h1

h2

h3

h4

h5
h6
http://join2-wiki.gsi.de/foswiki/pub/Main/Artwork/join2_logo100x88.png

Direct end-to-middle authentication in cooperative networks = Direkte Ende-zu-Mitte-Authentifikation in kooperativen Netzen



Verantwortlichkeitsangabevorgelegt von Tobias Martin Heer

ImpressumAachen : Shaker 2012

Umfang240 S. : Ill., graph. Darst.

ReiheReports on communications and distributed systems ; 3


Zugl.: Aachen, Techn. Hochsch., Diss., 2011

Zsfassung in engl. und dt. Sprache


Genehmigende Fakultät
Fak01

Hauptberichter/Gutachter


Tag der mündlichen Prüfung/Habilitation
2011-12-14

Online
URN: urn:nbn:de:hbz:82-opus-39385
URL: https://publications.rwth-aachen.de/record/62901/files/3938.pdf

Einrichtungen

  1. Lehrstuhl für Informatik 4 (Kommunikation und verteilte Systeme) (121710)
  2. Fachgruppe Informatik (120000)

Inhaltliche Beschreibung (Schlagwörter)
Authentifikation (Genormte SW) ; IPSec (Genormte SW) ; Router (Genormte SW) ; Drahtloses vermaschtes Netz (Genormte SW) ; Informatik (frei) ; Netzwerksicherheit (frei) ; Quellauthentifizierung (frei) ; Kooperatives Netzwerk (frei) ; authentication (frei) ; network security (frei) ; multi-hop networks (frei) ; cooperative networks (frei)

Thematische Einordnung (Klassifikation)
DDC: 004
ccs: D.4.6

Kurzfassung
Kooperative Netze beruhen auf dem Prinzip der Zusammenarbeit von Benutzern auf Netzwerkebene, um Dienste wie z.B. das Weiterleiten von Paketen oder den gemeinsamen Zugriff auf andere Netzwerkressourcen wie Speicherplatz und Internetzugang gemeinschaftlich zu erbringen. Beispiele für kooperative Netzwerke sind Ad-Hoc-Netze, dezentrale drahtlose Mesh-Netzwerke, Micro-Operator-Netzwerke, WLAN-Communities oder hybride Formen dieser Netzwerk-Typen. Jedoch schafft das Konzept der gemeinschaftlichen Schaffung eines Netzes auch neue Angriffsmöglichkeiten für egoistische und bösartige Benutzer. Zum Beispiel sind drahtlose Multi-Hop-Netzwerke besonders anfällig gegenüber Angriffen, die auf dem Fluten des Netzwerks mit Schadpaketen oder der Manipulation und Fälschung von Paketen beruhen. Um eine zuverlässige Kommunikation in solchen Netzwerken zu erreichen sind daher Mechanismen notwendig, welche es weiterleitenden Geräten, sogenannten Middleboxen, erlauben, die Herkunft und Authentizität von Paketen vor der Weiterleitung zu überprüfen. Effiziente Standardlösungen, um eine solche Ende-zu-Mitte-Authentifizierung zu erreichen, setzen typischerweise geteilte symmetrische Schlüssel zwischen Endgeräten und Middleboxen voraus oder beruhen auf einer stets verfügbaren Verbindung zu einem Authentifizierungsserver. Diese Einschränkungen führen jedoch in kooperativen Netzen zu deutlichen Nachteilen bezüglich der Flexibilität und Effizienz. Darüber hinaus erschweren die knappen Ressourcen von drahtlosen Geräten wie WLAN-Routern und Access Points den Einsatz flexiblerer aber weniger effizienter kryptographischer Methoden. Diese Arbeit beschäftigt sich mit dem Problem der effizienten Ende-zu-Mitte Authentifizierung in verschiedenen Granularitäten, beginnend mit der Authentifizierung sporadischer Signalisierungsnachrichten bis hin zur rapiden Bearbeitung von hochfrequenten Authentifikationsereignissen, wie sie für breitbandige Nutzdatenströme nötig sind. Dabei verhindern die verschiedenen Sicherheits- und Performanzanforderungen von Signalisierungsnachrichten und Nutzdatenströmen die Schaffung einer allumfassenden Lösung. Daher stellt diese Arbeit drei sich ergänzende Lösungen vor, deren Kombination ein breites Spektrum an Authentifikationsgranularitäten abdecken. Diese Arbeit widmet sich zuerst der Public-Key-basierten Ende-zu-Mitte-Authentifizierung. Dabei wird das Host Identity Protocol (HIP) analysiert und erweitert, um den Schutz von sporadischem Signalisierungsverkehr zu erreichen. Jedoch verhindert die Nutzung von rechenintensiven Public-Key-Verifikationen in HIP den Einsatz dieser Lösung für die Authentisierung von breitbandigen Nutzdatenströmen. Daher verwendet die zweite vorgestellte Lösung ausschließlich leichtgewichtige kryptographische Komponenten, um die effiziente Ende-zu-Mitte-Authentifizierung von Nutzdatenströmen zu ermöglichen. Das “Adaptive and Lightweight Protocol for Hop-by-Hop Authentication”, ALPHA, verwendet effiziente Hash-Funktionen und Hash-Ketten, um eine schnelle Überprüfung der Quelle und Integrität eines Netzwerkpakets zu erreichen. Die dritte vorgestellte Lösung, SPOTS, verzichtet auf Ende-zu-Mitte Integritätsschutz um die kryptographische Komplexität der Authentifizierung weiter zu senken. SPOTS basiert ausschließlich auf effizienten Einwegfunktionen und ermöglicht es Middleboxen ausschließlich die Quellinformation eines Paketes zu überprüfen. Diese alleinige Quellprüfung eignet sich besonders für die Anwendung in Fällen, in denen eine Überprüfung des Paketinhalts durch die Middleboxen nicht notwendig oder nicht möglich ist, zum Beispiel bei Ende-zu-Ende verschlüsselten Daten. In Kombination bieten die drei Lösungen einen flexiblen Satz von Mechanismen, welcher effiziente Ende-zu-Mitte-Authentifizierung für ein breites Spektrum von Szenarien innerhalb und außerhalb von kooperativen Multi-Hop-Netzen ermöglicht.

