Définitions: Contrôle, Transaction, Authentification et Certificat

By 24 February 2013

Chapitre 2

Confiance et applications

Dans ce chapitre, nous nous intéressons à la notion de confiance et à la diversité des notions relatives au problème de gestion de la confiance telles que la méfiance, la défiance, la réputation, la recommandation et le risque. . . Il y a beaucoup de définitions différentes pour la confiance, qui dépendent principalement du domaine d’étude et du point de vue de l’auteur sur la conception de son modèle de confiance. Nous nous intéressons à cette notion dans les domaines des sciences humaines et sociales et dans le domaine des applications telles que le commerce électronique (Ebay et autres), la découverte de partenaires potentiels sur Internet, etc.

L’objectif de l’étude présentée dans ce chapitre, sur la diversité de ces notions, est de préciser leur signification dans chaque contexte ou domaine correspondant. Cela nous permet d’éviter l’ambiguïté qui existe toujours entre les définitions existantes. En étudiant la diversité de ces notions, nous donnons également la définition de la confiance du point de vue de la conception de notre infrastructure de confiance.

Nous commençons le chapitre avec la définition de termes qui sont souvent utilisés dans un système de gestion de la confiance, tels que acteur, rôle, interaction. . . . Ensuite, dans la deuxième section, nous discutons sur la diversité de la notion de confiance : confiance assurée, confiance décidée, familiarité, contexte de confiance, etc. Dans la suite, les notions méfiance, réputation, risque. . . seront abordées. Nous analyserons également la relation entre ces notions pour préciser les contextes d’application, par exemple la relation entre la confiance et la sécurité, la confiance et le risque. . .

2.1 Définitions préliminaires

Avant de présenter les notions fondamentales du domaine comme la confiance, le risque et la réputation, nous proposons quelques définitions de termes tels que acteur, credentials (qualification), interaction, observation, transaction et politique.

Principal

Un principal est une entité autonome et identifiable représentant le sujet à l’initiative de l’action dans le système. Il peut s’agir d’une personne réelle ou d’une personne virtuelle (un programme). Il peut s’engager dans une interaction pour effectuer des actions.

Acteur : [actor ]

Un acteur (ou une entité) est un membre d’un sous-ensemble du principal, qui est constitué seulement par des entités humaines et légitimes (pas par des programmes ou par des machines). Il est représenté par un identifiant (par exemple son nom ou une clé publique). Parfois, nous utilisons également la notion d’agent qui est souvent mise en œuvre dans le domaine de l’intelligence artificielle pour décrire cet objet.

Rôle

Terme qui désigne la propriété et la responsabilité d’un acteur dans le système. Exemple : un acteur dans un système de vente en ligne pourrait prendre le rôle de client ou celui de vendeur.

Qualifications [credentials ]

C’est un document numérique appartenant à l’entité et qui prouve son identité, une autorisation et/ou ses compétences. Un certificat peut être signé par une autorité de certification qui est censée assurer que le détenteur de ce certificat est bien celui qu’il prétend être ou a bien les qualifications qu’il prétend avoir.

Pour effectuer une transaction, une entité doit prouver au système qu’elle dispose de toutes les qualifications nécessaires pour la mener à bien. Cette entité peut posséder un credential qui contient les informations certifiant que son détenteur a le droit de faire telle ou telle action.

Politique [policy ]

Une politique permet de définir explicitement ce qu’une entité (ou un acteur) est autorisée à faire dans le cadre d’une action donnée et d’un contexte donné. Dans les applications informatiques, un langage de politique est souvent utilisé pour exprimer ces autorisations. Le langage de description de politique est une méthode formelle qui permet d’exprimer de manière non ambiguë ces politiques. Ce langage est à destination des utilisateurs du système, et c’est là une des difficultés dans sa conception. Définir les droits d’accès aux fichiers sur le système d’exploitation Linux est un exemple simple de politique.

Interaction

Une interaction est une action menée en commun par plusieurs acteurs au sein d’un système. L’exemple le plus simple : deux acteurs dans un système de communication qui échangent des messages. Cette action est considérée comme une interaction.

Transaction

Une transaction spécifie une chaîne d’interactions entre deux acteurs au sein d’un système. En réalité, c’est une séquence d’échanges de messages entre deux acteurs pour aboutir à un but commun (ou plutôt, pour que chacun atteigne son objectif en utilisant des contraintes communes).

Observation

L’observation permet à un acteur de percevoir les événements du système. Un acteur peut disposer d’une chaîne d’observations sur les activités d’un autre acteur (l’historique ), qui lui permettra d’apporter un éclairage sur les éventuelles futures transactions avec ce même acteur.

Expérience

L’expérience est l’ensemble des comportements d’une entité lors de ses interactions avec d’autres entités du système. Cette expérience est collectée dans l’historique et peut être utilisée pour évaluer les actions futures.

Infrastructure applicative

Un ensemble d’outils (modèle théorique, langage, etc.) servant à la spécification, à la formalisation et à la mise en œuvre des applications dans un contexte spécifique.

Contrôle d’accès

Le contrôle d’accès est une méthode de gestion de l’accès à des ressources. On n’autorise l’accès aux ressources qu’à certaines entités privilégiées.

Authentification

L’authentification consiste à vérifier que l’entité qui se présente est bien qui elle prétend être. Cette opération est souvent réalisée en apportant la preuve que l’on connait un secret. L’association d’un mot de passe (secret) et d’un identifiant est la méthode la plus simple.

Autorisation

L’autorisation consite à vérifier qu’une entité authentifiée dispose bien des droits nécessaires pour accéder à une ressource.

Certificat

Un certificat est un document électronique qui utilise la notion de signature numérique pour associer une clef publique1 à une identité. L’association clef publique/identité est réalisée sous le contrôle de l’entité qui signe le certificat.

Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne