these doctorat une architecture de securité

More documents

Recommendations

Info

Chapitre 5. Une architecture de sécurité de haut niveau – ces modifications ne garantissent pas directement la correction du code de sécurité ajouté, ni celle de la politique de sécurité de l’application qui en résulte ; – les besoins de l’application en termes de sécurité seront exprimés au sein du code de l’application et paramétrables seulement en modifiant le code source ; – ce code devra être répliqué pour chaque application ayant les mêmes besoins. La présentation de la librairie ProActive nous a permis de mettre en évidence les avantages d’implanter au sein de la librairie, le code de gestion de réservation et d’accès au ressources, la gestion des divers protocoles de communications, de migration, . . . . Le premier but de cette thèse est de fournir un modèle de sécurité capable de gérer les vulnérabilités inhérentes aux applications distribuées selon les postulats énoncés précédemment. Afin de faciliter son utilisation, ce modèle doit être transparent au code métier de l’application, configurable en dehors de celui-ci. tel-00239252, version 1 - 5 Feb 2008 Le deuxième postulat concerne la confiance du code du niveau méta de la bibliothèque. On supposera que ce code n’effectuera pas d’actions invalidant la politique de sécurité de l’application. Ce code évoluant au même niveau que le code gérant la sécurité, il lui serait possible d’outrepasser ses droits et d’effectuer des actions contraires à la politique de sécurité. On se place ici dans la même hypothèse que celle faîte par le standard EJB. Lors du développement d’une application capable d’utiliser une grille de calcul, le développeur ne connaît pas la façon dont un utilisateur va déployer cette application. Il ne peut faire que des suppositions et donc il lui est difficile de coder le comportement en terme de sécurité de l’application. En effet, l’utilisateur peut aussi bien déployer l’application sur une seule machine d’une grappe de calcul, sur l’ensemble des machines de cette même grappe ou alors sur un ensemble de grappes de calcul (grille de calcul). Les besoins en terme de sécurité vont ainsi varier selon le déploiement de l’application. Par exemple, nous pouvons supposer que, lors d’un déploiement au sein d’une même grappe de calcul, seule l’authentification entre les diverses parties de l’application est nécessaire. Si cette même application utilise plusieurs grappes de calcul interconnectées par un réseau public, alors il est possible de vouloir simplement de l’authentification entre les nœuds d’une même grappe mais que lors de communications inter-grappes, la confidentialité et l’intégrité doivent être rajoutées. Le deuxième but de cette thèse est ainsi de fournir un moyen à l’utilisateur de pouvoir configurer la sécurité de l’application selon le déploiement de cette dernière. Finalement, les applications distribuées utilisant des grilles de calcul peuvent, au cours de leur exécution, acquérir dynamiquement de nouvelles ressources afin de s’y déployer pour augmenter la puissance de calcul à leur disposition. Cependant cette dynamicité ne doit pas compromettre la sécurité. Le troisième but de cette thèse est d’intégrer cette notion de dynamicité des applications distribuées au sein du modèle de sécurité proposé afin de ne pas limiter la dynamicité de ce type d’applications. Cela impose de garantir la politique de sécurité de l’application tout au long de son exécution. 5.2 Un modèle de sécurité générique et hiérarchique Le chapitre précédent nous a permis de décrire la bibliothèque ProActive et nous avons vu comment une application java s’exécute lorsque qu’elle est liée à la bibliothèque. À ce point, aucune notion de sécurité n’a été prise en compte. Selon le principe du contrôle d’accès présenté dans la section 2.3, il faut, pour que le moniteur de référence puisse prendre une décision, pouvoir authentifier les deux parties en présence lors d’une interaction. 66
