OK

Thèse Sécurité des infrastructures des réseaux 5G F/H

ref : 0021630 | 19 avr. 2019

date limite de candidature : 31 juil. 2019

4 rue du clos Courtel 35510 CESSON SEVIGNE - France

votre rôle

Votre rôle est d'effectuer un travail de thèse sur « Sécurité des infrastructures des réseaux 5G ».

Contexte global du sujet de thèse et état de l'art

La 5G devrait fournir un réseau plus flexible et dynamique offrant de nouvelles opportunités aux utilisateurs finaux et des services inédits. Une technologie clé de la 5G est la softwarisation du réseau, notamment NFV (Network Function Virtualization) et SDN (Software Defined Network). Cela implique qu'un noeud de réseau sera constitué d'une plate-forme matérielle Physique et d'une ou plusieurs fonctions réseau virtualisées (Virualized Network Function, VNFs) s'exécutant sur une ou plusieurs machines virtuelles. Ces nouvelles structures et technologies introduiront de nouveaux rôles dans le contexte de la 5G. La nouvelle vue d'ensemble d'un réseau mobile sera la suivante [ENSURE]. Un MNO construit son réseau 5G en utilisant des infrastructures fournies par un ou plusieurs fournisseurs d'infrastructures et des VNFs fournies par un ou plusieurs fournisseurs de VNFs, puis établit un ensemble de réseaux virtualisés,(« slices » en anglais), pour les fournisseurs de services et les verticaux (e.g., IoT, e-santé, industrie 2.0). Le modèle de confiance classique à trois parties (utilisateur final, MNO et fournisseur de services) ne s'applique malheureusement plus dans ce contexte. Par ailleurs, les rôles décrits précédemment peuvent être assumés par différentes parties prenantes. Ce changement de paradigme induit dès lors de nombreux défis : comment le MNO peut-il vérifier l'état de son réseau? Comment le MNO peut-il maintenir la sécurité du réseau? Comment le MNO peut-il prouver aux verticaux et aux fournisseurs de services utilisant son réseau que ce dernier offre bien les fonctionnalités souhaitées et respecte bien les propriétés attendues (par exemple, géolocalisation restreinte des noeuds du réseau, exigences de transit des flux, faible temps de latence…). Dans ce contexte, des mécanismes permettant au MNO de vérifier ce qui se passe dans le réseau s'avèrent essentiels. Aussi un des axes de recherche de cette thèse portera sur les protocoles sécurisés « d'attestation à distance » (secure remote attestation en anglais) qui visent à améliorer la sécurité des infrastructures des réseaux 5G.

Les protocoles d'attestation sécurisés constituent une composante clé de « l'informatique de confiance » (Trusted Computing en anglais) [TPM11, TEE11, SGX09]. De tels protocoles permettent à un « attestateur » de fournir une « preuve fiable » (attestation), à une ou plusieurs parties distantes, qu'une certaine propriété ou fonctionnalité (e.g., la géolocalisation d'un noeud réseau, l'intégrité de fonctionnement) est bien satisfaite. Dans le contexte de la 5G, la partie distante pourrait par exemple être un serveur de monitoring du MNO et l'attestateur un noeud du réseau du MNO exécutant une ou plusieurs VNFs. De nombreuses solutions de protocoles d'attestation à distance ont été proposées dans la littérature. [KDE10] décrit par exemple un protocole d'attestation à distance permettant de prouver (1) qu'un secret a été généré et stocké à l'intérieur de l'environnement sécurisé ObC (Nokia Trusted Execution Environment) et (2) que ce secret n'est utilisé que par des applications autorisées à le faire. Ces dernières peuvent être à l'intérieur ou l'extérieur de l'environnement sécurisé. Dans [YWL13], Yu et al. proposent de combiner TLS et le concept d'attestation à distance afin de disposer d'un canal sécurisé et d'une architecture de collecte de mesures intègres. Jaquin et al., dans [JSC15], présentent pour leur part une solution d'attestation à distance basée sur le matériel pour les routeurs et les commutateurs, afin de déterminer si le trafic est acheminé vers la destination voulue.

votre profil

Vous êtes titulaire d'un Master ou d'un diplôme d'ingénieur en Sécurité informatique.

Compétences (scientifiques et techniques) et qualités personnelles souhaitées par le poste :

  • Très bonnes connaissances en sécurité : cryptographie
  • Très bonnes connaissances des réseaux mobiles et IP
  • Compétence en programmation (langages C, Java)
  • Anglais : compétence professionnelle.

le plus de l'offre

Objectif scientifique - verrous à lever

L'objectif de la thèse est de proposer des solutions efficaces et sécurisées de protocoles d'attestation à distance permettant de fournir une preuve de « transit du flux » ainsi que la géolocalisation des noeuds dans le réseau, tout en garantissant la sécurité et la disponibilité du réseau mobile.

Les verrous scientifiques.

