Contrôle d’Accès Sécurisé dans l’Info-Nuage Mobile (Secure Access Control in Mobile Cloud)

Abstract

L'info-nuage mobile (MCC) a émergé comme une technologie prometteuse; il utilise des serveurs hautement évolutifs dans le nuage et permet de surmonter les limitations (en termes de calcul et d’énergie) des appareils mobiles. En raison des risques liés à la sécurité et la vie privée, les entreprises, actuellement, ne sont pas intéressées à utiliser MCC. Ces préoccupations sont intensifiées lorsque les utilisateurs/employés ont tendance à utiliser des dispositifs sans fil (par exemple, les ordinateurs portables et les smartphones) pour rester connectés tout en se déplaçant à travers/en dehors de l'entreprise.

Dans cette thèse, nous développons de nouvelles méthodes, basées sur la technique Attribute-Based Encryption (ABE), pour concevoir un contrôle d'accès aux données sécurisé et efficace pour le Info-nuage mobile. Ces méthodes permettent aux propriétaires de données (entreprises ou particuliers) de garantir la sécurité des données et de fournir aux utilisateurs mobiles un accès fin aux données en utilisant des politiques et des contraintes définies. Nous commençons d'abord par explorer les menaces et les défis de sécurité liés à la fourniture de l'accès aux données stockées dans le nuage. Nous avons constaté que le contrôle d'accès basé sur des attributs pour les appareils mobiles posait des problèmes complexes liés à l'anonymat, à la mobilité et aux ressources de calcul restreintes des appareils. Pour résoudre ces problèmes, nous développons trois méthodes dont chacune fait l'objet d'une contribution.

La première contribution fournit la confidentialité préservant l'accès anonyme des données stockées dans le nuage. Elle décrit un nouveau modèle d'anonymat statistique pour ABE, fournit des résultats de cryptanalyse pour les contributions existantes dans le chiffrement basé sur les attributs anonymes, et présente une nouvelle technique muti-autorité basée sur ABE (appelée FACS), qui anonymise les identités des utilisateurs (sans faire confiance à une autorité ou un fournisseur). Elle étend également FACS à EFACS, ce qui lui permet de supporter l'anonymat statistique des utilisateurs. La seconde contribution fournit des services basés sur la localisation (LBSs) pour le contrôle d'accès par attributs pour le Info-nuage mobile. Plus précisément, elle introduit un nouveau schéma de contrôle d'accès basé sur des attributs multi-autorité (appelé PPLBACS) qui anonymise les identités des utilisateurs contre les autorités et les fournisseurs malveillants. Le système proposé utilise l'emplacement dynamique des utilisateurs mobiles en tant qu'attribut contextuel ainsi que les contraintes d'intervalle de localisation en tant que politique. La troisième contribution fournit l'anonymat spatio-temporel pour le contrôle d'accès sensible à la localisation dans le Info-nuage mobile. Plus précisément, elle présente un nouveau schéma multi-autorité décentralisé (appelée IDMA-ABE), qui prend en charge les intervalles pour les domaines des attributs/politiques. Basé sur IDMA-ABE, un nouveau schéma, nommé Location-Based Access Control Scheme (LBACS), est proposé. Il vise à: (a) soutenir la coexistence d'attributs spatio-temporels ainsi que d'attributs statiques; (b) utiliser plusieurs plages de valeurs, au lieu d'une valeur spécifique, pour les domaines de politiques spatio-temporelles et valeurs spécifiques pour d'autres politiques/contraintes; et (c) protéger les identités des utilisateurs contre les fournisseurs malveillants. Nous étendons également LBACS à ELBACS afin de fournir une traçabilité et un anonymat statistique spatio-temporel des utilisateurs sans faire confiance aux autorités et fournisseurs.

Mobile cloud computing has emerged as a promising technology to make use of highly scalable servers in the cloud, and to overcome the limitations of mobile devices. However, because of the risks associated with the security and privacy of enterprises’ stored-data in the cloud, most IT and chief executive officers are concerned about using this type of technology. These concerns are intensified when users/employees tend to use wireless devices (e.g. laptops and smart phones) to stay connected while moving across/outside the enterprise.

In this thesis, we develop new methods, based on Attribute-Based Encryption (ABE) technique, to design secure and efficient data access control for mobile cloud. These methods allow data owners (enterprises or individuals) to ensure security of data and provide fine-grained access of data to mobile users using defined policies and constraints. We start by exploring security threats and challenges related to access provision of data stored in the cloud. We identify challenging issues, when attribute-based access control is used by mobile devices, related to anonymity, mobility, and restricted computational resources of devices. To address these issues, we develop three methods; each of them is the subject of one contribution.

The first contribution provides privacy preserving anonymous access of data stored in the cloud. It develops a new statistical anonymity model for ABE, provides cryptanalysis results for existing contributions in anonymous attribute-based encryption, and presents a new multi-authority ABE (i.e. FACS) that anonymizes users’ identities (without trusting any authority or provider). It also extends FACS to EFACS, which enables it to support users’ statistical anonymity. The second contribution provides Location-Based Services (LBSs) for attribute-based access control in mobile cloud. More specifically, it introduces a new multi-authority attribute-based access control scheme (i.e. PPLBACS) that anonymizes users’ identities against malicious authorities and providers. The proposed scheme uses dynamic location of mobile users as a contextual attribute, employs location interval constraints as a policy, and authorizes access to legitimate mobile users. The third contribution provides spatio-temporal anonymity for location-aware access control in mobile cloud. In particular, it presents a new decentralized multi-authority ABE scheme (i.e. IDMA-ABE), which supports intervals for the domains of attributes/policies. Based on DMA-ABE scheme, a new Location-Based Access Control Scheme (LBACS) is proposed. LBACS aims at: (a) supporting coexistence of spatio-temporal attributes as well as static attributes; (b) using range of values (instead of a specific value) for domains of spatio-temporal policies and specific values for other policies/constraints; and (c) protecting users’ identities against malicious Cloud Service Provider (CSP). We also extend LBACS to ELBACS in order to provide untraceability and spatio-temporal statistical anonymity of users without trusting authorities and providers.