Plan de cette présentation - HAL archive ouverte · Soutenance HDR ‐N. Larrieu ‐13/06/2014 3 Plan de cette présentation 1. Parcoursprofessionnel 2. Contexte d’un environnementréseaucontraint

Soutenance HDR ‐ N. Larrieu 13/06/2014

1

Contribution à l’amélioration de la qualité de service et de la sécurité pour les communications de données en

environnement réseau contraint

Nicolas LARRIEU

Vendredi 13 juin 2014

Ecole Nationale de l’Aviation Civile (ENAC)

Laboratoire ENAC/TELECOM Groupe de recherche ResCo (Réseaux de Communication)

Soutenance HDR ‐ N. Larrieu ‐ 13/06/2014 2

Objectifs de cette présentation

• Contexte et problématique de recherche• Mes contributions recherche• Bilan de mes activités : recherche, enseignement et responsabilitéscollectives


Plan de cette présentation

1. Parcours professionnel

2. Contexte d’un environnement réseau contraint et ses enjeux en matière de Qualitéde Service (QdS) et sécurité

3. Présentation des activités de recherche menées :– Caractérisation et modélisation du trafic aéronautique– Premier lien entre QdS et sécurité pour les environnements aéronautiques– Ingénierie orientée modèle pour la certification de systèmes complexes– Contribution à la robustesse des communications pour les flottes drones

4. Bilan et perspectives– Résumé et limites de mes travaux de recherche– Perspectives scientitiques à court et moyen terme– Synthèse de mon activité d’enseignant‐chercheur




2. Contexte d’un environnement réseau contraint et ses enjeux en matière de QdSet sécurité




Parcours professionnel

• Juin 2002: Ingénieur INSA (Toulouse) département Génie Electrique et Informatique, spécialité Réseaux et Télécommunications

• Septembre 2002: DEA Réseaux & Télécommunications INP Toulouse

• Juillet 2005 : thèse de doctorat (LAAS‐CNRS) “Contrôle de congestion et gestion du trafic à partir de mesures pour l’optimisation de la QdS dans l’Internet”

• Août 2005 : séjour postdoctoral au KAIST (Korean Advanced Institute of Technology) dans l’équipe AN Lab (Advanced Networking Laboratory)

• Septembre 2006 : enseignant‐chercheur à l’ENAC (Toulouse) dans le domaine des réseaux et télécommunications

– Département d’enseignement SINA : Sciences et Ingénierie de la Navigation Aérienne– Laboratoire TELECOM, groupe de recherche ResCo (RESeaux de COmmunicaiton)

Parcours Introduction Activités Bilan








Contexte

• Réseau de communication contraint– Niveau limité de ressources : calcul, réseau ou énergétique– Réseauxmobiles avec une ou plusieurs liaisons sans fil : satellite, Wifi

ou Wimax Niveau de service plus faible qu’un réseau “classique” filaire (ie. en termes de

débit, délai ou encore taux de perte)

– Deux domaines d’application dans les travaux présentés : • Communications de données dans le contexte aéronautique• Echanges de données par une flotte de drones (UAS : Unmanned Aerial

System)



Amélioration des communications de données pour un réseau de communication contraint (1)

• Contexte aéronautique [ARINC 664 P5] : mutualisation d’un lien unique de communication


Evolut

ions…



• Contexte aéronautique : traitement conjoint des approches“security” et “safety”– “Safety” : propriétés intrinsèques des systèmes leur permettant de

résister aux dysfonctionnements (concept de sécurité‐innocuité)– “Security” : protections contre les menaces volontaires (concept de

sécurité‐immunité)

• Pour une prise en compte : – Des niveaux d’assurance logicielle (DAL ou Design Assurance Level)

“safety” permettant la certification du produit final (cf. [DO 178 B] et [DO 178 C])

– ET des niveaux d’évaluation (EAL ou Evaluation Assurance Level) “security” permettant l’évaluation du système final (cf. [ISO 15 408])




