DÃ©partement RÃ©seau, SÃ©curitÃ© et MultimÃ©dia Rapport d'ActivitÃ©s 2008

More documents

Recommendations

Info

cloisonnement par domaine tels qu’implantés actuellement dans certaines versions sécuriséesde Linux, en particulier Security Enhanced Linux.Mise en œuvre de la sécurité.Les travaux réalisés dans le cadre d’une thèse financée par le programme initiative «Réseaux autonomes et spontanés » supporté par l’Institut TELECOM concernentl’interopérabilité entre organisation ayant des politiques de sécurité différentes. Lesréalisations ont porté sur la gestion sécurisée de l’interopérabilité basée sur la définition decontrats. Cette notion de contrat combinée à un mapping ontologique permet de dériver lapolitique d’interopérabilité entre organisations et a été intégrée dans O2O (Organization toOrganization), une extension du modèle OrBAC. Par ailleurs, nous travaillons sur lasécurisation d’applications en utilisant les techniques de tissages d’aspects issues del’approche AOP (Aspect Oriented Programming). Cette approche est effective, chacun desaspects tissés dans une application correspondant à un appel à l’API de MotOrBAC demanière à réaliser les contrôles de sécurité nécessaires.Distribution sécurisée de contenus.Dans le cadre du projet P2Pim@ges supporté par le pôle de compétitivité « Images etRéseaux », nous étudions la mise en œuvre des besoins de sécurité dans les systèmes pairs àpairs (P2P). Le contrôle de la distribution des contenus s’appuie sur des techniques de DRM(Digital Right Management) via la mise en œuvre des modèles OPA (Onion PolicyAdministration) et FORM (Federated Right Expression Model). Cette approche est intégréedans la plate-forme Protekto qui combine les fonctionnalités de gestion des identités reposantsur des mécanismes d’authentification unique (Single Sign On) et de gestion des autorisationsd’accès aux contenus et de distribution de ces contenus.Sécurité des réseaux.Dans le cadre des travaux sur le développement de services à travers la passerelleParlay/Parlay X., le service de localisation constitue un des nouveaux services à valeurajoutée phare pour les opérateurs. Le traitement de la vie privée pour ce service est au centredes exigences. Un meilleur traitement de pseudonymes a été proposé et intégré dans unearchitecture de gestion de la vie privée pour les services composés. Pour ce qui est de lasécurité dans les réseaux domotiques, les travaux reposant sur l’utilisation d’IPv6 pour leconfinement de services ont abouti à la rédaction d’un brevet qui a été soumis à l’INPI. Cestravaux sont menés en collaboration avec le projet structurant Pratic dans le cadre d’une thèsefinancée par la région Bretagne. Par ailleurs, nous avons proposé de nouveaux mécanismesd’évaluation de la réputation pour la gestion de groupes dans les réseaux ad-hoc et montréleur efficacité par rapport aux mécanismes existants.Détection d’intrusion et techniques de réaction.Ces travaux menés dans le cadre du projet européen CELTIC/RED s’intéressent à laconception d’une plate-forme de supervision permettant de construire un diagnosticsuffisamment précis de l’intrusion détectée pour pouvoir ensuite activer une réaction adaptéeà cette intrusion. La plate-forme de supervision est basée sur trois niveaux de réaction : (1) leniveau inférieur reposant sur un diagnostic de bas niveau et l’activation de réaction sousforme d’actions « réflexes », (2) le niveau intermédiaire basé sur un diagnostic s’appuyant sur- 12 -
les techniques de fusion et de corrélation développées dans CRIM (Corrélation etreconnaissance d’intentions malveillantes) et l’activation de réactions ayant pour but debloquer l’intrusion et (3) le niveau supérieur correspondant au redéploiement de la politiquede sécurité : activation automatique des règles de sécurité OrBAC permettant de faire face àl’intrusion et reconfiguration des composants de sécurité pour prendre en compte ces règles desécurité. Dans le cadre d’une bourse CIFRE menée en collaboration avec Alcatel-Lucent,nous avons défini un modèle pour mesurer l’impact d’une intrusion ainsi que lesconséquences d’une réaction. Dans le cadre d’une autre bourse CIFRE en collaboration avecOrange Labs, les travaux actuels portent sur la gestion des dépendances entre services. Cesdifférents travaux ont un objectif commun, à savoir la sélection de la réaction la plus adaptéepour faire face à une intrusion.Conception et test de politiques de sécurité.Ces travaux menés dans le cadre du financement de la thèse région SETEQUI visentprincipalement à développer des techniques automatiques de test de l’implantation desmécanismes de sécurité. Les travaux ont permis de définir la différence entre test