ÚJ MÓDSZEREK ELOSZTOTT

˝ B UDAPESTI M USZAKI ÉS G AZDASÁGTUDOMÁNYI E GYETEM

Villamosmérnöki és Informatikai Kar

Hálózati Rendszerek és Szolgáltatások Tanszék Mobil Kommunikáció és Kvantumtechnológiák Laboratórium

Ú J MÓDSZEREK ELOSZTOTT MOBILHÁLÓZAT - ARCHITEKTÚRÁK JELZÉSI SÉMÁINAK TELJESÍTMÉNY- ÉS ALKALMASSÁGI VIZSGÁLATÁRA

Ph. D. Tézisfüzet FAIGL Zoltán

Témavezet˝o: IMRE Sándor, DSc.

Budapest, 2014

Absztrakt A távközlési szolgáltatók el˝orejelzései szerint a következ˝o évtizedben nagymérték˝u mobilinternet forgalomnövekedésnek lehetünk szemtanúi. A jelenlegi mobilhálózat-architektúrák skálázhatósága nem megfelel˝o: m˝uszakilag nehézkes és drága a kapacitásnövelés, tekintettel arra, hogy a bevételi oldalon jóval korlátozottabb növekedés várható. Ennek köszönhet˝oen az elmúlt években számos olyan megközelítés látott napvilágot a 3GPP mobilinternet-architektúra újratervezésére, amely tetsz˝olegesen osztható komponensekre, horizontálisan skálázható funkciókra osztja az architektúrát. Az egyik ilyen ajánlás az Ultra Flat Architektúra (UFA), amelyben a 3GPP maghálózat vezérl˝o síkját a hozzáférési hálózatok közelében elhelyezett elosztott intelligens átjárók szolgáltatják. Az UFA vezérl˝o síkjának megvalósításához kínálkozó megoldást nyújt a Host Identity Protocol (HIP), mivel számos megkövetelt funkciót ellát. Fontos hiányossága azonban a protokollnak, hogy gátat szab a szolgáltatók által megkívánt hálózatvezérelt funkcióknak. A HIP ugyanis végpont alapon m˝uködik, és végpontok közötti biztonsági kapcsolat (SA) kiépítést végez. Ennek kiküszöbölésére az 1. téziscsoportban egy publikus kulcsú jelzésdelegációs szolgáltatást vezetek be a HIP protokollhoz, amely egy felhasználó–átjáró és egy átjáró–peer szakaszra bontja az SA-kat, és a HIP alapú UFA vezérl˝o síkjának fontos épít˝okockája lesz. Ezután egy analitikus modell segítségével összehasonlítom a delegációt alkalmazó HIP jelzési sémát a végpont alapúval UFA környezetben. Az eredmények szerint a delegáció által csökken a felhasználói készülék, hozzáférési hálózat és rendezvous szerver terhelése, azonban a mag transzporthálózatban növekszik az er˝oforrásigény. A modellem iránymutatást képes nyújtani a HIP és hálózati paraméterek optimális beállításához. A hozzáférési hálózatok és felhasználó oldali eszközök sokfélesége, illetve a biztonsági igények növekedése miatt az elmúlt két évtizedben számos hangolható (állítható, kontextusfügg˝o) biztonsági (TS) szolgáltatás megjelent. Ahhoz, hogy valóban megismerjük a TS szolgáltatások nyereségét, a következ˝o kihívásokat kell megoldani: (i) meg kell határoznunk a TS szolgáltatások f˝obb jellemz˝oit, és tervezési módszerekre van szükség; (ii) megfelel˝o biztonsági és teljesítménymetrikákra van szükség; (iii) mivel a biztonsági sémák más helyezést érhetnek el biztonság és teljesítmény tekintetében, rangsorösszesít˝o módszerek alkalmazására van szükség a megfelel˝o beállítás kiválasztása során. A 2. téziscsoportban–a (ii) kihívás részeként–mobilhálózatokban alkalmazott biztonsági szolgáltatások (pl IKEv2, HIP, IPsec) teljesítményértékelésével foglalkozom sorbanállási elmélet és mérések alkalmazásával. Az eredmények bemeneti paraméterként szolgálhatnak hálózat és csomópont-méretezéshez, illetve TS szolgáltatások tervezéséhez. A 3. téziscsoportban–az (i) és (iii) kihívásoknak megfelel˝oen–áttekintek számos létez˝o TS szolgáltatást és meghatározom ezek f˝obb jellemz˝oit. Ez alapján egy új módszert javaslok TS szolgáltatások tervezésére mMAHP néven, és egy kontextusfügg˝o Internet Key Exchange version 2 hitelesítési mód választási problémán szemléltetem az alkalmazását. Ezt követ˝oen kiterjesztem az mMAHP módszert két új problématerületre: SIP, MIP, PMIP és HIP alapú jelzési sémák alkalmassági vizsgálatára UFA környezetben, és hitelesítési módszerek alkalmassági vizsgálatára jöv˝obeli elosztott 3GPP hálózati környezetben. A 4. téziscsoportban–a (iii) kihívásnak megfelel˝oen–egy új módszert javaslok, amelylyel meghatározhatóak az egymással felcserélhet˝o rangsorösszesít˝o módszerek csoportjai a döntéseik hasonlósága alapján. A módszer segítségével a legkisebb számításigény˝u rangsorösszesít˝o módszert választhatja a tervez˝o egy el˝onyben részesített csoportból. 1

1. Bevezetés A mobiltávközlésben az Internetes szolgáltatások és az irántuk való igények gyors növekedése követhet˝o nyomon. 2018-ra több, mint 10 milliárd mobilkészülék lesz használatban, beleértve azokat az eszközöket, amelyek emberi beavatkozás nélkül folytatnak (machineto-machine, M2M) kommunikációt–ez meghaladja az akkorra becsült világnépesség számát (7.6 milliárd). Egy okostelefon átlagosan havi 2.7 GB forgalmat fog bonyolítani, amely ötszöröse a 2013-as havi 529 MB mennyiségnek [1]. A jelenleg telepített mobilhálózat-architektúrák nem skálázhatóak jól, mivel központosítottak, modulárisan oszthatóak, emiatt nem tudják hatékonyan kezelni a forgalomnövekedést és -ingadozást. Központosított architektúra esetén egy adott átjáró (gateway, továbbiakban GW) felel a felhasználói készülékek (user equipment, továbbiakban UE) kontextusainak kezeléséért. A kontextus rendeli össze egymással az el˝ofizet˝oi profilt, IP címet, alagutazáshoz szükséges azonosítókat, hordozóhálózat-szint˝u leírókat. Az UE és központosított GW között alagutazási technikákkal oldják meg az IP forgalom átvitelét. Az útvonalválasztás és forgalommenedzsment nemcsak az IP cím alapján, hanem a kontextusnak megfelel˝oen történik. Ezek felhasználónkénti memória- és CPU-er˝oforrást igényelnek a GW-t˝ol (és egyéb központosított hálózati elemeken). A skálázhatósági probléma az adat és a vezérl˝o síkot is érinti. Központosított, modulárisan osztható hálózatfunkciók esetén a megfelel˝o sebesség˝u kapacitásnövelésnek határt szabhatnak a költségek (CAPEX/OPEX), amelyek arányosak a csúcsid˝oben elért forgalommennyiséggel, illetve az igényelt hálózatfejlesztések megvalósulási és telepítési ideje és e folyamatok ütemezési korlátai. Több lehet˝oség is van a maghálózat skálázhatóságának javítására, amelyek közül az egyik a Daoud et al. [2] által bevezetett Ultra Flat Architektúra (UFA). Az UFA hozza el a végleges lépést a mobilhálózatok csomagkapcsolt tartományának elosztásában. Az UFA célja a maghálózat funkciók elosztása a hálózat szélén telepített, egységes csomópontokba, az ún. UFA GW-ekbe. Az UFA GW átveszi a maghálózat vezérl˝o és adat síkjának szerepeit. A felhasználói adatforgalom így közvetlenebb úton, az UFA GW-eken keresztül halad a kommunikáló felek között. Daoud et al. javaslatában az UFA vezérl˝o síkjának eljárásai Session Initiation Protocol (SIP) alapúak. A SIP alapon m˝uköd˝o kapcsolatlétesít˝o és mobilitásmenedzsment eljárások a 3GPP architektúrákban létez˝okhöz képest hatékonyabb QoS szolgáltatást és hálózatvezérelt m˝uveletek bevezetését teszik lehet˝ové, ezért nagyban hozzájárulnak az er˝oforrás-kihasználás csökkentéséhez és a skálázhatóság növeléséhez. Bár a SIP alapú jelzési séma igen hatékony megoldást jelent az UFA-ban, nem alkalmas a felhasználók által megkövetelt nem SIP alapú (pl. meglév˝o internetes) alkalmazások vezérlésére, ugyanis nem terjed ki a hatóköre azok mobilitásának, engedélyezésének, számlázásának stb. kezelésére. Ezért szerz˝otársammal [C4, J7]-ben azt a célt t˝uztük ki, hogy javasolunk egy új vezérl˝o síkot az UFA számára. Ez a Host Identity Protocol (HIP) alapú jelzési séma, amelyre UFA HIP néven hivatkozom az alábbiakban. Eredetileg a HIP egy végpont alapú protokoll, amely hitelesítésért és kulcsegyeztetésért, Internet Protocol security (IPsec) alapú biztonsági kapcsolatok (security association, továbbiakban SA) kiépítéséért és IP mobilitáskezelésért felel [3]. Több mobilitáskezelési kiterjesztése is létezik [J4]. A szabványos HIP vezérl˝o síkot tartalmazó hálózatokra végpontok közötti (end-to-end) HIP architektúraként (E-E HIP) hivatkozom a továbbiakban. E-E HIP architektúráknál a végpont alapú vezérlés több hátrányt is okoz szolgáltatói környezetben. 2

A hálózat nem képes kezelni, illetve dekódolni az SA-k tartalmát, amely akadályozza pl. a szolgáltató által vezérelt forgalomirányítást, mobilitáskezelést, megfelel˝o számlázást, törvényes lehallgatást stb. Emellett, a végpont alapú vezérlés szükségtelenül növeli a felhasználói készülékek és hozzáférési hálózatok számítási és hálózati terhelését egy olyan környezetben ahol a rádiós er˝oforrás drága. Az UFA HIP lépésenkénti forgalomtovábbítási megközelítést vezet be, azaz az E-E SAkat két részre bontja–egy UE és GW közötti, illetve GW és az UE kommunikációs partnere közötti szakaszra. Az SA felosztása azonban új problémához vezet a végpontok mozgása során elosztott hálózatokban, nevezetesen a GW-váltás (inter-GW handover, HO) HIP végpont kapcsolat (host association, HA) és IPsec SA végpontváltozást eredményez hálózat oldalon. GW-ek közötti HO kivitelezésének két módja van szolgáltatási rétegenként: újbóli kontextuskiépítés a cél GW-ben–reaktív vagy proaktív módon (az utóbbira példa a 3GPP rádiós hozzáférési hálózatok közötti váltásnál alkalmazott el˝ozetes regisztráció [4])–vagy kontextusátvitel [5]. A kontextusátvitel alapú megoldások el˝osegíthetik a gyors HO-t és csökkentheti a számítási és hálózati er˝oforrás-terhelést, ezért vonzó kutatási irányt képviselnek az elosztott mobilhálózat-architektúrák jelzési sémáinak tervezése során. A kontextusátvitel UFA HIP esetén, azonban, nem valósítható meg egyszer˝uen az aktuális állapotinformációk átvitelével. A HIP-et ugyanis úgy tervezték meg, hogy egy HIP végpont csak a saját publikus/privát kulcspárjaihoz képes kriptográfiai értelemben kulcsokat és HIP HA, IPsec SA kontextusokat rendelni. Emiatt fontos követelménnyé válik a jelzésdelegációs szolgáltatás bevezetése, amely lehet˝ové teszi a HIP és IPsec kontextusok létrehozását az UE (és peer-jei) számára egy köztes GW-en. A jelzésdelegáció bevezetését az er˝oforrások terhelésének csökkentése is motiválja a delegáló és a delegált fél között. A delegált (elosztott GW) ideiglenes engedélyt kap a delegáló félt˝ol (UE), hogy olyan feladatokat lásson el, mint pl. a periodikus helyzetinformáció frissítés, újrakulcsolás, SA felépítés, illetve értesítse a delegáló felet állapotváltozásokról. Ennek egy lehetséges megoldása, hogy a delegáló publikus kulcsú tanúsítványt oszt ki a delegáltnak [6], amely tanúsítja, hogy bizonyos feladatokat láthat el a delegáló nevében annak peer-jeivel. Egy másik lehetséges módszert jelent, amikor a delegáló egy a peer-ekkel el˝ore megosztott kulcsot oszt ki a delegáltnak, amely ezáltal képessé válik a peer-ek által elfogadott üzeneteredet-hitelesít˝o kódok (Hashed-Message Authentication Code, HMAC) képzésére [7]. Ez a megoldás azonban bonyolult kulcsosztási problémához vezetne. Következésképpen, ahhoz hogy a HIP-et elosztott mobilhálózat-architektúrák vezérl˝o síkjában alkalmazzuk, fontos követelmény a jelzésdelegációs szolgáltatás lehet˝ové tétele. Az 1. téziscsoportban egy publikus kulcsú jelzésdelegációs szolgáltatást vezetek be a HIP-hez. Ezt követ˝oen analitikus modellel elemzem a delegáció alapú HIP jelzési séma teljesítménybeli nyereségét eredeti, E-E HIP jelzési sémájához képest az UFA vezérl˝o síkjában. Mobilitást támogató hálózatokban számtalan biztonsági fenyegetettség felmerülhet [M4]. A mobilitáskezel˝o protokollok, pl. a Mobile IPv6 (MIPv6) és kiterjesztései, megbízható m˝uködése és biztonsága ezért kritikus fontosságú. Fontos elvárás a biztonsági megoldások integrálása a jöv˝ogenerációs hálózatok jelzési sémáiba. A különböz˝o biztonsági beállítások eltér˝o teljesítményköltséggel bírnak és különböz˝o biztonsági szinteket képesek nyújtani. A környezeti jellemz˝ok, úgy, mint a hálózati linkek késleltetése és átviteli sebessége vagy a csomópontok számítási kapacitása, befolyásolják a teljesítményköltségeket, pl. a biztonsági folyamatok teljes késleltetését vagy a csomópontok kihasználtságát. A disszertációm második 3

