Academic literature on the topic 'Spécification de protocoles'

Cet article apporte des éclaircissements quant à l’existence d’une croissance urbaine aléatoire pour les cas Canadien et Australien. La détection de ces processus passe par un approfondissement du protocole de test en distinguant trois spécifications : marche aléatoire pure, avec dérive, et avec dérive et tendance. L’article démontre que la croissance urbaine comporte effectivement une dimension aléatoire. Les petites aires urbaines y sont plus sensibles et leur croissance dépend exclusivement de chocs. Les grandes aires urbaines et celles qui détiennent des activités économiques métropolitaines, croissent sous l’effet d’une tendance déterministe diluant l’effet des chocs, les rendant moins fragiles.

International audience In the context of network protocols, interoperability testing is used to verify that two (or more) implementations communicate correctly while providing the services described in their respective specifications. This study is aimed at providing a method for interoperability test generation based on formal definitions. Contrary to previous works, this study takes into account quiescence of implementations that may occur during interoperability testing. This is done through the notion of interoperability criteria that give formal definitions of the different existing pragmatic interoperability notions. It is first proved that quiescence management improves non-interoperability detection. Two of these interoperability criteria are proved equivalent leading to a new method for interoperability test generation. This method avoids the well-known state explosion problem that may occur when using existing classical approaches. Dans le contexte des protocoles réseaux, le test d'interopérabilité est utilisé pour vérifier si deux (ou plus) implémentations communiquent correctement tout en fournissant les services décrits dans les spécifications correspondantes. Le but de cet article est de fournir une méthode pour la génération de tests d'interopérabilité basée sur une définition formelle de la notion d'interopérabilité. Contrairement aux travaux précédents, cette étude prend en compte les blocages des implémentations qui peuvent être observés durant un test d'interopérabilité. Ceci est réalisé via la notion de critères d'interopérabilité, qui donnent des définitions formelles des notions d'interopérabilité existantes. Il est tout d'abord prouvé que la gestion des blocages améliore la détection de la non-interopérabilité. L'équivalence de deux des critères est aussi prouvée permettant l'introduction d'une nouvelle méthode de génération de tests d'interopérabilité. Cette méthode permet d'éviter le problème d'explosion combinatoire du nombre d'états que rencontrent les approches classiques.

Il existe de plus en plus de protocoles de communications différents. La spécification de beaucoup d’entre eux est disponible. Cependant, quand il s’agit de moyens de communication propriétaires, cette spécification est gardée secrète : un attaquant qui aurait accès à cette spécification pourrait compromettre un système utilisant ce protocole. Même s’il n’a pas accès à cette spécification, l’attaquant peut l’obtenir par rétro-conception. Ainsi, il est intéressant de créer des protocoles qui sont difficiles à rétro-concevoir. Dans cette thèse, nous proposons une nouvelle approche spécifiquement développée pour rendre complexe la rétro-conception de protocole. Nous appliquons pour cela des obfuscations au format du message et ceci de façon automatique à partir de la spécification du protocole. Pour cela, nous avons dans un premier temps étudié plus de 30 contributions différentes concernant des outils de rétro-conception de protocole et en avons tiré des conclusions suivantes : 1) les outils de rétro-conception de protocole pratiquent l’inférence de modèles réguliers ; 2) ils supposent que le parsing d’un message s’effectue de gauche à droite ; 3) ils délimitent le message en champs d’après des délimiteurs bien connus ou via des algorithmes ad-hoc ; 4) ils regroupent les messages d’après des mesures de similarité sur des patterns. Ainsi, pour créer un protocole difficile à rétro-concevoir, une solution est de s’assurer que le protocole ne respecte pas ces conditions. Dans un second temps, nous avons donc proposé un modèle de format de messages qui permet l’application d’obfuscations. Nous avons défini des obfuscations atomiques qui peuvent être composées. Chacune de ces obfuscations cible une ou plusieurs des hypothèses des outils de rétro-conception. La composition des obfuscations assure l’efficacité de notre solution et rend la rétro-conception de protocole complexe. Ce modèle est utilisé pour générer automatiquement le code du parseur, du sérialiseur et des accesseurs. Cette solution est implémentée dans un prototype nommé ProtoObf grâce auquel nous avons pu évalué les performances des obfuscations. Les résultats montrent une nette augmentation de la complexité de la rétro-conception avec le nombre de compositions d’obfuscation tandis que les coûts induits (particulièrement la taille du buffer sérialisé) restent bas
There are more and more protocols. Many of them have their specification available for interoperability purpose for instance. However, when it comes to intellectual property, this specification is kept secret. Attackers might use a wrongly implemented protocol to compromise a system, if he has access to the specification, it’s attack would be far more efficient. Even if he does not have access to the specification, he can reverse-engine it. Thus, create protocols hard to reverse is interesting. In this thesis, we develop a novel approach of protocol protections to make protocol reverse engineering more complex. We apply some obfuscations on protocol message format, furthermore, we do it automatically from the original protocol specification. Firstly, we have analyzed more than 30 different contributions of protocol reverse engineering tools. We retrieved the following elements : 1) Protocol reverse engineering tools try to infer regular models ; 2) They suppose that the parsing is done from left to right ; 3) They delimit fields based on well-known delimiters or with ad-hoc techniques ; 4) They cluster messages based on pattern similarity measures. Thus, to make protocol reverse harder, one can create protocols which does not respect theses statements. Secondly, we have proposed a model of message format on which obfuscations can be applied. With this model, we also provide some atomic obfuscations which can be composed. Each obfuscation target one or more protocol reverse engineering hypothesis. Obfuscation composition ensures effectiveness of our solution and makes protocol reverse-engineering more complex. This model is used to automatically generate code for parser, serializer and accessors. This solution is implemented into a framework we called ProtoObf. ProtoObf is used to evaluate obfuscations performance. Results show an increase of protocol complexity with the number of obfuscation composition while costs (particularly the serialized buffer size) stay low

