استفاده از پروتکل IAPP و برای تعاملات بین نقاط دسترسی،
(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))
کاهش تاخیر Handoff با بهره گرفتن از Frequent Handoff Region،
استفاده از روش Proactive Neighbor Caching،
استفاده از روش Selective Neighbor Caching،
استفاده از روش Local AAA Server،
استفاده از روش Adaptive Neighbor Caching،
در میان این روشهای ذکر شده، سرورهای موقتی یا LAS برای کاهش Handoff و Authentication سریعترین ایده را مطرح نموده است و استفاده از مفهوم Security Association جهت برقراری تونلی امن برای تبادلات میان MNها و LASها را مطرح کرده است. برای بهبود احرازهویت ایدههای مختلفی ارائه شده است، یکی از ایده ها استفاده از شرط زمان مقیم بودن MN در شبکه است.
۳-۲ کارهای انجام شده در زمینه امنیت EAP
احرازهویت، فرایند بررسی هویت کاربران میباشد وقتی خواستار دسترسی به منابع شبکهها هستند. به نوعی یک کاربر فاکتور احرازهویت شده خود را برای یک سرور فراهم میکند و سپس سرور آنها را بررسی میکند. اگر فاکتورها صحیح باشند، کاربر برای ایجاد حق دسترسی به منابع تهیه شده توسط سرور تصویب میشود و سرور، مطالب کلیدی مبتنی بر شرایط را تولید میکند که با کاربر به اشتراک گذاشته شده است. همین طور برای شبکههای نواحی محلی بیسیم[۹۳] در احرازهویت به کاربران و ایجاد کانالهای امنی برای آنها، بحرانی میباشد[۱۱].
۱EEE 802.1X[15]، پیام تلفیق دادهها با دادههای دیگر از پروتکل احرازهویت توسعهپذیر[۹۴] را تعریف میکند. شکل ۱ نمونهای از جریان پیامهای۸۰۲٫۱X از احرازهویت موفق را نشان میدهد جایی که در خواست کننده، یک گره سیار را نشان میدهد، تایید کننده اعتبار اسناد معمولاً نقطۀ دسترسی است و سرور احرازهویت دادن معمولاً سرور RADIUS میباشد. که مسئول اجازه دادن، احرازهویت دادن و حسابداری میباشد. بعد از آن که درخواست کننده و تأیید کننده اعتبار، اتصال دادهها را ایجاد کردند، برقراری ارتباط بین درخواست کننده و سرور احرازهویت دادن آغاز میشود.
پروتکل احرازهویت توسعه پذیر که در RFC 3748 تعریف شده است یک چارچوب احرازهویت بخشی انعطافپذیر است که به طور متوالی درWLANها استفاده شده است. برایEEE 802.11 ، WPA و۲ WPA،EAP بعنوان مکانیزم های احرازهویت استفاده شدهاند مانندEAP –TLS ،EAP- TTLS و-SIM EAP[12].
مدیر یک شبکه میتواند به طور مناسب یک مکانیزم احرازهویت بخشی مطلوب را انتخاب کند که روشEAP نامیده شده است. نیازمندیهای این روش استفاده شده در احرازهویت بخشی WLAN در REC 4017 تعریف شده است.
متدهای دسته ۱، بسیار کار آمد هستند چون محاسبه کلیدی نامتقارنی وجود ندارد اما از برخی حملات زیان میبینند. امنیت در متدهای دسته ۲، بیشتر بهبود یافته است. EAP-TLS از مجوزی در هر دو طرف سرور و مشتری برای دستیابی به احرازهویت دو جانبه استفاده میکند. بنابراین، به کار بردن یک سند رسمی پیچیده میباشد چون سرویس گیرنده و سرور نیاز به گسترش تلاشهای اضافی در حفظ و لغو سند رسمی دارند. برای تثبیت این نقاط ضعف، شیوههای مبتنی بر اسناد رسمی دیگر مانند EAP- TTLS، EAP- PEAP و EAP- FAST میتوانند برای استفاده از اسناد رسمی یا اسمهای رمز که برای مشتری احرازهویت شدهاند استفاده کنند.
متدهای دستۀ ۳، رازهای به اشتراک گذاشته از قبل را به عنوان اعتبار نامههای احرازهویت شده میپذیرند. از این طریق در هزینه بررسی مجوز صرفهجویی میکنند در حالی که به امنیت مشابه مانند متدهای دسته ۲ دست مییابند. از این رو متدهای دستۀ ۳ هنوز از الگوریتمهای نامتقارن استفاده میکند مانند الگوریتم دیفی هیلمن، در روند مبادله کلیدی بهبودی را برای forward secrecy ایجاد می کند.
