Architecture du système d’accès à distance

Après la modélisation UML (Unified Modeling Langage) [57] haut niveau de notre système d’accès à distance et de son contexte, nous étions en mesure d’élaborer une architecture fonctionnelle générique qui prenne en compte les besoins fonctionnels identifiés dans cette modélisation.

Nous avons tout d’abord étudié le déploiement des différentes fonctions sur les trois réseaux concernés : les deux réseaux domestiques et le réseau du fournisseur de service (par la suite

47

fonctions réalisées, nous avons élaborés les différentes relations entre ces fonctions et ainsi nous avons pu produire les diagrammes de séquences des différents messages échangés. Ce premier cycle nous a permis de raffiner la constitution des différentes macro-fonctions avant d’instancier notre modèle sur le Framework IMS et sur une base HTTP.

La figure 3.6 illustre l’exemple où Bob partage des contenus avec Alice. La solution se base sur

deux composants distribués entre le réseau cœur (SM-WAN) et le réseau LAN du client (

SM-LAN).

Figure 3.6 Vue d’ensemble de l’architecture fonctionnelle du système d’accès à distance

Afin de garantir la sécurité des échanges, nous avons défini deux types de Liste de Contrôle d’Accès (ACL Access Control List) qui régissent les droits d’accès :

 Règles de partage : Elles autorisent un utilisateur distant à accéder au LAN du client;

 Règles de filtrage : Elles désignent la liste des utilisateurs distants qui ont le droit

d’accéder à un répertoire donné. Elles servent aussi à contrôler certaines actions UPnP:

par exemple si le client partage des contenus avec un ami, le SM lui permettra alors

d’effectuer des actions UPnP telles que BROWSE (parcours de répertoire) et GET (récupération de contenu) sur la liste de répertoires auxquels il a le droit d’accéder; mais

par défaut le SM interdira pour des raisons de sécurité les autres actions UPnP comme

DELETE (suppression de contenu) et MOVE (déplacement de contenu). Toutefois, le client pourra autoriser tous les types d’actions UPnP pour des utilisateurs privilégiés (ex. le propriétaire accédant de l’extérieur à sa maison).

Les deux types d’ACL sont stockés dans le composant du LAN (SM-LAN), alors que seules les

règles de partage sont exportées dans le composant du réseau cœur (SM-WAN). La sauvegarde

de ce type d’ACL à l’extérieur du LAN nous permet d’assurer la sécurité des réseaux des clients en vérifiant au moment de l’établissement de la session si l’appelant a le droit d’accéder au LAN désigné. La décision de ne pas exporter les règles de filtrage dans le réseau cœur nous évite le

48

problème de synchronisation de ces règles et diminue la complexité du traitement à réaliser par ce composant. Ainsi ce dernier aura une meilleure performance et une meilleure aptitude au passage à l’échelle pour gérer une grande communauté de clients. Mais au-delà de la considération technique, c’est également une contrainte juridique qui nous a poussés à ce constat. En effet, un fournisseur de service est responsable de toutes les données publiées y compris les métadonnées (tag, type, vignette …) associés à ces contenus. La liste des ACLs de filtrage peut être assimilée à des métadonnées donc soumises à contrôle. Ainsi, en plus du problème de synchronisation viendrait s’ajouter le problème de contrôle qui saturerait ainsi rapidement les performances du système.

De plus, pour améliorer les performances du nœud central, SM-WAN, nous avons décidé

d’échanger les flux médias pendant la phase consommation des contenus directement en mode

point-à-point entre les deux réseaux locaux distants et sans passer par le SM-WAN.

Le tableau 3.1 résume les fonctions des deux composants du SM. Dans ce tableau nous n’avons

pas détaillé les fonctions qui font le lien avec le système de gestion de QoS pour la mise en place de la QoS de bout-en-bout, car nous allons les étudier en détail dans le chapitre 4.

Tableau 3.1 Fonctions du système d’accès à distance

Composant Fonctions Description

SM-LAN Amorçage du Service de partage

 Enregistrer la maison du client au lancement

du service de partage de contenus afin qu’elle soit accessible de l’extérieur.

Gestion des ACLs dans le LAN

 Gérer les règles de filtrage et de partage dans

la maison.

Publication des ACLs  Exporter les règles de partage vers le composant du réseau cœur.

Gestion des Routes  Lancer la négociation afin d’établir une session sécurisée entre l’appelant et l’appelé.

 Mettre en place les règles de routage dans le

LAN émetteur du contenu (configuration du NAT& pare-feu) pour permettre l’échange de données point-à-point sans passer par le

composant SM-WAN.

Requêtes Dispatching  Identifier et filtrer les requêtes entrantes.

 Rediriger les requêtes entrantes vers

l’équipement stockant le contenu. Cela

nécessite le stockage d’information

d’indexation des contenus dans le LAN.

SM-WAN Portail d’Administration  Gérer les profils des clients.

 Surveiller les sessions des clients.

Gestion des ACLs  Configurer les règles de partage.

Gestion des Routes  Authentifier l’appelant.

 Identifier les requêtes de l’appelant.

 Vérifier les règles de partage de l’appelant.

Requêtes Dispatching  Transférer les messages de négociation entre les deux extrémités de la session.

Localisation  Localiser les maisons par rapport à un identifiant.

Cette architecture fonctionnelle est utilisable pour l’accès du client à son LAN en situation de

49

« Amorçage du service » et « Gestion des Routes », dans l’équipement utilisé (i.e. ordinateur portable).