Sunteți pe pagina 1din 135

UNIVERSIT

E Mohammed V - Agdal Agence Nationale de Reglementation


Faculte des Sciences - Rabat des Telecommunications
Memoire de Fin dEtudes
Master Cryptographie et securite
de linformation
Presente et soutenu par
KALLIDA Anass
AZZAT Zakaria
Securite du service de commerce
mobile dans le cadre des reseaux
de nouvelle generation.
Encadre et dirige par
Mr Khaled BOUCHIKHI
Soutenu le 20 Septembre 2010
Jury :
Mr Sad EL HAJJI : Professeur `a la FSR
Mr Khaled BOUCHIKHI : Chef de services ` a lANRT
Mr El MAMOUN SOUIDI : Professeur `a la FSR
Mr M. Abderrahim Esselmouni : Chef de la Division des Syst`emes dInformation `a la Cour des Comptes
Mme Ghizlane ORHANOU : Ingenieure, Doctorante ` a la FSR
Annee Universitaire 2009/2010
Resume
La nouvelle generation des reseaux (NGN) int`egre tous les changements survenus dans ce domaine depuis son
origine, tels que la croissance du debit (plus que 100 Mo de bits par seconde), la couverture universelle, levolution
independante des reseaux cellulaires, amelioration considerable dans les services ...
Pratiquement tout le monde aujourdhui utilise un telephone mobile, en plus le paiement en esp`eces se fait de
plus en plus rare laissant la place `a dautres types de paiements (cartes de credit, appareil mobile,...), la tendance
daujourdhui est de payer les achats par la voie electronique.
Les essais des syst`emes de paiement mobile existants ont demontres le succ`es de ce type de paiement. Toutefois,
ils ont tous ete adaptes `a des acteurs particuliers et domaines dapplication limites, tels que les billets de transport
ou les machines distributrices...
Avec lav`enement des reseaux mobiles de la nouvelle generation, les services de commerce electroniques doivent
repondre aux attentent des consommateurs en mati`ere de la qualite du service, la gamme de produits oerte, la
securite des transactions et enn le contexte du client (Appareil de lutilisateur).
Cette memoire porte sur la conception et la construction dun syst`eme de commerce mobile (m-commerce)
securise dans le cadre des reseaux mobile de la nouvelle generation(4G). Nous nous interessons tout particuli`erement
`a letude et lintegration des mecanismes de securite appropries.
Un prototype fonctionnel des mecanismes de securite du commerce mobile a ete mis en oeuvre pour demontrer
la preuve de concept, et an de pouvoir tester le syst`eme. Le test du prototype et les resultats obtenus montrent quil
est possible de creer un tel syst`eme en utilisant les derni`eres technologies de la telephonie mobiles et de securite qui
apparaissent sur le marche daujourdhui, et la conception montre comment il est fait de mani`ere securisee et exible.
Mots cles : NGN, IMS, SIP, ME, SEG, IPSec, PKI, Client, Serveur, m-commerce.
Abstract
The next generation of network (NGN) incorporates all changes in this eld since its origin, such as growth
rate of ow (more than 100MB of bits per second), universal coverage, the independent evolution of cellular
networks, considerable improvement in services ...
Everyone today uces a mobile phone, in addition the cash payment is becoming increasingly scarce, leaving
room for other types of payments (credit cards, mobile device ,...), the trend today is to pay electronically.
The testing of existing mobile payment systems have demonstrated the success of this type of payment.
However, they have all been adapted to specic actors and limited application areas, such as transport tickets or
vending machines ...
With the advent of the next generation of mobile networks electronic commerce services must meet attentent
consumers, like quality of service, oered product range , the security of transactions and the context of the client
(user equipement).
This memory focuces on the design and construction of mobile commerce (m-commerce) security systems
within the mobile networks of the next generation (4G). We are particularly interested in the study and integration
of the appropriate security mechanisms.
A working prototype of the security mechanisms in mobile commerce system has been implemented to
demonstrate proof of concept, and in order to test the system. The test of the prototype and the results show that
it is possible to create such a system using the latest mobile technologies and security meacnisms appearing on the
market today, the prototype shows also how the design is made securely and exibly.
Keywords : NGN, IMS, SIP, ME, SEG, IPSec, PKI, Client, Serveur, m-commerce.

-.

.

-

. _
.

.
.
.
.

.
.

.

.

.
.
.

.
.

.

-

.

.

. _
.

.
_
.
:

.
. _.
.

.
..

.
. ..
.
.

:
_.
.

:


.

<.

.
.

.
.



.

..

.

.
.

.

.
.
.

.
.



.

.
.

.
. _
.

.
.
.
.

. _

.
,,

_

.
..

.
.
.

. .

.. _
.
..

.
.

.
.


..

..

.
.

..

.
:
_
.

.
.
.


_..
.
.
_.-

. _
.

.
.

.
:

.
..

.
..

_
.
.
.
...
_.
.
..

..

. _.

.

.
.

.
.

. _.
.
..

.
_

:
.

..

.
.

.
.

.

.
.
..

, ,

.

-
.
...
.
,.
.

.
.

.
.
.
.

.
.
.

.
.

.

.
.
..

,

.

.
.
.
.
..

.
.

.
.

..

.

_

.
.

.
.
.

.
. .

-

.

.

.
. .

.. ..
.

.
..
.

.
.

.<


.
.

.
.

.
.
.
..

_

.
.

. .
.

. ,.
.

..

.
.
.


_
.
,

.

.

.

.

_

.

_

.. _.

.
.

.

.
.
..

,
.


..

.
.

.
. ,

.

. .

.
.

,

.

.
.
.
.


.
.
.


.
.

.
_
.
.

.
.
. _
.
..

.
.

.

..

.
.
.
.

.
.
.
.
.

.


_.
.
.

..

.

_
.
.
..


.

..
.
.
.<.

... .

..
.
.

-

_
.
.
<.
.
..

..

.
.

.
.< .

.
.

.

-

.
.
.
.

..

-

_

. _.

.
.. _.
.

:

_

.
.
.

.
..
.
..
:

.

-

.
.
..

.
.

,

.

.
.

..
.
.
.
.

.
.

.
..
.
..
:

.
.

-

.
.

..

_

.
.

...

.
.

..

.
:


.
.

.
_
.
.
.
.

.
.
..

..

.

_
.
.

.
.

.
.
.
.

.
.
.

.
.
.
_

.
.
.

.

.

.

.
v

..

..

_.

.
.

.
.

..

.
.
.
.

..
.
.

.

-

.

.
.
..

,
.
..

.
. _
.

.
.

.

.
.

.
.
.

.
.
..
.
.

.

-

.
..

,.

. ..

..



_
.
..
.
.

.
..
.
.
-.

..

..

..
.

.
.

..

.
.

.
.

.
_

.
.

..

.

..

- .

..

.
.
..

_
.


.

. ..
.
..

:
_.
.

:

.

.
.
..


,.

. .

.
.


_-

.
.
.

<

.

.
.
..
_

.
.
.

.
.
.
..

.
.
.

.
.
..
.
.

.

-

.
. ,.

. _
.
:

.
_


..

..
.

.
.
.

_.
.
.
.

.
.

.
.

.
.
.
.
.
.
.-

.
,

.

-
.
...

,.

.. _
.
.. ..

.
.

.
.

<.

.

_

.
,

.
.
. _

.
.

.
.

. _
.
:

.
.

. .

.
.

.. _
.
.. _
.
..
.
. .


_
.
.
.
_
.
.

.

.
..
.
. .

. .

.

_
.
.
.

.
.
,.
.

.
. _
.

,

.
.
. _
.
.


_.
.
.

.
.

.

.
.
.


.

_

.
.
_

.
.
..

.

.

.
.
.

ii
DEDICACES
A DIEU TOUT PUISSANT
A travers ce travail nous vous glorions pour votre Amour,
votre Generosite, votre Misericorde sans faille,
et votre Soutien ...
Au Proph`ete MOHAMED (PSL)
Vous etes notre mod`ele et exemple dans la vie
`
A nos chers et tendres parents,
sans vous, rien naurait pu etre possible,
que Dieu vous garde pour nous
et vous prete une longue vie
pleine de sante et de prosperite...
`
A nos soeurs et fr`eres,
merci de nous avoir soutenus tout au long de nos etudes
et tout au long de cette aventure,
que Dieu vous preserve...
Un speciale dedicace `a notre encadrant
Et merci pour tout ce que vous avez fait pour
Nous guider dans ce chemin et nous soutenir...
que Dieu vous prot`ege...
Et enn ...
`
A nos enseignants
Merci inniment.
iii
Remerciements
Cest le moment que nous avons attendu avec impatience pour exprimer nos profonds remerciements et
reconnaissances envers ceux qui nous ont soutenu tout au long de notre projet de n detudes.
Si cette memoire a pue voir le jour, cest certainement grace `a Dieu qui nous a donne le pouvoir, nous a
eclaircit le chemin dans les moments les plus diciles... pour enn pouvoir amener ce travail au bord de larrive.
Nos premiers remerciements vont `a Mr Kheled BOUCHIKHI (Encadrant `a lANRT), ainsi qu`a Mr ELHAJJI
Said (Responsable du master et encadrant ` a la FSR). Les deux nous ont encadre durant ce projet, ils etes toujours
une source inepuisable didees, de savoir et dencouragement. Ce travail naurait jamais pu aboutir sans eux, ils ont
toujours su nous guider, nous conseiller, et nous temoigner leur soutien et leur conance. Nous leur transmettons
lexpression de nos reconnaissances et notre plus profonde gratitude.
Nous remercions tout particuli`erement Mr Mohamed HASSI RAHOU pour avoir accepte de nous accueillir au
sein de lANRT, et pour la conance quil nous a accorde. En plus nous sommes tr`es heureux et cest un grand
honneur pour nous que Mr Nouredine ESSAIDANI ait accepte dexaminer notre travaux, de nous presenter des
idees et des remarques qui nous ont ete tr`es utiles au debut de ce projet.
Nos tr`es vifs remerciements vont `a Mme Ghizlane OURHANOU, Mr Amine et Mr BRAHIM deux docteurs
chercheurs de lINPT au Maroc, pour nous avoir fait lhonneur et avoir accepte dexaminer notre travail durant la
periode de stage au sein de lANRT. Nous les remercions pour leurs remarques et commentaires constructifs. Nous
avons pleinement prote de leurs experiences et competences dans le domaine.
Nous aimerions egalement remercier tous les membres du laboratoire MIA, pour leur aide et pour lenvi-
ronnement de travail tr`es agreable durant notre formation. Nous remercions plus particuli`erement Mme Souad
ELBARNOUSSI, Mr Elmamoun SOUIDI et Mr ELHAJJI Said pour leur engagement, leur aide, la qualite de leur
travail et enn leur encouragement. Nous leur exprimons nos profondes sympathies et leur souhaitons beaucoup de
bien et de bonne chance.
Nous ne pourrions cloturer ces remerciements sans nous retourner vers les etres qui nous sont les plus chers,
qui ont eu un role essentiel pendant plusieurs annees detudes, et qui sans eux aucune reussite naurait ete possible.
Nous adressons de tout notre coeur nos remerciements `a nos m`eres et `a nos p`eres qui furent toujours notre exemple
de reussite et de vie. Nous leur somme inniment reconnaissants pour leur amour et leur soutien moral. Quils
trouvent dans ce travail le fruit de leurs eorts.
Chers soeurs et fr`eres, merci beaucoup pour vos encouragements continus,vous avez toujours pousse notre
travail vers plus dambition et de reussite, voici le fruit de vos encouragements et de vos aide precieuces.
Enn, nous voudrions remercier de toutes les profondeurs de nos coeurs nos amis et coll`egues qui nous ont
supporte et nous ont donne de laide l`a ou il le faut. Nous tenons `a remercier tout ceux qui ont contribue de pret
ou de loin `a lelaboration de ce travail.
iv
Table des mati`eres
1 Introduction 1
2 Presentation des etablissements 2
2.1 Presentation de la faculte des sciences de Rabat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.2 Presentation de lANRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.3 Structure du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3 Methodologie et

Enonce du probl`eme 8
3.1 Methodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2

Etude de letat de lart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.3 Denition de la problematique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4 Generalites sur la Cryptographie 14
4.1 Histoire de la cryptographie moderne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.2 La securite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.2.1 Objectifs de la securite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.3 Le chirement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.3.1 Algorithmes de chirement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.3.2 Signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3.3 Les Certicats numeriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.4 Infrastructure de clef publique (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.4.1 Composants de la PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.4.2 Cocertication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.4.3 Topologie de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.4.4 Wireless PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.5 Le protocole IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.6 Reseaux prives virtuel (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.6.1 Principe de fonctionnement dun VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.6.2 Internet Key Exchange (IKE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5 Les reseaux mobiles de la nouvelle generation 33
5.1 La telephonie mobile `a travers le temps... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
5.2 Lhistoire de la 4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
5.3 Levolution des reseaux vers la quatri`eme generation . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.3.1 La premi`ere generation 1G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.3.2 La deuxi`eme generation des syst`emes cellulaires 2G . . . . . . . . . . . . . . . . . . . . . . . . 35
5.3.3 La troisi`eme generation des syst`emes cellulaires 3G . . . . . . . . . . . . . . . . . . . . . . . . 37
5.4 Principes des reseaux mobiles de la nouvelle generation . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.4.1 Principes des reseaux NGN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
vi
5.4.2 Architecture des reseaux NGN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.4.3 Couches dAcc`es des reseaux mobiles 4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.4.4 Couches Controle des reseaux mobiles 4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.4.5 Couches Services des reseaux mobiles 4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6 La Securite des reseaux NGN 50
6.1 La securite de la couche dacc`es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6.2 La securite de lequipement mobile (ME) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.3 La securite de la signalisation SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.3.1 SIP Digest Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
6.3.2 Authentication S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.4 Lauthentication dans les reseaux mobiles NGN de 3GPP . . . . . . . . . . . . . . . . . . . . . . . 55
6.4.1 Authentication en utilisant le secret partage . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.4.2 Lauthentication basee sur une paire de cles (public, prive) et les certicats . . . . . . . . . 56
6.4.3 Support for Subscriber Certicates (SSC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.5 La securite de linter-domain (NDS/AF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7 Le commerce mobile m-commerce 61
7.1 Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.2 Denition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.3 Types de commerce electronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
7.3.1 Deux entreprices (B2B Business-to-Business) . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
7.3.2 Une entreprise et un client (B2C Business-to-Consumer) . . . . . . . . . . . . . . . . . . . . 62
7.3.3 Une entreprise et un gouvernement (B2G Business-to-Government) . . . . . . . . . . . . . . 63
7.3.4 Une administration et un client (A2G Government-to-Consumer) . . . . . . . . . . . . . . . . 63
7.3.5 Deux clients (C2C Consumer-to-Consumer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.3.6 Une entreprise et ces employes (B2E Business-to-Employee) . . . . . . . . . . . . . . . . . . 63
7.4 Services M-commerce disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.5 Contraintes et avantages du m-commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.6 La securite dans le commerce mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
8 Demarche de resolution de la problematique 67
8.1 Letude bibliographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
8.2 Identication des besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
8.3 Specications de solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
8.4 Le prototype internationale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9

Emulation du mod`ele conceptuel 78
9.1 Proposition des outils de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
9.1.1 Outils de la couche Acc`es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
9.1.2 Outils de la couche controle (IMS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
9.1.3 Outils de la couche service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
9.2

Emulation du mod`ele conceptuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.2.1 Concept et architecture de lemulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
9.2.2 Tests et cas dutilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.3

Evaluations et analyse des resultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
9.3.1 Lenregistrement de client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
9.3.2

Evaluation de la procedure de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
10 Conclusion et Perspectives 113
Table des gures
2.1 La structure de la memoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1 Chirement symetriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.2 Chirement asymetriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.3 Le processus de la signature electronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.4 Exemple de certicat numerique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.5 Architecture dune PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.6 Exemple de chemin de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.7 Architecture hierarchique de PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.8 Architecture de PKI en mode reseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.9 La procedure OCSP pour les appareils mobiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.10 Positionnement du protocole IPSec dans la pile IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.11 L utilisation du mecanisme AH dans les dierentes modes . . . . . . . . . . . . . . . . . . . . . . . . 30
4.12 L utilisation du mecanisme ESP dans les dierentes modes . . . . . . . . . . . . . . . . . . . . . . . 31
4.13 Tunnel VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.1 Larchitecture des reseaux GSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2 Larchitecture des reseaux UMTS version 3 dans le cadre de la 3G . . . . . . . . . . . . . . . . . . . 38
5.3 Larchitecture des reseaux UMTS version 3 dans le cadre de la 3G+ . . . . . . . . . . . . . . . . . . 38
5.4 Principe general darchitecture dun reseau NGN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.5 Levolution du reseau 4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.6 Architecture globale de lIMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.7 Architecture fonctionnelle des reseaux IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6.1 Lauthentication SIP Digest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
6.2 Lauthentication SIP MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.3 Corps du message dauthentication S/MIME [2] . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6.4 Public Key Infrastructure (PKI) pour S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.5 Illustration de GAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.6 Les mecanismes dauthentication GAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.7 Le mecanisme de certicats dabonnes SSC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.8 chemin de validation et de conance dans le cadre de NDS/IP . . . . . . . . . . . . . . . . . . . . . . 59
8.1 Architecture generale de la conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
8.2 Le processus de certication au niveau du client mobile . . . . . . . . . . . . . . . . . . . . . . . . . 71
8.3 Le processus du m-commerce au niveau du client mobile . . . . . . . . . . . . . . . . . . . . . . . . . 72
8.4 Conception du reseau IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.5 Architecture de linterconnexion des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
8.6 Architecture de linternationale PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
9.1 Linterface utilisateur de loutil UCT IMS Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
ix
9.2 Linterface de conguration de loutil ICP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
9.3

Emulation de la plateforme IJCU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
9.4 Les fonctionnalite de lOpen IMS Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
9.5 Architecture de la plateforme SDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
9.6 Les APIs SATSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9.7 Concepts openca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.8 Architecture fonctionnelle dEJBCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
9.9 Architecture de lemulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
9.10 Le serveur PortalPKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.11 Lapplication cliente du serveur Portal PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.12 Linterface utilisateurs de lautorite de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
9.13 Linterface utilisateurs de lautorite de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
9.14 Le module de payement SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
9.15 Interface de lenregistrement du client WTK 2.5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
9.16 Graphique de la memoire occupee de la fonction REGISTER . . . . . . . . . . . . . . . . . . . . . . 102
9.17 Flux de donnees de lenregistrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
9.18 Diagramme de ux de loutil SDS du processus denregistrement . . . . . . . . . . . . . . . . . . . . 103
9.19 Les diagrammes de la signature RSA sur le WTK (1024 - 2048 - 3076) . . . . . . . . . . . . . . . . . 108
9.20 Les diagrammes de la signature ECDSA (192 - 224 - 256) . . . . . . . . . . . . . . . . . . . . . . . . 108
9.21 Les diagrammes de la verication de la signature RSA (1024 - 2048 - 3076) . . . . . . . . . . . . . . 109
9.22 Les diagrammes de la verication de la signature ECDSA (192 - 224 - 256) . . . . . . . . . . . . . . 110
9.23 Le graphe de loccupation de memoire lors dun connexion http . . . . . . . . . . . . . . . . . . . . . 111
Liste des tableaux
4.1 Histoire de la cryptographie moderne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.2 Fonctionnalites utilisees dans le chirement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.3 Comparaison entre les tailles des cles symetriques et asymetriques . . . . . . . . . . . . . . . . . . . 19
8.1 Planication des etapes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.1 Les Outils utilises dans chaque couche NGN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.2 Caracteristique des machines physiques utilisees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
9.3 Proprietes des machines utilisees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
9.4 Testes de la procedure de lenregistrement REGISTER . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.5 Taille de cles asymetrique assurant le meme niveau de securite (ECC/RSA) . . . . . . . . . . . . . . 105
9.6 Resultat de la generation des cles avec les dierents tailles . . . . . . . . . . . . . . . . . . . . . . . 107
9.7 Resultat de la signature avec les dierents tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.8 Resultat de la verication de la signature avec les dierents tests . . . . . . . . . . . . . . . . . . . . 110
xi
Abreviation
...writing about 4G technology is like making alphabet soup
1G Premi`ere generation des reseaux mobiles
2G Deuxi`eme generation des reseaux mobiles
3G Troisi`eme generation des reseaux mobiles
4G Quatri`eme generation des reseaux mobiles
3GPP Third Generation Partners Project
3GPP2 Third Generation Partnership Project 2
AAA Authentication, Authorization and Accounting
AF Authentication Framework
AKA Authentication and Key Agreement
AP Authentication Proxy
AS Application Server
BSF Bootstrapping Server Function
CA Certicate Autority (Autorite de Certication). CE Commerce Electronique.
CDMA Code Division Multiple Access
CR Certicate Repository
CSCF Call Session Control Function
CRL Certicate Revocation List
DNS Domain Name Server
DES Data Encryption Standard.
DoS Denial of Service.
DNS Domain Name System
DSA Digital Signature Algorithm.
DSS Digital Signature Standard.
EDI Echange de Donnees Informatisees.
EJBCA Enterprise Java Beans Certicate Authority
FTP File Transfer Protocol.
GAAGeneric Authentication Architecture
GBA Generic Bootstrapping Architecture
GSM Global System for Mobile communication
HSS Home Subscriber Server
HTTP HyperText Transfer Protocol.
HTTPS TLS over HTTP
IETF Internet Engineering Task Force
IMT-2000 International Mobile Telecommunications-2000
IMS IP Multimedia Subsystem
IP Internet Protocol
IPSec IP Security
ITU International Telecommunication Union
IDEA International Data Encryption Algorithm.
IPES International Proposed Encryption Standard.
JAPI Java Application Programming Interface.
JVM Java Virtuel Machine.
LTE Long Term Evolution
MRFC Media Ressource Function Controller.
MD5 Message-Digest algorithm 5
NAF Network Application Function
NDS Network Domain Security
xii
NE Network Element
NGN Next Generation of networks
ORA Organisation Registration Autority (Organisation dautorite denregistrement).
PKI Public Key Infrastructure
PSK Pre-Shared Key
PES Proposed Encryption Standard.
P-CSCF Proxy-CSCF
QoS Quality of Service
RTC Reseau Telephonique Commute
RTP Real-time Transport Protocol
RSA : Ron Rivest, Adi Shamir, et Leonard Adleman.
SEG Security Gateway
SSC Support for Subscriber Certicates
SIM Subscriber Identity Module
SIP cession Initiation Protocol
SSL : Secure Socket Layer.
S-CSCF Serving-CSCF
SCTP Stream Control Transmission Protocol
SIP cession Initiation Protocol
SMS Short Message Service
TCP/IP : Transmission Control Protocol /Internet Protocol.
TCP Transmission Control Protocol
TLS Transport Layer Security
UE User Equipment
UICC Universal Integrated Circuit Card
UMTS Universal Mobile Telecommunications System
USIM Universal Subscriber Identity Module
UTRAN Universal Terrestrial Radio Access Network
UMB Ultra-Mobile Broadband
VoIP Voice over IP
VPN Virtual Private Network
WCDMA Wideband Code Division Multiple Access
WiMAX Worldwide Interoperability for Microwave Access
WLAN Wireless Local Area Network
WPKI Wireless Public Key Infrastructure
1 Introduction
Les futurs reseaux des telecommunications mobiles(4G) depasseront largement le transport de la voix dans
les reseaux mobiles classiques (2G) et le transport des donnees dans les reseaux mobiles emergeant (3G). Ils
poursuivent lidee de la prochaine generation des syst`emes de telecommunications mobiles qui sont capables de
fournir globalement un acc`es adaptatif aux services, prenant en compte le contexte actuel de lutilisateur.
Et avant que les principaux fournisseurs de services sans l ne commencent la planication et le deploiement
de reseaux sans l `a large echelle
1
, la recherche et lindustrie et les communautes courent contre le temps pour
trouver des solutions pour certaines des questions importantes encore ouvertes dans les reseaux 4G. Linteret
croissant pour les reseaux 4G est entrane par lensemble des nouveaux services qui seront mis `a disposition pour
la premi`ere fois comme lacc`es `a lInternet `a tout moment depuis nimporte quel endroit, litinerance (roaming)
mondiale, et le soutien dun tr`es grand nombre dapplications multimedias.
En plus, plusieurs autres des technologiques emergent de cette vision 4G specique. En particulier, le controle
dacc`es aux services et la gestion des utilisateurs ainsi que la gestion de linfrastructure en tant que des majeurs
et point critique.
Dans le developpement des reseaux 4G, de grandes mesures de securite doivent etre etablies pour permettre `a
la transmission de donnees detre aussi s ur que possible. En generale la securite liee aux NGN est place dans quatre
niveaux detudes : La securite de lequipement mobile, des reseaux dacc`es, du corps IMS ainsi que les mecanismes
de securite lies aux services.
Plusieurs groupements dans le monde surveillent la migration vers les reseaux NGN en proposant les archi-
tectures et les mecanismes necessaires pour le developpement de cette generation. En particulier le groupement
doperateurs Third Generation Partnership Project (3GPP) [31], qui domine la sph`ere des reseaux NGN, vise `a
etudier tout les aspects de ces reseaux. Il participe en particulier [32] , `a lelaboration dun environnement securise
permettant dorir `a lutilisateur le meme service sur nimporte quel type de terminal et `a travers nimporte quel
type de reseau, ceci o` u que soit localise lutilisateur.
Durant notre travail nous nous somme interesses par letude des mecanismes dauthentication et dintegrite
lies aux dierentes couches implementant les reseaux de la nouvelle generation. En particulier nous avons mis le
point sur lapplication des mecanismes de securite lies au corps IMS [1], au protocole de signalisation SIP [2],
ainsi que les moyens cryptographiques utilisaient des deux cotes client et serveurs dapplications et specialement la
securite du service m-commerce.
En sappuyant sur les specications des groupements de standardisations comme le 3GPP ainsi que letat de
lart des recherches scientiques qui contribuent `a lamelioration des aspects de securite lies aux reseaux NGN,
notre projet de n detudes essaye de resoudre une problematique liee `a la securite du service de commerce
electronique dans le contexte des reseaux mobiles de la nouvelle generation 4G.
Ce travail represente la memoire de n detude pour obtenir le diplome detat en master specialise, Crypto-
graphie et securite de linformation `a la faculte des sciences de Rabat au Maroc. Le travail sest deroule `a lAgence
Nationale de Reglementation des Telecommunications, ANRT au Maroc. LANRT sest chargee de nous accueillir
et de nous encadrer en collaboration avec la faculte des sciences de Rabat.
1. Su`ede 2009, USA Debut 2010, France Debut de lannee 2011, le grand marche en 2014 : www.zdnet.fr
2 Presentation des etablissements
2.1 Presentation de la faculte des sciences de Rabat
Creee au sein de lUniversite Mohammed V
1
par le dahir n1-58-390 du 15 Moharram 1379 (21 Juillet 1959),
la Faculte des Sciences de Rabat
2
est un etablissement denseignement superieur et de recherche qui a longtemps
assure, dans les specialites de Mathematiques, Informatique, Physique, Chimie, Biologie et Geologie, les formations
de Licence, Certicat d

Etudes Approfondies (CEA), Diplome d

Etudes Superieures de 3`eme cycle (DES) et


Doctorat detat en Sciences. Leort deploye dans le domaine de la formation et de la recherche a permis de
marocaniser rapidement le corps enseignant de cet etablissement et de pourvoir en enseignants-chercheurs toutes
les institutions scientiques creees au Maroc, au cours des vingt derni`eres annees. En 1991, des Licences appliquees
ont ete creees pour adapter les formations dispensees `a la faculte aux besoins du marche du travail.
Depuis la reforme de 1997, la Faculte des Sciences forme au Diplome d

Etudes Superieures Approfondies et


Specialises et au Doctorat National dans le cadre des Unites de Formation et de Recherche. En 2003 et suite `a la
mise en place du syst`eme LMD, elle a propose progressivement une douzaine de li`eres Licences fondamentales et
professionnelles, et une vingtaine de Masters `a vocation recherche et professionnelle. Le Centre d

Etudes Doctoral
en Sciences et technologies a vu le jour en juillet 2008.
La faculte des sciences de Rabat en chire
50 annees dexistence
384 Enseignants chercheurs dont pr`es des 2/3 sont des professeurs de lEnseignement superieur.
6 Departement denseignement et de recherche.
30 formations professionnelle et fondamentales (Licence et Master).
1285 etudiants inscrits en doctorat national.
182 etudiants inscrits en doctorat detat.
87 th`eces de doctorat (

Etat, National) soutenues par an.


