استفاده از پروتکل IAPP و برای تعاملات بین نقاط دسترسی،

(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

کاهش تاخیر Handoff با بهره گرفتن از Frequent Handoff Region،
استفاده از روش Proactive Neighbor Caching،
استفاده از روش Selective Neighbor Caching،
استفاده از روش Local AAA Server،
استفاده از روش Adaptive Neighbor Caching،
در میان این روش­های ذکر شده، سرورهای موقتی یا LAS برای کاهش Handoff و Authentication سریعترین ایده را مطرح نموده است و استفاده از مفهوم Security Association جهت برقراری تونلی امن برای تبادلات میان MNها و LASها را مطرح کرده است. برای بهبود احرازهویت ایده­های مختلفی ارائه شده است، یکی از ایده­ ها استفاده از شرط زمان مقیم بودن MN در شبکه است.

۳-۲ کارهای انجام شده در زمینه امنیت EAP

احرازهویت، فرایند بررسی هویت کاربران می‌باشد وقتی خواستار دسترسی به منابع شبکه‌ها هستند. به نوعی یک کاربر فاکتور احرازهویت شده‌ خود را برای یک سرور فراهم می‌کند و سپس سرور آنها را بررسی می‌کند. اگر فاکتورها صحیح باشند، کاربر برای ایجاد حق دسترسی به منابع تهیه شده توسط سرور تصویب می‌شود و سرور، مطالب کلیدی مبتنی بر شرایط را تولید می‌کند که با کاربر به اشتراک گذاشته شده‌ است. همین طور برای شبکه‌های نواحی محلی بی‌سیم^[۹۳] در احرازهویت به کاربران و ایجاد کانال­های امنی برای آنها،‌ بحرانی می‌باشد[۱۱].
۱EEE 802.1X[15]، پیام تلفیق داده‌ها با داده‌های دیگر از پروتکل احرازهویت توسعه‌پذیر^[۹۴] را تعریف می‌کند. شکل ۱ نمونه‌ای از جریان پیامهای۸۰۲٫۱X از احرازهویت موفق را نشان می‌دهد جایی که در خواست کننده، یک گره سیار را نشان می‌دهد، تایید کننده اعتبار اسناد معمولاً نقطۀ دسترسی است و سرور احرازهویت دادن معمولاً سرور RADIUS می‌باشد. که مسئول اجازه دادن، احرازهویت دادن و حسابداری می‌باشد. بعد از آن که درخواست کننده و تأیید کننده اعتبار، ‌اتصال داده‌ها را ایجاد کردند، برقراری ارتباط بین درخواست کننده و سرور احرازهویت دادن آغاز می‌شود.
پروتکل احرازهویت توسعه پذیر که در RFC 3748 تعریف شده است یک چارچوب احرازهویت بخشی انعطاف‌پذیر است که به طور متوالی درWLANها استفاده شده است. برایEEE 802.11 ، WPA و۲ WPA،EAP ‌ بعنوان مکانیزم­ های احرازهویت استفاده شده‌اند مانندEAP –TLS ،EAP- TTLS و-SIM EAP[12].
مدیر یک شبکه می‌تواند به طور مناسب یک مکانیزم احرازهویت بخشی مطلوب را انتخاب کند که روشEAP نامیده شده است. نیازمندیهای این روش استفاده شده در احرازهویت بخشی WLAN در REC 4017 تعریف شده است.
متدهای دسته ۱، بسیار کار آمد هستند چون محاسبه کلیدی نامتقارنی وجود ندارد اما از برخی حملات زیان می‌بینند. امنیت در متد‌های دسته ۲، بیشتر بهبود یافته است. EAP-TLS از مجوزی در هر دو طرف سرور و مشتری برای دستیابی به احرازهویت دو جانبه استفاده می‌کند. بنابراین، به کار بردن یک سند رسمی پیچیده می‌باشد چون سرویس گیرنده و سرور نیاز به گسترش تلاشهای اضافی در حفظ و لغو سند رسمی دارند. برای تثبیت این نقاط ضعف، شیوه‌های مبتنی بر اسناد رسمی دیگر مانند EAP- TTLS، EAP- PEAP و EAP- FAST می‌توانند برای استفاده از اسناد رسمی یا اسم‌های رمز که برای مشتری احرازهویت شده‌اند استفاده کنند.
