these doctorat une architecture de securité

More documents

Recommendations

Info

Chapitre 5. Une architecture de sécurité de haut niveau En nous basant sur l’étude bibliographique présentée dans ce manuscrit et des contraintes suscitées, la solution d’authentification qui s’impose est l’utilisation d’une architecture à clé publique de type SPKI. Le choix de la solution SPKI s’explique par la nature même des entités à identifier. En effet, l’infrastructure SPKI permet l’attribution de certificats à des objets logiques comme les runtimes, les nœuds ou encore les objets actifs ce qui n’est pas le cas de l’infrastructure PKI dont les certificats identifient une entité physique ou morale en donnant son nom, son émail, sa localisation, . . . . Ainsi , l’identification des diverses entités sécurisées se fera en attribuant une identité unique à chaque entité au moyen de certificats. Une autre fonctionnalité intéressante réside dans la possibilité d’établir une chaîne de certificats. Le chaînage de certificats permet d’obtenir l’identité de toutes les entités qui ont successivement généré des certificats jusqu’au certificat final qui identifie l’entité courante. En d’autres termes, à partir du certificat d’une entité, nous sommes capables de retrouver le certificat de l’utilisateur qui l’a lancée. Il n’existe aucune limitation à la taille de cette chaîne de certificats. Cependant il convient de modérer la taille de cette chaîne : étant donné que la validation d’un certificat requiert la validation de tous les certificats présents dans la chaîne, plus cette chaîne est courte, plus la validation du certificat sera rapide. tel-00239252, version 1 - 5 Feb 2008 5.3.1 Un schéma d’authentification hiérarchique Le principal problème auquel nous devons faire face réside dans la dynamicité des applications distribuées. En effet, une application évolue tout au long de son exécution. Son nombre d’objets ou le nombre de nœuds sur lesquels elle est déployée, par exemple, peut augmenter et diminuer dynamiquement suivant plusieurs paramètres externes ou internes à l’application. Du point de vue de la sécurité, on doit pouvoir générer des certificats pour ces nouvelles entités sécurisées sans pour autant devoir interagir avec l’utilisateur. Selon le principe même des certificats, chaque certificat engendré doit être unique dans un contexte et représenter une entité sécurisée donnée. Il est certes possible d’écrire le code de création du certificat et d’effectuer l’association du certificat et de l’entité au sein de l’application. Cependant nous recherchons à automatiser ce processus et à le rendre transparent aux développeurs et aux utilisateurs. Afin de mettre en évidence l’inadéquation du modèle standard des certificats et le besoin d’adaptation de ce mécanisme dans le cadre de notre modèle de sécurité, nous utiliserons le scénario suivant : 1. L’utilisateur, muni de son certificat fourni par l’autorité de certification, crée l’objet appelé Entité 1. En tant qu’entité sécurisée, cet objet reçoit un certificat. 2. Entité 1 va ensuite créer les entités Entité 2 et Entité 3. 3. Entité 3 crée un nouvel objet actif Entité 4, 4. finalement, Entité 4, à son tour, crée un objet actif Entité 5. En premier lieu, nous présentons la façon dont s’organise le chaînage de certificats dans le cas standard (figure 5.5). Un certificat comporte une partie référençant l’entité qui l’a généré et une partie qui l’identifie. Dans notre exemple, chaque certificat, hormis celui de l’utilisateur, représente une entité sécurisée. Le scénario dans le cas standard est le suivant : 1. Le certificat de l’Entité 1 contient l’identité de l’utilisateur X dans la partie identifiant le créateur du certificat. 2. Le certificat de l’Entité 2 et de l’Entité 3 contiennent l’Entité 1 en tant que créateur du certificat. 3. Le certificat de l’Entité 4 contient l’Entité 3 en tant que créateur du certificat. 4. Le certificat de l’Entité 5 contient l’Entité 4 en tant que créateur du certificat. 74
Section 5.3. Authentification des entités FIG. 5.5 – Chaînage de certificats : approche standard Si on s’intéresse aux chaînes de certificat générées, on se retrouve avec des chaînes de certification de longueurs différentes. Dans le cadre d’une opération effectuée par l’entité 5, il va nous falloir valider quatre certificats afin de retrouver l’utilisateur qui a lancé l’application. tel-00239252, version 1 - 5 Feb 2008 Un autre problème se pose avec cette approche, la séparation des contextes. Quand un utilisateur lance plusieurs applications qu’il s’agisse de plusieurs instances de la même application ou d’applications différentes, il ne veut pas nécessairement que les entités des diverses applications puissent communiquer entre elles. Or, si on s’intéresse à la figure 5.5, on s’aperçoit qu’il est possible que les entités 1,3,4,5 appartiennent à la même application étant donné le chaînage de certificat existant. Il n’est cependant pas possible de déduire quelque chose pour les entités 2 et 3. La seule information que nous apporte ce schéma est qu’elles appartiennent toutes les deux à l’utilisateur X. Il ne nous est pas possible d’affirmer que ces deux entités appartiennent à la même application ou pas. Pour toutes les raisons exposées, nous avons introduit un nouveau schéma d’identification des entités afin d’ajouter un contexte d’application et ainsi pouvoir identifier à quelle application appartient une entité donnée. Notre approche