Sujet: Composition Automatique de Services Sécurisés Encadrant: Michael Rusinowitch INRIA Nancy Grand Est Téléphone 03 83 59 30 20 Email rusi@loria.fr La composition ou orchestration des services web est un défi pour la sécurité: la multiplication des identité, le partage des certificats, la flexibilité des formats XML,... sont autant de sources de vulnérabilité. Mais la complexité des messages, des graphes de communication, des politiques de sécurité rendent fastidieuse la vérification manuelle des services pour détecter les failles de sécurité. L'objectif du sujet est d'étudier des approches formelles récentes pour automatiser la composition et à la vérification de services sécurisés. La synthèse ou composition d'un service but à partir de services ``composants'' peut se réduire dans le cas d'un nombre fini d'états à la recherche d'une relation de simulation entre l'automate associé au service but et le produit asynchrone des automates des composants. L'objectif du stage est d'étudier une extension de cette approche pour des services comportants un nombre arbitraire d'états (messages appartenant à un domaine infini et possibilité d'itérer certains services) et de l'implémenter. La composition doit également préserver les politique de sécurité des services composants ce qui induit des contraintes supplémentaire sur la relation de simulation. Le stagiaire pourra ensuite proposer un algorithme d'extraction du service but à partir de la relation de simulation étendue. Connaissances requises Informatique théorique, model-checking et méthodes formelles, connaissances de base en sécurité, cryptographie. Bibliographie [1] Resolution of constraint systems for automatic composition of security-aware Web Services. Tigran Avanesov. PhD Thesis. http://hal.inria.fr/tel-00641237/en [2] The AVISPA Project. http://www.avispa-project.org/ [3] Distributed Orchestration of Web Services under Security Constraints. Tigran Avanesov, Yannick Chevalier, Anis Mekki, Michael Rusinowitch, Mathieu Turuani. 4th SETOP International Workshop on Autonomous and Spontaneous Security: http://hal.inria.fr/hal-00641321/en [4} Automatic service composition and synthesis: the Roman Model. Diego Calvanese, Giuseppe De Giacomo, Maurizio Lenzerini, Massimo Mecella, and Fabio Patrizi. Bull. of the IEEE Computer Society Technical Committee on Data Engineering, 31(3):18-22, 2008. http://www.inf.unibz.it/~calvanese/papers-html/IEEE-BDE-2008.html