3
Le MASTER CRYPTOGRAPHIE ET S

ECURIT

E DE LINFORMATION
Ce master specialise
4
alliant une double competence en mathematiques et en informatique a pour objectif de
former des laureats specialises en codes, cryptographie et securite des syst`emes dinformations et capables :
dacquerir les baces techniques, conceptuelles et juridiques pour la mise en place dune politique de securite
de linformation en entreprise.
dassurer la condentialite des communications en utilisant des algorithmes cryptographiques bases sur des
notions mathematiques avancees.
1. www.um5a.ac.ma
2. www.fsr.ac.ma
3. www.fsr.ac.ma/fsrchires.php
4. www.fsr.ac.ma/mastercrypto.php
2.2 Presentation de lANRT 3
de matriser les procedes de signatures electroniques.
de securiser les syst`emes informatiques contre les intrusions non autorisees, les virus, spyware etc.
matriser la conception et la programmation de carte `a puce.
de developper la capacite de lauto-epanouissement chez le laureat pour pouvoir suivre les developpements
rapides dans le domaine de securisation de linformation.
de faire face aux nouvelles techniques dattaques.
2.2 Presentation de lANRT
LAgence Nationale de Reglementation des Telecommunications, ANRT
5
, est un etablissement public institue
aupr`es du Premier Ministre, dote de la personnalite morale et de lautonomie nanci`ere.
LANRT a ete mise en place en fevrier 1998, en application de la Loi n24-96 relative `a la Poste et
aux Telecommunications qui a xe les contours generaux de la reorganisation du secteur des postes et des
telecommunications au Maroc. Cette Loi a ete modiee et completee en novembre 2004 par la promulgation de la
Loi 55-01.
A travers ces actions, lANRT veille `a :
Creer les conditions dune concurrence saine et loyale et veiller `a son maintien.
Contribuer `a levolution du cadre legislatif et reglementaire pour un developpement harmonieux du secteur.
Gerer pour le compte de lEtat certaines ressources rares relevant du domaine public.
Accompagner le developpement du secteur par le biais de la formation et la promotion de la recherche.
Contribuer `a la dynamique de progr`es et de developpement du pays par ces actions citoyennes.
Les principales missions de lAgence se resument comme suit :
6
Contribution `a lelaboration du cadre juridique du secteur des telecommunications `a travers la preparation
de projets de lois, de decrets et darretes ministeriels.
Conduite et mise en oeuvre des procedures dattribution et dinstruction des licences par voie dappel `a la
concurrence.
Octroi des autorisations et suivi des declarations prealables pour lexercice des activites de
telecommunications.
Approbation des ores techniques et tarifaires relatives `a linterconnexion et au degroupage de la boucle
locale.
5. www.anrt.net.ma
6. Missions de reglementation,veille et controle, repression et sanction, suivi du developpement des technologies des
telecommunications
2.3 Structure du document 4
Approbation des ores tarifaires des produits et services de telecommunications.
Veille au respect de la concurrence loyale et `a la resolution des litiges y aerents.
R`eglement des dierends dinterconnexion entre les operateurs de telecommunications.
Suivi du developpement des technologies de linformation, pour le compte de l

Etat.
Fixation des specications techniques et administratives dagrement des equipements terminaux, destines `a
etre raccordes `a un reseau public de telecommunications ou `a des installations radioelectriques.
Gestion des ressources rares, notamment le spectre des frequences radioelectriques et les ressources en
numerotation.
Gestion des noms de domaines .ma .
Mission dautorite nationale de lagrement et de la surveillance de la certication electronique.
2.3 Structure du document
La gure suivante represente la structure de ce rapport qui est organise comme suit :
Figure 2.1 La structure de la memoire
2.3 Structure du document 5
Introduction
Ce chapitre decrit la problematique et presente la structure du document.
Partie theorique
La partie theorique `a pour objectif de denir le bagage theorique essentiel pour lidentication de la
problematique et avant tout la comprehension des dierents th`emes qui composent notre memoire.
Dans le premier chapitre de cette partie nous avons denit lelement de la cryptographie qui sera utile pour
la comprehension des dierentes parties l`a o` u les mecanismes de securite sont appliques. Ensuite le deuxi`eme
chapitre examine les reseaux de la nouvelle generation et en particulier les aspects de securite quy sont lies.
Le troisi`eme et dernier chapitre de cette partie traite la thematique du commerce mobile ainsi que les
moyens de securite deployes an de garantir la securite dans les transactions du commerce electroniques du
futur.
Chapitre 4 :

Element de Cryptographie
Lobjectif de notre travail est la creation du service de commerce mobile et lelaboration des mecanismes
de securite adequates, an de garantir un certain niveau de conance entre les parties communicantes. En
outre les specications des reseaux mobiles 4G incluent plusieurs types de solutions cryptographiques an
de garantir la securite dans les communications du futur.
Donc lelement de cryptographie qui est developpe tout au long de ce chapitre essaye de denir les notions
de bases de la cryptographie ainsi que de developper en detaille les elements suivants :
1. Les types de chirement qui existent dans la cryptographie.
2. Les mecanismes qui permettent la gestion des cles de chirement.
3. Les dierents algorithmes cryptographiques utilises aujourdhui dans le domaine professionnel et
academique.
4. Les infrastructures `a cles publiques classique (PKI) et celle utilisees dans le monde mobile (WPKI).
5. Les reseaux prives virtuels et le protocole IPSec.
Chapitre 5 : Les reseaux de nouvelle generation NGN
Durant cette partie et avant dentamer la denition des reseaux de la nouvelle generation NGN, nous avons
presente bri`evement les etapes devolution des reseaux vers la quatri`eme generation. Nous avons commence
par la premi`ere generation note 1G puis la deuxi`eme 2G et enn La troisi`eme generation 3G et son evolution
3G+.
Par la suite nous avons etudie en detaille les principes, les mecanismes et les architectures des reseaux NGN.
nous nous sommes interesses particuli`erement aux champs detudes suivants :
1. Les facteurs demergence NGN.
2. Larchitecture des NGN.
3. Letude du corps IMS
4. Les protocoles de signalisation et de transport.
2.3 Structure du document 6
Chapitre 6 : La securite des reseaux NGN
Nous avons consacre ce chapitre `a letude detaillee des moyens de securite lies `a cette nouvelle generation,
cela regroupe :
1. Les aspects de securite de lagent mobile (UE).
2. Les mecanismes de securite utilises dans le corps IMS.
3. La securite du protocole SIP.
4. Les moyens de securite lies `a linterconnexion des domaines.
Chapitre 7 : Le commerce mobile
Le dernier chapitre dans cette partie etudie les concepts du commerce electronique et celui mobile. Il presente
les architectures et les moyens de communication utilises an de realiser les transactions commerciale dans
un tel mod`ele.
Le deuxi`eme axe dans ce chapitre examine les moyens utilises pour securiser les transactions et par la suite
garantir un bon niveau de conance entre les parties communicantes.
Partie Pratique
La partie pratique a pour objectif dexpliquer les etapes suivies an de resoudre la problematique, par
consequent nous avons etablis un mod`ele conceptuel sur le quel nous nous sommes bases pour faire notre
emulation.
Chapitre 8 : Demarche suivie
Le premier chapitre dans cette partie avait pour objectif dexpliquer les etapes suivies an de repondre `a la
problematique quon veut resoudre. Nous nous sommes bases sur la partie theoriques pour choisir dans un
premier temps la problematique quon veut traiter et par la suite nous avons eu tout le bagage theorique
necessaire an de repondre aux dierentes questions que pose cette problematique.
Ensuite nous avons denis la conception generale et le mod`ele de notre architecture en sappuyant sur letat
de lart des recherches scientiques. Enn de partie nous presentons les preuves de concept pour argumenter
les choix et les demarches suivies.
Chapitre 9 :

Emulation du mod`ele
Ce chapitre est considere comme le chapitre qui traite les aspects techniques lies `a lemulation de notre
architecture generale. Il regroupe les outils de travail, les travaux de realisation ainsi que les cas dutilisation
et les resultats obtenus.
Nous avons consacre le premier axe de ce chapitre `a la selection des outils de travail qui vont nous aider `a
realiser notre emulation, le choix des outils se fait `a la base des comparaisons eectuees entre eux an de
choisir celui qui repond le mieux `a nos crit`eres de selection.
2.3 Structure du document 7
Dans le deuxi`eme axe, nous avons presente les dierentes etapes suivies an de realiser notre prototype.
Cette partie est tr`es importante car elle explique la mani`ere avec la quelle nous avons reussi `a elaborer les
liaisons entre les dierentes parties qui composent notre syst`eme.
Lavant dernier paragraphe dans ce chapitre est consacre aux dierents cas dutilisation an de tester notre
emulation, et de montrer les fonctionnalites de notre syst`eme.
Dans la derni`ere section de cette partie nous presentons une etude detaillee de notre emulation dont
lobjectif est de montrer les parties du syst`eme l`a o` u il y a quelques problematiques ou bien les parties dans
les quelles le syst`eme devient lent. Ensuite Nous avons realise des testes dans des zones precises an de l
espace memoire occupe par les processus.
Par la suite nous avons realise une analyse basee sur les resultats obtenus dont lobjectif etait de sortir avec
des constats, des remarques et des conclusions sur les niveaux de faisabilites des syst`emes de commerce
mobile soit du cote client ou bien du cote serveur dapplication, en plus elle nous a permis de prendre une
decisions sur lutilite de lutilisation des mecanismes de securite que nous avons deploye dans chaque zone
de notre prototype.
Conclusion
Ce dernier chapitre fournit un resume de la memoire, traite les questions ouvertes et met le point sur de
nouvelles directions dans la recherche.
3 Methodologie et

Enonce du probl`eme
Ce chapitre presentatif a pour objectif de denir dans un premier temps la methodologie de travail suivie
durant cette memoire de n detude, cette methode est xee par les encadrants an de permettre le bon deroulement
de ce projet de n detude et en meme temps de garantir la reussite des dierentes etapes une par une.
Le deuxi`eme axe de ce chapitre est letude de letat de lart des recherches scientiques qui traitent des th`emes
en relation avec la thematique generale de cette memoire. En suite et `a base de letat de lart nous pouvons ainsi
denir une problematique, que nous serons amenes `a letudier tout au long de notre periode de stage.
3.1 Methodologie
La premi`ere etape dans un projet de n detude est le choix de la methodologie de travail, et durant les
premi`eres seances, notre encadrant `a lANRT a essaye de nous expliquer les etapes et la methodologie que nous
allons suivre durant toute la duree de notre stage de PFE.
La methode de travail suivie sappelle la methode de recherche scientique, quon peut identiee par la
recherche dinformation pour avoir de bonnes idees constructive. Mais, ce nest pas assez. On doit transformer nos
idees en un probl`eme quon veut etudier.
La lecture reste lelement cle dans cette methode de recherche, alors il fallait lire des documents que se soit
des articles sur internet, des livres scientiques qui traitent le domaine cible, visite des sites web de specialiste ou
bien lire des memoires de recherches qui traitent des aspects similaires `a notre thematique...
Cette lecture elargie, nous a permis de se familiariser dans un premier temps avec le domaine des reseaux
telecoms et par la suite avoir des idees sur la nature des probl`emes rencontres et surtout ceux qui en une relation
avec la securite, ainsi que les methodologies suivies par les chercheurs an de les resoudre.
On peut resumer les etapes de cette methode comme suite :
1. Lexploration : Le choix du sujet.
2. Letat de lart theorique et pratique.
3. La prevision : Denition de lhypoth`ese.
4. La planication.
5. Les observations et la compilation : Discussions, analyse ...
6. La conclusion : La decision
7. La discussion : Levaluation
8. Lapplication.
9. Les references.
10. La communication : Orale, ecrite.
3.2

Etude de letat de lart 9
Durant ce qui suit, nous allons identier les dierentes etapes de cette methode pour assurer la bonne
conductivite du travail realise. Nous pouvons conclure `a la n de cette partie que la methode de recherche
scientique suivie durant notre projet de n detude est une methodologie compl`ete qui regroupe tout les besoins
scientiques, pedagogiques, pratiques et professionnels, an de nous guider dans notre projet et atteindre les
objectifs xes ainsi que les resultats souhaites.
3.2

