et l'industrie 4.0 avec leurs différentes applications, fait ressortir de nouvelles tendances, concepts et défis pour intégrer des systèmes plus intelligents et avancés dans des systèmes critiques et structures hétérogènes. Ce fait, en plus de la pandémie de COVID-19, a suscité un besoin plus important que jamais de contrôle d'accès (CA) en raison de la généralisation du télétravail et de la nécessité d'accéder aux ressources et aux données liées à des domaines critiques tels que le gouvernement, les soins de santé, l'industrie et les autres. Tout cela ouvre de nouvelles perspectives aux systèmes d'information traditionnels et aux méthodes CA en fusionnant de nouvelles technologies et services pour un accès transparent aux sources d'information à tout moment et n'importe où, en particulier avec la présence de cybercriminels et de cyberattaques. Dans cette réalité, toute cyberattaque ou attaque physique réussie peut perturber les opérations ou même réduire les services essentiels à la société. Pour assurer la sécurité et la confidentialité, plusieurs mécanismes de sécurité ont été utilisés et CA est l'une des exigences de sécurité essentielles dans ce domaine. Ce qui rend cette réalité également difficile, c'est la diversité et l'hétérogénéité des modèles CA qui sont mis en œuvre et intégrés à d'innombrables systèmes d'information. L'importance des exigences de sécurité, de protection des données et de confidentialité augmente avec la présence massive de nouveaux paradigmes et technologies, le déploiement de solutions numériques et intelligentes basées sur le concept de l'industrie 4.0, ainsi que la généralisation du télétravail. Pour empêcher l'accès non autorisé aux actifs logiques ou physiques, plusieurs méthodes CA sont mises en œuvre pour contrôler à quoi les utilisateurs peuvent accéder, quand et comment en appliquant les politiques organisationnelles définies. Parallèlement à la progression technologique, divers travaux de recherche ont été menés en se concentrant sur le développement et l'amélioration des méthodes CA en cinq étapes principales (1) modèles CA communs, (2) modèles hybrides, (3) modèles étendus et (4) modèles abstraits, atteignant le niveau actuel. étape de développement de (5) métamodèles CA. Les modèles courants mis en œuvre dans différents environnements informatiques sont le contrôle d'accès discrétionnaire (DAC), le contrôle d'accès obligatoire (MAC), le contrôle d'accès basé sur les rôles (RBAC) et le contrôle d'accès basé sur les attributs (ABAC). Pour trouver des fonctionnalités CA plus avancées et définir un ensemble plus large de règles CA, divers modèles hybrides avec des fonctionnalités combinées de deux modèles ou plus sont proposés (par exemple, le modèle hybride RBAC/ABAC). De plus, différents modèles sont étendus en ajoutant de nouveaux composants en plus de ceux existants, plusieurs modèles CA sont également abstraits et de nouveaux composants sont ajoutés pour améliorer leurs fonctionnalités. La réalité actuelle des environnements informatiques impose la nécessité de se concentrer sur le développement de méthodes CA plus robustes et avancées, d'autant plus que les modèles CA communs, hybrides, étendus et abstraits ont atteint leurs limites et sont actuellement insuffisants pour répondre aux exigences CA nécessaires. Ce qui rend ce fait également difficile, c'est l'hétérogénéité de tout - réseaux, applications, appareils, etc. - en plus de l'hétérogénéité des modèles CA. Par conséquent, les métamodèles CA sont proposés dans la littérature pour servir de cadres unificateurs pour inclure la plupart des fonctionnalités et des composants des modèles CA afin de permettre l'instanciation de divers modèles et la définition et l'application d'un ensemble plus large de politiques statiques et dynamiques. Malheureusement, les métamodèles proposés ont des limites communes puisqu'ils ne sont (1) pas assez génériques et n'incluent pas toutes l s fonctionnalités des modèles CA, (2) pas assez dynamiques pour suivre les mises à jour technologiques et (3) pas extensibles. En outre, ils (4) ne prennent pas en charge la fonctionnalité de hiérarchie pour tous les composants, (5) n'expliquent pas comment la collaboration et l'interopérabilité entre les modèles CA peuvent être atteints et (6) n'abordent pas la question de la migration d'un modèle à un autre. Pour aborder les limitations existantes des métamodèles CA, dans ce projet de recherche, nous abordons les limitations génériques, extensibles, dynamiques et hiérarchiques. Nous proposons un