Contrôle d'accès versus Contrôle de flots

Abstract

National audienceTraditionnellement, une politique de sécurité est mise en oeuvre par un mécanisme de contrôle des accès des sujets sur les objets du système: un sujet peut lire l'information contenue dans un objet si la politique autorise ce sujet à accéder à cet objet. Une politique induit des flots d'information: si un sujet s a le droit de lire un objet o, alors toute l'information que peut un jour contenir o est accessible à s. De même, si un sujet s a le droit de modifier un objet o, alors toute l'information qui peut être portée à la connaissance de s peut se propager dans le système par le biais de o. Alors qu'une politique spécifie des autorisations sur les contenus, sa mise en oeuvre contrôle les accès aux objets sans connaître leur contenu courant. Nous nous proposons dans ce travail d'étudier formellement les politiques de sécurité sous l'angle des flots d'information qu'elles induisent. Pour les politiques dont on ne peut pas montrer que tous les flots induits sont autorisés, nous définissons un mécanisme permettant de détecter les flux illégaux. Nous présentons aussi l'implémentation de ce mécanisme de détection