EAP-SSC به طور خاص برای محیط کارت هوشمند در سال۲۰۰۴ میلادی طراحی شده است. این روش یک کانال ایمنEAP را بین یک کارت هوشمند و یک سرور معتبر در هر دو مدلهای مبادله کلیدی متقارن و نامتقارن ایجاد نموده است. محاسبه، مؤثر است اما برخی نیازمندیهایRFC 4017 و ایمنی forward secrecy را پوشش نمیدهد[۱۲].
برخی پروتکلهای احرازهویت دو فاکتوری برای محیطهایWLAN طراحی شدهاند. در سال۲۰۰۳ میلادی، Seohrouchni وBadra، یک پروتکل مبادله کلیدی را برای افزایش امنیت end-to-end درWAP ارائه دادند. در سال ۲۰۰۴ میلادی، Park و Park، پروتکل مبادله کلیدی احرازهویت شده دو فاکتوری، برای شبکههای محلی بیسیم را ارائه دادند. در این پروتکل، کاربران، اسمهای رمز و نشانهها مانند کارتهای هوشمند برای احرازهویت با یک سرور را میپذیرند[۱۲].
در سال ۲۰۰۸ میلادی، Juany و wu نشان دادند که پروتکلpark etal ، به identity privacy (حریم هویت) دست نمییابد و نمیتوانند از حملات دیکشنری جلوگیری کند. از این رو Juany و wu، دو پروتکل با mutual authentication ، identity privacy و half forward secrecy ارائه دادند. اختلاف بین دو پروتکل مسیری است که آنها به حریم هویت دست مییابند. پروتکل اول، از هویت کاربر از طریق یک تابع یک طرفه (برگشتناپذیر) محافظت میکند و دوّمی، این را با بهره گرفتن از یک هویت ساختگی جدید برای هر جلسه به دست میآورد. بنابراین در مییابیم که پروتکل اول از حملات دیکشنری بر روی هویت کاربران زیان میبیند. به علاوه تمام پروتکلهای بالا نیازمندیهای تعریف شده درRFC 4017 را ایفاء نمیکنند و فقط forward secrecy ناقص را بجای کامل فراهم مینماید[۱۲].
جدول ۳-۱ مقایسه روش های EAP موجود را نشان میدهد. در این جدول ۱۰ متریک امنیتی معرفی شدند و سه متریک Mutual authentication ، Secure key Exchange و Forward secrecy مورد بررسی قرار گرفتند.
جدول ۳-۱ مقایسه روش های EAP [12]
در [۱۲] روش EAP نحوه برخورد نقطه دسترسی و گره سیار طبق فلوچارت زیر است.
شکل ۳ –۷ فلوچارت روش EAP [12]
روش EAP پیشنهادی در [۱۲] به سه شرکت کنندۀ MU، AP و AS وجود دارد که بترتیب گره سیار(کاربر)، نقطهدسترسی و سرور احرازهویت کننده هستند و طبق فلوچارت با یکدیگر در تعامل هستند.
ایده و روش پیشنهادی
با مطالعه روش های EAP موجود میتوان با ارتقا امنیت هر یک از این روشها امنیت شبکه های بیسیم را ارتقا داد. از طرف دیگر با بهینه کردن فرایند Handoff میتوان این فرایند را تسریع بخشید و متعاقبا زمان احراز هویت را کاهش داد. پس با بهبو زمان بدست آمده امکان استفاده از پروتکل امنیتی قویتر در EAP فراهم میگردد. در این روش که Fast EAP-TLS نامیده می شود، با توجه به تغییراتی که در فرایند Handoff صورت گرفت زمان احرازهویت کاهش یافت و Handoff سریعتر انجام گرفت، با اتکا به این خصیصه میتوان EAP-TLS را سریعتر انجام داد پس امکان استفاده از پروتکل امینیت قویتر فراهم گردید.
این روش با پررنگ کردن نقش نقطه دسترسی در شبکه های بیسیم، روند فرایند Handoff را سریعتر می کند.
۴-۱ روش پیشنهادی
همانگونه که در فصل قبل اشاره شد با بررسیهای بعمل آمده در میان انواع روشهای کاهش Handoff، ایده اصلی این تحقیق براساس روش LAS[95] است که در شکل ۴-۱طرح این روش نمایش داده شده است
شکل ۴-۱- طرح روش LAS
در روش EAP پیشنهادی سه شرکت کنندۀ MU، AP و AAAS وجود دارند که بترتیب گره سیار(کاربر)، نقطه دسترسی و سرور احرازهویت کننده هستند. طرح ایده پیشنهادی در شکل ۴-۲ نمایش داده شده است.
