computer network nomadicity

7/23/2019 Computer Network Nomadicity

http://slidepdf.com/reader/full/computer-network-nomadicity 1/62

Мобилни IP Мрежи

Номадност




Вовед

АА

AA во LTE

AA во WiFi мрежи

Федеративни ентитетиФедеративен пристап кај LTE

Федеративен пристап кај WiFi

ЕDUROAM

Приватност и безбедност

DynDNS

Заклучок

Агенда




Пристап од секаде (ubiquitous access)

Користење на мрежите и услугите кои не секонтролирани од оператор на кој корисникот епретплатен

Номадски (роаминг) пристап

Не се користи мрежната поврзаност на перманентнабаза, туку опортунистички

Не се претпоставува непрекинатост на сесија на

транспортно ниво

Потребно е да се контролира пристапот до локалнатамрежа и Интернетот на скалабилен и ефикасен начин

Потребно се ААА механизми за тоа на кого и што му едозволено

Вовед




Вовед

АА

AA во LTE




ЕDUROAM


DynDNS

Заклучок

Агенда




Централен концепт – Дигитален идентитет

(дигитална репрезентација на корисник илиуред)

Асоциран со инкатен идентификатор (број или

име)Автентификација – линк помеѓудигиталниот идентитет и уредот (иликорисникот)

Потоа следи авторизација – до кои ресурсиможе да пристапи идентитетот

Автентификација и авторизација




Операторите имаат милиони претплатници

Механизми за provisioning, deprovisioning,

billing, authentication

Користат ААА сервериПроблеми со интероперабилност

Идентификатор за LTE != Идентификатор за WiFi

Авторизација


http://slidepdf.com/reader/full/computer-network-nomadicity 7/62Мобилни IP Мрежи

Вовед

АА

AA во LTE




ЕDUROAM

Приватност и безбедностDynDNS

Заклучок

Агенда



LTE е технологија на идните мрежи

LTE има најдобро развиен систем за роаминг

со други мобилни и не-мобилни мрежни

технологии

LTE = пристапна радио мрежа + фиксната

мрежа на операторот (Evolved Packet Core)

AA во LTE мрежа



eNodeB – AP каде се врзуваат корисниците

со пакетното јадро (EPC)

Mobile Management Entity (MME) –

централна компонента во EPC

Одговорна за автентикација – комуницира со

HSS

Доделува привремени идентификатори на UE,

авторизација за роаминг

LTE архитектура



Serving Gateway (Serving GW) – упатува пакети од икон други 3GPP мрежи (GPRS, UMTS)

Транзиент мобилно сидро за UE во тие мрежи.Packet Data Network Gateway (PDN GW) овозможуваупатување од и кон други не-3GPP Мрежи (WiFi,WiMAX)

Обезбедува перманентна мобилност со тие мрежи –

претставува IP point of attachmentHome Subscribe Server (HSS) – содржи база со ситеподатоци за корисниците и се користи за AA како ида ја обезбеди локацијата на корисникот

LTE архитектура



3GPP Идентификатор за:

Корисник (IMSI)Корисничка претплата (MSISDN)

Уред (IMEI)

International Mobile Subscriber Identity (IMSI)

15 цифри (или помалку): код за државата, код заоператорот и MSIN (Mobile Subscription IdentificationNumber)

Се чува во SIM картичката и се користи како

индексен клуч за претплатничките податоци во HSSСе испраќа што е можно помалку низ мрежата

По успешна автектикацијата, се користи привременTMSI генериран од MME

Идентификатори во LTE Мрежа



Mobile Subscriber ISDN number (MSISDN) –

мобилниот број кој соодветстува со SIM

картичката во мобилниот уред

Кодот на државата, мрежниот оператор и

претплатникот

International Mobile Equipment Identity (IMEI)

– го идентификува мобилниот уред

Идентификатори во LTE Мрежа



IMSI:41004123456789

MCC 410 Pakistan

MNC 04 Zong CMPAK

MSIN 123456789

Пример

CC 73

NDC 074

SN 06945 Subscriber's number

MSISDN: 7307406945

https://en.wikipedia.org/wiki/Pakistan

https://en.wikipedia.org/wiki/Zong_Pakistan

https://en.wikipedia.org/w/index.php?title=Subscriber%27s_number&action=edit&redlink=1

https://en.wikipedia.org/w/index.php?title=Subscriber%27s_number&action=edit&redlink=1

https://en.wikipedia.org/wiki/Zong_Pakistan

https://en.wikipedia.org/wiki/Pakistan



Автентикација во 4G или 3G мрежи

Challenge-response механизам

Базиран на shared key во SIM и во Authentication

Center (AuC) во HSS

Shared кеy е влез во алгоритмите и се користи за

• пресметка на Integrity Key (IK) и Confidentiality Key (CK)

за заштита на податоците

• Интегритет?• Доверливост?

