La sécurité des futures architectures convergentes pour des services personnalisés

Le secteur de télécom n’a cessé de se développer dans l’objectif de satisfaire les nouveaux besoins de communications. L’évolution majeure se manifeste par la migration vers les réseaux de nouvelle génération (Next Generation Network : NGN). En plus, le degré de concurrence entre les fournisseurs de service a augmenté d’une manière remarquable. Leurs objectifs principaux sont de maximiser leur RoI (Return on Investment) et de satisfaire leur clientèle. Ainsi, ils s’investissent à offrir des services orientés utilisateurs. Ceci nécessite l’adoption d’une nouvelle vision des services qui permet d’assurer le paradigme « anywhere, anytime, anyhow, every service, everyone ». Il s’agit des services de nouvelle génération (NGS). Cet environnement est dynamique et ouvert, les technologies déployées sont relativement complexes, et les éléments interconnectés sont mobiles et hétérogènes. Ceci influence la sécurité et expose le système à des menaces potentielles.

De nos jours, l’utilisateur final demande un accès sécurisé et continu sans contraintes à ses services. Il désire une session dynamique et personnalisable selon son contexte, ses besoins et ses préférences. Cette session doit être également unique, continue, transparente et sécurisée malgré l’hétérogénéité et la mobilité imposées par l’environnement NGN qui constitue le nouveau paysage des télécommunications. C’est dans ce cadre que se situe le projet UBIS qui propose une architecture de service offrant des services personnalisés d’une façon ubiquitaire et continue et pouvant s’adapter à l’environnement de l’utilisateur (localisation, type du terminal, préférences, etc.). Ces services sont désignés par « Next Generation Services : NGS ». Inspiré par l’évolution du NGN, le projet UBIS cherche à supporter les défis de mobilité, d’hétérogénéité et principalement l’approche « user-centric ». Cette approche consiste à procurer à l’utilisateur une position privilégiée qui se situe au centre du dispositif. Ceci implique qu’aucune contrainte ne peut lui être imposée par le système (System-centric) ou par l’application (Application-centric). Il se déplace bien sûr, mais il peut aussi changer de terminal, définir ses préférences, solliciter des services auprès de plusieurs fournisseurs.

L’approche « user-centric » permet également à l’utilisateur d’avoir une session de service unique et personnalisée. Elle est unique car elle regroupe l’accès à tous les services que l’utilisateur désire solliciter durant l’espace temps qui lui convient. Ce qui veut dire que la gestion et le contrôle de la session en termes de QoS et de sécurité doivent être transparents vis-à-vis de l’utilisateur, et que la continuité de services doit être garantie. Elle est personnalisée, ce qui permet à l’utilisateur de faire sa propre composition de services selon une logique qui correspond au mieux à son contexte ambiant, ses préférences fonctionnelles et ses exigences en termes de QoS et de sécurité. Cette session peut contenir tous types de services (Telco, Web et IT) qui pourraient être multi-domaines et multifournisseurs, d’où les objectifs d’intégration de service et du contexte trans-organisationnel du projet UBIS. L’utilisateur peut ainsi choisir librement ses services et avoir une composition dynamique qui s’adapte à tout changement durant sa session.

Next Generation Network (NGN) est une nouvelle architecture de réseaux de communication dont le principe est d’utiliser les technologies de transport en mode paquet, réservé jusqu’alors pour les données, pour transporter l’ensemble des services de télécommunications. Elle assure la convergence entre les réseaux fixes, mobiles et d’Internet en offrant un accès aux services indépendant du réseau d’accès et du terminal avec la mobilité requise. De plus, les réseaux NGN convergent vers une structure horizontale en séparant entre les services et les technologies de transport sous-jacentes, pour permettre une évolutivité plus importante du réseau.

Pour accompagner cette évolution des réseaux vers le NGN, l’évolution des services s’avère impérative. La motivation globale est de faciliter l’intégration des usages afin que l’utilisateur ait un « service tout compris » et de permettre l’intégration des offres de tous les acteurs du marché. L’utilisateur d’aujourd’hui désire avoir l’accès à tout type de services sans interruption de session et avec un accès sécurisé. Le contexte qui nous intéresse est celui qui associe la convergence de solution des problématiques de mobilité, d’hétérogénéité et des besoins centrés sur l’utilisateur.