Etude de letat de lart
La problematique de la securite est tr`es presente dans les reseaux NGN. Cette partie a pour objective de
presenter letat de lart de la recherche scientique `a lech`ele internationale. En eet les echanges de donnees sur
les reseaux en mode paquet
1
necessitent de mettre en place des mecanismes de securites `a tout les niveaux.
La securite au niveau reseau par la creation de circuits virtuels ou de reseaux virtuels permettant de separer
de facon logique les ux en mode paquet.
Le cryptage au niveau reseau, tel que IPSec, qui permet de garantir lintegrite, la condentialite et
lauthenticite des paquets IP.
Le cryptage au niveau applicatif (SSL ou Secure Socket Layer) qui ore lintegrite, la condentialite et
lauthenticite des cessions applicatives. Ces mecanismes sont notamment utilises pour les transactions de
paiements en ligne...
Ces mecanismes de cryptage peuvent etre accompagnes de gestion des cles, necessaires au cryptage, de facon
dynamique par des solutions telles que les PKI (Public Key Infrastructure).
Une des principales caracteristique des reseaux NGN est la multiplication des contenus et la realisation de
transactions de plus en plus nombreuces, dont certaines ayant un caract`ere ociel (juridique, administratif,
commerciale), alors la securite de ces contenus va devenir un enjeu crucial : on prevoit un developpement du
commerce electronique accompagne dune augmentation du nombre de paiements en ligne.[3]
Des etudes et recherches [4, 5] de mise ` a plat des architectures de commerce electronique utilisant les certicats
numeriques comme moyen dauthentication continuent de voir le jour. Dans ces etudes les auteurs ont essayes
dapporter des solutions exibles basees sur de nouveaux concepts et mecanismes.
Les concepts etudies ont une relation directe avec le type de certicats numeriques utilises (Relationship
certicats, Short lived certicat...), en plus de nouveaux methodes de gestions des listes de revocations et des
annuaires LDAP ont ete proposees.
Tous ces travaux visent `a donner un nouvel attrait `a lutilisation des certicats numeriques comme un moyen
de conance dans les architectures de services `a valeurs ajoute comme le commerce mobile (m-commerce).
En plus le groupe de collaboration SA [32] qui appartient au forum 3GPP, est responsable de la denition de
larchitecture globale et des capacites de services des syst`emes bases sur les specications 3GPP. En plus ce groupe
est charge de la denition des besoins de securites lies aux services dans les reseaux IMS (IP Multimedia Subsystem).
1. Les reseaux NGN sont des reseaux qui transportent les donnees sous forme de paquet
3.3 Denition de la problematique 10
Le groupement SA a deni dans ces specications les fondements pour limplementation des mecanismes de
securites, en particulier les moyens dauthentications des clients dans le reseau ainsi que les outils de chirement...
Ces specications regroupent :
Les mecanismes de gestion des cles dans les cas symetriques et asymetriques.[6]
La livraison de certicats X.509 v3 base sur une infrastructure `a cle publique PKI.[6]
La securite de linter domaine entre les dierents domaines doperateurs.[7]
Les protocoles de securite pour le transfert des medias.[21]
La securite des protocoles de signalisation [2] ...
A travers la lecture de ces documents nous avons reussi `a degager plusieurs idees constructives qui expriment
la relation entre lutilisation des moyens cryptographiques et la securisation des communications dans un mod`ele
client/serveur tel que le m-commerce. Ces idees identiees seront tr`es utiles et vont nous permettre de denir notre
problematique nale. Ils seront traites et analyser dans le paragraphe suivant.
3.3 Denition de la problematique
Levolution des reseaux vers les nouvelles generations NGN, necessite des methodes avancees permettant
lintegration des services des telecommunications des multi-operateurs et des multifournisseurs sur un environ-
nement distribue et ouvert tel que IP, ainsi que la securisation des reseaux doperateurs et les services. Dapr`es
les lectures mentionnees dans le paragraphe precedent la communaute scientique soriente vers ladaptation
des anciens services ou la creation de nouveaux services (m-commerce, IPTV, Vision phonie...), ainsi que les
mecanismes de securites associes, dans le contexte des reseaux NGN.
Lobjectif de ce paragraphe est lanalyse argumentative de letat de lart an de comprendre les methodes
utilisees et lidentication des questions cles et les zones de recherches l`a ou il y a encore des problematiques `a traiter.
Le premier axe de la recherche a ete consacre aux probl`emes de la securite des reseaux doperateurs et des
services de valeurs ajoutees tel que le m-commerce. Cette etude a abouti premi`erement `a lidentication des
dierents elements dans les reseaux NGN qui necessite de la securite. A ce niveau les specications du 3GPP
mentionnees dans [1] (Paragraphe 3.21) explique le fonctionnement des mecanismes de securite utilisaient dans
le corps IMS. Ces dierents mecanismes rentrent dans le cadre du protocole 3GPP AKA qui denit les moyens
dauthentication des utilisateurs dans les reseaux 3GPP. Lauthentication regroupe :
Lauthentication du protocole SIP.
Lauthentication du protocole HTTP.
Les certicats des abonnes.
Nous avons constate `a ce niveau que ces specications forment une architecture globale dauthentication
et orent de bonnes solutions en mati`ere de la securite. Au niveau applicatif les dierentes implementations qui
existent utilisent des versions implementant les mecanismes symetriques bases sur le secret partage entre le reseau
de loperateur et lequipement mobile [12].
Le choix des implantations base sur le secret pre-partage est justie par la rapidite de ces mecanismes en
mati`ere de temps et despace memoire reduit utilise pour faire les calcules necessaire et le stockage des cles, ainsi
les besoins dauthentications ne necessite pas lutilisation des certicats numeriques qui demande le deploiement
dune infrastructure `a cle publique PKI.
3.3 Denition de la problematique 11
En plus les calcule asymetriques consomment plus de memoires, sachant que le travail seectue sur des
terminaux mobiles avec une alimentation limite.
Lutilisation des mecanismes bases sur le secret pre-partage (PSK) nous semble un choix adequat en mati`ere
de besoins et aussi de securite, car il ore une securite susante pour les utilisateurs naux au moment de
lauthentication dans leurs reseaux.
Au niveau du corps IMS, la communication entre les dierentes composantes de se dernier seectue dune
mani`ere securise. Le choix des protocoles de chirements et de communications doit respecter les politiques de
securite de chaque operateur. En plus la communication entre les dierentes composantes et le Home Subscriber
Server HSS est securisee car elle seectue via le protocole Diameter. [9]
Et deuxi`emement, la communication inter domaine [7] necessite la collaboration des operateurs an que leurs
securite Gateway SEG puissent sauthentie. A ce niveau le 3GPP forum `a denit des specications an de garantir
la securite entre les domaines. Au niveau de lauthentication les mecanismes de la Co-certication est misent
en jeu, ce qui necessite le deploiement des autorisees de certications pour les securites Gateway de chaque domaine.
Le choix de la Co-certication est justie par le fait que la zone de linterconnexion represente une zone
sensible du reseau de loperateur en mati`ere de securite, se qui permet de protege le reseau contre les intrusions et
en plus de proteger les donnees des parties communicantes par la creation de tunnels IPsec.
Le deuxi`eme axe de letude consiste ` a lelaboration dun mod`ele de service m-commerce, et detudier les
mecanismes de securite approprie. Il est claire que les caracteristiques des reseaux de la nouvelle generation NGN
(Debit eleve, tout IP, securite, QoS ...), leurs permettent detres le milieu le plus adequat pour la convergence de
services tel que le m-commerce, le-gouvernement, le-Learning ...
Comme mentionne dans le paragraphe precedent, plusieurs documents essayent de resoudre la problematique
de la securite liee aux services m-commerce, et ils se mettent tous en position de critique envers les architectures
actuelles. Les services de paiement en ligne du futur doivent satisfaire plusieurs crit`eres soit au niveau de conception
ou bien la securite des transactions.
En ce qui concerne la securite des transactions lauthentication des clients reste un probl`eme tr`es dicile `a
resoudre du fait que toutes les specications et les recherchent expriment le besoin de linstallation dune infra-
structure `a cle publique PKI pour satisfaire ce besoin. En plus lutilisation des PKI nest pas une operation facile
`a mettre en place vue le nombre de contraintes juridiques et economiques, car linstallation dune PKI necessite
une contribution gouvernementale pour creer un environnement de conance entre les clients et les commercants. [10]
Pour nous la relation entre la construction des PKIs et la contribution juridiques est necessaire, pour que les
certicats distribues aient une legalite, et cree par la suite un environnement de conance, a ce niveau il faut penser
`a un moyen leger qui permet la contribution de letat et en meme temps ne par alourdir la gestion du cote client.
La separation entre la partie denregistrement RA et lautorite de certication AC va apporter des beneces et
plus de exibilite et de souplesse [10, 13]. Ce qui va permettre aux clients de lAC dacquerir un certicat pour faire
des transactions electroniques, sans passer par les etapes de lenroulement classiques qui represente une complexite
innie.[5, 11]
Autres directives dans les recherches scientiques visent le changement des r`egles de gestion interne aux PKIs
pour quils montrent plus de exibilite aussi que les types de certicats utilises. Dans [10] propose le mod`ele de
certicats de relation (Relationship certicats) pour resoudre le probl`eme de lidentite des personne sur le quelle
se base les certicats distribues aujourdhui pour faire des transactions sur internet.
3.3 Denition de la problematique 12
Il nous a apparu que les certicats de relations representent une bonne solution car ils se basent sur une entite
de reconnaissance qui va jouer le role de lautorite denregistrement. La seule contrainte `a ce niveau et que cette
partie de liaison doit etres reconnues par letat autant que tiers de conance, et quelle aura les possibilites de faire la
reconnaissance dun grand nombre de clients qui veulent avoir un certicat pour faire des transactions electroniques.
Dans [13] lauteur propose une nouvelle methode dauthentication basee sur les certicats x.509 dite
Short-Lived certicats ou certicats de courte duree (12 jours). Cette methode vise de reduire lutilisation des
listes de revocations. Nous avons constate que cette solution reduit enormement le besoin aux listes de revocation
mais elle limite les champs dutilisation de ce type de certicats dans les syst`emes de communications. Et pour
reduire la taille des certicats on peut proceder `a la selection des champs necessaire qui seront utilisaient dans les
certicats x.509 des reseaux mobiles sans touche `a la qualite des certicats generes. [11]
Linternationalisation des transactions electroniques et un besoin primordiale pour les clients que doit satisfaire
les reseaux mobiles de la nouvelle generation, en plus cela va representer une grande valeur ajoutee pour les services
du futur. La satisfaction dun tel point rencontre un de critique qui est celui de lauthentication des clients et
la securite des transactions. Et comme lauthentication des clients dans les mod`eles de commerce electronique
repose sur les certicats numerique generes par une autorite de certication, on peut dire que cela necessite une
collaboration `a lech`ele internationale. [10]
Alors le troisi`eme axe de notre travail consiste `a louverture de notre architecture sur un mod`ele internationale
regroupant plusieurs acteurs tel que les reseaux IMS des operateurs de chaque pays, ainsi que des architectures
hierarchiques de securite base sur lutilisation des certicats numeriques generes par une autorite de certication de
conance tout en respectant le mod`ele presente dans [10], ce mod`ele generalise et mis en place les principes de lin-
ternationale PKI qui garantira un bon niveau de securite et de conance dans les transactions electroniques du futur.
Dans ce contexte global, le travail de la memoire propose vise `a homogeneiser et faciliter lintegration de
plusieurs contextes tels que la mobilite, linterconnexion des domaines et la securite... Lobjectif nal de notre
approche est la creation dun service de commerce electronique bien securise adaptes aux besoins de lutilisateur et
de loperateur. Il sera important de mener une evaluation approfondie de ces mecanismes pour montrer notamment
le co ut de leur mise en oeuvre et les valeurs ajoutees de leur integration.
Cette section avait pour objectif de denir la problematique de notre projet tout en se basant sur les travaux
dej`a faites et les resultats obtenus par dautres recherches qui traitent les aspects generales lies `a la securite du
service m-commerce dans les reseaux mobile de la nouvelle generation. Lobjectif de la prochaine section sera
dexpliquer la methodologie suivie pour repondre `a la problematique mentionnee ainsi que les etapes suivies.
Il faut aussi signaler que la methodologie suivie pour resoudre la problematique fera lobjectif de tout un
chapitre dans la partie pratique de ce rapport. Les etapes suivies et les solutions proposes seront detailles au niveau
de ce chapitre.
Partie theorique
4 Generalites sur la Cryptographie
La cryptographie est la science qui etudie les principes et methodes mathematiques appliques `a la securite de
linformation dans des buts tels que la condentialite, lintegrite des donnees, lauthentication dentites (personnes
ou machines), et lauthentication de lorigine des donnees.
La cryptographie tend donc `a developper des techniques permettant de stocker des informations sensibles et
de les transmettre via des reseaux non securises (comme Internet) de telle sorte que ces donnees ne puissent etre
lues ou modiees que par les personnes autorisees.
Letude et lapplication des mecanismes de securite dans un projet necessite une connaissance approfondie des
fondements theoriques de la cryptographie. Durant notre cursus de formation dans le cadre du master cryptographie
et securite de linformation, nous avons acquis un bagage theorique et pratique tr`es important qui nous permet de
travailler sur des projets qui touchent le secteur de la securite des syst`emes informatiques.
Lobjectif de ce projet est letude des fonctions de securite appliquees dans les reseaux mobiles de la quatri`eme
generation. Et par la suite proceder `a la conception dune architecture de securite liee au service de commerce
electronique.
Ce chapitre presente les bases necessaires de la cryptographie qui sont utilisees dans ce projet et qui peuvent
aider le lecteur `a la comprehension des aspects de securite mentionnes dans les dierents chapitres ce cette memoire
de n detude.
4.1 Histoire de la cryptographie moderne
Depuis toujours, letre humain a cherche `a conserver certaines informations ou donnees secr`etes, `a defaut,
`a en restreindre lacc`es `a certaines personnes. Un des plus anciens exemples de cryptographie est celui de Jules Cesar.
Jules Cesar utilisait une methode specique pour ces echanges avec son etat-major. En eet, les messages etant
transportes par des messagers, il tenait `a proteger la condentialite des donnees. La methode consistait `a remplacer
une lettre par un decalage de trois. Par exemple, le A etait remplace par un D, le B par un E... De cette mani`ere,
seules les personnes au courant de ce subterfuge etaient capables de dechirer le message.Jusquau debut du XX`eme
si`ecle, la cryptographie a garde une importance mineure, et les methodes utilisees etaient bien souvent rudimentaires.
En generale les methodes de chirement reposent sur deux principes essentiels : la substitution et la trans-
position. Substituer signie quon remplace certaines lettres par dautres, ou par des symboles. Transposition
signie quon permute les lettres du message an de le rendre inintelligible. Apr`es C`esar et au cours des si`ecles,
de nombreux syst`emes cryptographiques ont ete mis au point, de plus en plus perfectionnes, de plus en plus astucieux
4.1 Histoire de la cryptographie moderne 15
Lors de la seconde guerre mondiale, lapparition de technologies de communication evoluees, telles que la
radio, a rendu necessaire la mise au point de mecanismes de cryptage empechant linterception des signaux par
lennemi. Il etait devenu indispensable de chirer les donnees transmices par les ondes (Enigma) ! On peut dire
que, pour la premiere fois, la cryptographie a eu une reelle incidence sur le conit.
Depuis cette epoque, mais surtout avec lapparition de lalgorithme DES et de la realisation de la cryptographie
asymetrique, les besoins cryptographiques ont explose. Les besoins des applications militaires se sont meles aux
besoins des applications civiles et les techniques de chirement sont devenues un element moteur de progres.
(Applications bancaires, telecommunications, informatique, monetique...)
Les ordinateurs et le reseau Internet daujourdhui font entrer la cryptologie dans son `ere moderne. La grande
invention de ces derni`eres decennies fut la cryptographie `a clefs publiques et lutilisation des empreintes digitales.
Le futur sera peut-etre la cryptographie quantique, denitivement indecryptable .
Le tableau suivant represente un petit historique de la cryptographie mod`erne
1
:
Table 4.1 Histoire de la cryptographie moderne
Annee Evenement
1970 IBM developpe Lucifer
1976 IBM publie un algorithme base sur Lucifer Il devient le DES (Data Encryption
Standard).
Whiteld Die et Martin Hellman introduisent lidee dun syst`eme `a cle publique.
1978 Lalgorithme de chirement `a cle publique RSA est publie par Ronald L. Rivest,
Adi Shamir et Leonard M. Adleman.
1984 Lalgorithme El Gamal base sur le probl`eme du logarithme publie par Tahar
El Gamal.
1987 Le RC4 est developpe par Ronald L. Rivest pour la RSA Security et sera garde
secret jusquen 1994, o` u lalgorithme est rendu public anonymement dans une liste
de distribution de Cypherpunks.
1990 Premi`ere publication des resultats experimentaux de la cryptographie quantique
par Charles H. Bennett et Gilles
1991 Phil Zimmermann rend disponible sa premi`ere version de PGP.
1992 LIDEA est invente en Suisse par Xuejia Lai et James Massey.
MD5 est developpe par Ronald L. Rivest.
1993 Bruce Schneier concoit Blowsh Don Coppersmith cree SEAL.
1994 Ron Rivest, dej`a auteur de RC2 et RC4, publie RC5.
Un standard regissant les signatures numeriques voit le jour : le DSA (DSS).
1995 Le NIST developpe le Secure Hash Algorithm (SHA)
1998 Lalgorithme Rijndael est nal et soumis au NIST pour devenir le nouveau
du chirement avance : lAES. Quinze autres algorithmes font partie du groupe
donc MARS, RC6, Serpent et Twosh.
2000 Rijndael devient lAES, le standard du chirement avance.
1. Lhistorique en detail : www.apprendre-en-ligne.net/crypto/histoire/index.html
4.2 La securite 16
4.2 La securite
La proliferation des ordinateurs et des syst`emes de communication dans les annees 1960 `a amener le secteur
prive `a proteger linformation sous forme numerique et `a fournir des services securises.
4.2.1 Objectifs de la securite
La securite des donnees chirees est enti`erement dependante de deux choces : la force de lalgorithme
cryptographique et le secret de la cle. Le but fondamental de la cryptographie est de respecter adequatement les
quatre objectifs majeurs de la securite, en theorie et en pratique :
la condentialite :
La condentialite consiste `a garder les informations secr`etes de tous sauf les personnes autorisees `a les voir.
lintegrite des donnees :
Lintegrite consiste `a sassurer que les informations nont pas ete alterees par des personnes pas autorisees ou
inconnues.
lauthentication :
Lauthentication dune personne ou dune entite consiste `a sassurer de lidentite de cette personne ou entite.
la non-repudiation :
La non-repudiation permet de prouver quun message a bien ete emis par son initiateur. Le message ne peut
donc plus ensuite etre denie par celui qui la emis.
4.3 Le chirement
Le chirement permet de proteger des donnees en empechant que celles-ci ne soient lues ou modiees et
fournit un moyen de communication securise sur des canaux qui ne sont pas autrement securises. Le chirement
est utilise pour atteindre les objectifs suivants : condentialite, integrite et des donnees et authentication .
Pour atteindre ces objectifs, on utilise une combinaison dalgorithmes et de pratiques connues sous le nom de
primitives de chirement pour creer un mod`ele de chirement.
4.3 Le chirement 17
Le tableau suivant repertorie les primitives de chirement et leur utilisation :
Table 4.2 Fonctionnalites utilisees dans le chirement
Primitives de chirement Utiliser
Chirement `a cle secr`ete Eectue une transformation des donnees, empechant que celles-ci ne
(chirement symetrique) soient lues par des tiers Ce type de chirement utilise une cle secr`ete,
de partage unique pour chirer et dechirer des donnees.
Chirement `a cle privee Eectue une transformation des donnees ,empechant que celles-ci ne
(chirement asymetrique) soient lues par des tiers. type de chirement utilise une paire de cles
publique/privee `a partage unique pour chirer et dechirer des
donnees.
Signature de chirement Permet de verier que les donnees proviennent dune partie specique
en creant une signature numerique propre `a cette partie.Ce processus
utilise egalement des fonctions de hachage.
Hachages de chirement Associe des donnees de nimporte quelle longueur `a une sequence
autre de longueur xe. Les hachages sont statistiquement uniques
une sequence de deux octets dierente napas la meme valeur de
hachage.
4.3.1 Algorithmes de chirement
On distingue deux types dalgorithmes de chirement : les algorithmes symetriques qui utilisent la meme
cle pour chirer et dechirer les messages et les algorithmes asymetriques qui utilisent des bicles, une cle
servant `a chirer et lautre `a dechirer.
Algorithmes de cryptographie symetrique
Les algorithmes symetriques sont rapides et performants. Malheureusement, ils sourent dun defaut majeur :
les deux parties doivent partager une cle secr`ete pour pouvoir communiquer.
Figure 4.1 Chirement symetriques
4.3 Le chirement 18
Le probl`eme qui se pose dans ce type de chirement c `est que si une personne desire communiquer avec N
autres personnes, plusieurs scenarios sorent `a elle. Elle peut partager la meme cle avec les N correspondants, mais
ce n `est absolument pas satisfaisant, puisque si un de ces correspondants perd la cle, toutes les communications
sont compromices, on n `assure plus la condentialite entre deux parties. Elle peut egalement generer autant de cle
que de correspondants N(N-1)/2 cles),ce qui est fastidieux.
De plus, cest l`a que le second defaut de la cryptographie symetrique apparat : la transmission de
la cle de chirement. Apr`es avoir genere les cles de chirements, la personne doit les envoyer par des canaux
dierents de ceux quemprunteront ces communications (poste, telephone), ce qui sav`ere en pratique peu realisable.
Les principaux algorithmes `a cle privee sont :
Blowsh
DES / 3DES
IDEA
RC2, RC5, RC6
Rijndael
AES
Algorithmes de cryptographie asymetrique
Pour faire face aux probl`emes lies `a la distribution des cles dans le cryptage `a cle privee, il a ete mis au point
la cryptographie `a cle publique.
Ce concept a ete introduit par Whiteld Die et Martin Hellman en 1975, meme sil est communement
accepte que les services secrets britanniques avaient dej`a fait cette meme decouverte plusieurs annees auparavant,
mais avaient protege ce secret militaire.
La cryptographie `a cle publique est un procede asymetrique utilisant une paire de cles pour le cryptage, soit
une cle publique qui crypte des donnees, et une cle privee ou secr`ete correspondante pour le decryptage.
Le principe est donc de distribuer la cle publique tout en conservant la cle privee secr`ete. Tout utilisateur
possedant une copie de la cle publique pourra ensuite crypter des informations que seul le proprietaire de la cle
privee pourra dechirer.
Figure 4.2 Chirement asymetriques
4.3 Le chirement 19
Les algorithmes de cryptographie asymetrique sont bases sur des probl`emes mathematiques supposes diciles.
Linconvenient de ces protocoles est quils sont tr`es co uteux en ressources et donc tr`es lents.
Les principaux algorithmes `a cle public sont :
El Gamal (dapr`es le nom de son inventeur, Taher Elgamal),
RSA (dapr`es le nom de ces inventeurs, Ron Rivest, Adi Shamir et Leonard Adleman), Die-Hellman
(egalement dapr`es le nom de ces inventeurs)
DSA, lalgorithme de signature numerique (elabore par David Kravitz).
Comparaisons entre les algorithmes de chirement :
Le tableau ci-dessous donne une comparaison de taille de cles pour la cryptographie symetrique et asymetrique :
Table 4.3 Comparaison entre les tailles des cles symetriques et asymetriques
Cryptographie Cryptographie asymetrique
symetrique (longueur de cle publique)
56 bits 384 bits
64 bits 512 bits
80 bits 768 bits
112 bits 1792 bits
128 bits 2304 bits
4.3.2 Signature
La cryptographie `a cle publique permet dinstaurer la signature numerique. Cest lun de ces principaux
avantages. Celles-ci permettent au destinataire de verier lauthenticite, lorigine , et lexactitude des donnees recues.
Ainsi, les signatures numeriques sur base de syst`emes `a cle publique garantissent lauthentication et lintegrite
des donnees. Elles fournissent egalement une fonctionnalite de non repudiation, an d eviter que lexpediteur
pretende ne pas avoir envoye les informations. Ceci est possible puisque la signature electronique est realisee avec l
aide de la cle privee du signataire.
Selon le type de transaction concerne, le controle de lorigine dun message via la signature peut devenir plus
important que le cryptage des donnees.
4.3 Le chirement 20
La gure suivante illustre la methode de creation des signatures numeriques simples :
Figure 4.3 Le processus de la signature electronique
Fonctions de hachage
Le syst`eme decrit precedemment comporte certains inconvenients. Il est lent et produit un volume important
de donnees (au moins le double de la taille des informations dorigine).
Lajout dune fonction de hachage `a sens unique (`a sens unique veut dire quil nexiste pas de fonction
mathematique ni dalgorithme pour eectuer loperation inverse de celle eectuee par la fonction de hachage) dans
le processus permet dameliorer le schema ci-dessus. Cette fonction traite une entree de longueur variable (dans
ce cas, un message pouvant contenir indieremment des milliers ou des millions de bits), an dobtenir en sortie
un element de longueur xe, par exemple 128 bits pour MD5, appelee valeur hash En cas de modication des
donnees (meme dun seul bit), la fonction de hachage garantit la production dune valeur hash dierente. On
utilise le resume (hash) et la cle privee pour generer la signature .
Le logiciel de cryptographie transmet en meme temps la signature et le texte en clair. A reception du message
par le destinataire, son logiciel traite `a nouveau le message informatiquement, veriant ainsi la signature.
Si une fonction de hachage securisee est utilisee, il est impossible de recuperer la signature dun document
pour la joindre `a un autre document ou dalterer un message signe. En eet, la moindre modication apportee `a
un document signe entrane lechec du processus de verication de la signature numerique.
Voici Quelques exemple de fonction de Hachage :
MD5
MD4
SHA-1,SHA-0,SHA-256
4.3 Le chirement 21
4.3.3 Les Certicats numeriques
Les certicats permettent de sassurer que la cle publique recuperee appartient bien au destinataire souhaite.
Les certicats sont comme une pi`ece didentite prouvant que la cle appartient `a telle ou telle personne, organisme
ou autre. Lorsque vous acheter sur un site de vente en ligne et que vous vous appretez `a envoyer vos coordonnees,
vous devez etre s ur que le destinataire est bien le site de vente.
Pour cela, il sut de verier son certicat. Un certicat est compose de deux parties :
- les informations.
- la signature.
Pour assurer ces clients, le site de vente en ligne, utilise une cle publique qui appartient bien au site, pour
prouver la poscession de cette cle le commer cant envoie ces informations et sa cle publique `a un organisme de
certication appele infrastructure `a cles publiques (VeriSign, par exemple).
Lorganisme verie que les informations soumices sont correcte puis ajoute `a celle-ci ces propres informations.
Ensuite, il ajoute une signature au certicat. Cette signature est un hachage du resume des informations encode
avec la cle privee de lorganisme de certication.
Figure 4.4 Exemple de certicat numerique
Lorsque lexpediteur recup`ere le certicat il na plus qu`a calculer le hachage du resume des informations, et `a
decoder la signature avec la cle publique de lorganisme de certication. Ensuite il na plus qua compare les deux
resultats pour savoir si le certicat est un vrai. Si oui, les informations sont donc exactes.
Cette methode permet deviter dencoder son message avec une cle publique inconnue et donc de reveler ces
informations `a des personnes malveillantes.
4.4 Infrastructure de clef publique (PKI) 22
La certication X.509
Le principe de la certication par une autorite repose sur la conance accordee des organismes centraux.
Lentite souhaitant obtenir une certication sadresse une autorite,en lui fournissant sa cle publique. Lautorite,
apr`es avoir verie lidentite du demandeur, va fournir un certicat, auquel il adjoint sa propre signature : celle-ci
permet alors de sassurer que le certicat a bien ete emis par une autorite competente.
Lorganisme de certication fait alors oce de tiers de conance. Le protocole retenu pour la certication sous
SSL et TLS est X.509 v3 et pour le PGP reconnat egalement les certicats X. 509. Il est possible de produire ces
propres certicats PGP. Pour les certicats X. 509, il faut eectuer la demande aupr`es dune autorite de certication.
Les certicats racine (cest dire emanent dautorites hautement ables) sont implementes directement dans
les navigateurs Web. Le probl`eme lheure actuel reste surtout labsence de mise jour des certicats, en cas de
compromission (de la cle privee, par exemple).
Le format dun certicat X.509 comprend entre autres les informations suivantes :
Le numero de la version utilisee pour creer la clef associee `a ce certicat
La clef publique sur laquelle porte ce certicat ainsi que lalgorithme employe pour la generer
Des informations sur le proprietaire de cette clef (nom, mail, nom dutilisateur etc.)
La signature numerique du proprietaire eectuee `a laide de la clef privee qui correspond `a la clef publique
du certicat
La periode de periode de validite du certicat
Les eventuelles signatures eectuees par dautres utilisateurs.
4.4 Infrastructure de clef publique (PKI)
Le syst`eme de cryptage asymetrique resout le probl`eme de distribution des clefs puisque chaque personne
gen`ere sa paire de clefs dune mani`ere s ure et na pas besoin de communiquer sa clef privee `a dautres personnes.
Cette derni`ere methode presente dautres faiblesces. En fait, une personne peut pretendre etre une autre personne
et presente sa clef publique `a la place de celle de lautre personne.
Il faut donc mettre en place des syst`emes permettant de verier quune clef publique donnee soit bien associee
au detenteur legitime et que cest bien lui qui lutilise. Ce syst`eme doit, aussi, orir des mecanismes de securite,
de stockage et dechange des clefs publiques. Lentite orant ces fonctionnalites est appelee Infrastructure de Clef
Publique (PKI : Public Key Infrastruction).
La PKI est une infrastructure utilisee pour la gestion des certicats et les clefs publiques dune mani`ere
securisee. Lidee dutiliser une telle infrastructure remonte au debut des annees 90, avec les travaux de MITRE
Corporation pour le gouvernement federal des Etats Unis.
4.4 Infrastructure de clef publique (PKI) 23
En 1995, une autre recherche a ete eectuee par Bell-Northern Research (BNR) [33] cette fois pour le
gouvernement canadien an de supporter la protection des informations echangees mais aussi dautoriser et
dauthentier electroniquement les communications. En depit de diverces similitudes dans la portee et lorientation
des etudes de MITRE et de BNR, on peut relever deux dierences signicatives :
Les etudes de BNR ont donne une attention sensiblement plus grande aux issues de la facon dont est realisee
linteroperabilite entre les PKIs, les gouvernements et les industries privees.
Pour ne pas etre limite par les formats standards existants de certicat (X509 version 1,2). Les etudes de
BNR ont propose une nouvelle version (version 3) qui permet dintroduire de nouvelles extensions dans le certicat.
4.4.1 Composants de la PKI
La PKI a ete largement utilise dans des applications dentreprise et de nombreux services de securite et
aussi dans dierents plates-formes telles que lauthentication des utilisateurs, la signature numerique, et la
non-repudiation.
Elle utilise deux objets principaux : le certicat numerique, de type X.509 v3, et la specication de la liste de
revocation de certicat
2
. Le mod`ele PKIX denit les elements que comporte une PKI. Le mod`ele de composants
PKIX int`egre les quatre grandes composantes : lentite nale, le certicat de la cle publique, le certicat de
lautorite, et le depot.
Figure 4.5 Architecture dune PKI
2. RFC 2832
4.4 Infrastructure de clef publique (PKI) 24
Lentite nale
Lentite nale peut etre consideree comme les utilisateurs du services PKI. Le terme entite nale est un terme
generique qui designe les abonnes, les peripheriques reseau (tels que les serveurs et routeurs), les processus, ou
toute autre entite qui peut demander et recevoir un certicat numerique. Lentite nale utilise le certicat acquis
pour soutenir la securite et la conance dans les transactions. En plus lentite nale peut egalement etre un tiers
(une personne ou une organisation), qui ne detient pas necessairement un certicat, mais peut etre le beneciaire
dun certicat (Lors de lexecution dune transaction) et qui agit donc sur la conance de la certicat et / ou la
signature numerique qui sera veriee `a laide de ce certicat.
Lautorite de certication AC
Une autorite de certication est lemetteur des certicats de cle publique dans une PKI donnee. les certicats
de cles publiques sont signes numeriquement par lautorite de certication emettrice, qui a eectivement (et
legalement) lie le nom du sujet `a la cle publique soumise. La cle publique de lAC qui est utilises pour verier
la signature sur les certicats delivres. Les AC sont egalement responsables de elaboration de listes de certicats
revoques (LCR), qui rendent compte des certicats invalides, `a moins que cela est deleguee `a une entite distincte,
appelee emetteur de la liste de revocation de certicats .
Une AC devraient etre impliques dans un certain nombre de taches administratives et techniques tels que
lenregistrement des utilisateurs naux, la verication des informations de lutilisateur nal, la publication des
certicats, la gestion des certicats. Toutefois, certains fonctions dadministration peuvent etre deleguees `a un
acteur en option, appele autorite denregistrement(AR)
3
.
Les grandes operations de lAC comprennent delivrance du certicat, le renouvellement de certicat, la
verication des certicats, et la revocation des certicats.
Lautorite denregistrement AR
Une autorite denregistrement est une composante administrative `a laquelle une AC delegues certaines fonctions
de gestion liees `a lenregistrement des utilisateurs. La RA est souvent associee aux processus denregistrement de
lentite nale. Cependant, il peut etre responsable dun certain nombre de fonctions, notamment les taches suivantes :
Assurer que les demandeurs soient munis dun certicat, tout en veriant lexactitude et lintegrite des
informations requirent par le demandeurs.
Verier que lentite nale demandant lemission dun certicat de poss`ede la cle privee associee `a la cle
publique fournie.
La realisation des interactions necessaires avec lAC de delegation pour le compte de lentite nale, en cas
de notications de compromission de cle ...
serveur de certicats
Un serveur de certicats est une composante (ou syst`eme) utilises pour stocker et recuperer les certicats, les
informations connexes telles que la norme PKCS emis pour lentites nale et la liste des certicats revoques (LCR).
3. Une AC peut avoir une ou plusieurs AR
4.4 Infrastructure de clef publique (PKI) 25
Le serveur peut etre une base X.500 ou un repertoire avec des installations dacc`es public via le protocole
Lightweight Directory Access (LDAP) ou File Transfer Protocol (FTP) an que les certicats peuvent etre
recuperees par toute entite nale pour dierents besoins.
La liste de revocation
La liste de revocation devrait etre publiee periodiquement, par exemple chaque jour, chaque semaine, etc...
Si aucun certicat nest retire au cours de la periode indiquee, une liste de revocation neanmoins devrait etre
emise comme notication quaucun certicat na ete retire. Les autorites de certication devraient informer les
utilisateurs de la frequence demission de la liste de revocation.
Les listes de revocation doivent etre protegees contre les acc`es non autorises, les falsications et les suppressions
non autorisees. Et meme apr`es lexpiration de la validite des certicats revoques, lautorite de certication devra
les archiver pour une eventuelle utilisation ulterieurement.
4.4.2 Cocertication
Cocertication est laction eectuee par une AC lorsquelle delivre un certicat `a une autre AC. Lobjectif de
base dune certication croisee est detablir une relation de conance entre deux AC, avec lequel le premier AC
valide les certicats delivres par la deuxi`eme AC pour une periode de temps.
Cocertication est prevue pour etablir la preuve de chemins de certicat pour une ou plusieurs applications en
permettant linteroperabilite entre deux domaines PKIs distinctes ou entre les autorites competentes travaillant
dans un seul domaine PKI. Le premier type est appele la cocertication inter-domaine, et le second est denomme
la cocertication intra-domaine.
La cocertication peut etre unilateral ou reciproque. Dans le cas de la cocertication mutuelle une relation de
reciprocite est etabli entre une AC et lautre AC, et vice versa. La cocertication unilaterales signie simplement que
la premi`ere AC gen`ere un certicat croise `a la seconde AC, mais le second ne generer un certicat croise `a la premi`ere.
En r`egle generale, la cocertication est un acte unilateral qui sapplique au sein dune hierarchie stricte, o` u un
niveau plus eleve (ex : dune AC `a une AC subordonnee). Toutefois, la certication croisee ajoute une complexite
importante dans le processus de validation du chemin des certicats.
4.4.3 Topologie de certication
Pour deux entites certiees de la meme AC le probl`eme de la validation de certicat ne se pose pas puisque
les deux entites font conance `a la meme AC.
Supposons maintenant quune entite A est certiee par AC(A) et que lentite B est certiee par AC(B). Pour
que A soit s ure que le certicat de B a ete genere par un AC de conance, lentite A doit chercher un ensemble de
ACs de conances reliant AC(A) et AC(B), cet ensemble est appele le chemin de certication.
4.4 Infrastructure de clef publique (PKI) 26
Figure 4.6 Exemple de chemin de certication
Generalement on distingue deux types darchitectures des autorites de certicats : une architecture hierarchique
et une autre reseau.
Architecture hierarchique
Cest larchitecture la plus rependue et la plus utilisee dans le monde des PKIs. Dans ce type darchitecture,
on distingue lexistence dune entite m`ere dite une entite racine (Root) qui approuve les entites de premier degre,
qui certient ` a leur tour dautres organismes [14].
Figure 4.7 Architecture hierarchique de PKI
4.4 Infrastructure de clef publique (PKI) 27
Architecture reseau
Dans ce type darchitecture toutes les liaisons entre les autorites de certicats sont possibles et lexistence
dune entite racine nest pas necessaire.
Figure 4.8 Architecture de PKI en mode reseau
4.4.4 Wireless PKI
Les limites des dispositifs sans l et la nature du syst`eme de communication doit etre pris en consideration
lors de la mise en oeuvre dune PKI dans un reseau sans l (Wireless PKI ou WPKI). En particulier, de
nombreux probl`emes de communication doivent etre resolus ce qui rend lapplication de la PKI tr`es dicile au
niveau des reseaux sans l. Parmi les probl`emes rencontres on peut cite par exemple loptimisation de lutilisa-
tion, les ressources limitees, le temps de latence de la communication, et linsecurite de connexions et de dispositifs...
Un terminal mobile na pas la capacites de calcul des multiples services dune PKI tels que la generation
de cles, le generation de la signature, la verication et la validation des certicats, la revocation de certicat, la
verication de la revocation, taille de la memoire et le stockage du certicat.
Exigences du WPKI
An dappliquer le mod`ele du PKI sans l `a des terminaux mobiles, qui sont attaches `a un syst`eme de
communication mobile et de permettre dassurer un niveau de securite egal `a celui de la communication laire, les
quatre conditions suivantes sont reunies [11] :
Utiliser des algorithmes de signature numerique optimises pour les terminaux mobiles
Reduire la taille des donnees `a stocker dans le telephone mobile, et celle transmise entre le terminale mobile
et les serveurs.
Optimiser les protocoles de management des certicats
Optimiser le processus de validation des certicats.
4.5 Le protocole IPSec 28
Serveur OCSP
Si un serveur envoie un certicat X.509 `a un telephone mobile, un processus de validation ecace et leger est
necessaire pour permettre au telephone mobile de valider ce certicat. Parfois, le telephone mobile peut valider
le certicat X.509 en essayant de se connecter au serveur qui a ete concu pour servir uniquement les terminaux
laires o` u bien pour obtenir la liste de revocation.
Nous introduisons la notion du serveur OCSP (Online Certicate Status Protocol), qui joue le role du delegue
dans la telephonie mobile pour valider les certicats, `a la place du telephone mobile. Dans ce cas, le telephone
mobile pourrait eviter la procedure compliquee de validation dun certicat et recois le statu du certicat `a partir
du serveur de conance OCSP (Myers, 1999).
Figure 4.9 La procedure OCSP pour les appareils mobiles
4.5 Le protocole IPSec
IPsec
4
se presente sous la forme dune norme, developpee par un groupe de travail du meme nom `a lIETF
(Internet Engineering Task Force) [35] depuis 1992. Une premi`ere version basique de cette extension dIP a paru,
sous forme de RFC (Request For Comment), en 1995. Une seconde version, comportant en plus un syst`eme de
gestion dynamique des param`etres de securite, a ete publiee en novembre 1998. La maturite grandissante de la
norme conduit desormais de nombreux fournisseurs `a integrer IPsec dans leurs produits, et lon peut considerer
que le marche commence `a prendre de limportance et sera bientot un secteur incontournable de la securite reseau.
IPsec sins`ere, dans la pile de protocoles TCP/IP, au niveau dIP. Cela signie quil agit sur chaque paquet IP
recu ou emis et peut soit le laisser passer sans traitement particulier, soit le rejeter, soit lui appliquer un mecanisme
de securisation.
4. http://www.securiteinfo.com/cryptographie/IPSec.shtml
4.5 Le protocole IPSec 29
Figure 4.10 Positionnement du protocole IPSec dans la pile IP
IPSec est utilise pour orir une protection aux applications reseau, proteger lacc`es `a un reseau en agissant
comme un pare-feu evolue, securiser les acc`es distants `a un intranet ou servir `a mettre en place des reseaux prives
virtuels.
Toutes les implementations dune pile de protocoles TCP/IP conformes `a la version six dIP doivent integrer
IPsec. En revanche, IPsec est optionnel pour la version actuelle dIP, IPv4, et nest pas encore fourni en standard
sur la plupart des syst`emes courants.
Il repose sur deux mecanismes : AH (Authentication Header) et ESP (Encapsulating Security Payload)
fournissant deux modes de securisation :
le mode transport qui prot`ege juste les donnees transportees,
le mode tunnel qui prot`ege le paquet IP complet (en-tete et donnees).
Mode de transport
Mode de transport permet de proteger principalement les protocoles de niveaux superieurs :
IPSec recup`ere les donnees venant de la couche 4 (TCP/transport), les signes et les cryptes puis les envoie
`a la couche 3 (IP/reseau). Cela permet detre transparent entre la couche TCP et la couche IP et du coup
detre relativement facile `a mettre en place.
Il y a cependant plusieurs inconvenients, par exemple lentete IP est produite par la couche IP et donc
IPSec ne peut pas la controler dans ce cas.
4.5 Le protocole IPSec 30
Mode tunnel
le mode tunnel permet dencapsuler des datagrammes IP dans des datagrammes IPSec.
Cela a beaucoup davantages :
- lentete IP reelle est produite par la couche IPSec. Cela permet dencapsuler une entete IP avec des adresces
relative au reseau virtuel et en plus de les crypter de fa con `a etre s ur quelles ne sont pas modiees.
- On a le controle total sur lentete IP produite par IPSec pour encapsuler ces donnees et son entete IP-
Sec.
Role mecanisme AH
Il assure lintegrite des donnees en mode non connecte, lauthentication de lorigine des donnees et, de
facon optionnelle, la protection contre le rejeu ;
Les services dintegrite et dauthentication sont realises ensembles, `a laide dun bloc de donnees
supplementaire (entete AH) ajoute au datagramme IP.
Figure 4.11 L utilisation du mecanisme AH dans les dierentes modes
Mecanisme ESP
Il assure la condentialite via le cryptage ;
Il peut assurer comme AH lintegrite des donnees en mode non connecte, lauthentication de lorigine des
donnees et la protection contre le rejeu ;
Le cryptage est toujours eectue avant les mecanismes dauthentication,
ESP fonctionne sur le principe de lencapsulation : les donnees originales sont chirees puis encapsulees
entre un en-tete et un trailer (pour indiquer la n).
4.6 Reseaux prives virtuel (VPN) 31
Figure 4.12 L utilisation du mecanisme ESP dans les dierentes modes
4.6 Reseaux prives virtuel (VPN)
Reseau prive virtuel (RPV) ou Virtual Private Network (VPN) en anglais est une technique permettant `a un
ou plusieurs postes distants de communiquer de mani`ere sure,tout en empruntant les infrastructures publiques .
Ce type de liaison est apparu suite `a un besoin croissant des entreprices de relier les dierentes sites,et ce de facon
simple et economiques.
Schema dun tunnel VPN :
Figure 4.13 Tunnel VPN
Le but dun tunnel entre deux points A et B est dassurer que les donnees qui partent du point A arrivent
necessairement au point B.
4.6 Reseaux prives virtuel (VPN) 32
4.6.1 Principe de fonctionnement dun VPN
Un reseau VPN repose sur un protocole appele protocole de tunneling. Ce protocole permet de faire
circuler les informations de lentreprise de fa con cryptee dun bout `a lautre du tunnel. Ainsi, les utilisateurs ont
limpression de se connecter directement sur le reseau de leur entreprise.
Le principe de tunneling consiste `a construire un chemin virtuel apr`es avoir identie lemetteur et le
destinataire. Par la suite, la source chire les donnees et les achemine en empruntant ce chemin virtuel. An
dassurer un acc`es aise et peu co uteux aux intranets ou aux extranets dentreprise, les reseaux prives virtuels
dacc`es simulent un reseau prive, alors quils utilisent en realite une infrastructure dacc`es partagee, comme Internet.
Les donnees `a transmettre peuvent etre prices en charge par un protocole dierent dIP. Dans ce cas, le
protocole de tunneling encapsule les donnees en ajoutant une en-tete. Le tunneling est lensemble des processus
dencapsulation, de transmission et de des encapsulation.
4.6.2 Internet Key Exchange (IKE)
IKE (RFC 2409)
5
a ete concu sur la base de multiples exemples : ISAKMP, SKEME et Oakley. Nous ne
rentrerons pas ici dans les details de ces protocoles ou infrastructures dechange de cles [34].
Neanmoins, il faut mentionner le fait quIKE a pour vocation principale dauthentier les dierentes parties
et de leur fournir du materiel pour generer des cles, et ce dans le cadre dassociations de securite (security
associations, cest-`a-dire un ensemble de r`egles et de cles utilisees pour proteger des informations).
En conclusion de cette partie nous pouvons dire que les notions presentees au niveau de ce chapitre
ne represente que les grandes lignes de la cryptographie. Nous avons essaye declaircir les parties
qui vont etres utilisees durant cette memoire. Et comme nous visons letude et la creation dun
mod`ele de commerce mobile securise dans le cadre des reseaux NGNs, alors lobjectif du prochain
chapitre et la denition des reseaux mobiles de la nouvelle generation NGN.
5. http://www.ietf.org/rfc/rfc2409.txt
5 Les reseaux mobiles de la nouvelle
generation
Les syst`emes de communications mobiles ont considerablement evolue durant ces derni`eres annees. Ce fait
a encourage le deploiement de plusieurs syst`emes ou reseaux cellulaires multi technologique. Aussi la qualite de
service (QoS) et la securite oerte aux utilisateurs mobiles sameliore dun syst`eme `a lautre.
Les syst`emes de troisi`eme generation (3G), comme lUMTS, orent une meilleure qualite de service par
rapport `a celle oerte par ceux de deuxi`eme generation (2G), comme le GSM. Pour exemple, les syst`emes de 3.5G
(HSDPA) ameliorent le debit du reseau de 3G sur le lien descendant an de repondre aux exigences des nouveaux
services. De plus, les nouveaux reseaux de quatri`eme generation (4G), comme le WiMAX (IEEE802.16e) et le
LTE (3GPP) permettent, quant `a eux, delargir la couverture cellulaire tout en orant un debit superieur. Cette
nouvelle evolution ameliore encore laccessibilite aux services de lInternet.
Lobjectif du prochain chapitre et la denition et la presentation des grandes lignes qui composent la vision
des reseaux de la nouvelle generation(4G). Nous allons presente lhistoire de levolution des reseaux vers la 4G
ainsi que les composants de cette architecture. En n de ce chapitre nous allons etudie les syst`emes de securite ap-
pliques an de garantir la securite des transactions et des communications dans les reseaux de la nouvelle generation.
5.1 La telephonie mobile `a travers le temps...
La 1
` ere
generation mobile Radiocom 2000 est apparue en 1996 et est le precurseur du telephone dit cellulaire.
Fonctionnant dans la bande des 400 Mhz, cest la premi`ere technologie permettant le transport numerique de la
voix. Au depart, il fallait obligatoirement rester dans une meme zone geographique an de maintenir lappel. Par
la suite, la fonction hand over permettra de maintenir la communication lors dun changement de zone de
couverture. La technologie sera abandonnee dans les annees 2000, laissant place `a la norme GSM.
La norme GSM (Global System for Mobile Communications) sera la technologie qui permettra veritablement
de lancer la telephonie mobile. Le reseau GSM est con cu pour les communications de type voix . Les ressources
du reseau sont dediees uniquement pour la duree de la conversation. La norme GSM utilisera uniquement une
bande de frequence xe quelque soit le nombre de terminaux presents.
En suite vient la norme GPRS (General Packet Radio Service) qui peut etre consideree comme une mise `a
niveau de la norme GSM. Cest pour cela, quelle est appelee technologie mobile 2.5G. La principale amelioration
technique est que le debit de transmission est plus eleve.
La norme EDGE (Enhanced Data Rates for GPRS Evolution) et comme son nom lindique est une evolution
du GPRS (technologie 2.75G) et sint`egre parfaitement au reseau GSM existant. Lobjectif est simple, ameliorer
les taux de transferts de donnees. Tout son comme predecesseur, cette norme permet des debits de transmission
plus eleves de lordre de 384 Kbits. Cette norme va permettre lessor des services multimedias sur mobile comme
le partage de photos, de sons et de videos.
5.2 Lhistoire de la 4G 34
LUMTS (Universal Mobile Telecommunications System) ou commercialement appelee 3G est la technologie
de troisi`eme generation mobile. Le debit de transmission de 1,920 Mbits contre 384 Kbits pour la norme EDGE.
Ce debit permettra lessor des services video : Visiophonie, MMS Video, Video `a la demande, Television.
La norme HSDPA (High Speed Downlink Packet Access) est un complement `a la technologie UMTS.
Commercialement appelee 3G+, ce standard permet dameliorer les debits descendants jusqu`a 14 Mbits.
La nouvelle generation de telephonie mobile se prole dej`a `a lhorizon. Avec la 4G, labonne mobile disposera,
`a minima, dune dizaine de Mbit/s au creux de la main pour surfer, regarder la television ou communiquer en video
avec la meme uidite que sur son PC.
5.2 Lhistoire de la 4G
En 2005, la technologie de transmission OFDMA est choisi comme candidat pour la liaison descendante
HSOPA dans les reseaux 4G, plus tard rebaptise 3GPP Long Term Evolution (LTE), dinterface E-UTRAN.
En Fevrier 2007, la societe japonaise NTT DoCoMo 4G teste un prototype de syst`eme de communication
avec 4x4 MIMO appele VSF-OFCDM `a 100 Mbit/s tout en se depla cant, et 1 Gbit/s en stationnement. Et
elle a decide de liberer le premier reseau commercial en 2010.
En Septembre 2007, NTT Docomo a demontre un transf`ere de donnees e-UTRAN avec un taux de 200
Mbit/s avec une consommation denergie inferieure `a 100 mW pendant lessai.
En Janvier 2008, le US FCC spectrum auction xe 700 MHz frequences pour le service du TV analogiques.
En consequence, la plus grande part du spectre alle `a Verizon Wireless et lautre qui est aussi grande `a ATT.
En Janvier 2008, la commissaire europeenne Viviane Reding, a propose une reaectation de 500-800 MHz
du spectre pour les communications sans l, y compris WiMAX.
Fevrier 15, 2008 - Skyworks Solutions a publie un module de e-UTRAN.
En avril 2008, LG et Nortel ont demontre un transf`ere de donnees e-UTRAN avec un taux de 50 Mbit/s
tout en roulant `a 110 km/h.
En Decembre 2009, Sprint a commence une des publicites du service 4G dans certaines villes aux

