E. Solution, mode d'emploi 6.2.1 Principes L'extension proposée vise à fournir une authentification forte au sein de DHCP. Les deux principes mis en oeuvre sont : 1. L'authentification mutuelle de l'usager du réseau et du serveur DHCP. Cette authentification mutuelle va permettre à un client DHCP de se connecter à un serveur DHCP authentique, lequel pourra également s

. Qu, fiscales ou bancaires, le besoin en sécurité est essentiel afin de crédibiliser le système, tout en respectant à la fois les besoins des utilisateurs et des applications Cette sécurité a néanmoins un prix : celui de l'établissement de la confiance entre les partenaires en communication. La confiance des utilisateurs passe par la sécurisation des transactions

. Dans-la-première-partie, nous avons proposé et spécifié une approche qui permet de garantir à l'application et à l'utilisateur la bonne mise en forme des informations dans le certificat et l'adéquation du contenu de leur certificat vis-à-vis de leurs besoins. Ces certificats sont des certificats d'attributs spécifiés en XML, flexibles et respectant les besoins de l'application et la personnalisation de l

. Le-protocole-d, attribution dynamique des adresses Internet est nécessaire pour le fonctionnement d'un nombre considérable de réseaux et cela pour entre autres, deux raisons. La première raison est le manque d'adresses Internet qui ne permet pas leur attribution de manière statique

. Ce-protocole-est-aujourd-'hui-très-répandu, car il s'avère très pratique pour gérer de larges parcs de machines. Son usage est tout à fait indiqué dans les entreprises et les universités

. Si-son-succès-est-indiscutable, il faut avouer que la sécurité n'était pas une préoccupation majeure à l'époque où il a été mis au point, en 1993, puis amélioré, en 1997 En fait, il n'y avait aucune tentative dans la conception de DHCP pour mettre en place des systèmes de protection contre les hôtes d'Internet malveillant. Par conséquent le protocole est vulnérable à une variété d'attaques

. De and E. Le-serveur-e-dhcp-À-un-serveur-d-'attribution-de-privilèges-aa-d-'un, Le serveur E-DHCP crée un certificat d'attributs pour le client contenant l'adresse Internet attribuée dynamiquement. Pour leur authentification au sein des architectures réseaux, les équipements peuvent faire preuve de l'authenticité de leur adresse en présentant leur certificat d'identification X

. Enfin, il sera bien de noter que les résultats des travaux réalisés dans le cadre de notre thèse concernant l'extension du protocole DHCP ont été repris par l'ENST (Ecole Nationale Supérieure des Télécommunications) et France Télécom R&D pour une contribution à la normalisation au sein de l'IETF. Cette contribution a été publiée sous forme de draft

J. Demerjian, A. Serhrouchni, and M. , Extended DHCP". IETF Draft. Date d'expiration février, 2005.

J. Demerjian, A. Serhrouchni, and M. , Certificate-based access control and authentication for DHCP, ACM/IEEE International Conference on E-business and Telecommunication Networks ICETE, pp.99-124, 2004.

J. Demerjian and A. Serhrouchni, DHCP authentication using certificates". 19 th IFIP International Information Security Conference SEC, pp.457-480, 2004.

J. Demerjian and M. , Extension du protocole DHCP pour l'attribution dynamique des adresses avec authentification forte". 3 ème Conférence sur la Sécurité et Architecture Réseaux SAR'04, pp.21-25, 2004.

J. Demerjian and A. Serhrouchni, E-DHCP: extended dynamic host configuration protocol, Proceedings. 2004 International Conference on Information and Communication Technologies: From Theory to Applications, 2004., p.667, 2004.
DOI : 10.1109/ICTTA.2004.1307942

J. Demerjian and A. Serhrouchni, EPMI : Une extension de l'infrastructure de gestion des privilèges, IEEE International Conference Sciences of Electronic, Technology of Information and Telecommunications SETIT, pp.205-220, 2004.

