these doctorat une architecture de securité

More documents

Recommendations

Info

Chapitre 2. Théories et Modèles tel-00239252, version 1 - 5 Feb 2008 Il existe peu de publications abordant le problème de la sécurité dans le contexte de la programmation réflexive. La première mention de ce problème se trouve dans les actes du workshop Reflection and Metalevel Architectures in Object-Oriented Programming [61], qui s’est tenu en 1990 dans le cadre de la conférence commune OOPSLA/ECOOP. Le consensus parmi les participants à ce workshop semblait être que les systèmes réflexifs introduisent une menace de sécurité d’un type nouveau, et que “de telles fonctionnalités sont potentiellement dangeureuses si elles ne sont pas contrôlées de manière pertinente” 3 . Cependant, aucune solution, ou ébauche de solution, ne fut proposée pour sécuriser les applications réflexives. Bien entendu, le problème de la sécurité des applications était beaucoup moins crucial il y a douze ans qu’aujourd’hui, et la communauté de la métaprogrammation avait d’autres problèmes plus immédiats à résoudre. A plusieurs reprises dans la dernière décennie, les concepteurs et implémenteurs de MOPs ont abordé le problème de la sécurité dans leurs travaux, mais la plupart du temps il ne s’agissait que de remarques annexes à leur travail, et non pas d’un élément central dans la conception d’un MOP. Oliva et Buzato dans [95], par exemple, présentent quelques idées sur les moyens à mettre en œuvre afin de discipliner les interactions entre les métaobjets et le niveau de base dans leur VM-based runtime MOP Guaraná. Leur approche repose sur l’utilisation d’objets implémentant le pattern Factory. Ces objets encapsulent un ensemble d’opérations que tout objet possédant une référence sur cette factory peut utiliser. Ils remplissent donc le rôle de capability en termes de sécurité : ils sont une sorte de ticket qui confère à qui le possède certains droits d’accès. Lors de leur construction, les méta objets fournis par Guaraná possèdent un objet de ce type qu’ils peuvent passer à tout autre objet. Cependant, l’implémentation de Guaraná repose sur une version 1.0.6 de Kaffe qui est seulement compatible JDK 1.1, c’est-à-dire qu’elle ne peut pas utiliser l’architecture de sécurité de Java 2. En particulier, cela signifie que Guaraná ne supporte pas les notions de certificats, de clé publiques, etc apparues seulement dans le JDK 1.4. Welch et Stroud dans [120] présentent également les problèmes de sécurité soulevés par leur transformation-based runtime MOP Kava. Ils introduisent l’idée d’une séparation claire entre les classes qui constituent le noyau du MOP, à qui l’on fait confiance, et les classes de métaniveau développées par des parties tierces et auxquelles on n’accorde pas de confiance a priori. Néanmoins, rien n’est dit sur comment protéger les objets de base des objets de niveau méta. Bien que des solutions à ce problème aient été trouvées dans certains cas particuliers, le consensus à l’heure actuelle dans la communauté des agents mobiles semble être que le problème ne peut pas être résolu dans sa généralité. En tout état de cause, il ne nous semble pas que les techniques mises en œuvre pour résoudre le problème du malicious host puissent être appliquées au problème qui nous intéresse car elles ne sont pas suffisamment générales. D’un autre côté, si nous considérons que les MOPs ne sont, après tout, qu’une manière différente d’implémenter des comportements non-fonctionnels au dessus de comportements fonctionnels, il peut être intéressant de regarder les solutions ad hoc existantes et comment elles abordent le problème de la sécurité. Le standard des Enterprise Java Beans [114], par exemple, permet de spécifier de manière déclarative quels sont les comportements non-fonctionnels que l’on souhaite