Etats-Unis,
malgre des vitesces maximales de telechargement de 10 Mbit/s seulement.
Le 14 Decembre 2009, le premier deploiement commercial de LTE a ete dans les capitales scandinaves,
Stockholm et Oslo par le reseau de loperateur suedo-nlandais TeliaSonera, son nom de marque Norweigan
NetCom (Norv`ege). Les dispositifs de modem sur lore ont ete fabriques par Samsung (GT DONGLE-
B3710), et linfrastructure de reseau cree par Huawei (`a Oslo) et Ericsson (`a Stockholm).
Le salon mondial du mobile de Barcelone du 11 au 14 fevrier dernier a ete loccasion de confronter la vision
des partisans de LTE (Long Term Evolution) `a celle des tenants du Wimax des reseaux 4G.
5.3 Levolution des reseaux vers la quatri`eme generation 35
5.3 Levolution des reseaux vers la quatri`eme generation
Pour etudier les reseaux mobiles de la nouvelle generation il est important davoir une idee sur les anciennes
generations des reseaux mobiles. En plus la comprehension des enjeux et les mecanismes utilises dans les reseaux
qui prec`ede la quatri`eme generation permet de determiner les points forts de cette evolution et ces apports.
Dans cette section nous allons presenter levolution des reseaux mobile vers la nouvelle generation 4G, et
en plus nous determinons les elements essentiels qui aident `a la comprehension des dierentes generations. Nous
commencerons par la premi`ere generation 1G, puis la 2G, et enn la 3G.
5.3.1 La premi`ere generation 1G
La premi`ere generation de syst`emes cellulaires (1G) reposait sur un syst`eme de communications mobiles
analogiques. Cette generation a benecie de deux inventions techniques majeures des annees 1970 (utilisation faible
de la bande passante et bas debits). Aussi Les appareils utilises etaient particuli`erement volumineux.
Cette premi`ere generation de syst`emes cellulaires utilisait essentiellement les standards suivants :
1. AMPS (Advanced Mobile Phone System), lance aux Etats-Unis, est un reseau analogique, reposant sur la
technologie FDMA (Frequency Division Multiple Access).
2. NMT (Nordic Mobile Telephone) a ete essentiellement con cu dans les pays nordiques et utilises dans dautres
parties de la plan`ete.
3. TACS (Total Access Communications System), qui repose sur la technologie AMPS, a ete fortement utilise
en Grande Bretagne.
Cette premi`ere generation de reseaux cellulaires utilise une technologie analogique a ete remplacee d`es
lapparition dune seconde generation plus performante utilisant une technologie numerique.
5.3.2 La deuxi`eme generation des syst`emes cellulaires 2G
La deuxi`eme generation (2G) de syst`emes cellulaires repose sur une technologie numerique qui a ete developpee
`a la n des annees 1980. Ces syst`emes cellulaires utilisent une technologie numerique pour la liaison ainsi que pour
le signal vocal.
Cette nouvelle generation apporte une meilleure qualite ainsi quune plus grande capacite de transmission `a
moindre co ut pour lutilisateur. GSM est un reseau `a commutation de circuit, principalement destine `a fournir des
services de telephonie avec lajout de fonctionnalites dacc`es radio et de mobilite.
5.3 Levolution des reseaux vers la quatri`eme generation 36
En outre, les donnees `a faible taux de services sont oertes, en particulier les Short Message Service (SMS),
qui permettent aux utilisateurs dechanger de courts messages textuels.
Architecture du reseau GSM
Un reseau GSM est constitue de plusieurs entites fonctionnelles, dont les fonctions et les interfaces sont bien
denies.
La gure suivante montre les composantes generales dun reseau GSM. Le reseau GSM peut etre divise en
trois grandes parties. Letat de labonne (MS), la Base Station Subsystem (BSS) controle la liaison radio entre
letat des membres, et le sous-syst`eme du reseau, la partie principale qui est le Mobile Switching Center (MSC),
elle eectue la commutation des appels entre le reseau xe ou dautres utilisateurs mobiles , ainsi que la gestion
dautres services mobiles tels que lauthentication.
Les operations et les centres de maintenances, qui supervisent le bon fonctionnement et la conguration du
reseau, gure aussi dans la gure. Le MS et le BSS communiquent `a travers linterface Um, egalement connu comme
linterface dair ou le lien radio. Le BSS communique avec le service de reseau `a travers le centre de commutation
(MSC) sur linterface A.
[15]
Figure 5.1 Larchitecture des reseaux GSM
Home Location Register (HLR)
Visitor Location Register (VLR)
Equipment Identity Register (EIR)
Authentication Center (AuC)
SMS Serving Center (SMS SC)
Gateway MSC (GMSC)
Chargeback Center (CBC)
Operations and Support Subsystem (OSS)
Transcoder and Adaptation Unit (TRAU)
evolution des reseaux GSM
Depuis son introduction sur le marche, le GSM a ete developpee de facon continue. Entre autres, les codes
vocaux ont ete ameliorees pour parvenir `a une meilleure qualite vocale et une meilleure qualite dans les appels de
groupe et les services dites push-to-talk ont ete mices en oeuvre. Le developpement poursuivi a egalement permet
lamelioration des techniques de transmission des donnees ... [16]
5.3 Levolution des reseaux vers la quatri`eme generation 37
Le service High Speed Circuit Switched Data (HSCSD) a atteint des debits plus eleves permettant `a un
appareil mobile de transmettre les donnees en parall`ele sur plusieurs intervalles de temps dans un canal de
frequence (Fonctionnement multi-slot). Le taux de donnees peut atteindre lordre de 10 kbit/s.
Le General Packet Radio Service (GPRS) introduit une transmission par commutation de paquets `a
linterface radio. En principe, certaines plages horaires sont desormais aectees dune mani`ere dynamique `a
dierents appareils mobiles plutot que detre reserve `a un dispositif particulier pour lensemble de cession ou
la duree des appels. GPRS ameliore et simplie lacc`es sans l `a Internet. Les utilisateurs du GPRS benece
des temps dacc`es tr`es courts, les taux de donnees plus eleves, la facturation en fonction du des du temps
de communications...
LEnhanced Data Rates for GSM Evolution (EDGE) remplace la modulation GSM dorigine par une
modulation dordre superieur. Il permet donc des debits plus eleves (plus de 100 kbit/s)
1
et une meilleure
ecacite spectrale.
5.3.3 La troisi`eme generation des syst`emes cellulaires 3G
La troisi`eme generation (3G) des syst`emes cellulaires est une generation de syst`emes mobiles labellise IMT
2000 par lUIT. Ce syst`eme permet des services de communications plus rapides notamment pour la voix, la
telecopie, lInternet de nimporte quel endroit et `a tout moment.
LUIT IMT-2000 est la norme internationale de la 3G a ouvert la voie `a de nouvelles applications et services
comme par exemple le divertissement multimedia, la localisation des services,...
Du GPRS 2.5G vers lUMTS
A lheure actuelle, lUMTS phase en dierentes versions ou releaces denommees R3 (ou R99), R4, R5
et R6. Larchitecture UMTS est constituee dune partie acc`es (UTRAN) qui repose sur les principes de lATM
(Asynchronous Transfer Mode), et dune partie reseau de base appelee CN (Core Network).
Les trois releaces de larchitecture UMTS (R3, R4, R5) consid`erent une meme partie acc`es. Par contre, la
partie reseau de base (CN) est dierente dun release `a lautre [17].
La Release 3 (Aussi appelee Release 99) des specications de lUMTS elaboree dans le cadre du projet de
partenariat de 3
` eme
generation 3GPP a deni deux domaines pour la partie CN :
Le domaine de commutation de circuits (CS, Circuit Switched).
Le domaine de commutation de paquets (PS, Packet Switched).
1. Acc`es `a lInternet ` a partir dun telephone mobile ou dun microordinateur. EDGE permet des transferts de donnees avec un debit
maximal de 384 kbit/s.
5.3 Levolution des reseaux vers la quatri`eme generation 38
Le reseau de base UMTS R3 sappuie sur celui du GSM/GPRS.
Figure 5.2 Larchitecture des reseaux UMTS version 3 dans le cadre de la 3G
LUMTS R4 concerne levolution du domaine CS sur la base du NGN (Next Generation Network). La R4
presente des avantages pour le reseau de base en termes de exibilite et devolution. En eet, la R4 peut reutiliser
le backbone IP du domaine PS pour le transport de la voix. Par ailleurs, la R4 dissocie les plans de controle et
de transport, leur permettant devoluer separement `a la dierence des commutateurs voix qui sont des structures
monolithiques. Enn, la R4 permet levolution vers un reseau tout IP o` u la voix est directement paquetisee sur la
station mobile de lusager et transportee de bout en bout sur IP. Avec la R4, la voix est transportee sur IP dans le
reseau de base uniquement. Le tout IP est lobjectif des releaces R5 et R6. [18]
Figure 5.3 Larchitecture des reseaux UMTS version 3 dans le cadre de la 3G+
Les Releaces 5 et 6 permettent letablissement de cessions multimedia, un transport de tout type de media de
bout en bout sur IP, et une ore de nouveaux services. Ces capacites sont prices en charge par un nouveau domaine
appele IMS (IP Multimedia Subsystem) qui se rajoute aux domaines CS et PS. Le domaine IMS qui se superpose
au domaine PS, sappuie sur le protocole SIP (cession Initiation Protocol) pour le controle de cessions multimedia.
SIP permet aussi lacc`es aux plates-formes de services. Ce protocole est incontournable en raison de sa capacite `a
sintegrer aux reseaux mobiles `a un co ut minimal.
5.4 Principes des reseaux mobiles de la nouvelle generation 39
5.4 Principes des reseaux mobiles de la nouvelle generation
Next Generation Network ou NGN (litteralement Reseau de Nouvelle Generation) est une expression
frequemment employee dans lindustrie des telecommunications, notamment depuis le debut des annees 1990. Il
nexiste pas de denition unique. Le sens varie en fonction du contexte et du domaine dapplication. Toutefois, le
terme designe le plus souvent le reseau dune compagnie de telecommunications dont larchitecture repose sur un
plan de transfert en mode paquet, capable de se substituer au reseau telephonique commute et aux autres reseaux
traditionnels.
Loperateur dispose dun coeur de reseau unique qui lui permet de fournir aux abonnes de multiples services
(voix, donnees, contenus audiovisuels...) sur dierentes technologies dacc`es xes et mobiles. Ce type darchitecture
fait lobjet de travaux de normalisation formelle au niveau international au sein de lITU-T depuis 2001 [36] , au
niveau regional au sein de lETSI [37] en Europe ou de lATIS [38] en Amerique du Nord, et au sein de divers
forums comme le 3GPP ou lIETF [35] pour certains aspects speciques.
Autrement, NGN o` u encore 4G est egalement utilise tr`es souvent `a des ns marketings par les operateurs
et les fabricants pour rendre compte de la nouveaute dun reseau ou dun equipement de reseau.
2
5.4.1 Principes des reseaux NGN
Dans le domaine des Services de telecommunication de 4

` eme Generation, il est dactualite dutiliser le slogan
Any time, Any how, Any where.
Du point de vue des utilisateurs naux, ce slogan exprime leur souhait dacceder `a un service depuis nimporte
quel reseau, en utilisant nimporte quel type de terminal tout en beneciant des memes preferences de presentation
et de service. Du point de vue des concepteurs et developpeurs dapplication, cela requiert un eort dabstraction,
premi`erement pour capturer les preferences de lutilisateur, et deuxi`emement, pour materialiser et fournir une telle
qualite de service.
Dierents syst`emes repondent dej`a en partie aux souhaits des utilisateurs. Cependant, les techniques
utilisees restent limitees. Ils leur manquent premi`erement laspect douverture, cest-`a-dire, dune part, la possi-
bilite detre applicables `a tous types de terminaux et reseaux dacc`es, et dautre part, de couvrir tout type de service.
En plus laspect de standardisation est particuli`erement important d`es quil sagit de fournir un service mettant
en jeu des domaines dierents : Domaine de lutilisateur, domaines des operateurs de reseaux et le domaine des
fournisseurs de service.
En outre lenvironnement dinterconnexion IP devra necessairement prendre en compte de nouvelles dicultes
liees `a la mise en place de r`egles de securite dans lechange de trac entre les dierents operateurs. Lemergence
vers la nouvelle version du protocole IP, IPv6, permettra notamment den ameliorer les capacites dadressage, de
gestion et de la securite.
2. wikipedia : www.wikipedia.org
5.4 Principes des reseaux mobiles de la nouvelle generation 40
Lobjectif de la securite est que des intrus ne puissent pas detourner des informations privees, que la provenance
des messages re cus soit garantie, etc. Alors pour que la communication inter-applicative soit mise en place, les
operateurs doivent garantir les quatre concepts de la securite (La condentialite, lauthentication, lintegrite des
messages, et la non repudiation).
Le groupement doperateurs Third Generation Partnership Project (3GPP) vise `a etudier ces aspects et `a
elaborer un environnement securise permettant dorir `a lutilisateur le meme service sur nimporte quel type de
terminal et `a travers nimporte quel type de reseau, ceci o` u que soit localise lutilisateur.
Le NGN est caracterisee par les aspects fondamentaux suivants : [36]
Transfert de donnees en mode paquets.
Separation des fonctions de controle et des capacites du porteur.
Le soutien dune vaste gamme de services, des applications et des mecanismes bases sur des blocs de services
(y compris en temps reel / streaming / services en temps non reel et multimedias).
Capacites `a large bande avec la QoS de bout en bout et la transparence.
Interfonctionnement avec les reseaux existants via des interfaces ouvertes.
La mobilite generalisee.
Le libre acc`es des utilisateurs aux dierents prestataires de services.
Une variete de syst`emes didentication qui peuvent etre resolus en adresces IP.
Les caracteristiques du service unie pour le meme service tel quil est per cu par lutilisateur.
Des services convergents entre les reseaux xes et mobiles.
Lindependance des fonctions liees au service des technologies de transport sous-jacent.
Support de multiples technologies.
Compatible avec toutes les exigences reglementaires, par exemple en mati`ere de communication durgence
et de la securite / vie privee, etc.
5.4.2 Architecture des reseaux NGN
Les NGN sont denis comme un reseau de transport en mode paquet permettant la convergence des reseaux
Voix/donnees et Fixe/Mobile ; ces reseaux permettront de fournir des services multimedia accessibles depuis
dierents reseaux dacc`es.
An de sadapter aux grandes tendances qui sont la recherche de souplesse devolution de reseau, la distribution
de lintelligence dans le reseau, et louverture `a des services tiers, les NGN sont bases sur une evolution progressive
vers le tout IP et sont modelises en couches independantes dialoguant via des interfaces ouvertes et normalisees.
3
La couche Acc`es , qui permet lacc`es de lutilisateur aux services via des supports de transmission et
de collecte divers : cable, cuivre, bre optique, boucle locale radio, xDSL, reseaux mobiles.
4
.
La couche Transport , qui g`ere lacheminement du trac vers sa destination, en bordure du reseau de
transport, des Media Gateways et des Signalling Gateways g`erent respectivement la conversion des ux de
donnees et de signalisation aux interfaces avec les autres ensembles du reseau ou les reseaux tiers interconnectes.
3. Rapport de lETSI-NGN, Starter Groupe
4. Nous nous interessons `a letude de la partie dacc`es des reseaux mobile de la quatri`eme generation 4G
5.4 Principes des reseaux mobiles de la nouvelle generation 41
La couche Controle , qui se compose de serveurs dits Softswitch gerant dune part les mecanismes
de controle dappel (pilotage de la couche transport, gestion des adresces), et dautre part lacc`es aux services
(prols dabonnes, acc`es aux plateformes de services `a valeur ajoutee).
La couche Services , qui regroupe les plates-formes dexecution de services et de diusion de
contenus. Elle communique avec la couche controle du coeur de reseau via des interfaces ouvertes et normalisees,
independantes de la nature du reseau dacc`es utilise. Les services et contenus eux-memes sont par ailleurs developpes
avec des langages convergents et unies.
La gure suivante presente le principe general darchitecture dun reseau NGN.
Figure 5.4 Principe general darchitecture dun reseau NGN
On peut resumer larchitecture des reseaux mobiles de la quatri`eme generation 4G, dans un mod`ele `a trois
couches (Acc`es, Controle et Services).
5.4.3 Couches dAcc`es des reseaux mobiles 4G
La prochaine generation de syst`emes de communications sans l, communement connue sous le nom reseau de
quatri`eme generation (4G) , est prevu pour englober une multitude de technologies de reseaux cellulaires et sans
l qui comprennent les reseaux mobiles personnelle (WPAN) et les reseaux de troisi`eme generation (3G).
Avec la multiplication des services Multimedias (VoIP, Video, jeux en ligne, etc) tr`es gourmands en bande
passante, les charges reseau vont rapidement nir par depasser les capacites des infrastructures en place. Le
LTE (Long Term Evolution) egalement appele 4G est entrain de simposer comme la solution `a ces probl`emes et
pregurer de lavenir du Haut Debit Mobile.
5.4 Principes des reseaux mobiles de la nouvelle generation 42
Ces nouveaux reseaux sans l sont parfaitement interconnectes par le protocole Internet (IP), epine dorsale du
reseau. Les technologies considerees comme 4G anticipe : Le LTE (Long Term Evolution), Flash-OFDM, la version
mobile du WiMax 802.16e (egalement connu sous le nom WiBro en Coree du Sud), et HC-SDMA (iBurst). Nous
allons presenter bri`evement les deux grandes technologies concurrentes qui sont le WiMax et le LTE.
La gure suivante represente levolution des reseaux dacc`es vers le 4G :
Figure 5.5 Levolution du reseau 4G
Le WiMax 4G
LIEEE 802 LMSC (LAN/MAN Standard Committee) a introduit le standard IEEE 802.16e (Wimax 4G) pour
lacc`es mobile `a large bande sans l. Cette norme a ete presentee comme une amelioration `a la version anterieure
normee IEEE 802.16 pour lacc`es xe sans l `a large bande. La norme 802.16e employe une technologie dacc`es
dierente nommee OFDMA (division orthogonale de la frequence dacc`es multiples) et elle ore des debits de
donnees de meilleure qualite, avec une bonne ecacite spectrale.
le Wimax 4G est un standard de transmission sans l `a haut debit, fonctionnant `a 70 Mbit/s, il est prevu pour
connecter les points dacc`es Wi `a un reseau de bres optiques, ou pour relayer une connexion partagee `a haut-debit
vers de multiples utilisateurs. Avec une portee theorique de 50 km.
Il ore des debits theoriques de 128 Mbit/s en liaison descendante et 56 Mbit/s en liaison montante. Lobjectif
du Wimax Forum
5
est de repondre aux crit`eres IMT-Advanced
6
de 1000 Mbit/s pour la reception stationnaire et
100 Mbit/s pour la reception mobile. Il est parfois le standard qui marque la 4G.
5. www.wimaxforum.org
6. International Mobile Telecommunications Advanced est un groupement de lUIT pour les syst`emes de communication mobile
5.4 Principes des reseaux mobiles de la nouvelle generation 43
Le LTE (Long Term Evolution)
Lintroduction de la technologie WiMAX mobile a conduit `a la fois 3GPP et 3GPP2 `a developper leurs propres
version dau-del`a des syst`emes 3G basee sur la technologie OFDMA et de larchitecture reseau semblable `a celle
du WiMAX mobile. Le syst`eme au-del`a 3G de 3GPP est appele luniverselle radio dacc`es terrestre evolue (evolue
UTRA) et est egalement largement denomme LTE (long terme Evolution),tandis que la version 3GPP2 est appele
UMB (ultra haut debit mobile).
La technologie LTE (Long Term Evolution), est une technologie mobile `a tr`es haut debit, elle est consideree
(contrairement au Wimax mobile), une technologie rivale, et comme une evolution naturelle des technologies
3G (UMTS) et 3G+ (HSDPA).
Le LTE est surtout votee par les operateurs europeens ayant dej`a lourdement investi dans des infrastructures
UMTS, dont le succ`es relativement mitige des services multimedia nest pas encore venu amortir les co uts. En
novembre dernier, lassociation GSM sest egalement prononcee en faveur de cette technologie, sengageant `a
soutenir les entreprices et les operateurs qui oeuvreraient au developpement du LTE.
Techniquement parlant la norme LTE comprend :
Taux telechargement de 326,4 Mbit/s pour les antennes 4x4 , et de 172,8 Mbit/s pour les antennes 2x2 (en
utilisant 20 MHz de spectre). [19]
Taux dupload de pointe de 86,4 Mbit/s pour 20 MHz de spectre en utilisant une seule antenne.
Au moins 200 utilisateurs actifs dans chaque cellule de 5 MHz.
Dans une bande de frequences de 900 MHz qui est utilises dans les zones rurales, le LTE supporte une
distance optimale entre 5km, et 30 km avec des performances raisonnables, et jusqu`a 100 km de pris en
charge avec des performances acceptables. Dans les villes et les zones urbaines, les bandes de frequences
plus elevees
7
sont utilises pour supporter les grandes vitesces du mobile `a large bande . Dans ce cas, la
couverture des cellules utilisait peut atteindre jusqu`a1 km ou meme un peu moins.
Un tr`es bon soutien de la mobilite. Les donnees mobiles `a haute performance sont disponible `a des vitesces
jusqu`a 350 km/h, voire jusqu`a 500 km/h, en fonction de la bande de frequence utilisee [20].
Co-existence avec les autres normes (les utilisateurs peuvent demarrer un appel ou le transfert de donnees
dans une zone `a laide dune norme LTE, et, si la couverture nest pas disponible, de poursuivre lexploitation
sans aucune intervention de leur part en utilisant le GSM/GPRS ou W-CDMA UMTS ou meme les reseaux
3GPP2 comme CDMA ou CDMA2000).
Le support des MBSFN (Broadcast Multicast Frequency Network unique). Cette fonctionnalite peut orir
des services tels que la television mobile en utilisant linfrastructure LTE, et est un concurrent pour la
diusion TV DVB.
Nous nous somme interesses dans cette partie par la presentation des concepts generaux du Long Term
Evolution, bien evidement letude detaille de levolution des reseaux mobile vers de le LTE et aussi les beneces de
ce dernier peuvent eux meme faire lobjectif dun projet de n detude.
7. 2,6 GHz, comme dans lUnion Europeenne
5.4 Principes des reseaux mobiles de la nouvelle generation 44
Les technologies sans l LTE et WiMax, positionnees sur le meme terrain et proposant des caracteristiques
relativement similaires, sont considerees comme concurrentes pour la 4

` eme generation de telephonie mobile (4G).
Neanmoins, sur ce terrain, le LTE semble avoir ete retenu comme nouveau standard `a travers le monde. Lobjectif
de la section suivante est letude de la couche Controle et plus particuli`erement le coeur des reseaux NGN appele
IP Multimedia Subsystem o` u IMS.
5.4.4 Couches Contr ole des reseaux mobiles 4G
Laspect le plus important des reseaux convergents de la prochaine generation (tout-IP) est la capacite
detablir des connexions point `a point (peer-to-peer) entre tous les appareils compatibles avec lInternet Protocole
(IP). Par consequent il doit y avoir un mecanisme pour etablir cette connexion.
LIP Multimedia Subsystem (IMS) est larchitecture orant aux utilisateurs (Pairs) la possibilite de lancer
une connexion IP vers les services multimedia ou bien `a dautre utilisateurs des reseaux IMS. Dans [21] IMS est
deni comme suit :
IMS est un syst`eme mondiale, independants de lacc`es et il se repose sur le standard de connectivite IP et
represente une architecture pour le controle de service. Il permet aux utilisateurs naux lacc`es `a nimportes quels
types de services multimedias en utilisant lInternet Protocoles .
IMS est developpe par le 3rd Generation Partnership Project (3GPP) et ore une architecture permettant la
convergence des donnees, de la voix et de la technologie reseau, sur une infrastructure basee sur lIP et il est concu
pour combler lecart entre les technologies des telecommunications existants et lInternet.
Actuellement IMS est utilise `a cote des reseaux mobiles existants, en orant une solution hybride, mais dans
la vision du Next Generation Network 4G (NGN), IMS est cense etre la technologie sous-jacente. IMS utilise les
protocoles normalises de lInternet Engineering Task Force [35] tels que cession Initiation Protocol (SIP) pour
etablir les connexions.
Architecture IMS
Les fonctionnalites et larchitecture la plus globale de lIMS peut etre representee par une gure semblable `a
la gure suivante. Les utilisateurs (UE) qui veulent mettre en place une cession doivent communiquer avec le coeur
du reseau IMS en utilisant des messages du protocole cession Initiation Protocol (SIP). Apr`es avoir negocie les
param`etres de la cession et le protocole de transport Real-time Transport Protocol (RTP), la cession de medias
est etabli. Un exemple typique dune telle cession est la voix sur IP (VoIP).
Figure 5.6 Architecture globale de lIMS
5.4 Principes des reseaux mobiles de la nouvelle generation 45
LIMS represente la couche controle dans les reseaux NGN et il consiste en des controleurs de cession
responsables du routage de la signalisation entre usagers et de linvocation des services. Ces noeuds sappellent des
CSCF (Call State Control Function). IMS introduit donc un environnement de controle de cession dans lensemble
du domaine.
IMS separe les divers elements du reseau au moyen de dessins ou mod`ele en couches. Il y a des couches
distinctes, le controle des appels (Plan de signalisation ), le controle de service (plan de service), et le controle des
medias (plan dutilisateurs), ainsi que des serveurs dedies pour la securite et les operations de maintenance.
La gure suivant represente larchitecture fonctionnelle des reseaux IMS (4G) [21] :
Figure 5.7 Architecture fonctionnelle des reseaux IMS
Contrairement `a lInternet, les reseaux IMS comportent dautres fonctions de controle integrees an de fournir
le controle des ressources, la securite et la QoS
8
dans le reseau. Ces mecanismes permettent au reseau dajuster
ces allocations des ressources necessaires pour chaque application specique.
Le reseau IMS se compose dune variete de composants dont le detaille tecnique fait lobjet de dierentes
publication et il y a des livres qui sont dedies `a la denition des ces composantes. Nous nous contenterons dans ce
qui suit de decrits les element les plus important et qui seront utile pour la suite de notre travail.
8. Qualite de service
5.4 Principes des reseaux mobiles de la nouvelle generation 46
Les composants de lIMS
Le terminal IMS
Il sagit dune application sur un equipement de lusager qui emet et re coit des requetes SIP. Il se materialise par
un logiciel installe sur un PC, sur un telephone IP ou sur une station mobile UE
9
(UMTS, CDMA, LTE, WiMax ... ).
Home Subscriber Server (HSS)
Lentite HSS (Home Subscriber Server) est la principale base de stockage des donnees des usagers et des
services auxquels ils ont souscrit. Les principales donnees stockees sont les identites de lusager, les informations
denregistrement, les param`etres dacc`es et les informations permettant linvocation des services de lusager.
Lentite HSS interagit avec les entites du reseau `a travers le protocole Diameter.
10
Call State Control Function (CSCF)
Le contr ole dappel initie par un terminal IMS doit etre pris en charge dans le reseau nominal (reseau auquel
lusager a souscrit `a ces services IMS) car lusager correspondant peut souscrire `a un grand nombre de services et
certains dentre eux peuvent ne pas etre disponibles ou peuvent fonctionner dieremment dans un reseau visite,
notamment suite `a des probl`emes dinteraction de service. Cela a induit la denition de trois entites CSCF :
P-CSCF (Proxy CSCF), I-CSCF (Interrogating CSCF) et S-CSCF (Serving-CSCF).
Le Proxy-CSCF (P-CSCF) est le premier point de contact dans le domaine IMS. Son adresse est decouverte
par le terminal lors de lactivation dun contexte PDP pour lechange de messages de signalisation SIP.
Le P-CSCF se comporte comme un Proxy Server SIP lorsquil relaye les messages SIP vers le destinataire ap-
proprie et comme un User Agent SIP lorsquil termine lappel (exemple : suite `a une erreur dans le message SIP recu).
Les fonctions realisees par lentite P-CSCF comprennent :
Lacheminement de la methode SIP REGISTER emise par le terminal `a lentite ICSCF `a partir du nom du
domaine nominal.
Lacheminement des methodes SIP emices par le terminal au S-CSCF dont le nom a ete obtenu dans la
reponse `a la procedure denregistrement.
Le routage des methodes SIP ou reponces SIP au terminal.
La generation de CDRs (Call Detailed Record).
La compression / decompression des messages SIP.
LInterrogating-CSCF (I-CSCF) est le point de contact au sein dun reseau doperateur pour toutes les cessions
destinees `a un utilisateur de cet operateur. Il peut exister plusieurs I-CSCF au sein dun reseau.
9. User Equipment
10. Diameter est le protocole dauthentication de la quatri`eme generation des reseaux mobiles
5.4 Principes des reseaux mobiles de la nouvelle generation 47
Les fonctions realisees par lentite I-CSCF comprennent :
Lassignation dun S-CSCF `a un utilisateur senregistrant.
Lacheminement des methodes SIP re cues depuis un autre reseau, au S-CSCF.
Lobtention de ladresse du S-CSCF aupr`es du HSS.
La generation de CDRs.
Le Serving-CSCF (S-CSCF) prend en charge le controle de la cession. Il maintient un etat de cession an de
pouvoir invoquer des services. Dans un reseau doperateur, dierents S-CSCF peuvent presenter des fonctionnalites
dierentes.
Les fonctions realisees par le S-CSCF pendant une cession comprennent :
Lemulation de la fonction Registrar puisquil accepte les methodes SIP denregistrement et met `a jour le HSS.
Lemulation de la fonction Proxy server puisquil accepte les methodes SIP et les achemine.
Lemulation de la fonction User Agent puisquil peut terminer des methodes SIP par exemple lorsquil
execute des services complementaires.
Linteraction avec des serveurs dapplication apr`es avoir analyse les crit`eres de declenchement des services
correspondants.
La generation de CDRs (Call Detailed Record).
Avant de pouvoir utiliser les services du domaine IMS, tels quetablir une cession multimedia ou recevoir une
demande de cession, un usager doit senregistrer au reseau. Que lusager soit dans son reseau nominal ou dans un
reseau visite, cette procedure fait intervenir un P-CSCF. Par ailleurs, tous les messages de signalisation emis par
le terminal ou `a destination du terminal sont relayes par le P-CSCF; le terminal na jamais la connaissance des
adresces des autres CSCFs (idem I-CSCF et S-CSCF).
MGCF, IMS-MGW et T-SGW : Interfonctionnement avec le RTC
Le domaine IMS doit interfonctionner avec le RTCP (Reseau Telephonique Commute) an de permettre
aux utilisateurs IMS detablir des appels avec le RTCP. Larchitecture dinterfonctionnement presente un plan de
controle (signalisation) et un plan dusager (transport). Dans le plan usager, des passerelles (IMS-MGW, IMS -
Media Gateway) sont requices an de convertir des ux RTP en ux TDM.
Ces passerelles ne traitent que le media. Des entites sont responsables de creer, maintenir et liberer des
connexions dans ces passerelles ; il sagit de controleurs de passerelles (MGCF, Media Gateway Control Function).
Par ailleurs, ce meme MGC termine la signalisation ISUP du cote RTC quil convertit en signalisation SIP qui est
delivree au domaine IMS. Les messages ISUP provenant du RTC sont dabord achemines sur SS7 `a une passerelle
de signalisation (T-SGW, Trunking Signaling Gateway) qui les relaye au MGC sur un transport SIGTRAN.
Linterfonctionnement entre le domaine IMS et le RTCP est donc assure par les trois entites : LIMS-MGW
(IP Multimedia Subsystem Media Gateway Function), MGCF (Media Gateway Control Function) et T-SGW
(Trunking Signaling Gateway Function).
5.4 Principes des reseaux mobiles de la nouvelle generation 48
5.4.5 Couches Services des reseaux mobiles 4G
La croissance exponentielle des services mobiles a ete alimentee par plusieurs facteurs, en particulier les
grandes evolutions technologiques dans le domaine des telecommunications : de ce fait, on touche de nos jours une
diversite au niveau des services mobiles.
Selon les specications 3GPP [1], on distingue quatre clasces de services en se basant sur la qualite oerte :
La classe de trac conversationnel (Conversational class),
La classe de trac `a ux continu (Streaming class),
La classe de trac interactif (Interactive class),
La classe de trac en mode telechargement (Background Class).
Le crit`ere de classication le plus preponderant est la sensibilite au delai de transmission. Les deux premi`eres
clasces sont prevues pour les services du type temps reel alors que les deux autres clasces concernent les ap-
plications non temps reel, ces derni`eres se caracterisent par une tolerance aux delais de transmission. Lautre
contrainte `a respecter essentiellement pour les deux derni`eres clasces de service est le seuil du BER (Bit Error Rate).
Services de type conversationnel
Cest lensemble des applications permettant la conversation directe entre plusieurs utilisateurs (voix,
videoconferences,). Cette classe de services est caracterisee par :
Faible delai de transmission,
Taux de distorsion du signal limite,
Conversion des relations temporelles du ux multimedia.
Pour ce type de service, la qualite de service est speciee par reference `a la perception de lutilisateur qui
permet de degager des seuils dappreciation du service tels que la distorsion maximale toleree du signal audio/video
recu et le retard maximal `a la reception.
Services `a ux continu
Cest lensemble des applications temps-reel caracterisees par un ux de donnees quasiment continu dans le
temps, de grandes contraintes de QoS relatives `a la sensibilite aux erreurs et synchronisation entre les entites. Les
applications relatives `a cette classe de service sont en general du type multimedia en mode diusion. Parmi les
exemples typiques de telles applications gurent les sequences video : clips, extraits de lm, et audio : extraits de
morceaux musicaux ...
5.4 Principes des reseaux mobiles de la nouvelle generation 49
Services Interactifs
Il sagit de lensemble des applications interactives classees non temps reel, cest `a dire qui ne presentent
pas des contraintes temporelles sev`eres ou qui sont insensibles aux delais de transmissions et aux contraintes de
synchronisation. Dans cette classe de services, on trouve toutes les applications faisant intervenir la transmission
de donnees en mode interactif telles que les consultations de baces de donnees distantes, navigation sur Internet...
Pour ce genre dapplications, la contrainte preponderante est la reconstitution sans erreurs du message global `a
partir du ux de donnees transmices. Pour un taux derreurs binaire determine `a lavance, il est imperatif de mettre
en oeuvre toutes les procedures de protection contre les erreurs, en particulier les procedures de retransmission.
Services en mode telechargement ou background
Cette classe de services inclut lensemble des applications non temps reel et qui ne sont pas interactives. Cela
signie que la transmission a lieu dans un seul sens de transmission et donc elle se caracterise par un ux tr`es
asymetrique (Mode telechargement).
Au niveau de la qualite de service, la seule contrainte `a respecter est de pouvoir reconstituer `a la reception,
le message transmis sans erreurs. Et `a linverse des applications interactives, aucune contrainte temporelle nest
imposee. Dans cette classe on trouve des applications comme le courrier electronique, le transfert de chiers,
transfert de mesures etc...
Ce chapitre avait pour objectif la denition de larchitecture des reseaux de la nouvelle
generation, les dierents composants de cette la vision NGN, les couches de la pile des protocoles...
on peut constater en terme de cette partie que les principes des reseaux 4G (NGN) sont tellement
nombreux est importants, nous avons detaille les elements essentiels qui seront traites et utilises
dans notre projet. Lobjectif du prochain chapitre est letude des mecanismes de securite appliques
dans les reseaux mobiles de la quatri`eme generation 4G.
6 La Securite des reseaux NGN
Le sujet de la securite des reseaux mobiles de la nouvelle generation represente un det majeur dans la
realisation de ces syst`emes. La securite dans les NGN est placee dans quatre niveaux detude :La securite de
lequipement mobile, des reseaux dacc`es, et dans la couche controle ainsi que pour les services.
Durant notre travail on sest interesse `a letude des mecanismes dauthentication et dintegrite lies aux
dierentes couches qui implementent les reseaux de la nouvelle generation. Et plus precisement la securite dans
le core IMS. Lidee generale du travail est lutilisation du service de certication numerique pour garantir un bon
niveau de conance entre toutes les parties communicantes dans un reseau NGN, et cela sans inuence sur le QoS.
6.1 La securite de la couche dacc`es
La securisation des reseaux dacc`es ou (NAC : Network Access Security) permet aux utilisateurs un acc`es
securise `a des services fournis par les reseaux 4G Cette fonction est responsable dassurer la condentialite
lidentite, lauthentication dutilisateurs, la condentialite, lintegrite et lauthentication de lequipement mobiles
et lidentite de lutilisateur.
1. la condentialite est obtenue en utilisant une identite temporaires appele International Mobile User Identity.
2. Lauthentication est realisee en utilisant une methode de de reponse (challenge-response) en utilisant une
cle secr`ete.
3. La condentialite est obtenue au moyen dun Chirement secret `a cles (CK), qui sont echangees dans le cadre
de lauthentication et de Key Agreement Process(AKA).
4. Lintegrite est fourni avec un algorithme integrite et une cle dintegrite (IK).
5. Lidentication de lequipement se fait en utilisant lIdenticateur International de lequipement mobile
(International Mobile Equipment Identier) (IMEI).
6. La securite du domaine du reseau (NDS) permet aux noeuds du fournisseur de nom de domaine dechanger
en toute securite les donnees, et empeche les attaques sur le reseau.
7. La securite du domaine dutilisateur (UDS) permet `a un utilisateur de se connecter en toute securite aux
stations mobiles.
8. La securite dapplication : Cette fonctionnalite permet aux applications dans le domaine dutilisateur et dans
le domaine du prestataire dechanger des messages en toute securite.
6.2 La securite de lequipement mobile (ME) 51
6.2 La securite de lequipement mobile (ME)
Les appareils mobiles daujourdhui comportent un grand nombre dapplications et de services, y compris le
telechargement de contenu, applications dentreprices, du commerce et TV mobile...
Alors les technologies mobiles de la future (`a partir du 4G) doivent garantir la securite de ces applications et
de proteger cette nouvelle generation dappareils du grand nombre de menaces et dattaques quelle peut subir.
Garantir la securite pour lutilisateur mobile est un de majeur dans le developpement des reseaux 4G et
qui sera une tache assez complique `a gerer.

