FRACAS : Fiabilité des Réseaux Autonomes de Capteurs et Applications à la Sécurité

Transcription

1 FRACAS : Fiabilité des Réseaux Autonomes de Capteurs et Applications à la Sécurité Projet d Action de Recherche Coordonnée INRIA 25 janvier 2007 Résumé L apparition des réseaux de capteurs a été favorisée par les progrès technologiques enregistrés au cours de ces dernières années. Le développement des réseaux sans fil, des microtechnologies et des systèmes embarqués ont notamment constitué un catalyseur important. Les applications possibles des réseaux de capteurs sont multiples : dans le domaine biologique avec des réseaux permettant d étudier des espèces ou des environnements, dans le domaine de la sécurité, avec des réseaux de surveillance ou plus simplement en domotique avec un réseau permettant d adapter différents paramètres (température, lumière, etc.) en fonction des personnes présentes dans un bâtiment. Toutefois, la mise en oeuvre d applications réparties dédiées aux réseaux de capteurs reste une tâche difficile car d une part on assiste à un manque substantiel d intergiciels capables d orchestrer des services fondamentaux dédiés aux réseaux de capteurs et d autre part la prise en compte des fautes inévitables dans un tel système reste insuffisante. Dans le cadre de cette ARC INRIA, nous proposons de poser les bases d un intergiciel de services pour les réseaux de capteurs. Cet intergiciel doit en particulier permettre de tolérer les types de défaillances et d attaques spécifiques de ces réseaux, tout en permettant l autoorganisation, rendue nécessaire par la grande échelle. En particulier, nous cherchons à délimiter ce qui peut être fait (et ce qui ne peut pas l être) en termes de services pour les réseaux de capteurs. Le programme de travail peut être grossièrement découpé en deux parties principales : une partie fondamentale de modélisation et une partie de conception de services. Les travaux menés jusqu à présent dans les réseaux de capteurs proposent principalement des solutions pour la communication efficace et la gestion de l énergie. L originalité de notre travail consiste en la spécification et l orchestration de services fondamentaux dédiés aux applications réparties pour les réseaux de capteurs tolérant à la fois les fautes transitoires et malicieuses. Etant donné la complexité d un environnement de type réseaux de capteurs, la conception d un intergiciel pour ce type de système se trouve à la confluence de deux domaines de recherche : l algorithmique répartie et tolérante aux fautes d une part, et les réseaux ad hoc communicant sans fil d autre part. 1 Contexte général L informatique omniprésente (ubiquitous computing) fait référence à l utilisation de plus en plus répandue de processeurs de très faible dimension communiquant spontanément les uns avec les autres et de capteurs qui, grâce à leurs dimensions très réduites, seront intégrés dans les objets de la vie quotidienne, jusqu à devenir invisibles aux utilisateurs. L évolution conceptuelle d une informatique centralisée vers une informatique omniprésente a été favorisée par les progrès technologiques enregistrés au cours de ces dernières années. Le développement des réseaux sans fil, des micro-technologies et des systèmes embarqués ont notamment constitué un catalyseur important 1

2 dans la cristallisation des concepts comme la technologie calme (calm technology), la technologie diffuse / envahissante (pervasive computing) ou encore, la technologie omniprésente. L idée de ces concepts est d instrumenter notre environnement par de multiples petits calculateurs de manière à offrir des services à l utilisateur dont l utilisation soit intuitive et transparente, au sens où il n y a plus de contraintes par rapport à une machine classique qui exige un minimum de compétences et de maintenance (à intervalles fréquents en général). Les dispositifs considérés sont capables de générer des données relatives à l environnement physique dans lequel ils sont placés (d où leur nom de capteurs) et d en tenir