Software-defined Security for Distributed Clouds / Sécurité définie par le logiciel pour le Cloud distribué

Compastié, Maxime

18 December 2018

Dans cette thèse, nous proposons une approche pour la sécurité programmable dans le cloud distribué. Plus spécifiquement, nous montrons de quelle façon cette programmabilité peut contribuer à la protection de services cloud distribués, à travers la génération d'images unikernels fortement contraintes. Celles-ci sont instanciées sous forme de machines virtuelles légères, dont la surface d'attaque est réduite et dont la sécurité est pilotée par un orchestrateur de sécurité. Les contributions de cette thèse sont triples. Premièrement, nous présentons une architecture logique supportant la programmabilité des mécanismes de sécurité dans un contexte multi-cloud et multi-tenant. Elle permet l'alignement et le paramétrage de ces mécanismes pour des services cloud dont les ressources sont réparties auprès de différents fournisseurs et tenants. Deuxièmement, nous introduisons une méthode de génération à la volée d'images unikernels sécurisées. Celle-ci permet d'aboutir à des ressources spécifiques et contraintes, qui intègrent les mécanismes de sécurité dès la phase de construction des images. Elles peuvent être élaborées réactivement ou proactivement pour répondre à des besoins d'élasticité. Troisièmement, nous proposons d'étendre le langage d'orchestration TOSCA, afin qu'il soit possible de générer automatiquement des ressources sécurisées, selon différents niveaux de sécurité en phase avec l'orchestration. Enfin, nous détaillons un prototypage et un ensemble d'expérimentations permettant d'évaluer les bénéfices et limites de l'approche proposée / In this thesis, we propose an approach for software-defined security in distributed clouds. More specifically, we show to what extent this programmability can contribute to the protection of distributed cloud services, through the generation of secured unikernel images. These ones are instantiated in the form of lightweight virtual machines, whose attack surface is limited and whose security is driven by a security orchestrator. The contributions of this thesis are threefold. First, we present a logical architecture supporting the programmability of security mechanims in a multi-cloud and multi-tenant context. It permits to align and parameterize these mechanisms for cloud services whose resources are spread over several providers and tenants. Second, we introduce a method for generating secured unikernel images in an on-the-fly manner. This one permits to lead to specific and constrained resources, that integrate security mechanisms as soon as the image generation phase. These ones may be built in a reactive or proactive manner, in order to address elasticity requirements. Third, we propose to extend the TOSCA orchestration language, so that is is possible to generate automatically secured resources, according to different security levels in phase with the orchestration. Finally, we detail a prototyping and extensive series of experiments that are used to evaluate the benefits and limits of the proposed approach

Sécurité

Programmabilité

Cloud distribué

Orchestration

Unikernel

Security

Programmability

Distributed Cloud

Orchestration

Unikernel

005.8

Preuves de connaissances interactives et non-interactives

Blazy, Olivier

27 September 2012

Dans cette th ese, nous proposons et utilisons de nouvelles briques conduisant a des protocoles e caces dans le cadre d'une approche modulaire de la cryptographie. Tout d'abord dans un contexte non-interactif en s'appuyant sur les preuves Groth-Sahai, puis avec des interactions en permettant aux Smooth Projective Hash Functions de g erer de nouveaux langages. Dans un premier temps cette th ese s'appuie sur la m ethodologie introduite par Groth et Sahai pour des preuves de connaissance non-interactives pour d evelopper divers protocoles de signatures de groupe dans le mod ele standard, puis de signatures en blanc. Pour cela, nous proposons un syst eme permettant de signer un chi r e de mani ere telle que, sous r eserve de connaissance d'un secret ind ependant du protocole de signature, il soit possible de retrouver une signature sur un clair. Cette approche nous permet entre autre de proposer un protocole de signatures en blanc avec un nombre optimal d'interactions a la n duquel le demandeur peut utiliser une signature usuelle et ce sous des hypoth eses classiques dans le mod ele standard. Ensuite nous proposons une nouvelle m ethodologie pour faire des preuves implicites de connaissance dans un contexte interactif sans oracle al eatoire. Pour cela nous utilisons les smooth projective hash functions, dans un premier temps pour faire des Oblivious Signature-Based Envelopes, puis dans des protocoles d'authenti cation et de mise en accord de cl es. Ce faisant nous pr ecisons la notion de langage, et elargissons grandement le spectre des langages pouvant ^etre trait es a l'aide de ces SPHF. Gr^ace a ce r esultat nous introduisons le concept de LAKE (Language Authenticated Key Exchange) ou encore Echange de cl es authenti e par un langage : un moyen pour deux utilisateurs de se mettre d'accord sur une cl e si chacun poss ede un secret v eri ant une contrainte esp er ee par l'autre. Nous montrons alors comment instancier plusieurs protocoles d' echange de cl e sous ce regard plus effi cacement qu'avec les techniques actuelles, et nous prouvons la s ecurit e de nos instanciations dans le mod ele UC sous des hypoth eses usuelles.

