Loading…
Signaling for secure and efficient QoS-aware mobility support in IP-based cellular networks
Chen, Tianwei
Im Laufe der letzten Jahre haben sich die Dienstleistungen der Mobilitätskommunikation von einem eingeschränkten Angebot mit begrenzter Mobilität hin zu einer ubiquitär verfügbaren Kommunikationsinfrastruktur entwickelt. Diese Dissertation adressiert eine zentrale Herausforderung dieser Entwicklung: die Frage wie in einer solchen Netzarchitektur Mobilität, Sicherheit und Dienstgüte (Qua-lity of Service, QoS) gemeinsam gewährleistet werden können. Während eines so genannten Handover müssen neben der grundlegenden Mobilitätssignalisierung auch Sicherheitsüberprüfungen (d.h. Authentisierung und Autorisierungsprüfung) und Maßnahmen zur Gewährleistung der vereinbarten Dienstqualität durchgeführt werden. Hierbei kann trotz der Komplexität der zu lösenden Aufgaben lediglich eine mini-male Wartezeit in Kauf genommen werden. Es ist jedoch dafür Sorge zu tragen, dass eine technische Lösung dieser Fragestellung zentrale Sicherheitsrisiken, wie zum Beispiel Sabotageangriffe (Denial of Service, DoS) angemessen berücksichtigt. Um diesen Anforderungen gerecht zu werden, wurde in der vorliegenden Dissertation ein Entwurf für eine sichere und leistungsfähige QoS-gerechte Mobilitätsunterstützung erarbeitet. Kernpunkte des Ansatzes sind 1.) die Anreicherung der vom Zugangsnetz ausgesendeten so genannten Advertisement-Nachrichten mit Dienst-güteinformationen; 2.) die Trennung der Authentisierung in zwei Teilschritte, eine vorläufige Glaubwürdigkeitsprüfung zur Reduzierung des DoS-Risikos und die eigentliche Überprüfung der Nutzeridentität; 3.) die Integration der Binding-Update-Signalisierung und der Dienstgütesignalisierung (d.h. QoS+BU); 4.) die Parallelisierung der QoS+BU-Prozedur und der Authentisierungs- und Autorisierungsprüfung, und 5.) die unmittelbare Fortsetzung der Kommunikationsverbindung nach erfolgter QoS+BU-Signalisierung. In der Arbeit wird die Reduktion des DoS-Risikos auf der Grundlage eines Kosten-basierten Ansatzes formal analysiert und nachgewiesen. Weiterhin wird die Leistungsfähigkeit des Zeichengabeprotokolls mittels Warteschlangen-theoretischer Berechnung-en untersucht. Die für diese Analyse benötigten Eingangswerte wurden durch Messungen an einem ebenfalls im Rahmen der Arbeit implementierten Prototyp gewonnen, mit dem gleichzeitig auch die praktische Umsetzbarkeit des Entwurfs erprobt und nachgewiesen wurde. Die Ergebnisse der Arbeit zeigen, dass der entwickelte Ansatz die Anforderungen an eine sichere und QoS-gerechte Handover-Zeichengabeprozedur erfüllt. Insbesondere zeigen die Ergebnisse die erhöhte Robustheit der Prozedur gegenüber Sabotageangriffen bei gleichzeitiger Einhaltung der Leistungsanforderungen. Mit der prototypischen Implementierung und experimentellen Überprüfung wurde darüber hinaus die Umsetzbar-keit des Ansatzes in die Praxis nachgewiesen.
In the last several years mobile communication services have evolved from constrained mobile devices and limited mobility to an almost ubiquitous communication infrastructure. The thesis addresses the main challenge of the development: in which network architecture IP mobility featuring security and Quality of Service (QoS) can be conjointly provisioned? During a handover procedure, the operations of security checks (i.e. authentication and authorization), proper QoS guarantee should also be performed in addition to basic mobility management signaling. Despite of the complexity, it is crucial that performing the operations should introduce minimal latency. Meanwhile, some security issues such as Denial of Service (DoS) attacks should be taken into account. To meet the requirements, a scheme for a secure and efficient QoS-aware mobility support is proposed. Main measures include 1.) enhancing advertisements with QoS information in order to enable a mobile user to select the best suited access router as the handover target; 2.) separating authentication into two steps - a preliminary check serves as the first authentication to reduce the risk of DoS and check authenticity; 3.) integrating the binding update signaling and the QoS signaling (i.e. QoS+BU); 4.) paralle-lizing the QoS+BU process and the process of authorization and authentication , and 5.) continuing immediately a mobile user's communication traffic after a successful QoS+BU process, and protecting the exchanged data with a temporary IPSec security association until the process of authentication and authorization is complete. A cost-based approach is used to analyze how the security design can reduce the risks of DoS attacks. Furthermore, queueing theory is used to evaluate the efficiency of the whole protocol, comparing the existing solutions. For the sake of providing parameters to the analysis, a prototype of the proposed scheme is implemented. Also experimental analysis is carried out to evaluate the proposal. The results of the thesis show the feasibility of the scheme in performing a handover procedure featuring QoS, security and mobility operations in an secure and efficient fashion. Especially, the results show its robustness against sabotage attacks with its compliance with the performance requirements. The prototypical implementation and experiments prove that the scheme is deployable in access networks in reality.