Etant donne que lequipement mobile (ME) devient de plus en plus
puissant, il reste toujours ouvert `a deventuels scenarios dattaques. La negligence de la securite du ME dans le
developpement du regime de securite presentera beaucoup de risques dans les syst`emes 4G `a venir.
Voici quelques exemples dattaques contre les nouveaux reseaux mobiles bases sur le protocole IP :
TCP SYN attack : Lattaque TCP SYN (synchronisation) communement appelee SYN Flooding,
prend partie de vulnerabilites dans le protocole TCP. Cette technique peut egalement etre utilises pour
aecter un autre type dattaque appele IP Spoong (Internet Protocole de spoong).
TCP Connection Hijack : Permet `a Un hote dattaque Y de capturer lauthentication normale passer entre
deux hotes X et Z, puis prend le controle de la connexion. Cest ce quon appelle comme une connexion
TCP ou le Hijack Man-in-the-Middle-attaque.
Et bien dautres types dattaques comme : Port Scan Attack, SSL Attack, Packet Sning Attacks...
6.3 La securite de la signalisation SIP
SIP (cession Initiation Protocol) est un protocole de signalisation deni par lIETF (Internet Engineering Task
Force) permettant letablissement, la liberation et la modication de cessions multimedias (RFC 3261). Il herite de
certaines fonctionnalites des protocoles http (Hyper Text Transport Protocol) utilise pour naviguer sur le WEB,
et SMTP (Simple Mail Transport Protocol) utilise pour transmettre des messages electroniques (E-mails). SIP
sappuie sur un mod`ele transactionnel client/serveur comme HTTP.
SIP a ete etendu an de supporter de nombreux services tels que la presence, la messagerie instantanee
(similaire au service SMS dans les reseaux mobiles), le transfert dappel, la conference, les services complementaires
de telephonie, etc. SIP a ete retenu par le 3GPP pour larchitecture IMS (IP Multimedia Subsystem) comme
protocole pour le controle de cession et le controle de service.
Il existe une version securisee du protocole sips qui utilise TLS comme protocole securise comme le protocole
https vis `a vis de http.
Le processus dauthentication est necessaire pour veiller `a ce que la communication ne va avoir lieu quentre
les utilisateurs legitimes. En SIP, lauthentication est necessaire lorsque le participant souhaite enregistrer,
modier ou resilier la cession. Dierents mecanismes dauthentication `a dierents niveaux sont proposes.
6.3 La securite de la signalisation SIP 52
6.3.1 SIP Digest Authentication
Le mecanisme SIP Digest Authentication est base sur le mecanisme HTTP Digest. Il sagit dun paradigme
de de-reponse qui est utilise pour le client `a client ou de lauthentication client-`a-proxy. Dans ce regime, le
beneciaire peut contester lidentite de lexpediteur en utilisant une valeur nonce. En reponse `a ce de, lexpediteur
envoie un message digest calcule `a laide de ce nonce, le nom dutilisateur, le secret partage et certains autres
param`etres facultatifs.
Figure 6.1 Lauthentication SIP Digest
SIP Digest Authentication resout certaines lacunes de lauthentication HTTP de base par la transmission
dun hache MD5 ou SHA-1 des informations des parties communicantes. [24] En outre, lutilisation de la valeur
nonce unique pour contester lexpediteur empeche lattaque reponse (the reply attack).
Cependant, il ya aussi des limites de lauthentication Digest. Un des probl`emes majeurs de lauthentication
Digest est quil necessite une association pre-existante de securise. Par consequent ce regime ne peut assurer la
securite dans une association non securises tels que lauthentication proxy-`a-proxy sur dierents domaines de
lInternet. Le schema dauthentication dans ce cas doit se fonder sur TLS ou IPSec.
Lauthentication Digest est egalement vulnerable contre les attaques en textes claires (plaintext attack).
Si les mots de passe court ou faible sont utilises, lattaquant peut intercepte beaucoup de reponces de dierents
nonces, et tente ensuite le mot de passe avec la force brute attack.
Un autre inconvenient du regime dSIP authentication Digest est quil ne prevoit aucun mecanisme dauthen-
tication proxy pour User Agent Server (UAS). Par consequent, lauthentication du dernier hop dans un routage
des appels SIP nest pas possible en utilisant SIP Digest Authentication sauf si un protocole de couche inferieure
de securite est utilise.
6.3 La securite de la signalisation SIP 53
La Specication SIP recommande lutilisation de Transport Layer Security (TLS) ou Datagram TLS (DTLS)
pour assurer un niveau adequat de protection contre les attaques.
6.3.2 Authentication S/MIME
Dans ce processus, le SIP User Agent (UA) cree le message SIP et attache un corps MIME (Multipurpose
Internet Mail Extensions) `a lui. Ensuite, lUA cree une entite multipart/signe S/MIME, qui contient le corps
MIME et une application/pkcs7-signature.
Figure 6.2 Lauthentication SIP MIME
Ensuite, il signe le corps MIME UA en utilisant sa cle privee et comprend le certicat de cle publique dans
lobjet de la CMS application/pkcs7-signature S / MIME entite, puis il envoie le message. La reception SIP UA
prend le message `a part et essaie de trouver le certicat de cle publique inclus dans son trousseau de cles.
Si un certicat de cle publique, dans le trousseau de cles, a un sujet qui correspond au champ den-tete
du 1 er dans le message SIP, puis la reception SIP UA doit le comparer avec le certicat recu. Sil ya un ecart
entre eux, lUA SIP doit notier `a lutilisateur et obtenir lautorisation de lutilisateur avant de poursuivre la cession.
6.3 La securite de la signalisation SIP 54
Figure 6.3 Corps du message dauthentication S/MIME [2]
La RFC SIP recommande la replication de tous les champs des en-tetes dans la partie MIME, ce qui peut
etres justie par certains probl`emes. Tout dabord, les champs den-tete SIP peuvent se modier par les entites SIP
intermediaires qui font quil est dicile pour le beneciaire didentier les changements juridiques ou malveillants
des en-tetes [24].
Deuxi`emement, la solution S/MIME egalement necessite le deploiement dun reseau de Public Key Infrastruc-
ture (PKI) S/MIME mondial Sinon, les cles publiques echangees seront auto-signe, ce qui rend lechange initial des
cles sensibles aux attaques de type man-in-the-middle [2].
6.4 Lauthentication dans les reseaux mobiles NGN de 3GPP 55
Figure 6.4 Public Key Infrastructure (PKI) pour S/MIME
Le protocole de signalisation SIP est un element important dans la vision de la nouvelle generation, il ore
une grande exibilite dans les communications du future, en plus il permet de garantir de tr`es hauts niveaux de
securites par rapport aux ancien methodes de signalisation. En comme nous avons vue On peut il existe plusieurs
modes dauthentication SIP dans les dierentes couches de la pile (Secret partager, certicats numeriques...). Et
chaque methode a des avantages et des limitations.
6.4 Lauthentication dans les reseaux mobiles NGN de 3GPP
Le 3GPP Forum denit une architecture dauthentication nommee Generic Authentication Architecture
(GAA) qui precise les mecanismes dauthentication entre un client ((`a savoir lUE) et un serveur dapplication
avant que la communication peut avoir lieu [6] .
Un grand nombre dapplications partagent le besoin commun dun mecanisme dauthentication, donc il a
ete juge utile de preciser une architecture generique dauthentication (GAA). Cette GAA decrit une architecture
generique pour lauthentication entre les pairs qui peut a priori servir `a nimporte quelle application (presente et
future).
Figure 6.5 Illustration de GAA
6.4 Lauthentication dans les reseaux mobiles NGN de 3GPP 56
Il y a generalement deux types de mecanismes dauthentication. Lun est base sur un secret partage entre
les entites communicantes, lautre est base sur une paire de cles (public, prive) et des certicats numeriques.
Egalement dans GAA ce sont les deux options qui sont a priori disponibles pour les applications mobiles comme le
montre la gure suivante.
Figure 6.6 Les mecanismes dauthentication GAA
6.4.1 Authentication en utilisant le secret partage
Il existe plusieurs protocoles dauthentication qui sappuient sur un secret pre-partage entre les deux entites
communicantes. Des exemples courants comme HTTP Digest, Pre-Shared Key TLS, IKE avec secret pre-partage
et a priori aucun mecanisme fonde sur nom dutilisateur et mot de passe.
Le principal probl`eme avec ces mecanismes est de savoir comment se mettre daccord sur ce secret pre-partage.
Dans un contexte mobile un mecanisme AKA peut etre utilise pour fournir aux deux entites communiquant un
secret pre-partage [6] .
6.4.2 Lauthentication basee sur une paire de cles (public, prive) et les certicats
Une alternative de lutilisation de secrets partages pour lauthentication est de sappuyer sur la cryptographie
asymetrique. Cela suppose que lentite qui doit etre authentie (un ou deux partenaires dans la communication)
poss`ede une paire de cles (public, prive) et un certicat numerique correspondant. Celui-ci valide la paire de cles
et lie la paire de cles `a son proprietaire legitime. Nous allons nous interesser par la suite `a letude des mecanismes
asymetriques.
Plusieurs protocoles bien connus dont lauthentication est basee sur des paires de cles (public, prive)
notamment le PGP, HTTP sur TLS, (le second est communement appele par son identicateur de protocole,
HTTPS) [1] .
Le principal inconvenient de ce type dauthentication est quune infrastructure `a cle publique PKI est
necessaire et que les operations cryptographiques `a cles asymetriques ont souvent besoin de beaucoup plus deort
de calcul que les operations `a cle symetriques.
6.4 Lauthentication dans les reseaux mobiles NGN de 3GPP 57
6.4.3 Support for Subscriber Certicates (SSC)
Si un client veut faire usage de la technologie de chirement asymetrique, donc il a besoin dun certicat
numerique qui est cree par une autorite de certication (CA). Ce certicat lie une cle publique `a lidentite de son
proprietaire legitime et certie la validite de la cle publique. Si un abonne mobile veut avoir et utilise une paire de
cles (public, prive), la paire de cles et un certicat devrait etre soit pre charge ou labonne doit avoir les moyens
de produire ou dobtenir soit une paire de cles et dobtenir dynamiquement un certicat numerique correspondant
[1] .
SSC specie un mecanisme de delivrer dynamiquement un certicat numerique `a un abonne mobile.
Les syst`emes mobiles doivent delivrer des certicats dabonnes an dautoriser et de tenir compte de lutilisa-
tion du service `a la fois `a la maison et dans les reseaux visites. Cela necessite la specication de :
Les procedures pour delivrer des certicats temporaires ou `a long terme pour les abonnes ;
Le format du standard des certicats et des signatures numeriques, par exemple, reutilisation des
specications OMA pour le PKI sans l.
La gure suivante montre un simple mod`ele de reseau et des entites impliquees dans la delivrance de certicat
et les points de reference utilises entre les entites du reseau.
Figure 6.7 Le mecanisme de certicats dabonnes SSC
Le portail PKI
Un portail PKI delivre un certicat `a lUE et fournit un certicat pour la CA de loperateur. Dans les deux
cas, les demandes et les reponces sont proteges par une cle partagee qui a dej`a ete etabli entre UE et un BSF.
En ce qui concerne le PKI, le portail PKI est une autorite denregistrement (RA) qui authentie la demande
de certication base sur un abonnement cellulaire. Le portail PKI peut egalement fonctionner comme une
autorite de certication (CA) qui delivre des certicats. Toutefois, cette tache peut egalement etre fait dans une
infrastructure PKI existante vers lequel le portail PKI fonctionnerait comme un RA seulement, et le CA serait
dans linfrastructure PKI.
6.5 La securite de linter-domain (NDS/AF) 58
Bootstrapping Server Function
Le bootstrapping server function (BSF) soutient le portail PKI en fournissant lauthentication et en speciant
les param`etres de securite de lutilisateur (i.e si labonne est en mesure dinscrire un certains types de certicat
dabonne).
User Equipment
Les nouvelles fonctionnalites requirent `a partir de lUE est le support du point de reference Ua (c.-`a-d protocole
dinscription de certication : certication enrolment protocol), qui est protege en utilisant les cles partagees etablie
au cours de la fonction de bootstrapping.
En outre UE peut avoir la capacite de generer des cles public et prive, de stocker la partie de la cle privee
dans une memoire non-volatile (par exemple dans UICC), et de proteger lutilisation de la partie de la cle privee
(par exemple avec un code PIN). Voici la liste des principes de delivrance des certicats dabonnes [6] :
Lutilisation de larchitecture du bootstrapping (securiser la livraison des certicats).
Lindependance dacc`es.
Litinerance (Roaming) et le soutien des services du reseau (certicats `a partir du reseau home).
Le controle de loperateur daccueil.
Prol des certicats dabonne (basees sur les certicats WAP et du prole CRL).
Le format de la demande de certication doit etre PKCS 10.
Le format de la reponse de certication est un des elements suivants : un certicat, un pointeur vers le
certicat, ou une chane de certicats compl`ete.
6.5 La securite de linter-domain (NDS/AF)
Lentite Network Domain Security (NDS)/ Authentication Framework (AF) [7] est elaboree dans le cadre de
lelement du reseau Network Domain Security, qui limite le champ dapplication aux entites, le plan de controle du
reseau de base. Ainsi, lAuthentication Framework permettra dauthentier une entite pour les noeuds qui utilisent
NDS/IP.
Le NDS/AF present `a la fois lauthentication des passerelles de securite (SEG) `a linterfaces Za correspon-
dante, Cette partie du protocole utilise les certicats numeriques pour lauthentication, et lauthentication entre
les equipement des reseaux NGN(NE) et la SEG dans linterface Zb.
6.5 La securite de linter-domain (NDS/AF) 59
Lauthentication des entites nales dans le domaine intra-operateur est consideree comme une question
interne pour les operateurs. La gure suivante presente larchitecture de limplementation de la chaine de conance
entre les domaines des operateurs :
Figure 6.8 chemin de validation et de conance dans le cadre de NDS/IP
LAC de SEG delivre des certicats pour les SEGs qui implementent linterface Za. Lorsque la SEG du
domaine de securite A etablit une connexion securisee avec la SEG du domaine B, ils doivent etre en mesure de
sauthentier mutuellement.
Lauthentication mutuelle est veriee `a laide des certicats remisent par lAC de SEG pour les deux
SEGs. Quand un accord dinterconnexion est etabli entre les domaines, lAC dinterconnexion cocertie lAC
SEG des deux operateurs. Le cross-certicats cree doit seulement etre congure au niveau local pour chaque domaine.
La certication croisee, cree par lAC dinterconnexion du domaine de securite A pour lAC de la SEG du
domaine de securite B, doit etre disponible dans la SEG du domaine A qui assure le segment linterface Za vers le
domaine B. De meme, le certicat correspondant, cree par lAC d interconnexion du domaine B pour lAC SEG
du domaine de securite A, doit etre disponibles dans la SEG du domaine B qui fournit une interface Za vers le
domaine A.
Apr`es la livraison du cross-certication, le SEG a est en mesure de verier le chemin : SEG b -> SEG AC B
-> AC dinterconnexion A. Seul le certicat de lAC dinterconnexion dans le domaine A doit etre approuve par
les entites dans le domaine de la securite A.
6.5 La securite de linter-domain (NDS/AF) 60
De meme, la SEG b est en mesure de verier le chemin : SEG a -> SEG AC A -> AC dinterconnexion B.
Le chemin est veriable dans le domaine B, parce que le chemin se termine par un certicat de conance (lAC
dinterconnexion du domaine de la securite B dans ce cas).
LAC dinterconnexion signe le deuxi`eme certicat dans le chemin. Par exemple, dans le domaine A, le certicat
de lAC SEG B est signe par lAC dinterconnexion de domaine A, quand la cross-certication est eectuee.
Ce chapitre presente les moyens utilises par le forum 3GGP an de garantir la securite dans les
reseaux de la nouvelle generation 3GPP. Ces specications regroupe la securite des communications
entre les clients et les serveurs, ainsi que la securite de linterconnexion des domaines. Il faut note que
les specications de 3GPP sont traitees et etudiees et soigneusement elaborees par le groupement
SA du meme forum [32].
7 Le commerce mobile m-commerce
Le e-commerce est devenu un composant essentiel pour les strategies daaires et un catalyseur du
developpement de leconomie mondiale. Le e-commerce permet aux gens de payer les factures, commander des
articles, et faire dautres activites, de chez eux depuis leurs bureaux comme il ore aux petites et moyennes
entreprices plus de chance de cotoyer les grosces compagnies.
Lintegration des nouvelles technologies de linformation et de la communication dans le monde du e-commerce
a permis dameliorer la productivite, dencourager une consommation massive importante, sans parler de la
reduction des couts. Le commerce mobile est presente depuis quelques annees comme le nouvel eldorado du
commerce electronique `a travers le monde.[22]
Dans ce chapitre, nous presentons le e-commerce sur les appareils mobile (historique, denition, types, syst`emes
de paiements, composants ... ) pour en deduire les avantages de celui- ci et ces limites. Puis, nous parlerons des
aspects de securites lies `a cette technologie.
7.1 Historique
La premi`ere forme du e-commerce a ete le magasin on-line o` u les vendeurs communiquaient avec les consom-
mateurs via leurs sites web en utilisant les methodes de marketing traditionnelles.
Cest en 1960, quest apparu lEDI (Electronic Data Interchange) an dechanger des documents dans un
format standard, entre les entreprices. Puis, lEFT (Electronic Funds Transfer) a ete utilise par les banques pour la
transmission dordre de paiement. Et enn, depuis les trois derni`eres annees de la n du 20e si`ecle, Internet a pris
sa place et de nos jours, on parle serieusement du commerce mobile (le m-commerce).
7.2 Denition
Plusieurs denitions ont ete donnees au e-commerce, mais pour en donner une assez compl`ete, on peut dire
que, le e-commerce est lutilisation des technologies de linformation et de la communication (TIC), pour creer,
transformer, et redenir des relations commerciales entre des organisations, et entre organisations et individus.[23]
Le terme commerce mobile va etre de plus en plus utilise. Il est donc utile de savoir ce que commerce mobile
(mobile commerce ou m-commerce en anglais) signie. Pour cela, nous avons cherche plusieurs denitions de ce
terme.[39]
La denition de commerce mobile de Nokia France
1
:
Le commerce mobile cree des opportunites enti`erement nouvelles pour les telephones et les services mobiles
comme la banque, le paiement et la billetterie. Commerce mobile fait reference `a des transactions `a laide dun
appareil mobile et dune liaison de donnees, et resultant dans un transfert de valeurs en echange dinformations,
de services ou de marchandices.
1. www.nokia.fr
7.3 Types de commerce electronique 62
La denition de commerce mobile du Dico du Net
2
:
Le M-commerce (mobile commerce) est lequivalent du e-commerce mais applique aux supports sans ls, type
telephonie mobile. Ainsi, acheter et telecharger le dernier MP3 sur son telephone portable constitue une activite
de m-commerce.
La denition anglaise de m-commerce de Techtarget.com
3
:
M-commerce (mobile commerce) is the buying and selling of goods and services through wireless handheld
devices such as cellular telephone and personal digital assistants (PDAs). En francais cela donne : Le m-commerce
ou commerce mobile est lachat et la vente de biens et services par lintermediaire de materiel portable comme un
telephone portable ou un PDA.
Nous pensons que toutes ces denitions sont valables et que le commerce mobile est tout simplement le
commerce electronique applique aux telephones portables. Cest le materiel utilise pour acceder `a Internet et qui
ne change pas le concept du commerce electronique en lui-meme.
7.3 Types de commerce electronique
Le e-commerce se divise en 6 [39] dierents types selon le deroulement des echanges dinformation entre :
7.3.1 Deux entreprices (B2B Business-to-Business)
On estime que pr`es de 90% du e-commerce est de ce type, il regroupe les echanges des informations cryptees
entre entreprices pour en preserver la condentialite, les comptes dentreprices, les echanges de biens et de services
entre entreprices, fournisseurs et detaillants.
Le B2B permet de mieux cibler les entreprices clientes. Cependant, il exige un niveau de securite plus avance
que les autres types, car les achats des compagnies sont plus volumineux que ceux des particuliers consommateurs.
Les applications B2B couvrent generalement dans les domaines de gestion des stocks, gestion de la distribution,
gestion des syst`emes de payement electronique.
Les exemples des mod`eles les plus connus et les plus reussis du B2B sont IBM, HP, Dell et Cisco. La plu-
part des experts prevoient que le B2B continue `a se developper plus rapidement que le B2C (Business-to-Consumer).
7.3.2 Une entreprise et un client (B2C Business-to-Consumer)
Cest le premier type de e-commerce ` a avoir vu le jour, il permet aux clients de faire des achats via Internet
des biens physiques (livres, produits alimentaires,..) ou numeriques (E-Books26, logiciels, musiques...).
Avec la crainte qui persiste encore chez les consommateurs, ce type de commerce na pas encore pris tout son
essor. [25]
2. http://www.dicodunet.com/denitions/e-commerce/m-commerce.htm
3. http://searchmobilecomputing.techtarget.com/denition/m-commerce
7.4 Services M-commerce disponibles 63
Les applications B2C les plus repandues sont dans le domaine de vente de produits et dinformation, gestion
nanci`ere personnelle. Un bon exemple de mod`ele B2C est Amazon.com.
7.3.3 Une entreprise et un gouvernement (B2G Business-to-Government)
Connu aussi par lappellation E-Government, est lensemble des agences gouvernementales sur des sites Web,
servant `a organiser levolution du e-commerce, en permettant aux entreprices et aux particuliers de se renseigner,
de faire des declarations en douane et dimpots, obtenir des autorisations ( permis, licences...).
Actuellement, le B2G nest pas un domaine tr`es avance. Beaucoup de projets sont encore en phase detude
dans plusieurs pays. Au Maroc le service de le-gouvernement sera disponible en 2013.
7.3.4 Une administration et un client (A2G Government-to-Consumer)
Regroupe toutes les transactions entre les organisations administratives et les particuliers. Toutefois, avec le
developpement du B2G et du B2C, linteractivite des administrations pourrait setendre. Aussi ce service sera
disponible `a parti de lannee 2013 au Maroc.
7.3.5 Deux clients (C2C Consumer-to-Consumer)
Cest une forme de e-commerce qui a connu un succ`es ces derni`eres annees, cest le commerce entre individus
ou consommateurs.
Les exemples les plus connus de ce type dentreprise sont eBay aux Etats-Unis ou iBazar en France, qui
permettent `a leurs clients de vendre des objets par des ench`eres publiques, on peut citer aussi les sites de publication
de petites annonces o` u les interesses peuvent acheter et negocier avec les vendeurs.
7.3.6 Une entreprise et ces employes (B2E Business-to-Employee)
Via la mise `a disposition de formulaires `a leurs attention pour la gestion de leurs carri`eres, de leurs conges ou
de leurs relations avec la comite dentreprise.
7.4 Services M-commerce disponibles
On peut citer comme services de M-commerce disponibles le m-ticketing et le m-banking :
M-ticketing : Les tickets peuvent etre envoyes aux telephones portables ; ainsi les utilisateurs sont capables
dutiliser leurs tickets en presentant leurs telephones `a leur arrivee. Les tickets peuvent etre achetes sur le mobile `a
laide dune simple application de telechargement ou en accedant `a des portails des agences de voyage, aeroports
et gares, cinema etc...
M-banking : Les banques ou autres institutions nanci`eres explorent lutilisation du M-commerce pour
permettre `a leurs clients, non seulement dacceder `a leurs comptes, mais aussi pour etablir des transactions (le
change par exemple) via leurs telephones portables ou tout equipement mobile.
7.5 Contraintes et avantages du m-commerce 64
7.5 Contraintes et avantages du m-commerce
Temps de chargement des informations, taille de lecran et la securite semblent etre les principales
problematiques du m-commerce, lancer un site marchand dedie au m-commerce doit donc faire lobjet dune etude
particuli`ere et resulter dune strategie propre au mobile.[23]
Dans le meme temps, la plupart des achats realisees sur le mobile sont des achats impulsifs et lacc`es meme des
internautes `a un site m-commerce donne dej`a un certain nombre dinformations : ils sont adeptes des nouveautes,
ont un fort pouvoir dachat.
Le m-commerce est un simple moyen de transformer les envies spontanees en acte dachat. Lacheteur na pas
dautre eort `a faire que denvoyer un SMS (Short Message Service). De plus, il est un service simple `a mettre
en place, sans aucune installation, un simple contrat sut, et il est evolutif integrant les possibilites dechange de
donnees structurees avec dautres syst`emes du marchand interface XML.
Le probl`eme principal reste la necessite de sadapter avec la multiplicite des devices formats. Les plateformes
sont eectivement diverces. Elles sont `a distinguer, non seulement pour laspect technologique, mais egalement parce
quelles adressent dierents usages et dierents segments de marche.[22]
Pour terminer sur une vision davenir optimiste, rappelons quelques projections sur le commerce mobile dans
le monde : en n 2010, le M-Commerce devrait doubler aux Etats-Unis, pour atteindre 2,42 Mds de dollars. Il
representait en 2009 1,5% du commerce en ligne, et ce chire devrait passer `a 8,5 % en 2015 selon le cabinet Coda
Research, pour representer pr`es de 24 Mds de dollars.
4
7.6 La securite dans le commerce mobile
Les nouveaux reseaux sans l et mobiles ont etendu le commerce electronique `a un autre niveau de recherche
et dapplication plus avance : les applications de commerce mobile sont concus au-dessus de linfrastructure reseau
existante composee de reseaux cables, tels que lInternet, des reseaux sans l, tels que grande surface reseaux
cellulaires 3G+
5
et Wi-Fi ainsi que les reseaux locaux sans l (WLAN). Par consequent, la question de la securite
dans le commerce mobile est sans doute associee `a la securite du reseau.
Sans la securite des technologies reseau sous-jacente, le commerce mobile sera au-del`a de notre imagination. la
securite du reseau concerne generalement les communications de deux ou plusieurs entites participantes. Cependant
la securite couvre de nombreux aspects dierents. Dans ce chapitre nous nous concentrons sur les elements qui
sont en relation avec les syst`emes de commerce mobile.
Un syst`eme de commerce mobile doit fournir des services de securite `a ces clients an que les transactions
soient aussi ables et securises. Les conditions requices pour la securite du commerce mobile et les sont les suivantes :
Lauthentication : Avant que les transactions soient eectuees, les entites participantes dans la tran-
saction (generalement lexpediteur et le destinataire) doivent conrmer lidentite des uns des autres.Ce service
empeche un tiers non autorise de passer pour lun des parties legitimes. Lauthentication est generalement obtenue
en utilisant les protocoles dauthentication du reseau.
4. http://www.compario.net/Downloads/Pages/videos-cafe-du-e-commerce.aspx
5. Prochainement les reseaux NGN
7.6 La securite dans le commerce mobile 65
Dans les syst`eme du commerce daujourdhui on utilise lauthentication base sur le login et le mot de passe,
en plus le protocole de transport est le https
6
dans la plupart des cas.
Lintegrite des donnees : Aucun message transmis ne doit etre modie par accident ou par malveillance
sans que cela soit detecte au niveau du recepteur dun syst`eme de commerce mobile. Grace `a cette fonctionnalite
de securite, un intercepteur nest pas en mesure de tromper le recepteur en modiant le contenu dun message dans
la transmission. La signature electronique des messages assure lintegrite des donnees.
La non-repudiation : Les transactions de commerce mobile se sont des transactions ocielles. Ni
lexpediteur ni du recepteur doit etre en mesure de nier lexistence dun interet legitime apr`es une transaction .
Autrement dit, lexpediteur peut prouver que le destinataire avait recu le message et le destinataire peut prouver
que lexpediteur specie na pas envoye de message. Cela se fait generalement en utilisant des techniques de
signature numerique.
Lutilisation du mecanisme de la signature numerique dans les transactions, sappuis dans le cas asymetrique
sur lintegration des certicats numeriques generer par une autorite de certication PKI dans le processus de la
communication. Se mecanismes nest pas largement deployer dans le commerce mobile vue les limitations des
appareils mobiles.
Disponibilite : La disponibilite dun syst`eme de commerce mobile garantit que les utilisateurs legitimes
peuvent acceder au service dune mani`ere able et securisee. Le syst`eme devrait etre concu de mani`ere `a minimiser
les risques et limpact dattaques de type deni de service (DoS), qui peuvent aecter les services de commerce
mobile en les rendant instable ou inutilisable pendant de longues periodes de temps. Le deploiement de dispositifs
de securite dans le reseau, telles que les pares-feu et leur conguration ainsi que des protocoles de securite associes
7
est bien la cle de lassurance de la disponibilite du service.
En generale la securite dans les transactions du commerce mobile regroupe ces quatre fonctionnalites, sajoute
les testes de vulnerabilite, lanalyse de la securite de lappareil mobile et aussi les reseaux de loperateur telecom,
et enn la securite de lapplication du commerce mobile cote serveur dapplication. [26]
Les specications de la securite dans les services m-commerce sont tr`es proches `a celles dautres applications
de type Web Services ou tout autre application, sauf quelle doit prendre en charge le contexte du client qui est un
appareil mobile.
Lobjectif de ce chapitre ete la presentation des enjeux du commerce electronique. Les denitions
et les principes de securite denit permet davoir une idee sur ce type de service, qui est considere
comme un service `a valeur ajoute dans les communications du future. Le prochaine partie du
document est la partie pratique de notre projet de n detude, nous allons essayer de presenter
la methodologie et les etapes suivies an de realiser un prototype de service de commerce mobile
securise par le biais des certicats numeriques X.509 et cela dans le cadre des reseaux mobiles de la
nouvelle generation.
6. Le protocole http securise avec le protocole SSL
7. IPsec, Scanner de securite...
Partie pratique
8 Demarche de resolution de la
problematique
Pour repondre `a la problematique de notre projet
1
, nous avons choisi de suivre une approche methodologique
qui essaye de decortiquer les elements de notre sujet en plusieurs parties, et par la suite de traiter chaque partie
independamment de lautre.
Comme notre projet traite la problematique du service de commerce mobile dans les reseaux mobiles de la
quatri`eme generation 4G, nous avons divise ce sujet en trois grandes parties, chaquune dentre elle est composee
de plusieurs sous parties. En generale nous nous sommes interesses `a etudier :
Les reseaux de la nouvelle generation NGN.
Le service de commerce electronique dans les reseaux mobile de la quatri`eme generation 4G.
Le service PKI comme moyen de conance dans les communication du future.
Durant ce chapitre nous allons expliquer les demarches suivies an de resoudre la problematique de la securite
des services de type commerce mobile du futur. Cette resolution consistait en letude approfondie des aspects
theoriques qui sont en relation avec les th`emes abordes, puis la specication des besoins en terme de securite et
lidentication des contraintes pour chaque cas dutilisation, apr`es nous avons specie des solutions pour chaque
contrainte en se basant sur les specications de la communaute internationale.
Dans un deuxi`eme temps nous avons aborde la partie pratique an de mieux comprendre les aspects fonction-
nels des syst`emes, en plus pour pouvoir evaluer la securite des architectures de commerce mobile dans les reseaux
4G. Il fallait dans un premier temps donner une conception generale du syst`eme et par la suite de rechercher
les dierents outils disponibles en open source an de realiser une emulation compl`ete de cette conception. Dans
un deuxi`eme temps nous nous sommes amenes `a analyser les dierentes parties dont le but etait de montrer
linteret des mecanismes proposes, en particulier le renforcement de la securite des transactions du commerce `a
base dappareils mobiles.
8.1 Letude bibliographique
La phase de letude bibliographique est la phase la plus importante dans un projet de n detude, elle nous
a permis de determiner les dierents aspects qui sont en relation avec notre sujet et de se focaliser sur letude
approfondie de chacun de ces aspects.
Dans cette etape nous avons essaye de recolter les documents et les articles qui traitent des sujets en relation
avec les th`emes etudies. Ensuite nous avons realise des resumes et des synth`eses dont lobjectif etait declaircir les
notions et de se familiariser avec le domaine de letude.
1. Voir chapitre 2 enonce du probl`eme
8.2 Identication des besoins 68
Pour etudier les mecanismes de securite utilises dans les services des reseaux mobiles de la nouvelle generation
NGN et specialement celles du commerce mobile, nous avons mis le point sur les th`emes suivants :
Letude des concepts des reseaux NGN (LTE, IMS, SIP, Services).
Lidentication des protocoles de securite utilisait dans les reseaux 4G (AAA, Diameter, PSK, SSL, AKA,
SIPS, ....).
Les champs dutilisation des certicats numeriques et leurs types (X.509, Short lived, Relation Sheap).
Les dierences entre la PKI traditionnelle et la Wireless PKI (WPKI).
Les concepts de mise en place dune PKI internationale.
Letude de la gamme de services oerte par les nouveaux reseaux 4G.
Les moyens de securite utilises dans les transactions de commerce mobile cote client (ME) et cote serveur
(SA).
Apr`es cette etape qui a dure trois mois nous avons eux des idees constructives et nous avons augmente notre
spectre de connaissance sur les nouveaux reseaux mobiles 4G, ainsi que les mecanismes dauthentication et
dintegrite utilises an de garantir la securite des communications. Ceci nous a permis de construire letat de lart
de notre projet en se basant sur les travaux etudies et par consequent didentier nos besoin et de rediger le cahier
des charges de notre travail.
8.2 Identication des besoins
La phase de denition des besoins est la premi`ere etape vers la mise en oeuvre dun mod`ele conceptuel qui
represente lutilisation du service de commerce mobile dans les reseaux de nouvelle generation NGN. Elle regroupe
la specication des besoins fonctionnels du syst`eme ainsi que les besoins en terme de securite.
Lobjectif consiste `a determiner les besoins de notre projet en se basant sur un veritable etat des lieux sur
les reseaux NGN, puis detudier les dierents risques et menaces qui sont presentes an de mettre en oeuvre un
syst`eme de commerce mobile bien securise et adapte aux specications des reseaux 4G.
Nous avons repertorie les exigences par ordre de priorite, car notre temps est limite, alors leort de conception
doit dabord porter sur les exigences essentielles, an de garantir que les fonctionnalites cles soient oertes.
Exigences theoriques
La conception dune architecture de commerce mobile dans le contexte des reseaux mobile de la quatri`eme
generation 4G, doit se baser sur des concepts theoriques solides qui vont constituer par la suite notre preuve de
conception.
8.3 Specications de solutions 69
Exigences fonctionnelles
Il est important de denir nos besoins et attentes concernant le deploiement de lapplication par exemple :
Quel type de realisation nous pouvons faire (Simulation, emulation, developpement...) ?
Combien se prevoyons-nous de machines (Serveurs, Clients, reseaux IMS... ) ?
Quel sont les types de serveurs dapplications (Servlet, Web service...) ?
Existe-t-il des outils open source que nous pouvons utiliser pour gerer notre syst`eme ?
Quel sont les environnements de developpement que nous pouvons utilises ?
Les reponses `a ces questions peuvent avoir un impact signicatif sur notre conception. Car elles vont nous
permettre de denir notre chemin de travail durant les etapes pratiques de ce projet.
Exigences de securite
La planication dexigences de la securite est essentielle dans nimporte quel scenario de deploiement. Il est
important de documenter clairement les fonctionnalites et exigences de securite dans le plan du projet.
Planication de lintegration des applications
Letape de lintegration de lensemble des applications qui a duree 15 jours nous a permis de construire
un syst`eme complet qui est operationnel de bout en bout et aussi an de realiser les communications entre ces
dierentes parties. Le teste et lanalyse de cette ensemble est letape nale de ce projet dont le but est dobtenir
des resultats signicatifs an de prouver la faisabilite de la creation des services de commerces mobiles ainsi que
les mecanismes de securite appliques du cote client et aussi du cote serveur.
8.3 Specications de solutions
Durant cette partie, nous expliquerons la methodologie suivie an detablir un mod`ele conceptuel qui represente
un service de commerce mobile dans le cadre des reseaux mobiles de nouvelle generation (4G), la realisation de ce
mod`ele se base sur les specications des groupements de standardisation internationale ainsi que les travaux de
recherches similaires.
8.3 Specications de solutions 70
Dans ce travail nous proposons une solution de commerce mobile (m-commerce), ou un client mobile se
connecte via le reseau NGN de son operateur au cite internet du commercent pour acheter un produit. Et avant de
commencer les transactions le client doit acquerir un certicat numerique qui lui permet de sauthentie aupr`es du
commercent et aussi de signer electroniquement les commandes. En plus le serveur de commerce doit aussi etres
certie an que les clients puissent valider lidentite du commercent.
Ce mecanisme cree un niveau de conance au sein du syst`eme de commerce et permet de garantir la securite
des transactions. En outre lapplication des mecanismes de securite dans le reseau NGN lui meme ore en generale
une securite de bout en bout. La gure suivante represente larchitecture generale de notre conception :
Figure 8.1 Architecture generale de la conception
Dans ce travail nous avons elabore une application Client/Serveur qui combine plusieurs contextes an de
construire un service de commerce electronique securise dans le cadre des reseaux mobiles NGN. Cela regroupe
lelaboration des scenarios de construction de chaque composante de notre architecture generale
2
.
2. Voir gure 8.1
8.3 Specications de solutions 71
Le client mobile
Le client de notre application est un appareil mobile qui supporte la communication avec le corps IMS du reseau
`a travers la signalisation SIP. Il doit alors etres capable de souscrire sa presence dans le reseau home de son operateur,
`a travers la methode REGISTAR du protocole SIP. Ensuite il aura acc`es aux services aux quels ce dernier est inscrit.
En utilisant une connexion https le client se connecte `a la boutique en ligne qui represente le site du commerce
mobile, et apr`es la selection des produits le client sera amene `a signer la che de la commande avec sa cle privee.
Le commercent `a son tour doit valider la commande en veriant la signature electronique du client en utilisant le
certicat X.509 de ce dernier. Ce certicat est emis par une autorite de conance selon le mecanisme denit dans
le cadre du projet Support for Subscriber Certicates [6] du groupement 3GPP. Ce processus sera detaille dans
le paragraphe suivant.
La gure ci dessous represente les fonctionnalites liees `a la partie de certication du client mobile :
Figure 8.2 Le processus de certication au niveau du client mobile
8.3 Specications de solutions 72
Apr`es lacquisition de son certicat numerique le client peut proceder `a nimporte quels types de transactions
electroniques. Dans notre cas nous avons choisi de connecter le client mobile `a un site de commerce an de tester
les mecanismes de securite dans ce type de transactions (Authentication, Signature,...).
Ce processus pourra est illustre par la gure 8.3 :
Figure 8.3 Le processus du m-commerce au niveau du client mobile
Les etapes de cette architecture sont expliquees comme suite :
1. Enregistrement du client dans le reseau IMS via le protocole SIP(REGISTER).
2. Connexion https au service de commerce electronique.
3. Authentication au serveur du m-commerce (Login, mot de pass).
4. Processus de validation de la commande et lenvoie de la che de la commande(.pdf).
5. Le client signe la che de la commande avec sa cle prive.
6. Envoie de la facture au site du m-commerce, et verication de la signature.
7. Fin du processus de paiement et validation de la transaction (Fiche de paiement).
8. Deconnexion du serveur et du reseau.
8.3 Specications de solutions 73
Le coeur du reseau
Dans cette partie nous presentons la structure du reseau mobile que nous avons utilise. Cest un reseau de la
nouvelle generation base sur le corps IMS. Il est forme `a partir des composants essentiels dun coeur de reseau IMS
qui sont :
Les fonctions de controles CSCF (P-CSCF, S-CSCF, I-CSCF)
La base de donnees des abonnes HSS.
Le soutien de la creation des prols dutilisateurs, et des services.
La gure suivante schematise la structure du reseau utilise :
Figure 8.4 Conception du reseau IMS
8.4 Le prototype internationale 74
Donc le reseau que nous avons etablie, permet aux clients lacc`es aux services, lacquisition dun certicat selon
le mod`ele SSC [6], Il permet aussi la communication avec le portail PKI qui joue le role de lautorite denregistre-
ment(AR), en plus il ore la possibilite de lacc`es `a internet an de realiser les transactions de commerce electronique.
Nous avons choisi dimplementer notre infrastructure `a cle publique PKI suivant le mod`ele denit par le
3GPP dans son architecture generale dauthentication GAA [6]. En plus nous avons etablie le mod`ele qui separe
lautorite denregistrement de lautorite de certication. Dans cette architecture le Portail PKI joue le role de la
AR, ce Portail PKI est une entite cree et geree par loperateur lui meme pour le conte de ces abonnes qui veulent
acquerir un certicat
3
.
Le role de lautorite de certication (AC) consiste `a la generation des certicats X.509 pour les clients qui ont
ete identies par le Portail PKI. Si ce dernier valide la demande de certicat du client celui ci pourra par la suite
se connecter au cite Web de lAC pour obtenir son certicat.
La connexion au service de commerce mobile qui est un service Web ce fait via le protocole https (http securise
par le SSL). Apr`es la validation de sa commande le client signe la facture par sa cle prive et le commercent `a son
tour doit verier la signature du client. Pour se faire nous avons choisi la verication de la validite des certicats
en utilisant les serveurs OCSP
4
.
8.4 Le prototype internationale
Comme nous avons vu
5
, les reseaux de la nouvelle generation orent une interoperabilite globale pour les
utilisateurs mobiles, et an de securiser les communications dans le cas de linteroperabilite le 3GPP forum `a
denit la notion de NDS (Network Domain Security) [7].
Nous avons decide de generaliser larchitecture de notre syst`eme `a un mod`ele dinteroperabilite entre les
dierents reseaux IMS. Pour ce faire nous appliquerons les specications mentionnees dans larticle [7].
Lapplication de ces mecanismes nous permet de garantir lauthenticite et lintegrite des communications entre
les domaines IMS de chaque operateur. La gure suivante montre le concept central de cette architecture.
Pour resoudre la problematique de linteroperabilite dans notre syst`eme nous avons utilise larchitecture
denit dans la gure 8.5, en se basant sur les specications du forum 3GPP [7] . La gure illustre les cas
dans le quel un client mobile qui se trouve dans son domaine home (A), communique avec un autre client qui
appartient `a un autre domaine (B), ce dernier se trouve dans un domaine visite nomme (C). Larchitecture base sur
les coeurs de reseaux IMS garantie le transport des donnees de bout en bout ainsi que lintegrite de la communication.
Nous avons choisis dans un deuxi`eme temps de delocaliser le service de commerce mobile, qui sera dans se
cas un service web accessible via Internet. Alors pour garantir la securite des transactions et lauthenticite des
clients et des serveurs nous avons adopte les certicats x.509 comme moyen dauthentication mutuelle, en plus
cela permet de creer un climat de conance entre les utilisateurs et le vendeur de services.
3. Document Superstructure PKI section 4.1 Relationship Certicates in practice
4. Voir chapitre Wirelss PKI
5. Chapitre Securite des reseaux NGN, section Securite de linter domaine
8.4 Le prototype internationale 75
Figure 8.5 Architecture de linterconnexion des domaines
8.4 Le prototype internationale 76
A ce niveau une seule contrainte se positionne qui est celle de la chaine de validite des certicats X.509. Le client
mobile doit etres capable de verier le certicat du serveur et vis versa.Pour ce faire nous avons adopte larchitecture
de la Super Structure PKI [10] qui represente une solution importante face aux limitations de la PKI traditionnelle
6
.
La gure 8.6 presente larchitecture generale de la superstructure PKI [10] :
Figure 8.6 Architecture de linternationale PKI
Les certicats generes par la superstructure PKI sont de type de certicats de relation (Relationship Certi-
cats), en plus la structure hierarchique de cette nouvelle PKI necessite une collaboration internationale via des
arrangements de reconnaissance mutuelle
7
, qui est une nouvelle mani`ere de parvenir `a linteroperabilite entre les
infrastructures `a cle publique de chaque pays.
Le regime daccreditation nationale doit repondre aux exigences de la norme ISO 17025 :1999
8
qui est
utilisait pour auditer le regime dagrement [27] . Un autre niveau peut etres ajoute pour gouverner les orga-
nismes daccreditation qui est represente par le standard ISO 17011 :2004
9
. Cette norme rentre dans le cadre
des exigences generales pour les organismes daccreditation et pour levaluation de la conformite daccreditation [28].
Ensuite le regime national selectionne les entites qui peuvent jouer le role dauditeurs `a lechelle nationale,
`a leurs tours ces entites auditent les autorites de certications locales. Lapplication de ce mecanisme assure une
grande interoperabilite `a lech`ele internationale et sans doute elle permet la convergence des communications et
des services ainsi que les transactions electroniques dans le future.
6. Orthodoxe PKI : la PKI traditionnelle selon lauteur de larticle Public Key Superstructure
7. Mutual Recognition Arrangements (MRAs
8. General Requirements for the Competence of Calibration and Testing Laboratories
9. General requirements for accreditation bodies
8.4 Le prototype internationale 77
Le tableau suivant resume la planication des demarches presentees dans ce chapitre :
Table 8.1 Planication des etapes de travail
Mars Avril Mai Juin Juillet Aout Septembre