• Пресметка на одговорот на предизвикот испратен во

AKA

Authentication and Key Agreement (AKA) protocol



Authentication and Key Agreement (AKA) protocol

Shared Key Ki Shared Key Ki



Вовед

ААAA во LTE




ЕDUROAM


Заклучок

Агенда




2 тип на автентикација

Captive Portals

• Пристап само до WLAN

• Корисничкиот идентификатор е во форма на корисничкоиме во база.

802.1X и EAP802.1X стандардот дефинира рамка за контролана пристап во LAN

Врши енкапсулација на Extensible Authentication

Protocol (EAP) пораки

Безжичните безбедносни стандарди како WPA (WiFiProtected Access) и WPA2 користат 802.1X и EAP

AA во WiFi Мрежи




802.1X Автентикација

Network Access Identifier (NAI)

EAP




Корисничкиот идентификатор има форма на

NAI (Network Access Identifier) во форма на

username@realm

Корисничките информации се пренесуваат

до Автентикацискиот сервер со користење

на EAP (препраќање на енкапсулирани

податоци)

EAP подржува username/password, X.509сертификати

802.1X Автентикација




EAP Архитектура




Двете страни треба да имаат сертификат што претставува проблем за

мрежи со 1000 клиенти.




Треба да се генерира сертификат на радиус

серверотПотребно е CA да го потпише сертификатот

Импортирање на потпишаниот сертификат наRADIUS серверот

Дали клиентот му верува на CA потписот?

Се генерира сертификат на клиентот

CA го потпишува сертификатот

Се инсталира сертификатот на клиентотДали RADIUS серверот му верува на CAпотписот?

EAP TLS To Do List

d l




Треба да се генерира сертификат на радиус

серверот

Потребно е CA да го потпише сертификатот

Импортирање на потпишаниот сертификат

на RADIUS серверотДали клиентот му верува на CA потписот?

Се конфигурира корисничко име и лозинка

на клиентотСе конфигурира истото корисничко име илозинка на RADIUS

PEAP todo list




Во претходните сценарија немаше IP

поврзаност -> потребни се специјалнипротоколи како 802.1X

По IP поврзаност само „небото е лимит“

Протоколи: Kerberos, NT LAN Manager (NTLM),HTTP basic authentication

Автентикациски методи: username/password,one-time passwords, smartcard authentication,

etc.За Веб базирани апликации:username/password преку SSL конекција

АА за Интернет апликации

А




Вовед

ААAA во LTE




ЕDUROAM


Заклучок

Агенда

Ф




Корисен при промена на држава, или

поврзување на WiFi во некој локалИдентитетот од еден оператор се користи запристап до мрежата и апликациите водени оддруги оператори

Се воспоставува роаминг или федеративендоговор

Под кој услови гостинската мрежа прифаќа декакорисникот има валиден пристап

Како се разменуваат автентикациските податоци иaccounting податоците

Кој е финансискиот план за гостинските посетители

Федеративен идентитет

Ф





Ф




За препраќање на барањата до друг RADIUS

сервер за автентификација се користи RADIUSпротоколот

Relying Party ги препраќа барањата до IdentityProvider

Identity Provider го враќа резултатот назад до RP

Се врши комбинација на RADIUS со EAP и со тоа сеобезбедува доверливост на корисничкитеинформации

За пристап до Web базирани апликации секористат протоколи: Security Assertion MarkupLanguage (SAML), OpenID, OAuth


Ф




Кога корисникот прави роаминг помеѓу

мрежи од иста технологија (LTE to LTE) –

хоризонтален роаминг

Кога корисникот прави роаминг помеѓу

мрежи од различна технологија (LTE to WiFi)

