Date : 2010
Editeur / Publisher : [S.l.] : [s.n.] , 2010
Type : Livre / Book
Type : Thèse / ThesisLangue / Language : anglais / English
Résumé / Abstract : Dans cette thèse, nous nous intéressons à l'expression des principes de protection de la vie privée. Nous spécifions ces exigences de vie privée en proposant de les introduire dans les modèles des politiques de sécurité existants. Ainsi, nous suggérons l'application d'un seul modèle pour le contrôle d'accès et la protection de la vie privée. Le modèle de contrôle d'accès doit être étendu par de nouvelles conditions d'accès et de paramètres, à savoir les contextes, constituant les exigences de la vie privée. Pour cela, nous définissons le modèle Privacy-aware Organisation-Based Access Control (PrivOrBAC). L'administration de PrivOrBAC est manifestement différente des modèles d'administration des modèles contrôles d'accès. Nous identifions trois cas à introduire dans le modèle d'administration. Premièrement, à cause de l'attractivité des nouveaux services, les utilisateurs définissent généralement une politique de vie privée trop permissive qui ne correspond pas réellement à leurs préférences. Nous proposons que le contrôleur des données puisse prendre en charge la définition de la politique en se basant sur le contrat de service (SLA) incluant les préférences utilisateurs. Deuxièmement, le modèle d'administration doit prendre en compte la modélisation des interceptions légales. Cet accès est prioritaire vis à vis des préférences utilisateurs. Troisièmement, nous présentons le cas où les deux organisations, le contrôleur de données et les fournisseurs de services, doivent partager l'accès à la même ressource. Grâce au modèle d'interopérabilité O2O, les préférences utilisateurs peuvent être propagées et ainsi respectées par les organisations tierces demandant l'accès. Nous nous sommes focalisés sur les données de localisation qui représentent les données privées à protéger dans notre étude. Nous proposons une architecture prête à être déployer dans les systèmes d'information des services de localisation (LBS). Nous utilisons MotOrBAC, le prototype du modèle OrBAC, pour adapter notre solution au cadre des réseaux cellulaires. Nous avons aussi étendu la passerelle Parlay X par une nouvelle Privacy web service pour permettre un accès sécurisé et respectant la vie privée des fournisseurs de services aux données enregistrées dans les réseaux cellulaires.
Résumé / Abstract : In this dissertation, we propose the expression and the modelling of the most important principles of privacy. We deduce the relevant privacy requirements that should be integrated in existing security policy models, such as RBAC models. We suggest the application of a unique model for both access control and privacy requirements. Thus, an access control model is to be enriched with new access constraints and parameters, namely the privacy contexts, which should implement the consent and the notification concepts. For this purpose, we introduce the privacy-aware Organisation role Based Access Control (OrBAC) model. The administration of this new model is significantly different from previous models. Three cases are identified. First, the privacy policy may be defined by the data collector but data owners have the possibility to set their preferences through a contracted Service Level Agreement (SLA). Second, the administration model allows legal organisations, for legal purposes, to impose their needs by bypassing user's preferences. Third, we present the case of a privacy policy which is negotiated between the data collector and the requestor based on user's preferences, defined in the SLA. Overall, our proposal is a distributed administration of privacy policies. Focusing on Location Based Services (LBSs), we finally propose a complete privacy framework ready to be deployed in information systems. We use the model prototype to adapt our solution to cellular networks when the requesters are the service providers. This prototype uses parlay gateways with web services. We also extend the set of Parlay X gateway standardised web services by proposing a dedicated privacy web service to enforce privacy protection.