Protection obligatoire des serveurs d’applications Web : application aux processus métiers - Archive ouverte HAL Accéder directement au contenu
Thèse Année : 2014

Mandatory protection of Web applications servers : usage for the workflow environments

Protection obligatoire des serveurs d’applications Web : application aux processus métiers

Maxime Fonda
  • Fonction : Auteur
Laboratoire d'Informatique Fondamentale d'Orléans

Résumé

This thesis focuses on mandatory access control in Web applications server. We present a novel approach of mandatory protection based on an abstract Web application model. Existing models of Web applications such as SOA fit with our abstract model. Our mandatory protection uses a dedicated language that allows to express the security requirements of a Web application. This dedicated protection language uses our Web application model to control efficiently the accesses of the subjects to the objects of a Web application. We establish a method to automatically compute the requested security policies facilitating thus the administration of the mandatory protection. An implementation on Microsoft-based environments uses the IIS Web server and the .Net Framework. The solution is independent from the Web applications to protect since it uses an application adaptor to interface our mandatory protection with the applications. This implementation is fully running on the workflow environments from the QualNet society, that cofunded this Ph.D thesis. Experiments show that our mandatory protection supports large scale environments since the overhead is near to 5 % and decreases when the size of the application increases.
Dans cette thèse, nous nous intéressons au contrôle d’accès obligatoire dans les serveurs d’applications Web. Nous présentons une approche de protection obligatoire fondée sur un modèle abstrait d’applications Web. Les modèles d’applications Web existants, comme par exemple SOA peuvent être représentés par ce modèle abstrait d’application. Notre protection obligatoire s’appuie sur un langage de protection dédié permettant d’exprimer les besoins en terme de contrôle d’accès au sein d’un serveur d’application Web. Ce langage de protection utilise notre modèle d’application pour contrôler de manière efficace les accès des sujets aux objets de l’applications Web. Nous établissons également une méthode de calcul automatisé des politiques de sécurité qui facilite donc l’administration de la protection obligatoire proposée. Une implémentation sur des environnements Microsoft basés sur le serveur Web IIS et le canevas .Net est présentée. La solution est indépendante des applications Web protégées car elle repose sur l’utilisation d’un adaptateur applicatif pour s’interfacer avec n’importe quelle application. Celle-ci est fonctionnelle sur des environnements de workflow de la société QualNet ayant co-financée cette thèse. Les expérimentations menées montrent que notre protection obligatoire supporte des environnements à grande échelle et impose une élévation faible du temps de traitement, de l’ordre de 5%, qui diminue lorsque la taille des applications augmente.

Domaines

Autre [cs.OH]
Fichier principal
Vignette du fichier
maxime.fonda_3601.pdf (4.91 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-01069411

Soumis le : lundi 29 septembre 2014-11:37:51

Dernière modification le : jeudi 20 octobre 2022-03:54:13

Archivage à long terme le : mardi 30 décembre 2014-12:01:02

Télécharger pour visualiser

Dates et versions

tel-01069411 , version 1 (29-09-2014)

Identifiants

  • HAL Id : tel-01069411 , version 1

Citer

Maxime Fonda. Protection obligatoire des serveurs d’applications Web : application aux processus métiers. Autre [cs.OH]. Université d'Orléans, 2014. Français. ⟨NNT : 2014ORLE2011⟩. ⟨tel-01069411⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

UNIV-ORLEANS STAR INSA-GROUPE THESES-UO INSA-CVL
369 Consultations
1617 Téléchargements

Partager

Gmail Facebook X LinkedIn More