• Contexte UAS :– UAANET: UAv (Unmanned Aerial Vehicle) Ad hoc NETwork

– Spécificités (par rapport aux autres types de MANET)• Faibles ressources énergétiques et CPU (par rapport VANET ou AANET)• Modèles de mobilité différents (par rapport à des déplacements rectilignes

de type VANET)• Comportements autonomes ou semi‐autonomes (liaisons bi‐directionnelles

air sol et / ou entre drones, non présentes en WSN)

– Prises en compte pour la définition de mécanismes de routage, de garantie de la QdS ou encore de sécurité du réseau



Objectifs des travaux de recherche

1. Prise en compte du caractère contraint et hétérogène de l’environnement réseau dans lequel les communications de données sont réalisées

2. Améliorer les mécanismes de QdS et de sécurité pour cetenvironnement

3. Intégrer les aspects certification et évaluation des solutions proposées lorsque cela est possible



AspectQdS

Thèse S. Ben Mahmoud (projet SESAR WP 15.2.7)

Structuration de la contribution recherche


Thèse S. Ben Mahmoud (projet FAST)

Thèse A. Varet (projet MILSAVION)

Aspect évaluation“security”

Aspect certification

“safety”

Thèse O. Bouachir (projet D3COS)

Thèse J-A Maxa (projet SUANET)

Caractérisationdu trafic

aéronautique

Architecture de gestionadaptative de la sécurité

PKI aéronautique

Méthode d’analysede risque quantitative


AspectQdS





aéronautique




PKI aéronautique

Méthodologie de prototypage rapidepour systèmes embarqués critiques

Routeur embarquésûr et sécurisé (SNG)



“safety”





AspectQdS





aéronautique




PKI aéronautique





“safety”



Architecture à QdS garantiepour flotte de drones

Architecture de sécuritépour flotte de drones

Modèle de mobilitépour UAV




AspectQdS





aéronautique




PKI aéronautique





“safety”






Caractérisation et modélisation de trafic



AspectQdS





aéronautique




PKI aéronautique





“safety”









AspectQdS





aéronautique




PKI aéronautique





“safety”














Caractérisation du trafic aéronautique

• Analyse des propriétés du trafic aéronautique– Document de référence Eurocontrol/FAA Communications

Operating Concept and Requirements for the Future Radio System (trafic opérationnel) [COCR]

– Etudes issues de l’Internet (trafic non opérationnel) [Orange, 2001]

• Différentes classes de trafic : ATSC, AOC+AAC et APC– Trafic opérationnel : modélisation à l’aide de machine à état– Trafic non opérationnel : modélisation à l’aide de sources ON‐OFF



Modélisation du trafic aéronautique


Trafic opérationnel (ATSC, AOC+AAC) Trafic non opérationnel (APC)

• Génération des enveloppes de trafic adéquates, outil Open Source GPLv3 disponible : http://www.recherche.enac.fr/~avaret/sourcesonoff• Application : études de performance en simulation, émulation ou environnement réel


Principes de gestion adaptative de la sécurité

• Constat :– Trafic aéronautique hétérogène : besoins de QdS et criticité sécurité

différents (ex. trafic ATC CPDLC vs. Internet APC)– Ressources systèmes et réseaux limitées (ex. lien SatCom à qq Kbps)

• Propositions :– Mécanisme adaptatifde gestion de la sécurité– Architecture SecMan– PKI aéronautique limitant les échanges entre le sol et l’avion



Détails de fonctionnement du SecMan


Algorithme AHP [Bhushan, 2004] d’optimisation multicritèreMCDMA

Algorithme de sélection de la politique de sécurité optimale

AHP : Analytical Hierarchy ProcessMCDMA : Multi Criteria Decision Making Approach SSPD : Supported Security Protocol Database


Validation en environnement émulé de l’architecture SecMan


Plateforme expérimentale du projet FAST

Validation de la gestion adaptativede la politique de sécurité

Génération d’un traficaéronautique réaliste


Ingénierie orientée modèle (MDE) pour la certification de systèmes complexes

• Constat :– Systèmes COTS difficilement certifiables pour l’aéronautique (i.e. à un coût

financier acceptable)– Systèmes aéronautiques de plus en plus complexes

• Besoin :– Solution d’ingénierie pour alléger la phase de conception et de validation de ces

systèmes– Publication [DO 178 C] et [DO 331] : reconnaissance de la maturité des outils de