J. Demerjian, A. Serhrouchni, and F. Tastet, La certification sous un nouvel angle de vue, ème Conférence sur la Sécurité et Architecture Réseaux SAR'03, pp.135-165, 2003.

J. Demerjian, A. Serhrouchni, and F. Tastet, Une nouvelle approche pour la certification, IEEE International Conference Sciences of Electronic, Technology of Information and Telecommunications SETIT'2003, pp.59-76, 2003.

J. Demerjian, A. Serhrouchni, and F. Tastet, Why certificates don't meet e-Business needs". Fifth International Conference on Advances in Infrastructure for e-Business, e-Education, e-Science, on the Internet SSGRR, pp.58-64, 2003.

. A. Bul, P. Buldas, H. Laud, J. Lipmaa, and . Villemson, Time-Stamping with Binary Linking Schemes, Advances in Cryptology, vol.1462, pp.486-50198

. G. Cbda, C. Glazer, R. Hussey, and . Shea, Certificate-Based Authentication for DHCP [Electronic Version]. Retrieved from UCLA university, 2003.

R. Cert and C. Advisory, 2002-12 format String Vulnerability in ISC DHCPD. Retrieved from, 2002.

R. Cert and C. Advisory, 2003-01 Buffer Overflows in ISC DHCPD Minires Library Retrieved from, 2003.

. Cgi, C. The, and . Specification, Retrieved from

[. Cohen, A short course on computer viruses, Computer Fraud & Security Bulletin, vol.1991, issue.1, 1994.
DOI : 10.1016/0142-0496(91)90211-M

. W. Dif, M. E. Diffie, and . Hellman, New directions in cryptography, IT-22, pp.644-654, 1976.
DOI : 10.1109/TIT.1976.1055638

H. [. Zouari, A. Afifi, and . Mhamed, Mobilité et sécurité dans les réseaux Wi-Fi, 16 ème Congrès DNAC : De Nouvelles Architectures pour les Communications, pp.2-4, 2002.

. M. Dunl and . Lai, UML; La notation unifiée de modélisation objet Objet

. Gipmds and . Groupement, Intérêt Public Modernisation des Déclarations Sociales

B. [. Elbakkali and . Kaitouni, L'analyse formelle du modèle de confiance d'une PKI à l'aide d'une logique de croyance, GRES'01, Gestion de REseau et de Service, pp.17-21, 2001.

. S. Hab, W. S. Haber, and . Stornetta, How to Time Stamp a Digital Document, Journal of Cryptology, vol.3, pp.99-111, 1991.

. Hay and J. M. Hayes, The Problem with Multiple Roots in Web Browsers ? Certificate Masquerading, IEEE Computer Society Proceedings of WETICE 1998, pp.17-19, 1998.

. [. Sundström, The Dynamic Host Configuration Protocol (DHCP) Helsinki University of Technology

. Hsc-]-g, . Labouret, . Pki, and . Certificats, Hervé Schauer Consultants (HSC) Retrieved from

I. Projet, Infrastructure de Confiance sur des Architectures de Réseaux Internet & Mobile)

. J. Icete, A. Demerjian, M. Serhrouchni, and . Achemlal, Certificate-based Access Control and Authentication for DHCP, International Conference on E-Business and Telecommunication Networks, pp.25-28, 2004.

. J. Ictta, &. A. Demerjian, and . Serhrouchni, Extended Dynamic Host Configuration Protocol, IEEE 1st International Conference on Information & Communication Technologies: From Theory to Applications, pp.19-23

I. A. Tominaga, O. Nakamura, F. Taraoka, and J. Murai, Web site: http://www.ietf.org Problems and Solutions of DHCP, The 5 th Annual Conference of the Internet Society. INET'95, 1995.

. Isc and . Isc, Internet Software Consortium Dynamic Host Configuration Protocol Distribution Retrieved from: http://www.isc.org/index, 2004.

&. Products, ]. T. Technologies-java-technologylcn, T. Komori, and . Saito, Web Site: http://java.sun.com The secure DHCP System with User Authentication, IEEE the 27 th Annual IEEE Conference on Local Computer Networks, LCN'02, p.123, 2002.

