these doctorat une architecture de securité
these doctorat une architecture de securité
these doctorat une architecture de securité
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Chapitre 2. Théories et Modèles<br />
Le modèle à matrice d’accès s’implémente selon <strong>de</strong>ux approches classiques du contrôle d’accès<br />
: les capacités et les listes <strong>de</strong> contrôle d’accès (ACL).<br />
– La représentation par capacités [72] correspond à <strong>une</strong> lecture <strong>de</strong>s droits d’accès <strong>de</strong> la matrice<br />
par ligne. Une capacité correspond à <strong>une</strong> preuve irréfutable que celui qui la détient<br />
est autorisé à effectuer l’action désignée par la capacité sur l’objet donné. Un sujet peut<br />
contenir plusieurs capacités. Cette approche permet au sujet <strong>de</strong> connaître l’ensemble <strong>de</strong>s<br />
objets sur lesquels il peut effectuer <strong>une</strong> action.<br />
– La représentation par ACL correspond à <strong>une</strong> lecture <strong>de</strong>s droits d’accès <strong>de</strong> la matrice par<br />
colonne. À chaque objet est associée la liste <strong>de</strong>s droits d’un sujet donné. Lors <strong>de</strong> chaque<br />
opération, le mécanisme <strong>de</strong> contrôle d’accès vérifie que le sujet correspondant possè<strong>de</strong> <strong>de</strong>s<br />
droits conformes à l’opération <strong>de</strong>mandée.<br />
Un autre principe à respecter lors <strong>de</strong> la définition <strong>de</strong>s autorisations est le principe du moindre<br />
privilège. Un objet ne doit disposer que <strong>de</strong>s droits qui lui sont strictement nécessaires pour réaliser<br />
les tâches qui lui incombent.<br />
2.3.1 Contrôle d’accès distribué<br />
tel-00239252, version 1 - 5 Feb 2008<br />
Les stubs ou proxies se sont imposés comme la solution standard dans la construction <strong>de</strong> systèmes<br />
distribués. Leur rôle est <strong>de</strong> représenter localement un objet distant et masquer <strong>de</strong> manière<br />
transparente l’éloignement physique <strong>de</strong> l’objet qu’il représente.<br />
Le modèle <strong>de</strong>s proxies restreints [92] proposé par Clifford Neuman introduit un mécanisme<br />
d’autorisation pour les applications distribuées. Initialement, si un principal A possè<strong>de</strong> un proxy<br />
vers un service et qu’il le passe à un principal B alors le principal B possé<strong>de</strong>ra les mêmes autorisations<br />
que le principal A. Un proxy restreint est un proxy sur lequel <strong>de</strong>s restrictions d’utilisations<br />
ont été définies. Il doit être possible pour un serveur <strong>de</strong> vérifier que les restrictions associées au<br />
proxy sont vali<strong>de</strong>s avant d’autoriser <strong>une</strong> opération reçue au travers <strong>de</strong> celui-ci. Une approche<br />
similaire a été proposée dans Decentralized Jiny Security [37].<br />
Dans [21], les auteurs présentent <strong>une</strong> autre approche dans l’utilisation <strong>de</strong> proxies sécurisés au<br />
sein <strong>de</strong> réseaux <strong>de</strong> dispositifs mobiles. Ces dispositifs peuvent être soit logiques (un programme),<br />
soit matériels (un capteur). Le modèle <strong>de</strong> sécurité suppose le partage entre l’appareil et le proxy<br />
d’<strong>une</strong> clé symétrique permettant le chiffrement <strong>de</strong> leurs communications. La partage <strong>de</strong> la clé est<br />
effectué lors <strong>de</strong> l’initialisation du dispositif.<br />
1. Le proxy et l’utilisateur s’authentifient mutuellement et initient <strong>une</strong> communication sécurisée.<br />
2. L’utilisateur envoie sa requête au proxy.<br />
3. Le proxy vérifie dans la liste d’accès si l’utilisateur est autorisé à effectuer cette requête. Si<br />
l’autorisation est accordée, la requête est émise, dans le cas contraire, un message d’erreur<br />
est expédié à l’utilisateur.<br />
4. L’appareil effectue l’action et renvoie <strong>une</strong> réponse au proxy.<br />
5. Le proxy transfère la réponse à l’utilisateur.<br />
Les proxies présentés dans ces travaux peuvent être qualifiés <strong>de</strong> proxies intelligents. En effet,<br />
ces proxies ne se limitent pas à transférer les communications entrantes et sortantes vers l’objet<br />
qu’ils représentent mais possè<strong>de</strong>nt <strong>de</strong>s fonctionnalités supplémentaires comme la possibilité <strong>de</strong><br />
chiffrer les communications avant <strong>de</strong> les envoyer à l’objet <strong>de</strong>stinataire. Un système <strong>de</strong> gestion <strong>de</strong><br />
droit peut aussi être implanté à l’ai<strong>de</strong> <strong>de</strong> proxies. L’obtention d’un service donc d’un proxy par<br />
<strong>une</strong> entité tierce pouvant être limité dans le temps, il doit être possible d’imposer <strong>une</strong> durée <strong>de</strong><br />
validité à un proxy donné.<br />
Cependant, introduire <strong>de</strong>s mécanismes <strong>de</strong> sécurité au sein <strong>de</strong>s proxies possè<strong>de</strong> un effet <strong>de</strong><br />
bord, il faut pouvoir contrôler le proxy afin <strong>de</strong> vérifier les informations qu’il fournit et principalement<br />
qu’il est bien un proxy vers celui qu’il prétend représenter.<br />
10