Section 5.2. Un modèle de sécurité générique et hiérarchique Si on reprend le modèle de base de ProActive on s’aperçoit que les entités qui peuvent interagir sont multiples, nous pouvons, dans un premier temps, identifier au moins les objets actifs et les runtimes. Cela signifie que nous allons devoir proposer un modèle de sécurité qui puisse prendre en compte à la fois la particularité des objets actifs en tant, par exemple, qu’entités mobiles mais aussi celles des runtimes en tant qu’entités capables de contenir d’autres entités comme les nœuds ou les objets actifs. Par ailleurs, il est possible d’extraire des différents objets composant une architecture distribuée (runtimes, nœuds) et des objets actifs un ensemble distinct de fonctionnalités qui vont servir de base commune à la définition et la création d’une spécification concernant les besoins de sécurité d’une architecture distribuée. Cet ensemble de fonctionnalités est regroupé sous le terme d’entité sécurisée et nous définissons une entité sécurisée de la manière suivante : Définition 10 Entité Sécurisée Par définition, on nommera une entité sécurisée tout code ou donnée auquel est associé un mécanisme de sécurité permettant l’interception de toutes les interactions avec l’environnement extérieur. À une entité sécurisée sont associées une identité et une politique de sécurité. À partir de sa politique de sécurité, un gestionnaire de sécurité pourra déduire une politique de sécurité pour une interaction donnée. tel-00239252, version 1 - 5 Feb 2008 Cette définition permet d’atteindre en partie l’un des objectifs de notre modèle : l’autonomie dont dispose l’entité sécurisée vis-à-vis de la prise de décision concernant les règles de sécurité. Du fait que nous nous trouvons dans une architecture répartie, aucun postulat ne peut être fait, par exemple, sur la connectivité du réseau sous-jacent ou sur tout autre défaillance pouvant survenir dans une architecture distribuée, le gestionnaire de sécurité doit pouvoir être autonome et pouvoir prendre les décisions concernant la sécurité de l’objet qu’elle sécurise de manière automatique sans avoir recours à un serveur de politique centralisé, ou en minimisant les communications vers des objets se trouvant à distance. En dotant l’entité sécurisée d’une politique de sécurité, le mécanisme de sécurité va pouvoir utiliser cette politique de sécurité pour prendre les décisions de sécurité nécessaires vis-à-vis de cette entité sécurisée. Par ailleurs, on ne fait aucune supposition sur l’objet contenu par l’entité sécurisée. Notre modèle de sécurité n’est pas intrusif : il ne requiert aucune modification de l’objet sécurisé ni statiquement en modifiant le code source, ni dynamiquement par réflexivité. Cette approche permet l’utilisation et la sécurisation des objets java dont le code source n’est pas disponible mais aussi l’utilisation d’objets écris dans un autre langage (en C, C++, etc) et dont le chargement au sein de la machine virtuelle a été effectué par la Java Native Interface (JNI). De cette façon, l’objet sécurisé continue son exécution de manière classique, sans avoir nullement notion d’être sécurisé. Nous allons maintenant décrire plus en détails ce mécanisme d’interception. La notion de hiérarchie qui va exister pendant l’exécution d’une application est importante du point de vue de la sécurité car elle induit qu’une entité sécurisée peut imposer une politique de sécurité précise aux entités qu’elle contient. 5.2.1 Contrôle d’accès aux entités Afin de protéger un objet et étant donné qu’on ne peut pas modifier l’objet lui-même, il convient de sécuriser les échanges de flux entre cet objet et les objets extérieurs c’est-à-dire les appels de méthodes de et vers cet objet ainsi que les valeurs de retour résultantes de ces appels de méthodes. En d’autres termes, il faut intercepter tous les messages entrants et sortants. La figure 5.1 expose la solution retenue. On place un objet d’interception, le gestionnaire de sécurité, entre les interactions venant du monde extérieur et l’objet protégé. Les messages entrant et sortant seront interceptés par le gestionnaire de sécurité. Au sein de l’entité les communications entre l’objet sécurisé et l’objet d’interposition s’effectuent en clair, tandis que les communications entre le gestionnaire de sécurité et les objets extérieurs à l’entité peuvent être 67
