HAL Id: tel-01368098 https://tel.archives-ouvertes.fr/tel-01368098 Submitted on

HAL Id: tel-01368098 https://tel.archives-ouvertes.fr/tel-01368098 Submitted on 19 Sep 2016 HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers. L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés. New generation of network access controller : an SDN approach Benjamin Villain To cite this version: Benjamin Villain. New generation of network access controller : an SDN approach. Networking and Internet Architecture [cs.NI]. Université Pierre et Marie Curie - Paris VI, 2015. English. ￿NNT : 2015PA066663￿. ￿tel-01368098￿ THÈSE DE DOCTORAT DE l’UNIVERSITÉ PIERRE ET MARIE CURIE Spécialité Informatique École doctorale Informatique, Télécommunications et Électronique (Paris) Présentée par Benjamin Villain Pour obtenir le grade de DOCTEUR de l’UNIVERSITÉ PIERRE ET MARIE CURIE Sujet de la thèse : Nouvelle génération de contrôleur d’accès réseau : une approche par réseaux logiciels soutenue le 09 octobre 2015 devant le jury composé de : Dr. Lila Boukhatem Rapporteur, Université Paris-Sud, Orsay, France Dr. Nicolas Normand Rapporteur, Université de Nantes, Nantes, France Pr. Jean-Louis Rougier Examinateur, Télécom ParisTech, Paris, France Dr. Marcelo Dias de Amorim Examinateur, UPMC (Paris 6), Paris, France Dr. Julien Ridoux Examinateur, Synclab, Australie Pr. Khaldoun Al Agha Examinateur, Green Communications, Paris, France Pr. Guy Pujolle Directeur de thèse, UPMC (Paris 6), Paris, France Dr. Patrick Borras Co-directeur de thèse, Ucopia, Montrouge, France Cette thèse est dédiée à mon grand père. Remerciements Je tiens à remercier toutes les personnes qui de part leur temps, leur expertise et leur sympathie ont permis l’aboutissement de cette thèse. En premier lieu je souhaite adresser à M. Guy Pujolle mais plus sincères re- merciements pour m’avoir accueilli au sein de son équipe et guidé tout au long de mon parcours. En second lieu je tiens a remercier chaleureusement Julien Ridoux qui, bien qu’extérieur au projet, a contribué en permanence à améliorer mon travail en apportant un regard lumineux et très critique sur tout ce que j’ai entrepris. Merci à la société Ucopia de m’avoir accueilli durant ces trois années et de m’avoir donner les moyens nécessaires à l’accomplissement de cette thèse. Je souhaite remercier toutes les personnes avec qui j’ai pu travailler : Olivier, Jérémy, Felix, Philippe, Julien, Nicolas, Badis, Ousmane, Kodjovi et tous les autres. Je remercie les membres du jury, Marcelo Dias de Amorim, Jean-Louis Rougier, Khaldoun Al Agha et Patric Borras d’avoir accepté de sacrifier une partie de leur temps pour juger mon travail et en particulier les deux rapporteurs, Lila Boukhatem et Nicolas Normand qui m’ont permis de part leurs rapports détaillés et constructifs d’améliorer mon manuscrit. Enfin je souhaite remercier l’ensemble de mes proches pour toute l’aide morale et logistique qu’ils m’ont apportées. Mes parents ainsi que mon beau-père dans un premier lieu qui ont toujours fait en sorte que je puisse étudier et travailler dans les meilleurs conditions possible. Juliette Guéry qui m’a supportée tout au long de ces trois années et qui m’a apportée le soutien quotidien nécessaire à l’accomplissement de mon travail. Pour finir je tiens a remercier l’ensemble de mes sœurs et en particulier Lucile, Judith, Roxanne et Clara qui ont construit mon esprit et me permettent de m’enrichir chaque jour. Abstract This dissertation presents the importance of cross-layer network infor- mation for network applications in the context of network access control. After describing the ins and outs of network access control and its cru- cial needs of cross-layer data, the dissertation exposes a novel architecture in which a network access controller is mutualized in the Cloud. This ar- chitecture allows to address a key market segment for clients unwilling to buy expensive hardware to control their network. Multiple challenges come into play when hosting the controller remotely. Indeed cross-layer informa- tion are no longer available which prevents the controller from correctly controlling users activity. A first implementation to share cross-layer information is presented in chapter 2. It leverages specialized session border controllers to send these data in the application protocol, here HTTP. Then chapter 3 presents an innovative solution for the cross-layering problem which allows to intru- mentalize network flows with SDN protocols. The solution focuses on a web portal redirection but is extendable to any kind of protocols. The implementation permits to intercept and modify flows in order to input cross-layer data within another network protocol. This solution was imple- mented in the OpenDaylight OpenFlow controller and shows great results. The mutualized approach coupled with the SDN cross-layer framework allow to build flexible networks with almost no configuration of on-site equipments. The central network controller reduces the overal cost of the solution by being mutualized among multiple clients. Moreover, having the ability to intrumentalize network traffic in software allows to implement any kind of custom behavior on the runtime. Contents Introduction 9 1 Access control in private networks 15 1.1 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.1.1 Identity management . . . . . . . . . . . . . . . . . . 18 1.1.2 Password . . . . . . . . . . . . . . . . . . . . . . . . 18 1.1.3 Asymmetric cryptographic keys . . . . . . . . . . . . 22 1.1.4 Digital certificate . . . . . . . . . . . . . . . . . . . . 24 1.1.5 SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 1.1.6 Summary . . . . . . . . . . . . . . . . . . . . . . . . 28 1.2 Authentication protocols for access control . . . . . . . . . . 29 1.2.1 Device to access network . . . . . . . . . . . . . . . . 29 1.2.2 Authenticator to authentication server . . . . . . . . 35 1.2.3 Summary . . . . . . . . . . . . . . . . . . . . . . . . 40 1.3 Flow control . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1.3.1 Hierarchy of protocols . . . . . . . . . . . . . . . . . 41 1.3.2 Basic firewalling . . . . . . . . . . . . . . . . . . . . . 43 1.3.3 Deep packet inspection . . . . . . . . . . . . . . . . . 44 1.3.4 URLs filtering . . . . . . . . . . . . . . . . . . . . . . 45 1.3.5 Lawful obligation . . . . . . . . . . . . . . . . . . . . 47 1.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 2 A mutualized approach 51 2.1 Motivations . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 2.2 Proposed architecture . . . . . . . . . . . . . . . . . . . . . . 53 2.2.1 Local equipment . . . . . . . . . . . . . . . . . . . . 55 2.2.2 Remote controller . . . . . . . . . . . . . . . . . . . . 56 2.2.3 Technical challenges . . . . . . . . . . . . . . . . . . 58 2.3 Controller side implementation . . . . . . . . . . . . . . . . 59 8 Contents 2.3.1 Adapting to each vendor . . . . . . . . . . . . . . . . 60 2.3.2 Improving user experience and data gathering . . . . 62 2.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 3 An SDN uploads/Geographie/ new-generation-of-network-access-controller-an-sdn-approach.pdf

Tags
Administrationnetwork access controller which server
Documents similaires
  • 34
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager