254 Pages
English

Virtual private networks for mobile environments [Elektronische Ressource] : development of protocol for mobile security and algorithms for location update / von Vesselin Dimitrov Tzvetkov

-

Gain access to the library to view online
Learn more

Description

Virtual Private Networks for mobile environments. Development of protocol for mobile security and algorithms for location update. Vom Fachbereich Informatik der Technischen Universität Darmstadt genehmigte Dissertation zur Erreichung des akademischen Grades Doktor-Ingenieur (Dr.-Ing.) von Dipl.-Ing. Vesselin Dimitrov Tzvetkov geboren in Sofia, Bulgarien Referenten: Prof. Dr. Johannes Buchmann Prof. Dr.-Ing. Ulrike Meyer Tag der Einreichung: 15. Dezember 2009 Tag der mündlichen Prüfung: 03. Februar 2010 Hochschulkennziffer: D 17 Darmstadt, Februar 2010 Dedicated to my family i Abstract The classical networks for broadcast, telephony and data are converging to services on the Next Generation Networks (NGN), which are introduced by all major Service Providers (SP). Major requirements on the future IP network are security and mobility, which are reflection of the Internet’s importance and wide use of portable smart devices. Secure IP mobility is the focus of this thesis, i.e. how the user can move through different access networks whilst maintaining uninterrupted and secure IP communication.

Subjects

Informations

Published by
Published 01 January 2010
Reads 28
Language English
Document size 2 MB





Virtual Private Networks for mobile environments.
Development of protocol for mobile security and
algorithms for location update.


Vom Fachbereich Informatik
der Technischen Universität Darmstadt
genehmigte

Dissertation

zur Erreichung des akademischen Grades
Doktor-Ingenieur (Dr.-Ing.)
von

Dipl.-Ing. Vesselin Dimitrov Tzvetkov

geboren in Sofia, Bulgarien



Referenten: Prof. Dr. Johannes Buchmann
Prof. Dr.-Ing. Ulrike Meyer

Tag der Einreichung: 15. Dezember 2009
Tag der mündlichen Prüfung: 03. Februar 2010
Hochschulkennziffer: D 17

