Abstract: |
The classical networks for broadcast, telephony and data are converging to services on the Next Generation Networks (NGN), which are introduced by all major Service Providers (SP). Major requirements on the future IP network are security and mobility, which are reflection of the Internet’s importance and wide use of portable smart devices. Secure IP mobility is the focus of this thesis, i.e. how the user can move through different access networks whilst maintaining uninterrupted and secure IP communication. In particular, the remote access (corporate access) is the prime task, thus remote clients connect to central gateway, where corporate IP address or LAN segments are assigned. The corporate access requires naturally high level of security to protect against competitors. The security must cover the application data and mobile protocol signalling. This thesis targets an implementable solution for IPv4 and IPv6. It must integrate in the existing Service Provider infrastructure, like tunnelling devices (BRAS), AAA, Load Sharing, High Availability, Firewalls, PKI, monitoring, and administration etc. The existing approaches, like for example: Mobile IP with IPSec, MOBIKE, Proxy Mobile IP, are presented and analysed at first stage. The existing solutions fall short in many areas like: not considering NAT devices, not compatible to multi-homed hosts, without session tracking protection, problems with anti-spoofing rules performed by Internet Providers etc. A major deficit of all existing solutions is that the network parameters are updated at constant intervals. Neither the frequency of the host movements nor the network properties are considered by the update. This leads to underperformance regarding to the network load and convergence time due to disconnection. In this thesis, a new protocol family is developed, called Mobile VPN (M-VPN). The M-VPN consists of three sub protocols: Mobile Key Exchange (M-KE), Mobile Secure Encapsulation (M-SE), Mobile Location Update (M-LU). There are two major parts in this work: (1) engineering development of M-SE and M-KE for mobile IP security, and (2) mathematical algorithms (M-LU) for optimisation of the updates in mobile networks. Both parts build a complete view of the remote corporate access in mobile environments. The M-KE and M-SE have novel characteristics like mobility during the session negotiation through polling and caching, protection against location tracking through pseudo random header values and overlay dynamic topologies through network resources discovery. The principal idea in M-LU is to make the update interval proportional to the probability of disconnection. The updates are frequent in the timeframe with a high probability of disconnection and vice versa. The probability density function is built using the history of past changes in the parameters. The classical estimation methods cannot be used in a straightforward way in M-LU, since they require numerical values as result from a measurement. Unfortunately, the update procedure delivers only Boolean values and namely if the IP/UDP parameters have changed. The developed M-LU protocol creates three novel frameworks representing comprehensive and primitive solutions of the problem, thus stochastic, subjective and analytical. They are based on (1) sequential Monte Carlo in Particle filter, (2) Adaptive Fuzzy controller and (3) extended Kalman filter. A proof of concept on Mobile Location Update protocol is achieved through simulation on Matlab 7.0. The results show clear outperformance of new methods against the constant interval. The novel framework can also be implemented in various protocols like IPSec, SIP or Mobile IP etc. |
Alternative Abstract: |
Alternative Abstract | Language |
---|
Sichere Mobilität in IP Netze ist das Hauptthema dieser Dissertationsarbeit und zwar wie ein Benutzer eine sichere Kommunikation während seiner IP Adresse sich ändert betreiben kann? Der Fokus liegt auf mobilen Firmennetzzugriff (Remote access), da er naturgemäß eine höhere Anforderung an der Sicherheit verlangt. Diese Dissertation beschäftigt sich mit anwendbaren Lösungen für IPv4 und IPv6. Eine anwendbare Lösung muss sich in der existierenden Infrastrukturen und Methoden bei den Service Providern, wie Tunneling Geräte (BRAS), AAA, Firewalls, Lastverteilung, Verfügbarkeit, Management, usw, integrieren. Die Lösungsansätze, wie zum Beispiel Mobile IP mit IPSec, MOBIKE, Proxy Mobile IP, sind zuerst in der Arbeit analysiert. Diese haben Defizite in mehreren Bereichen, wie zum Beispiel: nicht kompatibel zu NAT und Multi-Homed Hosts, keinen Schutz gegen das Verfolgen der Aufenthaltsorte. Zentraler Defizit ist, dass alle Lösungen die Netzparameter in konstanten Intervallen aktualisieren. Weder der Bewegung des mobilen Hosts noch die Netzparameter sind dabei berücksichtigt. Das führt zu regelmäßigen Verbindungsabbrüchen und/oder Netzüberlastung durch nutzlose Paketen. In dieser Arbeit wird eine neue Protokollsammlung, genannt Mobile VPN (M-VPN), entwickelt. Das M-VPN teilt sich in drei Unterprotokolle auf: Mobile Key Exchange (M-KE), Mobile Secure Encapsulation (M-SE) und Mobile Location Update (M-LU). Die Dissertation hat zwei Hauptziele: (1) eine Ingenieuraufgabe zur Protokollentwicklung für mobile IP Sicherheit und zwar M-SE und M-KE. (2) Die zweite Aufgabe (M-LU) ist die mathematische Optimierung von Netzparameteraktualisierung für reduzierten Netzlast und Verbindungsabbruche. Beide Teile beschreiben alle Aspekten des Firmennetzzugriffs in einer mobilen Umgebung. Die M-KE und M-SE führen neue Methoden in die mobilen Sicherheit ein und zwar: Durch Polling und Caching wird IP Änderung während einer Sitzungsaushandlung ermöglicht. Pseudozufallswerte im Header sorgen für einen Schutz gegen das Verfolgen der Aufenthaltsorte. Der Aufbau von dynamischen Netztopologien wird durch das Annoncieren von weiteren Mobilen Servern ermöglicht. Die grundlegende Idee im M-LU besteht darin, die Aktualisierungsfrequenz proportional zu der Wahrscheinlichkeit des Verbindungsabbruchs einzustellen. Wenn es eine höhere Wahrscheinlichkeit für IP Änderung gibt, werden die Netzparameter öfter aktualisiert und vice versa. Die Wahrscheinlichkeitsdichtefunktion wird anhand der Verbindungsabbrüche in der Vergangenheit konstruiert. Die klassischen Methoden der Signaltheorie können nicht direkt in M-LU verwendet werden, da diese Zahlenwerte einer Messung verlangen. Im Gegensatz liefert die Prozedur für die IP/Port Aktualisierung ein einfaches Booleschen Ergebnis und zwar, ob sich die Netzparameter geändert haben. Die Booleschen Werte können nicht in den klassischen Algorithmen eingesetzt werden. Der Zeitpunkt der Änderung liegt in dem Intervall zwischen zwei Aktualisierungen. Drei mathematische Algorithmen werden für M-LU entwickelt. Diese decken die grundlegenden Ansätze für eine Lösung und zwar stochastischer, subjektiver und analytischer Ansatz. Diese basieren auf: (1) Sequentielles Monte Carlo mit Particle Filter, (2) Adaptive Fuzzy Kontroller, (3) erweiterten Kalman Filter. Das M-LU Protokoll wurde mit Matlab 7.0 simuliert, um die Qualität der Methoden zu prüfen. Das neue Verfahren hat eine deutlich bessere Effektivität und Genauigkeit verglichen mit den konstanten Intervallen. Die hier entwickelten Verfahren können in einer Reihe von weiteren Protokollen, wie zum Beispiel SIP, IPSec oder Mobile IP, implementiert werden. | German |
|