– вертикален роаминг


А




Вовед

ААAA во LTE




ЕDUROAM


Заклучок

Агенда

Ф ј LTE




3GPP пристап – хоризонтален роаминг

Не-3GPP пристап – вертикален роаминг

Федеративен пристап кај LTE

3GPP




Пристап до LTE Мрежа на друг оператор или

UMTS или GPRS мрежа

АКА автентификација

Се базира на IMSI

MME го прашува домашниот HSS за да го

верификува корисникот

Домашниот HSS мора да провери дали

договорот дозволува роаминг

3GPP пристап

Н 3GPP




Пристап до WiFi, WiMAX

Не се користат истите автентикациски методиЕлементите не знаат да се справат со AKA автентикација

Наместо да се користи мрежен елемент воавтентикацискиот проток со домашната мрежа, се

користи EAPEAP обезбедува апстракција на автентикацијата сокористење на АКА.

EAP-AKA и EAP-AKA’

EAP идентитетот го содржи IMSI или некој псевдо-идентификатор кој бил воспоставен во претходнаавтентификација

• Се лоцира автентикацискиот сервер за корисникот

Не-3GPP пристап

EAP AKA




EAP-AKA

А




Вовед

ААAA во LTE




ЕDUROAM


Заклучок

Агенда





Покриеност од 30 до 50 метри.

Множество од hotspots со кое се покрива

кампус или цел град

Hotspots операторите мора да соработуваат

Предизвик -> скалабилност


Роаминг со други WiFi мрежи




Постојат три модели кои ја адресираат

скалабилностаМимикрија на мобилните мрежи: AT&T, T-Mobile

Трета страна која има улога на брокер

• Корисникот мора да има договор со брокерот

• Корисникот се автентицира и плаќа на брокерот

• Брокерот плаќа на операторот

• Boingo и Ipass

Различни оператори се договораат за роаминг

условите и методите за верификација накорисниците

• EDUROAM

Роаминг со други WiFi мрежи

RADIUS




Функција: Доминантен протокол за транспорт на

корисничките податоци до домашната мрежа ивраќање на одговорот во гостинската мрежа

Captive portal – најкористен метод за најава нагостинска WiFi мрежа

Потребен е само Веб прегледник на корисничкиот уредWiFi линкот е незаштитен

• MAC Spoofing за пренесување на автентицирана корисничкаконекција

• Секој RADIUS сервер може да ги види корисничките податоци

Затоа се користи комбинација од 802.1X, EAP и RADIUS

RADIUS

802 11u




Во градска средина, корисникот гледа и по

30-40 мрежи, незнаејќи која од мрежите има

договор (и каков) со неговиот оператор

802.11u стандардот има за задача:

Hotspots да прават broadcast на информацијата

за роаминг конзорциумот во кој припаѓаат

Условите под кои може да се користат

802.11u

Агенда




Вовед

ААAA во LTE


Федеративни ентитети



ЕDUROAM


Заклучок

Агенда

Пример за WiFi роаминг: EDUROAM




Услуга за едукативни установи

Повеќе од 500 универзитите во повеќе од 50 земји со над 10 милионикорисници

Почетоци: 2003 во Холандија

Пример за WiFi роаминг: EDUROAM

EDUROAM архитектура




RADIUS хиерархија

Множество на институционални

(редундантност), национални и континентални

RADIUS сервери

Институционалните се поврзани сонационалните

Национални се поврзани со top-level серверите

за нивниот континент

Континенталните се поврзани меѓу себе

(Европа, Америка и Азија-Пацифик)






За безбеден пристап преку WiFi мрежа се

користи 802.1XEAP се користи за заштита на корисничкитеинформации

EAP идентитетите се во форма наanonymous@domain-name-of-institution

Корисничките барања за автентикација сепрепраќаат преку RADIUS хиерархијата

Се базира споре името на доменот наинституцијата во која припаѓа корисникот


EDUROAM автентикација




EDUROAM автентикација

Федеративен пристап за апликации (SAML)




Security AssertionMarkup Language – XML

базиран јазик за преносна авторизација помеѓупровајдерот наидентитет и RelyingParty (провајдер насервис)

Еднаш се логирате на

вашиот провајдер наидентитет (пр.Факултет) ->последователенпристап до други Webапликации (пр. вооблакот)

ACS -AssertionConsumerService URL

Федеративен пристап за апликации (SAML)

Информации за локација и свесност за контекст




Мобилен Интернет -> мобилни корисници

Локација -> локациски базирани услуги

(најблиска пицерија, навигатор, итн...)