Hétérogénéité
Actuellement, l’utilisateur vit dans un monde hétérogène multi-terminal, multi-accès, multiopérateurs, multifournisseurs, multi-services, etc. En effet, l’utilisateur est capable d’avoir accès à différents réseaux, à travers des terminaux multiples (Smartphone, PDA, etc.), avec un choix vaste des services qui sont fournis par plusieurs fournisseurs et déployés sur différentes plates-formes. Tous les éléments de ces environnements hétérogènes doivent collaborer et participer à la session de l’utilisateur pour lui fournir un service global tout en respectant ses préférences et les contraintes de qualité de service (QoS) et de sécurité.

Afin d’avoir une perception homogène, toutes ces ressources sont conçues d’une manière uniforme selon une approche SOA et un modèle de QoS, pour traduire leur comportement, préconisé dans UBIS. Cependant, l’hétérogénéité de différentes ressources impliquées dans la session de l’utilisateur augmente la complexité en termes de sécurité. C’est au niveau de l’analyse des dysfonctionnements de comportement et de l’évaluation des risques qu’il faudra repérer les impacts de ce nouveau contexte.

Mobilité
Dans ce nouveau paysage de nouvelle génération de réseaux et de service, l’utilisateur a la possibilité de se déplacer et d’accéder à ses services au gré de ses besoins et selon ses préférences. En effet, la grande couverture et la diversité des réseaux d’accès a permis à l’utilisateur d’accéder à ses services n’importe où sans tenir compte de sa localisation qui n’est plus considérée comme un obstacle. Ceci impacte la délivrance du service de bout en bout sécurisé. En effet, la mobilité rend la continuité de service et la sécurité de la session de l’utilisateur de plus en plus complexes. Cette mobilité se décline en deux types : spatiale et temporelle. La mobilité spatiale englobe la mobilité de terminal, la mobilité de l’utilisateur et la mobilité de service. La mobilité temporelle est représentée par la mobilité de session. – Mobilité de terminal : cette mobilité représente le fait que le terminal change de localisation, c’est-à-dire, le terminal se déplace soit à travers différents points d’accès d’un réseau, soit à travers différents réseaux d’accès, tout en maintenant l’accès à un même ensemble de services. Ceci veut dire que l’utilisateur doit continuer à accéder à toute la liste des services auxquels il a souscrit. Pour permettre un déplacement de terminal sans coupure, il existe actuellement deux solutions : le Roaming, qui permet le passage entre deux domaines administratifs ou d’un opérateur à un autre et le handover, qui est un processus qui permet à un terminal mobile d’effectuer le passage entre deux points d’attachement de façon transparente. Le changement de point d’attachement entraîne parfois une déconnexion momentanée du terminal mobile et des perturbations des communications en cours. Néanmoins l’objectif est d’assurer des communications sans coupure.
– Mobilité de l’utilisateur : Actuellement, un utilisateur peut avoir plusieurs terminaux à partir desquels il peut accéder et utiliser ses services. On parle de mobilité de l’utilisateur lorsque ce dernier change de terminal durant la même session qui doit maintenir son niveau de sécurité. Pour résoudre les problèmes que pose la mobilité de l’utilisateur, nous devons gérer cette jointure à travers la connaissance de son parc de terminaux et de sa localisation pour qu’il puisse, dans toutes les occasions (lieu et temps) et indépendamment des terminaux utilisés, être accessible et ceci en tenant en compte de ses préférences et des contraintes de QoS et de sécurité.
– Mobilité de service : Les deux types de mobilité que l’on vient de citer ci-dessus représentent des mobilités d’ordre spatial qui sont relatifs à des aspects de connectivité. Dans un monde « user-centric », il faut également considérer la mobilité de service qui permettra l’accès aux services ubiquitaires. Avec l’évolution de la fourniture de services, un même service demandé par l’utilisateur peut être déployé dans différentes plates-formes et fourni par plusieurs fournisseurs de services. La mobilité de service a comme objectif de respecter les préférences de l’utilisateur et d’assurer la QoS et la sécurité de bout en bout.
– Mobilité de session : La combinaison des quatre types de mobilité cités ci-dessus induit une mobilité d’ordre temporel qui est la mobilité de session. L’objectif principal est de fournir à l’utilisateur une session « sans coupure » et « sans couture ». Il faudra utiliser des mécanismes permettant de garder l’unicité et la continuité de la session qui doit être sécurisée et assurer la QoS de bout en bout.