MDE par les organismes de certification (FAA, EASA)

• Propositions : – Utilisation de l’ingénierie orientée modèle pour la certification de systèmes

complexes Définition d’uneméthodologie de prototypage rapide orientée modèle

– Traitement conjoint des aspects “safety” et “security” dans le développementlogiciel du système



Principes de notre méthodologie de prototypage rapide(intégrée dans un cycle de développement en V)



Utilisation de cette méthodologie



Bénéfices de cette démarche MDE

• Apports de l’utilisation de modèles en amont du développement :

– Vérification, correction et validation du code généré au plus tôt (cf. techniques de “model checking”)

– Génération automatique de code (cf. outil Geneauto) [Toomet al., 2010] : garantie que le code correspond parfaitementau modèle

– Compatible avec la certification aéronautique en suivant les recommandations [DO 178 C] et [DO 331]

– Classes portables, réutilisables pour d’autres projets : initialement domaine aéronautique et maintenant UAS



Robustesse des communications pour les flottesde drones (1)

• Constat : variabilité des communications dans un UAS – Topologie : connectivité, ressources disponibles– Déplacement : mission, vitesse des agents

• Cahier des charges : garantir certains trafics prioritaires (ex. flux contrôle / commande vs. charge utile échangée)

– Prise en compte au niveau de la couche réseau– Pas de solution à garantie de QdS répondant au cahier des charges (cf.

[INSIGNA] et [SWAN])

• Proposition : architecture de QdS pour agents collaboratifs– Architecture DAN : DCoS Ad hoc Network– Principes : différenciation par flux sans la modification de l’entête des

paquets



Robustesse des communications pour les flottesde drones (2)


1. Conception de l’architecture2. Validation en simulation

• Définition d’un nouveau modèle de mobilité réaliste

3. Test en environnement réel• Drones Paparazzi (ENAC)




2. Contexte d’un environnement réseau contraint et ses enjeux en matière de QdS et sécurité

3. Descriptif des activités de recherche menées :– Caractérisation et modélisation du trafic aéronautique– Premier lien entre QdS et sécurité pour les environnements aéronautiques– Ingénierie orientée modèle pour la certification de systèmes complexes– Contribution à la robustesse des communications pour les flottes drones



Résumé des domaines de recherche étudiés


XXXFAST

XXD3COS

XXXMILSAVION

XXSESAR WP 15.2.7

Certification de systèmes

Architecture de sécurité

Gestion de la QdSCaractéristation et modélisation de

trafic


Conclusions et limites des travaux présentés

Approche incrémentale pour le traitement des aspects QdS et sécurité en environnement contraint

Différents domaines d’application : aéronautique, drone Contributions de la conception à la réalisation

• Preuve de concept : module SecMan (projet FAST)• Cible réelle : réseau adhoc drones Paparazzi• Prototype fonctionnel (TRL 4) : routeur SNG (collaboration Thalès)

Absence de traitement des aspects “security” et certification (“safety”) pour le contexte drone

Redondance de la méthode de conception : → Mutualisation de certains traitements certification (“safety”) vs.

évaluation (“security”) ?



Perspectives à court terme

1. Traitement des aspects “security” et certification (“safety”) pour la partiedrone

• Développement d’une architecture sécurisée pour les communications de drones

• Projet SUANET (Thèse CIFRE ‐ entreprise Delair Tech)• Contribution à la sécurisation d’un UAANET : routage, PKI et échanges applicatifs• Intégration dans l’espace aérien traditionnel : apport des méthodes de conception

orientée modèle pour certifier les différentes fonctions des UAVs

2. Fusion de la méthode de conception : mutualisation de certains traitementcertification (“safety”) vs. “security”

• Définition d’une architecture à QdS et sécurité garanties dans un contextede liaison multi‐lien aéronautique

• Projet SESAR 15.2.4 : architecture de communication pour le ciel unique européen