Cooperative networks rely on user cooperation at the network layer to provide services, such as packet forwarding or shared access to other network resources like storage or Internet access. Examples of cooperative networks that build upon user contribution are ad-hoc networks, decentralized wireless mesh networks, micro-operator networks, wireless Internet access sharing networks or hybrids between these network types. However, while it enables new types of networks and services, the concept of cooperative network service provisioning also creates new attack possibilities for malicious and selfish users. For example, wireless multi-hop networks are particularly susceptible to attacks based on flooding and the interception of, tampering with, and forging of packets. Thus, reliable communication in such networks quintessentially depends on mechanisms to allow on-path devices, such as middleboxes, to verify the authenticity of network traffic and the identity of the communicating peers. Efficient standard authentication techniques for end-to-middle authentication typically assume the presence of shared keys within the network or rely on trusted third parties, such as online authentication servers. However, in cooperative scenarios, these approaches suffer from significant drawbacks in respect to functionality and efficiency. Moreover, the tight resource constraints of wireless routers and access points in cooperative scenarios make the use of more flexible but less efficient authentication techniques challenging. Hence, a careful selection of cryptographic components and the creation of new and flexible and efficient mechanisms is required to enable end-to-middle authentication in cooperative multi-hop networks. In this thesis, we address the problem of end-to-middle authentication on different levels of granularity, ranging from infrequent signaling events to rapid verification of high-bandwidth payload streams. The different security and performance requirements of signaling and payload traffic prevent the creation of a one-size-fits-all solution but requires the use of specialized approaches. We designed and analyzed three solutions that cover low-frequency signaling events as well as high-frequency payload protection. We first analyze and extend the Host Identity Protocol to enable secure public-key based end- to-middle authentication for signaling traffic. However, the use of CPU-intensive public-key verification prevents the use of this solution for verifying high-bandwidth payload streams. Consequently, our second solution focuses on more lightweight cryptographic components to provide end-to-middle authentication for payload. The Adaptive and Lightweight Protocol for Hop-By-hop Authentication, ALPHA, uses efficient hash functions and hash chains to enable rapid verification of the source and integrity of a payload packet. Finally, our third solution sacrifices end-to-middle integrity protection of the packet to further improve the verification performance. The family of Stream-based Per-packet One-time Token Schemes, SPOTS enables middleboxes to rapidly authenticate the source of a packet when the middlebox is agnostic to the contents of the forwarded packet. In combination, the three solution provide a flexible set of mechanisms that enables efficient end-to-middle authentication for a wide range of scenarios within and beyond the setting of cooperative multi-hop networks.

Fulltext:
Download fulltext PDF

Dokumenttyp
Dissertation / PhD Thesis

Format
online, print

Sprache
English

Interne Identnummern
RWTH-CONV-124390
Datensatz-ID: 62901

Beteiligte Länder
Germany

 GO


OpenAccess

QR Code for this record

The record appears in these collections:
Document types > Theses > Ph.D. Theses
Faculty of Mathematics, Computer Science and Natural Sciences (Fac.1) > Department of Computer Science
Publication server / Open Access
Public records
Publications database
120000
121710

 Record created 2013-01-28, last modified 2022-04-22


Fulltext:
Download fulltext PDF
Rate this document:

Rate this document:
1
2
3
 
(Not yet reviewed)