Table des matières

1 INTRODUCTION GENERALE
1.1. CONTEXTE D’ETUDE
1.1.1 UBIS: « User-centric », uBiquité et Intégration de Services
1.1.2 NGN : Mobilité et Hétérogénéité
1.1.3 La sécurisation de la session
1.2. PERIMETRE DE LA THESE
1.3. PROBLEMATIQUES
1.4. ORGANISATION
I ASPECT ARCHITECTURAL: « SECURITY AS A SERVICE »
2 INTRODUCTION
3 ANALYSE DE LA SECURITE DANS LES ARCHITECTURES DE SERVICE EXISTANTES
3.1. INTRODUCTION
3.2. LA SECURITE ET LES WEB SERVICES
3.2.1 Description de l’architecture des Web services
3.2.2 La sécurité : Concepts et Standards
3.2.3 Synthèse
3.3. LA SECURITE ET SOA
3.3.1 Concepts de base : Définition, Avantages, Critères d’un service
3.3.2 Le défi de SOA : La Sécurité
3.3.3 Synthèse
3.4. LA SECURITE ET LE CLOUD
3.4.1 Description de l’architecture du Cloud
3.4.2 Les solutions de sécurité adoptées dans le Cloud
3.4.3 Synthèse
3.5. CONCLUSION
4 PROPOSITION
4.1. SECURITY AS A SERVICE
4.1.1 Spécification d’un composant de sécurité UBIS
4.1.2 L’architecture de sécurité
4.2. SERVICES DE BASE DE SECURITE
4.2.1 Le service d’identification
4.2.2 Le service d’authentification
4.2.3 Le service d’autorisation
4.3. SERVICES DE SUPPORT DE SECURITE
4.3.1 Du côté du terminal : VPDN
4.3.2 Du côté des services : VPSN
4.4. SERVICES DE GESTION DE SECURITE : LE SERVICE D’AUDIT
4.4.1 Audit : Définition
4.4.2 De l’évaluation du comportement de service (QoS)
4.4.3 …vers un « Audit de sécurité »
4.5. CONCLUSION
II ASPECT PROTOCOLAIRE: « TOKEN-BASED SIP+ »
5 INTRODUCTION
6 LES BESOINS
7 ANALYSE DE L’EXISTANT
7.1. INTRODUCTION
7.2. SINGLE SIGN ON
7.2.1 SSO avec agent
7.2.2 SSO reverse proxy
7.3. LA FEDERATION
7.3.1 Liberty Alliance
7.3.2 OpenID
7.4. LE PROTOCOLE SIP
7.4.1 SIP : les fonctionnalités
7.4.2 SIP : Les attaques
7.4.3 SIP : les mécanismes de sécurité
7.5. LE PROTOCOLE HTTP
7.6. LE PROTOCOLE SOAP
7.6.1 SOAP : Description
7.6.2 SOAP : les jetons de sécurité
7.6.3 SOAP : les mécanismes de sécurité
7.7. CONCLUSION
8 PROPOSITION
8.1. SESSION UBIS
8.1.1 Qu’est ce qu’une session ?
8.1.2 Session UBIS : Définition, Le défi de la sécurité
8.2. LE PROTOCOLE PROPOSE SIP+
8.2.1 SIP+ : Principes et Formats
8.2.2 « Token-based SIP+ »
8.2.3 Les différentes phases de la session
8.2.4 Les attaques de SIP+
8.2.5 SIP+ sécurisé
8.3. CONCLUSION
CONCLUSION GENERALE

Cours gratuitTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *