分布式应用程序的安全策略研究：传递依赖建模、验证和实施

艾克斯-马赛大学数学与计算机科学博士学院，ED184UFR科学马赛基础计算机科学实验室博士论文学科：计算机科学沃拉切特·乌塔由Clara Bertolissi和Jean-Marc Talbot编辑分布式应用程序的安全策略研究：传递依赖建模、验证和实施于2016年9月26日在评审团面前答辩：Horatiu Cirstea洛林大学报告员帕斯卡尔·拉富尔卡德奥弗涅大学报告员马里贝尔·费尔南德斯伦敦国王审查员伊曼纽尔·戈达尔IFF，艾克斯-马赛大学审查员西尔维奥·拉尼斯布鲁诺·凯斯勒基金会审查员克拉拉·贝托利西IFF，艾克斯-马赛大学论文主任让-马克·塔尔博特IFF，艾克斯-马赛大学论文主任摘要访问控制是信息系统安全的一个基本要素。自20世纪70年代以来，该领域的工作已经为个人数据隐私问题提供了解决方案，并在不同的环境（操作系统、数据库等）中应用。在访问控制模型中，我们将重点放在基于组织的模型（OrBAC）上，并提出了一个适合于分布式环境（如Web服务）的扩展。该扩展模型尤其能够处理事务性访问请求。当一个服务需要调用另一个服务时，可能会发生这种情况，而另一个服务可能需要调用我们称之为D-OrBAC（分布式组织基于访问控制），它是OrBAC模型的扩展，代理的概念由委托图表示。此图允许我们表示服务调用链中涉及的不同组织之间的协议，并跟踪可传递的权限。我们还提供了一种基于Datalog的分析技术，使我们能够模拟执行场景并检查是否存在不安全的情况。然后，我们使用重写技术来确保通过D-OrBAC模型指定的安全策略符合重要属性，如终止性和一致性。最后，我们在WSO2 Identity Server平台上实现了关键词：访问控制摘要访问控制是计算机安全的基本要素。自20世纪70年代以来，该领域的研究已经为个人数据隐私提供了许多解决方案，并将其应用于不同的环境（操作系统、数据库等）。在许多访问控制模型中，我们对基于组织的模型（OrBAC）感兴趣，并提出了一个适用于分布式环境（如Web服务）的扩展。该扩展模型尤其能够处理访问传递请求。当一个服务必须调用可能需要调用的另一个服务，从而打开一个或多个服务以满足初始请求时，可能会出现这种情况。我们称之为D-OrBAC（分布式基于组织的访问控制），它是OrBAC模型的扩展，具有由删除图表示的委托概念。此图允许我们表示参与服务链调用的不同组织之间的协议，并跟踪可传递授权。我们还提出了一种基于数据库的分析技术，使我们能够模拟场景的执行，并检查是否存在不安全的情况。因此，我们使用重写技术来确保通过我们的D-OrBAC模型指定的安全策略符合终止性和一致性等重要属性。最后，在案例研究中，我们根据WSO2身份服务器平台上的XACML进行了访问请求评估，以表明我们的解决方案能够为系统提供所需的功能和安全性关键词：访问控制、验证、OrBAC、SOA、XACML谢谢你首先，我要热烈感谢我的家人（我的父亲Preecha，我的母亲Wilai，我的兄弟Sitthichai和我所有的亲戚），他们总是在我身边。因为你，我才变成现在的我。我很自豪能成为Uttha和Pimsuta家族的一员。你我感谢泰国政府我要感谢Clara Bertolissi和Jean-Marc Talbot这些年来在你的指导下工作，我感谢Horatiu Cirsrea和Pascal Lafourcade同意审阅我的手稿，并感谢他们的建设性反馈。我还要感谢Maribel Fernández、Emmanuel Godard和SilvioRanise感谢安东尼审阅我的手稿并进行更正。从法语。特别是对我所有的朋友，尤其是马赛的泰国人：Patcharin、Sabaipohn、Saranyoo、Bunpot、Juma-pohn、Thippawan、Orawan、Grisada、Sarayuth、Kanitta、Kanjana和Supanee。感谢你们的出席、耐心和支持;如果没有你们所有人，在法国学习的这10年将我感谢IFF及其工作人员的热情好客，特别是行政团队，Nadine、Sylvie和Martine，感谢他们的专业精神和善良。我还要感谢所有的博士生：Florent、Mathieu、Elie、Makki、Antoine、Christina、Didier和Eloi，我有幸与他们最后，我要感谢FBK研究中心和9目录图11表导言131分布式框架中的访问控制建模1.1最新技术水平1.1.1访问控制1.1.2访问控制模型1.1.3基于组织的访问控制（OrBAC）261.2案例1.2.1医疗中心281.2.2研究中心291.3我们的模型：基于分布式组织的访问控制：D-OrBAC311.3.1D-OrBAC32中的实体1.3.2安全规则361.4D-OrBAC40模型中的授权1.4.1代表团图401.4.2寻找代表团的复杂性1.5相关工作462D-OrBAC49型号的验证2.1初步502.1.1Prolog/Datalog502.1.2Datalog和安全522.2分析整个医疗中心的执行方案2.3通过研究中心分析执行方案2.4终止和复杂性642.5讨论67目录103使用重写693.1预备：术语713.1.1术语重写系统713.1.2重写系统的性质743.2设置3.3CiME和自动验证833.3.1CiME 83工具说明3.3.2使用3.4相关工作864我们方法的实施894.1XACML90体系结构4.1.1XACML90体系结构4.1.2XACML91中的安全策略规范4.1.3XACML 