. Macnn and . Macnn, Mac News Network) Malicious DHCP response on OS X can grant root access. Retrieved from: http://www.macnn, 2003.

B. [. Rivest and . Lampson, SDSI ? A Simple Distributed Security Infrastructure. Retrieved from, 1996.

]. C. O-'recac, D. Cachat, and . Carella, PKI Open Source, 2003.

. J. Octalis, X. Ribes, and . Orri, ASN.1 vs XML. Octalis Paper. Retrieved from, p.15, 2002.

. San-]-d and . Sanai, Detection of promiscuous Nodes Using ARP packets. A white paper from http://www.securityfriday.com, 2002.

A. [. Demerjian, F. Serhrouchni, and . Tastet, La certification sous un nouvel angle de vue, ème Conférence sur la Sécurité et Architecture Réseaux SAR'03, pp.135-165, 2003.

M. [. Demerjian, Extension du protocole DHCP pour l'attribution dynamique des adresses avec authentification forte, ème Conférence sur la Sécurité et Architecture Réseaux SAR'04, pp.21-25, 2004.

. J. Sec, &. A. Demerjian, and . Serhrouchni, DHCP authentication using certificates, th IFIP International Information Security Conference, pp.23-26, 2004.

J. Demerjian, A. Serhrouchni, and &. F. Tastet, Une nouvelle approche pour la certification, IEEE SETIT 2003, International Conference Sciences of Electronic, Technology of Information and Telecommunications, pp.59-76, 2003.

J. Demerjian and &. A. Serhrouchni, EPMI : Une extension de l'infrastructure de gestion des privilèges, International Conference Sciences of Electronic, Technology of Information and Telecommunications, pp.205-220, 2004.

[. Rivest, code and description of S-expressions. Retrieved from

. J. Sic and . Virchaux, DHCP, la location d'adresses IP. SIC Flash Informatique, 2001.

J. Demerjian, A. Serhrouchni, and &. F. Tastet, Why certificates don't meet e-Business needs, Fifth International Conference on Advances in Infrastructure for e- Business, e-Education, e-Science, on the Internet". L'Aquila, Italie, p.58, 2003.

. Svm-]-e and . Barret, DHCP, ou l'adressage IP facile, Revue SVM Mac, issue.138, 2002.

. [. Schneier, Cryptographie Appliquée. International THOMSON Publishing France. 2 ème édition, 1997.

&. [. Augustin and . Guen, Usurpation d'identité sur Ethernet, Projet TUTORE

]. C. Wirnet, K. Perkins, and . Luo, Using DHCP with computers that move, The Wireless Networks, pp.341-354, 1995.

B. [. Imamura, E. Dillaway, and . Simon, XML Encryption Syntax and Processing. W3C Recommendation. Retrieved from: http://www.w3.org/TR, 2002.

. W. Xkms, P. Ford, B. Hallam-baker, B. Fox, B. Dillaway et al., XML Key Management Specification (XKMS) Retrieved from: http://www.w3, 2001.

. D. Xsig, J. Eastlake, D. Reagle, and . Solo, XML-Signature Syntax and Processing. W3C Recommendation. Retrieved from: http://www.w3.org/TR, 2002.

I. Rfc, Ethernet Address Resolution Protocol: Or converting network protocol addresses to 48.bit Ethernet address for transmission on Ethernet hardware, 1982.

I. Rfc, Privacy enhancement for Internet electronic mail: Part II -certificatebased key management, 1989.

I. Rfc, The Kerberos Network Authentication Service (V5), 1993.

[. Rfc, PGP Message Exchange Formats, 1991.

I. Rfc, MaXIM-11 ? Mapping between X.400/ Internet mail and Mail-11 mail, 1998.

I. Rfc, Lightweight Directory Access Protocol (v3), 1997.

I. Rfc, Version 6 (IPv6) Specification, Internet Protocol, 1998.

I. Rfc, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification, 1998.

I. Rfc, DHCP Option for The Group's User Authentication Protocol, 1999.

[. Rfc, Internet X.509 Public Key Infrastructure Certificate Management Protocols, 1999.