Cryptographie

sécurité

programmabilité

Preuves

modèle standard

UC

SPHF

NIZK

signature

Will the Telco survive to an ever changing world ? Technical considerations leading to disruptive scenarios / Les opérateurs sauront-ils survivre dans un monde en constante évolution? Considérations techniques conduisant à des scénarios de rupture

Minerva, Roberto

12 June 2013

Le secteur des télécommunications passe par une phase délicate en raison de profondes mutations technologiques, principalement motivées par le développement de l'Internet. Elles ont un impact majeur sur l'industrie des télécommunications dans son ensemble et, par conséquent, sur les futurs déploiements des nouveaux réseaux, plateformes et services. L'évolution de l'Internet a un impact particulièrement fort sur les opérateurs des télécommunications (Telcos). En fait, l'industrie des télécommunications est à la veille de changements majeurs en raison de nombreux facteurs, comme par exemple la banalisation progressive de la connectivité, la domination dans le domaine des services de sociétés du web (Webcos), l'importance croissante de solutions à base de logiciels et la flexibilité qu'elles introduisent (par rapport au système statique des opérateurs télécoms). Cette thèse élabore, propose et compare les scénarios possibles basés sur des solutions et des approches qui sont technologiquement viables. Les scénarios identifiés couvrent un large éventail de possibilités: 1) Telco traditionnel; 2) Telco transporteur de Bits; 3) Telco facilitateur de Plateforme; 4) Telco fournisseur de services; 5) Disparition des Telco. Pour chaque scénario, une plateforme viable (selon le point de vue des opérateurs télécoms) est décrite avec ses avantages potentiels et le portefeuille de services qui pourraient être fournis / The telecommunications industry is going through a difficult phase because of profound technological changes, mainly originated by the development of the Internet. They have a major impact on the telecommunications industry as a whole and, consequently, the future deployment of new networks, platforms and services. The evolution of the Internet has a particularly strong impact on telecommunications operators (Telcos). In fact, the telecommunications industry is on the verge of major changes due to many factors, such as the gradual commoditization of connectivity, the dominance of web services companies (Webcos), the growing importance of software based solutions that introduce flexibility (compared to static system of telecom operators). This thesis develops, proposes and compares plausible future scenarios based on future solutions and approaches that will be technologically feasible and viable. Identified scenarios cover a wide range of possibilities: 1) Traditional Telco; 2) Telco as Bit Carrier; 3) Telco as Platform Provider; 4) Telco as Service Provider; 5) Telco Disappearance. For each scenario, a viable platform (from the point of view of telecom operators) is described highlighting the enabled service portfolio and its potential benefits

Programmabilité de services

Réseau nouvelle génération

Réseaux autonomes

Edge intelligence

Service programmability

Next generation network

Autonomics

Edge intelligence

Conception en technologie CMOS d'un Système de Vision dédié à l'Imagerie Rapide et aux Traitements d'Images

Dubois, Jérôme

27 August 2008

Les travaux que nous présentons dans ce mémoire portent sur la conception, le test et la réalisation de capteurs d'images monolithiques CMOS rapides et "intelligents" : le principe, les performances, les limites et les perspectives sont le corps de ce mémoire. L'implémentation matérielle d'un système de vision programmable en est l'articulation centrale. Nous avons mis au point une plate-forme expérimentale pour l'instrumentation et l'évaluation des opérateurs rétiniens. Après un état de l'art sur l'imagerie rapide et sur les capteurs CMOS, la deuxième partie de ce mémoire est consacrée à l'étude et à la conception du pixel du capteur d'images. Nous avons conçu deux circuits HISIC.I et HISIC.II en technologie standard CMOS 0,35 μm (double-poly, quadruple-metal). Le premier a permis de déterminer un nouveau modèle de photo-détecteur, et le second de réaliser un prototype de caméra embarquée dédiée à l'imagerie rapide et aux traitements d'images linéaire. HISIC intègre des traitements programmables au niveau même du pixel. C'est une machine massivement parallèle de 4096 processeurs analogiques arithmétiques interconnectés selon une grille 64×64 en topologie 4-connexe. Enfin, la dernière partie du mémoire s'articule autour de la validation expérimentale du capteur, tous les résultats et procédures expérimentales y sont regroupés.

