Retour au site du LAAS-CNRS

Résumé

La protection des systèmes répartis est un problème complexe : en quelles entités du système peut-on avoir confiance et étant donné cette confiance, comment assurer la protection du système global. L'approche adoptée dans cette thèse consiste à combiner d'une part une gestion globale et centralisée des droits d'accès aux objets persistants du système par un serveur d'autorisation et d'autre part une protection locale par un noyau de sécurité sur chaque site du système réparti. Ce noyau contrôle les accès à tous les objets locaux (persistants ou temporaires) et a de plus la responsabilité de la gestion des droits d'accès aux objets temporaires locaux. Un schéma d'autorisation est développé pour une telle architecture. Ce schéma est élaboré dans le cadre de systèmes composés d'objets répartis (au sens de la programmation orientée-objets). Il permet de respecter au mieux le principe du moindre privilège, définit de nouveaux droits facilement administrables (appelés droits symboliques), et un nouveau schéma de délégation de droits. Ce modèle est utilisé dans le cadre d'une politique de sécurité discrétionnaire et dans le cadre d'une politique de sécurité multiniveau. Pour cela, un modèle de sécurité multiniveau adapté au modèle objet est développé et présenté dans cette thèse. Un exemple d'implémentation de ce schéma d'autorisation est enfin détaillé.

Abstract

Protection in distributed systems is a complex problem: which entities of a distributed system can be trusted, and according to this trust, how can the whole system be protected? The approach adopted in this thesis consists in distinguishing two levels of protection : a global protection by means of a centralized authorization server and a local protection on each site of the system by means of a security kernel. The authorization server has the responsibility of managing all access rights to persistant entites of the system while each security kernel controls all accesses to local objects (either transient or persistent) and is furthermore responsible for managing access rights for local transient objects. An authorization scheme for distributed object systems is presented ("object" here refers to the object-oriented programming notion). This scheme allows the least privilege principle to be strictly respected, defines new access rights called symbolic rights and a new scheme of privilege delegation. This authorization scheme is described in the context of a discretionnary security policy and in the context of a multilevel security policy. A multilevel security model adapted to the object oriented programming paradigm is developped and presented in this thesis. An example of an implementation of this authorization scheme is finally detailed.

Mots-Clés / Keywords

Sûreté de fonctionnement; Sécurité; Protection; Contrôle d'accès; Capacités; Délégation; Coupons; Modèle objet; Dependability; Security; Access control; Capabilities; Vouchers; Object model;

Résumé

Les travaux présentés dans ce mémoire concernent l'estimation de la couverture de systèmes tolérants aux fautes. La couverture est estimée à partir de traitements statistiques de résultats d'expériences d'injection de fautes. Le sondage simple et le sondage stratifié sont successivement étudiés. En ce qui concerne l'approche fréquentielle, on montre que l'approximation usuelle due au théorème central limite n'est pas valide pour des estimations de hautes couvertures. La théorie des régions de confiance, nécessaire pour les estimations exactes dans le cas de sondages stratifiés, est formalisée et appliquée aux expériences d'injections de fautes. L'on aboutit alors à un problème d'optimisation multidimensionnel sous contraintes. En ce qui concerne l'approche bayesienne, on calcule la distribution a posteriori exacte de la couverture globale pour des échantillons partitionnés composés de peu de strates. Une méthode, basée sur le calcul des moments des distributions a posteriori des couvertures dans chaque strate, permet d'obtenir les quatre premiers moments de la distribution a posteriori de la couverture globale. L'ensemble de ces outils statistiques est appliqué à trois exemples de systèmes tolérants aux fautes qui ont été choisis pour tester les limites d'applicabilité des méthodes d'estimation. La comparaison des résultats obtenus permet de guider le choix d'une méthode d'estimation en fonction du type de système tolérant aux fautes et des caractéristiques de la campagne d'injection de fautes. La dépendance temporelle de la couverture est aussi étudiée. D'une part, un modèle markovien de mécanisme de détection d'erreur est présenté où la couverture est fonction du temps. D'autre part, nous proposons une méthode pour estimer certains paramètres de ce modèle à partir des résultats temporels d'une campagne d'injection de fautes. Cette méthode tient compte de l'inévitable phénomène de troncature des observations.

Abstract

This dissertation is dedicated to the estimation of the coverage of fault tolerant systems. Coverage is estimated by statistical processing of fault injection results. We consider both simple sampling and stratified sampling. Concerning statistical tools from the Frequentist School, we show that the approximation given by the central limit theorem is no longer valid for high coverage estimations. The confidence region theory, which is necessary for an estimation without approximation when stratified sampling is used, is presented and applied to fault injection. A multidimensional constrained optimization problem must then be solved. Concerning statistical tools from the Bayesian School, the global non-coverage posterior distribution is obtained for partitioned samples with few strata. The first moments of the global non-coverage posterior distribution are obtained by computing the moments of the non-coverage posterior distributions in each stratum. The statistical tools are applied to three examples of fault tolerant systems. These examples were constructed in such a way as to test the limits of applicability of the various estimation techniques. The comparison between the results obtained provides guidance for the choice of an estimation method depending on the characteristics of the fault tolerant system and the fault injection experiments. The evolution of coverage with time is also studied. A Markovian model of a fault tolerant mechanism is presented in which coverage is a time-dependent function. We then propose a method for estimating the parameters of this model using the timing information obtained during fault injection experiments. The method takes into account the inevitable data truncation phenomenon.