A plus long terme…

1. Développement des aspects QdS pour les UAANET– Routage basé sur la QdS : exploitation du concept de multi‐

chemin dû à la caractéristique hautement maillée du réseau – Application à l’architecture DAN

2. Analyse des mécanismes de sécurisation pour les réseauxad hoc aéronautique (AANET)

3. Application de la méthode de prototypage rapide pour système complexe à d’autres contextes que le domaineréseau : système d’évitement de collision avionique, FMS, contrôle‐commande d’UAV…



Postdoc S. Ben MahmoudThèse S. Ben Mahmoud

Actions de recherche

Parcours Introduction Activités Synthèse20

02

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

Intégration de l’ENACLaboratoire TELECOMDépartement SINA

Analyse de risque

Architecture de gestion de la sécurité

Caractérisationde trafic

QdS

Analyse de risque QdS



Certification

QdS



Certification


Thèse et postdoc N. Larrieu

Robustessede l’Internet

DEA

Sécuritéde l’Internet


Doctorat

M2R et Thèse A. Varet

Thèse O. Bouachir

Thèse J.-A. Maxa


Projets scientifiques


02

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

Metropolis(membre) 200 k€

Metrosec(membre) 200 k€

FAST(membre) 150 k€

SESAR 15.2.7(membre) 50 k€

D3COS(membre) 200 k€

WG EUROCAE 82 (participant) : new air grounddatalink technologies


MILSAVION(responsable) 75 k€

SESAR 15.2.7(responsable)

150 k€


150 k€<

SUANET(responsable) 180 k€



150 k€


150 k€<




150 k€


150 k€<



150 k€


150 k€<


150 k€




150 k€<


150 k€


Responsabilités pédagogiques


02

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014


Enseignant référent pour la sécurité réseau à l’ENAC

Définition cursusSSI pour la DSNA

Responsable pédagogique du stage SECRE

Responsable pédagogiquedu stage SECRE++

Représentant au conseildes études de l’ENAC


Synthèse

Production scientifique

• (Co‐)encadrements• Thèses : 2 soutenues, 2 en cours• Master Recherche (5)• Diplôme ingénieur (2)

• Publications• Ouvrages (2)• Chapitres d’ouvrages (2)• Journaux (10)• Conférences (34)• Papiers invités (2)• Rapports de contrat (21)

• Comités de lecture : 4 journaux et 8 conférences

• Co‐président du Workshop WAS’COM en 2014 (conférence IEEE COMPSAC)

Parcours Introduction Activités


Questions ?

Contribution à l’amélioration de la qualité de service et de la sécurité pour les

communications de données en environnement réseau contraint

Nicolas LARRIEU ([email protected])

ENAC/TELECOM/ResCo


Références[ARINC 664 P5] Aircraft Data Network, Part 5, Network Domain Characteristics and Interconnection, 04/2005.[Bushan, 2004] Bhushan, Navneet, Kanwal Rai. 2004. Strategic Decision Making: Applying the Analytic Hierarchy Process.[COCR] Communications Operating Concept and Requirements (COCR) for the Future Radio System, version 2.0, 03 2006.[DO 178 B] SC‐167 DO‐178B, Software considerations in airborne systems and equipment certification, Radio Technical

Commission for Aeronautics, 12/1/1992.[DO 178 C] SC‐205 DO‐178C, Software considerations in airborne systems and equipment certification, Radio Technical

Commission for Aeronautics, 12/13/2011.[DO 297] SC‐200 DO‐297. Integrated modular avionics (ima) development guidance and certification considerations, Radio

Technical Commission for Aeronautics, 11/08/2005.[DO 331] SC‐205 DO‐331. Model‐based development and verification supplement to DO‐178C and DO‐278A, Radio Technical

Commission for Aeronautics, 12/13/2011.[Huyck, 2010] Patrick Huyck, SKPP Conformance ‐ Activities and Considerations to Achieve Certification. In 2010 IEEE/AIAA 29th