métamodèle CA hiérarchique, extensible, avancé et dynamique (HEAD) pour les structures dynamiques et hétérogènes qui est capable d'englober l'hétérogénéité des modèles CA où divers modèles CA peuvent être dérivés (modèles existants et non existants). Pour l'implémentation, nous utilisons Eclipse (xtext) pour définir le langage spécifique au domaine (DSL) du métamodèle HEAD. Nous illustrons notre approche avec plusieurs instanciations réussies de divers modèles pour montrer comment elle prend en charge des fonctionnalités avancées par rapport à d'autres métamodèles. Pour l'évaluation et la validation, le métamodèle HEAD est utilisé pour spécifier les politiques CA nécessaires pour deux études de cas inspirées de l'environnement informatique de l'Institut Technologique de Maintenance Industrielle (ITMI)-Sept-Îles, QC, Canada ; le premier est destiné à l'environnement local (non IdO) d'ITMI et le second à l'environnement IdO d'ITMI. Pour chaque étude de cas, le modèle CA nécessaire est dérivé à l'aide du métamodèle DSL du HEAD, puis la notation xtend (un dialecte expressif de Java) est utilisée pour générer le code Java nécessaire qui représente l'instance concrète du modèle dérivé. Au niveau du système, pour obtenir les règles CA nécessaires, des requêtes Cypher sont générées puis injectées dans la base de données Neo4j pour représenter la politique de contrôle d'accès de nouvelle génération (NGAC) sous forme de graphique. Le cadre NGAC est utilisé comme point d'application pour les règles générées de chaque étude de cas. Les résultats montrent que le métamodèle HEAD peut être adapté et intégré à divers environnements locaux et distribués, capable de servir de cadre unificateur, de répondre aux exigences CA actuelles et de suivre les mises à niveau de politique nécessaires. De plus, nous implémentons un panneau d'administration pour le métamodèle HEAD, comme exemple supplémentaire, en utilisant VB.NET et SQL pour montrer que le métamodèle peut être implémenté pour générer des règles CA à l'aide d'autres plates-formes. -- Mot(s) clé(s) en français : contrôle d'accès; maquette; métamodèle ; Industrie 4.0 ; IdO ; sécurité et confidentialité ; hétérogène; dynamique; hiérarchie; politique; mise en vigueur; transformation numérique ; COVID-19; DSL, Neo4j, NGAC. --
ABSTRACT : The emergence of the new generation of networking environments with the digital transformation, such as the internet of things (IoT) and industry 4.0 with their different applications, brings out new trends, concepts, and challenges to integrate more intelligent and advanced systems into critical and heterogeneous structures. This fact, in addition to COVID-19 pandemic has prompted a greater need than ever for access control (AC) due to the widespread of telework and the need to access resources and data related to critical domains such as government, healthcare, industry, and others. All this releases new prospects to traditional information systems and AC methods by merging new technologies and services for seamless access to information sources at anytime and anywhere, especially with the presence of cyber-criminals and cyber-attacks. With this reality, any successful cyber or physical attack can disrupt operations or even decline critical services to society. To ensure security and privacy, several security mechanisms have been employed and AC is one of the essential security requirements in this domain. What makes this reality also challenging is the diversity and the heterogeneity of AC models that are implemented and integrated with countless information systems. The importance of security, data protection, and privacy requirements increases with the massive presence of new paradigms and technologies, the deployment of digital and intelligent solutions based on the industry 4.0 concept, also with the widespread of telework. To prevent unauthorized access to logical or physical assets, several AC methods are implemented to control what users can access, when, and how by enforcing the defined organizational policies. Along with technology progression, various research works were conducted focusing on developing and enhancing AC methods in five main stages (1) common AC models, (2) hybrid models, (3) extended models, and (4) abstracted models, reaching the current stage of developing (5) AC metamodels. The common models that are implemented in different computing environments are Discretionary Access Control (DAC), Mandatory Access Control (MAC), Role-Based Access Control (RBAC), and Attribute-Based