Access Control Policies Verification Over Distributed Queries - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2021

Access Control Policies Verification Over Distributed Queries

Vérification des politiques de contrôle d'accès dans les bases de données distribuées en mode cloud

Résumé

In this thesis, we address the problem of data outsourcing in presence of access control policies. Due to the emergence of Database-as-a-Service paradigm, secure data outsourcing has become one of the crucial challenges which strongly imposes itself. Indeed, data owners place their data among Cloud Storage Service Providers (CSSP) in order to increase flexibility, optimize storage, enhance data manipulation and decrease processing time. In spite of that, access control is considered as a major barrier to cloud computing and data outsourcing arrangements. Hence, the central challenge identified in this context is: How access control policies of data owner are preserved when data is moved to the cloud? From a security perspective, preserving access control policies means that if an access was prohibited initially by the owner's access control policies, it should be also prohibited when data is externalized to Cloud Storage Service Providers. Also, the policy in the Cloud Storage Service Providers level should protect data against indirect access via inference channels. This inference channel is derived from the combination of legitimate answers received from the system with semantic constraints. Furthermore, to maintain data utility, an optimal data placement decision should be considered when this latter is moved to the cloud. In this manuscript, on the basis of vertical partitioning, we propose a graph-based approach to preserve owner's access control policies efficiently when data is externalized to the Cloud Storage Service Providers. To do that, our proposed approach runs through the following steps: Firstly, it relies on semantic relatedness measure between users roles and schema attributes to derive an optimal vertical partitioning. Optimal partitioning is the minimization of the number of distributed queries issued from a user role in order to provide higher performance and speedup. Secondly, by reasoning about functional dependencies as source of inference, we propose a set of algorithms to detect inference leakage and control them. Thirdly, on the basis of hypergraph theory, we propose a hypergraph partitioning algorithm to compute the set of secure partitions stored in Cloud Storage Service Providers level. The proposed partitioning algorithm takes advantage of the distributed system to enforce access control policies. Then, by considering access control rules as a set of queries to be revoked, we infer the implicit combinations of queries that could lead to the violation of owner's access control policies. Finally, we propose a monitoring module based on Role-Based Access Control and History-Based Access Control to monitor users queries at run time and block suspicious ones.
Dans cette thèse, nous abordons le problème de l'externalisation des données en présence de politiques de contrôle d'accès. En raison de l'émergence du paradigme Database-as-a-Service, l'externalisation des données est devenue l'un des défis cruciaux qui s'impose fortement. En effet, les propriétaires de données placent leurs données auprès des fournisseurs de services de stockage cloud afin d'augmenter la flexibilité, d'optimiser le stockage, d'améliorer la manipulation des données et de réduire le temps de traitement. De ce fait, le contrôle d'accès est considéré comme un problème très potentiel par rapport aux accords de cloud computing et d'externalisation des données. Par conséquent, le défi majeur identifié dans ce contexte est: \emph{Comment les politiques de contrôle d'accès du propriétaire des données sont préservées lorsque les données sont déplacées vers le cloud?} Du point de vue sécurité des données, la préservation des politiques de contrôle d'accès signifie que si un accès a été initialement interdit par les politiques de contrôle d'accès du propriétaire, il devrait également être interdit lorsque les données sont externalisées vers les fournisseurs de services Cloud. En outre, la politique de sécurité au niveau des fournisseurs de services cloud doit protéger les données contre l'accès indirect à travers les fuites d'inférence. Une fuite d'inférence est déduite par la combinaison de réponses légitimes reçues du système avec des contraintes sémantiques. De plus, pour maintenir l'utilité des données, une décision de placement optimale des données doit être envisagée lorsque ces dernières sont déplacées vers le cloud. Dans ce manuscrit, en s'appuyant sur le partitionnement vertical, nous proposons une approche basée sur la théorie des graphes pour préserver efficacement les politiques de contrôle d'accès du propriétaire lorsque les données sont externalisées vers les fournisseurs de services cloud. Pour ce faire, notre approche proposée comporte les étapes suivantes: Premièrement, elle s'appuie sur la mesure de corrélation sémantique entre les rôles des utilisateurs et les attributs de schéma de la base de données pour dériver un partitionnement vertical optimal. Le partitionnement optimal consiste à minimiser le nombre de requêtes distribuées émises à partir d'un rôle utilisateur afin de fournir des performances élevées et accélérer le temps du traitement. Deuxièmement, en raisonnant sur les dépendances fonctionnelles comme source d'inférence, nous proposons un ensemble d'algorithmes pour détecter les fuites d'inférence et les contrôler. Troisièmement, en se basant sur la théorie de l'hypergraphe, nous proposons un algorithme de partitionnement hypergraphique pour calculer l'ensemble des partitions sécurisées stockées au niveau des fournisseurs de services cloud. L'algorithme de partitionnement proposé tire parti du système distribué pour enforcer les politiques de contrôle d'accès. Par la suite, en considérant les règles de contrôle d'accès comme un ensemble de requêtes à révoquer, nous déduisons les combinaisons implicites de requêtes qui pourraient conduire à la violation des politiques de contrôle d'accès du propriétaire. Enfin, nous proposons un module de surveillance basé sur le contrôle d'accès à base des rôles et le contrôle d'accès à base de l'historique pour surveiller les requêtes des utilisateurs au moment de leurs exécution et bloquer les requêtes suspectes.

Domaines

Cryptographie et sécurité [cs.CR] Base de données [cs.DB]
Fichier principal
Vignette du fichier
Thesis_fst.pdf (1.21 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Adel Jebali  : Connectez-vous pour contacter le contributeur

https://hal.science/tel-03535655

Soumis le : mercredi 19 janvier 2022-17:03:35

Dernière modification le : lundi 24 janvier 2022-13:29:05

Archivage à long terme le : mercredi 20 avril 2022-19:10:29

Télécharger pour visualiser

Dates et versions

tel-03535655 , version 1 (19-01-2022)

Identifiants

  • HAL Id : tel-03535655 , version 1

Citer

Adel Jebali. Access Control Policies Verification Over Distributed Queries. Cryptography and Security [cs.CR]. Faculté des sciences de Tunis, 2021. English. ⟨NNT : ⟩. ⟨tel-03535655⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite
182 Consultations
64 Téléchargements

Partager

Gmail Facebook X LinkedIn More