Combining UML, ASTD and B for the formal specification of an access control filter

International audienceCombination of formal and semi-formal methods is more and more required to produce specifications that can be, on the one hand, understood and thus validated by both designers and users and, on the other hand, precise enough to be verified by formal methods. This motivates our aim to use these complementary paradigms in order to deal with security aspects of information systems. This paper presents a methodology to specify access control policies starting with a set of graphical diagrams: UML for the functional model, SecureUML for static access control and ASTD for dynamic access control. These diagrams are then translated into a set of B machines. Finally, we present the formal specification of an access control filter that coordinates the different kinds of access control rules and the specification of functional operations. The goal of such B specifications is to rigorously check the access control policy of an information system taking advantage of tools from the B method

Un processus formel d'intégration de politiques de contrôle d'accès dans les systèmes d'information

Security is a key aspect in information systems (IS) development. One cannot build a bank IS without security in mind. In medical IS, security is one of the most important features of the software. Access control is one of many security aspects of an IS. It defines permitted or forbidden execution of system's actions by an user. Between the conception of an access control policy and its effective deployment on an IS, several steps can introduce unacceptable errors. Using formal methods may be an answer to reduce errors during the modeling of access control policies. Using the process algebra EB[superscript 3], one can formally model IS. Its extension, EB[superscript 3]SEC, was created in order to model access control policies. The ASTD notation combines Harel's Statecharts and EB[superscript 3] operators into a graphical and formal notation that can be used in order to model IS. However, both methods lack tools allowing a designer to prove or verify security properties in order to validate an access control policy. Furthermore, the implementation of an access control policy must correspond to its abstract specification. This thesis defines translation rules from EB[superscript 3] to ASTD, from ASTD to Event-B and from ASTD to B. It also introduces a formal architecture expressed using the B notation in order to enforce a policy over an IS. This modeling of access control policies in B can be used in order to prove properties, thanks to the B prover, but also to verify properties using ProB, a model checker for B. Finally, a refinement strategy for the access control policy into an implementation is proposed. B refinements are proved, this ensures that the implementation corresponds to the initial model of the access control policy

Méthode de construction d'entrepôt de données temporalisé pour un système informationnel de santé

Des systèmes informationnels de santé (SIS) ont été mis en place au cours des 20 dernières années pour soutenir les processus de soins, les tâches administratives et les activités de recherche ainsi que pour assurer la gestion raisonnée des établissements de santé. Un entrepôt de données (ED) doit être créé à partir de nombreuses sources de données hétérogènes afin de rendre les données exploitables d’une façon uniforme au sein des SIS. La temporalisation de cet entrepôt est rapidement devenue un enjeu crucial afin de garder les traces de l’évolution des données et d’améliorer la prise de décision clinique. L’entrepôt de données temporalisé (EDT) requiert l’application de règles systématiques afin de garantir l’intégrité et la qualité des données. Générer le schéma temporel d’un EDT est une tâche complexe. Plusieurs questions se posent dès lors, dont celles-ci : (a) Quel modèle temporel est le mieux adapté à l’automatisation de la construction d’un EDT (plus particulièrement dans le domaine de la santé)? (b) Quelles propriétés peut-on garantir formellement, suite à cette construction? D’une part, le volume du schéma de données nécessite d’importantes ressources humaines et financières, et d’autre part, plusieurs modèles temporels existent, mais ils ne sont pas formalisés ou non généraux. Les concepteurs s’en remettent donc le plus souvent à des règles de pratiques variées, floues, incomplètes et non validées. Dans ce travail, un cadre de référence permettant de formaliser, de généraliser et d’opérationnaliser des modèles temporels est défini. Deux modèles : BCDM et TRM sont présentés selon le cadre de référence avec leurs contraintes d’intégrité, leurs algorithmes de construction et une liste des prolongements requis. Il en résulte qu’il est désormais possible de s’affranchir des règles de pratique imprécises et de temporaliser un entrepôt en se fondant sur une méthode rigoureuse aux propriétés démontrables basées sur des critères fondamentaux (théorie relationnelle), des critères de conception reconnus et explicites (normalisation)