Architectures et mécanismes de sécurité pour l'auto-protection des systèmes pervasifs - PASTEL - Thèses en ligne de ParisTech Accéder directement au contenu
Thèse Année : 2010

Security Architecture and Mechanisms for Self-protection of Pervasive Systems

Architectures et mécanismes de sécurité pour l'auto-protection des systèmes pervasifs

Résumé

Our work applies autonomic computing to conventional authorization infrastructure. We illustrate that autonomic computing is not only useful for managing IT infrastructure complexity, but also to mitigate continuous software evolution problems. However, its application in pervasive systems calls for a collection of design building blocks, ranging form overall architecture to terminal OS design. In this thesis, we propose: - A three-layer abstract architecture: a three-layer self-protection architecture is applied to the framework. A lower execution space provides running environment for applications, a control plane controls the execution space, and an autonomic plane guides the control behavior of the control plane in taking into account system status, context evolution, administrator strategy and user preferences. - An attribute-based access control model: the proposed model (Generic Attribute-Based Access Control) is an attribute-based access control model which improves both the policy-neutrality to specify other access control policies and flexibility to enable ne-grain manipulations on one policy. - A policy-based framework for authorization integrating autonomic computing: the policy-based approach has shown its advantages when handling complex and dynamic systems. In integrating autonomic functions into this approach, an Autonomic Security Policy Framework provides a consistent and decentralized solution to administer G-ABAC policies in large-scale distributed pervasive systems. Moreover, the integration of autonomic functions enhances user-friendliness and context-awareness. - A terminal-side access control enforcement OS: the distributed authorization policies are then enforced by an OS level authorization architecture. It is an efficient OS kernel which controls resource access through a dynamic manner to reduce authorization overhead. On the other hand, this dynamic mechanism improves the integrability of dierent authorization policies. - An adaptation policy specication Domain Specic Language (DSL): all the adaptations of this end-to-end self-protection framework are controlled by some high-level strategies called adaptation policies. A specication DSL for such policies is given which takes into account various aspects for adaptation decision.
Contributions principales Les éléments précédents identifient les principes de conception de base pour construire un canevas logiciel d'auto-protection. Différentes technologies peuvent être choisies pour réaliser ces principes. Les contributions principales de cette thèse décrivent des mécanismes développés et mis en œuvre pour réaliser notre canevas logiciel d'auto-protection. Il s'agit des éléments suivants : - Une architecture a trois couches pour l'auto-protection : un espace d'exécution fournit un environnement d'exécution pour des applications; un plan de contrôle supervise l'espace d'exécution ; et un plan autonome guide le plan de contrôle en prenant en compte l'etat du systeme, l'evolution des risques, la strategie de securite definie par l'administrateur, et les preferences de l'utilisateur. - Une approche du contrôle d'acces a base d'attributs: l'approche proposee (appelee G-ABAC) exprime les politiques d'autorisation en se basant sur des attributs. Cette approche apporte a la fois une neutralite vis-a-vis du modele de contrôle d'acces, et une flexibilite permettant des manipulations elementaires sur ces politiques. - Un canevas logiciel a base de politiques pour realiser la gestion autonome de la securite : l'approche a base de politiques a montre ses avantages pour l'administration des systemes complexes et dynamiques. Un canevas logiciel autonome de politiques de securite (ASPF) fournit une solution coherente et decentralisee pour administrer les politiques d'autorisation pour les systemes pervasifs a grande echelle. L'integration des patrons autonomes ameliore egalement la souplesse et la facilite d'adaptation au contexte. - Un noyau de securite embarque pour l'application des politiques de contrôle d'acces : les politiques d'autorisation denies precedemment sont appliquees par une architecture d'autorisation au niveau du systeme d'exploitation. Ce noyau appele VSK contrôle l'acces aux ressources d'une maniere dynamique an de reduire le surcoût des mecanismes d'autorisation. Ce mecanisme permet egalement de supporter dierents types de politiques d'autorisation. - Un langage dedie (Domain-Specic Language ou DSL) pour la specication de politiques d'adaptation : toutes les adaptations de notre canevas logiciel d'auto-protection de bout en bout sont contr^olees par des strategies de haut niveau appelees politiques d'adaptation. Un DSL tenant compte de nombreux facteurs pour les decisions d'adaptation. est deni pour specier ces politiques.
Fichier principal
Vignette du fichier
Ruan_HE-Thesis.pdf (4.76 Mo) Télécharger le fichier
Loading...

Dates et versions

pastel-00579773 , version 1 (24-03-2011)

Identifiants

  • HAL Id : pastel-00579773 , version 1

Citer

Ruan He. Architectures et mécanismes de sécurité pour l'auto-protection des systèmes pervasifs. Informatique ubiquitaire. Télécom ParisTech, 2010. Français. ⟨NNT : ⟩. ⟨pastel-00579773⟩
396 Consultations
629 Téléchargements

Partager

Gmail Facebook X LinkedIn More