Description
Date depot: 1 janvier 1900
Titre: Sécurité pour les réseaux du futur - Gestion sécurisée des identités
Directeur de thèse:
Guy PUJOLLE (LIP6)
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
Contexte et enjeux:
L’Internet d’aujourd’hui est en train de changer radicalement nos habitudes, avec l'arrivée massive des technologies nomades, l’Internet des objets, l'utilisation grandissante des grilles de calcul, des réseaux sans fil et l’émergence de nouvelles approches dans les dernières années. En particulier la virtualisation des infrastructures informatiques qui a permis de définir un nouveau modèle appelé Cloud Computing, introduisant une rupture assez franche avec les modèles traditionnels, peut être perçue comme une étape préparatoire vers l’internet du futur.
La mise en place de ces approches permet de mutualiser et d’organiser le système informatique autrement, de regrouper des infrastructures, visant à dématérialiser les équipements et à déporter les applications sur des conteneurs distants.
L'architecture globale d'Internet doit évoluer. Elle s'appuiera fortement sur ces nouvelles approches, notamment, le Cloud Computing et la virtualisation. Elle se caractérisera par son omniprésence et sa capacité à connecter des milliards de composants divers et des sous réseaux spécifiques (GPRS-UMTS, Wi-Fi, Bluetooth, réseaux fixes...). Ces réseaux 'ambiants ' auront la capacité de se configurer automatiquement, pour découvrir des ressources.
Cependant, aucun système n’est infaillible, surtout si les ressources sont distribuées et mutualisées. Elles posent de nombreux problèmes et entraînent de manière directe des problèmes de sécurité, qui restent l’une des barrières majeures pour l’adoption de ces technologies [CERT-IST].
Comme toute nouvelle technologie, le Cloud Computing et la virtualisation créent de nouveaux risques, qui viennent se greffer aux menaces traditionnelles : gestion du cloisonnement des privilèges, la robustesse des logiciels de virtualisation, gestion des accès, isolation des machines virtuelles, protection des données personnelles, réversibilité, etc.
L’architecture d’Internet existante est insuffisante pour répondre aux défis soulevés par ces nouvelles approches et aux exigences de modularité, de mobilité, de flexibilité, de sécurité, de fiabilité et de robustesse.
Les solutions existantes étant celles de l’Internet, ne correspondent plus aux besoins de sécurité liées à ces approches [CONF-2009, CONF-2009]. Ainsi, un projet de recherche a été validé par la commission européenne [SecFuNet] pour apporter des éléments de réponse, faire un état de l’art de ces mécanismes de sécurité et une étude d’ensemble sur leur orchestration et l’intégration des techniques de protection basées sur des composants au sein d’une architecture de sécurité globale.
Objectif de la thèse :
Ces travaux de recherche se situent dans le cadre du projet [SecFuNet] : pour la sécurité des réseaux du futur'. Le périmètre de ce projet a été défini selon plusieurs axes stratégiques majeurs, qui constituent des dimensions complémentaires d’évolution des infrastructures des réseaux du futur. Notamment, les deux axes suivants :
- La gestion sécurisée des identités et des données (préservation des propriétés de confidentialité, de disponibilité et d’intégrité), et de leur traçabilité (localisation des données).
- La gestion de la couche de virtualisation pour la modélisation et l’automatisation des infrastructures réseaux.
L’objectif de cette thèse est la définition, la conception et la réalisation d’une architecture de référence pour la mise en œuvre de la sécurité dans un environnement de type Cloud Computing.
Cette architecture a pour ambition de s’adapter à un environnement de Cloud Computing (Privé, Public, Hybride...). On s’appuiera pour cette réalisation d’une part sur une approche par composant pour concevoir de manière souple des systèmes complexes à partir de briques élémentaires hétérogènes. D’autre part sur la virtualisation qui sera un élément important dans la conception et le fonctionnement de notre approche, notamment, pour le cloisonnement des réseaux et des services.
L’exploration des technologies telles que : microcontrôleurs [TPM, Java-CardTM, EAP-smartcard, Task-Force], hyperviseurs, FireWall, IDS/IPS... contribuera dans l’agencement et la composition dynamique des différentes briques de sécurité pour assurer l'identification, l'authentification, la confidentialité, la protection de la vie privée, et la gestion du stockage sécurisé des données.
Les étapes et résultats attendus de la thèse :
1ière étape 6 mois :
- Analyse et identifications des besoins de sécurité du Cloud Computing relevant des domaines de recherches très divers : protection de la vie privée, sécurité des systèmes autonomes et spontanés, virtualisation, cryptographie et identification des risques.
- Analyse de l’état de l’art des infrastructures d’authentification et d'autorisation (AAI), comme OpenSSO, CAS, OpenID, Higgins et Shibboleth..., permettant le développement des systèmes de gestion des identités fédérées.
2ième étape 12 mois :
Définition et spécification du
Doctorant.e: Aissaoui Mehrez Hassane