Orchestration et vérification de fonctions de sécurité pour des environnements intelligents / Orchestration and verification of security functions for smart devices

Schnepf, Nicolas

30 September 2019

Les équipements intelligents, notamment les smartphones, sont la cible de nombreuses attaques de sécurité. Par ailleurs, la mise en œuvre de mécanismes de protection usuels est souvent inadaptée du fait de leurs ressources fortement contraintes. Dans ce contexte, nous proposons d'utiliser des chaînes de fonctions de sécurité qui sont composées de plusieurs services de sécurité, tels que des pare-feux ou des antivirus, automatiquement configurés et déployés dans le réseau. Cependant, ces chaînes sont connues pour être difficiles à valider. Cette difficulté est causée par la complexité de ces compositions qui impliquent des centaines, voire des milliers de règles de configuration. Dans cette thèse, nous proposons l'architecture d'un orchestrateur exploitant la programmabilité des réseaux pour automatiser la configuration et le déploiement de chaînes de fonctions de sécurité. Il est important que ces chaînes de sécurité soient correctes afin d’éviter l'introduction de failles de sécurité dans le réseau. Aussi, notre orchestrateur repose sur des méthodes automatiques de vérification et de synthèse, encore appelées méthodes formelles, pour assurer la correction des chaînes. Notre travail appréhende également l'optimisation du déploiement des chaînes dans le réseau, afin de préserver ses ressources et sa qualité de service. / Smart environments, in particular smartphones, are the target of multiple security attacks. Moreover, the deployment of traditional security mechanisms is often inadequate due to their highly constrained resources. In that context, we propose to use chains of security functions which are composed of several security services, such as firewalls or antivirus, automatically configured and deployed in the network. Chains of security functions are known as being error prone and hard to validate. This difficulty is caused by the complexity of these constructs that involve hundreds and even thousands of configuration rules. In this PhD thesis, we propose the architecture of an orchestrator, exploiting the programmability brought by software defined networking, for the automated configuration and deployment of chains of security functions. It is important to automatically insure that these security chains are correct, before their deployment in order to avoid the introduction of security breaches in the network. To do so, our orchestrator relies on methods of automated verification and synthesis, also known as formal methods, to ensure the correctness of the chains. Our work also consider the optimization of the deployment of chains of security functions in the network, in order to maintain its resources and quality of service.

Vérification Formelle

Sécurité des réseaux

Orchestration de services

Formal Verification

Network Security

Service Orchestration

005.8

A chemistry-inspired middleware for flexible execution of service based applications / Un middleware inspiré par la chimie pour l'exécution et l'adaptation flexible d'applications basées sur des services

Wang, Chen

28 May 2013

Les Architectures Orientées Services (SOA) sont adoptées aujourd'hui par de nombreuses entreprises car elles représentent une solution flexible pour la construction d'applications distribuées. Une Application Basée sur des Services (SBA) peut se définir comme un workflow qui coordonne de manière dynamique l'exécution distribuée d'un ensemble de services. Les services peuvent être sélectionnés et intégrés en temps réel en fonction de leur Qualité de Service (QoS), et la composition de services peut être dynamiquement modifiée pour réagir à des défaillances imprévues pendant l'exécution. Les besoins des architectures orientées services présentent des similarités avec la nature: dynamicité, évolutivité, auto-adaptabilité, etc. Ainsi, il n'est pas surprenant que les métaphores inspirées par la nature soient considérées comme des approches appropriées pour la modélisation de tels systèmes. Nous allons plus loin en utilisant le paradigme de programmation chimique comme base de construction d'un middleware. Dans cette thèse, nous présentons un middleware "chimique'' pour l'exécution dynamique et adaptative de SBA. La sélection, l'intégration, la coordination et l'adaptation de services sont modélisées comme une série de réactions chimiques. Tout d'abord, l'instantiation de workflow est exprimée par une série de réactions qui peuvent être effectuées de manière parallèle, distribuée et autonome. Ensuite, nous avons mis en oeuvre trois modèles de coordination pour exécuter une composition de service. Nous montrons que les trois modèles peuvent réagir aux défaillances de type panne franche. Enfin, nous avons évalué et comparé ces modèles au niveau d'efficacité et complexité sur deux workflows. Nous montrons ainsi dans cette thèse que le paradigme chimique possède les qualités nécessaires à l'introduction de la dynamicité et de l'adaptabilité dans la programmation basée sur les services. / With the advent of cloud computing and Software-as-a-Service, Service-Based Application (SBA) represents a new paradigm to build rapid, low-cost, interoperable and evolvable distributed applications. A new application is created by defining a workflow that coordinates a set of third-party Web services accessible over the Internet. In such distributed and loose coupling environment, the execution of SBA requires a high degree of flexibility. For example, suitable constituent services can be selected and integrated at runtime based on their Quality of Service (QoS); furthermore, the composition of service is required to be dynamically modified in response to unexpected runtime failures. In this context, the main objective of this dissertation is to design, to develop and to evaluate a service middleware for flexible execution of SBA by using chemical programming model. Using chemical metaphor, the service-based systems are modeled as distributed, selforganized and self-adaptive biochemical systems. Service discovery, selection, coordination and adaptation are expressed as a series of pervasive chemical reactions in the middleware, which are performed in a distributed, concurrent and autonomous way. Additionally, on the way to build flexible service based systems, we do not restrict our research only in investigating chemical-based solutions. In this context, the second objective of this thesis is to find out generic solutions, such as models and algorithms, to respond to some of the most challenging problems in flexible execution of SBAs. I have proposed a two-phase online prediction approach that is able to accurately make decisions to proactively execute adaptation plan before the failures actually occur.