Etude bibliographique - - -

Etat de lart x x - -
Denition de la problematique x x x -
Demarche de resolution x x x - - -
Solution et Conception x x x x - - -
Selection des outils x x x x - - -
Tests des outils x x x x - - -

Emulation x x x x x - -
Analyse des resultats x x x x x x -
Livrables et presentations - - - - - - -
Rapport de PFE x x x x x - -
Acheve - En cours x Pas encore
La phase de la resolution dune problematique necessite un grand niveau dabstraction, en plus
de bonnes connaissances theoriques. En plus les recherches eectuees pour lanalyse et le traitement
des dierentes parties qui composent la problematique nous ont permis de presenter des mod`eles
conceptuels bases sur la partie theorique et letat de lart des etudes eectuees. Donc lobjectif de ce
chapitre ete de presenter les etapes suivies an danalyser la problematique ainsi que les demarches
eectuees pour y resoudre. Dans le chapitre suivant nous discutons les solutions proposees au niveau
de chaque partie conceptuelle.
9

Emulation du mod`ele conceptuel
Lobjectif de ce chapitre est la presentation des etapes suivies an de realiser lemulation du mod`ele
hierarchique denit dans le chapitre precedent. Lemulation nous a permis de creer un environnement de commerce
mobile dans le cadre des reseaux mobiles de la nouvelle generation 4G, qui ressemble en grande partie `a celui qui
sera utilise dans un syst`eme reel. A ce niveau nous avons decide dutiliser des outils open source ou bien ceux qui
sont libres dutilisation. ces outils orent de grandes opportunites en mati`ere de choix et de creativite.
Nous avons consacre la premi`ere section de cette partie `a la selection doutils qui seront utilises dans les
dierentes phases de lemulation. Ces outils doivent repondre `a un cahier de charge bien denit et doivent aussi
respecter les normes et les standards internationaux.
La deuxi`eme section de ce chapitre est destinee `a la presentation des etapes de lemulation et la conguration
des outils selectionnes an de construire le prototype de notre syst`eme. Nous avons subdivise cette etape en
plusieurs sous parties selon lordre de priorite, et aussi selon la disponibilite des emulateurs et le temps necessaire
pour la maitrise de lutilisation des ces outils.
Lanalyse du syst`eme emule est laissee pour la troisi`eme et derni`ere partie de ce chapitre. Cette analyse nous
permet de degager des resultats et des statistiques qui seront traites par la suite. Lanalyse de ces informations
seectue `a plusieurs niveaux, au niveau du client mobile, au niveau des reseaux IMSs, au niveau des protocoles de
communications et de securites,...
Pendant le deroulement de letude, nous avons du penser `a limportance relative de lutilisation des mecanismes
de securite bases sur les certicats numeriques dans les syst`emes de commerces mobiles, mais aussi nous avons tou-
jours pense aux limitations des appareils mobile en mati`ere de lespace de calcule et denergie. Linterpretation des
resultats montrent que les choix eectues et les demarches suivies sont applicables dans les syst`emes de communi-
cations de la future. Plus precisement les appareils mobiles de la future generation seront en mesure dexecuter les
processus dauthentication et de chirement asymetrique, ces processus sont consideres aujourdhui comme quasi
impossible.
9.1 Proposition des outils de conguration
Durant cette partie nous essayerons de voir la methodologie de la realisation de notre architecture, qui se base
sur des outils open source et qui repond `a nos besoins. Le choix des outils qui seront deployes dans notre projet est
base sur plusieurs crit`eres. On peut resumer ces crit`eres de selection comme suite :
1. La conformite aux standards internationaux.
2. La plateforme de developpement (Java ou C...).
3. La simplicite du deploiement.
4. Lhomogeneite avec les autres outils de conception.
5. La robustesse et la exibilite.
6. Le rendement able.
7. Temps de calcules, et espace memoire.
8. Etc ...
9.1 Proposition des outils de conguration 79
Notre mod`ele de conception represente les dierentes couches qui composent la pile des reseaux mobiles de la
nouvelle generation NGN. Et comme on a pu le voir, il y a trois couches NGN (Acc`es, Controle et services). La
solution choisie au niveau de chaque couche doit etres compatible avec celle selectionnee dans les autres couches
tout en respectant les normes ainsi que les autres crit`eres mentionnes ci-dessus.
9.1.1 Outils de la couche Acc`es
Loutil selectionne au niveau de cette etape represente le terminal mobile qui sera utilise par les clients des
futurs reseaux NGN, donc cest un client IMS.
Il sagit dune application sur un equipement de lusager qui emet et re coit des requetes SIP. Il se materialise
par un logiciel installe sur un PC, sur un telephone IP ou sur une station mobile (UE, User Equipment).
Normalement lequipement de lutilisateur mobile doit supporter le nouveau reseau dacc`es Long Term
Evolution (LTE). Malheureusement nous navons pas pu trouver des outils qui emule le LTE en open source, et
par consequent nous nous somme contente dutiliser les clients qui supportent la signalisation SIP (client IMS).
le client doit repondre `a plusieurs crit`eres parmi :
Utilise le protocole de signalisation SIP.
Compatible avec les reseaux dacc`es 4G.
Communique avec le corps IMS.
Communique avec les serveurs dapplications.
A travers la recherche eectuee nous avons trouve plusieurs types de client IMS, en generale il existe deux
types de client, il y a les clients open sources et les clients proprietaires, la base de selection des clients IMS respecte
les crit`eres mentionnes ci-dessus.
Le client UCT :
UCT IMS Client
1
est con cu enti`erement en langage C pour etre utiliser en conjonction avec le corps IMS. Le
client a ete developpe par le groupe de recherches sur les communications `a lUniversite de Cape Town, en Afrique
du Sud.
`
A lheure actuelle le client est toujours en developpement et il y a plusieurs bugs connus. La derni`ere version
est la 1.0.13 publie le 13 fevrier 2009. Il est disponible sous la version GNU General Public License 3.
La gure suivante represente linterface utilisateur de cet outil :
1. http://uctimsclient.berlios.de/
9.1 Proposition des outils de conguration 80
Figure 9.1 Linterface utilisateur de loutil UCT IMS Client
Le client prend en charge lauthentication AKA, et emule la signalisation SIP de lIMS. La version actuelle
prend en charge les appels vocaux et video (codecs nombreuses), messagerie instantanee, presence, une visionneuse
dIPTV...
Les testes realises avec cet outil nous ont permis de constater quil est totalement compatible avec loutil
open IMS core (voir plus loin)
2
et quil ne presente pas une bonne solution en mati`ere de la creation de nouveaux
applications et surtout les applications de type client/serveur.
IMS Client Platform(ICP) :
IMS Client Platform est un client developpe par ericsson, et qui est con cu en java, il emule les fonctionnalites
SIP et IMS. Avec ce type de client on peut simuler facilement le mod`ele client/serveur. Aujourdhui cet outil nest
pas largement deploye vu la decision prise par les concepteurs.
Cet outil est utilise seulement dans les plateformes Windows (XP, Vista et 7), et il est prefere de lutiliser
avec loutil Service Developement Studio (Voir partie des outils du coeur IMS)
3
. LIMS Client Platform execute
les applications ecrites en Java et celles de la plateforme Java Micro Edition, Connected Device Conguration
(J2ME/CDC) [40]. La gure suivante represente linterface de conguration de cet outil :
Figure 9.2 Linterface de conguration de loutil ICP
2. http://www.openimscore.org/
3. www.ericsson.com
9.1 Proposition des outils de conguration 81
Nous avons realise plusieurs testes avec cet outil, et nous nous sommes parvenus `a lintegrer dans un tr`es grand
nombres dapplications (Chat, Jeux, Client/serveur,...), et nous pouvons dire quil represente une bonne solution
pour les terminaux mobiles qui sont compatibles avec la plateforme Java et JavaME/CDC.
Les codes sources developpes en utilisant cette plateforme sont testes sous des emulateurs de telephones
mobiles tels que la serie 40 de nokia, le CDC Toolkit de sun ou bien le UIQ3SDK de ericsson ...
IMS Java Client Utility(IJCU) :
IMS Java Client Utility (IJCU) est un autre client developpe par ericsson, mis en oeuvre les JSR 180 et
JSR 281. La JSR 180 specie une API SIP generiques qui fournit certaines transactions SIP. Cette API est
particuli`erement compacte pour permettre aux dispositifs `a ressources limitees denvoyer et de recevoir des
messages SIP. La JSR 281 contient des APIs pour lexecution des services IMS sur les appareils des utilisateurs
naux.
Le client IJCU est totalement compatible avec la java microedition, Connected Limited Device Conguration
(J2ME/CLDC) [41] , il est tr`es performant au niveau de la vitesse dexecution et la qualite des programmes. Il
ore plusieurs possibilites et on peut le simule dans le mod`ele client/client ou client /serveur.
La gure suivante presente lexecution dun code J2ME de la plateforme IJCU sous lemulateur WTK2.5.2 de
sun :
Figure 9.3

Emulation de la plateforme IJCU
9.1 Proposition des outils de conguration 82
Nous avons realise plusieurs manipulations avec ce client, en utilisant des emulateurs comme le WTK 2.5.2 de
sun, la serie 60 de nokia ou encore la serie 80 de nokia. ces tests nous permettent de conclure que lIJCU est le
client le plus adapte pour satisfaire nos besoins. Il represente pour nous les appareils mobiles limites, qui ont une
faible memoire de calcule et peut denergies electrique.
Dans le monde de la telephonie mobile il y a un tr`es grand nombre doutils qui emule la signalisation SIP, la
plupart de ces emulateurs sont specialises dans des applications particuli`eres (VoIP, Visiophonie, IPTV ... ). Nous
avons presentes ici les outils qui supportent la signalisation SIP, et qui communiquent avec le coeur IMS, en plus il
permettre le developpement et lintegration de nouvelles applications.
Les outils ICP et IJCU orent une bonne solution `a ce niveau car ils repondent `a nos exigences, en plus ils
presentent de grandes opportunites dans le developpement des applications de type J2ME (CDC et CLDC).
9.1.2 Outils de la couche contr ole (IMS)
Loutil selectionne au niveau de cette etape represente le coeur IMS du reseau NGN, il sera utilise pour emuler
le cycle de vie des applications de la nouvelle generation en partant du client et en terminant par les serveurs
dapplications.
En plus ce coeur de reseau doit supporter des communications NGN, tel que la Voix sur IP, MMS, portails
Web, video, push to talk, conference sur le Web... en generale il doit transporter la voix et les donnees, mais aussi
du multimedia et la nouvelle generation dapplications combinant plusieurs technologies. Il doit orir les grandes
fonctionnalites de larchitecture IP Multimedia Subsystem qui a ete denie pour conferer au reseau la souplesse et
les ressources necessaires `a la mise en oeuvre de ces services.
A travers la recherche eectuee nous avons pus decouvrir deux outils qui emule le coeur IMS :
Open IMS core. [42]
Service Developpent Studio(SDS). [43]
Open IMS core
Open IMS Core
4
est le coeur de reseau IMS base sur la solution open source SIP Express Router(SER)
5
,
enti`erement ecrit en langage C. Il a ete developpe par linstitut Fraunhofer FOKUS en Allemagne
6
et les premi`eres
versions sont apparues `a partir de 2006 et sont destinees `a des plateformes du monde Linux.
Cette solution fournit toutes les fonctions elementaires dun coeur de reseau IMS, `a savoir : P-CSCF, I-CSCF
et S-CSCF. Il fournit egalement la fonction HSS permettant donc de provisionner un certain nombre dutilisateurs
et de leur associer un prol de service permettant la mise en oeuvre de linvocation de services lies `a IMS. Ces
fonctions forment aujourdhui les elements de base dun coeur de reseau dune architecture IMS, comme specie
dans les normes 3GPP, 3GPP2, ETSI TISPAN. Elles sont toutes basees sur des programmes open source.
4. http://www.openimscore.org/
5. http://www.opensips.org/
6. http://fr.wikipedia.org/wiki/Fraunhofer-Gesellschaft
9.1 Proposition des outils de conguration 83
La gure suivante represente larchitecture de lopenIMScore :
Figure 9.4 Les fonctionnalite de lOpen IMS Core
Durant les phase de testes de cet outil nous avons remarquer que lOpen IMS Core fonctionne correctement
pour les services predenis par ces constructeurs et quil ore une bonne qualite de service en mati`ere de la
transmission de la signalisation et des donnees.
En revanche la creation de nouveau services notamment les services Web et leurs integrations dans ce syst`eme
reste une tache tr`es compliquee qui necessite beaucoup deort dabstraction et de conguration. En plus la
creation de nouveau utilisateurs et lassociation de ces utilisateur avec les services adequats est une etape qui nest
bien faite et qui donne des bugs dans les utilisations.
En generale lOpen IMS Core est destine aux gens qui veulent travailles sur les fonctionnalites de base du
corps IMS, ou bien ceux qui estime ameliorer les applications de securite du coeur tel que le mecanismes AKA ou
bien le protocole Diameter, et aussi pour les testes de la qualite de services Qos. A ce niveau cet outil est une tr`es
bonne solution pour les chercheurs et les developpeurs qui veulent travailler sur les fonctions du coeur du reseau IMS.
Nous pouvons dire que lopen IMS Core nest pas oriente vers les services et plus precisement il nest destine
`a la creation de nouveaux services et applications de type client/serveur.
En plus le nombre de client IMS existant que soutient ce dernier est tr`es limite. Enn nous pouvons dire que le
developpement de nouveaux clients IMS qui repond aux besoins de chaque developpeur nest pas une etape facile
car elle necessite beaucoup deorts de comprehension et de conceptions.
9.1 Proposition des outils de conguration 84
Service Developpent Studio(SDS)
Loutil Service Developpent Studio est disponible gratuitement pour les developpeurs et telechargeable
sur le site dericsson http://www.ericsson.com/developer, il leurs permet de concevoir rapidement les applications
IMS et de les tester .
Le SDS est developpe en Java et il sexecute dans un environnement Eclipse IDE
7
et soutient la creation et
les essais des applications de bout en bout `a la fois du cote client et du cote serveur dapplications en utilisant le
noyau IMS core
8
. La gure 9.5 illustre les fonctionnalite de base du SDS :
Figure 9.5 Architecture de la plateforme SDS
Il soutient aussi les services de communication avancees, tels que la presence, Voice over IP (VoIP), Push-to-
Talk (PTT), IPTV, et permet la creation des appareils des utilisateurs(J2ME/JSE/C++), et en plus il ore de
grands moyens pour soutenir la creation des applications JavaEE /SIP ainsi il int`egre des emulateurs de serveur
SIP (Sailn, Glashsh,...).
Le SDS ore des fonctions avancees pour la gestion des clients et des services parmi ces entites nous pouvons
citer :
IMS Provisioning :
SDS comprend lentite IMS Provisioning qui fait deux fonctionnalites, la conguration de base du reseau et la
gestion de lIMS. LIMS Provisioning est compose des parties suivantes :
1. DNS Provisioning : Permet de determiner ladresse source et destination, le port source et destination, et
le protocole de transport du serveur domaine qui va recevoir les messages.
7. Des developpeurs ont parvenus `a utilise le SDS sous lIDE Netbeans de sun
8. API Java developpe par le laboratoire de ericsson pour le conte de sun microsystems
9.1 Proposition des outils de conguration 85
2. HSS Provisioning : Permet de creer les champs Initial Filter Criteria et Service Point Triggers pour
rediriger les demandes des clients, il permet aussi de creer, modier et supprimer des prols utilisateur, et les
prols de service.
BGCF Provisioning :
Permet de congurer les fonctions de la BGCF en utilisant des tables an de determiner o` u les demandes
doivent etre acheminees.
Registrar :
Il ache lenregistrement et la date dexpiration de la connexion des utilisateurs dans lenvironnement emule.
En conclusion de cette partie nous pouvons dire que nous avons reussi `a sadapte et `a congurer lenvironnent
SDS ainsi denlever les des et les probl`emes rencontrees. Nous pouvons dire aussi que le choix de lutilisation de
cette plateforme semble correct et performant, et quil est compatible avec les choix eectues dans la partie des
clients et qui sont aussi des clients Java. En plus les grandes possibilites oertes par cet outil nous permet de creer
nimporte quel type de service et de lintegre facilement dans notre syst`eme. Lobjectif de la partie suivante est la
presentation des outils utilises pour la conguration des services.
9.1.3 Outils de la couche service
Durant les deux derniers paragraphes nous avons expliques les methodes suivies an de selectionner les outils
qui seront utilises au niveau de les couches acc`es et controle. Le present paragraphe a pour objectif de denir les
outils choisies pour presenter la troisi`eme couche des reseaux NGN qui est la couche des services.
Comme denit dans le chapitre des reseaux NGN, lIMS est la seule architecture de service IP Multimedia,
qui permet lacc`es `a des serveurs dapplication. Il permet detablir des communications entre multiples termi-
naux/utilisateurs, et il permet dintegrer des services temps-reel, pseudo temps-reel et non temps-reel dans une
meme cession. Il ore aussi les possibilites de lintegration des services Web pour linterfonctionnement avec
des serveurs WEB fournissant des services. De plus, il est possible de creer de nouveaux usages en utilisant des
interactions entre ces services.
En beneciant de cette souplesse et de ce grand nombre de services supportes par lIMS, nous avons
selectionnes des outils open source qui permettent demuler les serveurs dapplications. Ces serveur representent
les fonctionnalites de la PKI (AC, AR, LDAP, OCSP ... ) qui jouera un role important dans letablissement de la
conance au sein de lenvironnement, ainsi que lapplication de commerce mobile m-commerce, qui representera
un type de transaction quil faut veiller `a sa securite dans le cadre des futures reseaux de la quatri`eme generation 4G.
Les recherches eectues durant cette etape nous ont permet de trouver un nombre tr`es grand doutil open
source qui sont en mesure de repondre `a nos besoins, mais dans cette partie nous presentons seulement les plus
importants. Le crit`ere majeur du choix et que les serveurs dapplications doivent supporter la signalisation SIP
et/ou la communication avec le corps IMS (SDS) et les clients IMS selectionnes.
9.1 Proposition des outils de conguration 86