Access Control (ABAC). To find more enhanced AC features and define a larger set of AC rules, various hybrid models with combined features from two or more models are proposed (e.g., hybrid RBAC/ABAC model). Furthermore, different models are extended by adding new components in addition to the existing ones, also several AC models are abstracted and new components are added to enhance their features. The current reality of computing environments imposes the need to focus on developing more robust and advanced AC methods, especially since the common, hybrid, extended, and abstracted AC models have reached their limits and are currently insufficient to meet the needed AC requirements. What makes this fact also challenging is the heterogeneity of everything-networks, applications, devices, etc.-in addition to the heterogeneity of AC models. Hence, AC metamodels are proposed in the literature to serve as unifying frameworks to include most features and components of AC models to allow instantiating various models and defining and enforcing a larger set of static and dynamic policies. Unfortunately, the proposed metamodels have common limitations since they are (1) not generic enough and do not include all features of AC models, (2) not dynamic enough to follow technology upgrades, and (3) not extensible. Also, they (4) do not support the feature of hierarchy for all components, (5) do not explain how collaboration and interoperability between AC models can be achieved, and (6) do not address the issue of migration from one model to another. To address the existing limitations of AC metamodels, in this research project we address the generic, extensible, dynamic, and hierarchical limitations. We propose a Hierarchical, Extensible, Advanced, and Dynamic (HEAD) AC metamodel for dynamic and heterogeneous structures th t is able to encompass the heterogeneity of AC models where various AC models can be derived (existing and the non-existing models). For the implementation, we use Eclipse (xtext) to define the domain-specific language (DSL) of HEAD metamodel. We illustrate our approach with several successful instantiations of various models to show how it supports advanced features compared to other metamodels. For the evaluation and validation, HEAD metamodel is employed to specify the needed AC policies for two case studies inspired by the computing environment of Institut Technologique de Maintenance Industrielle (ITMI)-Sept-Îles, QC, Canada; the first is for ITMI's local (non-IoT) environment and the second for ITMI's IoT environment. For each case study, the needed AC model is derived using the DSL of HEAD metamodel, then xtend notation (an expressive dialect of Java) is used to generate the needed java code which represents the concrete instance of the derived model. At the system level, to get the needed AC rules, Cypher queries are generated and then injected into Neo4j database to represent the Next Generation Access Control (NGAC) policy as a graph. NGAC framework is used as an enforcement point for the generated rules of each case study. The results show that HEAD metamodel can be adapted and integrated with various local and distributed environments, able to serve as a unifying framework, answer the current AC requirements and follow the needed policy upgrades. Moreover, we implement an administrative panel for HEAD metamodel, as an additional example, using VB.NET and SQL to show that the metamodel can be implemented to generate AC rules using other platforms. -- Mot(s) clé(s) en anglais : access control; model; metamodel; Industry 4.0; IoT; security and privacy; heterogeneous; dynamic; hierarchy; policy; enforcement; digital transformation; COVID-19; DSL, Neo4j, NGAC.
Type de document : | Thèse ou mémoire de l'UQAR (Thèse) |
---|---|
Directeur(trice) de mémoire/thèse : | Adda, Mehdi |
Co-directeur(s) ou co-directrice(s) de mémoire/thèse : | Hussein, Ibrahim |
Information complémentaire : | Thèse présentée dans le cadre du programme de doctorat en ingénierie de l'UQAC, offert par extension à l'UQAR, en vue de l'obtention du grade de Philosophiae Doctor. |
Mots-clés : | Sécurité informatique; Ordinateurs; Accès; Contrôle; Controle d'accès. |
Départements et unités départementales : | Département de mathématiques, informatique et génie > Génie |
Déposé par : | DIUQAR UQAR |
Date de dépôt : | 06 mars 2023 19:25 |
Dernière modification : | 06 mars 2023 19:25 |
URI : | https://semaphore.uqar.ca/id/eprint/2107 |
Actions (administrateurs uniquement)
Éditer la notice |