Système embarqué

imagerie rapide

traitements d'images sur plan focal

parallélisme massif

technologie standard CMOS

recongurabilité

programmabilité

vision artificielle

SDN based service oriented control approach for future radio access networks / Approche de contrôle orientée services basée sur SDN pour les futurs réseaux mobiles

Aravinthan, Gopalasingham

16 June 2017

Le SDN (Software-Defined Networking) émerge comme une nouvelle architecture pour la programmation des réseaux. A l'origine, l'idée du SDN est de déplacer le plan de contrôle à l'extérieur des équipements, et de permettre ainsi un contrôle déporté de l'ensemble depuis une entité logicielle logique nommée "contrôleur". Le principal avantage d'une telle approche est de centraliser donc toute l'intelligence de gestion du réseau dans le contrôleur, qui s'appuie pour cela sur des protocoles standard et assure par ce biais la reprogrammation de la totalité de la partie du réseau sous son contrôle. L'évolution technologique vers le SDN est toujours en cours dans des scénarios de déploiement programmable et flexible des réseaux mobiles. Le NFV (Network Function Virtualization) est le processus de déplacement ou de migration des fonctions réseau d'un équipement dédié de réseau vers des serveurs génériques dans le Cloud. Les SDN et NFV sont deux technologies étroitement liées qui sont souvent utilisées ensemble. Le couplage fort entre les plans de contrôle et de données, ainsi que les limitations en matière de passage à l'échelle et de flexibilité, font que la virtualisation des réseaux mobiles actuels nécessite non seulement l'utilisation du Cloud Computing mais aussi les récentes innovations telles que SDN et NFV pour pouvoir permettre un déploiement à la demande des services réseaux (Network-as-a-Service) aux utilisateurs. Les lignes de recherche globales de cette thèse s'inscrivent dans deux principaux cas d'utilisation. Ces cas d'utilisation, bien qu'appelés de la "prochaine génération de réseaux mobiles", sont le "Telco" et le "Vertical", qui apparaissent ici couplés, les deux étant traditionnellement complètement séparés. Dans les cas d'utilisation de "télécommunications", nous exploitons les avantages de SDN pour avoir un cadre de contrôle flexible pour les réseaux d'auto-organisation (SON) et la division de traitement dynamique des utilisateurs. Dans le cas d'utilisation de "verticale", nous appliquons divers avantages du protocole SDN et OpenFlow pour utiliser efficacement les ressources radio du réseau de backhaul dans le système de communication train-sol. Notre cadre d'étude du SDN, en général, peut être une solution efficace et alternative pour la gestion RAN (Radio Access Network), c'est-à-dire pour des objectives comme l'optimisation des ressources radio, l'optimisation du réseau, la gestion de la mobilité et l'équilibrage de la charge, peuvent être atteint avec ce cadre. Grâce à l'analyse et l'expérimentation concrète des SDN et NFV pour le RAN, nous montrons que les solutions proposées dans ce travail peuvent apporter un faisceau d'avantages évidents aux réseaux mobiles tels que la flexibilité, la programmabilité, la gestion unifiée et la mise en œuvre de nouveaux services / Software-Defined Networking (SDN) has emerged as a new intelligent architecture for network programmability. The primary idea behind SDN is to move the control-plane outside the switches and enable external control of data-plane through a logical software entity called controller. Such approach benefits mobile network management by brining complete intelligence to the logically centralized controller. Network Function Virtualization (NFV) is the process of relocating or migrating network functions from dedicated hardware to generic servers. SDN and NFV are two closely related technologies that are often used together. The traditional mobile network architecture due to its strongest coupling between control and data planes along with limitations in scalability and flexibility requires the usage of cloud computing along with the recent revolutionary approaches in networking such as SDN and NFV to have an architecture that deploys on demand "Network-as-a-Service" for users. The global research focus of this thesis falls in to two main use cases of next generation mobile networks such as Telco and Vertical. In the telco use cases, we exploit the advantages of SDN to have flexible control framework for both Self-Organizing Networks (SON) and dynamic user processing split. In vertical use case, we apply various advantages of SDN and OpenFlow protocol to efficiently utilize the scare radio resources of wireless backhaul network in the train-to-ground communication system. Our SDN framework in general can be an efficient and alternative solution for RAN management i.e. Radio Optimization, Network Optimization, Mobility Management and Load Balancing can be achieved with such framework. Through analysis and experimentation of SDN frameworks for RAN, we shows that the proposed solutions can bring set of advantages to wireless networks such as flexibility, programmability, unified management, and enables new services

SDN

NFV

Optimisation radio

Gestion de la mobilité

Equilibrage de charge

Flexibilité

Programmabilité

Gestion unifiée

SDN

NFV

Radio optimization

Mobility management

Load balancing

Flexibility

Programmability

Unified management