fonctionnelet test de sécurité et d’étudier plusieurs critères de génération de test à partir d’un modèle decontrôle d’accès. Ces critères ont été comparés sur des cas d’étude expérimentaux, l’efficacitédes tests étant mesurée grâce à une adaptation de l’approche par mutation (injection de fautesdans un programme). Pour être indépendant du langage de contrôle d’accès utilisé (BAC,DAC, RBAC, OrBac), on utilise une technique d’ingénierie dirigée par les modèles pourexprimer la sémantique des erreurs de sécurité à plus haut niveau (à l’aide d’un méta-modèleétendu avec une sémantique opérationnelle).Comme la démarche se veut préventive (conception pour la sécurité), on propose dessolutions pour insérer automatiquement des mécanismes de sécurité dans le code (techniquesd’Aspect-Oriented Programming), pour transformer semi-automatiquement des testsfonctionnels existants en tests de sécurité (modification de la fonction d’oracle) ou pourlocaliser les mécanismes existants codés en dur dans l’application lors d’une évolution de lapolitique de sécurité.La recherche au sein des RéseauxDe nombreux travaux de recherche du département sont menés en collaboration avecd’autres départements de TELECOM Bretagne (ELEC, INFO, ITI, LUSSI, MO et SC). Cescollaborations sont favorables à l’innovation grâce à l’expertise complémentaire despartenaires et permettent de mettre en place des projets couvrant plusieurs disciplines. Cela setraduit, par exemple, depuis 2007 par la participation, avec le département ELEC, au projetANR AFANA sur les réseaux sur puce (network on chip) dans le cadre du programmeArchitecture du futur sur les réseaux, à la participation aux projets Mobim@ges (avec ledépartement LUSSI), P2PImages (avec les depts INFO et LUSSI) du pôle de compétitivitéImages & Réseaux à vocation mondiale, et enfin, à la participation au projet IP-Extreme dupôle Mer (avec les dépts MO et ELEC).Le département est engagé dans le réseau d'excellence européen : Euro-FG (Designand Engineering of the Next Generation Internet).Le département RSM participe à divers groupements d’intérêt scientifique etnotamment :- 13 -
Page 2 and 3: Présentation générale...........
Page 4 and 5: Activités d’enseignementLe dépa
Page 6 and 7: Activités de rechercheLe départem
Page 8 and 9: Notre implication dans les organism
Page 10 and 11: le cadre du projet NextTV4all où l
Page 14 and 15: - le GIS ITS (Intelligent Transport
Page 16 and 17: Twente aux Pays Bas, Université de
Page 18 and 19: Liste des doctorants présents en 2
Page 20 and 21: Annexe 2 : liste des publicationsAr
Page 22 and 23: COMA-BREBEL Céline, CUPPENS Nora,
Page 24 and 25: PHAN LE Cam Tu, CUPPENS Frédéric,
Page 26 and 27: Annexe 3 : description détaillée
Page 28 and 29: Access Control ....................
Page 30 and 31: schemes specifically suitable for l
Page 32 and 33: An easy-to-use solution for IPv6 co
Page 34 and 35: Loss Synchronization and Router Buf
Page 36 and 37: Sensor NetworksRandom Walk Techniqu
Page 38 and 39: Suppressing Neighbor Discovery in W
Page 40 and 41: Media and NetworksIP-based transmis
Page 42 and 43: One of the most difficult aspects o
Page 44 and 45: Another direction is the associatio
Page 46 and 47: classes. In our simple study case,
Page 48 and 49: Management of Multiple Access Netwo
Page 50 and 51: Adaptation of Multimedia Flows in a
Page 52 and 53: Optimized mobility management in he
Page 54 and 55: ecause it offers a generic framewor
Page 56 and 57: Future workOur next step is to fina
Page 58 and 59: Security Analysis and ValidationAna
Page 60 and 61: RealizationFigure 1 shows a classif
Page 62 and 63:
Policy AdministrationResearch Staff
Page 64 and 65:
execution in a distributed manner.
Page 66 and 67:
Intrusion DetectionDetection and co
Page 68 and 69:
eported alerts have to be managed b
Page 70 and 71:
inside the corresponding detection
Page 72 and 73:
function has a limitation that it d
Page 74 and 75:
1) Normal Node behavior simulation:
Page 76 and 77:
negotiation. These strategies speci
Page 78 and 79:
A Fast Adaptative Secure Technology
Page 80 and 81:
estricted to the organization to wh
Page 82 and 83:
ights and external identities, and
Page 84 and 85:
Peer 2 peerP2PIm@gesResearch Staff
Page 86 and 87:
Managing a Peer-to-Peer Storage Sys
Page 88 and 89:
Applications of networks to transpo
Page 90 and 91:
Adaptive Application Support in Mob
Page 92 and 93:
Wireless Mesh NetworksResearch Staf
Page 94 and 95:
TestbedsA showroom for practical IP
Page 96 and 97:
egistrar and proxies, video streami
show all

DÃ©partement RÃ©seau, SÃ©curitÃ© et MultimÃ©dia Rapport d'ActivitÃ©s 2008

Create successful ePaper yourself

Delete template?

Save as template?