Le concept de l'anonymat entre en jeu dans les cas où nous voulons garder le secret sur l'identité des agents qui participent à un certain événement. Il existe un large éventail de situations dans lesquelles cette propriété peut être nécessaire ou souhaitable, par exemple: web de vote surf, les dons anonymes, et l'affichage sur les babillards. L'anonymat est souvent formulées de manière plus générale comme une propriété de dissimulation d'informations, à savoir la propriété qu'une partie des informations relatives à un certain événement est tenu secret. Il faut être prudent, cependant, de ne pas confondre anonymat avec d'autres propriétés que la même description, notamment la confidentialité (secret aka). Laissez-nous insister sur la différence entre les deux concepts en ce qui concerne l'envoi de messages: la confidentialité se réfère aux situations dans lesquelles le contenu du message doit être gardée secrète, dans le cas de l'anonymat, d'autre part, c'est l'identité de l'expéditeur ou du destinataire, qui doit être gardée secrète. De la même façon, en votant, l'anonymat signifie que l'identité de l'électeur associés à chaque vote doit être caché, et non pas le vote lui-même ou le candidat a voté pour. D'autres propriétés remarquables de cette catégorie sont la vie privée et la non-ingérence. Protection des renseignements personnels, il se réfère à la protection de certaines données, telles que le numéro de carte de crédit d'un utilisateur. Non-ingérence signifie qu'un utilisateur bas ne seront pas en mesure d'obtenir des informations sur les activités d'un utilisateur élevés. Une discussion sur la différence entre l'anonymat et d'autres propriétés de dissimulation d'informations peuvent être trouvées dans HO03 [, HO05]. Une caractéristique importante de l'anonymat, c'est qu'il est généralement relative à la capacité de l'observateur. En général, l'activité d'un protocole peut être observé par divers observateurs, di? Vrant dans les informations qu'ils ont accès. La propriété anonymat dépend essentiellement de ce que nous considérons comme observables. À titre d'exemple, dans le cas d'un babillard anonyme, une annonce par un membre du groupe est maintenue anonymes aux autres membres, mais il peut être possible que l'administrateur du conseil d'administration a accès à une information privilégiée qui peut lui permettre de déduire l'identité du membre qui l'a publié. Dans l'anonymat peut être exigée pour un sous-ensemble des agents uniquement. Afin de définir complètement l'anonymat d'un protocole, il est donc nécessaire de préciser ce qui se (s) des membres ont de garder l'anonymat. Une généralisation est le concept de l'anonymat à l'égard d'un groupe: les membres sont divisés en un certain nombre de séries, et nous sommes autorisés à révéler à quel groupe l'utilisateur responsable de l'action appartient, mais pas l'identité de l'utilisateur lui-même. Plusieurs définitions formelles et les cadres d'analyse anonymat ont été développés dans la littérature. Elles peuvent être classifiées en ed approches fondées sur les processus de calculs ([SS96, RS01]), la logique épistémique ([SS99], HO03), et des vues de fonction ([HS04]). La plupart de ces approches sont fondées sur le principe dit de confusion: un système est anonyme si l'ensemble des résultats possibles observable est saturé pour les utilisateurs prévus anonymes. Plus précisément, si dans un calcul le coupable (l'utilisateur qui exécute l'action) est i et le résultat observable est o, alors pour tout autre agent j il doit y avoir un calcul où j est le coupable et l'observable est encore o. Cette approche est aussi appelée possibiliste, et s'appuie sur non-déterminisme. En particulier, les choix probabilistes sont interprétés comme non déterministe. Nous nous référons à RS01] pour plus de détails sur la relation de cette approche à la notion d'anonymat.

