Description
Date depot: 1 janvier 1900
Titre: Conception de systèmes partitionnés sûrs et sécurisés à partir d'une modélisation orientée composants
Directeur de thèse:
Laurent PAUTET (LTCI (EDMH))
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
{{Contexte}}
Au niveau industriel, l’industrie avionique est passée depuis plusieurs années, avec l’avènement du programme A380 d’une architecture avionique dite fédérée c’est à dire une architecture où chaque calculateur est défini pour héberger une fonction dédiée, à une architecture avionique intégrée c’est à dire une architecture où un calculateur est capable d’héberger plusieurs fonctions. De là est né le concept de l’IMA (Integrated Modular Avionique).
Ce concept d’IMA nous a permis de rationaliser l’électronique de bord en ramenant de plusieurs dizai-nes (environ 37) à quelques unités (7), les différents types de calculateurs embarqués nécessaires pour exécuter l’ensemble des applications nécessaires à la gestion du vol.
L’IMA s’appuie sur le standard ARINC 653 [1] pour assurer l’isolation spatiale et temporelle des fonc-tions co-localisées sur un même calculateur. Chaque fonction se voit attribuer une partition qui dispo-se de son propre espace mémoire et temporel. Cette approche permet de qualifier de manière incré-mentale les fonctions tout en les faisant concevoir par des fournisseurs différents. Enfin chaque parti-tion peut se voir attribuer un niveau de fiabilité différent en fonction de son niveau de criticité.
En parallèle, de cette évolution dans les architectures et composants matériels, les approches logiciel-les à composants - initialement développées pour maîtriser la complexité et la taille croissante des systèmes d'information - sont de plus en plus utilisées pour le développement d’applications temps réel réparties embarquées (TR2E).
En effet, les composants fournissent un niveau d'abstraction supplémentaire permettant de concevoir efficacement l'architecture logicielle de l'application à partir d'un ensemble de briques dont les interfa-ces sont clairement identifiées et typées. Ce niveau d'abstraction supplémentaire permet de découpler l’architecture du code fonctionnel de son déploiement réel. Ainsi ces deux aspects peuvent être spéci-fiés indépendamment d’un de l’autre puis l'architecture logicielle du système peut être projetée sur son architecture matérielle. Enfin, une grande partie du code métier peut être intégrée de manière indé-pendante dans les enveloppes des composants.
Par ailleurs, il apparaît qu’une approche fondée sur les composants logiciels permet d’assembler un système à partir de composants séparés, de restreindre l’interaction entre ces composants et de contraindre la propagation des fautes. Aussi de nombreuses équipes de recherche industrielles et académiques s’intéressent-elles à la définition d’approches orientées composants déployés sur des systèmes partitionnés (comme dans le cas de l’IMA).
Si la sûreté de fonctionnement (que traite en partie une architecture ARINC 653) constitue une pro-blématique majeure de la conception de systèmes avioniques, la problématique de sécurité prend une importance grandissante. En effet, l’arrivée de nouvelles fonctions dans les systèmes avioniques a fait apparaître la nécessité de prendre en compte des problématiques de sécurité du système d’information (au sens de la confidentialité).
On peut illustrer ces enjeux à travers la prise en compte des communications bord-sol généralisées. Celles-ci correspondent à des interactions très différentes : communication entre usagers, équipage, avion, sol, compagnies ou contrôle aérien. Ce type d’interaction doit être pris en compte de manière fiable et sécurisée (confidentialité) en fonction de la criticité des données communiquées. Il s’agit de la définition de l’avion sécurisé.
Concrètement, il faut pouvoir contrôler les flux d’information entrants et sortants des différents compo-sants de l’architecture. Dans ce cadre, certaines fonctions du système avionique peuvent relever de l’espace public auquel ont accès les passagers, d’autres peuvent correspondre à un espace réservé à l’équipage et d’autres enfin peuvent être partagées.
Il se trouve que des approches traitant de ces aspects de sécurité existent, MILS (Multiple Indepen-dent Levels of Security) [9] en est un exemple. Une architecture partitionnée de type MILS permet d’appliquer aussi bien des politiques de sécurité comme Biba (pour l’intégrité) ou Bell-Lapadula (pour la confidentialité). Bien que les problématiques de sureté et sécurité semblent relativement indépen-dantes, les méthodes utilisées pour assurer ces deux propriétés se ressemblent beaucoup [10]. On peut noter à ce titre certaines similitudes entre les approches ARINC 653 et MILS puisque tous deux s’appuient sur des principes de partitionnement statique offrant une isolation spatiale et temporelle.
Thales et Télécom ParisTech estiment que ces différentes problématiques vont être amenées à se rapprocher dans les années à venir et que les approches à composants matériels et logiciels pour les systèmes partitionnés vont devoir intégrer de manière cohérente et efficace à la fois les mécanismes implémentant la sûreté de fonctionnement et
Doctorant.e: Castellanos Cuauhtemoc