compte pour les services proposés ; en outre ces dispositifs embarquent un système de communication (sans fil) afin d échanger des données entre eux formant ainsi des réseaux implicites. Le concept d ubiquité numérique n est pas complètement nouveau, mais ce n est que récemment que le passage à des applications réelles est devenu envisageable. Concrètement, il est aujourd hui possible d embarquer sur un dispositif de quelques centimètres cube les circuits permettant de faire des calculs, stocker des données et également de communiquer avec d autres éléments de l environnement physique proche. Par ailleurs, il est clair que la taille de ces périphériques va considérablement diminuer dans les années à venir. Outre la performance technologique, le second aspect important concerne le coût des tels dispositifs : leur prix est peu élevé du fait d une production de masse et il continuera de diminuer chaque année. Les applications possibles des réseaux de capteurs sont multiples : dans les domaines biologiques et agricoles avec des réseaux permettant d être alerté des changements de cycle des espèces ou plus simplement d étudier des espèces ; dans le domaine de la sécurité, avec des réseaux de surveillance ou plus simplement en domotique avec un réseau permettant d adapter différents paramètres (température, lumière, etc.) en fonction des personnes présentes dans un bâtiment. La mise en place des applications réparties dans un réseau de capteurs doit tenir compte principalement des contraintes énergétiques, de communication et de déploiement particulières à ces réseaux. Les réseaux de capteurs sont par définition, des systèmes constitués de milliers de noeuds ayant chacun une zone de couverture extrêmement réduite (de l ordre de quelques mètres), déployés d une manière dense dans un environnement hétérogène. Une fois déployés les capteurs doivent s organiser, gérer et collaborer sans intervention extérieure afin de répondre à une ou plusieurs tâches. Chaque noeud du réseau dispose d une réserve énergétique (par exemple une pile) ayant une durée de vie limitée et dont le remplacement peut s avérer impossible. De plus, du fait d une production quasi-industrielle, certains capteurs peuvent exhiber un comportement non prévu (non conforme à leur spécification), lorsqu ils sont déployés sur le terrain et donc perturber les capteurs sains. Dans tous les cas, le réseau doit être capable de fonctionner normalement en dépit des capteurs cessant de fonctionner ou bien des capteurs exhibant un comportement malicieux suite à des accidents ou à la perte de ressources énergétiques. Ainsi, la mise en place d applications réparties dans un réseau de capteurs se trouve à la confluence d une variété de domaines de recherche : systèmes distribués, réseaux mobiles ad hoc, systèmes Pair-à-Pair. 2 Objectif à long terme La conception moderne d applications réparties repose sur des intergiciels dont le rôle est de fournir une panoplie de services génériques exploitables par une large variété d applications. Notre objectif principal à long terme est la mise en oeuvre d un intergiciel dédié aux applications destinées à être exécutées dans un contexte de réseaux de capteurs. Cet intergiciel devrait orchestrer à la fois des services classiques (par exemple : communication, recherche et diffusion d information, gestion de groupe, gestion de ressources) et des services spécifiques (par exemple : auto-organisation, auto-réparation, auto-stabilisation, agrégation). 2

