Soutenance mémoire
Jour après jour, les services mobiles de toute sorte deviennent une exigence, la réalisation pratique et la mise en marche de ces services nécessite la découverte des nouvelles technologies et architectures. Ces nouvelles technologies qui viennent nous offrir un gain appréciable dans un sens ou dans un domaine donné cachent derrière elles des problèmes qui seront découverts rapidement. On reste toujours affronté au paradoxe suivant : gagner dans un sens, c’est perdre dans un autre. Le succès des réseaux locaux sans fil s’explique facilement par leur facilité de déploiement, associée à des coûts faibles, c’est ici que réside leur grande particularité. Dans ce sens le monde de recherche de plus en plus la mobilité et de nouveaux moyens de communication sans fil: Téléphonie sans fil, ordinateurs sans fil, organiseurs sans fil. Mais un appareil sans fil ne signifie pas seulement un dispositif qui peut fonctionner seul grâce à ses batteries. Le nouvel univers du sans fil est aussi celui d’un univers complètement connecté. Des appareils connectés l’un avec l’autre et avec le Web sans fil, des gens connectés les uns aux autres grâce à des appareils sans fil et connectés à l’Internet pendant leurs déplacements.
Le monde est toujours en état d’évolution, de nouveaux réseaux se trouvent posés au marché et surtout des réseaux sans fils. La gestion de ce type de réseaux (sans fil) devient de plus en plus populaire, les infrastructures des réseaux hétérogènes croissent. D’où la nécessité de passer d’un réseau à un autre croît et par suite se bouger librement entre les différents réseaux tout en gardant toujours la connexion courante, et en minimisant autant que possible les pertes (mobilité transparente). Cela peut prendre le nom de l’utilisation simultanée de différents réseaux d’accès et des technologies. De plus, avec l’accroissement rapide de l’accès mobile à l’Internet, et son augmentation suite à la popularité croissante de WiFi (WLANs basés sur IEEE 802.11), et le déploiement mondial des réseaux sans fil de large secteur tels que GPRS et la troisième génération des réseaux sans fils (UMTS), un nombre de plus en plus important de dispositifs mobiles tels que des ordinateurs portables (laptops) et PDAs sont équipés pour se connecter aux réseaux multiples.
Différentes évolutions sont en cours aussi bien pour permettre des extensions pour la sécurité, la qualité de service et le handover que pour améliorer le débit, la couverture et permettre les réseaux ad-hoc et la cohabitation avec les autres types de réseau. Des réseaux sans fil tels que UMTS et WLAN peuvent être arrangés comme recouvrement sur la base de leur couverture offerte ; un tel arrangement est connu comme réseau sans fil de recouvrement (wireless overlay network). Par exemple, UMTS peut fournir l’assurance nationale ou des larges continents, alors que WLAN basés sur 802.11 fournirent seulement une couverture locale sans fil ainsi que pour Bleutooth. Un mobile peut choisir de faire un handover vertical entre les différents réseaux ou non selon la couverture offerte, ou selon des politiques telles que la largeur de bande de réseau, la charge, le coût, la sécurité, la QoS, ou même la préférence d’utilisateur. Les conséquences de l’utilisation des réseaux multiples en parallèle sont loin d’être négligeables. Ces conséquences découlent directement des utilisations que les gens en font, utilisations prévues ou inattendues.
État de l’art sur la sécurité des réseaux
Les réseaux joue un rôle qui n’a cessé d’accroitre jour après jour, le déploiement de nouveaux réseaux soulève des problèmes de fonctionnement comme des problèmes de sécurité, dans le présent chapitre nous traitons la sécurité des réseaux d’une façon générale en essayant de donner une vision claire sur les différents éléments qui touche ce domaine.
Les types des attaques
Une attaque est toute action qui compromet la sécurité d’information d’une organisation. La recommandation X.800 [8] et le RFC 2828 [9] classifient les attaques en terme d’attaques passives et actives.
Les attaques passives
Une attaque passive est une situation dans laquelle un intrus empêche le bon fonctionnement du réseau sans qu’il entraîne la destruction des données. Cependant il rassemble l’information pour un usage personnel ou pour une attaque future. Il existe deux types d’attaques passives à savoir : interception de contenu et analyse de trafic.
✦ L’interception de contenu : Dans ce type d’attaques, l’opposant intercepte le contenu d’un message dont la consultation n’est pas autorisée.
Ce message peut contenir, par exemple la clé secrète d’une session utilisée pour chiffrer des données durant celle-ci. Ce genre d’attaque signifie que l’intrus peut obtenir des informations qui sont parfois confidentielles. Il est difficile à détecter.
