A trust framework for real-time web communications

par Ibrahim Tariq Javed

Thèse de doctorat en Informatique et réseaux

Sous la direction de Noël Crespi.

Soutenue le 04-10-2018

à Evry, Institut national des télécommunications , dans le cadre de École doctorale Informatique, télécommunications et électronique (Paris) , en partenariat avec Université Pierre et Marie Curie (Paris) (1971-2017) (Université) , Département Réseaux et Services Multimédia Mobiles / RS2M (laboratoire) et de Services répartis- Architectures- MOdélisation- Validation- Administration des Réseaux / SAMOVAR (laboratoire) .

Le président du jury était Joaquin Garcia-Alfaro.

Le jury était composé de Rami Langar, Tiziana Margaria-Steffen.

Les rapporteurs étaient JeaSeung Song, Gyu Myoung Lee.

  • Titre traduit

    Mécanisme de confiance pour les communications web en temps réel


  • Résumé

    Les services de conversation Web en temps réel permettent aux utilisateurs d'avoir des appels audio et vidéo et de transférer directement des données sur Internet. Les opérateurs OTT (OTT) tels que Google, Skype et WhatsApp proposent des services de communication économiques avec des fonctionnalités de conversation évoluées. Avec l'introduction de la norme de Web Real Time Communication (WebRTC), n'importe quelle page Web peut désormais offrir des services d'appel. WebRTC est utilisé comme technologie sous-jacente pour déployer de nouvelles plateformes de communication centrées sur le Web. Ces plates-formes visent à offrir de nouvelles méthodes modernes de contact et de communication sur le web. Contrairement aux réseaux de télécommunication traditionnels, les identités sur le Web sont basées sur des profils d'utilisateur et des informations d'identification auto-affirmés. Par conséquent, les opérateurs Web sont incapables d'assurer la fiabilité de leurs abonnés. Les services de communication Web restent exposés à des menaces dans lesquelles le contexte social entre les parties communicantes est manipulé. Un attaquant se définit comme une entité de confiance pour transmettre de fausses informations à l'utilisateur ciblé. Les menaces typiques contre le contexte social comprennent la fausse représentation d'identité, l’hameçonnage, le spam et la distribution illégale de contenu. Afin d'assurer la sécurité sur les services de communication Web, la confiance entre les parties communicantes doit être établie. La première étape consiste à permettre aux utilisateurs d'identifier leurs participants communicants afin de savoir avec qui ils parlent. Cependant, l'authentification seule ne peut garantir la fiabilité d'un appelant. De nouvelles méthodes d'estimation de la réputation de l'appelant devraient également être intégrées dans les services d'appel Web. Par conséquent, dans cette thèse, nous présentons un nouveau cadre de confiance qui fournit des informations sur la fiabilité des appelants dans les réseaux de communication Web. Notre approche est organisée en quatre parties. Premièrement, nous décrivons la notion de confiance dans la communication web en temps réel. Un modèle de confiance est présenté pour identifier les relations de confiance nécessaires entre les entités d'un système de communication. Les paramètres requis pour calculer la confiance dans les services de communication Web sont officiellement introduits. Deuxièmement, nous montrons comment les protocoles Single-Sign-On (SSO) peuvent être utilisés pour authentifier les utilisateurs d'une manière Peer-to-Peer (P2P) sans dépendre de leur fournisseur de service. Nous présentons une comparaison entre trois protocoles d'authentification appropriés (OAuth, BrowserID, OpenID Connect). La comparaison montre que OpenID Connect est le meilleur candidat en termes de confidentialité des utilisateurs. Troisièmement, un modèle de calcul de confiance est proposé pour mesurer la fiabilité des appelants dans un réseau de communication. La légitimité et l'authenticité d'un appelant sont calculées à l'aide de recommandations, tandis que la popularité d'un appelant est estimée en utilisant son comportement de communication. Un abonné d'un service de communication sera capable de visualiser la confiance calculée d'autres membres avant d'initier ou d'accepter une demande d'appel. Enfin, la réputation d'un appelant est utilisée pour lutter contre les appels nuisibles générés sur les réseaux de communication. Les appels de nuisance sont décrits comme des appels de spam non sollicités en masse générés sur un réseau de communication à des fins de marketing et de tromperie. Les enregistrements de données d'appel et les commentaires reçus par les parties communicantes sont utilisés pour déterminer la réputation de l'appelant. La réputation évaluée est utilisée pour différencier les spammeurs et les appelants légitimes du réseau


  • Résumé

    Real-time web conversational services allow users to have audio and video calls over the Internet. Over-The-Top operators such as Google and Facebook offer cost-effective communication services with advanced conversational features. With the introduction of WebRTC standard, any website or web application can now have built-in communication capabilities. WebRTC technology is expected to boost Voice-Over-IP by making it more robust, flexible and accessible. Telco operators also intend to use the underlying technology to offer communication services to their subscribers over the web. Emerging web-centric communication platforms aims to offer modern methods of contacting and communicating over the web. However, web operators are unable to ensure the trustworthiness of their subscribers, since identities are based on self-asserted user profiles and credentials. Thus, they remain exposed to many social threats in which the context between communicating parties is manipulated. An attacker usually misrepresents himself to convey false information to the targeted victim. Typical social threats include phishing, spam, fraudulent telemarketing and unlawful content distribution. To ensure user security over communication networks, trust between communicating parties needs to be established. Communicating participants should be able to verify each other’s identity to be sure of whom they are talking to. However, authentication alone cannot guarantee the trustworthiness of a caller. New methods of estimating caller’s reputation should also be built in web calling services. In this thesis, we present a novel trust framework that provides information about the trustworthiness of callers in web communication networks. Our approach is organized in four parts. Firstly, we describe the notion of trust in real-time web communication services. A trust model approach is presented to formally introduce the trust computation parameters and relationships in a communication system. Secondly, we detail the mechanism of identity provisioning that allows communicating participants to verify each other’s identity in a Peer-to-Peer fashion. The choice of authentication protocol highly impacts user privacy. We showed how OpenID Connect used for Single-Sign-On authentication purposes can be effectively used for provisioning identities while preserving user privacy. Thirdly, a trust computational model is proposed to measure the trustworthiness of callers in a communication network. The legitimacy and genuineness of a caller’s identity is computed using recommendations from members of the network. On the other hand, the popularity of a caller is estimated by analyzing its behavior in the network. Each subscriber will be able to visualize the computed trust of other members before initiating or accepting a call request. Lastly, the reputation of a caller is used to combat nuisance calls generated over communication networks. Nuisance calls are described as unsolicited bulk spam phone calls generated for marketing and deceptive purposes. Caller’s reputation is computed using the diversity of outgoing calls, call duration, recommendations from called participants, reciprocity and repetitive nature of calls. The reputation is used to differentiate between legitimate and nuisance calls generated over the network


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Télécom SudParis et Institut Mines-Télécom Business School. Médiathèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.