3 La spécificité des réseaux de capteurs tient principalement aux caractéristiques particulières des défaillances pouvant survenir lors de l exécution du système. Deux causes majeures sont à l origine des défaillances des capteurs : leur production quasi-industrielle conduit à des dysfonctionnements plus ou moins graves d une partie non négligeable d entre eux, et des intrusions difficilement détectables peuvent être à l origine de comportements malveillants. Nos défis seront principalement de modéliser les défaillances et les attaques caractéristiques aux réseaux de capteurs et de concevoir des services à sémantique forte dédiés aux applications spécifiques aux réseaux de capteurs. 2.1 Défaillances et Attaques dans les réseaux de capteurs Modélisation des défaillances Un premier aspect consistera à modéliser formellement les scénarios de défaillances, de manière à pouvoir ultérieurement proposer des techniques de tolérance aux fautes susceptibles d être mises en oeuvre. Il faut noter que les mécanismes traditionnels de détection de défaillances ignorent la mobilité et les contraintes d autonomie d un système dynamique tel que celui des réseaux de capteurs. De plus, les solutions proposées dans le contexte des systèmes répartis (y compris les réseaux ad hoc) ignorent la dégradation énergétique du système, en supposant a priori une forte connectivité du système et en faisant l hypothèse que chaque noeud a une connaissance quasi-globale du système dans lequel il s exécute. Dans un système distribué " classique ", la taille du système, les rôles des noeuds et leur comportement sont connus a priori. Ces hypothèses sont loin d être réalistes dans les systèmes de capteurs où par exemple, la taille et la topologie du système peuvent évoluer de manière très rapide et selon des schémas imprévisibles. Plus précisément, l état de veille des capteurs dépend d une source limitée d énergie et ceux-ci peuvent, suite à l épuisement de leur pile ou à d autres paramètres dus à l environnement extérieur, se "déconnecter" du réseau. D un autre côté, la réinjection d énergie dans le système (par exemple par l emploi de batteries rechargeables via des panneaux solaires) peut engendrer une réactivation de capteurs inactifs. Ces deux facteurs entraînent des fluctuations permanentes de la taille et de la topologie du système. De plus, le fait de construire des capteurs de manière massive peut engendrer une mauvaise initialisation des variables manipulées par l algorithme exécuté localement par chaque capteur, ou encore la corruption du code embarqué. Il est évident que les hypothèses classiques selon lesquelles " le nombre de défaillances est borné " ou bien " la mauvaise initialisation des variables est improbable " deviennent caduques dans un tel contexte. Résistance aux défaillances Du fait de la possibilité d une mauvaise initialisation des variables ou du code dans les systèmes à grande échelle, il est nécessaire de garantir que les noeuds actifs parviennent à accomplir leur tâche malgré tout. L auto-stabilisation [D00] (self-stabilization) est une technique qui permet de garantir qu en partant de n importe quel état initial, le système retrouve un comportement correct en un temps fini. Cette notion a été récemment étendue aux corruptions du code d un noeud particulier [FG05]. Une autre extension a été proposée dans [HPT02], où les algorithmes auto-stabilisants sont également sans attente (wait free), c est-à-dire que les noeuds retrouvent un comportement correct en dépit de l état et de la vitesse des autres noeuds du système. Enfin, la super-stabilisation [DH97] permet l auto-stabilisation dans un système où des changements limités de topologie peuvent survenir. Tout le problème consiste à déterminer dans quelle mesure ces approches séduisantes sont en mesure de passer à l échelle. De plus, ces modèles devront être complétés par une spécification formelle de l adversaire et de sa puissance dans un système à grande échelle. L adversaire peut être vu comme un joueur malveillant dont le but principal est d empêcher le bon fonctionnement du système. Dans le cadre de l auto-stabilisation, une 3