részében, a 2. téziscsoportban, mobilitási szolgáltatások védelmével és hálózat hozzáférés engedélyezéssel kapcsolatos biztonsági protokollok teljesítményköltségeinek meghatározásával foglalkozom. Az IPsec, Internet Key Exchange version 2 (IKEv2), HIP stb. biztonsági protokollok teljesítményköltségének kiértékelése alapját képezi olyan kifinomult biztonsági szolgáltatások tervezésének, amelyek célja a a környezeti és alkalmazási igényeknek leginkább megfelel˝o biztonsági beállításnak a kiválasztása. Emellett a teljesítményköltségek pontos ismerete hozzájárul a hálózat és csomópont méretezési problémák megoldásához. A hozzáférési hálózatok és felhasználó oldali eszközök sokfélesége, illetve a biztonsági igények növekedése miatt az elmúlt két évtizedben számos hangolható (állítható, kontextusfügg˝o) biztonsági szolgáltatás megjelent. Hangolható biztonsági (tunable security, továbbiakban TS) szolgáltatás az a szolgáltatás, amelyet kimondottan arra terveztek, hogy különféle biztonsági beállításokat nyújtson, amelyek a rendszer m˝uködése közben választhatóak. A hangolható szinonimájaként használják még az adaptálható, állítható, dinamikus, skálázható, kontextusfügg˝o elnevezéseket. A disszertációm harmadik részében, a 3. téziscsoportban, meghatározom a TS szolgáltatások általános jellemz˝oit és a tervezési lépéseit. Ezt követ˝oen a Multiplicative Analytic Hierarchy Process (MAHP) [8] módszerre építve javaslatot teszek egy TS szolgáltatás tervezési módszerre, amelyet mMAHP-nak neveztem el. A módszer alkalmazását egy hangolható IKEv2 hitelesítési módszer kiválasztási problémán szemléltetem. Emellett, a 3. téziscsoportban az mMAHP módszert kiterjesztem jelzési sémák alkalmassági vizsgálatára két problématerületen. Az UFA vezérl˝o síkja többféleképpen is megvalósítható, pl. SIP, MIP, PMIP és HIP alapú jelzési sémákkal [M2, J7, C3]. Ezek rangsorolása különböz˝o hálózati és alkalmazási környezetekben kihívásokkal jár. Ahhoz, hogy minél objektívabb módon megismerjük ezek el˝onyeit és hátrányait, felállítottam egy kritériumrendszert más döntéshozókkal konszenzusban. Egyszer˝u, de lényeges indikátorokat vezettem be az alternatívák jellemz˝oinek mérésére. Nagyjából húsz szempont szerint értékeltem ki az alternatívákat, amelyek az alábbi négy f˝o szempont alá sorolhatók be: az alternatíva teljesítsen jól, nyújtson magas biztonsági szintet, legyen alacsony a telepítési költsége és támogassa a nem SIP-es alkalmazásokat. Érzékenységvizsgálatok segítségével megvizsgáltam, hogy a f˝o szempontok súlyozása, illetve a hozzáférési hálózat késleltetése hogyan befolyásolják az alternatívák rangsorolását. A szélessávú mobilhálózatok utat nyitnak új szolgáltatások megjelenésének, amelyeken belül nagy kihívást jelentenek az M2M forgalmat bonyolító pl. okoshálózat [9] és intelligens közlekedési rendszer [10] alkalmazások. Ezen alkalmazások egyes fajtái magas és konzisztens adatbiztonságot és hitelességet követelnek meg, függetlenül a használt rádiós hozzáférési technológiától. A jelenlegi 3GPP Evolved Packet Core (EPC) azonban a különböz˝o típusú hozzáférési hálózatokban eltér˝o biztonsági szolgáltatásokat nyújt. Emellett, kihívást jelent, hogy a távfelügyeleti és vezérl˝o alkalmazások sokszor nagyszámú, er˝oforrás-korlátozott eszköz telepítését igénylik a felhasználói oldalon. Ezért szükség van új alacsony számítási, memória és hálózati er˝oforrásokat igényl˝o hitelesítési módszerekre. Ezen kihívások arra ösztönöznek, hogy megvizsgáljam egy korszer˝u, kis er˝oforrás-igény˝u hitelesítési módszer, a 3GPP Authentication and Key Agreement (AKA) hitelesítést használó HIP Diet Exchange (DEX-AKA) módszer [C1] alkalmasságát EPC-ben való használatra. Megjegyzem, hogy [C1]-ben a DEX és DEX-AKA protokollok biztonsági értékelésével foglalkoztam, és mó4

dosításokat javasoltam egy hálózatot megszemélyesít˝o visszajátszásos támadás elkerülése érdekében. Egy új hitelesítési módszer 3GPP architektúrában való használata alkalmasságának megállapításához számos fontos követelményt és egyéb alternatívákat is figyelembe kell venni. Jelenleg a megbízhatatlan, nem 3GPP által szabványosított hozzáférési hálózatokban az Extensible Authentication Protocol (EAP) feletti AKA (EAP-AKA) hitelesítési módszert [4] javasolja els˝oszámú lehet˝oségként a 3GPP fórum. A 3. téziscsoportban kiterjesztem az mMAHP módszert hitelesítési módszerek alkalmassági vizsgálatára jöv˝obeli elosztott 3GPP EPC architektúrában. A vizsgálathoz bevezettem egy kritériumrendszert, amely biztonsági, teljesítmény, telepítési, és hozzáadott funkciókat vizsgáló szempontokat tartalmaz. A többszempontú döntéshozó módszerek (Multi-Attribute Decision Making, MADM) számos tudományterületen megjelennek, beleértve a távközlést is. Jó példa az alkalmazásukra a dinamikus kontextusfügg˝o hozzáférési hálózat választás [11], biztonsági algoritmus választás felhasználói hitelesítéshez [12], kontextusfügg˝o médiafüggetlen HO szolgáltatás [13], kiszolgálóválasztás elosztott szolgáltatásoknál [14]. A 4. téziscsoportban azt a célt t˝uztem ki, hogy megvizsgálom az irodalomban megtalálható pontösszesít˝o módszerek közötti hasonlóságokat. Az általam javasolt módszer lehet˝ové teszi a felcserélhet˝o rangsorösszesít˝o módszerek csoportjainak meghatározását, így a tervez˝ok pl. a legkisebb számításigény˝u módszert választhatják a számukra (valamilyen más szempontok alapján) kedvez˝o csoportból. Tíz létez˝o rangsorösszesít˝o technikára alkalmazva a módszeremet, iránymutatást adok döntéshozó motor kiválasztásához.

2. Kutatási célkituzések ˝ Az 1. téziscsoporthoz kapcsolódóan az els˝o célkit˝uzésem az volt, hogy egy publikus kulcsú jelzésdelegációs szolgáltatást vezessek be a HIP protokollhoz, amely az UFA HIP jelzési rendszer épít˝oelemeként szolgál, és lehet˝ové teszi a hálózat által vezérelt eljárások bevezetését. Ezt követ˝oen célként t˝uztem ki, hogy részletesen megvizsgáljam a jelzésdelegációt alkalmazó, UFA HIP jelzési séma teljesítménynyereségét a végpont alapú, E-E HIP jelzési sémához képest elosztott mobilhálózati környezetben. Számos mérnöki kérdés megválaszolásra vár a HIP élettartam paramétereinek és az elosztott hálózatban telepítend˝o GW-ek számának optimális megválasztását illet˝oen E-E HIP és UFA HIP vezérl˝o sík esetén. Ezen paraméterek hangolásánál a f˝o cél a jelzések er˝oforrásigényének alacsonyan tartása. Érdekes kérdés például az unused association lifetime (UAL) elnevezés˝u paraméter hatása a teljesítményre. Az UAL két HIP végpont közötti üres periódus idejét adja meg, amely leteltével a protokoll törli a HIP HA-t és IPsec SA párt. Minél magasabb az UAL értéke annál hosszabb az átlagos SA periódusideje és kisebb a SA felépítések, vagyis HIP Base Exchange (BEX) eljárások intenzitása. Viszont annál nagyobb a HIP HA-k és IPsec SA-k száma, azaz HIP jelzések memóriaigénye és az újrakulcsolások intenzitása. Az újrakulcsolás konstans periódusid˝onként történik az SA-k élettartama alatt. A BEX és az újrakulcsolás is tartalmaz egyszeri (ephemeral) Diffie-Hellman (DH) kulcscserét, amelynek magas a számításigénye. Emiatt lényeges ezen eljárások intenzitásának csökkentése. Egy másik érdekes kérdés a jelzésdelegációval kapcsolatos. Maximum hányszor ruházhatjuk tovább a delegáltról delegáltra a kapott szerepköröket, és hogyan érdemes beállítani a delegációs tanúsítvány élettartamát 5

(delegation lifetime, TDEL ) az eredeti delegálónak? Ezek a paraméterek a delegációs láncok hosszát befolyásolják, amelyek a delegáltak meghatalmazott (mandated) update eljárásaiban a publikus kulcsú aláírás mellett megjelennek. Emiatt befolyásolják a hálózati elemek és transzporthálózat terhelését. A TS szolgáltatások nyereségének meghatározásához a következ˝o kihívásokat kell megoldani: (i) meg kell határoznunk a TS szolgáltatások f˝obb jellemz˝oit és kifinomult tervezési módszerekre van szükség; (ii) megfelel˝o biztonság és teljesítmény metrikákra van szükség; (iii) mivel a biztonsági alternatívák eltér˝o rangsorolást kaphatnak biztonság és teljesítmény tekintetében, szükség van rangsorösszesít˝o módszerek alkalmazására a megfelel˝o alternatíva kiválasztásához. Az (i) pont megválaszolásához célul t˝uztem ki egy egyszer˝u leíró nyelv létrehozását, amellyel jellemezni lehet létez˝o és jöv˝obeli TS módszereket és támpontot nyújt TS módszerek tervezéséhez. Ezt követ˝oen célom volt egy olyan döntési módszer megtervezése a TS folyamathoz, amely futási vagy tervezési id˝oben, a környezeti és alkalmazási leírók és a többi alternatíva teljesítménye függvényében választja ki a legalkalmasabb alternatívát. Célom volt továbbá a döntési módszerem kiterjesztése két alkalmassági vizsgálati problématerületre, nevezetesen az UFA jelzési sémáinak, illetve létez˝o és új 3GPP hitelesítési módszerek kiértékelésére. A 3. téziscsoport tartalmazza az (i) ponttal kapcsolatos eredményeimet. A a (ii) ponttal kapcsolatban teljesítményköltségek pontos meghatározására helyeztem a hangsúlyt. (a) Biztonsági beállítások széles skáláját ajánlják mobilhálózatokban MIPv6 jelzések védelmére IPsec és IKEv2 protokollokhoz [15, M3]. Vajon a különféle biztonsági irányelvek és algoritmuskészletek mekkora er˝oforrás-terhelést okoznak? Az eredmények ismeretében iránymutatást lehetne nyújtani a megfelel˝o biztonsági beállítás kiválasztásához. (b) Kevés cikk foglalkozik az IKEv2 és HIP alapú hitelesítési módszerek teljesítményköltségeinek pontos meghatározásával, annak ellenére, hogy a hatásuk fontos lehet hálózat és fels˝obb rétegek tervezésénél egy heterogén mobilhálózati környezetben, ahol a jelzések er˝oforrásigényének csökkentése és a zökken˝omentes szolgáltatásfolytonosság magas prioritással bír. A létez˝o tanulmányok alapján nehéz összehasonlítani a különböz˝o hitelesítési módszereket teljesítmény költségek szempontjából, mivel eltér˝o forgatókönyvekben, más és más tesztkörnyezetben, magas szint˝u folyamatokkal kapcsolatos teljesítmény indikátorokkal, pl. TCP átviteli sebességgel, UDP csomagvesztéssel stb. írták le a módszereket. Ezek a tényez˝ok akadályozzák a hitelesítési módszerek összehasonlítását, illetve a pontos teljesítményköltségek ismeretét. A 2. téziscsoport tartalmazza a (ii) ponttal kapcsolatos eredményeimet. A (iii) ponttal kapcsolatban célul t˝uztem ki, hogy iránymutatást adjak döntéshozó motor kiválasztásához TS szolgáltatásokban, alkalmassági vizsgálatokban, illetve tetsz˝oleges MADM alkalmazásban. A 4. téziscsoport foglalja össze a (iii) ponttal kapcsolatos eredményeimet.

3. Módszertan Az 1. téziscsoportban, a 1.2–1.6. tézisekben sorbanállás- és valószín˝uségelmélet eszköztárát használtam fel az E-E és UFA HIP jelzési sémák teljesítményigényének kifejezésére elosztott mobilhálózat-architektúrában. A jelzési folyamatok CPU és üzenetigényét mérési eredményekb˝ol származtattam a 1.7. tézis számításaihoz. 6

A 2. téziscsoportban a mobilitásszolgáltatás védelmét és hálózathoz való hozzáférésengedélyezést ellátó biztonsági szolgáltatások teljesítményköltségét analitikus úton és mérésekkel határoztam meg. A 2.1. tézisben sorbanállási hálózatok elméletének eszköztárának használatával fejeztem ki különböz˝o IKEv2 és IPsec alapú biztonsági irányelvek teljesítményigényét MIPv6 védelme esetén. A BCMP tétel egyszer˝usített változatát alkalmaztam, többosztályú, nyílt sorbanállási hálózatot és terhelésfüggetlen érkezési intenzitásokat és kiszolgálási id˝oket feltételezve [16, 17]. Hasonló megközelítést alkalmazott korábban Menasce [18] külöböz˝o Kerberos hitelesítési protokollok vizsgálatára, zárt, Gordon-Newell típusú sorbanállási hálózati modell felhasználásával. Azért választottam nyílt sorbanállási hálózatmodellt, mert ez lehet˝oséget teremtett a mobilitási és újrahitelesítési folyamatok külvilágból érkez˝o igényekkel történ˝o indítására, a folyamatok érkezési intenzitásának tetsz˝oleges változtatására. A MIPv6 és IKEv2 EAP-TLS jelzések által okozott igénysorozatokat valós hálózati vizsgálatok és szabványok figyelembevételével határoztam meg a disszertáció 3.2.2.1. fejezetében leírt módon. A 2.2. tézisben mérésekkel határoztam meg különböz˝o IKEv2 és HIP alapú hitelesítési módszerek pontos teljesítményköltségét. Ezt 3G valós teszthálózatban végeztem el, amely részben emulált hálózati szakaszokat is tartalmazott. A 3. téziscsoportban, az mMAHP módszer egyszer˝u számításokat használ rangsorösszesítéshez. Az UFA jelzési sémák és hitelesítési módszerek alkalmassági vizsgálatához (ld., 3.2. és 3.3. tézis) több döntéshozó véleményének megkérdezésével alkottam meg a kritériumrendszert és választottam meg a szempontok súlyozását. Pl. a [M2] tanulmány F függelékében látható u˝ rlapokat hoztam létre és osztottam ki a döntéshozóknak a kritériumsúlyok beállításához véleményük összegy˝ujtésére. Minden kritériumhoz egyedi pontozófüggvényt definiáltam, szabványban vagy a döntéshozók által definiált követelmények alapján. Az UFA jelzési sémák teljesítményköltségeit analitikus úton határoztam meg [M2, C3, J7], a hitelesítési módszerekét mérésekkel [J9, J5]. A hálózati forgatókönyvek mindkét esetben enyhén felülbecsült késleltetéseket tartalmaztak a különböz˝o hálózatrészek között, így a kapott jelzéskésleltetések a legrosszabb eseteket tükrözik. A 4. téziscsoportban, döntési problémák szimulálásával és valószín˝uségelmélet segítségével mutatom be, hogy a rangsorösszesít˝o módszer kiválasztása hatással bírhat az alternatívák nyerési esélyeire. Ezt követ˝oen az egymással felcserélhet˝o rangsorösszesít˝o módszerek csoportjainak kialakítására javaslok módszert. Ehhez a statisztikában ismert kétváltozós asszociációs mér˝oszámok segítségével vizsgálom a módszerek által eredményezett rangsorolás hasonlóságát, majd a mér˝oszámok segítségével hierarchikus klaszterformálással alakítok ki csoportokat.