Une limitation des protocoles d'attestation précédemment décrits dans la première section est leur temps de latence dans un scénario réaliste. Dans un véritable réseau mobile qui héberge un grand nombre de plates-formes différentes (impliquant plusieurs autorités de certification de confiance) supportant différentes versions et différents types de secrets, ce temps de latence serait malheureusement rédhibitoire. Pour la preuve de transit par exemple (dont l'objectif est de prouver que le flux a transité uniquement par un ensemble de routeurs autorisés), il existe des solutions basées sur des signatures agrégées [ACA07]. Cependant, ces solutions ont deux limitations principales. La première est que la preuve prouve que le trafic a transité par des noeuds donnés. Elle ne garantit pas que ce trafic a « uniquement » transité par un ensemble de noeuds du réseau bien spécifiques. La seconde est que les solutions actuelles permettent au vérifieur de connaître les noeuds exacts par lequel le trafic a transité. Cela peut être une source d'attaques par « empreintes digitales » et peut porter atteinte à la sécurité du réseau mobile.

Approche méthodologique-planning

Etat de l'art:

  • Comprendre l'architecture du réseau 5G, son écosystème et ses contraintes notamment pour des cas d'usage liés à l'e-santé et la distribution de l'électricité.
  • Etude de l'état de l'art des protocoles d'attestation.
  • Etude de l'état de l'art des signatures agrégées ainsi que les preuves à divulgation nulle de connaissance (Zero knowledge en anglais).

Propositions:

  • Proposer des protocoles permettant à l'opérateur (1) de prouver que le flux transite exclusivement par un ensemble de routeurs autorisés et ce sans en divulguer le chemin exact (l'identifiant des différents routeurs) et (2) prouver qu'un noeud de réseau donné (matériel + logiciel) se trouve dans une zone géographique donnée mais sans en révéler l'emplacement exact tout en prenant en compte l'aspect dynamique du réseau 5G.

Validation:

  • Valider la sécurité des solutions proposées aux moyens d'outils adéquats, par exemple au travers d'une validation via un outil automatique de vérification formelle tel que TAMARIN, ProVERIF ou DEEPSEC pour les protocoles réseaux et par des « preuves de sécurité par jeux » pour les protocoles cryptographiques.

Implémentation:

  • Implémenter les solutions proposées.

Rédaction du manuscrit de thèse.

entité

Le doctorant rejoindra le département Sécurité (SEC) d'Orange Labs. Il travaillera en collaboration avec des chercheurs renommés dont les activités sont variées et comprennent notamment la cryptographie, la sécurité des réseaux mobiles, du "Cloud computing", de la "Privacy" (respect de la vie privée), et du monitoring de la sécurité.

Qu'est ce qui fait la valeur ajoutée de cette offre ?

Le thésard intégrera une équipe de recherche dynamique ayant une renommée internationale dans les domaines de la cryptographie, de la sécurité des réseaux et des services mobiles. Il pourra participer à des projets collaboratifs français, franco-anglais et européens. Enfin, le sujet de la thèse s'inscrit dans le coeur des problématiques des nouveaux réseaux 5G ainsi qu'aux cas d'usage qui lui sont associés (e.g., e-santé).

Références :

[ENSURE] 5G-ENSURE, «Deliverable D2.1 Use Cases,» 2016.

[JSC15] Ludovic Jacquin, Adrian L. Shaw, Chris I. Dalton: Towards trusted software-defined networks using a hardware-based Integrity Measurement Architecture. NetSoft 2015: 1-6

[KDE10] Kari Kostiainen, Alexandra Dmitrienko, Jan-Erik Ekberg, Ahmad-Reza Sadeghi, N. Asokan: Key Attestation from Trusted Execution Environments. TRUST 2010: 30-46

[TEE11] GlobalPlatform Device Technology, «TEE System Architecture; Version 1.0,» 2011.

[TPM11] Trusted Comuting Group, «TPM Main Specification,» March 2011. [Online]. Available: http://www.trustedcomputinggroup.org/tpm-main-specification/.

[SGX09] David Grawrock. Dynamics of a Trusted Platform: A building block approach. Intel Press, 2009.

[YWL13] Yue Yu, Huaimin Wang, Bo Liu, Gang Yin: A Trusted Remote Attestation Model Based on Trusted Computing. TrustCom/ISPA/IUCC 2013: 1504-1509

[ACA07] Alexandra Boldyreva, Craig Gentry, Adam O'Neill, Dae Hyun Yum: Ordered Multisignatures and

Identity-Based Sequential Aggregate Signatures, with Applications to Secure Routing. 14th ACM Conference on Computer and Communications Security, CCS 2007, pp. 276-285, S. De Capitani di Vimercati and P.Syverson eds., ACM Press, 2007.

contrat

Thèse

Orange

top employer FR-2019 Happy Candidates - Happy AT WORK

en savoir plus sur nos  étapes de recrutement