Page 1 and 2:
THÈSE DE DOCTORAT École doctorale
Page 3 and 4:
tel-00239252, version 1 - 5 Feb 200
Page 5 and 6:
Table des matières Remerciements x
Page 7 and 8:
TABLE DES MATIÈRES 6.3.3 Optimisat
Page 9 and 10:
Table des figures tel-00239252, ver
Page 11 and 12:
Liste des tableaux 2.1 Niveau de co
Page 13 and 14:
Remerciements Mes remerciements von
Page 15 and 16:
Chapitre 1 Introduction tel-0023925
Page 17 and 18:
Section 1.1. Problématique et obje
Page 19 and 20:
Chapitre 2 Théories et Modèles Ce
Page 21 and 22:
Section 2.2. Vulnérabilités des s
Page 23 and 24:
Section 2.3. Le contrôle d’accè
Page 25 and 26:
Section 2.4. Introduction à la cry
Page 27 and 28:
Section 2.4. Introduction à la cry
Page 29 and 30: Section 2.5. Les infrastuctures à
Page 31 and 32: Section 2.6. Les politiques de séc
Page 33 and 34: Section 2.6. Les politiques de séc
Page 35 and 36: Section 2.7. Programmation Réflexi
Page 37 and 38: Section 2.7. Programmation Réflexi
Page 39 and 40: Section 2.8. Sécurisation du code
Page 41 and 42: Section 2.9. Conclusion ce contexte
Page 43 and 44: Chapitre 3 Étude d’intergiciels
Page 45 and 46: Section 3.2. Open Grid Service Arch
Page 47 and 48: Section 3.2. Open Grid Service Arch
Page 49 and 50: Section 3.3. CORBA // recuperation
Page 51 and 52: Section 3.4. Les Entreprise JavaBea
Page 57 and 58: Section 3.5. La plateforme .NET sé
Page 59 and 60: Section 3.5. La plateforme .NET } L
Page 61 and 62: Section 3.6. Bilan Legion Globus CO
Page 63 and 64: Chapitre 4 Contexte : ProActive tel
Page 65 and 66: Section 4.2. Objets Actifs objet. t
Page 67 and 68: Section 4.3. Sémantique des commun
Page 69 and 70: Section 4.5. Communications de grou
Page 73 and 74: Section 4.6. Déploiement des appli
Page 75 and 76: Section 4.6. Déploiement des appli
Page 77 and 78: Section 4.7. Conclusion Le con
Page 79: Chapitre 5 Une architecture de séc
Page 83 and 84: Section 5.2. Un modèle de sécurit
Page 85 and 86: Section 5.2. Un modèle de sécurit
Page 87 and 88: Section 5.3. Authentification des e
Page 93 and 94: Section 5.4. Politiques de sécurit
Page 95 and 96: Section 5.4. Politiques de sécurit
Page 97 and 98: Section 5.5. Négociation Dynamique
Page 99 and 100: Section 5.5. Négociation Dynamique
Page 101 and 102: Section 5.6. Sécurité induite par
Page 109 and 110: Section 5.7. Propagation dynamique
Page 111 and 112: Section 5.8. Exemple du journal int
Page 113 and 114: Chapitre 6 Implantation dans ProAct
Page 115 and 116: Section 6.1. Création des entités
Page 117 and 118: Section 6.2. Interface de programma
Page 119 and 120: Section 6.3. Migration et sécurit
Page 125 and 126: Section 6.5. Architecture pair-à-p
Page 127 and 128: Section 6.5. Architecture pair-à-p
Page 129 and 130: Section 6.6. Tolérance aux pannes
Page 131 and 132:
Section 6.7. Modèle à composants
Page 133 and 134:
Section 6.7. Modèle à composants
Page 135 and 136:
Section 6.8. Sémantique des commun
Page 137 and 138:
Section 6.9. Conclusion Pour qu’u
Page 139 and 140:
Chapitre 7 Tests et performances 7.
Page 141 and 142:
Section 7.2. Les itérations de Jac
Page 143 and 144:
Section 7.2. Les itérations de Jac
Page 145 and 146:
Chapitre 8 Conclusion Ce chapitre r
Page 147 and 148:
Section 8.2. Perspectives tel-00239
Page 149 and 150:
Section 8.2. Perspectives ouverte ;
Page 151 and 152:
Annexe A Grammaire de la politique
Page 153 and 154:
Bibliographie tel-00239252, version
Page 155 and 156:
BIBLIOGRAPHIE tel-00239252, version
Page 157 and 158:
Page 159 and 160:
show all

these doctorat une architecture de securité

Create successful ePaper yourself

Delete template?

Save as template?