ajouter à un composant, tels que la persistance, la gestion des transactions ou la sécurité. Cependant, les EJBs considèrent que toutes les classes implémentant les comportements non-fonctionnels (donc équivalentes à des classes de niveau méta) sont dignes de confiance. La sécurité s’applique aux interactions entre composants, et non pas aux interactions entre les parties fonctionnelles et non-fonctionnelles d’un composant. L’architecture de sécurité présentée dans cette thèse se base sur une approche similaire en se reposant sur le fait que les classes gérant la sécurité sont implantées au cœur de l’intergiciel et sont donc de confiance. 2.7.4 Les Méta Objets Sécurisés Dans la plupart des modèles basés sur des objets, on peut considérer les références sur les objets comme des capacités. Un objet possédant une référence sur un autre peut potentiellement effectuer toutes les invocations qu’il désire sur l’objet dont il détient la référence. Réciproquement, si un objet n’a pas de référence sur un autre objet, il ne peut pas y accéder. Parallèlement, 3 Such powerful capability can be dangerous unless properly controlled. 24
Section 2.8. Sécurisation du code mobile il est difficile pour un objet de connaître les objets qui le référencent et de contrôler la dissémination de ces dernières. La difficulté se rencontre aussi lors de l’utilisation de capacités comme exposé dans [69]. Afin de contrôler l’accès aux objets d’un système, Riechmann et Hauck [103] utilisent un protocole à méta objets permettant d’attacher un objet spécifique, le security meta object (SMO), aux références d’un objet (figure 2.15). Cet objet peut fournir les informations du principal lors d’une invocation, garder la trace des références qui sont passées lors d’un appel de méthode et le contrôle d’accès à un objet [102]. Il a l’avantage d’être positionné dans le niveau méta de l’application et ainsi de ne pas être accessible aux objets de l’application. Cette implantation a requis une modification de la machine virtuelle ce qui nuit à la portabilité intrinsèque de Java. Il est possible d’agréger plusieurs SMO sur une même référence. Afin de contrôler plus finement les références aux objets, les SMO sont configurables et permettent la restriction des droits d’accès, la révocation et l’expiration d’une référence. tel-00239252, version 1 - 5 Feb 2008 FIG. 2.15 – Une référence sur un objet avec un SMO Un autre inconvénient de l’approche réside dans sa trop grande granularité qui empêche une vision globale de la politique de sécurité du système. Pour compenser cette limitation, les auteurs ont introduit le concept de domaine virtuel [102] qui permet d’imposer une politique globale à un ensemble d’objets, d’empêcher la diffusion des références hors du domaine ou bien d’imposer l’attachement d’un SMO particulier lorsque qu’une référence est passée à un autre domaine. La notion de domaine est une notion récursive permettant d’inclure des domaines dans d’autres domaines afin d’organiser facilement des domaines de politiques de sécurité. 2.8 Sécurisation du code mobile Le paradigme des agents mobiles est utilisé dans le monde de la programmation distribuée. S’ils sont largement utilisés et malgré leur indéniable supériorité fonctionnelle dans certaines tâches, il faut, du point de vue de la sécurité, bien admettre que cela pose de nouveaux problèmes de sécurité. On ne se retrouve plus avec seulement du code malicieux mais aussi des hôtes malicieux. L’utilisation d’agents tend à permettre à des utilisateurs de plus en plus nombreux d’accéder à des services offerts par des organisations différentes et peut-être même concurrentes. On est amené à faire cohabiter et collaborer plusieurs applications pouvant ne pas se faire entièrement confiance. Les opérations d’un système à agents mobiles requièrent des services de sécurité 25
