Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1
Mobilitá Verticale IP 1 NAT1 NAT2 LAN1 / Wifi LAN2 / 3G Internet R1 IF1 IF2 R2 Correspondent Host (CH)
2 NAT1 NAT2 Internet R1 R2 IF1 IF2 LAN1 LAN2 Anchor Node (AN) Correspondent Host (CH) UPMT IF Virtuale
Security 3 Internet
Transport Layer Security (TLS) SSL (Secure Socket Layer) La autenticazione TLS si basa nella verifica dei certificati di formato X509. Bisogna una chiave privata e un certificato signato per una autorità di certificazione. Mutua autenticazione. 4
TLS: Creating Custom Certification Obbietivo: Includure un campo con l’indirzzo SIP che identifiche il MH nell’architettura UPMT. OpenSSL é un suite opensource che permette generazione di chiavi e certificati X509. Requisito libreria Mjsip (implementazione SIP Java): Certificati RSA PKCS#8 Per definire un’estensione propietaria: – Private Enterprise Name per creare una extensione propia: – Alias: =ASN1:IA5STRING:belen_ibanez
Internet Protocol Security (IPSec) 6 La autenticazione assicura la provenienza e integrità del messaggio mentre la cifratura assicura la confidenzialità.
UPMT-Security Obiettivi: – Proteggere la segnalazione di mobility management e i dati trasmessi nel tunnel. – Fare in modo che la sicurezza sia compatibile con la mobilità: in pratica il problema è di non instaurare / rinegoziare la sicurezza ogni volta che si cambia la rete di accesso, perchè questo porterebbe a dei ritardi non accettabili e all’interruzione del servizio. 7
UPMT Implementation 8
S-UPMT Implementation 9
9
9
9
9
9
10
S-UPMT Implementation 10
S-UPMT Implementation 11
S-UPMT Implementation 12
IPSec: Exchange and Extension of Secret Normalmente il protocollo IKE si incarica del scambio di chiavi, ma noi abbiamo preferito farlo scambiando le chiavi con un nostro protocollo. Nel nostro protocollo Il Client genera e invia al server una stringa binaria random di 64bits, tutte due estendono il MKS con l’algoritmo di hashing MD5 per ricavare le due chiavi di cifratura e HMAC. 13
S-UPMT Implementation 14
Conclusioni Abbiamo realizzato l’integrazione S-UPMT – TLS-TLS: protezione per segnalazione – TLS-IPSec: protezione per segnalazione e i dati Protezione da: – Men-in-the-Middle attack – Denial-of-Service attack – Replay attack – Spoofing Open Source – 16
Sviluppi Futuri Proseguire nella valutazione delle prestazioni Adattamento della soluzione S-UPMT alla piattaforma Android basata su sistema operativo Linux. Creare una autorità di certificazione (CA). Modificare IPSec per lavorare in Transport mode quando Ia conessione MH-MH e MH-FH sia implementata. 17
Grazie per l’attenzione