L'objet du travail présenté ici consiste en la spécification complète d'un protocole de communication, appelé KerNet+, de la couche Application du modèle de référence normalisé par l'ISO pour l'Interconnexion des Systèmes Ouverts. Ce protocole introduit et définit un ensemble de services de communication, mis directement à la disposition des tâches utilisateur des sites communicants et conçus pour s'appliquer spécifiquement aux tâches de conduite et de pilotage en temps réel de procédés industriels continus et manufacturiers complexes. Les hypothèses adoptées pour spécifier le protocole KerNet+ sont que ses services sont destinés à des tâches parallèles, asynchrones et faiblement couplées. La principe de communication de KerNet+ repose sur la coopération par échange de messages et le mode de communication choisi est une extension des concepts de CSP, c'est-à-dire le mode synchrone par rendez-vous, dont on propose une décomposition en deux phases génériques. Il est montré que cette décomposition autorise l'écriture naturelle de synchronisations réputées complexes dans les applications temps réel. Il est proposé une architecture du protocole conforme à la norme ISO 9545 de l'ISO et le protocole est modélisé sous la forme de cinq systèmes de transition parallèles synchronisés. Cette architecture autorise l'utilisation des services de KerNet+ tant dans un contexte réparti que pour faire interagir des tâches résidant sur le même site, la localisation effective des tâches restant transparente à l'utilisateur. Le chapitre 1 est consacré à la présentation du langage CSP et des multiples extensions qui en ont découlé. Le chapitre 2 contient la description des services de communication introduits dans le protocole KerNet+. Le Chapitre 3 propose une structuration des entités fonctionnelles chargées de la réalisation des services de KerNet+ et modélise leur comportement. Le Chapitre 4 présente une spécification formelle du protocole dans le langage normalisé Estelle et son comportement global est vérifié par observation en simulation.

Étude de méthodes de spécification et vérification des protocoles de communication. La méthode de vérification mise en œuvre consiste a évaluer les spécifications du protocole sur un modèle fini qui le représente. Le langage de spécification est basé sur un mu calcul permettant l'expression aussi bien de comportements que de propriétés

Une approche de conception est construite à partir d'une classification fonctionnelle des informations manipulées. Un support graphique permet de decrire la communication à réaliser. La technique de description proposée est ensuite vérifiée au moyen d'un logiciel de vérification de systèmes décrits sous forme de réseaux de Petri de type Predicats-Transitions.

Dans cette thèse nous présentons une approche pour la spécification, modélisation et validation des protocoles d'interaction entre agents réactifs. Cette approche est basée sur la notion de rôle-attribut, telle qu'elle est définie dans les méthodologies orientées agent GAIA et MAD KIT. Les rôles peuvent être vus comme des attributs sociaux assignés aux agents, et qui sont pris dans chaque interaction entre agents pour accomplir la fonctionnalité de l'ensemble, cette approche peut permettre d'envisager la définition de schémas de conduite entre des rôles génériques et les traduire vers un ensemble de comportements concrets. On propose pour vérifier la faisabilité de cette idée, une méthode assistée par ordinateur pour la traduction automatique d'une spécification visuelle représentant des rôles(diagrammes de séquence AUML), vers un modèle formel vérifiable avec un model-checker (PromelalSPIN)
Ln this thesis we present an approach for specifying, modelling and validating agent interaction protocols. This approch is based on the notion of role attribute, as it is implied on the agent-oriented methodologies MADKIT and GAIA. Roles could be seen as social attributes of agent groups, that are taken in the context of any given interaction. If we see roles like this, we could also imagine schemes to generate an actual specification with concrete agents from the generic specification using roles. To test this approch we propose a machine-assisted specification process that takes a role definiton expressed on a visual notation (AUML), and generates a formai equivalent on the language Promela

On présente un nouveau concept pour l’implémentation du protocole MMS: le protocole de multi-serveur. De sa définition, le protocole multi-serveur MMS envisage une coopération possible entre plusieurs serveurs MMS pour exécuter un service demandé par l'utilisateur client. Ce protocole de multi-serveur nécessite la définition d'un nouveau type d'objet, c'est-à-dire l'objet reparti. Une architecture générale a été introduite pour présenter les interactions possibles entre l'utilisateur client et les serveurs, dits principal et secondaire(s). Cette architecture repose sur le fait que l'objet est considéré comme un agent actif qui peut communiquer avec la fonction opératoire du serveur. L'objet liste de variables et l'objet tache ont été choisis pour être traités par ce protocole de multi-serveur. Les spécifications du protocole sont présentées par des automates d'états finis. Ensuite, ces automates ont été validés à l'aide du système auto en utilisant les algèbres de processus communicants.