Page 1 and 2: THÈSE DE DOCTORAT École doctorale
Page 3 and 4: tel-00239252, version 1 - 5 Feb 200
Page 5 and 6: Table des matières Remerciements x
Page 7 and 8: TABLE DES MATIÈRES 6.3.3 Optimisat
Page 9 and 10: Table des figures tel-00239252, ver
Page 11 and 12: Liste des tableaux 2.1 Niveau de co
Page 13 and 14: Remerciements Mes remerciements von
Page 15 and 16: Chapitre 1 Introduction tel-0023925
Page 17 and 18: Section 1.1. Problématique et obje
Page 19 and 20: Chapitre 2 Théories et Modèles Ce
Page 21 and 22: Section 2.2. Vulnérabilités des s
Page 23 and 24: Section 2.3. Le contrôle d’accè
Page 25 and 26: Section 2.4. Introduction à la cry
Page 27 and 28: Section 2.4. Introduction à la cry
Page 29 and 30: Section 2.5. Les infrastuctures à
Page 31 and 32: Section 2.6. Les politiques de séc
Page 33 and 34: Section 2.6. Les politiques de séc
Page 35 and 36: Section 2.7. Programmation Réflexi
Page 37: Section 2.7. Programmation Réflexi
Page 41 and 42: Section 2.9. Conclusion ce contexte
Page 43 and 44: Chapitre 3 Étude d’intergiciels
Page 45 and 46: Section 3.2. Open Grid Service Arch
Page 47 and 48: Section 3.2. Open Grid Service Arch
Page 49 and 50: Section 3.3. CORBA // recuperation
Page 51 and 52: Section 3.4. Les Entreprise JavaBea
Page 57 and 58: Section 3.5. La plateforme .NET sé
Page 59 and 60: Section 3.5. La plateforme .NET } L
Page 61 and 62: Section 3.6. Bilan Legion Globus CO
Page 63 and 64: Chapitre 4 Contexte : ProActive tel
Page 65 and 66: Section 4.2. Objets Actifs objet. t
Page 67 and 68: Section 4.3. Sémantique des commun
Page 69 and 70: Section 4.5. Communications de grou
Page 71 and 72: Section 4.5. Communications de grou
Page 73 and 74: Section 4.6. Déploiement des appli
Page 75 and 76: Section 4.6. Déploiement des appli
Page 77 and 78: Section 4.7. Conclusion Le con
Page 79 and 80: Chapitre 5 Une architecture de séc
Page 81 and 82: Section 5.2. Un modèle de sécurit
Page 87 and 88: Section 5.3. Authentification des e
Page 89 and 90:
Section 5.3. Authentification des e
Page 91 and 92:
Section 5.3. Authentification des e
Page 93 and 94:
Section 5.4. Politiques de sécurit
Page 95 and 96:
Section 5.4. Politiques de sécurit
Page 97 and 98:
Section 5.5. Négociation Dynamique
Page 99 and 100:
Section 5.5. Négociation Dynamique
Page 101 and 102:
Section 5.6. Sécurité induite par
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Section 5.7. Propagation dynamique
Page 111 and 112:
Section 5.8. Exemple du journal int
Page 113 and 114:
Chapitre 6 Implantation dans ProAct
Page 115 and 116:
Section 6.1. Création des entités
Page 117 and 118:
Section 6.2. Interface de programma
Page 119 and 120:
Section 6.3. Migration et sécurit
Page 121 and 122:
Section 6.4. Communications de grou
Page 123 and 124:
Section 6.4. Communications de grou
Page 125 and 126:
Section 6.5. Architecture pair-à-p
Page 127 and 128:
Section 6.5. Architecture pair-à-p
Page 129 and 130:
Section 6.6. Tolérance aux pannes
Page 131 and 132:
Section 6.7. Modèle à composants
Page 133 and 134:
Section 6.7. Modèle à composants
Page 135 and 136:
Section 6.8. Sémantique des commun
Page 137 and 138:
Section 6.9. Conclusion Pour qu’u
Page 139 and 140:
Chapitre 7 Tests et performances 7.
Page 141 and 142:
Section 7.2. Les itérations de Jac
Page 143 and 144:
Section 7.2. Les itérations de Jac
Page 145 and 146:
Chapitre 8 Conclusion Ce chapitre r
Page 147 and 148:
Section 8.2. Perspectives tel-00239
Page 149 and 150:
Section 8.2. Perspectives ouverte ;
Page 151 and 152:
Annexe A Grammaire de la politique
Page 153 and 154:
Bibliographie tel-00239252, version
Page 155 and 156:
BIBLIOGRAPHIE tel-00239252, version
Page 157 and 158:
Page 159 and 160:
show all

these doctorat une architecture de securité

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?