Résumé

L'utilisation d'Internet doit pouvoir se faire en confiance pour l'utilisateur, mais cette sécurité a un coût pour les FAIs (Fournisseurs d'Accès à Internet) en terme de consommation de la bande passante et de calcul du matériel cryptographique. Dans un contexte de mobilité, cette sécurité doit être remise en place après chaque déplacement et pour chaque client. Ainsi, un nouveau type de mécanisme a vu le jour dans les instances de standardisation : le transfert de contexte. Celui-ci a pour but de transmettre, d'un équipement à un autre, les données adéquates pour que les services rendus n'aient pas de discontinuités. Ce mécanisme pourrait être un atout pour un opérateur car il lui permettrait d'assurer le même niveau de sécurité pendant les déplacements des usagers dans le réseau tout en ayant des coûts aussi bas que possible. Dans ce travail de thèse, nous avons utilisé le protocole CXTP (Context Transfer Protocol) défini à l'IETF (Internet Engineering Task Force) pour transférer des contextes de sécurité entre routeurs d'accès. Après une analyse pratique en utilisant l'outil AVISPA et une autre plus conceptuelle, nous avons prouvé que ce protocole n'est pas exempt de failles de sécurité. Nous avons donc défini une première solution destinée à combler ces failles, mais celle-ci dégrade les performances du transfert de contexte. Nous avons alors proposé une deuxième solution basée sur les adresses générées de manière cryptographique qui garantit le même niveau de sécurité que la première solution tout en étant aussi efficace que la spécification originelle de CXTP. Nous avons ensuite présenté deux cas d'utilisation du transfert de contexte pour la sécurité : PANA et IPsec. Dans le premier cas, nous avons isolé le contexte PANA et montré comment il peut être transféré avec CXTP. Dans le second cas, nous avons isolé les quatre contextes IPsec (SAD, SPD, PAD et IKE) et implémenté le transfert de contexte IPsec/IKEv1 par le protocole CXTP afin d'obtenir des résultats concrets. Les mesures de performances montrent que le transfert de contexte peut réduire de manière drastique le temps nécessaire au réétablissement d'un tunnel IPsec après déplacement du mobile. Nous avons également proposé une solution de gestion des collisions de SPIs après déplacement du mobile en utilisant MOBIKE lorsque les associations sont mises en place grâce à IKEv2. Nous avons montré que certains problèmes peuvent survenir après le déplacement d'un contexte, et qu'il est généralement nécessaire qu'il soit reconfiguré. Enfin, nous avons comparé par simulation le transfert de contexte et la pré-authentification pour PANA dans l'environnement OMNeT++. Même si les résultats obtenus montrent que le transfert de contexte permet d'obtenir de meilleures performances, nous pensons que les deux mécanismes sont complémentaires.

Titre traduit

QoS context mapping and mobility control between heterogeneous access networks in all IP-based networks

Pas de résumé disponible.