متد‌های دستۀ ۳، رازهای به اشتراک گذاشته از قبل را به عنوان اعتبار نامه‌های احرازهویت شده می‌پذیرند. از این طریق در هزینه‌ بررسی مجوز صرفه‌جویی می‌کنند در حالی که به امنیت مشابه مانند متدهای دسته ۲ دست می‌یابند. از این رو متدهای دستۀ ۳ هنوز از الگوریتم­های نامتقارن استفاده می‌کند مانند الگوریتم دیفی هیلمن، در روند مبادله کلیدی بهبودی را برای forward secrecy ایجاد می کند.
EAP-SSC به طور خاص برای محیط کارت هوشمند در سال۲۰۰۴ میلادی طراحی شده است. این روش یک کانال ایمنEAP را بین یک کارت هوشمند و یک سرور معتبر در هر دو مدلهای مبادله کلیدی متقارن و نامتقارن ایجاد نموده است. محاسبه، مؤثر است اما برخی نیازمندیهایRFC 4017 و ایمنی forward secrecy را پوشش نمی­دهد[۱۲].
برخی پروتکل‌های احرازهویت دو فاکتوری برای محیط‌هایWLAN طراحی شده‌اند. در سال۲۰۰۳ میلادی، Seohrouchni وBadra، یک پروتکل مبادله کلیدی را برای افزایش امنیت end-to-end درWAP ارائه دادند. در سال ۲۰۰۴ میلادی، Park و Park، پروتکل مبادله کلیدی احرازهویت شده دو فاکتوری، برای شبکه‌های محلی بی‌سیم را ارائه دادند. در این پروتکل، کاربران، اسم­های رمز و نشانه‌ها مانند کارتهای هوشمند برای احرازهویت با یک سرور را می‌پذیرند[۱۲].
در سال ۲۰۰۸ میلادی، Juany و wu نشان دادند که پروتکلpark etal ، به identity privacy (حریم هویت) دست نمی‌یابد و نمی‌توانند از حملات دیکشنری جلوگیری کند. از این رو Juany و wu، دو پروتکل با mutual authentication ، identity privacy و half forward secrecy ارائه دادند. اختلاف بین دو پروتکل مسیری است که آنها به حریم هویت دست می‌یابند. پروتکل اول، از هویت کاربر از طریق یک تابع یک طرفه (برگشت‌ناپذیر) محافظت می‌کند و دوّمی، این را با بهره گرفتن از یک هویت ساختگی جدید برای هر جلسه به دست می‌آورد. بنابراین در می‌یابیم که پروتکل اول از حملات دیکشنری بر روی هویت کاربران زیان می‌بیند. به علاوه تمام پروتکل‌های بالا نیازمندی‌های تعریف شده درRFC 4017 را ایفاء نمی‌کنند و فقط forward secrecy ناقص را بجای کامل فراهم می­نماید[۱۲].
جدول ۳-۱ مقایسه روش های EAP موجود را نشان میدهد. در این جدول ۱۰ متریک امنیتی معرفی شدند و سه متریک Mutual authentication ، Secure key Exchange و Forward secrecy مورد بررسی قرار گرفتند.
جدول ۳-۱ مقایسه روش های EAP [12]
در [۱۲] روش EAP نحوه برخورد نقطه دسترسی و گره سیار طبق فلوچارت زیر است.
شکل ۳ –۷ فلوچارت روش EAP [12]
روش EAP پیشنهادی در [۱۲] به سه شرکت کنندۀ MU،‌ AP و AS وجود دارد که بترتیب گره سیار(کاربر)، نقطه­دسترسی و سرور احرازهویت کننده هستند و طبق فلوچارت با یکدیگر در تعامل هستند.