Emulateurs de linfrastructure `a cles publiques


Aujourdhui Plusieurs editeurs orent des produits dInfrastructure `a cle publique tr`es complet et relativement
facile `a deployer, Cette section a pour objectif didentier un produit PKI en logiciel libre qui sera susceptible de
satisfaire nos besoins.
Durant la phase de recherche nous avons eux deux choix, le premier etait lutilisation dun outil complet
pour emuler les fonctionnalites de la PKI, ou bien dutiliser une plateforme de developpement pour developper
les fonctionnalites une par une. Ces travaux de recherche ont permis didentier le produit PKI en logiciel libre
EJBCA comme etant un candidat interessant pour la presente etude. Les raisons ayant motive ce choix sont les
suivantes :
Enti`erement ecrit en Java ;
Respecte les normes et standards de lindustrie ;
Ore une architecture tr`es exible ;
Ore un haut niveau de fonctionnalites
Nous avons comparees EJBCA avec dautres produits pour quon puisse justier ce choix. Il existe plusieurs
produits PKI proprietaires parmi eux RSA security et autres produit open source tel que OpenCA ... et une
plateforme Java compl`ete pour le developpement de service PKI nomme Security And Trust Service API(SATSA)
ou encore le logiciel open source openSSL. Durant ce qui suit nous allons donner une br`eve presentation de quelques
outils parmi ceux etudies.
Security And Trust Service API(SATSA)
SATSA est une solution base sur Java Micro Edition. Elle est introduite avec la Java Specication Request
JSR 177, la Security and Trust Services API (SATSA) et un paquet facultatif qui fournit des APIs pour la
communication avec les elements de securite, ainsi que des APIs de securite pour la gestion des signatures
numeriques, des certicats numeriques, et des operations cryptographiques. La gure suivante illustre les quatre
paquets denit par SATSA
9
:
Figure 9.6 Les APIs SATSA
9. http://developers.sun.com/mobility/apis/articles/satsa1/
9.1 Proposition des outils de conguration 87
Comme vous pouvez le voir sur la gure SATSA ore un canal de communication entre une application Java
ME et les applications sexecutant dans la carte SIM. En generale la securite de Java ME est basee sur SATSA
car :
SATSA peut prend en charge le protocole de communication APDU entre lappareil et les cartes `a puce
(par exemple, la carte SIM, USIM, UICC).
Le package SATSA PKI prend en charge la generation de signatures `a linterieur de la carte `a puce.
SATSA soutient des elements de securite generiques (par exemple les cartes `a puce externe)
Le pacage SATSA PKI represente une bonne solution pour les developpeurs qui veulent creer des applications
securisees dont les elements de securite sont executes `a linterieur la carte `a puce. Mais la construction de toute la
chaine de la securite et les composants de la PKI nest pas une bonne solution car elle necessite beaucoup deorts
de programmation et de temps. Pour ces raisons de compatibilite et de souplesse nous avons decider de sorienter
vers les solutions open sources qui implementent toutes les fonctionnalites de la PKI.
OpenCA PKI
OpenCA PKI est une autorite de certication (CA) en open source developpe par le laboratoire OpenCA PKI
Research Labs
10
. Actuellement en version v1.1.0.
OpenCA PKI Research Labs developpe plusieurs projets, dont OpenCA PKI, qui une autorite de certication
(CA) libre. OpenCA PKI int`egre dautres projets open source, notamment LibPKI, OpenLDAP, OpenSSL, Apache
Project et Apache mod
s
sl.
OpenCA permet de creer des architectures de PKI tr`es complexe et ore en generale les grandes mecanismes
necessaire pour limplantation des infrastructure `a cles publiques. Elle fonctionne correctement sur les environne-
ment Linux (Ubuntu, Fedora) et Solaris. Elle ne presente pas un syst`eme complet qui est realise par le laboratoire
lui meme. Elle utilise plusieurs produits realises par dautres developpeurs de la communaute Open Source.
Voici la liste des outils qui sont integres avec lOpenCA :
Apache
modssl
OpenSSL
OpenLDAP
Perl
Linstallation, et la conguration
11
de cet outil necessite beaucoup de pacage de dependances, et aussi une
bonne maitrise de lenvironnement shell de Lunix. En plus le syst`eme lui meme presente un peu de diculte et
montre des bugs au niveau de quelques fonctionnalites.
10. http://www.openca.org/
11. http://www.openca.org/

madwolf/index.html
9.1 Proposition des outils de conguration 88
La gure suivante represente le concept de loutil OpenCA :
Figure 9.7 Concepts openca
EJBCA PKI Open source
Enterprise Java Bean Certicate Authority ou EJBCA est une PKI Open Source (sous licence LGPL) en
Java/J2EE. EJBCA a ete concue pour etre soit deployee de mani`ere autonome soit integree dans une application.
Le projet EJBCA est principalement nance par la societe PrimeKey Solutions, Cet editeur propose donc le
produit EJBCA quil decrit comme etant le leader en mati`ere de PKI en logiciel libre.
EJBCA fournit `a la fois les fonctions classiques que lon retrouve dans la plupart des PKI du marche. Mais
elle fournit en egalement un serveur OCSP, un serveur dhorodatage et un serveur de signature. Chaque composant
peut etre deploye de mani`ere autonome ou integre dans EJBCA.
EJBCA est developpee au plus pr`es des standards, aussi bien ceux de lIETF (RFC) que ceux du W3C pour les
technologies orientees architecture (SOA). EJBCA respecte donc des standards relatifs aux certicats numeriques
X.509v3, CRLv2, PKCS, SCEP ou encore des protocoles plus complexes tels que CMP, XKMS. Elle ore aussi des
methodes cryptographiques avancees basees sur les courbes elliptiques
12
.
EJBCA est independant des syst`emes dexploitation, des baces de donnees ou des serveurs applicatifs. EJBCA
se deploie sur la plupart des syst`emes Unix (Linux, FreeBSD, Solaris) ou sur les syst`emes Microsoft. Elle fonctionne
aussi bien avec les baces de donnees MySQL, Oracle, PostgreSQL et dautres encore. La grande majorite des
serveurs dapplications sont supportes par EJBCA (JBoss, JOnAS, WebLogic, etc.).
Lobjectif du projet EJBCA est dorir un produit PKI hautement parametrable, qui ore les composantes
de baces dune PKI. Cette PKI permet la gestion des certicats `a cle publique, tout en assurant une delegation
compl`ete des droits dadministration. Il sagit dun produit pouvant orir un haut niveau de performance, de
disponibilite et dextensibilite
13
.
12. http://en.wikipedia.org/wiki/EJBCA
13. http://ejbca-fr.org/home/
9.1 Proposition des outils de conguration 89
Voici la liste des composantes oertes par EJBCA qui permettent de realiser lensemble des operations du
cycle de vie des certicats :
Acc`es super administratif
Autorite de certication (AC)
Autorite denregistrement (AE).
Autorite denregistrement locale (AEL).
Depots (LDAP, OCSP, ...).
Le diagramme suivant illustre les quatre (4) niveaux fonctionnels dEJBCA :
Figure 9.8 Architecture fonctionnelle dEJBCA
Nous avons constates que le produit EJBCA ore une bonne solution en mati`ere de gestion des certicats et
de compatibilite avec les normes et standards internationaux, en plus il permet la creation des architectures les
plus complexes tel que notre mod`ele de linternationale PKI.
Cet outil est bien documente (Wiki, Tutoriels, Conguration, ...), en plus il suit levolution de la technologie
des infrastructures `a cles publiques. En generale nous avons reussi `a atteindre nos objectifs car ce produit est apte
`a remplir sa mission, et `a repondre `a la majorite des besoins de notre syst`eme. Lobjectif du paragraphe suivant
est la presentation de quelques outils de commerce electroniques qui peuvent servir `a lemulation de la plateforme
du m-commerce.
9.1 Proposition des outils de conguration 90
Outils du service commerce electronique
Le chapitre present `a pour mission de presenter la procedure suivie an de determiner le produit de commerce
electronique qui sera integre dans le syst`eme. Dans ce qui suit nous allons presentes une liste de certains des
solution de-commerce les plus performants. Ces applications aide les developpeurs les chercheurs et meme les
entreprises `a faire de creer des boutiques en ligne de commerce.
En generale les solutions sont tous open source, simple dutilisation et dintegration. Le crit`ere de base de
notre choix est que le produit selectionne doit permettre lintegration de nouveaux modules et aussi montre une
certaine facilite pour la modication de son code an dy ajouter quelques modications. Nous avons classes les
outils les plus importants selon un ordre de preference croissant.
La solution osCommerce
OsCommerce
14
est une boutique en ligne Open Source de-commerce, cest un projet qui a debute en mars 2000
sous limpulsion de Harald Ponce de Leon. Cette solution est disponible gratuitement sous la licence GNU General
Public License. Elle dispose dun ensemble riche de fonctionnalites( le out-of-the-box et on-line-shopping-card...)
qui permet aux proprietaires de magasins de congurer, gerer et maintenir les boutiques en ligne avec un eort
minimum et sans frais.
La mise en place dun package osCommerce, bien que relativement simple et aisee, exige un certain nombre
daptitudes et de connaissances en pre-requis ( HTML CSS PHP MySql Javascript Apache).
En ce qui concerne les fonctionnalites generales, OsCommerce est totalement compatibilite avec toutes les
versions PHP (4 et superieur), il ore un grand nombre doptions qui sont disponibles par defaut apr`es linstallation
(Client, administration, payement et produit), en plus ladministration repose sir un mod`ele fonctionnel oriente
objet, et il est compl`etement Multi langue avec Anglais, Allemand, et Espagnol par defaut.
En ce qui concerne les aspects de securite appliques dans ce produit, le code source de OsCommerce respecte
les mecanismes de la securite de php (Modication de la Variable Get dans la fonction cache ), Mysql (Acc`es
securise `a la base de donnees)... En outre dans le site ociel on peut facilement telecharger la mise `a jours des
composants. Du cote payement OsCommerce dispose du module SSL pour securise la transaction.
La solution NopCommerce
nopCommerce
15
est une solution de vente en ligne Open Source developpee `a partir des derni`eres technologies
disponibles sur la plateforme .NET. Elle dispose dun catalogue, des outils de vente en ligne, et dune interface
dadministration riche et simple `a utiliser.
Elle dispose dune architecture puissante `a base de templates et de feuilles de style, qui permettent potentiel-
lement nimporte quelle creation graphique sans programmation. Les developpeurs pourront neanmoins facilement
modier le code C, extremement modulaire, simple et elegant.
14. http://www.oscommerce.com
15. http://www.nopcommerce.fr/
9.1 Proposition des outils de conguration 91
nopCommerce est able, souple et adaptable. Elle a ete concue pour etre internationale et dispose en standard
de tous les outils dadaptation aux langues, monnaies, unites, taxes et calculs de frais de port.
Voici une liste des caracteristiques nopCommerce :
Prend en charge les categories et les fabricants des categories
peut aussi etre compl`etement imbrique `a tout niveau souhaite (sous-categories)
Les produits peuvent etre mis en correspondance avec plus dune categorie ou dun fabricant
Les produits peuvent etre mis en correspondance avec plus dune categorie ou dun fabricant
Prise en charge multilingue soutien multidevise
mesurer le poids, mesurer les dimensions
En temps reel des taux de change (BCE)
Le support de SSL
Exporter vers XML
Enti`erement personnalisable `a 100 % de conception utilisant des mod`eles
La liste des pays autorises congurable
La solution zencart
Zen Cart
16
est une solution e-commerce gratuite et open source (en PHP / MySQL) qui contient un grand
nombre de fonctionnalites. Zen Cart permet de lancer une boutique en ligne tr`es facilement, car il a ete pense pour
les marchands et pour les acheteurs.
La derni`ere version est Zen Cart 2.0 qui represente le fruit de beaucoup deorts qui ont ete faits et qui touche
le noyau de Zen Cart, an dy apporter de nombreux changements. Et de corriger les faille de securite de ce syst`eme.
En generale Zen Cart ore toute les fonctionnalite dune boutique en ligne, elle ore aussi les possibilites de
lintegration du mecanisme de securite tels que le SSL/TLS pour securise lacc`es au serveur. La v2.0.0 necessite la
conguration minimale suivante :
NECESSITE PHP 5.2 ou plus recent.
NECESSITE MySQL 4.1 ou plus recent.
La solution Magento
Magento
17
est une plateforme de commerce electronique libre lancee le 31 mars 2008. Elle a ete creee par
lediteur americain Varien sur les baces du Framework
18
.
Magento est une solution professionnelle de commerce electronique qui ore une exibilite dans le controle.
Elle est modulaire et represente un logiciel de-commerce qui a des caracteristiques tr`es forte tant au niveau
de lutilisateur et au niveau administratif. Magento est integre avec PayPal, Google Checkout et bien dautres
syst`emes de paiement electronique. Le syst`eme fonctionne avec PHP et utilise MySQL comme base de donnees.
16. http://www.zencart-france.com/
17. http://www.magentocommerce.com/fr/
18. http://framework.zend.com/
9.1 Proposition des outils de conguration 92
Voici liste des principales fonctionnalites :
Gestion du site
Commerce mobile
Outils de marketing et promotions
Multi-linguisme
Optimisation du referencement naturel
Commande
Paiement securise
Suivi du transport
Order Management
Service client
Espace client
Gestion du catalogue de produits (physiques ou virtuels)
En juin 2009, Varien, la societe qui edite Magento, sort une version EE, Entreprise Edition, payante sous
forme dabonnement annuel, proposant des fonctionnalites supplementaires comme la gestion des ventes prives,
lajout de point et ch`eque cadeaux
19
.
La solution Prestashop
Prestashop est une solution de boutique en ligne open-source editee par une societe francaise (Prestashop),
dont le developpement a debute en 2005. PrestaShop int`egre un module dinstallation automatique, une interface
dadministration ainsi quune devanture minimaliste. PrestaShop a pour caracteristique principale son architecture
souple et modulaire ainsi quune bonne facilite dutilisation.
Malgre sa sophistication technique et ces fonctionnalites avancees, le e-commerce PrestaShop solution est tr`es
leger et facile ` a telecharger, installer et mettre `a jour.
En plus de reprendre les traditionnelles fonctionnalites dune plateforme de-commerce celle-ci int`egre native-
ment :
Traduit en 38 langues (larabe aussi).
Envoi de SMS `a ladministrateur d`es lenregistrement dune commande
Aides contextuelles
Pre-commande pour des produits en rupture de stock
Retour de marchandices
Encryption SSL ...
Pour nous lutilisation dun produit ou dun autre nest un grand probl`eme, nous avons opte pour Presta-
shop ou bien Magento vue leurs reputation et leurs simplicite dutilisation. Notre premier objectif et donc
lintegration dun module dauthentication et de signature electronique qui utilise les certicats numerique
X.509v3 pour orir un certain niveau de conance dans ce type de transaction.
Le deuxi`eme objectif est la presentation de la version mobile de la boutique en ligne qui sera disponible
pour les appareils mobiles qui ont une taille dachage reduite. Cette version mobile doit etres compatible
avec loutil selectionne.
19. http://fr.wikipedia.org/wiki/Magento
9.2

Emulation du mod`ele conceptuel 93
En conclusion, cette partie avait pour objectif de presenter les etapes suivies avant de selectionner loutil
qui sera utilise pour emuler chaque couche du mod`ele NGN. Le tableau suivant presente les outils choisies
au niveau de chaque couche :
Table 9.1 Les Outils utilises dans chaque couche NGN
Le nom de la couche Outil
Couche service EJBCA (PKI), Prestashop (m-commerce)
Couche Controle Services Developement Studio (SDS 4.2)
Couche Acc`es J2ME ,ICP, IJCU
9.2

Emulation du mod`ele conceptuel
Dans les deux derni`eres sections nous avons presentes larchitecture de notre prototype ainsi que les etapes
suivies an de selectionner les outils qui seront deploye pour faire lemulation du mod`ele conceptuel.
Lobjectif de ce chapitre sera donc de realiser une emulation du prototype fonctionnel de notre syst`eme, et
cela dans le cadre de la phase dexperimentation.
La phase dexperimentation tient une place importante dans le processus de la methode de recherche
scientique que nous suivons. Plus particuli`erement dans le domaine des reseaux de telecommunications, la
phase de lexperimentation permet de verier que lapplication en phase de developpement respecte bien les
proprietes speciees et egalement que le comportement observe correspond aux attentes.
Pour evaluer notre application, nous avons eux le choix entre les trois grandes approches : la realisation,
la simulation et lemulation. Nous avons choisis lapproche de lemulation car premi`erement, cest une
methode devaluation qui consiste `a faire fonctionner et evaluer notre syst`eme dans un contexte o` u, toute
larchitecture est simulee en temps reel.
Lapplication ainsi oerte par lemulateur propose une interface equivalente au reseau reel reproduit. De ce
fait, le syst`eme demulation peut etre utilise par des implementations reelles sans aucune modication. Le
plus important est que lemulation nous permettra devaluer la faisabilite de notre solution.
Deuxi`emement le mod`ele conceptuel est un mod`ele complexe, donc les ressources reels `a mettre en oeuvre
doivent etres importantes en termes de calcul mais aussi de materiel. Sans oublier que cette complexite a
egalement un impact sur le realisme de lemulation.
En plus nous pouvons benecier facilement du nombre important doutils existants qui permet de realiser
des emulations de tous types darchitectures ou protocoles. Et comme vous avez pu decouvrir dans la section
des outils, il existe un tr`es grand nombre de logiciel libres ou open source qui permettent lemulation des
architectures les plus complexes et qui repondent bien sur aux besoins et aux attentes des chercheurs et des
developpeurs.
Dans la premi`ere partie ce chapitre nous presentons larchitecture fonctionnel de notre syst`eme qui repose
sur les outils selectionnes, et par la suite dans la deuxi`eme partie nous aurons loccasion de realiser quelques
testes qui representent les cas dutilisation de notre syst`eme.
9.2

Emulation du mod`ele conceptuel 94
9.2.1 Concept et architecture de lemulation
Pour realiser une emulation de notre architecture, nous avons utilises la version 7 du logiciel de virtuali-
sation VMware Workstation
20
pour optimiser notre infrastructure. La virtualisation est une technologie
logicielle eprouvee qui transforme rapidement le paysage informatique et change radicalement lapproche de
linformatique.
Le materiel informatique puissant dont nous disposons actuellement a ete concu pour nexecuter quun
seul syst`eme dexploitation et quune seule application. La plupart des machines sont donc largement
sous-utilisees. La virtualisation permet dexecuter plusieurs machines virtuelles sur une meme machine
physique, en partageant les ressources de cet ordinateur unique entre plusieurs environnements. Dierentes
machines virtuelles sont capables dexecuter divers syst`emes dexploitation et plusieurs applications sur le
meme ordinateur physique.
En partant de ce principe nous avons partage les outils qui seront deployes pour realiser lemulation sur
plusieurs machines virtuelles. Nous avons utilises `a base deux ordinateurs portables pour emuler toute
larchitecture du syst`eme. Ces deux ordinateurs ont les caracteristiques suivantes :
Table 9.2 Caracteristique des machines physiques utilisees
Performance Ordinateur 1 ordinateur 2
Syst`eme dexploitation Windows 7 Windows Vista
Processeur(Core 2 Duo) T7250 2.00GHs 2.00GHs T5800 2.00GHs 2.00GHs
Memoire RAM 4.00 Go 3.00 Go
Comme nous avons choisies dutiliser la machine virtuelle, elle est tr`es important de subdiviser les ressources
memoires et CPUs des deux ordinateurs dune mani`ere equilibree. Cela veut dire quil faut partager ces
ressources de sorte a repondre aux exigences fonctionnels recuisent pour chaque syst`eme(outil), en mati`ere
de memoire et de CUP, et cela pour que ces outils puissent fonctionner correctement et dans un temps
raisonnable.
Mais en meme temps il ne faut pas trop charger lordinateur sur le quel les machines virtuelles sont
executees. cest une etape critique qui necessite une bonne gestion des ressources avant de commencer la
procedure de linstallation et la conguration des outils sur les machines virtuelles.
La gure suivante represente larchitecture fonctionnelle de notre conception qui denit la topologie du
reseau sur lequel les experimentations vont etre menees. Elle explique aussi la mani`ere par la quelle nous
avons pu mettre en place les syst`emes et les outils de travail :
20. http://www.vmware.com/fr/support/product-support/workstation/
9.2

Emulation du mod`ele conceptuel 95
Figure 9.9 Architecture de lemulation
9.2

Emulation du mod`ele conceptuel 96
Comme vous pouvez remarquer sur la gure 9.9, nous avons pu creer notre plate-forme dexperimentation
en se basant sur les deux ordinateurs physiques et la solution de virtualisation VMWare Workstation. Nous
avons aussi denit les plages dadressage dans chaque partie ainsi que les liaisons entre le dierent composants.
La topologie de notre reseau telecom est denit comme suite :
La plage dadresses 192.168.1.0/24 represente le domaine du reseau numero 1.
La plage dadresse 10.0.0.0/24 represente le domaine du reseau numero 2.
La plage dadresse 100.100.100.0/24 represente la partie de linterconnexion entre les deux domaines.
Le routeur qui a quatre interfaces reseaux joue le role du service internet et permet lacc`es aux services
externes (EJBCA (AC), PrestaShop (m-commerce)).
Dans ce syst`eme demulation nous avons divises les ressources physiques disponibles entre les dierentes
virtuelles machines utilises et cela comme montre dans le tableau suivant :
Table 9.3 Proprietes des machines utilisees
Nom de la machine Processeur RAM Interfaces Reseaux Outil
ME1 1 Proc 2.00 GHs 1 Go eth0 WTK 2.5.2
SDS1 2 Proc 2.00 GHs 2.00 GHs 512 Mo eth0 SDS4.2
PKI Portal1 1 Proc 2.00 GHs 512 Mo eth0 Sailn
SEG1 1 Proc 2.00 GHs 256 Mo eth0 et eth1 Openswan
ME2 1 Proc 2.00 GHs 1 Go eth0 S60 nokia
SDS2 2 Proc 2.00 GHs 2.00 GHs 512 Mo eth0 SDS4.2
PKI Portal2 1 Proc 2.00 GHs 512 Mo eth0 Sailn
SEG2 1 Proc 2.00 GHs 256 Mo eth0 et eth1 Openswan
EJBCA 1 Proc 2.00 GHs 1 Go eth0 EJBCA 3.10.1
PrestaShop 1 Proc 2.00 GHs 512 Mo eth0 PrestaShop 1.2.5
Routeur 1 Proc 2.00 GHs 512 Mo eth(0,1,2 et3) Ubuntu 10.04
Les valeurs attribues pour chaque machine respecte les exigences denit par les constructeurs des outils qui
seront installes et congures dans cette machine. Par exemple loutil SDS necessite au minimum une RAM
DE 512 Mo sur un syst`eme dexploitation Windows ou Linux. Nous avons attribues un gegas octet de RAM
au client mobile ME vu les fonctions qui seront executees sur ce dernier, et parmi ces fonctions il y a la
generation des cles asymetriques.
Il faut aussi signaler que la conguration des outils sur les machines virtuelles ainsi que linterconnexion
des ces dierents outils pour produire le syst`eme complet, necessite premi`erement une bonne connaissance
de lenvironnent VMWare, deuxi`emement une maitrise de la conguration des syst`emes dexploitation
Windows et Linux et aussi de bonnes connaissances sur la conguration des reseaux informatiques ...
Dans la section suivante nous allons expliquer quelques tests qui representent les scenarios des cas dutili-
sations de notre syst`eme. Ils expriment les grandes fonctionnalites de lapplication, ainsi nous allons suivre
lacheminement des etapes du client mobile en partant de lenregistrement dans les reseaux et jusqu`a lacc`es
au service de commerce electronique.
9.2

Emulation du mod`ele conceptuel 97
9.2.2 Tests et cas dutilisation
Le prototype que nous avons deployes represente un syst`eme de reseaux telecoms de la nouvelle generale
dans le quel un client mobile (PC portable o` u Telephone portable) doit acquerir un certicat numerique
X.509 v3 pour pouvoir acceder aux services de commerce mobile an de realiser ces achats en toute securite.
Le certicat permet au client de signer la che de la commande, cette signature va garantir un grand niveau
de conance du cote client, car seul le vrai client aura la possibilite de signer cette che du fait quil est le
seul qui poss`ede la cle privee.
Nous avons installes un certicat dauthentication pour le serveur de commerce mobile pour que les clients
puissent benecier dune communication http securise basee sur le protocole SSL. Cette conguration
permet aux clients denvoyer leurs informations de payements chirees jusquau serveur qui a la possibilite
de les dechirer.En se qui concerne les procedures de lutilisation du service de commerce mobile, nous
avons gardes le meme mod`ele denit par les developpeurs de Prestashop et nous avons integres le module
de la signature electronique durant la phase de la validation de la commande.
Test 1 : Connexion du client au portail PKI
Pour avoir son certicat le client se connecte au service nomme PKI Portal, se service joue le role du portail
PKI denit dans les specications du 3GPP Forum. Il joue le role de lautorite de lenregistrement(AR) et il
se charge aussi de la validation des informations emis par le client. La gure suivante presente le code source
que nous avons developper pour realiser lentite PKI Portal de notre syst`eme :
Figure 9.10 Le serveur PortalPKI
9.2

Emulation du mod`ele conceptuel 98
La communication avec le portail PKI permet au client premi`erement de generer la paire de cles asymetrique,
de stocker la cle prive dans un endroit securise (La memoire WIM de sa carte USIM, UICC). Et apr`es la
validation de ces informations par le portail PKI le client gen`ere et signe la demande de certicat CSR
(PKCS10) avec sa cle privee.
Nous avons aussi developper un client J2ME/CDC qui communique avec le serveur PKI en utilisant les
fonctionnalites de la plateforme ICP (IMS Client Plateform) voici une prise decran du code source de ce
client :
Figure 9.11 Lapplication cliente du serveur Portal PKI
A la n de cette etape le client se redirige vers le site internet de lautorite de certication pour obtenir son
certicat.
Test 2 : Connexion a lautorite de certication
Dans cette etape le client se trouve sur linterface utilisateur de loutil EJBCA, et apr`es son authentication
il est invite `a ajouter le chier qui contient la demande de certicat PKCS10. une fois la demande transmise
au format PKCS7 est veriee par lautorite de certication le client re cois son certicat en format PKCS12
ou bien PEM.
9.2

Emulation du mod`ele conceptuel 99
Figure 9.12 Linterface utilisateurs de lautorite de certication
Test 3 : Connexion a serveur de commerce electronique
Comme le client dispose maintenant de son certicat electronique delivre par une autorite de certicat
reconnu `a lech`ele internationale, il pourra maintenant se connecter au site de commerce electronique et
realiser ces transactions.
voici linterface des clients de notre boutique en ligne :
Figure 9.13 Linterface utilisateurs de lautorite de certication
9.2

Emulation du mod`ele conceptuel 100
Une fois le client est satisfait de son panier, il pourra commander les produits contenus dans ce dernier.
Cette etape necessite la validation de quelques informations, et parmi ces informations la signature de la
commande, cest un nouveau module que nous avons developpe et integre avec loutil Prestashop. Alors
quand les informations sont tous validees par le vendeur, le client sera amene `a payer les achats par voie
electronique. Cette etape se fait dune mani`ere securise via le protocole SSL. Le module SSL est aussi integre
avec les fonctionnalites de ladministrateur de PrestaShop, ce dernier doit lactiver sil veut securiser cette
etape de la transaction.
Figure 9.14 Le module de payement SSL
Durant cette partie nous avons presentes les phaces les plus importantes de notre application qui concerne
linterface de communication avec les clients. Il faut signaler que la realisation de cette architecture necessite
un grand eort de conguration et dinstallation dans la partie de ladministration de syst`eme. Le detail des
dierentes cas dutilisation sera detaille dans les annexes de ce rapport.
Puisque le syst`eme est operationnelle, et que les fonctionnalites executees repondes a nos besoins, nous
avons decides de realiser une evaluation detaille de quelque zones sensible de larchitecture telles que la
generation des cles de chirement dans un appareil mobile et aussi les connexions `a un site Web ou bien les
phaces de communication entre le client mobile et le corps IMS du reseau.
9.3