92体系结构的主要组件4.1.4XACML中访问请求的评估机制标准924.2从D-OrBAC模型到4.3使用委托模块扩展XACML974.3.1授权模块974.3.2授权模块100的位置4.4案例研究102的实施4.4.1政策103的实施和实施4.4.2可传递调用的场景4.5相关工程108结论和展望111A安全策略的实施115A.1案例A.1.1代表115医疗中心的Datalog程序A.1.2规定医疗中心政策的重写系统117A.2案例A.2.1代表122研究中心的Datalog计划A.2.2重写系统指定中心的策略研究124参考书目13111图表1.1案例研究拓扑和具有传递依赖关系的自动化请求示例（红色路径）。......................................................................................................291.2研究中心的拓扑结构...............................................................................301.3在研究中心的情况下，转换呼叫的场景311.4委派图.......................................................................................................431.5委派图中的循环.......................................................................................451.6域的层次结构...........................................................................................452.1抽象权限的派生.......................................................................................572.2研究中心的授权图...................................................................................612.3在委派存在的情况下派生抽象权限-多个...........................................................................................................633.1Church-Rosser地产，当地汇合处和汇合处。..................................... 763.2（A）可传递访问请求的约简树。(B)项is_permitted_aux（org，c，r，t，q）的进一步简化（A）814.1XACML体系结构.....................................................................................934.2Datalog和XACML之间的映射。............................................................. 964.3委派模块在体系结构中的位置XACML。................................................................................................1024.4传递调用链.............................................................................................10613简介背景在过去的二十年里，文档、档案、数据、医疗记录等经常被数字化并存储在电子存储库中，以允许不同的用户远程访问。大量敏感信息在大型信息系统中流动，无论是在其组织内部还是与合作伙伴组织共享。C’est ainsi que lessystèmes distribués tels que在SOA范例中，应用程序提供标准接口 并作为可重用实体存储以用于合成。SOA不需要将组件或代码集成到其计算环境中，它只需要数据交换规范，以便通过利用协作服务的结果来产生最终结果。在SOA中，组件几乎不知道（如果有的话）其他松散耦合组件的定义。这使得计算平台独立，即每个应用程序可以独立开发，但可以通过接口使用其他应用程序的结果来执行其计算。此外，许多业务流程变得依赖于由其自己的业务之外的其他实体提供的服务例如，在银行的情况下，可能需要与其他银行或金融机构共享客户数据以验证客户的贷款申请。类似地，对于在线购买，订单的验证可能需要来自客户的附加信息，该附加信息将由银行或在线支付服务（例如，Paypal），以检查支出能力，从而验证付款。同样，在医疗领域，医疗服务提供者之间共享某些患者的医疗记录14简介（医院、实验室、药房等）出于许多原因而需要。各种各样的技术能够它们通常用于SOA的实现中。Web服务是一种计算机内程序，它允许应用程序在互联网。Web服务正在成为Internet和Intranet环境中不同系统之间集成和交互的首选实现技术它们提供了多个应用程序（或机器）之间的链接，即使这些应用程序使用不同的技术，允许它们通过HTTP协议发送和接收数据，这些数据可以在任何地方使用。因此，Web服务是在不同平台上的请求者、供应商和合作者之间分发信息的快速方式。开发可靠的Web服务的一个重要因素是安全性，尤其是保护共享数据免受不必要的使用。访问控制它通常分为三个不同的步骤：身份验证、身份验证和授权。标识是用户将声称自己是任何人（例如，他们的登录名）的步骤;此声明可以是真的，也可以是假的，并将在下一步骤中得到证明。第二步是身份验证，即被识别的用户证明他是他所声称的那个人（例如他的密码）。 这两个成功完成的步骤可以总结为：用户声称，然后证明是某人。因此，有时身份识别和身份验证在同一阶段共存。