شکل ۴-۲- طرح روش پیشنهادی
با فرض اینکه کانال برقراری ارتباط بین AAAS و AP، امن میباشد، روند اجرای روش پیشنهادی در شکل ۴-۳ نشان داده شده است. در مرحلۀ ثبت MU و AAAS ، اعتبارنامۀ مشترک را برای تعیین معرف آینده مورد مذاکره قرار میدهند. مرحلۀ ثبت، بیرون از شبکه انجام میشود. بعد از ثبت با AAAS ، MU ابتدا به طور نرمال، AAAS ، AP را معرفی میکند. در فرایند تعیین معرف عادی AAAS برخی پارامترهای به اشتراک گذاشته شده با MU را بهروزرسانی می کند. پس از احراز هویت اطلاعات مورد نیاز در حافظه نهان موجود در AP ذخیره میگردد. درصورتیکه گره سیار به هر علتی ارتباط خود را قطع کرد کلیه اطلاعات موجود در حافظه نهان AP حذف میگردد.
هنگامیکه گره سیار از محدوده آنتندهی یک نقطه دسترسی وارد محدوده آنتندهی نقطه دسترسی جدیدی می شود برای احرازهویت مجدد راهکارهای زیادی وجود دارد. به این فرایند جابجایی گره سیار Handoff میگویند. طبق فلوچارت پیشنهادی هنگام ورود گره سیار به نقطه دسترسی جدید، نقطه دسترسی وجود یا عدم وجود کانال امن را بررسی مینماید چرا که گره سیار قبلا از این نقطه دسترسی عبور کرده باشد حتما کانال امنی داشته است، با در نظر گرفتن فاکتور زمان این امر میسر میشود. بخشی از ایده پیشنهادی بر کاهش زمان Handoff و متقابلا تسریع در فرایند احرازهویت تاکید دارد. در ایده پیشنهادی نقطه دسترسی نقش مهمی دارد یعنی در روشهای قبلی گره سیار مستقیما با سرور AAA از طریق نقطه دسترسی در ارتباط بود و نقطه دسترسی نقش پر رنگی نداشت اما در ایده پیشنهادی برقراری امینت یک سطح پایینتر انجام میگیرد. بین گره سیار و نقطه دسترسی و بین نقطه دسترسی و سرور AAA کانال امن برقرار میگردد.
شکل ۴-۳ – فلوچارت پیشنهادی
توضیحات فلوچارت:
Registration Phase
در این مرحله اطلاعات گره سیار بصورت آفلاین در سمت سرور درج میگردد.
Normal Authentication Mode
در این مرحله اطلاعات گره سیار که برای بار اول در شبکه حضور دارد توسط سرور مورد بررسی قرار گرفته و اطلاعات ثبت شده به ازای سیم کارت مربوطه از طرف سرور تایید میگردد و گره سیار امکان استفاده از زیر ساخت را خواهد یافت.
Arrival of an inter−domain authentication
در این مرحله گره سیار در شبکه جابجا شده و از محدوده آنتن دهی یک AP وارد محدوده آنتن دهی یک AP دیگر می شود.
between the MU and AP Check if an SA exists
در این مرحله چک میگردد که آیا بین MU و AP یک SA وجود دارد یا خیر؟ اگر SA وجود داشته باشد مرحله۶ و اگر وجود نداشته باشد مرحله ۵
Check if residence time of the MU is greater than a threshold value
اگر SA میان MU و AP وجود نداشته باشد وارد این مرحله میگردد و شرط زمان مقیم بود را بررسی مینماید. درصورتیکه زمان مقیم بودن MU در AP از حد آسانه بزرگتر باشد یعنی قبلا درAP حضور داشته است و لذا فقط یک SA میان MU و AP بوجود خواهد آمد و درصورتیکه زمان مقیم بود از حد آستانه کوچکتر باشد یعنی MU قبلا در AP حضور نداشته است و MU باید توسط سرور AS احراز هویت گردد.
Authenticate the MU locally with the SA،در این مرحله اطلاعات MU در AP وجود دارد و یک SA وجود دارد تا MU بتواند احراز هویت شود.
Authenticate the MU with AAA Server، در این مرحله اطلاعات MU در AP وجود ندارد لذا MU باید توسط سرور AS احراز هویت گردد. سپس یک بین آنها ایجاد میگردد.
Generate the SA for an MU Authenticate the MU، در این مرحله اطلاعات MU در AP وجود دارد تنها یک SA باید بجود آید MU تا بتواند احرازهویت شود.
برای اینکه نقطههای دسترسی چنین قابلیتی داشته باشند باید حافظه نهان داشته باشند. هدف استفاده از حافظه نهان تسریع در فرایند احراز هویت است. اطلاعات مربوط به گرههای سیار همانند ساختار زیر در حافظه نهان موجود در نقطهدسترسی قرار خواهند داشت. ساختار حافظه نهان پیشنهادی بصورت زیر است، و شامل اطلاعاتی است که برای احراز هویت گره سیار لازم می باشند در ضمن فاکتور آخرین زمان حضور گره سیار در نقطه دسترسی ذخیره میگردد.