L’Internet du futur aura à transporter les données de nouvelles applications avec des garanties de qualité de service (QdS). De ce besoin résulte la nécessité d’en re-concevoir l’architecture. Par ailleurs, la structure de l’Internet, composé de domaines indépendants vis à vis de la gestion de la QdS, pose le problème de la continuité du service lors de la traversée de plusieurs domaines. Face à ces deux problématiques, la thèse soutenue est celle d’un système de communication offrant des garanties de QdS par flux applicatif dans un environnement Internet multi domaines. Son architecture intègre un plan communication comportant plusieurs services/protocoles aux niveaux Transport et IP, et un plan signalisation assurant la gestion des ressources à la frontière des domaines. Nos contributions sont les suivantes. Nous proposons un modèle de caractérisation des services IP et Transport, étayé par : (1) des mesures réalisées sur une plate forme nationale, (2) une étude en simulation (ns-2) et (3) des mesures réalisées sur une plate-forme émulant (Dummynet) un Internet multi domaines. Nous étendons l’architecture de communication proposée dans des travaux antérieurs de façon à abstraire le niveau applicatif de la complexité du choix des services Transport et IP, et à optimiser l’utilisation des ressources du réseau. Nous spécifions en UML et implémentons en Java notre proposition d’architecture de signalisation permettant d’assurer la continuité du service offert aux applications sur tous les domaines traversés. Enfin, nous testons le système de communication avec deux types d’applications multimédias sur une plate-forme émulant le comportement de plusieurs domaines DiffServ
The future Internet will have to transport the new application data with Quality of Service (QoS) guarantees. Then, it is necessary to redesign its architecture. In other respect, by definition, the Internet consists of several autonomous domains with their own QoS management mechanisms. This last point raises the question to carry the service continuity over all the domains. Then, to solve these two precedent problems the work presented in this thesis proposes a communication system providing guarantees of QoS in a multi-domain environment. This system is composed of both a communication plane and a signaling plane. The first one provides multi IP and Transport services when the second one manages the resources between the involved domains. Our contributions are the following ones. Firstly, we propose a model to characterize the IP and Transport services based on experiments over a national platform, ns-2 simulations and measurements performed over a DiffServ multi-domain emulation platform. Then, we upgrade a previous proposed communication architecture integrating this model to simplify the user task. Actually, the system is able to select automatically the appropriated Transport and IP services to satisfy the users. Secondly, we specify in UML and we implement in Java our signaling architecture providing the guarantee of the service continuity over all involved domains. Finally, we test, by the mean of two kinds of application, the complete system over a platform which emulates the behavior of several DiffServ domains

Assurer la coherence des donnees dans un traitement reparti est un probleme majeur qui a besoin, pour etre resolu, de la definition des regles de fonctionnement precises. Dans ce contexte, l'osi a defini le protocole iso-tp (transaction processing) pour la realisation des traitements transactionnels repartis. Iso-tp est un protocole a controle centralise base sur une structure hierarchique arborescente qui s'appuie sur la fonction ccr (commitment concurrency & recovery) afin d'assurer la coherence des relations bipoint qui composent l'arbre transactionnel. Pour maitriser la complexite des mecanismes specifies dans iso-tp, nous avons defini une methodologie de modelisation et verification structuree fondee sur la decomposition (recursive) d'un systeme en sous-systemes et sur les niveaux d'abstraction. Le protocole iso-tp est tres bien adapte pour les applications tels que les systemes de gestion de bases de donnees repartis (sgbdr). Cependant le couplage des mecanismes de iso-tp et du sgbdr fait ressortir une complexite qui, pour etre maitrisee, necessite d'une methodologie de conception. Dans ce but une methodologie fondee sur la complementarite de deux techniques de description formelle (reseaux predicat/transition etiquetes et estelle) a ete developpee pour guider la conception d'un sgbdr reel. La constante evolution technologique conduit au developpement d'applications qui s'appuient sur le concept de travail cooperatif. Ce type d'applications induit de nouveaux besoins en termes de protocoles de validation. Pour repondre a ces besoins un protocole fonde sur les concepts d'initiation repartie et de coordonnateur dynamique a ete defini. Ce protocole permet d'assurer: l'adaptation a toute topologie de travail, l'independance par rapport a un site particulier et la diminution du temps de validation