4 hiérarchie des adversaires a été proposée [Tix00, Gra00] pour les systèmes statiques. Cette hiérarchie doit être complétée pour les systèmes à grande échelle dynamiques. Résistance aux attaques Un autre problème lié au déploiement de masse en environnement potentiellement hostile est la corruption des dispositifs de capture ou de communication d un noeud particulier. Suite à ce phénomène un capteur peut avoir un comportement arbitraire et ne pas respecter sa spécification (un tel comportement est référencé dans la littérature comme Byzantin). Dans [ADFHL04], nous avons proposé un modèle de comportement Byzantin qui semble adapté aux réseaux de capteurs. Le modèle proposé considère qu un noeud peut avoir un comportement Byzantin de type intermittent ; sa vie utile consistant en une alternance de comportements Byzantin et de comportements corrects. Cette alternance est envisageable dans le contexte de réseaux de capteurs car elle peut être liée par exemple à la dynamicité des ressources énergétiques d un noeud. Un comportement Byzantin peut être rendu possible par exemple quand le niveau d énergie a atteint un seuil minimal et peut s arrêter dès que le noeud bénéficie d une réinjection énergétique. De plus, durant la vie d un capteur, son code et ses données peuvent être corrompues. Or, le modèle proposé dans [ADFHL04] ne couvre pas ces fautes et la littérature propose un nombre très restreint d algorithmes tolérant à la fois les fautes Byzantines et les fautes transitoires [DW93, DDP03]. En outre, ces algorithmes sont proposés dans un contexte statique où la taille et la topologie du réseau sont connues a priori. Un autre aspect, plus lié à la sécurité (pour des applications militaires principalement), consiste à étudier de manière quantitative la résistance aux comportements Byzantins. Par exemple, comment limiter l impact de la capture, de l analyse du code de l algorithme, de la modification de l un des noeuds du système. Le passage à l échelle implique nécessairement que de tels types d attaques sont rendus plus faciles. 2.2 Services à sémantique forte dans les réseaux de capteurs Une caractéristique importante et commune aux grands réseaux actuels (réels ou virtuels) est leur capacité à s auto-organiser (voir par exemple le mécanisme des tables de hashage distribuées dans les systèmes de partage de fichier Pair-à-Pair). Avec l augmentation du nombre de participants, il devient illusoire de compter sur une intervention humaine pour organiser ou administrer le système. Si l auto-organisation permet le passage à l échelle, le type de services actuellement proposés semble réducteur vis-à-vis du potentiel des grands réseaux ; en particulier il ne permet pas la conception de services à sémantique forte, par exemple les transactions distribuées. Dans [AFGR04] nous avons proposé une méthodologie permettant la conception des applications à sémantique forte dédiées aux grands réseaux. Plus précisément, cette méthodologie s appuie sur la combinaison et l orchestration de services issus de l algorithmique distribuée classique et nous permet de concevoir des services formellement prouvés, génériques et offrant des propriétés fortes. Cependant, cette architecture a été définie pour des systèmes utilisant Internet comme medium de communication ce qui le rend pratiquement inutilisable dans un contexte de réseaux de capteurs. 3 Programme de travail détaillé Nous proposons de poser les bases d un intergiciel de services pour les réseaux de capteurs à grande échelle. Cet intergiciel doit en particulier permettre de tolérer les types de défaillances et d attaques spécifiques de ces réseaux, tout en permettant l auto-organisation, rendue nécessaire par la grande échelle. Bien entendu, le but n est pas de produire à l issue des deux années du 4

5 projet un produit fini (même s il s agit de notre objectif à long terme), mais plutôt de délimiter ce qui peut être fait (et ce qui ne peut pas l être) en termes de services pour les réseaux de capteurs. Le programme de travail peut être grossièrement découpé en deux parties principales : une partie fondamentale de modélisation et une partie de conception de services. 