4. Új eredmények 4.1. Jelzésdelegáció alapú HIP szolgáltatások 1. téziscsoport Ebben a téziscsoportban egy publikus kulcsú jelzésdelegációs szolgáltatást vezetek be a Host Identity Protocol-hoz (HIP). Ezután részletesen megvizsgálom a delegáció alapú, UFA HIP jelzési séma teljesítménynyereségét az eredeti, végpont alapú, E-E HIP-hez képest UFA környezetben, ahol a HIP felel a biztonságos kapcsolatlétesítésért és IP mobilitáskezelésért. Az elvárásoknak megfelel˝oen, a delegáció alapú 7

jelzések esetén csökken az UE, hozzáférési hálózat (access network, AN) és rendezvous szerver (RVS) terhelése az E-E HIP-hez képest, azonban n˝o a mag transzporthálózat jelzésterhelése. Ezután iránymutatást nyújtok HIP protokoll paraméterek beállításához és a GW-ek elosztottságának megválasztásához, a hatékony er˝oforrás-kihasználásra való tekintettel. 4.1.1. Jelzésdelegációs szolgáltatás bevezetése Host Identity Protocol-hoz 1.1. Tézis. [C4, J8, J4] Két új jelzésdelegációs szolgáltatást vezettem be a HIP-hez. 1-es típusú delegáció esetén a Delegáló (Delegator) megkéri a Delegáltat (Delegate), hogy létesítsen a Delegáló és annak kommunikációs partnerei (correpsondent node, CN) számára HIP és IPsec kapcsolatokat, és utána a küldje el a létrehozott HIP és IPsec állapotokat a Delegálónak. 2-es típusú delegáció esetén a Delegáló megkéri a Delegáltat, hogy hozzon létre HIP és IPsec kapcsolatokat a Delegáló nevében annak CN-jeivel, amelyeket utána továbbra is a Delegálónak kell fenntartania. A 1. ábra szemlélteti a kétfajta jelzésdelegáció szolgáltatást. 1-es típusú delegáció esetén a Delegáló a HIP és IPsec állapotokat a Delegáltan keresztül hozza létre, azonban a kontextusátvitel után a Delegáló tartja fenn azokat (ld. 1a ábra), míg 2-es típusú delegáció esetén továbbra is a Delegált tartja fenn azokat (ld. 1b ábra). Mindkét típus el˝ozetes regisztrációt igényel, amelyet Delegation Establishment-nek (delegációs viszony kiépítésének) nevezünk és a 1a. ábra fels˝o részén látható. A delegációs szolgáltatás feltételezi a HIP HA és IPsec SA párnak meglétét a Delegáló és Delegált között. A HIP delegációs szolgáltatások jelzésüzenetei a 1. táblázatban kerültek összefoglalásra. A jelzésdelegációs szolgáltatások bonyolult csatlakozási, kapcsolatfelépítési és mobilitáskezelési eljárásokat tesznek lehet˝ové. Számos HIP alapú mobilitáskezelési eljárás igényel delegációt [J8, J4]. Az általam javasolt kiterjesztéssel a delegált publikus kulcsú aláírása helyettesítheti a delegáló fél aláírását, így az irodalomban korábban javasolt Host Identity delegációs módszerrel [19] szemben nem kell minden aláírandó HIP update üzenetet a delegálóhoz továbbítania a delegáltnak. A tézis kifejtése a disszertáció 2.2. fejezetében található. Az UFA HIP a csatlakozási, kapcsolatfelépítési és proaktív GW-ek közötti HO eljárásaiban alkalmazza a HIP jelzésdelegációt. Ezen eljárásokat a disszertáció 2.3.1. fejezete foglalja össze tömören. Megjegyzés A HIP vezérl˝o sík funkcionális elemeinek definiálása az UFA HIP-ben, az IEEE 802.21 Media Independent Handover [20] szolgáltatások integrálása, és a GW-ek közötti mobilitáskezelési jelzések definiálása (azaz a HO inicializálási, el˝okészítési, végrehajtási és befejezési fázisok) Bokor László, társzerz˝om [C4, J7] tudományos eredményei. Azonban, a 3.2. tézisemben, az UFA jelzési sémáinak alkalmassági vizsgálata eredményeként javaslatokat tettem a HO befejezési fázis módosítására, hogy megvalósulhasson a valósidej˝u SIP alapú szolgáltatások zökken˝omentes átadása. Az analízis részleteit a disszertációm 4.3. pontja tartalmazza. Az UFA HIP jelzési séma második (layer-2, L2) és harmadik rétegbeli (L3) csatlakozási [C4, J7] és kapcsolatfelépítési eljárásai [J7] saját eredményeim. 8

Registration to Type 1/2 Delegation Service

Delegator (Alice)

Delegate (Bob)

CN (Cecil)

1. HIP BEX I1 initiating HIP Base Exchange 2. HIP BEX R1 with REG_INFO Parameter 3. HIP BEX I2 with Type 1/2 Delegation Establishment Request Parameter 4. HIP BEX R2 with Type 1/2 Delegation Establishment Response Parameter IPSec ESP SA pair

1. HIP UPDATE with Type 1 Delegation Action Request Parameter

2. HIP UPDATE with Type 1 Mandated Action Request Parameter

Type 1 Delegation

Key derivation

3. HIP UPDATE with Type 1 Mandated Action Response Parameter

5. HIP UPDATE with Type 1 Delegation Action Response Parameter

Key derivation

4. HIP UPDATE

6. HIP UPDATE 7. Context Transfer Data 8. Context Transfer Data Reply IPSec ESP SA pair

(a) Regisztráció 1-es/2-es típusú delegációs szolgáltatásra és az 1-es típusú delegáció.

Delegator (Alice)

Delegate (Bob)

CN (Cecil)

IPSec ESP SA pair

Type 2 Delegation

1. HIP UPDATE with Type 2 Delegation Action Request Parameter 2. HIP BEX I1 initiating HIP Base Exchange 3. HIP BEX R1 4. HIP BEX I2 with Type 2 Mandated Action Request Parameter 5. HIP BEX R2 with Type 2 Mandated Action Response Parameter 6. HIP UPDATE with Type 2 Delegation Action Response Parameter 7. HIP UPDATE

(b) 2-es típusú delegáció.

1. ábra. HIP jelzésdelegációs szolgáltatások.

9

1. táblázat. HIP alapú delegációs szolgáltatás jelzésüzenetei. HIP üzenet Delegation Establishment Request Delegation Establishment Response Delegation Action Request

Delegation Action Response Mandated Action Request

Mandated Action Response Context Transfer Data (CTD) Context Transfer Data Reply (CTDR)

Leírás Delegációs viszony kiépítése kérelem: a Delegáló HIP REG_REQ paraméter segítségével beregisztrál a Delegáltnál 1-es/2-es típusú delegációs szolgáltatásra a saját vagy egy másik fél nevében. A HIP CERT paraméter tartalmazza a Delegáló adott szerepköreinek ideiglenes átruházását igazoló tanúsítványláncot. Delegációs viszony kiépítése válasz: a Delegált küldi a Delegálónak az 1-es/2es típusú delegációs viszony kiépítésének nyugtázására vagy elvetésére, a HIP REG_RESP vagy REG_FAILED paraméterek megadásával. Delegált m˝uvelet kérelem: a Delegáló küldi a Delegáltnak, hogy saját magának vagy egy másik csomópont nevében HIP és IPsec állapotok létrehozását vagy frissítését kérje. 1-es típusú delegációs szolgáltatás esetén továbbküldi az elkészült állapotokat a Delegálónak. 2-es típusú delegációs szolgáltatás esetén a Delegált felel az állapotok fenntartásáért. Delegált m˝uvelet válasz: a Delegált küldi a Delegálónak hogy értesítse az 1-es/2-es típusú delegált m˝uvelet eredményeir˝ol, amely(ek)et HIP NOTIFICATION paraméter(ek) tartalmaz(nak). Meghatalmazott m˝uvelet kérelem: a Delegált küldi a Delegáló kommunikációs partnerének vagy partnereinek. 1-es típusú delegációs szolgáltatásnál HIP és IPsec kapcsolatok jönnek létre a Delegált és a CN-ek között, majd a Delegált a létrehozott állapotokat átküldi a Delegálónak. 2-es típusú delegációs szolgáltatás esetén új HIP és/vagy IPsec állapotokat hoz létre a Delegált a Delegáló nevében CN-ekkel. A létrehozott állapotokat kés˝obb is a Delegált kezeli, viszont a felhasználói síkban frissíti a fogalomirányítási szabályokat. HIP NOTIFICATION paraméterek tartalmazzák a javasolt IPsec SPI értékeket, a Delegáló globális helyzetinformációját (Delegált IP címe), támogatott IPsec és HIP algoritmuskészleteket, forgalomtovábbítási szabályokat, Delegáló peer-jeinek listáját, konfigurációs és szolgáltatásra való regisztráció paramétereket stb. Meghatalmazott m˝uvelet válasz: CN-ek küldik a Delegáltnak, hogy a meghatalmazott m˝uvelet eredményér˝ol értesítsék HIP NOTIFICATION paraméterek segítségével. Kontextusátvitel: A Delegált HIP és IPsec vagy egyéb kontextusokat küld a Delegálónak. Kontextusátvitel válasz: Kontextusátvitel nyugtája, amelyet a Delegáló küld válaszként a Delegáltnak.

10

Az 1. téziscsoport további részében, a 1.2–1.7 tézisekben, egy analitikus modellt mutatok be a HIP alapú eljárások teljesítményigényének vizsgálatára elosztott mobilhálózatarchitektúrákban, azzal a céllal, hogy meghatározzam a delegáció alapú jelzési séma, UFA HIP, teljesítménynyereségét a végpont alapú, E-E HIP, jelzési sémához képest. 4.1.2. Jelölések és feltételezések A következ˝o jelölésrendszert vezettem be az analízishez. TUAL a kezdeményez˝o és válaszadó HIP végpontokon beállított UAL értékek minimuma. Ha egy SA TUAL ideig üresen áll, azaz nem szállít fels˝obb rétegbeli forgalmat, a HIP HA (és a hozzá kapcsolódó IPsec SA pár) törlésre kerülnek. A TRVS jelöli az RVS regisztráció élettartamát, amely az IP címbejegyzések élettartamát határozzák meg az RVS adatbázisában. TKEY az újrakulcsolási periódus idejét jelöli két HIP végpont között, ha van közöttük SA. TDEL a jelzésdelegációt engedélyez˝o tanúsítvány élettartama, amelyet a delegáló fél állít be. GW-ek közötti HO-ek során vagy az UE oszt ki új tanúsítványt vagy az el˝oz˝o GW delegálja tovább az UE jelzési jogait a következ˝o GW-nek. A második esetben eggyel n˝o a tanúsítványlánc hossza. L jelöli a maximálisan megengedett tanúsítványlánc-hosszt. A 2. ábra az aktív fels˝obb rétegbeli kapcsolatok számát (Q(t)) mutatja az id˝o (t) függvényében két HIP peer között, és ennek függvényében az SA periódusok viselkedését szemlélteti. G

G

G

G

Q 3

1 / ^λ

2

T

1

T

T

t Y

Y

X

Y

^ Y

S X

Y Y

ˇ

Y

X

Y

^ Y

2. ábra. SA periódusok viselkedése, ha a kapcsolatok számának alakulása M/G/∞-sorral írható le.

A f˝o feltételezéseim a következ˝oek. A végpontok között az IP-réteg feletti kapcsolatok λ intenzitású Poisson érkezési folyamattal érkeznek. Y jelöli a kapcsolatok közötti beérkezési id˝oket, amely egy λ paraméter˝u exponenciális eloszlású változó. A kapcsolattartási id˝o, amelyet S jelöl, tetsz˝oleges eloszlású. A kapcsolatok száma a t pillanatban Q(t). Foglalt periódusok azok a periódusok, amikor Q(t) > 0. X a foglalt periódus hosszát jelöli. Yˇ és Yb az üres periódus hosszát jelöli az alábbi megkötések szerint. Yˇ azokat az üres periódusokat jelöli, amelyek rövidebbek, Yb pedig azokat, amelyek hosszabbak, mint egy konstans érték, amelyet T -vel jelölök. T az analízis során megegyezik TUAL -al. G jelöli az SA periódusidejét, és G jelöli azt a periódusid˝ot, amikor nincs SA pár létesítve a végpontok között. Az 2. ábra szemlélteti az SA periódusok viselkedését. Egy SA periódus véletlenszámú foglalt-üres perióduspárból (X + Yˇ ) áll, egészen addig, amíg az utolsó foglalt periódust nem 11

követi egy T -nél hosszabb üres periódus, azaz Yb . G periódus ezen utolsó foglalt periódus után T id˝ovel fejez˝odik be. Legyen p annak a valószín˝usége, hogy Y < T , vagyis p =1 − FY (T ) = F Y (T ) = e−λT .

(1)

b jelöli a BEX eljárások intenzitását, BEX eljárás indul minden SA periódus kezdeténél. λ b adja meg a BEX eljárások közötti átlagos id˝ot a végpont-párra. és 1/λ

4.1.3. Az SA periódusid˝o eloszlásfüggvénye, momentumai és a BEX intenzitása HIP végpontok között

A következ˝okben az SA periódusid˝o (G) eloszlásfüggvényét (cumulative distribution function, CDF) adom meg Laplace és id˝otartományban, és numerikus módszereket mutatok be a komplementer eloszlásfüggvény (CCDF), (F G (t)) és a s˝ur˝uségfüggvény (fG (t)) számítására. A korábbi jelöléseket használva, annak a valószín˝usége, hogy j + 1 darab foglalt-üres periódus van G-ben p(1 − p)j . Ez alapján G felírható úgy, hogy  X + T, p valószín˝uséggel,     ˇ  X + Y + X + T, p(1 − p) valószín˝uséggel,    . .. .. . G=   ˇ  i(X + Y ) + X + T, p(1 − p)i valószín˝uséggel,     ..  ... .

(2)

Másfel˝ol, kihasználhatjuk, hogy a folyamat megújul minden foglalt-üres periódus elején. Ha az els˝o foglalt periódust (X1 ) követ˝o üres id˝ore igaz, hogy Y > T , akkor az SA periódus T id˝o múlva befejez˝odik. Azonban, ha Y < T , akkor a kapcsolatfelépítési folyamat megújul, és a fennmaradó SA periódus id˝o eloszlása megegyezik G eloszlásával. ( T, p valószín˝uséggel, (3) G =X + ˇ Y + G, 1 − p valószín˝uséggel. Jelölje Z (3) jobboldalán lév˝o második tagot, azaz ( T, p valószín˝uséggel, Z= ˇ Y + G, 1 − p valószín˝uséggel.

(4)

E(Z) és E(Z 2 ) felírható úgy, hogy E(Z) =pE(T ) + (1 − p)(E(Yˇ ) + E(G))

(5)

E(Z 2 ) =pE(T 2 ) + (1 − p)(E(Yˇ 2 ) + E(G)2 + 2E(Yˇ )E(G)).

(6)

és

12

1.2. Tézis. [J3] Tegyük fel, hogy a magasabb rétegbeli kapcsolatok száma két HIP-képes végpont között leírható M/G/∞ típusú sorral, ahol λ a kapcsolatfelépítések intenzitása, a kapcsolattartási id˝o eloszlása tetsz˝oleges, és T az UAL paraméterek minimuma. Ekkor az SA periódusid˝o (G) Laplace transzformáltja (LT) felírható úgy, hogy G∗ (s) =

pX ∗ (s)T ∗ (s) , 1 − (1 − p)X ∗ (s)Yˇ ∗ (s)

(7)

és G komplementer eloszlásfüggvénye kifejezhet˝o úgy, hogy Z x−T Z T F G (x) =F X (x − T ) − λeλy F G (x − z − y)dydF X (z). z=0

(8)

y=0

(7) és (8) bizonyítását a disszertáció 2.3.4. pontja tartalmazza (ld. Theorems 2.3.2 és 2.3.3 bizonyítása). Mivel ismert, hogy F G (x) = 1, ha x ≤ 0, ezért G eloszlás- és s˝ur˝uségfüggvénye numerikusan számítható (8) alapján, a disszertációban megadott A.3. és A.4. algoritmussal. A A.3. algoritmus x = 0-ból kiindulva, ∆t lépésenként növelve x értékét, rekurzívan számolja ki F G (x) értékét. Ahogy ∆t tart nullához, egyre n˝o az eredmények számításideje és pontossága. A számítás id˝o- és memóriaigénye arányos x/∆t-vel. Az 3. ábra G eloszlás- és s˝ur˝uségfüggvényét szemlélteti abban az esetben, ha λ = 2 µ = 1, T = 1 és ∆t = 0.005.

(a) CDF

(b) PDF

3. ábra. A SA periódusid˝o eloszlás- és s˝ur˝uségfüggvénye λ = 2 µ = 1, T = 1 és ∆t = 0.005 esetén.

A (7)-ben megadott Laplace tartománybeli leírás segítségével G bármely momentuma kiszámolható a Laplace tartománybeli momentumképzési szabály segítségével. G els˝o és második momentumának kiszámításához szükség van T , X és Yˇ els˝o és második momentumaira. Az SA periódusid˝o varianciája ezekb˝ol V ar(G) = E(G2 ) − E(G)2 . 13

Következmény Tegyük fel, hogy a magasabb rétegbeli kapcsolatok száma két HIP-képes végpont között leírható M/G/∞ típusú sorral, ahol λ a kapcsolatfelépítések intenzitása, a kapcsolattartási id˝o eloszlása tetsz˝oleges, és T az UAL paraméterek minimuma. Ekkor az SA periódusid˝o els˝o momentuma E(G) =T +

E(X) (1 − p)E(Yˇ ) + . p p

(9)

G második momentuma E(G2 ) =E(X 2 ) + E(Z 2 ) + 2E(X)E(Z),

(10)

ahol Z, E(Z) és E(Z 2 ) (4), (5) és (6) egyenletekkel számolható. Tetsz˝oleges kapcsolattartási id˝o esetén (A.18) és (A.19)-et kell behelyettesíteni (9) és (10)be, azonban ezt hosszadalmas lenne bemutatni. Szimbolikus matematikai megoldókkal megkaphatjuk a kifejezésüket. Következmény Ha a kapcsolattartási id˝o µ paraméter˝u exponenciális eloszlással leírható, akkor G els˝o momentuma kiszámítható úgy, hogy 1

eλ(T + µ ) − 1 E(G) = , λ

(11)

illettve a második momentuma  λ(T µ+2) 2λ(T µ+1) λ(T µ+1) 2 E(G ) = − 2 e µ T λ + e µ − e µ − λ  Z ∞ λ(T µ+2) λeµt −µ2 t−λ µ −e µ λ tλe dt . 2

(12)

t=0

1.3. Tézis. [J3] A BEX intenzitás két HIP végpont között b =e−λE(S) e−λ·T λ, λ

(13)

feltéve, hogy a magasabb rétegbeli kapcsolatok száma két HIP-képes végpont között leírható M/G/∞ típusú sorral, ahol λ a kapcsolatfelépítések intenzitása, a kapcsolattartási id˝o eloszlása tetsz˝oleges E(S) várható értékkel, és T az UAL paraméterek minimuma. A tézis bizonyítását a disszertáció 2.3.5. pontja tartalmazza (ld. Theorem 2.3.4 bizonyítása).