最后，访问控制的最后一步是授权。此步骤发生在用户已被识别和验证之后;这是一个确定自动授权用户访问哪些资源的步骤。所有权限都在名为"访问控制策略"然后定义一种称为访问控制模型的形式体系，自20世纪90年代末Lampson访问矩阵出现以来1. http://www.ics.uci.edu/~fielding/pubs/dissertation/top.htm2. http://docs.oracle.com/javase/1.5.0/docs/guide/rmi/3. www.w3.org/TR/ws-arch/1560，已经提出了几种访问控制模型，例如DAC、MAC、RNAC和ABAC。根据应用安全策略的上下文和环境，每个模型都有不同的优点和缺点。有问题在SOA的情况下，安全方面的管理通常由可能属于不同组织的每个服务自主执行。一个服务必须调用第二个服务，然后第二个服务可能需要调用其他服务来满足初始请求，这也是常见的。我们称之为"传递访问问题这是一个复杂的问题，因为Web服务是独立开发和管理的，每个服务都有自己的访问策略即使用户有权访问初始服务，也不能保证他们有权访问以后调用的服务，因为这些服务可能属于其他组织。这可能会导致间接授权错误。关于身份验证和访问控制机制，它们必须以有效和可扩展的方式考虑外部用户的访问，同时考虑对外部组织的信任。对于然而，就授权而言，情况远不令人满意在[Ka- lam等人，2003]，以提高RNAC模型的表达能力，从而可以同时管理与不同组织相关联的多个安全策略。然而，该模型中的组织概念是集中式的，即一个组织被划分为多个子组织;对资源的访问只能在这些子组织之间进行。因此，OrBAC系统无法识别和认证主体，以确定其在组织外部的权限。在SOA的情况下，这在这篇论文中，我们将讨论几个与规范相关的问题4. http://www.opengroup.org/security/sso简介16阳离子、验证、验证和实施访问控制策略— 如何克服Or-BAC模型的局限性，使— 是否有任何技术可以执行自动扫描，以检测可能导致权限问题的运行时情况，这些问题是由— 我们的访问控制模型是否— 我们的解决方案是否能够为系统提供所需的功能和所需的安全性？贡献这项工作的主要贡献是提供一个有效的和适应性强的解决方案，用于在分布式和动态环境（如Web服务）中实现访问控制。本论文做出了几项贡献：1. 定义了2. 通过使用Datalog作为模型规范语言的两个案例研究分析执行场景，验证D-OrBAC模型3. 使用重写技术检查D-OrBAC中指定的访问控制策略的属性4. 在一个案例研究中实施策略，为了1. 一个受[Fischer和Majumdar，2008]启发的医疗中心，由四个组织组成：门户网站、诊所管理、分析实验室、患者病史。每个组织都提供某些Web服务，以便172. 一个研究中心，开发了一个IT解决方案，用于管理酒店预订授权它由四个部门组成：秘书处、行政、会计和信息技术。我们的贡献在不同的出版物中进行了细分和介绍[Ut-tha等人，2014a，b，2015a，b，2016]。1. D-OrBAC模型的定义我们提出了一种新的访问控制模型，具体地，在涉及多个组织的传递呼叫的情况下，中间服务代表调用初始服务的用户调用其他服务。为了表示服务调用链中涉及的不同组织之间的链接这是通过一个称为委托图的有向非循环图来形式化的。我们定义了OrBAC模型的一个扩展，该扩展允许在涉及多个组织的情况下对权限规则进行建模。委派图允许我们指定不同合作伙伴组织之间的协议，它还允许我们跟踪可传递的授权，这扩展了原始Or-BAC模型的灵活性。2. D-OrBAC模型在两个案例研究中的验证一旦定义了D-OrBAC模型，我们就需要验证我们的访问控制模型，以确保我们的模型指定的安全策略满足实际需求，即该策略正确地保护资源，并将访问权限授予正确的人员。为此，我们建议在部署系统之前使用Datalog作为我们的访问控制模型的规范语言来执行执行场景的模拟。该技术允许我们测试可能导致不安全情况的场景的不同执行。我们的分析技术有两个重要的优点。首先，不需要实现原型来测试系统的行为，然后，知道简介18由于3. 使用重写检查策略的过程为了确保D-OrBAC模型指定的安全策略尊重重要的策略属性，我们通过重写术语系统指定我们的策略。接下来，我们将显示策略属性和重写系统属性之间的映射。重写系统允许我们检查策略的属性，如终止和一致性，这确保了安全策略能够响应所有访问请求，并且该响应是唯一的。我们还介绍了一个CiME工具，它允许我们对4. 实施我们的方法。为了证明我们的方法既能满足系统所需的安全性，又能满足所需的功能性，我们选择了两个案例研究（医疗中心和研究中心），并实施了 医疗中心的出入控制机制。为此，我们使用Java和标准技术（如作为服务目录的UDDI、用于服务接口定义的SDL、用于服务调用的SOAP和作为通信格式的XML）来开发Web服务。这些服务由不同的组织提供，并受我们的安全政策保护。我们的目标是扩展现有标准工具的功能和能力，以解决分布式环境中的可传递访问问题。为此，我们在WSO2 Identity Server平台上实现了XACML访问请求评估机制19手稿的组织这份手稿分为四章。• 第1章介绍了基本访问控制模型的最新技术水平、最初的OrBAC模型，最后介绍了我们基于组织的访问控制模型的正式定义，该模型经过了广泛的扩展。委派图。我们称之为"分布式-基于组织的访问控制（D-OrBAC）"模型。• 第2章介绍了一种在部署之前使用Datalog自动分析受我们的安全策略保护的系统行为的技术。我们通过两个案例研究• 在第3章中，我们使用重写技术来验证策略属性，如终止和可以使用CiME工具自动检查这样的汇合• 第4章介绍了如何使用现有工具实施安全策略。我们展示了如何将D-OrBAC的形式化模型转换为XACML架构。接下来，我们介绍了XACML的一个扩展，其中包括一个委托模块和