Application basée sur services

Orchestration de services

Chorégraphie de services

Calcul chimique

Adaptation proactive

Prédiction de défaillance

Sélection de services

Ground water table

Tide

Landslide

Method of slices

Safety factor

Erosion

Charts

004.2

An operating system for 5G Edge Clouds / Un système d'exploitation pour 5G Edge Clouds

Manzalini, Antonio

08 July 2016

La technologie et les conducteurs socio-économiques créent les conditions d'une transformation profonde, appelée "Softwarization", du Telco et des TIC. Réseaux définis par logiciel et réseau Fonctions de virtualisation sont deux des principales technologies permettant ouvrant la voie à cette transformation. Softwarization permettra de virtualiser toutes les fonctions de réseau et de services d'une infrastructure de Telco et de les exécuter sur une plates-formes logicielles, entièrement découplés de l'infrastructure physique sous (presque basé sur du matériel standard). Tous les services seront fournis en utilisant un «continuum» des ressources virtuelles (traitement, de stockage et de communication) avec un investissement en capital initial pratiquement très limité et avec des coûts d'exploitation modestes. 5G sera la première exploitation de Softwarization. 5G sera une infrastructure distribuée massivement dense, intégrant le traitement, le stockage et (fixes et radio) des capacités de mise en réseau. En résumé, l'objectif général de cette thèse a étudié les défis techniques et les opportunités d'affaires apportées par le "Softwarization" et 5G. En particulier, la thèse propose que le 5G devra avoir une sorte de système d'exploitation (5GOS) capable de fonctionner les RAN et de base et les infrastructures fixes convergés. Les contributions de cette thèse ont été: 1) définir une vision pour les futures infrastructures 5G, des scénarios, des cas d'utilisation et les exigences principales: 2) définissant l'architecture fonctionnelle d'un système d'exploitation pour 5G; 3) la conception de l'architecture logicielle d'un 5GOS pour le "bord Cloud"; 4) comprendre les impacts technico-économiques de la vision et 5GOS, et les stratégies les plus efficaces pour l'exploiter / Technology and socio-economic drivers are creating the conditions for a profound transformation, called “Softwarization”, of the Telco and ICT. Software-Defined Networks and Network Functions Virtualization are two of the key enabling technologies paving the way towards this transformation. Softwarization will allow to virtualize all network and services functions of a Telco infrastructure and executing them onto a software platforms, fully decoupled from the underneath physical infrastructure (almost based on standard hardware). Any services will be provided by using a “continuum” of virtual resources (processing, storage and communications) with practically very limited upfront capital investment and with modest operating costs. 5G will be the first exploitation of Softwarization. 5G will be a massively dense distributed infrastructure, integrating processing, storage and (fixed and radio) networking capabilities. In summary, the overall goal of this thesis has been investigating technical challenges and business opportunities brought by the “Softwarization” and 5G. In particular, the thesis proposes that the 5G will have to have a sort of Operating System (5GOS) capable of operating the converged fixed and RAN and core infrastructures. Main contributions of this thesis have been: 1) defining a vision for future 5G infrastructures, scenarios, use-cases and main requirements; 2) defining the functional architecture of an Operating System for 5G; 3) designing the software architecture of a 5G OS for the “Edge Cloud”; 4) understanding the techno-economic impacts of the vision and 5GOS, and the most effective strategies to exploit it