4.1.4. Hálózati modell A 4. ábra szemlélteti a hálózati modellemet és paramétereket. Az UE-k csatlakozási, kapcsolatfelépítési és mobilitási viselkedésével kapcsolatban egyszer˝u feltételezésekkel éltem, hogy még kézben lehessen tartani a jelzésviselkedés analitikus leírását, és nem mentem bele a közöttük lév˝o kapcsolatok vizsgálatának részleteibe. Az UE-k egy N méret˝u, nagyon 14

α, ω γ

UE UE UE

γ

AN

AN: access network TN: transport network UE: user equipment GW: gateway

GW RVS

AN

α, ω UE UE UE

AN

TN

λ, μ

GW

GW GW AN

γ

UE UE UE

α, ω

UE UE UE

γ α, ω

N: number of UEs M: number of GWs α: attachment rate ω: detachment rate λ: session establishment rate μ: session duration rate γ : mobility rate

4. ábra. Hálózati modell.

széles populációt képeznek. α rátával kapcsolódnak a hálózathoz és tetsz˝oleges eloszlású, 1/ω átlagú ideig maradnak felcsatlakozva. A csatlakozható UE-k számát nem korlátozom. Az el˝oz˝o feltételezések miatt M/G/∞ sorral leírható a csatlakozott UE-k száma, amely átlaga NUE = Nωα . Az UE-k peer-jeinek száma NUE − 1. Az UE-k egyenletesen vannak elosztva a hozzáférési hálózatokban (AN-ek). M db GW van a hálózatban, így minden GW NMUE UE számára biztosít hozzáférést. Az adatkapcsolatok száma egy UE és a többi UE között, feltételezésem szerint, M/G/∞ folyamat szerint alakul, azaz, a kapcsolatfelépítések λ intenzitású Poisson folyamat szerint zajlanak, a kapcsolattartási id˝o tetsz˝oleges eloszlású E(S) = 1/µ átlaggal, és NSE = µλ egy UE által kezdeményezett kapcsolatok száma a hálózatban. Az UE-k mobilitását tekintve feltételezem, hogy egy UE γ paraméter˝u exponenciális id˝oközönként vált GW-t. Következésképpen, kdb GW teljes bejárási ideje (Vk ) megadható k γ k független exponenciális eloszlású változó összegeként, azaz Vk LT-ja Vk∗ (s) = ( s+γ ) . Következmény Két UE közötti, egy UE és a hozzáférési GW-e közötti, illetve két GW közötti kapcsolatfelépítési intenzitás (amelyeket sorrendhelyesen λA , λB és λC jelöl) kifejezhet˝o úgy, hogy 2λ , NUE − 1 λB =2λ, 2NUE λ λC = . M2 λA =

(14) (15) (16)

bA , λ bB , λ bC -vel, A továbbiakban, a 4.1.4. következményben definiált csomópontpárok között λ illetve E(GA ), E(GB ), E(GC )-vel jelöljük a BEX rátákat, illetve átlagos SA periódusid˝oket. A kapcsolatok beérkezési intenzitása, az átlagos SA periódusid˝o és a BEX ráta közötti 15

kapcsolat bi =E(Gi ) + E(Gi ) = E(Gi ) + 1/λi , 1/λ

(17)

összefüggéssel jellemezhet˝o, amely tagjait alsóindex nélkül ábrázoltam a 2. ábrán. Mivel a kapcsolatfelépítések Poisson folyamat szerint, λi rátával történnek, az egymást követ˝o SA periódusok között eltelt id˝o átlaga E(Gi ) = 1/λi . 4.1.5. HIP update eljárások rátája E-E HIP és UFA HIP architektúrában 1.4. Tézis. [J3] A 4.1.2. fejezetben bevezetett jelölések felhasználásával, és a 4.1.4. fejezetben tárgyalt hálózati modell feltételezésével kifejeztem különféle update eljárások átlagos intenzitását E-E és UFA HIP architektúrában. Az eredmények az alábbi eljárások átlagos intenzitását tartalmazzák: • az UE-k közötti kapcsolatfelépítések miatt a GW-ek között megjelen˝o–BEX procedúrát helyettesít˝o–update eljárások intenzitása UFA HIP-ben, amelyet λSE,U -vel jelölök (session establishment, SE), • SA újrakulcsolási eljárások intenzitása, amelyet λRK jelöl (rekeying, RK), • RVS frissítési eljárások rátája, amelyet λRV jelöl (rendezvous, RV), • jelzésdelegációs update eljárások különböz˝o típusainak intenzitása, amelyeket νA , νB , νC jelöl (delegation of rights, DR). Az analitikus kifejezések bizonyításait a disszertáció 2.3.6. pontja tartalmazza. A bizonyítás pontos helyét az egyenletek után adom meg, a következ˝o jelöléssel: ’(ld. Theorem / Corollary / Lemma X.Y bizonyítása)’ UFA HIP architektúrában BEX vagy UPDATEw/CERT (azaz CERT paraméter(eke)t tartalmazó update) eljárás fog megindulni a GW-ek között amikor két UE kapcsolatot létesít egymással és nem létezik köztük HIP HA. Gyakorlatban hasznos lehet e két folyamat inbC megadja az UE-k kapcsolatfelépítési folyamatai által a GW-ek tenzitásának ismerete. λ között okozott BEX eljárások intenzitását. (17) írja le a BEX intenzitás kapcsolatát az átlagos SA periódusid˝ovel és a kapcsolatfelépítések beérkezési intenzitásával. A BEX intenzitás (13)-el számolható, λC , µ és T változók megadásával. A kapcsolatfelépítések miatti UPDATEw/CERT eljárások rátája UFA HIP-ben két GW között kiszámolható úgy, hogy NUE (NUE − 1) b bC λA − λ (18) M2 feltéve, hogy a 4.1.4. pontban megadott szintetikus hálózati modellünk van, ahol az UE-k közötti kapcsolatok számajleírható k M/G/∞-típusú sorral (ld. Theorem 2.3.8 bizonyítása). G Egy SA periódus alatt TKEY − 1 darab újrakulcsolási eljárás történik. Az SA periódusid˝o komplementer eloszlásfüggvénye alapján (ld. 1.2. tézis), az újrakulcsolási ráta két HIP végpont között megadható úgy, hogy λSE,U =

λRK

b =λ

∞ X

F G (iTKEY )

i=1

16

(19)

(ld. Theorem 2.3.9 bizonyítása). E-E HIP esetén, az egy UE-t˝ol származó RVS update eljárások intenzitása λRV,E-E =1 +

∞ X

F V1 (iTRVS )γ

(20)

i=1

(ld. Corollary 2.3.10 bizonyítása). UFA HIP esetén, az RVS firssítéséhez egy GW átlagosan λRV,UFA =

γ NUE 1 · + M M TRVS

(21)

intenzitással okoz UPDATEw/CERT eljárást (ld. Lemma 2.3.11 bizonyítása). A jelzésdelegációval kapcsolatban három fajta update eljárás jöhet létre UFA HIP-ben. Ezeket a 5. ábra szemlélteti. Az A esetben az el˝oz˝o GW továbbruházza a jelzési jogokat

ξ1 B

GW

A

V1

GW

ξ2 A

B

A

GW

GW

GW

V2

V3

C

A

GW

TDEL

5. ábra. A jelzésdelegációval kapcsolatos update eljárások intenzitásának számításához használt modell.

a következ˝o GW-nek. Ilyenkor az el˝oz˝o GW-nek létre kell hoznia egy új jelzésdelegációt engedélyez˝o tanúsítványt, amelyet hozzáf˝uz az UE tanúsítványláncához. B esetben a tanúsítványlánc elérte a maximális lehetséges hosszt (L) az el˝oz˝o GW-nél, ezért az UE újraregisztrál a következ˝o GW delegációs szolgáltatására. Ebben az esetben az UE-nek kell létrehoznia a tanúsítványt és a régi tanúsítványlánc érvénytelenné válik. A és B esetek GWek közötti HO esetén történnek. A C eset független a HO-t˝ol, ebben az esetben a delegáció élettartama, TDEL , lejár, ezért új jelzésdelegációs tanúsítványt oszt ki az UE a GW-nek. Gyakorlatban fontos ismerni, hogy az UE milyen gyakran kell, hogy jelzésdelegációs tanúsítványt hozzon létre. Ez a B és C esetekben következik be. Az esetek el˝ofordulási rátáját νB és νC -vel jelöljük. UFA HIP-ben azon az események átlagos intenzitása, amikor abból kifolyólag, hogy a delegációs lánc elérte a maximális hosszát (B eset) vagy a delegáció élettartama lejárt (C eset), és ezért az UE újra regisztrál delegációs szolgáltatásra, kifejezhet˝o úgy, hogy F VL (TDEL ) and E(ξ) FV (TDEL ) , νC = L E(ξ)

νB =

17

(22) (23)

(ld. Corollary 2.3.12 bizonyítása). Jelölje ξ azt a periódusid˝ot, amely két tanúsítványlétrehozás között telik el egy UE-n. Annak az intenzitása, hogy HO során a GW továbbruházza egy másik GW-nek egy adott UE jelzésdelegációs jogosultságait (A eset), kiszámolható úgy, hogy νA =E(NA )/E(ξ),

(24)

ahol E(NA ) az A események átlagos száma ξ periódus alatt és L−2 Z X E(NA ) =(L − 1)F VL−1 (TDEL ) + k k=1

TDEL

e−γ(TDEL −x) fVk (x)dx

(25)

x=0

(ld. Theorem 2.3.13 bizonyítása). 4.1.6. Az update eljárások CERT paraméterében küldött tanúsítványláncok átlagos hossza 1.5. Tézis. [J3] A 4.1.4. fejezetben bemutatott hálózati modell feltételezésével kifejeztem a jelzésdelegációs tanúsítványláncok átlagos hosszát két esetre: • a HO második fázisában az el˝oz˝o GW-t˝ol a következ˝o GW-nek küldött tanúsítványlánc átlagos hossza UPDATEw/CERT eljárásokban, az UE jelzési szerepkörének továbbruházására (diszkrét átlag az eljárások számára vonatkozóan), és • a meghatalmazott (mandated) update eljárásokban a delegált által küldött tanúsítványlánc átlagos hossza (folytonos idej˝u átlag). A bizonyításokat a disszertáció 2.3.7. pontja tartalmazza. Annak a valószín˝usége, hogy az el˝oz˝o GW-t˝ol a következ˝o GW-nek küldött tanúsítványláncban k db tanúsítványt találunk a HO második fázisában bekövetkez˝o UPDATEw/CERT eljárásokban,  F (T )  PL VL DEL , if k = 1, l=1 FVl (TDEL ) (26) Pr{k cert.} =  PFLVk−1 (TDEL ) , if k = 2..L. F (T ) l=1

Vl

DEL

PL

k=1 kPr{k cert.} megadja a tanúsítványlánc átlagos hosszát (ld. Theorem 2.3.14 bizonyítása). UFA HIP terhelésében fontos tényez˝o a delegációs lánc átlagos hossza, mivel befolyásolja a jelzésüzenetek hosszát és számát meghatalmazott update eljárásokban. Jelölje E(Ncerts ) egy UE delegációs láncának átlagos hosszát id˝oben, és Ai (i = 1..L) az i hosszúságú tanúsítványlánc élettartamát. Meghatalmazott (mandated) update eljárásokban a delegált által küldött tanúsítványlánc átlagos hossza

E(Ncerts ) =

L X i=1

(ld. Theorem 2.3.15 bizonyítása).

E(Ai ) i · PL j=1 E(Aj )

18

(27)

4.1.7. HIP HA és IPsec SA bejegyzések stacionárius száma az UE, GW és RVS komponensekben E-E és UFA HIP jelzési sémáknál 1.6. Tézis. [J3] Kifejeztem az IPses SA és HIP HA bejegyzések stacionárius számát az UE, GW és RVS komponensekben E-E és UFA HIP architektúra esetén, a 4.1.4. pontban leírt hálózati modell feltételezésével. Ezekkel leírható az HIP és IPsec jelzések átlagos memóriafogyasztása. A bizonyításokat a disszertáció 2.3.8. pontja tartalmazza. Jelölje Ci,j , illetve Di,j a HA, illetve SA adatbázis bejegyzések átlagos számát. i = 1, 2, 3 index sorrendben az UE, RVS és GW komponensekre; j = 1, 2 az E-E és UFA HIP-re utal. E-E HIP esetén bA E(GA ) C1,1 = (NUE − 1)λ

és

D1,1 = 2C1,1 .

UFA HIP esetében C1,2 = C1,1 . Az UE-t tekintve azért egyezik meg a két jelzési séma HAszám igénye, mivel mindkét esetben ugyanazok a kapcsolatfelépítési folyamatok. Azonban UFA HIP esetén csak egy SA párra van szükség az UE és az aktuális kiszolgáló GW-je között. Bármelyik peer-jével kommunikál az UE, ezt az SA párt használja. Ennek következtében, bB E(GB ). D1,2 =2λ

E-E HIP-ben minden UE fenntart HA-t az RVS-sel, így C2,1 = NUE és D2,1 = 2C2,1 . UFA HIP-ben a GW-ek is kiépítenek HA-t az RVS-sel, így C2,2 = NUE + M . Azonban csak a GW-ek létesítenek SA párokat az RVS-sel, ezért D2,2 = 2M . A GW-ben, UFA HIP esetében, az SA bejegyzések az UE-k felé (hozzáférési hálózatbeli) és a GW-ek irányában kiépített (transzporthálózatbeli) SA párokhoz tartoznak. Ezért NU Es b bC E(GC ) + 2. 2λB E(GB ) + (M − 1)2λ M A HA bejegyzések számának tekintetében, egy HA bejegyzésre van szükség SA páronként, illetve az összes delegált UE és azok aktív peer-jei közötti bejegyzések is beletartoznak. Ebb˝ol kifolyólag D3,2 =

C3,2 =

D3,2 NUE bA E(GA ). + (NUE − 1)λ 2 M

4.1.8. A HIP teljesítményének vizsgálata E-E HIP és UFA HIP architektúrában 1.7. Tézis. [J2] A 1.2–1.6. tézisekben leírt analitikus modell segítségével összehasonlítottam az E-E HIP és UFA-HIP architektúrák teljesítményét. A jelzési eljárások CPU és üzenetigényét valós teszthálózatban végzett mérésekb˝ol származtattam. Az eredmények szerint, a vizsgált forgatókönyvekben a jelzésdelegáció bevezetésének hatására csökken az UE, a hozzáférési hálózat és rendezvous szerver terhelése, azonban n˝o az elosztott GW és mag transzporthálózat terhelése. A modellem iránymutatást képes nyújtani a maximális jelzésdelegációs tanúsítványlánc hosszának, a GW-ek elosztottsági fokának és a HIP paramétereknek a beállításához. 19

Négy forgatókönyvet definiáltam, amelyek paramétereit a 2. táblázat foglalja össze. A részletes leírásukat a disszertáció 2.4.1. fejezete tartalmazza. 2. táblázat. Bemeneti paraméterek a forgatókönyvekhez. Scenario 1 Scenario 2 Alacsony mobilitás Magas mobilitás γ TUAL TKEY TDEL N M α ω λ µ TRVS TDELgw L

az UE mobilitási rátája unused association lifetime újrakulcsolási élettartam delegáció élettartam UE-k száma GW-ek száma UE csatlakozási rátája UE lecsatlakozási rátája UE kapcsolatfelépítési rátája UE kapcsolattartási ráta RVS regisztráció élettartama GW-ek közti delegáció élettartama delegációs lánc maximális hossza

M/1E06 min−1 15 min 6h 1h

Scenario 3 Scenario 4 Magas élettertamok Alacsony élettartamok

M/1E05 min−1 M/1E06 min−1 15 min 1 day 6h 1 week 1h 1 day 1E06 1E04 1 day−1 1 day−1 1/10 min−1 1/30 min−1 1 hour 1 week 3

M/1E06 min−1 0 sec 1h 15 min

A 1.7. tézis eredményeit a disszertáció 2.4.2. pontja foglalja össze. A f˝o eredmények a következ˝ok: 1. Az UFA HIP az elvárásoknak megfelel˝oen csökkentette a jelzések terhelését a jelzésdelegációs szolgáltatásnak köszönhet˝oen. Az E-E HIP-hez képest jobban teljesít az UE, AN és RVS részeken, azonban rosszabbul teljesít a mag transzporthálózati részeken és a GW-en. A 3. táblázat a teljesítménynyereségeket szemlélteti a hálózat különböz˝o részein, azaz az UE-n, RVS-en, az összes hozzáférési (AN) és transzporthálózatban (TN). 3. táblázat. Az UFA HIP nyereségei az E-E HIP-hez képest.

