ICARE-S2: Infrastructure de confiance sur des architectures de Réseaux pour les services de signature évoluée

Frausto Bernal, Paul Axayacatl

12 1900

Actuellement, de plus en plus d'ordinateurs sont interconnectés à l'Internet ou à des réseaux locaux. Il est donc indispensable de partager et de protéger l'information de façon performante. Pour accélérer et favoriser le développement de nouvelles applications et services autour des transactions électroniques, la sécurité devient une priorité. L'infrastructure de gestion de clés (IGC) est une réponse conçue pour assurer la sécurité des transactions électroniques et permettre l'échange de renseignements sensibles entre des parties qui n'ont pas établi au préalable de liens. La signature électronique est un service de base des IGC qui permet l'authentification, la confidentialité, l'intégrité et la non-répudiation de la transaction électronique. Elle devient une composante fondamentale des transactions sécurisées. Elle pourra bientôt se substituer légalement à la signature écrite. Dans ce contexte, notre objectif est de contribuer au développement et à la création de nouveaux e-services nécessaires à la croissance des transactions électroniques: la certification de rôles associés à la signature (pour connaître les privilèges du signataire aux moyens de la définition d'un rôle), l'habilitation et la délégation de signature (pour que quelqu'un puisse donner l'autorisation à quelqu'un d'autre d'exercer un pouvoir à sa place et donner l'autorisation de transférer ce pouvoir à un tiers), la signature électronique contrôlée (pour indiquer qui peut signer un document et contrôler la séquence et les priorités des signatures) et enfin les métadonnées de droits d'accès (pour définir les droits d'accès à un document indépendamment du système d'exploitation utilisé). Une infrastructure de confiance est nécessaire pour prendre en compte ces e-services. Nous proposons l'infrastructure ICARE-S2 (Infrastructure de Confiance sur des Architectures de RésEaux pour les Services de Signature évoluée ) basée sur les principes associés à l'infrastructure de gestion de privilèges et l'infrastructure de gestion de clés, un certificat d'attribut encodé en XML supporté par cette architecture, ainsi que la spécification de ces différents e-services utilisant ce type de certificat. Concrètement, l'infrastructure ICARE-S2 propose un système couvrant les principales fonctions de sécurité nécessaires à un processus transactionnel. De l'authentification et la gestion des droits des utilisateurs et des composants, en passant par le chiffrement des informations, et la gestion de l'intégrité des messages par le biais de certificats électroniques. Une partie de ces travaux a été financée par le projet RNRT ICARE.

Infrastructure de confiance

Transactions électroniques

Signature électronique

Commerce électronique

Contrôle de privilèges

X509

Pki

XMLDSig

XAdES

Igc

Certificat

Securing group based peer-to-peer systems

Arnedo Moreno, Joan

07 July 2009

Peer-to-peer applications enable a group of users to create a communications framework from scratch without the need of a central service provider. This is achievable via the aggregation of resources each one of them provide, creating a completely distributed collaborative environment based in a flat hierarchy of users, without the need for centralization. Usually, peer-to-peer applications are conceptualized as a global network, without any kind of logical segmentation or segregation as far as resource availability is concerned. At every model, any peer may access any resource available within the network just by being able to reach the peer that provides such resource. Although having a unique huge open network may be desirable for some applications, there are cases in which it might be interesting to create different, but not necessarily disjoint, groups of peers operating under the same global peer-topeer network. In order for peer groups to be able to operate effectively in a global peer-to-peer network, additional security services must be provided. These mechanisms should allow peers to be able to prove group membership to other members of the group, so they can be granted access to group resources, as well as ensuring that resource discovery and message exchange between peer group members remain secure. A group may need to limit membership for various reasons, such as ensuring privacy, anonymity or enforcing that peer group members are up to some specific parameter (data shared, performance, computing power, etc.) The goals of this PhD. thesis are twofold, the reason being the fact that securing a peer group can be divided at two distinct, but interrelated, layers: • Enabling effective group membership, starting from the process by which any peer becomes part of a peer group and then, following, the mechanisms by which such peer may prove its membership to other group members for the rest of the membership's lifecycle (peer group access control). • Providing a secure environment for standard operations within a peer group, which functions once any peer's membership to the group has already been established. Typical operations at this layer are those of resource location and retrieval, or messaging. In order to achieve the former goal, basic group membership and access control scenarios are categorized and formalized as part of the research work in order to assess which are the current challenges. From this study, we present a generic model proposal that fulfils the objectives of autonomy, keeps a pure peer-to-peer model and the possibility to be used in different peer-to-peer frameworks. The later goal focuses in secure mechanisms in order to provide basic security services to both resource discovery and message exchange. However, in contrast with group membership models, where a generic approach is feasible, peer group operation security is intimately tied to each specific peer-to-peer framework, since each one specifies resource location and messaging primitives in a different manner. For that reason, a specific one has been chosen for the research work: JXTA. Such election is due to the fact that JXTA's architecture is entirely based on the concept of peer groups, since it was the one to first define the concept of peer group, providing an excellent testbed for peer group research

Seguretat

Peer-to peer

IXTA

Middlewares

XMLdsig

XMLenc

Control d'acces

Peer groups

004