SDN

NFV

5G

Système d'exploitation

Orchestration de services

Softwarization

Edge computing

Fog Computing

SDN

NFV

5G

Operating system

Service orchestration

Softwarization

Edge computing

Fog Computing

Test and Validation of Web Services

Cao, Tien Dung

06 December 2010

Nous proposons dans cette thèse les approches de test pour la composition de services web. Nous nous intéressons aux test unitaire et d’intégration d’une orchestration de services web. L’aspect de vérification d’exécution en-ligne est aussi consideré. Nous définissons une plateforme de test unitaire pour l’orchestration de services web qui compose une architecture de test, une relation de conformité et deux approches de test basés sur le modèle de machine à l’états finis étendues temporisés: l’approche offline où les activités de test comme la génération de cas de test temporisé, l’exécution de test et l’assignement de verdict sont appliquées en séquentielle tandis que ces activités sont appliquées en parallèle dans l’approche online. Pour le test d’intégration d’une orchestration, nous combinons deux approches: active et passive.Au debut, l’approche active est utilisée pour activer une nouvelle session d’orchestration par l’envoi d’un message de requête SOAP. Après, tous les messages d’entré et de sortie de l’orchestration sont collectés et analysés par l’approche passive.Pour l’aspect de vérification d’exécution en-ligne, nous nous intéressons à la vérification d’une trace qui respecte un ensemble des constraintes, noté règles, ou pas. Nous avons proposé extendre le langage Nomad en définissant des constraintes sur chaque action atomique et un ensemble de corrélation de données entre les actions pour définir des règles pour le service web. Ce langage nous permet de définir des règles avec le temps futur et passé, et d’utiliser des opérations NOT, AND, OR pour combiner quelque conditions dans le contexte de la règle. Ensuite, nous proposons un algorithme pour vérifier l’exactitude d’une séquence des messages en parallèle avec le moteur de collecte de trace. / In this thesis, we propose the testing approaches for web service composition. We focus on unit, integrated testing of an orchestration of web services and also the runtime verification aspect. We defined an unit testing framework for an orchestration that is composed of a test architecture, a conformance relation and two proposed testing approaches based on Timed Extended Finite State Machine (TEFSM) model: offline which test activities as timed test case generation, test execution and verdict assignment are applied in sequential, and online which test activities are applied in parallel. For integrated testing of an orchestration, we combines of two approaches: active and passive. Firstly, active approach is used to start a new session of the orchestration by sending a SOAP request. Then all communicating messages among services are collected and analyzed by a passive approach. On the runtime verification aspect, we are interested in the correctness of an execution trace with a set of defined constraints, called rules. We have proposed to extend the Nomad language, by defining the constraints on each atomic action (fixed conditions) and a set of data correlations between the actions to define the rules for web services. This language allows us to define a rule with future and past time, and to use the operations: NOT, AND, OR to combines some conditions into a context of the rule. Afterwards, we proposed an algorithm to check correctness of a message sequence in parallel with the trace collection engine. Specifically, this algorithm verifies message by message without storing them.

Orchestration de services web

Test en-ligne

Test actif/passif

Vérification d’exécution en-ligne

Génération de cas de test temporisé

Web service orchestration

Timed Extended Finite State Machine

Online/ Offline testing

Active/Passive testing

Runtime verification

Test case generation

FOCAS : un canevas extensible pour la construction d'applications orientées procédé