Evaluations et analyse des resultats 101
9.3

Evaluations et analyse des resultats
Ce projet se caracterise par le fait quil regroupe plusieurs contextes. Il soccupe de lemulation dune
application de commerce electronique et cela dans le cadre des nouveaux reseaux mobiles 4G. Cette
emulation est basee sur les specications des groupements de recherche et particuli`erement le 3GPP Forum,
alors il ete important de proceder `a analyser les prototypes dimplementation de ces specications, ces
prototypes sont representes par notre application. La phase de levaluation et analyse des resultats constitue
une etape primordiale dans nos objectifs car elle nous permet davoir un premier retour dexperience de
notre syst`eme.
les donnees recueillies en vue de conrmer ou dinrmer lhypoth`ese de notre projet. Pour cela, il est
importent dexaminer longuement et minutieusement notre implementation. Les donnees saisies sont
veriees au moins trois fois avant de pouvoir etre considerees comme ables. Cette analyse montre egalement
les niveaux de complexite dans des zones precises de lapplication.
Le plus interessent dans cette partie est de realiser ces analyses au niveau de lequipement mobile, car
aujourdhui les mecanismes de generation de cles, de chirement/dechirement et de signature electroniques
sont consideres comme lourdes et consommateurs denergies et de memoires de calcules, donc il est important
de mesurer ces fonctionnalites au niveau de lequipement mobile.
Dans cette section nous presentons les testes qui calculent lespace memoire occupe par les processus
executes. Les testes sont realises comme suite :
1. Lenregistrement du client dans le reseau home.
2. La generation des cles asymetriques, du chier PKCS10.
3. Le processus de la signature electronique.
4. La connexion au site de lautorite de certication via le protocole http.
9.3.1 Lenregistrement de client
La phase denregistrement des clients (User Equipement : UE) est indispensable dans notre mod`ele, car elle
permet aux client dinitier des cessions avec un tiers ou un serveur dapplication, neanmoins dans certains
cas cette phase est optionnel. Avant de pouvoir initier une cession il est necessaire de savoir comment
joindre son serveur dapplication . Cette fonction est assuree par le P-CSCF du corps IMS (SDS) qui va,
apr`es consultation du serveur HSS via le protocole Diameter, etre capable de mettre en correspondance les
membres de la cession.
Les information echangees entre le client et le P-CSCF lors de la phase de lenregistrement sont enregistrees
dans la conguration de lUE, par exemple via linterface dadministration du telephone ou un chier de
conguration telecharge lors du demarrage. Soit ces informations sont obtenues via le service DNS.
Pour notre experimentation nous avons decide de donner la main aux clients de notre application pour entrer
les informations de leurs serveurs P-CSCF car cela nous permet de garantir plus de portabilite dans les
testes. La phase denregistrement dun UE utilise la methode REGISTER du protocole SIP. Le premier teste
danalyse illustre ce scenario et a ete realise par lemulateur de la micro edition Sun Wireless ToolKit 2.5.2 [44].
9.3

Evaluations et analyse des resultats 102
Figure 9.15 Interface de lenregistrement du client WTK 2.5.2
Les informations de lUA contenues dans les champs representent, le domaine de son reseau home ici
(ericsson.com), en suite ladresse IP et le port du proxy CSCF qui doit achemine les informations de
lutilisateur, les informations personnelles telles que (Lidenticateurs public et prive son numeros de
telephone et enn le mot de passe). Toutes ces informations sont stockees par ladministrateur dans la base
de lHSS de notre corps IMS represente dans notre application par loutil SDS.
Dans cette etape nous avons eectue trois tests pour quon puisse se rassurer des dierentes resultats
obtenus. Pour tester la taille de la memoire utilisee lors de lenregistrement du client nous nous sommes
servies de loutil de monitoring integre avec le WTK 2.5.2. La gure suivante illustre le graphique de la
taille memoire occupee par cette fonction :
Figure 9.16 Graphique de la memoire occupee de la fonction REGISTER
9.3

Evaluations et analyse des resultats 103
Nous avons aussi parvenu `a capturer le trac qui transite en entre le client mobile et son proxy CSCF et
cela en utilisant le capteur de ux de donnees du WTK comme montre dans la gure suivante :
Figure 9.17 Flux de donnees de lenregistrement
En outre loutil SDS permet au developpeur de visualiser les scenarios des communications (Client/Serveur et
Client/Client) et aussi de capturer les ux de donnees qui transitent dans leur reseau IMS. Le mecanisme qui
permet de realiser cette fonction sappel le visual trac ow (VTF), cet outil permet en principe lachage
des messages de signalisation SIP echanges entre les applications clientes et les entites CSCF du coeur IMS.
Figure 9.18 Diagramme de ux de loutil SDS du processus denregistrement
9.3

Evaluations et analyse des resultats 104
Ce diagramme de ux represente le cas dutilisation de notre application ou le client demande lenregis-
trement aupr`es de son serveur P-CSCF pour avoir acc`es aux services et en meme temps pour que les
applications qui veulent contacter ce client puissent le detecter sur le reseau. Comme notre client est bien
enregistre dans la base de donnee de lHSS, le P-CSCF envoie le message SIP 200 OK qui indique que le
client et bien authentie dans son reseau home.
Le tableau suivant resume les dierents resultats obtenus concernant letape de lenregistrement du client
mobile :
Table 9.4 Testes de la procedure de lenregistrement REGISTER
Test Taille (byte)
test 1 Curent : 162408
Maximum : 527124 .
test 2 Curent : 163664
Maximum : 527124
test 3 Curent : 162204
Maximum : 527120
Comme vous pouvez le voir sur le tableau nous avons mesure deux valeurs dans chaque teste, la valeur
curent represente letat de stabilite du graphique de la gure 9.17 et la valeur Maximum represente le
sommet du graphique.
Le processus execute par la fonction denregistrement occupe une taille moyenne maximale de 527122 bits
de la memoire RAM dun equipement mobile. Ensuite en remarque que lenvoie du message REGISTER, la
reception et le traitement du message recu SIP 200 OK occupent le 1/3 de la valeurs Maximum (environ 2
octet). Tout Cela signie que la fabrication du message SIP REGISTER prend une charge de memoire de
6.5 octets et cest une taille quun equipement mobile supporte et traite facilement.
En generale les appareils mobiles de la nouvelle generation doivent utiliser la signalisation SIP pour
sauthentier au pret de leurs reseaux homes et aussi pour avoir acc`es aux services. Les resultats obtenus
dans cette etapes nous permettent de conclure que la procedure de lenregistrement est une phase qui ne
consomme pas beaucoup de ressources memoire de lappareil mobile, donc cest une procedure qui sera
executee facilement et en toute aisance sur les equipements mobiles de la future generation.
9.3.2

Evaluation de la procedure de certication
Letape suivante de notre analyse consiste `a calculer lespace memoire occupe par les procedures de la
demande de certicat numerique. Normalement ce processus cryptographique nest pas integre dans les
telephones mobiles, cest lautorite de certication qui se charge de la generation des cles et la creation de
certicat associe.
Aujourdhui et dapr`es les specications du 3GPP forum [6], cest lequipement mobile qui doit soccuper
de la generation et le stockage des cles asymetrique et aussi la demande de certication. En suivant cette
approche qui garantie un grand niveau de condentialite, puisque la cle prive ne quitte pas lequipement,
nous avons decide dimplementer ces fonctionnalites.
9.3

Evaluations et analyse des resultats 105
Le developpement de la procedure de generation de cles asymetriques est une etape qui nous a pris beaucoup
de temps, puisque la Java Micro Edition nest pas dotee dun mecanisme de ce genre pour les appareils
limites de type J2ME CLDC. Nous avons eectue des recherches qui nous ont permis de decouvrir deux
autres biblioth`eques specialisees dans les fonctions cryptographiques dont une partie de developpement est
dediee `a la J2ME/CLDC.
La premi`ere biblioth`eque est le projet Bouncy Castle [45] qui est une API leg`ere de cryptographie ecrite en
Java et qui implemente la JSR Java Crypto Extention. Le deuxi`eme projet est le IAIK qui est un projet simi-
laire implemente par linstitution de linformatique appliquee et le traitement de la communication IAIK [46].
La procedure de la generation des cles
Nous avons choisie de realiser cette etape en utilisant les deux grand syst`emes asymetriques representes par
lalgorithme RSA, et les courbes elliptiques. Ce choix est justie par la bonne reputation de la cryptographie
des courbes elliptiques par rapport `a celle nommee RSA en mati`ere de la rapidite et la taille reduite des cles
de chirement...[29]. Le tableau suivant illustre la comparaison entre les tailles des cles RSA et ECC sur les
quelles nous nous sommes bases pour faire les tests de cette partie.
Table 9.5 Taille de cles asymetrique assurant le meme niveau de securite (ECC/RSA)
Test 1 2 3
ECC 160 223 224 255 256 384
RSA 1024 2048 3072
Comme vous pouvez remarquer nous utilisons des cles de taille de lordre de 1024 bits et superieur
cela et du au fait que les cryptanalystes arrivent `a casser lalgorithme RSA avec une cles de 512 et
inferieur, meme la taille 1024 est risquee aujourdhui. Le forum de 3GPPP souhaite utiliser des cles de
taille 2048 dans les appareils mobiles de la nouvelle generation pour ce type doperations cryptographiques [6].
En revanche des tailles tr`es reduites sont utilises dans la cryptographie `a courbes elliptiques, ces petites cles
donne un niveau de securite aussi eleve [30] que leurs equivalentes qui sont trop longes en RSA.
Nous avons teste les fonctions de la generation des cles (RSA/ECC) sur lemulateur de sun WTK 2.5.2 et
nous avons eu les graphiques suivants qui represente loccupation de la memoire de lappareil mobile pour
les dierentes tailles mesurees.
Le premi`ere teste eectue represente la taille de cles 1024 en RSA et son equivalent en ECC :
9.3

Evaluations et analyse des resultats 106
Generation des cles RSA 1024 Generation des cles ECC 192
Comme nous pouvons remarques la generation dune paire de cles RSA de 1024 bits necessite plus deorts
de calcules avec une valeur maximale de 1531680 bytes de memoire. par contre la generation des cles de
chirement ECC atteint seulement une seuil maximale de 526728 bytes. Il faut aussi signaler que les cles
RSA necessite plus de temps de calcules.
Le deuxi`eme teste eectue represente la taille de cles 2048 en RSA et son equivalent en ECC :
Generation des cles RSA 2048 Generation des cles ECC 224
Dans ce teste nous avons essaye de generer une paire de cles RSA de taille 2048 bits, cette taille est
conseillee par le forum 3GPP pour les futures cles RSA des mobiles de la nouvelle generation. le graphe
atteint cette fois un niveau plus eleve pour la variable Maximum avec une valeur de 1979904 bytes occupes
par ce processus. En revanche la cle ECC equivalente qui est de taille 224 bits na augmente par rapport `a
la premi`ere que de 3000 bits (552548 bytes), cela est exprimer par les deux graphes qui sont aussi tr`es proches.
9.3

Evaluations et analyse des resultats 107
A ce niveau nous pouvons remarquer que lutilisation des cles de chirement RSA de taille 2048 aux sein de
lequipement mobile consomme plus denergie et engendre une petite latence sur la memoire du telephone
mobile. Nous pouvons dire que la generation dune paire de cles RSA au sein de lequipement mobile est
une procedure normale et qui se passe sans grandes contraintes, elle oblige seulement que lequipement
mobile soit dotes dune RAM susante pour ce type de procedures, et cest le cas des appareils mobiles de
la nouvelle generation.
Maintenant nous allons passer `a un teste de niveau superieur et qui a pour objectif detudier le comportement
des equipements mobiles dans la phase de la generation de cles de taille 3076 bits. Nous voulons savoir que
si les cles RSA de taille 2048 sont casser, est ce quil est possible dutiliser des cles RSA de taille superieur
dans les telephones mobiles. Voici le graphique representant le troisi`eme teste eectue sur une taille de cles
RSA de 3076 et son equivalent en ECC :
Generation des cles RSA 3076 Generation des cles ECC 256
Nous avons constater que le graphe atteint une valeur maximale de 2027368 bits qui est une valeur tr`es
elevee par rapport au test prec`edent. En plus la generation dune paire de cles de telle taille consomme
beaucoup de ressources memoires dans un pc portable, et prend tout les ressources memoires de notre
emulateur de telephone mobile WTK 2.5.2. En plus ce test sexecute dans un temps considerablement long
par rapport au test de generation avec une taille de 2048.
La grand surprise dans se teste est que les cles ECC equivalentes consomment une taille memoire de 529056
bits qui est tr`es proche de celle des deux derniers tests concernant les cles generees `a laide dune courbe
elliptique. Le tableau suivant resume les dierents resultats concernant la generation des cles.
Table 9.6 Resultat de la generation des cles avec les dierents tailles
Test RSA(byte) ECC(byte)
test 1 (1024/192) Curent : 86400 Curent : 83848
Maximum : 1531680 Maximum : 526728
test 2 (2048/224) Curent : 90420 Curent : 552548
Maximum : 1979904 Maximum : 552548
test 3 (3076/256) Curent : 92724 Curent : 107052
Maximum : 2027368 Maximum : 529056
9.3

Evaluations et analyse des resultats 108
Le teste de la signature electronique
Le deuxi`eme tests dans cette partie de la procedure de la certication numerique ete celui de la generation
de la signature electronique. nous avons eu besoin de ce teste dans deux parties :
1. La signature de la demande de certicat (PKCS10).
2. La signature de la che de la commande dans le commerce mobile.
Nous traitons laspect de la signature electronique an de mieux comprendre ce mecanismes cryptographies
dans les appareils mobiles, nous lavons teste sur le wirless toolikt de sun.
Notre demarches est identique `a celle utilisee lors de letape de la generation des cles, les gures suivantes
representent les resultats de la manipulation concernant les deux algorithme RSA et ECC. Le graphique
suivant represente la procedure de la signature RSA pour les dierentes tailles mentionnees si dessous :
Figure 9.19 Les diagrammes de la signature RSA sur le WTK (1024 - 2048 - 3076)
Le graphique suivant represente la procedure de la signature ECDSA pour les dierentes tailles mentionnees
si dessous :
Figure 9.20 Les diagrammes de la signature ECDSA (192 - 224 - 256)
9.3

Evaluations et analyse des resultats 109
Le tableau suivant resume les dierents resultats concernant la signature electronique :
Table 9.7 Resultat de la signature avec les dierents tests
Test RSA(byte) ECC(byte)
test 1 Curent : 117496 Curent : 108576
Maximum : 1154080 Maximum : 526792
test 2 Curent : 140272 Curent : 558096
Maximum : 2027424 Maximum : 558096
test 3 Curent :153512 Curent : 332044
Maximum : 2027500 Maximum : 1992676
Comme nous avons constate, et dapr`es les donnees du tableau precedent nous remarquons que la procedure
de la signature electroniques base sur lalgorithme RSA est lente et ralentie le syst`eme des que la taille de
la cle depasse le 1024 bits.
Aussi il faut signaler que meme si cette fonction de signature ralentie le syst`eme pour une cle de taille 2048
mais cela nempeche pas de dire que ce processus est tr`es faisable sur les equipements mobiles du future, car
ils seront dotes de plus de capacites de memoire et de calcule.
Lidee que les algorithmes bases sur la cryptographie `a courbes elliptiques qui sont beaucoup plus ables que
leurs similaire RSA est conservee durant ce teste et les resultats obtenus montrent ce constat clairement.
Mais une fois la taille des cles depasse 2048, ce processus devient lent et ralentie le syst`eme de notre
emulateur. Les valeurs maximale obtenus sont de lordre de 2027200 bits pour le RSA et de 1992672 bits
pour les courbes elliptiques. Cela prouve que meme lalgorithme ECC peut provoquer des contraintes
dutilisation dans les equipements mobiles des que la taille des cles depasse un certain niveau.
Lobjectif des manipulation qui suivent est detudier le comportement des appareil mobile face aux procedure
de la verication de la signature electronique. Nous aurons besoin de cette fonction lors de la verication
du certicat du serveur de commerce mobile. Le graphique suivant represente la verication de la signature
RSA pour les dierentes tailles mentionnees si dessous :
Figure 9.21 Les diagrammes de la verication de la signature RSA (1024 - 2048 - 3076)
9.3

Evaluations et analyse des resultats 110
Le graphique suivant represente la verication de la signature ECDSA pour les dierentes tailles mentionnees
si dessous :
Figure 9.22 Les diagrammes de la verication de la signature ECDSA (192 - 224 - 256)
Le tableau suivant resume les dierents resultats concernant la verication de la signature electronique :
Table 9.8 Resultat de la verication de la signature avec les dierents tests
Test RSA(byte) ECC(byte)
test 1 Curent : 136060 Curent : 102764
Maximum : 720336 Maximum 526792
test 2 Curent : 161008 Curent : 555340
Maximum : 1471464 Maximum : 555340
test 3 Curent :184800 Curent : 816332
Maximum : 2027200 Maximum : 1992672
La verication de la signature electronique est un processus similaire `a celui de la generation de cette
signature, il nous donne les memes resultats, en se qui concerne la abilite des syst`emes de calcules bases sur
les courbes elliptique et le comportement naturel des fonctions base sur lalgorithme de factorisation RSA.
9.3

Evaluations et analyse des resultats 111
La connexion HTTP
Dans notre prototype dapplication nous aurons besoin souvent de se connecter `a internet en utilisant le
protocole de http/https, alors il ete tr`es important pour nous de mesurer la taille memoire occupee par se
processus lors de son execution sur un appareil mobile.
Pour developper les fonctionnalites de la connexion http/https nous avons utilise les fonctionnalites de la
servlet httpServlet. Il faut aussi signale que lemulateur S60 de nokia est dote dun navigateur Web qui
facilite la connexion aux sites internet
Le diagramme ci dessus montre que le processus de la connexion http `a un site Web est un processus tr`es
normale qui ne consomme pas beaucoup denergies. Donc et selon nos etapes de conguration et nos manipu-
lations nous pouvons dire que les fonctionnalites liees `a la communication entre le client et son serveur via le
protocole http nimpose aucune complexite au niveau de lenergies consommee et la taille de memoire occupee.
La gure suivante represente le diagramme de loccupation de la memoire RAM dun equipement mobile
lors dune connexion http :
Figure 9.23 Le graphe de loccupation de memoire lors dun connexion http
Cette section ete consacree `a letude et lanalyse des fonctionnalites de notre syst`eme. Nous nous sommes
interesses tout particuli`erement `a lequipement mobile qui represente le maillon faible de cette architecture.
Les telephones mobiles daujourdhui ne sont pas capables dexecuter les grandes fonctionnalites de la
cryptographie, ils etes consideres toujours comme un moyen de stockage des informations secr`etes tel que la
cle prive, se sont les autorites de certications qui se chargent de la generation et lenvoie de la cle prive.
Cette chaine ne permet pas de garantir un grand niveau de conance.
Alors aujourdhui il est important que si un utilisateur mobile veut acquerir un certicat, quil doit generer
lui meme et stocke la paire de cles dans son appareil mobile. lautorite de certication se charge seulement
de la validation des informations personnelles et la creation du certicat associe `a la cle publique.
Il ete tr`es dicile et meme impossible de generer une pair de cle RSA de taille 2048 bits sur un telephone
mobile car cette fonction consomme beaucoup denergie et despace memoire. En plus les appareils mobiles
etes tr`es limites `a ce niveau.
Dans les essayes et les tests que nous venons de presenter dans cette section nous avons prouver que
lexecution des fonctions de certication (Generation des cles, PKCS10 ...) dans un equipement mobile de
la nouvelle generation est une tache qui est realisable.
9.3

Evaluations et analyse des resultats 112
Nous avons presentes aussi une comparaison entre les fonctionnalites cryptographiques basees sur lal-
gorithme RSA et leurs equivalentes basees sur les courbes elliptiques. Les resultats obtenus montrent
que ces derniers sont plus performants et orent une grande souplesse dans lexecution des procedures
cryptographique asymetriques liees ` a la chaine de certication.
Durant cette partie pratique nous avons explique en detaille les elements essentiels qui composent lapproche
suivie an de repondre `a la problematique de notre sujet. En debutant par letude bibliographique qui a
servie comme base theorique solide pour la specication des solutions qui nous ont permis de decortiquer la
problematique. Et par la suite nous avons aussi detaille les grandes lignes fonctionnelles qui sont en relation
avec la realisation du prototype implementant les dierentes solutions proposees.
Et dans le dernier paragraphe nous etions tr`es interesses par le test et lanalyses des mecanismes de
chirement asymetriques qui sexecutent sur un appareil mobile. Par la suite nous etions convaincus que les
solutions proposees repond en grande partie aux exigences de securite liees aux futures reseaux mobiles de
nouvelle generation.
10 Conclusion et Perspectives
Le present rapport avait pour objectif letude des mecanismes de securite appliques de bout en bout
pour securiser le service du commerce electronique dans le cadre des reseaux mobiles de la quatri`eme
generation 4G. Et comme nous avons explique durant les chapitres de ce rapport, la mise en oeuvre de ce
genre de solutions necessite une connaissance theorique qui combine plusieurs secteurs dans le monde de
linformatique et les reseaux de telecommunications.
Nous nous sommes concentres sur letude des dierents principes des reseaux de la nouvelle generation, tout
en detaillant et en se focalisant sur ceux qui ont une relation directe avec les aspects de securite impliques.
Alors une fois les principes theoriques sont acquis, nous avons decide detudier la securite du service de
commerce mobile qui represente un champ detude tr`es important.
Pour permettre aux clients mobiles de realiser leurs achats en ligne en toute securite, les solutions basees
sur la cryptographie asymetrique orent un grand niveau de conance dans ce type de transactions. Malgre
leurs importances les mecanismes asymetriques sont lourdes et necessitent la mise en oeuvre de la chaine de
distribution des certicats basee sur une infrastructure de cles publiques PKI. Lexecution de ces processus
dans des environnements mobiles nest pas une tache evidente car ces equipements sont limites en memoires
dexecution et aussi en energie.
Par la suite nous avons realise une emulation basee sur des outils open source et libre an de tester les
niveaux de faisabilites et dapplications des dierentes aspects lies aux service m-commerce. Lobjectif le
plus important de cette partie ete de tester cette implementation et de voir les niveaux de complexites du
cote client mobile.
Les resultats obtenus durant la phase de lanalyse montrent que lexecution des mecanismes cryptographiques
asymetriques sur les equipements mobiles est un processus applicable et ne presente aucun probl`eme, Mais
ces mecanismes representent des limitations une fois les cles utilises depassent un certain niveau(taille des
cles superieur `a 2048 RSA).
Le cadre generale des moyens de securite appliques dans ce projet garantie un haut niveau de conance entre
les dierentes parties communicantes et ore une securite de bout en bout dans tout le syst`eme. En plus
lintegration du prototype internationale dans la securite represente une technique qui donne une grande
valeur ajoutee au sujet, car un des principaux composants de la vision 4G est la couverture internationale
des services.
Ce projet nous a permis de se familiariser avec le monde des reseaux de telecommunications et en particulier
celle de nouvelle generation. Nous avons acquis des competences techniques tr`es importantes concernant
la conguration et lutilisation des outils demulation. Nous avons reussi `a maitriser des outils tels que la
machine virtuel (VMWare) qui nous a permis demuler toute larchitecture, en plus les etapes de testes
et de conguration de loutil SDS nous ont permis de comprendre le fonctionnement exacte des coeurs de
reseaux IMS. Nous avons reussi `a developper les fonctions dinterfacages entre les dierentes entites qui
composent notre solution, et cela en utilisant des composants assez evolues tel que les Servlets SIP et http
... En plus lutilisation de la Java Micro

Edition pour limplementation des clients mobiles a represente une
phase interessante car elle nous a permis de maitriser ce champ de developpement.
114
Les travaux qui visent `a etudier les concepts des services de commerce mobile et des reseaux mobiles 4G
sont importants et les champs dapplications et detudes sont tr`es ouverts. Alors une fois le travail demande
est acheve nous avons remarque quil y a encore des questions ouvertes quils faut traiter et qui peuvent
faire lobjectif dautres travaux dans le future.
Un de ces questions ouvertes peut etres lanalyse de vulnerabilites du syst`eme, ce qui peut permettre de
degager des zones faibles dans le mod`ele conceptuel et par la suite proceder `a la correction de ces erreurs. Ce
teste dintrusion et de vulnerabilite peut etres fait avec les outils adequats tels que le BackTrack 4 ou bien
Wireshark, .... Les resultats obtenus dans cette partie vont permettre aux administrateurs de tels syst`emes
de mettre des correctifs de securite et de veiller `a la protection de leurs syst`emes contres les attaques prevues.
Du point de vue conceptuel le realisation de modules dedies pour les telephones mobile et leurs integration
dans les syst`emes de commerce electronique (PrestaShop, Magento) ou bien des autorites de certication
(EJBCA, OpenCA), est un autre champs de travail qui pourra faire lobjectif dun future travail.
Enn de cette partie nous pouvons dire que lutilisation de linfrastructure `a cles publiques PKI pour
garantir la securite des transactions et un champs dapplication moderne, Mais lutilisation des moyens
dauthentication forte base sur la biometrie represente un cadre tr`es solide de recherche et de travail dont
les futures travaux peuvent entamer et analyser soigneusement. Lapplication de tels mecanismes dans des
syst`emes similaires aura un grand impact sur laugmentation de lutilisation des services electronique `a
grand echelle.
Bibliographie
[1] Miikka Poikselka et Georg Mayer, THE IMS IP MULTIMEDIA CONCEPTS AND SERVICES, THIRD
EDITION, Nokia Siemens Networks,Nokia, Finland, John Wiley,2009.
[2] Dorgham Sisalem and John Floroiu and Jiri Kuthan and Ulrich Abend and Henning Schulzrinne, SIP
SECURITY, John Wiley, 2009.
[3] Etude technique, economique et reglementaire de levolution vers les reseaux de nouvelle generation
(NGN, Next Generation Networks), Etude realisee par le cabinet Arcome pour le compte de lAutorite
de regulation des telecommunications, septembre 2002.
[4] Carl-Frederik Hallberg Johan Moller Kenneth Sjokrans, Mobile wallet payment solution, Blekinge Ins-
titute of Technology, Janvier 2009.
[5] Samuel Ivarsson, Mobile payment with customer controlled connection de Blekinge Institute of Techno-
logy Janvier 2008.
[6] Generic Authentication Architecture (GAA), Support for Subscriber Certicates System Description
(Release 9), 3GPP TS 33.221 V9.0.0, 2OO9.
[7] Network Domain Security ; IP network layer security (Release 9), 3GPP TS 33.210 V9.0.0, 2009.
[8] IMS media plane security (Release 9), 3GPP TR 33.828 V9.0.0, 2O10.
[9] Madjid Nakhjiri et Mahsa Nakhjiri ; AAA AND NETWORK SECURITY FOR MOBILE ACCESS
RADIUS,DIAMETER, EAP, PKI AND IP MOBILITY, Motorola Labs et Motorola, Personal Devices,
USA, John Wiley, 2005.
[10] Stephen Wilson, Public Key Superstructure Its PKI Jim, But Not As We Know It !, Lockstep Consul-
ting, AUSTRALIA, 2008.
[11] Noureddine Boudriga, SECURITY OF MOBILE COMMUNICATIONS, by Taylor and Francis Group,
LLC, 2010.
[12] Silke Holtmanns, Valtteri Niemi, Philip Ginzboorg, Pekka Laitinen and N. Asokan, CELLULAR AU-
THENTICATION FOR MOBILE AND INTERNET SERVICES, Nokia Research Center, Helsinki Fin-
land , John Wiley Sons Ltd, 2008
[13] Pranav Kumar Sharma, Short-Lived Certicates as a Mobile Authentication Method, HELSINKI UNI-
VERSITY OF TECHNOLOGY, faculty of Information and Natural Sciences, Masters Thesis Espoo,
26 June, 2009.
[14] Abdati ELYAZIDI, Alaa BENSAID, ETUDE ET MISE EN PLACE DUN GENERATEUR DE CER-
TIFICATS DANS UN ENVIRONNEMENT DE COMMERCE ELECTRONIQUE, Memoire de Projet
de Fin d

Etudes, par `a ENSIAS et ANRT, 2000.


[15] Regis J, Broadband Telecommunications Handbook, by The McGraw-Hill Companies, 2002.
[16] Hendrik Berndt, Towards 4G Technologies, SERVICES WITH INITIATIVE, DoCoMo labs Communi-
cations Laboratories Europe GmbH, Germany, John Wiley 2008.
[17] Simon ZNATY, Next Generation Network (NGN) dans les reseaux mobiles , EFORT, 2006.
[18] Strategie dintroduction du concept IMS dans un reseau de telecommunication Etude de cas Tunisie
Telecom, Realise par Naouel Ghanmi, ecole superieur de communication de Tunis, 2006.
[19] Rumney, Moray. 3GPP LTE : Introducing Single-Carrier FDMA. Agilent Technologies.
http ://cp.literature.agilent.com/litweb/pdf/5989-7898EN.pdf. 2008.
[20] cesia, Touk, Baker, LTE - The UMTS Long Term Evolution From Theory to Practice, Wiley,2009.
[21] Arnaud van Gelder Lauwersstraat , Media Security in Open IMS Core, University of Groningen Faculty
of Mathematics and Natural Sciences, Nijenborgh 9 9747 , July 2009.
[22] Pascal Podvin, Article annee du Mobile Commerce, Cafe du E-Commerce, 2010.
BIBLIOGRAPHIE 116
[23] Bellani Aicha, Derriche Imane, Construction dune application de commerce electronique `a bas dagents
mobiles, ESI Algerie, semptembre 2009.
[24] Abdullah Al Hasib, Abdullah Azfar and Md. Sarwar Morshed, Towards Public Key Infrastructure less
authentication in cession Initiation Protocol, IJCSI International Journal of Computer Science Issues,
Vol. 7, Issue 1, No. 2,, ISSN (Online) : 1694-0784, January 2010.
[25] Mobile Commerce : opportunities and challenges, A GS1 Mobile Com White Paper,February Edition
2008.
[26] Idea Group and Wen-Chen Hu and Chung-wei Lee and Weidong Kou, Advances in Security and Payment
Methods for Mobile Commerce,(University of North Dakota, USA) (Auburn University, USA) (Chinese
State Key Lab) (Integrated Service Networks, China), 2005.
[27] International Organization for Standardization, General requirements for the competence of testing and
calibration laboratories, ISO/IEC 17025, 1999.
[28] General requirements for accreditation bodies The application of ISO/IEC 17011 : , RSB reference
code : RSB-STD-75-001, Published by the Roundtable on Sustainable Biofuels,Switzerland web : http:
//cgse.ep.ch/page65660-en.html, 2004.
[29] S. Duquesne, Cryptographie sur les courbes elliptiques, Ecole Jeunes Cherceurs 5 avril 2005.
[30] Emmanuel Thome, Applications algorithmiques des courbes elliptiques, Projet CACAO INRIA Lorraine,
2010.
Sites Web utilises
[31] Third Generation Partnership Project : http://www.3gpp.org
[32] Third Generation Partnership Project Service and System Aspects : http://www.3gpp.org/SA3-Security
[33] From Wikipedia, the free encyclopedia, Bell-Northern Research http://en.wikipedia.org/wiki/Bell
Northern Research
[34] Presentation et principes de IPsec http://www.securiteinfo.com/cryptographie/IPSec.shtml
[35] Internet Engineering Task Force : www.ietf.org
[36] International Telecommunication Union : www.itu.int
[37] European Telecommunications Standards Institute : www.etsi.org
[38] Le site Web du groupement americains des telecommunications atis http://www.atis.org
[39] Le forum du commerce mobile fran cais www.commercemobile.fr
[40] Java 2 Platform, Micro Edition (J2ME), Connected Device Conguration (CDC) http://www.oracle.
com/technetwork/java/javame/tech/index.html
[41] Java 2 Platform, Micro Edition (J2ME), Connected Limited Device Conguration (CDC) http://www.
oracle.com/technetwork/java/javame/tech/index.html
[42] Open IMS Cores Homepage, http://www.openimscore.org/
[43] Service Developpent Studio(SDS), http://www.ercisson.com/developer
[44] La nouvelle version du logiciel WTK 2.5.2 : Sun Java Wireless Toolkit Version 2.5.2 for CLDC http:
//download-llnw.oracle.com/javame/dev-tools/wtk-cldc-2.5.2-01/BinaryReleaseNotes.html
[45] Le site ociel du projet cryptographique Bouncy Castle http://www.bouncycastle.org/fr/index.html
[46] Web site of the Institute for Applied Information Processing and Communication (IAIK) of the Graz
University of Technology http://jce.iaik.tugraz.at/