✦ L’analyse de trafic : Le deuxième type d’attaque passive, analyse de trafic, est plus subtile . Il est parfois possible pour l’intrus de connaître l’endroit et l’identité du dispositif ou de l’utilisateur communiquant. Cela sera suffisant pour tirer l’information voulue. Un intrus pourrait seulement avoir besoin des informations suivantes :
✦ Qui envoie le message,
✦ A qui le message été envoyé,
✦ La fréquence ou la taille du message.
Une telle attaque est connue comme analyse de trafic.
Les attaques actives
Les attaques actives entraînent une certaine modification des données ou insertion de nouvelle données et peuvent être divisées en quatre catégories: la mascarade (usurpation), le rejeu, la modification des messages et le déni de service.
❖ La Mascarade a lieu quand une entité feint pour être une entité différente . Une mascarade inclut souvent des autres formes d’attaque active. Par exemple, lors d’authentification, des paramètres de connexion (login et mot de passe par exemple) peuvent être capturés et rejoués après qu’un ordre valide d’authentification a eu lieu. De ce fait, elle permet à une entité légale d’obtenir plus des privilèges pour avoir un accès non autorisé.
❖ Le Rejeu implique la capture d’un message et sa retransmission pour produire un effet non autorisé .
❖ La Modification des messages signifie qu’une partie d’un message envoyé est changée, ou que des messages sont retardés ou rejoués pour produire un effet non autorisé . Par exemple, message signifiant « Permettez à Bob de lire les dossiers confidentiels des comptes clients » est modifiée pour signifier que « Permettez à Darth de lire les dossiers confidentiels des comptes clients».
❖ Le Déni de service empêche l’utilisation ou la gestion des équipements de communications . Cette attaque peut avoir une cible spécifique, par exemple, une entité peut supprimer tous les messages dirigés vers une destination particulière (par exemple, le service d’audit de sécurité). Une autre forme d’attaque peut être la panique d’un réseau entier, ou en le surchargeant avec des messages afin de dégrader la performance (le réseau peut devenir indisponible).
Les Services de Sécurité
La recommandation X.800 de ITU-T [8] définit un service de sécurité comme étant un service fourni par une couche de protocole du modèle OSI, qui assure la sécurité de système ou le transfert de données. Une définition plus précise est trouvée dans RFC 2828 [9], qui stipule que: ’’un service de sécurité est fourni par un système pour donner une protection aux ressources de système; Les services de sécurité implémentent des politiques de sécurité et sont mises en œuvre à l’aide des mécanismes de sécurité’’. Nous présentons brièvement les différents types de services de sécurité :
L’Authentification
L’effet d’assurer qu’une communication est authentique. Dans le cas d’un message simple, tel qu’un signal d’alarme, la fonction du service d’authentification est d’assurer le destinataire que le message est de la source de la laquelle il prétend être. Deux services spécifiques d’authentification sont définis dans [8]:
● L’authentification de paire à paire : c’est l’action qui consiste à prouver son identité pour l’entité homologue déclarée. Ce service est généralement rendu par l’utilisateur d’un ‘‘ échange d’authentification’’ qui implique un certain dialogue entre les tiers communicants.
● L’authentification de l’origine de données : sert à prouver que les données reçues ont bien été émises par l’émetteur déclaré. Ce type de service supporte des applications comme le courrier électronique où il n’y a aucune interaction antérieure entre les entités communicantes.
Le Contrôle d’accès
C’est la capacité de limiter et contrôler l’accès aux ressources matériels et logiciels d’un système via les liaisons de communication. Pour réaliser ceci, chaque entité qui essaye de se connecter doit tout d’abord s’identifier. Chaque utilisateur possède des droits d’accès particuliers aux ressources.
La Confidentialité
La confidentialité est la protection des données transmises contre des attaques passives. Elle assure la protection du contenu de données transmission de données. Plusieurs niveaux de la protection peuvent être identifiés. La confidentialité concerne la protection de toutes les données sur une connexion ou des données dans un bloc spécifique, ou des champs sélectionnés ou encore des informations qui peuvent être déduites par analyse de trafic. Par exemple, quand une connexion TCP est établie entre deux entités, ladite protection empêche la connaissance de n’importe quelles données d’utilisateur transmises durant celleci.