CPU kihasználtság az UE-n CPU kihasználtság az RVS-en jelzési adatsebesség az AN-ben jelzési adatsebesség a TN-ben

Scen. 1 Alacsony mobilitás 62% 74% 59% −62%

Scen. 2 Magas mobilitás 71% 15% 56% −350%

Scen. 3 Hosszú élettartamok 67% 58% 64% −74%

Scen. 4 Rövid élettartamok 47% 91% 50% −32%

2. Tisztán láthatóak a jelzésdelegáció bevezetésének hatásai a terhelésben. A maximum delegációs lánc hosszát illet˝oen, ha növeljük L-et az enyhén növeli mindenhol az er˝oforrások kihasználását. Következésképpen, 1024-bites RSA alapú jelzésdelegációs szolgáltatásnál, 1260 bájtos MTU méret (ami minimumkövetelmény) és a HIP CERT paraméterre ajánlott fragmentációs eljárás feltételezése mellett a legjobb teljesítmény akkor érhet˝o el, ha az UE minden GW-átadásnál (HO) újra delegálja a jelzési jogokat a GW-nek, vagyis L = 1-re állítjuk. A 6. ábra a magas mobilitású (2.) forgatókönyv esetén szemlélteti az UE és GW átlagos CPU terhelését, és a jelzés adatsebességét a hozzáférési és mag transzporthálózatokban. 3. Az UFA HIP architektúra elosztottsági fokának meghatározásához a tervez˝oknek érdemes figyelembe venniük a GW-ek számának hatását a HIP jelzések terhelésére a 20

(a) UE CPU terhelése.

(b) GW CPU terhelése.

(c) Jelzés adatsebessége az AN-ben.

(d) Jelzés adatsebessége a CN-ben.

6. ábra. Er˝oforrás kihasználtság a delegációs lánc maximális hossza (L) és TDEL függvényében a magas mobilitási forgatókönyv esetén.

mag transzporthálózatban és elosztott GW-eken. A mag transzporthálózat terhelése a hálózat elosztottságától és az UE-k GW-ek közötti átadásának intenzitásától függ. Az UE GW-közötti HO intenzitásától függ˝oen, ha az UE-k GW-enkénti száma több, mint [1000, 10000], akkor az UFA HIP az E-E HIP-el egyenl˝o mértékben vagy kevésbé terheli a transzporthálózatot. Azonban, ha túlságosan elosztott az architektúra, és egy GW [10, 100] UE-t szolgál ki átlagosan, a mag transzporthálózat terhelése 5-7-szerese lehet az E-E HIP-éhez képest. 4. A modellel iránymutatás adható a protokoll paraméterek optimális beállításához a jelzésterhelés alacsonyan tartása érdekében.

21

• Az SA periódusidejének eloszlását tekintve, az SA periódusid˝o minimuma TUAL . • Minél alacsonyabb TUAL , annál kevesebb SA és HA bejegyzéseket kell a HIP peer-eknek tárolnia. Az forgatókönyveimben, TUAL = 1E+04 sec esetén az SA és HA bejegyzések száma ∼ 100 az UE-ben (E-E HIP és UFA HIP esetén), és ∼ 1E+04 a GW-ben UFA HIP esetén. TUAL változtatásának kis hatása van a hálózati elemek és szegmensek terhelésére. TKEY -t nem szabad túl alacsony értékre állítani, azaz 3 óra alá, mert nagymértékben növeli az RVS és a hozzáférési és mag transzporthálózat terhelését. UFA HIP azonban kevésbé érzékeny az alacsony TKEY értékekre, mint az E-E HIP, ha az RVS és a mag transzporthálózat terhelését vesszük figyelembe. • TRVS értékét gondosan kell megválasztani E-E HIP esetén, azaz nem érdemes bizonyos érték alá állítani. Az általam megadott bemeneti paraméterek mellett nem célszer˝u 2-3 óránál, vagy 5-10000 másodpercnél lejjebb állítani, mert ez az RVS, hozzáférési és mag transzporthálózat túlzott terheléséhez vezetne. Az UFA HIP sokkal kevésbé érzékeny TRVS alacsony értékeire. Érdekes észrevétel továbbá, hogy RVS irányában valójában nincs is értelme TUAL -ról beszélni, mivel nem megy felhasználói adat az irányába. • UFA HIP-ben a TDEL értékét nem érdemes túl alacsony értékre (nevezetesen 15 perc) alá állítani. Túlságosan megnövelné az UE, GW és hozzáférési hálózatok terhelését. Másfel˝ol, ha TDEL értéke túl nagy, akkor ez lehet˝ové teszi hosszabb tanúsítványláncok kialakulását, amely a mag transzporthálózatban és az RVS-nél mutatja meg enyhe negatív hatását. Az RVS terhelése azonban nemcsak TDEL -t˝ol függ. Egyedül akkor n˝o kissé az RVS a terhelése, ha magas a GW-átadás ráta a hálózatban és TDEL és L is magas értékre van állítva. A mag transzporthálózat terhelésének alakulására ugyanez mondható el.

4.2. Mobilhálózat-jelzéseket véd˝o biztonsági szolgáltatások terhelésének meghatározása 2. téziscsoport: Ebben a téziscsoportban egy analitikus modellt javaslok, amellyel jellemezni tudjuk az IPsec és IKEv2 EAP-TLS protokollok terhelését MIPv6 jelzések védelme során. A modellem segítségével összehasonlítom az ajánlások által javasolt különféle biztonsági irányelvek és algoritmuskészletek hatását a biztonsági szolgáltatások terhelésére. Az eredmények azt mutatják, hogy biztonsági beállítások között fontos tényez˝o a hitelesítési módszer típusa dinamikus SA kiépítés esetén. A modellem hátárnya, hogy nem számol olyan részletekkel, amelyek valós implementációkban jelen vannak, másrészt az analitikus elemzéshez az eljárások nehézkes, részletekbe men˝o vizsgálata szükséges. Ezért egy 3G teszthálózatban kidolgoztam egy mérési eljárást, amelyben hálózatemulátor felhasználásával mobilitás szolgáltatás engedélyezési (MSA) és hálózat hozzáférés engedélyezési (ASA) forgatókönyvek széles skálája vizsgálható. Ebben több HIP és IKEv2 alapú hitelesítési módszer teljesítményköltségeit meghatároztam. Az eredmények hasznosak lehetnek pl. TS szolgáltatások tervezésnél és csomópont vagy hálózat méretezésnél. 22

4.2.1. Biztonsági irányelv és algoritmuskészlet választás hatása a jelzésterhelésre MIPv6 alapú mobilitási forgatókönyvekben 2.1. Tézis. [S1, C7, C8] A BCMP tétel [16] felhasználásával részletes analitikus modellt dolgoztam ki, amellyel tetsz˝oleges környezetben jellemezhet˝o a MIPv6 jelzések védelmét ellátó IPsec szolgáltatások és Diameter szervert alkalmazó IKEv2 EAP-TLS szolgáltatás terhelése különféle biztonsági irányelvek és algoritmuskészletek választása esetén. A modell alkalmazásával összehasonlítottam három különböz˝o biztonsági irányelv és tíz különböz˝o algoritmuskészlet hatását a teljesítményköltségekre, és általános következtetéseket vontam le a beállítások kiválasztására vonatkozóan. Bemeneti paraméterként megadható a hálózati szegmensek és csomópontok kapacitása, a különböz˝o kriptográfiai algoritmusok átlagos processzálási igénye, a mobilitás modell paraméterei, és kiszámolható különböz˝o csomópontok vagy hálózati szegmensek kihasználtsága és késleltetése a HO végrehajtási és újrahitelesítési m˝uveletekre vonatkozóan. A MIPv6 IPsec-es védelmére sokféle beállítást ajánlanak [15] a mobil (mobile node, MN) és az otthoni ügynök (Homa Agent, HA) között. Az ajánlásokból két eltér˝o finomságú biztonsági irányelvet vizsgáltam meg tíz különböz˝o algoritmuskészlettel. Ezek a beállítások az IPsec és IKEv2 terhelését is befolyásolják. A kisebb finomságú irányelvre Policy 1-ként hivatkozom, amely kimondja, hogy minden MIPv6 jelzést alagutazó módú Encapsulating Security Payload (ESP) szolgáltatással kell védeni, titkosítás és üzeneteredet-hitelesség ellen˝orzés használatával. A második irányelv, amelyre Policy 2-ként hivatkozom, finomabb a Policy 1-nél. Kimondja, hogy a binding update és acknowledgment üzeneteket transzport módú ESP-vel kell védeni, és csak az üzeneteredet-hitelesség ellen˝orzés használatát követeli meg. A home test init és home test üzeneteket a Policy 1-hez hasonló módon kell védeni. Az egyéb MIPv6 jelzési üzeneteket nem vettem figyelembe, mivel azok nem jelennek meg minden HO-nél. Az algoritmusválasztás terén ötféle titkosító algoritmus, nevezetesen a DES, 3DES, 128 bites kulcsú AES (AES128), AES192 és AES256, illetve kétféle üzeneteredet-hitelesség ellen˝orz˝o algoritmus, nevezetesen a MD5-ös és a SHA-1-es HMAC algoritmus hatását vettem figyelembe. Ezek IPsec és IKE SA esetén is használatban vannak és összesen tízféle vizsgálati esetet eredményeztek. Policy 2 esetén az IKEv2 hitelesítési folyamatnak egy CREATE_CHILD_SA eljárást is meg kell indítania, míg Policy 1 esetén erre nincs szükség. Az összehasonlítás végett egy Policy-3 irányelvet is figyelembe veszek, amely semmilyen védelmet nem alkalmaz. Ebben az esetben csak a védtelen MIPv6 jelzések hálózatterhelésével számolok. A disszertáció 3.2.2. pontja írja le részletesen a számítási modellt, beleértve a sorbanállási hálózati modell definiálását a referencia forgatókönyvek alapján és két mobilitási forgatókönyv bevezetését. Az analízis f˝o eredményei a következ˝oek statikus IPsec konfiguráció használata esetén: • Látható, hogy a HA kihasználtságát tekintve, egyedül az autós mobilitási forgatókönyvben voltak jelent˝o különbségek a biztonsági irányelvek és algoritmuskészletek között. Magas mobilitású forgatókönyvek esetén érdemes fontolóra venni biztonság és teljesítményigények közötti kompromisszum keresését. A gyalogos forgatókönyv esetén a legbiztonságosabb beállítás nagyjából ugyanazt a terhelést okozza, mint a többi beállítás, ezért ez a természetes választás. Egyik forgatókönyvben sem jelent˝os a legbiztonságosabb beállítás esetén a HO végrehajtás átlagos válaszideje. 23

• A HO végrehajtás késleltetése mindkét mobilitási forgatókönyvben hasonló. A késleltetésben f˝oleg a hálózat késleltetése a f˝o tényez˝o, ezért csak az eltér˝o biztonsági irányelvek (illetve az emiatt adódó jelzési üzenetméret különbségek, nem pedig az eltér˝o algoritmuskészletek) eredményeztek különbséget az átlagos HO végrehajtási id˝o hosszában. Ennek következtében, ha egy alkalmazás érzékeny a reaktív módon m˝uköd˝o MIPv6 HO által okozott szolgáltatás-megszakadási id˝ore, akkor inkább a biztonsági irányelv hatását érdemes figyelembe venni, mivel ezek befolyásolják a jelzési üzenetméreteket. Az algoritmuskészlet választásnak nincs jelent˝os hatása a szolgáltatás-megszakadási id˝ore az általam vizsgált forgatókönyvekben. • Megvizsgáltam továbbá, hogy milyen átlagos MIPv6 HO intenzitás és felhasználószám mellett érjük el a HA teljes kihasználtságát a biztonsági szolgáltatások terhelése által. A Policy 2 és ezen belül az AES128 w/ MD5 engedi meg a legtöbb felhasználót és legnagyobb HO intenzitást. • Megvizsgáltam azt is, hogy milyen értéknél válnak fontos tényez˝ové az UE CPU sebessége, illetve a hozzáférési hálózat átviteli sebessége a MIPv6 HO végrehajtás késleltetésében. Egy hálózati szakasz vagy csomópont adott kihasználtság (pl. 95%) felett kezd dominálni a késleltetésben. Ha ezen a ponton jelent˝osen eltér a különböz˝o beállítások feldolgozási igénye, akkor érdemes megfontolni olyan biztonsági szolgáltatás tervezését, amely megfelel˝o kompromisszumot képes nyújtani a biztonság és teljesítmény között. Egyébként legmagasabb biztonsági szint˝u beállítás a többiekhez hasonló teljesítményt nyújt, és ezt célszer˝u kiválasztani. A mobilitás szolgáltatáshoz és a hálózathoz való hozzáférés engedélyezést és dinamikus IPsec SA tárgyalást lehet˝ové tev˝o IKEv2 EAP-TLS folyamatok az el˝oz˝o folyamatok mellett többletterhelést okoznak a különböz˝o hálózatrészeken. • Azáltal, hogy az UE és a HA közötti statikus IPsec beállításokról áttérünk dinamikus IPsec vezérlésre, drasztikusan csökken a maximálisan kiszolgálható felhasználók száma a HA-n, elfogadható újrahitelesítési intenzitás mellett. Az el˝oz˝o forgatókönyvekben, statikus IPsec alkalmazása esetén, ha a legnagyobb er˝oforrás-igény˝u algoritmuskészletet választjuk, és 105 db felhasználó 1/30 [sec−1 ] HO rátával mozog, a HA biztonsági szolgáltatások általi kihasználtsága 70%-ot ért el. A 4. táblázatban bemutatom, hogy hány felhasználó használna ki teljesen egy HA-t pusztán az IKEv2 újrahitelesítési folyamokkal néhány tipikus újrahitelesítési élettartam értéknél [21]. • Megvizsgáltam az UE és a hozzáférési hálózat sebességének hatását a teljes újrahitelesítés átlagos válaszidejére. 100 UE-t feltételeztem és az IKEv2 újrahitelesítési élettartamot 5 percre állítottam, ahol a HA és AAA szerver nem jelenthet sz˝uk keresztmetszetet. Megmutattam, hogy az UE, illetve hozzáférési hálózat sebességének 100 MIPS, illetve 10 kbps alá kell mennie, hogy sz˝uk keresztmetszetet okozhassanak és jelent˝osen, és jelent˝osen befolyásolják a válaszid˝ot.