reprend le principe du chaînage de certificats mais elle introduit une variation dans son utilisation. Nous allons ajouter au sein de la chaîne des certificats un certificat intermédiaire qui identifiera l’application. Ce certificat porte le nom de certificat d’application. D’un point de vue technique, chaque entité doit à la fois posséder son propre certificat mais aussi celui de l’application dont elle dépend. Lors de la création d’une nouvelle entité, cette dernière recevra en plus de son certificat, celui de l’application dont elle dépend. Elle sera ainsi capable de créer, à son tour, des certificats pour les nouvelles entités qu’elle instanciera. La figure 5.6 présente cette nouvelle chaîne de certificats. Cette approche nous permet de garantir la séparation des contextes d’exécution d’une même application. Par définition, on considérera que deux entités appartiennent à la même application si et seulement si elles dérivent du même certificat d’application. La figure 5.7 reprend le scénario présenté précédemment et présente la nouvelle chaîne de certificats obtenue en utilisant notre modèle. À partir du certificat d’une entité, il est possible d’obtenir le certificat de l’application à laquelle elle appartient et de comparer des certificats entre eux afin de savoir s’ils appartiennent à la même application. 5.3.2 Avantages et inconvénients de l’approche Nous avons fait le choix de doter chaque entité sécurisé d’un certificat propre. Le principal inconvénient de notre approche réside dans le temps nécessaire à la génération de la paire de clés asymétriques nécessaire lors de la création d’un certificat. Ainsi une application qui passe son temps à créer des objets actifs se trouvera pénalisée dans son fonctionnement. Cependant, cette remarque s’applique également, dans une moindre mesure, au concept d’objet actif sans sécurité. 75
Page 1 and 2:
THÈSE DE DOCTORAT École doctorale
Page 3 and 4:
tel-00239252, version 1 - 5 Feb 200
Page 5 and 6:
Table des matières Remerciements x
Page 7 and 8:
TABLE DES MATIÈRES 6.3.3 Optimisat
Page 9 and 10:
Table des figures tel-00239252, ver
Page 11 and 12:
Liste des tableaux 2.1 Niveau de co
Page 13 and 14:
Remerciements Mes remerciements von
Page 15 and 16:
Chapitre 1 Introduction tel-0023925
Page 17 and 18:
Section 1.1. Problématique et obje
Page 19 and 20:
Chapitre 2 Théories et Modèles Ce
Page 21 and 22:
Section 2.2. Vulnérabilités des s
Page 23 and 24:
Section 2.3. Le contrôle d’accè
Page 25 and 26:
Section 2.4. Introduction à la cry
Page 27 and 28:
Section 2.4. Introduction à la cry
Page 29 and 30:
Section 2.5. Les infrastuctures à
Page 31 and 32:
Section 2.6. Les politiques de séc
Page 33 and 34:
Section 2.6. Les politiques de séc
Page 35 and 36:
Section 2.7. Programmation Réflexi
Page 37 and 38: Section 2.7. Programmation Réflexi
Page 39 and 40: Section 2.8. Sécurisation du code
Page 41 and 42: Section 2.9. Conclusion ce contexte
Page 43 and 44: Chapitre 3 Étude d’intergiciels
Page 45 and 46: Section 3.2. Open Grid Service Arch
Page 47 and 48: Section 3.2. Open Grid Service Arch
Page 49 and 50: Section 3.3. CORBA // recuperation
Page 51 and 52: Section 3.4. Les Entreprise JavaBea
Page 57 and 58: Section 3.5. La plateforme .NET sé
Page 59 and 60: Section 3.5. La plateforme .NET } L
Page 61 and 62: Section 3.6. Bilan Legion Globus CO
Page 63 and 64: Chapitre 4 Contexte : ProActive tel
Page 65 and 66: Section 4.2. Objets Actifs objet. t
Page 67 and 68: Section 4.3. Sémantique des commun
Page 69 and 70: Section 4.5. Communications de grou
Page 73 and 74: Section 4.6. Déploiement des appli
Page 75 and 76: Section 4.6. Déploiement des appli
Page 77 and 78: Section 4.7. Conclusion Le con
Page 79 and 80: Chapitre 5 Une architecture de séc
Page 81 and 82: Section 5.2. Un modèle de sécurit
Page 87: Section 5.3. Authentification des e
Page 91 and 92: Section 5.3. Authentification des e
Page 93 and 94: Section 5.4. Politiques de sécurit
Page 95 and 96: Section 5.4. Politiques de sécurit
Page 97 and 98: Section 5.5. Négociation Dynamique
Page 99 and 100: Section 5.5. Négociation Dynamique
Page 101 and 102: Section 5.6. Sécurité induite par
Page 109 and 110: Section 5.7. Propagation dynamique
Page 111 and 112: Section 5.8. Exemple du journal int
Page 113 and 114: Chapitre 6 Implantation dans ProAct
Page 115 and 116: Section 6.1. Création des entités
Page 117 and 118: Section 6.2. Interface de programma
Page 119 and 120: Section 6.3. Migration et sécurit
Page 125 and 126: Section 6.5. Architecture pair-à-p
Page 127 and 128: Section 6.5. Architecture pair-à-p
Page 129 and 130: Section 6.6. Tolérance aux pannes
Page 131 and 132: Section 6.7. Modèle à composants
Page 133 and 134: Section 6.7. Modèle à composants
Page 135 and 136: Section 6.8. Sémantique des commun
Page 137 and 138: Section 6.9. Conclusion Pour qu’u
Page 139 and 140:
Chapitre 7 Tests et performances 7.
Page 141 and 142:
Section 7.2. Les itérations de Jac
Page 143 and 144:
Section 7.2. Les itérations de Jac
Page 145 and 146:
Chapitre 8 Conclusion Ce chapitre r
Page 147 and 148:
Section 8.2. Perspectives tel-00239
Page 149 and 150:
Section 8.2. Perspectives ouverte ;
Page 151 and 152:
Annexe A Grammaire de la politique
Page 153 and 154:
Bibliographie tel-00239252, version
Page 155 and 156:
BIBLIOGRAPHIE tel-00239252, version
Page 157 and 158:
Page 159 and 160:
show all

these doctorat une architecture de securité

Create successful ePaper yourself

Delete template?

Save as template?