|
Table des matières
INTRODUCTION GENERALE
Partie I : État de l’art
Chapitre I : État de l’art sur la sécurité des réseaux
I. Les types des attaques
1. Les attaques passives
2. Les attaques actives
II. Les Services de Sécurité
1. L’Authentification
2. Le Contrôle d’accès
3. La Confidentialité
4. L’Intégrité
5. La non-répudiation
6. La Disponibilité
III. Les Mécanismes de Sécurité
1. Les Mécanismes Spécifiques de Sécurité
2. Les Principaux Mécanismes de Sécurité
IV. Les Modèles de Sécurité des Réseaux
V. Les Protocoles de sécurité des réseaux
1. IPSec
2. AAA: Authorization, Authentification and Accounting
CONCLUSION
Chapitre II : État de l’art sur les réseaux mobiles sans fils
INTRODUCTION
I. Les réseaux sans fil
1. Les réseaux sans fil de type “WPAN”
2. Les réseaux sans fil de type “WMAN” (La norme 802.16 ou Wimax)
3. Les réseaux sans fil de type “WWAN”
4. Les réseaux sans fil de type “WLAN” (La norme 802.11)
i. Les caractéristiques (Features)
ii. La topologie
iii. L’architecture protocolaire
II. Les réseaux cellulaires
1. La Notion de réseau cellulaire
2. GSM
a. La présentation du réseau GSM
b. L’architecture du réseau GSM
i. Le sous-système radio
ii. Le sous-système réseau
iii. Le centre d’exploitation et de maintenance
3. GPRS
a. Introduction
b. Les caractéristiques du GPRS
c. L’architecture générale du GPRS
i. Réseau fédérateur GPRS
ii. Architecture en couches
i. Plan usager ou de transmission
ii. Plan de contrôle ou de signalisation
iii. Couches communes aux plans de signalisation et de transmission
4. UMTS
a. Introduction
b. Constitution du réseau UMTS
c. Réseau cœur et réseau d’accès
i. Le réseau cœur
1er. Les composants du réseau cœur
2e. Le réseau d’accès UTRAN
CONCLUSION
Chapitre III : La mobilité dans les réseaux sans fils
INTRODUCTION
I. Classification de la mobilité dans les réseaux
1. La macro Mobilité
2. La micro Mobilité
II. Notion de Handover
1. Les étapes de Handover
2. Les protocoles de contrôle du Handover
III. Handover dans les réseaux mobiles et fixes
1. Mobilité dans les réseaux filaires
a. Mobile IP
i. Les Caractéristiques
ii. Architecture de Mobile IP
iii. Les interactions entre l’hôte mobile et les agents Mobile IP
iv. L’acheminement des datagrammes
b. Mobile IPv6
i. Les Caractéristiques
ii. Quelques concepts
iii. Les procédures de mobilité dans Mobile IPv6
2. Handover dans les réseaux mobiles
a. Handover dans IEEE 802.11
b. Handover dans UMTS
i. Introduction
ii. Les catégories du Handover
iii. Les Différents types de mesures d’interface d’air
iv. L’optimisation de Handover
CONCLUSION
Partie II : Analyse de performance de handover vertical entre réseaux UMTS et WLAN
Chapitre IV : Étude de performance dans le cadre d’une mobilité hétérogène : cas UMTS/802.11
INTRODUCTION
I. Les métriques de performance
1. La durée de handover (handover latancy)
2. Les paquets perdus (Packet loss)
3. la probabilité de générer un faux trigger (Probability of wrong link trigger generation)
4. Le facteur de déconnexion (Disconnection factor)
5. la charge de signalisation (Signalling load)
6. Le débit (Throughput)
II. L’architecture proposée à l’étude
III. Le Modèle de Simulation
1. L’architecture implémentée
c. Implémentation dans NS-2
d. IEEE 802.11 & NS-2
e. UMTS & NS-2
f. L’entité de handover implementé
g. Triggers
i. Link Detected
ii. Link Up
iii. Link Down
iv. Link Going Down
v. Link Rollback
vi. Link Handoff Imminent
vii. Link Handoff Complete
2. Le Scénario de Simulation
IV. Résultats de Simulation
1. Effet du MAX_RA_DELAY_TIME sur la performance de Handover
2. L’influence du seuil de “beacon” manqué sur la performance du handover
3. L’effet du seuil d’erreur de paquet sur la performance du handover
Figure 38 : Impact du nombre de paquets consécutifs reçus avec erreurs sur le handover de UMTS vers WLAN
CONCLUSION
Partie III : Proposition d’un handover sécurisé
Chapitre V : Étude de Handover Sécurisé dans le cadre d’une mobilité hétérogène : Application entre UMTS et 802.11
INTORDUCTION
I. Interaction entre Mobile IP et AAA
1. Mobile IPv6
2. AAA
3. Les associations de sécurité
II. Les Méthodes d’authentifications
1. Le réseau UMTS
2. Le WLAN
3. L’Internet
4. L’interaction différentes méthodes d’authentification
III. L’architecture proposée
1. Le Modèle Général
2. Authentification
3. Génération de clé
IV. La procédure de Handover proposée
1. Préambule
2. Fast Handover
CONCLUSION
CONCLUSION