GPS

Познавање на мрежата, корисничкиот уред,

апликациите и локацијата -> Подобрено

корисничко искуство

Информации за локација и свесност за контекст

Локациска информација кај LTE и WiFi




LTE: GPS, A-GPS приемник

WiFi:

Локацијата на AP не е секогаш позната и може

да се менува

• Потешко е одредување на локацијата

Точност од 50m

• Се користи триангулација за зголемување на точноста

Пример: Cisco Wireless Position Appliance• Се следат корисниците и сопственостите на една

компанија

Локациска информација кај LTE и WiFi

Агенда




Вовед

ААAA во LTE





ЕDUROAM


Заклучок

Агенда





Personal Identity Information (PII) – улица, IP адреса,

име, презиме, податоци за најаваРегулативи за приватност: колкав дел од PII може дабиде разменет

Корисникот мора да биде соодветно автентициран

кога се најавува на друга мрежаСпоред закон операторите мора да можат да гиследат обвинетите (нивните трансакции и разговори)

Операторите смеат да го пренасочат и мониторираат

сообраќајот (LI)Lawful Intercept (LI) – проблеми со роаминг,оптимизација на патеки, traffic offload






Корисен концепт во федеративниот пристап

е псевдонимИдентитет уникатен за одреден корисник и заодредена пристапна мрежа

Се поврзува со корисникот само во домашнатамрежа на операторот

Сензитивните информации за корисникот не сепренесуваат низ сите мрежи, туку секонцетрирани во IdP

Податочниот и контролниот сообраќајпомеѓу различните елементи е заштитен


Приватност и безбедност кај LTE




Кај LTE постои комплексен систем за

генерирање на криптографски клучевиСите клучеви во гостинската мрежа сегенерираат од „master“ клуч, валиден само затаа мрежа

Доколку се случи безбедносен упад вогостинската мрежа, тоа нема да има ефект водомашната мрежа и интегритетот накорисничките податоци

IPsec за заштита на податоцитеВо иницијалната АКА автентикација се користиIMSI, потоа се користи привремен ТMSI

Приватност и безбедност кај LTE

Приватност и безбедност кај WiFI




Captive portals

Корисниците ги даваат своите информации на

Веб страна која наликува на hotspot страна

Наместо да ги споделат само со домашната

мрежаЗа разлика од 802.1X сите корисници добиваат

IP пристап за локалниот LAN (врзан со hotspot)

уште пред автентикацијата

• Секој може да го прислушува безжичниот сообраќај

Приватност и безбедност кај WiFI

Приватност и безбедност кај WiFi




802.1X со EAP

Се користат псевдонимни идентификатори за

корисниците (како anonymous@homeprovider or

pseudonym12345@homeprovider)

Постои безбедносна асоцијаци ja помеѓумобилниот уред и AP

Приватност и безбедност кај WiFi

Приватност и безбедност кај SAML




Вградена корисничка приватност и доверливост

Корисниците се препраќаат до нивнот IdP заавтентификација

Корисникот не ги дели податоците со RP

Корисникот за секој RP користи уникатни

псевдонимиПриватност

Enterprise-centric модел

User-centric модел – не се користи IdP при секоја

трансакција• IdP не мора да знае за сервисите до кои пристапилкорисникот

• OpenID, OAuth и Infocard

Приватност и безбедност кај SAML

Агенда




Вовед

ААAA во LTE





ЕDUROAM


Заклучок

Агенда

DynDNS




Како да се најде мобилна опрема ако некој од

другата страна сака да воспостави конекцијаРешенијата бараат промена во стекот од протоколи

За да се најде одреден хост на Интернет се користиDNS

DNS се ажирира секогаш кога хостот ќе ја променисвојата IP адреса

DynDNS е сервер оптимизиран за чести промени вомапирачката функција

Сепак, кога промените се случуваат во реднавеличина од секунда, DynDNS не е практичен

DNSSEC – не се користи

DynDNS

Агенда




Вовед

ААAA во LTE





ЕDUROAM


Заклучок

Агенда

Заклучок



Номадски пристап – користење на Интернет

од било кое место, било кое време преку

скалабилни и безбедни методи за пристап

без да се обезбеди постојана сесија

Федеративните ентитети се користи запристап до повеќе мрежи и апликации

понудени од различни оператори

Заклучок

computer network nomadicity

Documents