Digital Avionics Systems Conference, pages 4.A.6–1–4.A.6–8, October 2010.[INSIGNIA] S. Lee and A. Campbell, “Insignia: In‐band signaling support for QoS in mobile ad hoc networks,” in Proc of 5th

International Workshop on Mobile Multimedia Communications (MoMuC), (Berlin, Germany), October 1998.[ISO 15 408] Common Criteria for Information Technology Security Evaluation Part 1 to part 4, July 2009.[Land et Elliot, 2009] Ian Land & Jeff Elliott, Architecting ARINC 664, Part 7 (AFDX) Solutions, rapport technique, Xilinx ‐ XAPP1130

(v1.0.1), 05 2009.[Orange, 2001] P. Olivier and N.Beameur, Flow level ip traffic characterization, ITC 17, Salvador, Brazil, 12/2001.[SWAN] G.‐S. Ahn, A. Campbell, A. Veres, and L.‐H. Sun, “Swan: service differentiation in stateless wireless ad hoc networks,” in

INFOCOM 2002. Twenty‐First Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE, vol. 2, pp. 457–466 vol.2, 2002.

[Toom et al., 2010] A. Toom, N. Izerrouken, T. Naks, M. Pantel and Ssi Yan Kai. Towards Reliable Code Generation with an Open Tool : Evolutions of the Gene‐Auto toolset. In Institute of Cybernetics at Tallinn University of Technology, Université Irit‐Enseeiht, S. Continental Automotive France SA, Mäealuse IB Krates OÜ and Department of Computer Control of Tallinn University of Technology, editeurs, ERTS, 2010.



Annexes


Besoin d’une PKI aéronautique

• Constat :– Besoin de distribution des paramètres de sécurité pour augmenter

et automatiser l’utilisation des mécanismes de sécurité en aéronautique

– Ressources réseaux contraintes et limitées Modèles de PKI “traditionnels” mal adaptés à l’environnement

aéronautique

• Proposition :– PKI aéronautique limitant les échanges entre le sol et l’avion

Dérivée du modèle PKI hiérarchique à plusieurs racines



Principes de notre PKI aéronautique

Parcours Introduction Activités BilanPK

I de référence

(mod

èleInternet)

PKI aéronautiquehiérarchique


Performances de notre PKI aéronautique (1)

• Utilisation de statistiques journalières du nombre d’avionsAir France dans le ciel français (données DSNA)


DSNA : Direction Supérieure de la Navigation Aérienne


Performances de notre PKI aéronautique (2)

• Comparaison de l’utilisation du lien sol‐bord entre PKI de référence et PKI aéronautique



Cycle en V de développement logiciel



Application : routeur embarqué sûr et sécurisé


• Noyau de séparatation du systèmed’exploitation (MILS / IMA) : SysgoPikeOS

• Assurance pour la “safety” et la “security” du système• Réduction des vecteursd’attaques (MILS [Huyck, 2010])• Isolement et traitement des fautes (IMA [DO 297])

• Prototype routeur SNG mis en oeuvre pour Thales Avionics


Performances : routeur embarqué sûr et sécurisé



Gestion du risque “security”

• Besoin : méthode globale de gestion du risque pour faciliter la conception d’architecture de communication sécurisée à large échelle

• Cadre : projet european SESAR, définition du futursystème de communication AeroMACS

• Proposition : méthode d’analyse du risque quantitative pour la sécurité



Méthode d’analyse du risque quantitative (1)

• Principe : notion de propagation du risque et de risque corrélé



Méthode d’analyse du risque quantitative (2)

• Avantages : – Automatisation du processus– Etude de différentes topologies et configuration sécurité en amont de la

phase de déploiement d’un nouveau système Choix du niveau de risque le plus bas Recommandations sécurité dans le choix des équipements, de leur interconnexion

et des échanges entre les entités réseau

• Application : architecture réseau et système AeroMACS SESAR


Documents

Plan de cette présentation - HAL archive ouverte · Soutenance HDR ‐N. Larrieu ‐13/06/2014 3 Plan de cette présentation 1. Parcoursprofessionnel 2. Contexte d’un environnementréseaucontraint