3.1 Modélisation Cette partie consiste essentiellement à modéliser la communication, les erreurs et les attaques dans un réseau de capteurs. Un deuxième objectif sera de définir des outils de preuves nécessaires à vérifier la correction des solutions proposées. Communications unidirectionnelles Les modèles rencontrés dans la litérature considèrent pour la plupart une communication de type bidirectionnelle. Toutefois, dans les réseaux de capteurs la communication entre deux capteurs voisins est essentiellement unidirectionnelle et ceci est principalement du au fait que les capteurs ne sont pas homogènes et que la consommation d énergie n est pas observée de la même manière sur des capteurs différents. Si dans la plupart des approches actuelles un réseau de capteurs est modélisé par un graphe de communication nonorienté, nous proposons de raffiner ce modèle vers une representation sous la forme d un graphe de communication orienté. Nous nous proposons donc de revisiter la faisabilité de certains services de base comme par exemple la construction de couvertures ou bien les problèmes d accord dans ce nouveau modèle plus réaliste. Pannes Nous nous intéressons aux différents types de pannes telles que décrites dans les sections précédentes. En particulier, nous nous proposons de répertorier d une façon aussi exhaustive que possible les différentes fautes et comportements malveillants. L étude se concrétisera dans la définition d une hiérarchie de fautes à l image de la hiérarchie connue pour les systèmes répartis classiques. De même, nous nous proposons d adapter les algorithmes classiques de construction de détecteurs de fautes aux réseaux de capteurs. Ainsi, nous envisageons d éliminer les hypothèses sur la connaissance globale du réseau ou bien sur des communications bidirectionnelles utilisées largement dans les systèmes répartis classiques. Outils de preuve Un deuxième aspect à traiter sont les techniques de preuve des algorithmes répartis pour les réseaux de capteurs. Du fait de la grande simplicité des noeuds (processeur limité, mémoire limitée, puissance énergétique limitée), les algorithmes actuellement conçus pour les réseaux de capteurs doivent rester extrêmement simples. En outre, la communication se fait habituellement (sur les capteurs les plus simples) selon un modèle probabiliste (de type CSMA/CA). Pour être en mesure de déterminer à l avance les performances d un service particulier, il importe d être capable de modéliser des algorithmes répartis probabilistes de manière suffisamment fine pour que des critères tels que les pannes ou les attaques qui surviennent puissent être modélisées. Les chaînes de Markov sont un outil essentiel dans l évaluation quantitative des performances et la fiabilité des systèmes informatiques et des réseaux de communication. Elles sont utilisées par exemple dans [CMLRST06] pour l évaluation d un protocole de compression d entêtes de paquets IP, dans [FS03] pour une évaluation du protocole TCP et dans [CFST05] pour l étude de la vitesse d autoconfiguration d un router IPv6. Enfin, elles sont utilisées dans [RS05] et [SGB05] pour l étude de politiques de service intervenant dans les files d attente. Récemment, plusieurs applications des chaînes de Markov ont été utilisées dans un contexte d auto-stabilisation [DFP01, 5

6 DHT04, FMP04], mais pour des systèmes dont la topologie est simple et statique (un anneau unidirectionnel). Notre objectif principal est d étendre l utilisation des techniques à base de chaînes de Markov à une classe plus générale d algorithmes répartis (en particulier dans le contexte des réseaux de capteurs). Ces extensions devraient constituer la base théorique pour l évaluation des services proposés quand ceux-ci utilisent des techniques probabilistes. En outre, et pour les cas ou une approche purement analytique serait impossible, nous comptons utiliser des outils de vérification approchée développés dans [DFHLMMPP05, HLMP04, CHLPT06]. Enfin, pour certains cas spécifiques où l organisation géographique des réseaux pourrait être modélisée simplement, les outils dérivés de la géométrie stochastique pourraient s avérer intéressants. Nous nous proposons d étudier l adaptabilité de certaines de ces techniques aux algorithmes distribués. 