24

4. táblázat. A HA teljes kihasználtságát okozó felhasználómennyiség. Újrahitelesítés élettartama ♯ of users

5 min 328

30 min 1971

1h 3942

4h 15770

8h 31539

4.2.2. IKEv2 és HIP alapú hitelesítési módszerek teljesítményének értékelése Az el˝oz˝o vizsgálatokból látszik, hogy analitikus modellekkel magyarázhatóvá tehetünk teljesítménybeli különbségeket, ugyanakkor nehézkes velük gyorsan eredményre jutni, mert nagyon részletes bemeneti adatokat igényelnek (pl. kriptográfiai m˝uveletek er˝oforrásigényének meghatározása, jelzési folyamatok igényeinek definiálása lépésenként, ahogy a protokoll el˝orehalad). Ezért célul t˝uztem ki, hogy egy egyszer˝ubb, gyorsabb és pontosabb módot találok a hitelesítési módszerek teljesítményköltségeinek meghatározására. Szimulációs vizsgálatok esetén az analízisnél is több fejlesztési id˝ore lenne szükség, és hasonló pontosságú eredményeket érnék el, mint analízissel. Mivel a vizsgált hitelesítési módszerek implementációi kisebb fejlesztések árán rendelkezésemre álltak ezért kézenfekv˝onek t˝unt valós mérések felé vennem az irányt. A valós mérés el˝onye a nagyobb pontosság, mivel az összes olyan folyamat terhelését méri, amit a részletes igényszámításokból és szimulációkból kihagynánk, de a valóságban szükség van rájuk (pl. szálak kezelése, naplózás, üzenetfeldolgozás). A valós mérések egyik hátránya, hogy csak adott környezetre igazak az eredmények. Ezt kiküszöbölend˝o, hálózatemulátorral képesek lehetünk tetsz˝oleges hálózati környezetet teremteni. 2.2. Tézis. [J9, J5, C6, C5, C1] Kidolgoztam egy mérési eljárást, amely alkalmas mobilitás szolgáltatás engedélyezési (MSA) és hálózat hozzáférés engedélyezési (ASA) forgatókönyvek széles halmazának vizsgálatára, Wi-Fi, UMTS, HSDPA és korlátozott sávszélesség˝u hozzáférési hálózatok felett. Az irodalomban talált teljesítményvizsgálatoknál részletesebb és átfogóbb összehasonlító méréseket végeztem különböz˝o IKEv2 és HIP alapú hitelesítési módszerekre, és meghatároztam ezek CPU, üzenetméret, üzenetszám és, egyes esetekben, memória igényét. Az eredmények felhasználhatóak teljesítményindikátorok becslésére különböz˝o környezetekben, ami hasznos lehet pl. dinamikus biztonsági szolgáltatások tervezési és futási fázisaiban, hitelesítési módszerek alkalmassági vizsgálatánál, illetve hálózat és csomópont méretezési feladatoknál. A mérések két problémakört fednek le, amelyeket a disszertáció 3.3.1. pontjában írok le részletesen. ASA és MSA forgatókönyvek megvalósítása IKEv2 alapú módszerekkel A mérések egy része olyan eseteket fed le, amikor az UE egy hozzá közeli GW-en keresztül kapcsolódik a mobilhálózathoz, és a GW közel van a hozzáférést engedélyez˝o AAA szerverhez. Vannak forgatókönyvek, amikor az UE távolról éri el a GW-t, pl. nomád felhasználók esetében. Harmadrészt olyan forgatókönyv is kialakításra került, amelyben az UE idegen hálózatban van (roaming-ol), közel van hozzá a GW, viszont attól távol esik az AAA szerver. Az alábbi módszerek kerültek kiértékelésre: IKEv2 PSK, EAP-MD5, EAP-SIM, EAP-TLS, EAP-PEAP MSCHAPv2-vel, EAP-TTLS MD5-el. 25

TLS, TTLS és PEAP esetén két altípust is megkülönböztetek, amelyek a felhasználó és AAA tanúsítványláncának hosszában különböznek, a tanúsítványlánc hosszának hatásának vizsgálata érdekében. ASA forgatókönyvek jöv˝obeli elosztott EPC-ben HIP és IKEv2 alapú módszerekkel Az egyik célom volt jöv˝obeli elosztott EPC hálózatok esetére megvizsgálni, hogy a hitelesítési módszerek milyen elosztottságú hálózatnál teljesítenek a legjobban hitelesítési késleltetés tekintetében. Ezért bevezettem a központosított, elosztott és teljesen elosztott EPC forgatókönyveket. Emellett f˝o célkit˝uzésem volt, hogy a korszer˝u HIP DEX-AKA teljesítménynyereségét megvizsgáljam az IKEv2 EAP-AKA módszerhez képest, amelyet megbízhatatlan, nem-3GPP hozzáférési hálózatokban ajánl a szabvány. A vizsgált módszerek az alábbiak voltak: HIP BEX, DEX, DEX-AKA és IKEv2 EAP-AKA valós Huaweii HSS-sel a háttérben, továbbá IKEv2 PSK és EAP-TLS. A mérési eredményeket a disszertáció 3.3.2. fejezete foglalja össze.A f˝o eredmények az alábbiak: • Az irodalomban fellelhet˝o korábbi eredményeket alátámasztó, viszont többféle forgatókönyvet is átfogó mérések segítségével részletekre kiterjed˝oen bemutattam az egyes hitelesítési módszerek késleltetés, CPU számítási, és üzenet darabszám és méretbeli igényét, így az egyes módszerek relatív teljesítményigénye összehasonlíthatóvá vált. • Az eredmények felhasználhatóak a hitelesítési módszerek újrahitelesítési idejének vagy más sorbanállási metrikák (pl. kihasználtság, várakozási id˝o) közelít˝o becslésére tetsz˝oleges hálózatban, feltéve, hogy hasonló processzorarchitektúrával rendelkeznek a csomópontok, mint a tesztkörnyezetben, és ismertek a hálózatszegmensek átviteli karakterisztikái, illetve az UE, GW, AAA szerver a CPU frekvenciája. • A kiterjedt méret˝u hálózatokra tervezett hitelesítési módszerek az elosztott EPC forgatókönyvben okozták a legalacsonyabb újrahitelesítési késleltetést. A teljesen elosztott forgatókönyvben kicsit gyengébben teljesítettek, és a központosított EPC-ben teljesítettek a legrosszabbul. • Az eredmények azt mutatják, hogy a HIP DEX és DEX-AKA módszerek nagyban csökkentik a teljesítmény költségeket a jelenleg 3GPP-ben alkalmazott módszerekhez képest ezért érdemes M2M vagy kis sebesség˝u WPAN forgatókönyvekben alkalmazni o˝ ket.

4.3. Jelzési sémák alkalmassági vizsgálata mobilhálózatokban 3. téziscsoport: Ebben a téziscsoportban egy új módszerre, az mMAHP-ra teszek javaslatot, amelyet TS szolgáltatások tervezésére lehet használni. A javasolt módszer alkalmazását egy kontextusfügg˝o IKEv2 hitelesítési módszer kiválasztási problémám szemléltetem heterogén környezetben. Ezután kiterjesztem az mMAHP módszert két újabb problémakörre, nevezetesen a jelzési sémák alkalmassági vizsgálatára UFA számára, és létez˝o és új hitelesítési módszerek alkalmassági vizsgálatára jöv˝obeni elosztott 3GPP hálózatokban. 26

Irodalmi kutatás során tanulmányoztam létez˝o TS szolgáltatásokat az alkalmazási [22], szállítási [23], hálózati [24] és adatkapcsolati [25] réteg szintjén. Ez alapján javasoltam egy egyszer˝u leírást, amellyel jellemezni lehet létez˝o és jöv˝obeli TS módszereket [S2, C9] és iránymutatást nyújthat TS módszerek tervezéséhez [J10, C10, C11, M1]. A TS szolgáltatások f˝obb jellemz˝oi a biztonsági beállítások, alkalmazás és környezetleírók, a hangolási folyamat (ki a hangoló entitás, és milyen követelményeket részesít el˝onyben), és a TS függvény, vagyis a döntési folyamat, ahogy ezt a disszertáció 4.1.1. pontja leírja. A tanulmányozott szolgáltatások egy részét összefoglaltam a disszertáció 4.1.1.1. pontjában. 3.1. Tézis. [C2, J10, S2] Létrehoztam egy új módszert többszempontú döntést igényl˝o TS szolgáltatások tervezéséhez, amelyet modified Multiplicative Analytic Hierarchy Process (mMAHP)-nek neveztem el. Az MAHP módszer [8] teljesítményosztályozó és pontösszesít˝o függvényein változtattam, amelyek lehet˝ové teszik a kemény korlátokat nem teljesít˝o alternatívák automatikus elutasítását. A modellem mentes a sorrend-felcserél˝odési problémától és hatékonyan képes felügyelni a döntéshozók és hangoló entitások által támasztott igények betartását. Hager [12] és Johnson [26] által javasolt AHP-alapú döntéshozó módszerekhez képest, a módszerem nem rögzíti, hanem szabadon hagyja, hogy az alternatívák preferencia-szintje az aktuális teljesítményeik függvényében alakuljon a különböz˝o kontextusok (szempontok) alatt. A szempontsúlyokat alapvet˝oen a döntéshozók és a hangoló entitások határozzák meg, nem pedig a monitorozott kontextus-szinteknek megfelel˝oen alakulnak. Az mMAHP módszert a disszertáció 4.2.2. pontjában írom le részletesen. A módszerben el˝obb osztályozófüggvényeket rendelek teljesítmény-, biztonság- és egyéb indikátorokhoz, amelyek a döntéshozók preferenciáit tükrözik. Ezáltal szempontonként kapunk egy rangsort. Ebben a fázisban lehet megadni szigorú korlátokat teljesítménymetrikákhoz. A második fázisban következik a rangsorösszesítés, amelyben meg kell adni a szempontok súlyozását. Ezzel a döntéshozó(k) kifejezheti(k), hogy milyen kompromisszumot tesz(nek) a különböz˝o szempontok között. A módszer m˝uködését egy olyan szolgáltatás tervezésével szemléltettem, amely kontextusfügg˝o IKEv2 hitelesítési mód kiválasztást valósít meg Wi-Fi és UMTS hálózatban. A szolgáltatás figyelembe veszi a felhasználóra és hálózatra vonatkozó minimális hitelesítési követelményeket; a használhatóságot, amelyet a hitelesítés késleltetések által okozott szolgáltatás megszakadási id˝ovel mér; és a felhasználó oldali energiafogyasztást, amelyet CPU foglaltsági id˝ovel indikál. Állítható a teljesítmény és biztonság közti kompromisszum. A környezetben többféle hozzáférési hálózat és tetsz˝oleges számítási sebesség˝u UE is jelen lehet. Öt hitelesítési módszert tételeztem fel a biztonsági beállítások halmazában: PSK, EAPMD5, EAP-SIM, PEAP MSCHAPv2-vel és EAP-TLS. Az UE CPU foglaltsági idejének és a hitelesítési késleltetésnek a becsléséhez a 2.2. tézisben kapott CPU, üzenetszám és méret igényeket használtam fel. Emellett szükség volt még az UE-k CPU kapacitására és a hálózati szakaszok késleltetés és átviteli sebességére a vizsgált forgatókönyvekben, amelyeket valóságban hálózatmonitorozó szolgáltatások vagy költségtérképek szolgáltathatnának. Az eredmények rámutattak arra, hogy hálózati környezet függvényében, az UE CPU kapacitásától, illetve a biztonság és teljesítmény közötti kompromisszumtól függ˝oen más hitelesítési módszert célszer˝u választani. Pl. ha opcionális a hálózathitelesítés, akkor az UE 27

PSK

MD5

SIM

TLS

PEAP

PSK

MD5

SIM

TLS

PEAP

1.6 Terminal scores of the alternatives under the main criterion.

Terminal scores of the alternatives under the main criterion.

2

1.5

1

0.5

0 0

1.4 1.2 1 0.8 0.6 0.4 0.2 0 0

500 1000 1500 2000 2500 3000 CPU frequency of the initiator [MHz]. WiFi scenario, csec = 0.5, cperf = 0.5, Pmin,user auth. = 1, Pmin,net. auth. = 0

500 1000 1500 2000 2500 CPU frequency of the initiator [MHz]. UMTS scenario, c = 0.5, c = 0.5, P = 1, P sec

perf

min,user auth.

3000

min,net. auth.

=0

7. ábra. A hitelesítési módszerek végs˝o pontértéke változó felhasználó oldali CPU sebesség mellett.

CPU sebességét˝ol függ˝oen az EAP-SIM vagy az EAP-TLS a legjobb választás, ahogy ezt a 7. ábra szemlélteti. Legyen bármilyen a felhasználói oldali CPU és hozzáférési hálózat sebesség, vagy bármilyen a biztonság, teljesítmény és használhatóság súlyozása, bizonyos beállítások soha nem fognak kiválasztásra kerülni a megadott szempontrendszerben, ezért ezek használatát el kell utasítani. 4.3.1. UFA jelzési sémák értékelése 3.2. Tézis. [J7, C3] Kiterjesztettem az mMAHP módszert az Ultra Flat Architektúra jelzési sémáinak alkalmassági vizsgálatára. Több döntéshozó véleményét és mobilhálózatokkal kapcsolatos követelményeket figyelembe véve bevezettem egy hálózati modellt és egy kritériumrendszert, amely teljesítményre, biztonságra, telepítésre és nem SIP-es alkalmazások támogatására vonatkozó el˝oírásokat tartalmaz. Minden kritériumhoz teljesítményindikátort rendeltem és osztályzófüggvényt definiáltam. A módszerem alkalmazásával megvizsgáltam négy különböz˝o alternatíva, azaz a SIP, MIP, PMIP, és HIP alapú jelzési sémák alkalmasságát az UFA vezérl˝o síkjának megvalósítására, és iránymutatást adtam a kiválasztásukhoz. Az értékelés részleteit a disszertáció 4.3. fejezete tartalmazza. A alkalmassági vizsgálatot két fázisban hajtottam végre. Az els˝o fázisban SIP, MIP és HIP alapú jelzési sémákat [C3], a második fázisban egy PMIP alapút és az UFA HIP jelzési séma végs˝o változatát [J7, M2] hasonlítottam össze. A második fázisban három alkalmazási forgatókönyvet definiáltam: (i) nem SIP-es alkalmazások kezelése, (ii) SIP-es alkalmazások kezelése (SIP HO 1. változat), és (iii) SIP-es alkalmazások kezelése csökkentett HO késleltetéssel (SIP HO 2. változat). Az értékelés kiterjedt a jelzési sémák csatlakozási, kapcsolatfelépítési és GW-ek közötti mobilitáskezelési eljárásaira. A megadott kritériumrendszer, szempontsúlyozás és hálózati modell esetén a PMIP-nél kicsivel több pontot ért el a HIP. Mindkét jelzési séma megfelelt a szempontoknak. A kis eltérés annak köszönhet˝o, hogy a HIP eggyel kevesebb modul telepítését igényli, illetve jobban ellenáll DoS támadásoknak. A (ii) forgatókönyvben a HIP és PMIP alapú sémákat is visszautasította a módszer, mert valós-idej˝u SIP-es alkalmazások esetén a HO közbeni szolgáltatás-megszakadási id˝o meg28

haladta a 250ms-ot. Ezért mindkét jelzési sémához javasoltam egy második változatot (SIP HO 2. változat), a valósidej˝u SIP-es alkalmazások átadásának végrehajtására. A SIP kapcsolatok átadása után SDP frissítés indulhat meg az UE és a peer-jei között, ha az új hozzáférési hálózatban alacsonyabb min˝oség garantálható csak az UE SIP-es kapcsolatainak. SIP HO 1. változatban az UE az SDP frissítést a HO befejezési fázisában, a fizikai HO megtörténte után indítja el, így ez a szolgáltatás-megszakadási id˝ot növeli. A SIP HO 2. változatban az esetleges SDP frissítést az el˝oz˝o UFA GW indítja meg, még amikor az UE nála van. Az esetleges SDP frissítés így a HO el˝okészítés késleltetését növeli a szolgáltatás-megszakadási id˝o helyett. 4.3.2. Létez˝o és korszeru˝ hitelesítési módszerek alkalmassági vizsgálata a 3GPP EPC számára 3.3. Tézis. [J6, J5] Kiterjesztettem az mMAHP módszert felhasználói hitelesítési módszerek alkalmassági vizsgálatára központosított, elosztott és teljesen elosztott 3GPP EPC hálózati forgatókönyvekben. Új kritériumrendszert definiáltam, amely teljesítmény, biztonság, telepítés és funkciókkal kapcsolatos követelményeket tartalmaz, és több döntéshozó véleménye alapján meghatároztam a kritériumsúlyokat. A módszer alkalmazásával megvizsgáltam hat különböz˝o hitelesítési módot, hogy mennyire alkalmasak jöv˝obeli elosztott 3GPP hálózatokban történ˝o alkalmazásra, és iránymutatást adtam a kiválasztásukhoz. Az értékelés részleteit a disszertáció 4.4. fejezete tartalmazza. Az újrahitelesítési késleltetésben elért pontok szerint a DEX-AKA, BEX, DEX és PSK módszerek lehet˝ové teszik a zökken˝omentes szolgáltatásfolytonosság biztosítását bizonyos garantált bitsebesség˝u szolgáltatási osztályok számára. A teljesítményszempontok alapján az összesített sorrend a következ˝o módon alakult. DEX ≻ BEX ≻ DEX-AKA ≻ PSK ≻ EAPAKA ≻ EAP-TLS. A biztonságszempontok alapján a sorrend: EAP-TLS ≻ EAP-AKA ≻ BEX ≻ PSK ≻ DEX-AKA ≻ DEX. DEX-AKA csak az ötödik helyezést érte el mivel a tervezése során a teljesítmény növelése érdekében leadtak a biztonsági szolgáltatásaiból. Telepítési szempontok alapján az IKEv2 alapú módszerek magasabb pontot értek el, mivel az EAP-AKA, PSK eleve támogatott a 3GPP hálózatokban. Konfigurálási szempontokra a BEX, DEX és PSK módszerek nulla pontot kaptak. Ezek ugyanis túl sok konfigurálást igényelnek az UE és GW oldalán az el˝ore megosztott kulcsok kezelése miatt, PSK esetén, vagy a hozzáférés vezérlési listák konfigurálása miatt, BEX és DEX esetén. Telepítési és konfigurálási szempontok alapján a következ˝o rangsor adódott: EAP-AKA ≻ EAP-TLS ≻ DEX-AKA. Funkcionalitás szempontjából a HIP alapú módszerek jobban teljesítenek a többútvonalas adatátvitel nagyobb el˝osegítése miatt. Az összesített rangsorban az IKEv2 EAP-AKA bizonyult a legjobb választásnak HSDPA / UMTS hozzáférés esetén, és HIP DEX-AKA módszer Wi-Fi esetén. DEX-AKA helyezése igen jónak mondható, amit a teljesítményben elért pontszámának köszönhet, ugyanis telepítési szempontból csak 3., biztonsági szempontból csak 5. helyen végzett. A PSK, DEX, és BEX módszerek összesített pontszáma nulla lett, a konfigurálási szempontok miatt elutasításra kerültek. A DEX-AKA jó választásnak t˝unik olyan környezetben, ahol a HIP-képes UE-k telepítése nem okoz problémát, vagyis a telepítési szempontok teljesíthet˝oek. El˝onyben részesítjük 29

M2M típusú alkalmazások esetén, ahol fontos szempont lehet a nagy mennyiség˝u er˝oforráskorlátozott eszköz (szenzor, kontroller) hatékony kezelése, a jelzésterhelés csökkentése, egyszerre több hálózathoz való hozzáférés és több útvonalon terjed˝o kommunikáció támogatása, illetve a biztonságos hálózatelérés és adatvédelem.