Mots-Clés / Keywords

Statistique bayesienne; Statistique fréquentielle; Sondage stratifié; Sondage simple; Injection de fautes; Tolérance aux fautes; Sûreté de fonctionnement; Régions de confiance; Dependability; Fault tolerance; Fault injection; Simple sampling; Stratified sampling; Frequentist statistics; Bayesian statistics; Confidence regions;

Abstract

The aim of the work presented in this dissertation is to guarantee that the increasing complexity of automotive embedded computer architectures does not degrade the dependability of the vehicle with respect to that of the vehicle containing classical mechanical equipment. The current tendency towards integration of the different embedded computer systems leads us to develop a spectrum of architectures allowing us to illustrate, classify and compare several possibilities between an entirely-federated architecture at one end of the spectrum and an entirely-integrated architecture at the other. After a qualitative comparison of the presented architectures (focussing on the cost criteria), we concentrate on quantitative evaluation of dependability. Among the different evaluation techniques generally used we choose a probabilistic evaluation technique using Generalised Stochastic Petri Nets. The originality of the method is that it models functional aspects independently from the architecture. We define the dependability measures on the base of the functional model whose changes are dictated by an underlying architecture model. Several architectures are modeled without changing the functional model. The results obtained for two functions, an airbag and a steer-by-wire system, allow conclusions to be drawn concerning the choice of an architecture for a given function.

Résumé

Les travaux présentés dans ce mémoire visent à s'assurer que la complexité des parties informatiques et électroniques de systèmes embarqués sur l'automobile ne conduise pas globalement à une dégradation de la sûreté de fonctionnement du véhicule par rapport à un véhicule équipé de commandes mécaniques. La tendance actuelle vers l'intégration des différents systèmes électroniques embarqués nous a conduit à comparer différents réseaux multiplexés du domaine d'automobile au niveau de leur sûreté de fonctionnement. C'est dans cette optique également que nous développons un spectre d'architectures qui nous permet d'illustrer, classifier et comparer différentes possibilités existantes entre une architecture entièrement fédérée à un bout du spectre et une architecture entièrement intégrée à l'autre. Après une comparaison qualitative des architectures présentées (avec un effet de loupe sur l'aspect coût), nous focalisons sur l'évaluation quantitative de leur sûreté de fonctionnement. Parmi les différentes techniques d'évaluation généralement employées nous choisissons la technique d'évaluation probabiliste par Réseaux de Petri Stochastiques Généralisés. L'originalité de la méthode réside dans le fait de modéliser les aspects fonctionnels indépendamment de l'architecture ainsi que de l'activation du véhicule. Nous définissons les mesures de sûreté de fonctionnement à l'aide d'un modèle fonctionnel dont les changements d'état sont dictés par un modèle du calculateur sous-jacent. Plusieurs architectures du calculateur sont modélisées sans changer le modèle fonctionnel. Les résultats obtenus pour deux fonctions, à savoir le coussin gonflable et la direction électronique, permettent en particulier de tirer des conclusions concernant le choix d'une architecture pour une fonction donnée.

Mots-Clés / Keywords

Réseaux de Petri stochastiques généralisés; Embedded software; Automotive electronics; Dependability; Fault tolerance; Markov modelling; Generalised stochastic Petri Generalised stochastic Petri nets; Informatique embarquée; Electronique automobile; Sûreté de fonctionnement; Tolérance aux fautes; Modélisation markovienne;

Résumé

Ce mémoire présente des travaux et résultats concernant la caractérisation, la formalisation et la modélisation des interactions entre composants matériels et logiciels de systèmes tolérants aux fautes, aussi bien sur le plan théorique que sur le plan pratique. Chaque composant matériel ou logiciel est modélisé par un réseau de Petri stochastique généralisé appelé réseau de composant. Les interactions entre ces composants sont modélisées par des réseaux de Petri stochastiques généralisés appelés réseaux de dépendances, construits à partir de règles de constructions rigoureuse définies de façon formelle. Une méthode efficace et rapide de construction des modèles de plusieurs architectures d'un système tolérant aux fautes est ensuite proposée. Cette méthode basée sur la réutilisation consiste à représenter chaque architecture par un modèle de haut-niveau, appelé modèle-bloc, composé de blocs de composants et de blocs de dépendances. Les blocs sont génériques et réutilisables d'une architecture à l'autre. Chaque bloc est ensuite remplacé par un réseau de composant ou de dépendance construit d'après le formalisme défini lors de la formalisation des interactions. Cette méthode de modélisation est appliquée à l'évaluation comparative de la sûreté de fonctionnement de dix-sept architectures possibles pour le système de contrôle de la navigation aérienne. Ces évaluations permettent de choisir une architecture optimale pour la disponibilité de la future version de ce système.

Abstract

This thesis presents the results concerning characterization, formalization and modeling of interaction between software and hardware components of fault-tolerant systems; both theoretical and practical aspects are considered. Each hardware or software component is modeled by a stochastic Petri net, called component net. Interactions between these components are modeled by stochastic Petri nets, called dependencies nets, constructed following formal and rigorous rules of construction. An efficiency and fast approach for the construction of the models corresponding to several architectures of a system is proposed. This approach based upon re utilization consist in representing each architecture with a high level model, called bloc-model, made up of components and dependencies blocs. Blocs are generic and can be reused from an architecture to an other. Each bloc is therefore replaced by a component or a dependency net constructed following the formalism defined during the interactions formalization. These approach is applied to comparative dependability evaluations of seventeen possible architectures for the air traffic control system. These evaluations allow to choose an optimal architecture for the next version of this system.

Mots-Clés / Keywords

Hardware and software components; Fault-tolerant system; Dependability modeling; Réseaux de Petri stochastiques généralisés; Dépendances; Interactions; Composants matériels et logiciels; Système tolérant aux fautes; Modélisation de la sûreté de fonctionnement; Interaction and dependency; Architectures; Stochastic Petri nets;