Pedraza Ferreira, Gabriel

12 November 2009

La récente introduction de l'approche à services a relancé la technologie des workflow. Cette technologie utilise le concept de modèle de procédé pour coordonner et automatiser la réalisation d'un ensemble de tâches. Ce patron de construction d'applications par assemblage de briques logicielles en utilisant un modèle de procédé fournit un mécanisme qui simplifie la spécification et l'évolution des applications orientées procédé. Cette thèse s'intéresse à la conception, la spécification et l'exécution d'applications orientées procédé en général, et plus particulièrement à l'orchestration de services. Nous partons de la technologie workflow comme base de notre canevas FOCAS et nous proposons de suivre une approche d'ingénierie dirigée par les modèles (IDM) pour la spécification abstraite d'une orchestration. Dans FOCAS, la description abstraite de l'application est découplée des services (ou applications) supportant son exécution. Cette description permet d'abord, une indépendance vers la technologie utilisée pour l'implémentation de services, ainsi qu'une liaison dynamique à l'exécution aux services disponibles. Nous proposons également des mécanismes permettant d'étendre notre canevas dans différents domaines ainsi que pour supporter des aspects non-fonctionnels. L'outillage supportant notre approche a été implémenté et validé par son utilisation dans les projets européens ITEA : S4ALL et SODA, et pour la réalisation d'une plateforme complète d'orchestration repartie et dynamique.

orchestration des services

applications orientées procédé

chorégraphie

workflow

composition de méta-modèles

approche à services

A business process approach for application development in wireless sensor and actuator networks / Une approche métier pour le développement des applications dans les réseaux de capteurs et actuateurs sans fils

Movahedi, Zahra

29 September 2015

Les réseaux de capteurs-actuateurs sans fils (WSANs) sont une technologie émergente dans divers domaines d'application tels que la surveillance, le contrôle du trafic, la domotique, etc. La conception et le développement d'applications utilisant ces technologies restent, cependant, une tâche difficile. En effet, la découverte des capteurs et actuateurs pertinents, et leur combinaison de manière appropriée pour atteindre un objectif spécifique n'est pas une tâche facile et nécessite plusieurs compétences détenues par différents acteurs. De plus, les environnements de capteurs/actuateurs sont par nature très dynamiques. En outre, les applications actuelles sont en général étroitement couplées à l'infrastructure sous-jacente, ce qui entrave leur réutilisation et la flexibilité aux changements.Dans cette thèse, nous présentons une approche orientée processus métier et services afin de permettre le développement des applications adaptables. Notre approche découple la logique de l'application et sa mise en œuvre : Un modèle est d'abord spécifié dans la phase de conception, comme un flux d'activités, et est ensuite déployé dans un environnement particulier. Découpler la logique d'une application et sa mise en œuvre permet d'une part d'apporter la réutilisation au niveau d'application et d'autre part d'adapter la même application à différents environnements et situations. Pour aider les concepteurs à spécifier des nouvelles applications WSANs, nous proposons deux méthodes: 1) la réutilisation d'activité et d'orchestration par le biais des flux de données, et 2) la recommandation d'activité par le biais des flux de contrôle. En outre, la même technique de recommandation fournit la tolérance de panne permettant à une application WSAN de s'adapter aux changements dus aux défaillances des capteurs ou/et actuateurs ou à des violations des contraintes. Notre approche a été validée par des cas d'utilisation réalistes mis en œuvre dans le cadre de la plateforme européenne de VITRO et la plate-forme ZODIANET. / Wireless Sensor and Actuator Networks (WSANs) is an emergent technology for various application areas such as security and surveillance applications, traffic control, energy control, etc. Designing and developing applications using these technologies remain, however, a challenging task. Indeed, finding the relevant sensors and actuators, and combining them in a proper way in order to achieve a specific goal is not an easy task and requires several skills detained by different stakeholders. Moreover, sensor/actuator environments are inherently highly dynamic. Furthermore, current applications are in general tightly coupled to the underlying infrastructure which hampers their reuse and flexibility to changes.In this thesis, we present a process-oriented and service-based approach for supporting the development of adaptive WSAN applications. Our approach decouples between the application logic and its implementation. A design-time model is first specified, as a flow of activities, which is then deployed in a particular environment. Decoupling the application logic from its implementation enables on one hand to foster the reuse at the application level and on the other hand to adapt the same application to different environments and situations. To assist designers in specifying new WSAN applications, we propose two methods: 1)activity and orchestration reuse through data flows, and 2)activity recommendation through control flows. Moreover, the same recommendation technique enables providing fault-tolerant mechanism enabling a WSAN application to adapt to changes due to sensor failures or constraints violation. Our approach has been validated by realistic use cases that have been implemented in the context of the European project VITRO platform and the Zodianet platform.

Processus métier

Orchestration de services

Recommandation de services

Aide à la conception

Sensor-Actuatur-Based applications

Business prcoess

Service orchestration

Wireless Sensor and Actuator Nertworks

Service recommandation

Design assistance