A General Approach for Securely Querying and Updating XML Data
Résumé
Over the past years several works have proposed access control models for XML data where only read-access rights over non-recursive DTDs are considered. A few amount of works have studied the access rights for updates. In this paper, we present a general model for specifying access control on XML data in the presence of update operations of W3C XQuery Update Facility. Our approach for enforcing such updates specifications is based on the notion of query rewriting where each update operation defined over arbitrary DTD (recursive or not) is rewritten to a safe one in order to be evaluated only over XML data which can be updated by the user. We investigate in the second part of this report the secure of XML updating in the presence of read-access rights specified by a security views. For an XML document, a security view represents for each class of users all and only the parts of the document these users are able to see. We show that an update operation defined over a security view can cause disclosure of sensitive data hidden by this view if it is not thoroughly rewritten with respect to both read and update access rights. Finally, we propose a security view based approach for securely updating XML in order to preserve the confidentiality and integrity of XML data.
Durant ces dernières années, plusieurs travaux ont proposé des modèles de contrôle d'accès pour sécuriser l'accès en lecture aux données XML, basés seulement sur des DTDs non-récursives. Le contrôle d'accès XML considérant les opérations de mise à jour n'a pas reçu suffisamment d'attention. Dans ce papier, nous présentons un modèle général pour spécifier le contrôle d'accès aux données XML moyennant des primitives de mise à jour du "W3C XQuery Update Facility". Notre approche pour enforcer ces spécifications de mise à jour est basée sur la notion de réécriture des requêtes ("query rewriting" en anglais) où chaque opération de mise à jour, définie par rapport à une DTD arbitraire (récursive ou non), est réécrite en une autre opération sûre afin qu'elle soit évaluée seulement sur des données XML modifiables par l'utilisateur qui a soumis l'opération. Nous étudions dans la deuxième partie de ce rapport la sécurisation des opérations de mise à jour XML en présence des droits de lecture spécifiés sous forme d'une "vue de sécurité". Pour un document XML, une vue de sécurité permet de représenter pour chaque classe d'utilisateurs les parties du document dont ils sont autorisés à voir. Nous montrons qu'une opération de mise à jour définie par rapport à une vue de sécurité peut entraîner des divulgations des données confidentielles cachées par cette vue, si elle n'est pas soigneusement réécrite en tenant compte des droits de lecture et de mise à jour. Pour pallier à ce problème, nous décrivons une solution qui permet de préserver la confidentialité et l'intégrité des données XML.
Origine : Fichiers produits par l'(les) auteur(s)