Graduate School and Research Center In communication systems

Architecture de sécurité pour réseaux mobiles

Samfat, Didier

Thesis

L'apparition de la mobilite a change la nature des systemes distribues a grande echelle. De nombreux services additionnels ont du etre developpes pour les reseaux fixes afin d'offrir une disponibilite globale aux utilisateurs. Le phenomene mobilite a introduit de nouveaux besoins en securite en comparaison aux traditionnels reseaux fixes. En effet, le manque de protection physique des points d'acces au reseau et la transmission sur la voie radio sont les causes principales de la vulnerabilite des reseaux mobiles. Dans les reseaux mobiles existants tels que gsm et cdpd, les protocoles d'authentification sont bases sur une politique de securite qui exige que les accreditations de l'utilisateur soient centralisees dans leur domaine d'affiliation. Ces mecanismes d'authentification sont limites par les hypotheses restrictives imposees lors de leur elaboration et presentent des faiblesses lorsque le reseau global est gere par plusieurs autorites administratives differentes. En outre, l'authentification de l'utilisateur exige que ce dernier possede une carte a puce ou un equipement d'acces au reseau personnel. Devant la difficulte de garantir de telles hypotheses d'une facon generale, nous avons defini une nouvelle approche pour l'authentification qui puisse etre utilisee dans des reseaux mobiles de topologies differentes (reseaux cellulaires ou reseaux fixes offrant le service de la mobilite) et partages en domaines geres par des autorites administratives differentes. Toutefois, le fait d'introduire des mecanismes d'authentification dans un reseau mobile, induit un nouveau besoin: l'anonymat. En effet, l'authentification necessite de fournir une identification et de la prouver. Un tiers malveillant peut capter cette information et savoir qui accede au reseau, ou et a quel moment. De ce fait, la filature de l'utilisateur devient aise car un intrus peut effectuer une correlation entre l'identite de l'utilisateur et le lieu d'ou celle-ci a ete transmise. Afin de pallier cette faiblesse, nous avons mis au point une methode cryptographique sure pour le calcul d'alias permettant de garantir une parfaite confidentialite de l'identite aux usagers. Enfin, comme les mecanismes de securite bases sur la prevention ne peuvent pas preserver le reseau mobile contre las attaques tels que les malveillances de l'utilisateur legitime, le vol de l'unite mobile et les fraudes a l'abonnement, nous avons developpe une architecture de detection d'intrusion pour les reseaux mobiles cellulaires. Notre systeme permet de detecter un intrus en temps reel sans avoir une connaissance a priori du comportement normal de l'utilisateur. En outre, il n'est plus necessaire de transferer a un site central les donnees d'audit pour detecter un intrus. L'idee de base consiste a communiquer a l'entite distante gerant le mobile des informations statistiques de faible volume permettant de verifier le comportement de l'utilisateur

Bibtex

Type:Thesis
Language:French
Date:
Department:Networking and Security
Eurecom ref:892
Copyright: © ENST Paris. Personal use of this material is permitted. The definitive version of this paper was published in Thesis and is available at :
Bibtex: @phdthesis{EURECOM+892, year = {1996}, title = {{A}rchitecture de s{\'e}curit{\'e} pour r{\'e}seaux mobiles}, author = {{S}amfat, {D}idier}, school = {{T}hesis}, month = {01}, url = {http://www.eurecom.fr/publication/892} }