4.4. Rangsorösszesít˝o módszerek hatása a nyerési esélyekre 4. téziscsoport: Számos módszer létezik többszempontú rangsorolásra, amely sokszor igen bonyolult probléma. Az MADM módszerek két f˝o fázisból állnak, a teljesítményindikátorok normalizálásából és a rangsorösszesítésb˝ol. Ebben a téziscsoportban el˝oször bemutatom, hogy a rangsorösszesítés fázis hatással van az alternatívák kiválasztási esélyeire. Ezután egy módszert javaslok a rangsorösszesít˝o módszerek csoportosítására a döntések hasonlósága alapján. A módszer segítségével pl. a legkisebb számításigény˝u rangsorösszesít˝o módszert választhatja a tervez˝o egy el˝onyben részesített csoportból, MADM alapú kontextusfügg˝o szolgáltatások tervezése során. 4.1. Tézis. [J1] Sztochasztikus módon leírtam az MADM döntési problémákat, és szintetikus döntési terekben megmutattam, hogy a rangsor-összesítési fázis hatással van az alternatívák nyerési esélyeire. Az analízis részleteit a disszertáció 5.3. fejezete írja le. A kiindulási feltételezésem az, hogy egy adott döntési probléma esetén meg tudjuk becsülni, hogy a szóba jöv˝o alternatívák nagyjából milyen tulajdonságokkal bírnak. Ebben az esetben sztochasztikusan leírható a döntési eseménytér. Tegyük fel, hogy a normalizálási módszer is ismert a szempontokhoz, mivel a döntéshozók el˝ore meghatározták azokat. Vagyis létezik a különböz˝o szempontok szerinti normalizált értékek összes kombinációját magába foglaló eseménytér. Felteszem, hogy a normalizált teljesítményértékek a [0, 1] intervallumba esnek, pl. maximum alapú normalizálás eredményeként. Az el˝obbi feltételek alapján szintetikus döntési eseménytereket definiálhatunk. Különböz˝o forgatókönyveket lehet létrehozni attól függ˝oen, hogy hány alternatívát, kritériumot és milyen kritériumsúlyokat használunk, és milyen valószín˝uségeket rendelünk az eseményekhez. A döntési eseménytér ismeretében kiszámolható, hogy különböz˝o rangsorösszesít˝o módszerek milyen valószín˝uséggel választják ki az egyes alternatívákat, és keresni lehet olyan forgatókönyveket, ahol a rangsorösszesít˝ok különbségei el˝ojönnek. 4.2. Tézis. [J1] Új módszert hoztam létre rangsorösszesít˝o eljárások klaszterezésére, az általuk eredményezett rangsorok hasonlósága alapján. A módszerem alkalmazásával meghatározható, hogy melyek az egymással felcserélhet˝o rangsorösszesít˝o eljárások, és az alapján iránymutatás nyújtható a rangsorösszesít˝o módszer kiválasztásához döntésmotor tervezése során. A módszert a 8. ábra szemlélteti és a disszertáció 5.4–5.6. fejezete írja le részletesen. A rangsorösszesít˝o módszerek különböz˝oségeit bonyolult analitikusan kifejezni, mert nagyon sokféle problématípussal foglalkozni kell, az alternatívák és kritériumok számától, kritériumsúlyoktól és normalizáló függvényekt˝ol függ˝oen. Ezért statisztikai megközelítést alkalmaztam a különböz˝oségek felderítésére. Szintetikus döntési eseménytereket hoztam létre 30

criteria weights, normalized performance values

Definition of synthetic decision problem spaces

Ranking aggregation ranks or winning indicators of a specific alternative under each ranking aggregation method

WS, WP, DIA, GRA, AHP, TOPSIS, MAHP etc

Bivariate measures of relationships of ranking methods dissimilarity matrices of ranking aggregation methods, parameters of cluster forming Hierarchical clustering

8. ábra. Rangsorösszesít˝o módszerek klaszterezésének f˝o lépései.

különböz˝o számú alternatívával, kritériummal, többféle kritériumsúlyozással, amely lehet˝oséget adott az alternatívák által elért helyezések, nyerési indikátorok összehasonlítására különböz˝o rangsorösszesít˝o módszerek esetén. A módszerek közötti hasonlóságot kétváltozós asszociációs mér˝oszámokkal jellemeztem, melyek alapján hierarchikus klaszterformálással csoportokba rendeztem a módszereket. Alkalmaztam a módszeremet tíz különböz˝o rangsorösszesít˝o eljárásra, és megmutattam, hogy sok jól ismert eljárás gyakorlatilag nem különbözik egymástól, ha az alternatívák sorrendezését tekintjük, kis döntési problémák esetén, ahol nagyjából tíz kritérium és tíz alternatíva van. Ez a problémaméret a jellemz˝o a távközlésben használt MADM alkalmazásokban. A súlyozott összeg módszer [27] helyettesítheti a legtöbb általam vizsgált módszert, nevezetesen a Analytic Hierarchy Process (AHP) [28], Distance of Ideal Alternatives [29], Grey Relational Analysis [30], súlyozott szorzat [27] eljárásokat. Különféle különböz˝oség mér˝oszámokkal megmutattam, hogy bizonyos rangsorösszesít˝o eljárások különböznek a többit˝ol. Ilyen az MAHP, a Hager-féle AHP [12], a Technique for Order Preference by Similarity to Ideal Solution [31] és a Johnson-féle AHP [32]. Magyarázatot adtam a különböz˝oségük okaira, legf˝oképp arra, hogy ezek tervezési hibáknak köszönhet˝oek vagy nem.

5. Az eredmények alkalmazása A javasolt jelzésdelegációs szolgáltatás újabb távlatokat nyit a HIP számára jöv˝obeli mobilhálózat-architektúrák biztonságos vezérl˝o síkjának kialakításában. Lehet˝ové teszi olyan bonyolult jelzési feladatok biztonságos megvalósítását, mint amilyen a biztonságos kapcsolat átadás (session mobility), illetve bármilyen olyan funkció kialakításánál hasznos lehet, amely meghatalmazott m˝uveleteket és HIP/IPsec kontextusátvitelt igényel. Számos protokoll használ az UAL-hoz hasonló élettartam paramétert állapotfenntartás kezelésére, ahol a mögöttes megújulási folyamat egy kommunikációs csatorna foglalt-üres periódusaival jellemezhet˝o. Ezért, az SA periódusid˝o eloszlására és momentumaira vonatkozó eredményeket fel lehetne használni más protokollok vizsgálatánál is. Az SA periódusid˝o komplementer 31

eloszlásfüggvényének segítségével határoztam meg az újrakulcsolási rátát két HIP végpont között. A 2.1. tézisben szerepl˝o analitikus modellel könnyen kiszámítható tetsz˝oleges környezetben a MIPv6 jelzések védelmének terhelése, pl. elosztott HA-k esetén. A 2. téziscsoportban javasolt analízisnek és méréseknek köszönhet˝oen megismertük több gyakran használt és néhány újabb harmadik rétegbeli hitelesítési módszer átlagos kiszolgálási igényeit különböz˝o részein a hálózatnak és az egyes résztvev˝oknél, amely információ hasznos lehet csomópont és hálózatméretezés során, TS szolgáltatások tervezési vagy futási fázisaiban. A 1.7, 2.1., 3.1. és 3.3. tézisekben felhasználtam a 2.2. tézis eredményeit. A mMAHP módszer (3.1. tézis) pl. TS szolgáltatások tervezésére és jelzési sémák alkalmassági vizsgálatára használható. Az MADM módszerek sok szubjektív tényez˝ot bevonnak a kritériumsúlyok, normalizáló, osztályzó függvények és a rangsorösszesít˝o függvények definiálása közben. Ennek ellenére széleskör˝uen alkalmazzák o˝ ket operációkutatásban, mivel módot adnak rangsorolási problémák bonyolultságának kezelésére. Ezen módszerek gyakorlatban azért hasznosak, mert igénylik a szempontok, teljesítménymetrikák és elvárt tulajdonságok rendezett felderítését. Emellett, az egyes alternatívák tulajdonságai vizsgálata közben fellelhet˝oek és javíthatóak hiányosságaik. Az MADM módszerek segítségével tisztán láthatóvá tehet˝o, hogy az alternatívák milyen kompromisszumokat tesznek különböz˝o szempontok között. Akár nagyon egyszer˝u osztályzófüggvényekkel is fontos eredményeket érhetünk el alternatívák sz˝urésében, sorrendezésében. Ahogy a döntéshozók elmélyednek adott forgatókönyvek részleteiben, úgy finomíthatják tovább az osztályozó függvényeket és tehetik biztosabbá a döntést. A döntés bizonyosságát növelheti a rangsor érzékenységének vizsgálata és szakért˝ok bevonása a kritériumsúlyok, osztályzófüggvények meghatározásába. A hitelesítési módszerek alkalmassági vizsgálata különböz˝o elosztottságú 3GPP EPC hálózatokban rámutatott arra, hogy a HIP DEX-AKA életképes módszer lehet, pl. M2M forgatókönyvekben. A jöv˝oben 3GPP és nem-3GPP hozzáférés esetében egyaránt alkalmazni lehetne egy új, HIP által vezérelt IPsec alapú IP alagutazási módot [J6, C19]. A 4.2. tézisben javasolt módszer segíthet a döntéshozó motor kiválasztásában pl. TS szolgáltatások tervezése során. Lehet˝ové teszi létez˝o és jöv˝obeli MADM eljárások összehasonlítását a döntések hasonlósága alapján.

Hivatkozások [1] Cisco. Cisco visual networking index: Global mobile data traffic forecast update, 20132018. White Paper, Feb 5, 2014. [2] [2] K. Daoud, P. Herbelin, and N. Crespi. UFA: Ultra Flat Architecture for high bitrate services in mobile networks. In Proceedings of the IEEE 19th International Symposium on Personal, Indoor and Mobile Radio Communications (PIMRC’08, pages 1–6, Cannes, France, September 15–18, 2008. [2] [3] P. Nikander, A. Gurtov, and T. Henderson. Host Identity Protocol (HIP): Connectivity, Mobility, Multi-homing, Security, and Privacy over IPv4 and IPv6 networks. IEEE Communications Surveys and Tutorials, 12(2):186–204, 2010. [2]

32

[4] 3GPP. Security Aspects of non-3GPP Accesses (Release 11). TS 33.402, March 2012. [3, 5] [5] Fabien Allard and Jean-Marie Bonnin. An application of the context transfer protocol: IPsec in a IPv6 mobility environment. International Journal of Communication Networks and Distributed Systems, 1(1):110–126, 2008. [3] [6] P. Nikander and J. Arkko. Delegation of Signalling Rights. In Bruce Christianson, Bruno Crispo, James A. Malcolm, and Michael Roe, editors, Security Protocols, volume 2845 of Lecture Notes in Computer Science, pages 575–586. Springer, 2004. [3] [7] J. Melen et al. Host Identity Protocol-based Mobile Router (HIPMR). IETF Draft, May 2009. [3] [8] F.A. Lootsma. Multi-criteria decision analysis via ratio and difference judgement, volume 29 of Applied Optimization. Kluwer Academic, Dordrecht, 1999. [4, 27] [9] P. Cheng, L. Wang, B. Zhen, and S. Wang. Feasibility study of applying LTE to Smart Grid. In Proc. IEEE 1st Int. Workshop on Smart Grid Modeling and Simulation (SGMS’11), pages 108–113, Oct. 2011. [4] [10] T. Mangel, T. Kosch, and H. Hartenstein. A comparison of UMTS and LTE for vehicular safety communication at intersections. In Proc. IEEE Vehicular Net. Conference 2010 (VNC’10), pages 293 –300, Dec. 2010. [4] [11] P. TalebiFard and V.C.M. Leung. A dynamic context-aware access network selection for handover in heterogeneous network environments. In Proc. of the 2011 IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS), pages 385 –390, April 2011. [5] [12] C. T. R. Hager. Context Aware and Adaptive Security for Wireless Networks. PhD thesis, Virginia Polytechnic Institute and State University, November 2004. [5, 27, 31] [13] B. S. Ghahfarokhi and N. Movahhedinia. Context-Aware Handover Decision in an Enhanced Media Independent Handover Framework. Wireless Personal Communications, 68:1633–1671, February 2013. [5] [14] M. Stiemerling, S. Kiesel, S. Previdi, and M. Scharf. ALTO Deployment Considerations. IETF Draft, draft-ietf-alto-deployments-08, October 2013. [5] [15] J. Arkko, V. Devarapalli, and F. Dupont. RFC 3776: Using IPsec to protect mobile IPv6 signaling between mobile nodes and home agents, June 2004. [6, 23] [16] Forest Baskett, K. Mani Chandy, Richard R. Muntz, and Fernando G. Palacios. Open, Closed, and Mixed Networks of Queues with Different Classes of Customers. J. ACM, 22(2):248–260, April 1975. [7, 23] [17] G. Bolch, S. Greiner, H. de Meer, and K. S. Trivedi. Queueing networks and Markov chains: modeling and performance evaluation with computer science applications. Wiley-Interscience, New York, NY, USA, 1998. [7] 33

