Architecture de sécurité décentralisée basée sur l'identification cryptographique
Institution:
École normale supérieure (Lyon ; 1987-2009)Disciplines:
Directors:
Abstract EN:
This thesis studies the problem of securing large scale and dynamic communication, execution and storage infrastructures. The majority of existing security solutions relies on the existence of a global public key infrastructure. The deployment of such a global infrastructure is problematic at technical, administrative and political levels. In order to relieve solutions from this constraint, we propose a decentralized security approach based on cryptographic identifiers (CBID, CGA, HBA and HIP) and delegation (SPKI certificates). We show that this security approach fits better to the intrinsical decentralized nature of the large scale, shared and open systems like Internet or grid computing. To validate the approach, we instantiate it into several security solutions for existing protocols using the IP security (IPsec) and host identity (HIP) protocols. In particular, security solutions for the IPv6 (Internet Protocol version 6) network layer and its ND (Neighbor Discovery) component, as well as for virtualization of the execution, communication and storage infrastructure of grid computing (Supernet, HIPernet and Internet Backplane Protocol) are presented and analysed.
Abstract FR:
L'objectif de ce travail de thèse est d'étudier le problème de la sécurisation des infrastructures distribuées de communication, d'exécution ou de stockage, dynamiques et à très large échelle. La majorité des solutions de sécurité reposent sur l'existence d'infrastructures de clefs publiques globales, dont le déploiement soulève de nombreux problèmes, tant techniques qu'administratifs et politiques. Afin d'échapper à cette contrainte, nous proposons une approche de sécurité décentralisée basée sur l'identification cryptographique (CBID, CGA, HBA et HIP) et la délégation (certificats SPKI). Nous montrons qu'une telle approche de sécurité est plus adaptée à la nature intrinsèquement décentralisée de systèmes de grandes tailles, ouverts et partagés, tels que l'Internet ou les grilles de calculs. Pour valider cette approche, nous l'avons instanciée en nous appuyant sur les protocoles de sécurité pour IP (IPsec), et d'identification des hôtes (HIP - Host Identity Protocol). Nous montrons ainsi comment sont sécurisés différents protocoles réseaux. En particulier, des solutions de sécurité pour la couche réseau IPv6 (Internet Protocol version 6) et pour sa composante de découverte du voisinage ND (Neighbor Discovery), ainsi que pour virtualiser l'infrastructure d'exécution, de communication et de stockage des grilles de calcul (Supernet, HIPernet, Internet Backplane Protocol) sont présentées et analysées.