Darmstadt, Februar 2010






























































Dedicated to my family




































































i
Abstract
The classical networks for broadcast, telephony and data are converging to services on
the Next Generation Networks (NGN), which are introduced by all major Service Providers
(SP). Major requirements on the future IP network are security and mobility, which are
reflection of the Internet’s importance and wide use of portable smart devices.
Secure IP mobility is the focus of this thesis, i.e. how the user can move through different
access networks whilst maintaining uninterrupted and secure IP communication. In particular,
the remote access (corporate access) is the prime task, thus remote clients connect to central
gateway, where corporate IP address or LAN segments are assigned. The corporate access
requires naturally high level of security to protect against competitors. The security must
cover the application data and mobile protocol signalling. This thesis targets an
implementable solution for IPv4 and IPv6. It must integrate in the existing Service Provider
infrastructure, like tunnelling devices (BRAS), AAA, Load Sharing, High Availability,
Firewalls, PKI, monitoring, and administration etc.
The existing approaches, like for example: Mobile IP with IPSec, MOBIKE, Proxy
Mobile IP, are presented and analysed at first stage. The existing solutions fall short in many
areas like: not considering NAT devices, not compatible to multi-homed hosts, without
session tracking protection, problems with anti-spoofing rules performed by Internet
Providers etc. A major deficit of all existing solutions is that the network parameters are
updated at constant intervals. Neither the frequency of the host movements nor the network
properties are considered by the update. This leads to underperformance regarding to the
network load and convergence time due to disconnection.
In this thesis, a new protocol family is developed, called Mobile VPN (M-VPN). The M-
VPN consists of three sub protocols: Mobile Key Exchange (M-KE), Mobile Secure
Encapsulation (M-SE), Mobile Location Update (M-LU).
There are two major parts in this work: (1) engineering development of M-SE and M-KE
for mobile IP security, and (2) mathematical algorithms (M-LU) for optimisation of the
updates in mobile networks. Both parts build a complete view of the remote corporate access
in mobile environments.
The M-KE and M-SE have novel characteristics like mobility during the session
negotiation through polling and caching, protection against location tracking through pseudo
random header values and overlay dynamic topologies through network resources discovery.
The principal idea in M-LU is to make the update interval proportional to the probability
of disconnection. The updates are frequent in the timeframe with a high probability of
disconnection and vice versa. The probability density function is built using the history of
past changes in the parameters. The classical estimation methods cannot be used in a
straightforward way in M-LU, since they require numerical values as result from a
measurement. Unfortunately, the update procedure delivers only Boolean values and namely
if the IP/UDP parameters have changed.
The developed M-LU protocol creates three novel frameworks representing
comprehensive and primitive solutions of the problem, thus stochastic, subjective and
analytical. They are based on (1) sequential Monte Carlo in Particle filter, (2) Adaptive Fuzzy
controller and (3) extended Kalman filter.
A proof of concept on Mobile Location Update protocol is achieved through simulation
on Matlab 7.0. The results show clear outperformance of new methods against the constant
interval. The novel framework can also be implemented in various protocols like IPSec, SIP
or Mobile IP etc.
ii
iii
Zusammenfassung
Sichere Mobilität in IP Netze ist das Hauptthema dieser Dissertationsarbeit und zwar wie
ein Benutzer eine sichere Kommunikation während seiner IP Adresse sich ändert betreiben
kann? Der Fokus liegt auf mobilen Firmennetzzugriff (Remote access), da er naturgemäß eine
höhere Anforderung an der Sicherheit verlangt. Diese Dissertation beschäftigt sich mit
anwendbaren Lösungen für IPv4 und IPv6. Eine anwendbare Lösung muss sich in der
existierenden Infrastrukturen und Methoden bei den Service Providern, wie Tunneling Geräte
(BRAS), AAA, Firewalls, Lastverteilung, Verfügbarkeit, Management, usw, integrieren.
Die Lösungsansätze, wie zum Beispiel Mobile IP mit IPSec, MOBIKE, Proxy Mobile IP,
sind zuerst in der Arbeit analysiert. Diese haben Defizite in mehreren Bereichen, wie zum
Beispiel: nicht kompatibel zu NAT und Multi-Homed Hosts, keinen Schutz gegen das
Verfolgen der Aufenthaltsorte. Zentraler Defizit ist, dass alle Lösungen die Netzparameter in
konstanten Intervallen aktualisieren. Weder der Bewegung des mobilen Hosts noch die
Netzparameter sind dabei berücksichtigt. Das führt zu regelmäßigen Verbindungsabbrüchen
und/oder Netzüberlastung durch nutzlose Paketen.
In dieser Arbeit wird eine neue Protokollsammlung, genannt Mobile VPN (M-VPN),
entwickelt. Das M-VPN teilt sich in drei Unterprotokolle auf: Mobile Key Exchange (M-KE),
Mobile Secure Encapsulation (M-SE) und Mobile Location Update (M-LU).
Die Dissertation hat zwei Hauptziele: (1) eine Ingenieuraufgabe zur Protokollentwicklung
für mobile IP Sicherheit und zwar M-SE und M-KE. (2) Die zweite Aufgabe (M-LU) ist die
mathematische Optimierung von Netzparameteraktualisierung für reduzierten Netzlast und
Verbindungsabbruche. Beide Teile beschreiben alle Aspekten des Firmennetzzugriffs in einer
mobilen Umgebung.
Die M-KE und M-SE führen neue Methoden in die mobilen Sicherheit ein und zwar:
Durch Polling und Caching wird IP Änderung während einer Sitzungsaushandlung
ermöglicht. Pseudozufallswerte im Header sorgen für einen Schutz gegen das Verfolgen der
Aufenthaltsorte. Der Aufbau von dynamischen Netztopologien wird durch das Annoncieren
von weiteren Mobilen Servern ermöglicht.
Die grundlegende Idee im M-LU besteht darin, die Aktualisierungsfrequenz proportional
zu der Wahrscheinlichkeit des Verbindungsabbruchs einzustellen. Wenn es eine höhere
Wahrscheinlichkeit für IP Änderung gibt, werden die Netzparameter öfter aktualisiert und
vice versa. Die Wahrscheinlichkeitsdichtefunktion wird anhand der Verbindungsabbrüche in
der Vergangenheit konstruiert.
Die klassischen Methoden der Signaltheorie können nicht direkt in M-LU verwendet
werden, da diese Zahlenwerte einer Messung verlangen. Im Gegensatz liefert die Prozedur
für die IP/Port Aktualisierung ein einfaches Booleschen Ergebnis und zwar, ob sich die
Netzparameter geändert haben. Die Booleschen Werte können nicht in den klassischen
Algorithmen eingesetzt werden. Der Zeitpunkt der Änderung liegt in dem Intervall zwischen
zwei Aktualisierungen.
Drei mathematische Algorithmen werden für M-LU entwickelt. Diese decken die
grundlegenden Ansätze für eine Lösung und zwar stochastischer, subjektiver und analytischer
Ansatz. Diese basieren auf: (1) Sequentielles Monte Carlo mit Particle Filter, (2) Adaptive
Fuzzy Kontroller, (3) erweiterten Kalman Filter.
Das M-LU Protokoll wurde mit Matlab 7.0 simuliert, um die Qualität der Methoden zu
prüfen. Das neue Verfahren hat eine deutlich bessere Effektivität und Genauigkeit verglichen
mit den konstanten Intervallen. Die hier entwickelten Verfahren können in einer Reihe von
weiteren Protokollen, wie zum Beispiel SIP, IPSec oder Mobile IP, implementiert werden.
iv


v

Acknowledgements
I am deeply grateful to all people who contributed to this work. I would like to thank
Prof. Johannes Buchmann for his significant support in the final stage of my work. The
second referent Prof. Ulrike Meyer helped me to improve the presentation part and to
structure the thesis. Especially, her deep knowledge in networks and security led to many
improvements.
My research will be impossible without direct encouragement and support by Dr. Volker
Sebastian, Dr. Walter Häffner and the Vodafone Management for presenting papers at many
conferences. Prof. Aleksander Tsenov and Dr. Tim Wichmann read the mathematical part of
my work and gave me important feedback. I would like to thank my colleagues at service
development department at Vodafone (former Arcor AG&Co KG) for the creative and
inspiring discussions.
I would like to thank my wife and our children for their support during the many years of
research in parallel to my work at Vodafone. This work is dedicated to them with all my love.
My education and research were motivated by my parents, who encouraged me form the very
beginning. Thank you!



December 2009
Vesselin Dimitrov Tzvetkov



vi