[18] A. Harbitter and D. A. Menascé. A methodology for analyzing the performance of authentication protocols. ACM Transaction on Information System Security, 5(4):458– 491, November 2002. [7] [19] S. Herborn, A. Huber, R. Boreli, and A. Seneviratne. Secure Host Identity Delegation for Mobility. In Proceedings of the 2nd International Conference on Communication Systems Software and Middleware (COMSWARE ’07), pages 1–9, Bangalore, India, Jan. 7–12, 2007. [8] [20] IEEE. IEEE Standard for Local and metropolitan area networks- Part 21: Media Independent Handover. IEEE Std 802.21-2008, January 2009. [8] [21] Y. Nir. Repeated Authentication in Internet Key Exchange (IKEv2) Protocol. RFC 4478, April 2006. [24] [22] P. A. Schneck and K. Schwan. Dynamic authentication for high-performance network applications. In Proceedings of the Sixth IEEE/IFIP International Workshop on Quality of Service (IWQoS’98), Napa, CA, USA, May 18–20, 1998. [27] [23] M. Portmann and A. Seneviratne. Selective security for TLS. In Proceedings of 9th international Conference on Networks (ICON’01), pages 216–221, October 12–12, 2001. [27] [24] E. Spyropoulou, C. Ager, T. E. Levin, and C. E. Irvine. IPSec modulation for quality of secuirty service. In Proceedings of the Third Annual International Systems Security Engineering Association Conference (2002 ISSEA Conference), March 2002. [27] [25] P. Keeratiwintakorn and P. Krishnamurthy. Energy efficient security services for limited wireless devices. In Proceedings of the International Symposium on Wireless Pervasive Computing, Phuket, Thailand, January 16–18, 2006. [27] [26] H. Johnson et al. A decision system for adequate authentication. In Proc. of ICNICONSMCL’06, Washington, DC, USA, April 23–29, 2006. IEEE Computer Society. [27] [27] E. Triantaphyllou and K. Baig. The impact of aggregating benefit and cost criteria in four MCDA methods. IEEE Transactions on Engineering Management, 52(2):213– 226, May 2005. [31] [28] T. L. Saaty. The Analytic Hierarchy Process: Planning, Priority Setting, Resource Allocation. McGraw-Hill, New York, St. Louis, San Francisco, 1980. [31] [29] Phuoc Nguyen Tran and Nadia Boukhatem. The distance to the ideal alternative (DiA) algorithm for interface selection in heterogeneous wireless networks. In Proc. of the 6th ACM Int. Symp. on Mobility management and wireless access 2008 MobiWac ’08, pages 61–68, Oct. 2008. [31] [30] J. L. Deng. Introduction to grey system theory. J. Grey Syst., 1(1):1–24, November 1989. [31] 34

[31] R.Venkata Rao. Improved multiple attribute decision making methods. In Decision Making in Manufacturing Environment Using Graph Theory and Fuzzy Multiple Attribute Decision Making Methods, Springer Series in Advanced Manufacturing, pages 7–39. Springer London, 2013. [31] [32] H. Johnson. Toward Adjustable Lightweight Authentication for Network Access Control. PhD thesis, Blekinge Institute of Technology, Ronneby, Sweden, December 2005. [31]

Publikációs lista Tézisekhez kapcsolódó publikációk Külföldön megjelent idegen nyelvu˝ folyóiratcikk [J1]

Z. Faigl, S. Imre, „The influence of ranking algorithms on the odds of winning,” Applied Soft Computing, submitted on 11 March, 2014. [30]

[J2]

Z. Faigl, „Performance Analysis of Signalling Overhead in Host Identity Protocolbased Secure Mobile Networks: Ultra Flat Architecture or End-to-End Signalling?,” Wireless Networks, DOI:10.1007/s11276-014-0797-8, Sep 2014 (in press). [19]

[J3]

Z. Faigl, M. Telek, „Modeling the signaling overhead in Host-Identity Protocol-based secure mobile architectures,” Journal of Industrial Management and Optimization, vol. 11, no. 3, June 2015 (in press). [13, 14, 16, 18, 19]

[J4]

L. Bokor, Z. Faigl, S. Imre, „Survey and Evaluation of Advanced Mobility Management Schemes in the Host Identity Layer,” International Journal of Wireless Networks and Broadband Technologies (IJWNBT), vol. 3, no. 1, pp. 34–59, 2014. [2, 8]

[J5]

Z. Faigl, J. Pellikka, L. Bokor, A. Gurtov, „Performance Evaluation of Current and Emerging Authentication Schemes for Future 3GPP Network Architectures,” Computer Networks, vol. 60, pp. 60–74, 26 February 2014. [7, 25, 29]

[J6]

Z. Faigl, J. Pellikka, L. Bokor, A. Gurtov, „Suitability Analysis of Existing and New Authentication Methods for Future 3GPP Evolved Packet Core,” Computer Networks, vol. 57, Issue 17, pp. 3370–3388, 9 December 2013. [29, 32]

[J7]

Z. Faigl, L. Bokor, P. M. Neves, K. Daoud, P. Herbelin „Evaluation of two integrated signalling schemes for the Ultra Flat Architecture using SIP, IEEE 802.21, and HIP/PMIP protocols,” Computer Network – The International Journal of Computer and Telecommunications Networking, vol. 55, pp. 1560–1575, 2011. [2, 4, 7, 8, 28]

[J8]

L. Bokor, Z. Faigl, S. Imre, „Flat Architectures: Towards Scalable Future Internet Mobility,” Lecture Notes in Computer Science, vol. 6656, pp. 35–50, 2011. [8]

35

[J9]

Z. Faigl, S. Lindskog and A. Brunstrom, „Performance evaluation of IKEv2 authentication methods in next generation wireless networks,” Security and Communication Networks, vol. 3, pp. 83–98, 2010. [7, 25]

[J10] S. Lindskog, Z. Faigl, and A. Brunstrom, „A Conceptual Model for Analysis and Design of Tunable Security Services,” Journal of Networks, vol. 3, no. 5, pp. 1–12, May 2008. [27] Könyvfejezet [S1]

Z. Faigl, P. Fazekas, S. Lindskog and A. Brunstrom „Analytical Analysis of the Performance Costs of IPsec in MIPv6 Scenarios” in Advances in Mobile and Wireless Communications: Views of the 16th IST Mobile and Wireless Communication Summit, Edited by István Frigyes, János Bitó, Péter Bakki, Berlin; Heidelberg: Springer-Verlag, pp. 365-385, 2008, ISBN: 978-3-540-79040-2. [23]

[S2]

S. Lindskog, A. Brunstrom, and Z. Faigl, „Tunable Security Services for Wireless Networks” in Adaptation in Wireless Communications: Adaptive techniques in wireless networks, Edited by Mohamed Ibnkahla, Boca Raton: CRC Press, 2008, pp. 451–480, ISBN: 9781420046038. [27] Nemzetközi konferencia-kiadványban megjelent idegen nyelvu˝ el˝oadás

[C1]

J. Pellikka, A. Gurtov, Z. Faigl, „Lightweight Host and User Authentication Protocol for All-IP Telecom Networks,” Proceedings of the 2012 IEEE International Symposium on a World of Wireless, Mobile and Multimedia Networks (WoWMoM 2012), San Francisco, US, June 25, 2012, pp. 1–7. [4, 25]

[C2]

Z. Faigl, S. Lindskog and A. Brunstrom, „Security Solution Suitability Analysis using Modified Multiplicative Analytic Hierarchy Process”, in Proceedings of the IEEE Global Communications Conference (GLOBECOM 2010), Miami, US, December 6– 10, 2010, pp. 1–6. [27]

[C3]

Z. Faigl, L. Bokor, P. M. Neves, R. A. Pereira, K. Daoud and P. Herbelin, „Evaluation and Comparison of Signaling Protocol Alternatives for the Ultra Flat Architecture”, in Proceedings of the Fifth International Conference on Systems and Networks Communications (ICSNC 2010), Nice, France, August 22–27, 2010, pp. 1–9. [4, 7, 28]

[C4]

L. Bokor, Z. Faigl and S. Imre, „A Delegation-based HIP Signaling Scheme for the Ultra Flat Architecture”, in Proceedings of the 2nd International Workshop on Security and Communication Networks (IWSCN 2010), Karlstad, Sweden, May 26– 28, 2010, pp. 1–8. [2, 8]

[C5]

Z. Faigl, S. Lindskog and A. Brunstrom, „A Measurement Study on IKEv2 Authentication Performance in Wireless Networks”, in Proceedings of the 6th 36

Swedish National Computer Networking Workgroup (SNCNW 2009), Uppsala, Sweden, May 4–5, 2009, pp. 1–6. [25] [C6]

Z. Faigl, S. Lindskog and A. Brunstrom, „Experimental Evaluation of the Performance Costs of Different IKEv2 Authentication Methods”, in Proceedings of the 13th International Telecommunications Network Strategy and Planning Symposium (NETWORKS 2008), Budapest, Hungary, September 28–October 2, 2008, pp. 1–10. [25]

[C7]

Z. Faigl, S. Lindskog, and A. Brunstrom, „Analyzing IKEv2 Performance when Protecting Mobile IPv6 Signaling”, in Proceedings of the IEEE International Symposium on Wireless Communication Systems 2007 (ISWCS 2007), Trondheim, Norway, October 17–19, 2007, pp. 390-395. [23]

[C8]

Z. Faigl, P. Fazekas, S. Lindskog, and A. Brunstrom, „Performance Analysis of IPsec in Mobile IPv6 Scenarios,” in Proceedings of the 16th IST Mobile & Wireless Communications Summit, Budapest, Hungary, July 1–5, 2007, pp. 1–5. [23]

[C9]

S. Lindskog, A. Brunstrom, and Z. Faigl, „Analyzing Tunable Security Services,” in Proceedings of the Fourth Swedish National Computer Networking Workshop (SNCNW 2006), Lulea, Sweden, October 26–27, 2006, pp. 53–56. [27]

[C10] S. Lindskog, A. Brunstrom, R. Lundin, and Z. Faigl, „A Conceptual Model of Tunable Security Services,” in Proceedings of the 3rd International Symposium on Wireless Communication Systems (ISWCS 2006), Valencia, Spain, September 5–8, 2006, pp. 530–534. [27] [C11] S. Lindskog, A. Brunstrom, Z. Faigl, and K. Tóth, „Providing Tunable Security Services: An IEEE 802.11i Example,” in Proceedings of the first Workshop on Enterprise Network Security (WENS 2006), Baltimore, US, August 28 – September 1, 2006, pp. 1–10. [27] Referált kutatási jelentés [M1] Z. Faigl, S. Lindskog, A. Brunstrom, and K. Tóth, „Providing Tunable Security Services in IEEE 802.11i Enabled Networks,” Karlstad University Studies 2006:72, Karlstad University, Sweden, ISBN: 978-91-7063-111-5. [27]

Egyéb publikációk Külföldön megjelent idegen nyelvu˝ folyóiratcikk [J11] L. Bokor, Z. Faigl, J. Eisl, G. Windisch, „Components for Integrated Traffic Management The MEVICO Approach,” Infocommunications Journal, vol. IV, pp. 38–49, 2011. [-]

37

Magyar nyelvu˝ folyóiratcikk [J12] Z. Faigl and I. Sándor, „Az m-kormányzat kialakításának biztonsági kérdései és megoldási lehet˝oségei,” Hungarian Telecommunications, vol. LX, no. 2005/3, pp. 27–32, 2005. [-] [J13] Gy. Gódor, Z. Faigl, M. Szalay and S. Imre, „Mobil fizetési rendszerek áttekintése,” Hungarian Telecommunication, vol. XVI., no. 2005/3, pp. 28–35, 2005. [-] [J14] Z. Faigl, A. Lengyel, M. Szalay and S. Imre, „A mobilrendszerek biztonsága,” Hungarian Telecommunication, vol. XIII, no. 2002/3, pp. 36–43, 2002. [-] Könyvfejezet [S3]

Z. Faigl, L. Bokor, „Survey of Traffic Management in Software-Defined Mobile Networks” in Software-Defined Mobile Networks (SDMN): Beyond LTE Network Architecture, Edited by M. Liyanage, A. Gurtov and M. Yliantilla, John Wiley & Sons, Ltd., 2014 (in press). [-] Cikk szerkesztett könyvben

[S4]

Gy. Gódor, Z. Faigl, M. Szalay, and S. Imre, „Mobile Payment,” in Encyclopedia of Information Science and Technology, Second Edition, Ed.: M. Khosrow-Pour, Idea Group, 2008, pp. 2619–2625. [-] Nemzetközi konferencia-kiadványban megjelent idegen nyelvu˝ el˝oadás

[C12] Z. Faigl, Zs. Szabó and R. Schulcz, „Application-layer traffic optimization in software-defined mobile networks: a proof-of-concept implementation”, in Proceedings of the 16th International Telecommunications Network Strategy and Planning Symposium (Networks 2014), Madeira, Portugal, Sep 17–19, 2014, pp. 1–6. [-] [C13] Z. Faigl, T. Radvánszki and T. Orvos, „A Novel Transmission Network Design Method for Beyond 3G Networks”, in Proceedings of the Asia Modeling Symposium (AMS 2009), Bali, Indonesia, May 25–29, 2009, pp. 1–6. [-] [C14] T. Rudolf, Z. Faigl, M. Szalay and S. Imre, „An Advanced Timing Attack Scheme on RSA”, in Proceedings of the 13th International Telecommunications Network Strategy and Planning Symposium (NETWORKS 2008), Budapest, Hungary, September 28–October 2, 2008, pp. 1–9. [-] [C15] Z. Faigl, Gy. Gódor, and S. Imre, „Overview of Mobile Payment Services,” in Proceedings of the High Speed Networks 2005 Spring Workshop, Mátraháza, Hungary, May 23–24, 2005, pp. 53–55. [-] 38

[C16] Z. Faigl and G. Kontra, „Trusted Transactions with Mobile Phones,” in SoftCOM, 2004 International Conference on Software, Telecommunications and Computer Networks. Workshops on Information and Communication Technologies & Posters, Split-Venice-Dubrovnik, Croatia-Italy, October 10-13, 2004, pp. 36–40. [-] [C17] Z. Faigl and Gy. Gódor, „Alternative Methods for the Authentication of 3GWLAN Interworking,” in Polish-Czech-Hungarian Workshop, Budapest, Hungary, September 20–21, 2004, pp. 29–36. [-] [C18] Gy. Gódor, M. Szalay, T. K˝oszegi, Z. Faigl, and S. Imre, „Security of Mobile and Wireless Systems,” in Proceedings of Digital Communications, DC2003, Zilina, Slovakia, November 25, 2003, pp. 13–18. [-]

Nem publikációértéku˝ közlemények Csak szóban elhangzott el˝oadás [C19] Z. Faigl, J. Pellikka, L. Bokor, S. Imre, A. Gurtov, „HIP in 3GPP EPC,” IETF 82 Proceedings, IETF 82, HIPRG session, Taipei, Taiwan, November 17, 2011, pp. 1– 54. [32] Nem referált kutatási jelentés [M2] P. Herbelin, Z. Faigl, L. Bokor, P. Neves, , K. Daoud, and R. Pereira, „Ultra Flat Architecture for high bitrate services in fixed mobile convergent networks; D3 Ultra Flat Architecture integration scenarios and their performance analysis and comparison,” P1857 Eurescom Study Report, October 2011. [4, 7, 28] [M3] Z. Faigl, „IPsec, IKEv2 and their use in Mobile IPv6,” IST-ANEMONE, Study, Jun 2007. [6] [M4] Z. Faigl, „Security threats in systems supporting IPv6 mobility and state-of-the art security solutions,” IST-ANEMONE, Study, Jun 2007. [3]

Rövidítésjegyzék 3DES

Triple DES

3GPP

Third Generation Partnership Project

AES

Advanced Encryption Standard

AHP

Analytic Hierarchy Process

AKA

Authentication and Key Agreement

39

AN

Access Network

BCMP

Baskett, Chandy, Muntz, and Palacios

BEX

Base Exchange

CAPEX Capital Expenditure CCDF

Complementary CDF

CDF

Cumulative Distribution Function

CN

Correspondent Node

DES

Data Encryption Standard

DEX-AKA HIP Diet Exchange with EPS-AKA authentication DH

Diffie-Hellman

EAP

Extensible Authentication Protocol

EPC

Evolved Packet Core

ESP

Encapsulating Security Payload

GW

Gateway

HA

Home Agent (MIP context) / Host Association (HIP context)

HIP

Host Identity Protocol

HMAC

Keyed-Hashing for Message Authentication

HO

Handover

IKEv2

Internet Key Exchange protocol version 2

IP

Internet Protocol

IPsec

Internet Protocol security

IPv6

Internet Protocol Version 6

L2

Layer-2

M2M

Machine-to-Machine

MADM

Multi-Attribute Decision Making

MAHP

Multiplicative Analytic Hierarchy Process

MD5

Message Digest 5 Algorithm 40

MIP

Mobile IP

MIPv6

Mobile IPv6 protocol

mMAHP modified MAHP OPEX

Operational Expenditure

PMIP

Proxy-Mobile IP

RVS

Rendezvous Service

SA

Security Association

SHA

Secure Hash Algorithm

SIP

Session Initialization Protocol

TS

Tunable Security

UAL

Unused Association Lifetime

UE

User Equipment

UFA

Ultra Flat Architecture

WPAN

Wireless Personal Area Network

41