3.2 Conception de services fiables et sécurisés Auto-organisation Le principe de localité est fondamental dans les systèmes distribués [Peleg00]. S il est avéré en pratique dans le cas des systèmes Pair-à-Pair, nous proposons de l évaluer dans le contexte des réseaux de capteurs. Un premier objectif sera d identifier les critères selon lesquels les noeuds peuvent s auto-organiser, ainsi que la caractérisation des formes possibles d auto-organisation. L auto-organisation des capteurs a des retombées immédiates dans la mise en place efficace des structures virtuelles de communication ou bien dans la réalisation de certaines tâches (observation, formation de structures) lorsque un sous-ensemble de capteurs a la capacité de se déplacer librement dans la région de déploiement. Dans un réseau de capteurs, l un des principaux défis est de réaliser un ensemble de tâches tout en dépensant le moins possible d énergie. Par exemple, lorsque l ensemble des capteurs transmet simultanément de l information, on assiste à l apparition d interférences ou de collisions engendrant une perte significative de l information transmise, et donc de l énergie dépensée. De plus, ceci entraîne généralement la transmission d informations redondantes, ce qui a pour effet de consommer inutilement les ressources du réseau. Pour résoudre le problème, la mise en veille de certains capteurs peut s avérer nécessaire. Ceci conduit au problème de la couverture complète de la zone de déploiement, en dépit de capteurs parfois inactifs. Ainsi, la construction d une structure topologique virtuelle (overlay) connectée et tolérante aux fautes est la composante de base d un intergiciel dédié aux réseaux de capteurs. Cette construction doit être impérativement guidée par deux principes fondamentaux : le principe de localité et le principe de l auto-organisation. Un premier pas dans cette direction a été fait dans [FGS04,DGLR05], où nous proposons des algorithmes auto-stabilisants et tolérant la dynamicité des noeuds pour les problèmes de couverture connexe d une région. Un autre aspect est celui du routage, qui permet à des noeuds non directement connectés (ou à porté radio) de communiquer entre eux. Les mécanismes de routage utilisés dans les réseaux ad hoc sont plats (c est-à-dire que tous les noeuds ont le même niveau de responsabilité). Or, cette approche support mal le passage à l échelle, et donc n est pas une solution appropriée pour les réseaux de capteurs. Nous avons proposé des algorithmes de hiérarchisation (clusters) [HT04, MFGT05, MFGST06, TV05] qui présentent plusieurs caractéristiques pertinentes pour les réseaux de capteurs : ils sont auto-stabilisants (et permettent donc l auto-organisation du réseau), et pour certains d entre eux stabilisent de manière locale (c est-à-dire qu une perturbation dans une partie du réseau n a plus d effet au-delà d une certaine distance). Cependant, ils n ont été validés que de manière théorique pour l instant et plusieurs analyses complémentaires restent à faire. Une extension naturelle logique de ces travaux est de rendre les solutions déjà présentées tolérantes à d autres types de défaillances ou de dynamicité. De plus, nous nous intéressons éga- 6

7 lement à la généralisation de ces résultats dans le cas de réseaux où les communications ne sont pas nécessairement bidirectionnelles. Dans ce cas, l objectif principal est d obtenir des solutions auto-stabilisantes pouvant non seulement passer à l échelle, mais aussi tolérer des changements rapides et répétés de l environnement dans lequel il s exécute. Déterminer pour quels types de changements il est possible d établir une solution est une question ouverte. Tolérance aux pannes et aux attaques En algorithmique répartie tolérante aux pannes, une brique logicielle fondamentale est celle du consensus [Lynch96]. Avec un protocole de consensus, les différents sites d un système réparti peuvent se mettre d accord sur une valeur, a priori non connue à l avance, et pouvant donc être établie lors de l exécution du protocole. Une contrainte importante est que l ensemble des participants est supposé