I. Rfc, Procedure and IANA Guidelines for Definition of New DHCP Options and Message Types, 2000.

I. Rfc, PKCS #10: Certification request Syntax Specification Version 1.7, 2000.

I. Rfc, An Internet Attribute Certificate Profile for Authorization, 2002.

I. Rfc, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), 2003.

I. Rfc, Encoding Long Options in the Dynamic Host Configuration Protocol (DHCPv4), 2002.

[. Rfc, Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1, 2003.

I. Rfc, Guidelines for the Use of extensible Markup Language (XML) within IETF Protocols, 2003.

I. Rfc, Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3

L. Darfts-de-l-'ietf-[-demerdraft, ]. J. Demerjian, A. Serhrouchni, and M. , Retrieved from, 2005.

]. Homdraft, . Ietf-internet, and . Draft, Homstein and al. DHCP Authentication via Kerberos V, Retrieved from: http://quimby.gnus.org/internet-drafts/draft-hornstein-dhc-kerbauth- 00.txt, 2000.

]. Maldraft, . Ietf-internet-draft, R. Malpani, T. Housley, and . Freeman, Simple Certificate Validation Protocol (SCVP), draft-ietf-pkix-scvp-12, 2003.

]. Orrdraft, . X. Ietf-internet-draft, J. Orri, and . Mas, SPKI-XML Certificate Structure, 2002.

. Paadraft, . J. Ietf-internet-draft, and . Paarjarvi, XML Encoding of SPKI Certificates, 2000.

]. Senddraft, . J. Ietf-internet-draft, and . Arkko, SEcure Neighbor Discovery Retrieved from: ftp://ftp.rfc-editor.org/in-notes/internet-drafts/draft-ietf-send-ndopt-06.txt, 2005.

]. Cgadraft, . T. Ietf-internet-draft, and . Aura, Cryptographically Generated Addresses (CGA) Retrieved from: ftp://ftp.rfc-editor.org/in-notes/internet-drafts/draft-ietf-send-cga- 06, 2004.

. Abkdraft, . J. Ietf-internet-draft, and . Kempf, Securing IPv6 Neighbor Discovery Using Address Based Keys (ABKs, 2003.

J. Le-choix-de, est fait pour les raisons suivantes : La technologie JDBC (Java DataBase Connectivity) est une API fournie avec Java (depuis sa version 1.1) permettant de se connecter à des bases de données, c'est-à-dire que JDBC constitue un ensemble de classes

. De-plus and . De-java, dont la portabilité du code, ce qui lui vaut en plus d'être indépendant de la base de données d'être indépendant de la plate-forme sur laquelle il s'exécute

L. Choix and . Signature, ou XML DSig) s'est fait pour les raisons suivantes : L'objectif principal de l'E-IGP est de démontrer l'intérêt d'utiliser les standards XML pour représenter les certificats d'attributs. Il semble donc naturel de s'appuyer sur les travaux de normalisation XML du W3C et de l'IETF pour gérer également la signature

L. Standard and X. Digital, Signature est suffisamment stable maintenant, et bénéficie d'implémentations de démonstration de la part de plusieurs éditeurs (Baltimore, IBM, ?) qui nous permet de rapidement mettre en oeuvre cette solution

R. Rnrt, S. Saa, . Spd, and . Spi, Request for Comment Security Association Stateless Address Autoconfiguration Security Association Database Security Policy Database Security Parameter Index Demande de Commentaire Réseau National de Recherche en Télécommunications Association de sécurité. Autoconfiguration sans état, Base de données des associations de sécurité. Base de données de politique de sécurité. Index des paramètres de sécurité. SPKI Simple Public Key Infrastructure Infrastructure à Clef Publique Simple. SSL Secure Socket Layer Couche socket sécurisée