connu par l immense majorité des protocoles existants. Un résultat récent [CSS04] montre qu il est possible de résoudre le problème sans connaître tous les participants initialement, mais au prix de contraintes fortes sur le synchronisme du système. Ces contraintes ne pouvant être assurées dans les réseaux de capteurs, nous nous proposons d étudier d autres types de contraintes minimales adaptées aux réseaux de capteurs et permettant de résoudre le problème du consensus en présence de pannes. Enfin, pour la résistance aux attaques, le modèle le plus général reste le modèle du comportement Byzantin. Dans ce modèle, un participant dit Byzantin peut avoir un comportement arbitraire, et en particulier malicieux, afin d empècher le bon fonctionnement du réseau. Du fait des défaillances naturelles pouvant survenir dans ces réseaux, les solutions résistantes aux Byzantins doivent de surcroît présenter des caractéristiques de l auto-stabilisation. La notion d autostabilisation simultanée avec une tolérante non bornée aux Byzantins a été proposée récemment [NA02] et définit le rayon de confinement Byzantin comme la distance à partir de laquelle un comportement Byzantin n est plus perceptible. Nous avons développé pour certains problèmes locaux d allocation de ressources [MT05] une solution auto-stabilisante qui possède la propriété remarquable d être insensible aux Byzantins : le sous graphe des sites corrects n est perturbé qu un nombre borné (et petit) de fois par les sites Byzantins. Un résultat d impossibilité stipule que si la spécification du problème à résoudre n est pas locale, alors il ne peut exister d algorithme autostabilisant et tolérant un nombre arbitraire de Byzantins. Cet aspect induit plusieurs pistes de recherche que nous nous proposons d explorer : 1. caractériser finement le type de problème qui peut être résolu dans ce contexte et avec quelles guaranties ; 2. trouver d autres modèles de comportement malicieux qui soient moins absolus que le modèle Byzantin où les sites disposent de ressources illimitées (par exemple si un site Byzantin dépense lui aussi de l énergie pour perturber le système, un tel comportement pourrait ne pas se reproduire à l infini) ; 3. affaiblir la notion d auto-stabilisation (en agissant sur la portée ou la nature des fautes) pour lever le résultat d impossibilité et évaluer la faisabilité de solutions tolérant les Byzantins et une qualtité limitée de défaillances transitoires. Bibliographie [ADFHL04] Emmanuelle Anceaume, Carole Delporte-Gallet, Hugues Fauconnier, Michel Hurfin, Gérard Le Lann. Designing Modular Services in the Scattered Byzantine Failure Model. ISPDC/HeteroPar 2004 :

8 [AFGR04] E. Anceaume, R. Friedman, M. Gradinariu, M. Roy. An architecture for dynamic scalable self-managed persitent objets. DOA 04. Rapport de recherche no. 1610, 2004, IRISA, Université Rennes 1. [CHLPT06] Michaël Cadilhac, Thomas Hérault, Richard Lassaigne, Sylvain Peyronnet, and Sébastien Tixeuil. Evaluating complex mac protocols for sensor networks with APMC. In Proceedings of AVOCS 2006, Nancy, September [CSS04] David Cavin, Yoav Sasson, André Schiper, Consensus with unknown participants or fundamental self-organization, Third International Conference on Ad hoc Networks and Wireless (ADHOC-NOW 2004), Vancouver, July [CFST05] G. Chelius, E. Fleury, B. Sericola, L. Toutain. Convergence speed of a link-state protocol for IPv6 router autoconfiguration. Rapport de Recherche INRIA, No5701, September [CMLRST06] A. Couvreur, A. Minaburo, L.-M. Le Ny, G. Rubino, B. Sericola, L. Toutain. Performance Analysis of a Header Compression Protocol : The ROHC Unidirectional Mode. Telecommunication Systems, 31(1), [DDP03] Ariel Daliot, Danny Dolev, and Hanna Parnas. Self-Stabilizing Pulse Synchronization Inspired by Biological Pacemaker Networks. SSS 2003 [DW93] Shlomi Dolev and Jennifer L. Welch Wait-Free Clock Synchronization, PODC 93 [DH97] Shlomi Dolev and Ted Herman. Superstabilizing Protocols for Dynamic Distributed Systems. Chicago J. Theor. Comput. Sci : (1997) [DGLR05] A.K. Datta, M. Gradinariu, P. Linga, P. Raipin-Parvédy Self* query region covering in sensor networks. SRDS 05. Rapport de recherche 1607, 2004, IRISA, Université Rennes 1. [DHT04] Philippe Duchon, Nicolas Hanusse, and Sébastien Tixeuil. Optimal randomized selfstabilizing mutual exclusion in synchronous rings. In Proceedings of the 18th Symposium on Distributed Computing (DISC 2004), number 3274 in Lecture Notes in Computer Science, pages , Amsterdam, The Nederlands, October Springer Verlag. [DFHLMMPP05] Marie Duflot, Laurent Fribourg, Thomas Hérault, Richard Lassaigne, Frédéric Magniette, Stéphane Messika, Sylvain Peyronnet, and Claudine Picaronny. Probabilistic model checking of the CSMA/CD protocol using PRISM and APCM. In Michael R. A. Huth, editor, Proceedings of the 4th International Workshop on Automated Verification of Critical Systems (AVoCS 04), volume 128 of Electronic Notes in Theoretical Computer Science, pages , London, UK, May Elsevier Science Publishers. [FGS04] R. Friedman, M. Gradinariu, G. Simon. Locating cache proxies in MANETs. MOBI- HOC 04, pages Rapport de recherche no. 1585, IRISA, Université Rennes1. [FMP04] Laurent Fribourg, Stéphane Messika, Claudine Picaronny : Coupling and Self-stabilization. DISC 2004 : [FS03] S. Fortin, B. Sericola. Study of the Parametrization of TCP flows : a Markovian Modeling. 11th International Conference on Telecommunication Systems, Modeling and Analysis (ICTS), Monterey, California, USA, October [Gra00] Maria Gradinariu. Modélisation, vérification et raffinement des algorithmes auto-stabilisants. Thèse LRI, Université Paris Sud, décembre [HLMP04] Thomas Herault, Richard Lassaigne, Frederic Magniette, and Sylvain Peyronnet. APMC : Approximate probabilistic model checker. In Proceedings of the 5th Verification Model Checking and Abstract Interpretation (VMCAI 04) conference, page electronic, Venice, Italy, January

9 [HPT02] Jaap-Henk Hoepman and Marina Papatriantafilou and Philippas Tsigas. Self-Stabilization of Wait-Free Shared Memory Objects. Journal of Parallel and Distributed Computing. Volume 62(5). May [HT04] Ted Herman and Sébastien Tixeuil. A distributed tdma slot assignment algorithm for wireless sensor networks. In Proceedings of the First Workshop on Algorithmic Aspects of Wireless Sensor Networks (AlgoSensors 2004), number 3121 in Lecture Notes in Computer Science, pages 45-58, Turku, Finland, July Springer-Verlag. [Lynch96] N. Lynch. Distributed Algorithms. Morgan Kaufmann [MT05] Toshimitsu Masuzawa and Sébastien Tixeuil. A self-stabilizing link coloring algorithm resilient to unbounded Byzantine faults in arbitrary networks. In Proceedings of OPODIS 2005, Lecture Notes in Computer Science, Pisa, Italy, December Springer-Verlag. [MFGST06] Nathalie Mitton, Eric Fleury, Isabelle Guérin-Lassous, Bruno Séricola, and Sébastien Tixeuil. On fast randomized colorings in sensor networks. IEEE ICPADS Minneapolis, USA. July [MFGT05] Nathalie Mitton, Eric Fleury, Isabelle Guérin-Lassous, and Sébastien Tixeuil. Selfstabilization in self-organized wireless multihop networks. In Proceedings of the 25th IEEE International Conference on Distributed Computing Systems Workshops (WWAN 05), pages , Columbus, Ohio, USA, June IEEE Press. [RS05] L. Rabehasaina, B. Sericola. Transient Analysis of Averaged Queue Length in Markovian Queues. Communications in Statistics - Stochastic Models, 21(2-3), [SGB05] B. Sericola, F. Guillemin, J. Boyer. Sojourn times in the M/PH/1 processor sharing queue. Queueing Systems - Theory and Application, 50(1), [Tix00] Sébastien Tixeuil Auto-stabilisation Efficace. Thèse LRI, Université Paris Sud, janvier [Tix06] Sébastien Tixeuil. Réseaux mobiles ad hoc et réseaux de capteurs sans fils, chapter Algorithmique répartie tolérante aux pannes dans les systèmes à grande échelle, pages Information, Commande, Communication. Lavoisier, March [TV05] Fabrice Theoleyre, Fabrice Valois. About Self-Stabilization of a Virtual Topology for Self- Organization in Ad Hoc Networks, SSS 05,