ایده و روش پیشنهادی

با مطالعه روش های EAP موجود میتوان با ارتقا امنیت هر یک از این روشها امنیت شبکه ­های بیسیم را ارتقا داد. از طرف دیگر با بهینه کردن فرایند Handoff میتوان این فرایند را تسریع بخشید و متعاقبا زمان احراز هویت را کاهش داد. پس با بهبو زمان بدست آمده امکان استفاده از پروتکل امنیتی قویتر در EAP فراهم میگردد. در این روش که Fast EAP-TLS نامیده می­ شود، با توجه به تغییراتی که در فرایند Handoff صورت گرفت زمان احرازهویت کاهش یافت و Handoff سریعتر انجام گرفت، با اتکا به این خصیصه می­توان EAP-TLS را سریعتر انجام داد پس امکان استفاده از پروتکل امینیت قوی­تر فراهم گردید.
این روش با پررنگ کردن نقش نقطه دسترسی در شبکه ­های بی­سیم، روند فرایند Handoff را سریعتر می­ کند.

۴-۱ روش پیشنهادی

همانگونه که در فصل­ قبل اشاره شد با بررسی­های بعمل آمده در میان انواع روش­های کاهش Handoff، ایده اصلی این تحقیق براساس روش­ LAS^[95] است که در شکل ۴-۱طرح این روش نمایش داده شده است
شکل ۴-۱- طرح روش LAS
در روش EAP پیشنهادی سه شرکت کنندۀ MU،‌ AP و AAAS وجود دارند که بترتیب گره سیار(کاربر)، نقطه دسترسی و سرور احرازهویت کننده هستند. طرح ایده پیشنهادی در شکل ۴-۲ نمایش داده شده است.
شکل ۴-۲- طرح روش پیشنهادی
با فرض اینکه کانال برقراری ارتباط بین AAAS و AP، امن می‌باشد، روند اجرای روش پیشنهادی در شکل ۴-۳ نشان داده شده است. در مرحلۀ ثبت MU و AAAS ،‌ اعتبارنامۀ مشترک را برای تعیین معرف آینده مورد مذاکره قرار می‌دهند. مرحلۀ ثبت، بیرون از شبکه انجام می‌شود. بعد از ثبت با AAAS ، MU ابتدا به طور نرمال، AAAS ، AP را معرفی می‌کند. در فرایند تعیین معرف عادی AAAS برخی پارامترهای به اشتراک گذاشته شده با MU را به­روزرسانی می­ کند. پس از احراز هویت اطلاعات مورد نیاز در حافظه نهان موجود در AP ذخیره میگردد. درصورتیکه گره سیار به هر علتی ارتباط خود را قطع کرد کلیه اطلاعات موجود در حافظه نهان AP حذف میگردد.
هنگامیکه گره سیار از محدوده آنتن­دهی یک نقطه دسترسی وارد محدوده آنتن­دهی نقطه دسترسی جدیدی می­ شود برای احرازهویت مجدد راهکارهای زیادی وجود دارد. به این فرایند جابجایی گره سیار Handoff می­گویند. طبق فلوچارت پیشنهادی هنگام ورود گره سیار به نقطه دسترسی جدید، نقطه دسترسی وجود یا عدم وجود کانال امن را بررسی می­نماید چرا که گره سیار قبلا از این نقطه دسترسی عبور کرده باشد حتما کانال امنی داشته است، با در نظر گرفتن فاکتور زمان این امر میسر میشود. بخشی از ایده پیشنهادی بر کاهش زمان Handoff و متقابلا تسریع در فرایند احرازهویت تاکید دارد. در ایده پیشنهادی نقطه دسترسی نقش مهمی دارد یعنی در روش­های قبلی گره سیار مستقیما با سرور AAA از طریق نقطه دسترسی در ارتباط بود و نقطه دسترسی نقش پر رنگی نداشت اما در ایده پیشنهادی برقراری امینت یک سطح پایین­تر انجام می­گیرد. بین گره سیار و نقطه دسترسی و بین نقطه دسترسی و سرور AAA کانال امن برقرار می­گردد.
شکل ۴-۳ – فلوچارت پیشنهادی
توضیحات فلوچارت:
Registration Phase
در این مرحله اطلاعات گره سیار بصورت آفلاین در سمت سرور درج می­گردد.
Normal Authentication Mode
در این مرحله اطلاعات گره سیار که برای بار اول در شبکه حضور دارد توسط سرور مورد بررسی قرار گرفته و اطلاعات ثبت شده به ازای سیم کارت مربوطه از طرف سرور تایید می­گردد و گره سیار امکان استفاده از زیر ساخت را خواهد یافت.
Arrival of an inter−domain authentication
در این مرحله گره سیار در شبکه جابجا شده و از محدوده آنتن دهی یک AP وارد محدوده آنتن دهی یک AP دیگر می­ شود.
between the MU and AP Check if an SA exists
در این مرحله چک می­گردد که آیا بین MU و AP یک SA وجود دارد یا خیر؟ اگر SA وجود داشته باشد مرحله۶ و اگر وجود نداشته باشد مرحله ۵
Check if residence time of the MU is greater than a threshold value
اگر SA میان MU و AP وجود نداشته باشد وارد این مرحله می­گردد و شرط زمان مقیم بود را بررسی می­نماید. درصورتیکه زمان مقیم بودن MU در AP از حد آسانه بزرگتر باشد یعنی قبلا درAP حضور داشته است و لذا فقط یک SA میان MU و AP بوجود خواهد آمد و درصورتیکه زمان مقیم بود از حد آستانه کوچکتر باشد یعنی MU قبلا در AP حضور نداشته است و MU باید توسط سرور AS احراز هویت گردد.
Authenticate the MU locally with the SA،در این مرحله اطلاعات MU در AP وجود دارد و یک SA وجود دارد تا MU بتواند احراز هویت شود.
Authenticate the MU with AAA Server، در این مرحله اطلاعات MU در AP وجود ندارد لذا MU باید توسط سرور AS احراز هویت گردد. سپس یک بین آنها ایجاد می­گردد.
Generate the SA for an MU Authenticate the MU، در این مرحله اطلاعات MU در AP وجود دارد تنها یک SA باید بجود آید MU تا بتواند احرازهویت شود.
برای اینکه نقطه­های دسترسی چنین قابلیتی داشته باشند باید حافظه نهان داشته باشند. هدف استفاده از حافظه نهان تسریع در فرایند احراز هویت است. اطلاعات مربوط به گره­های سیار همانند ساختار زیر در حافظه نهان موجود در نقطه­دسترسی قرار خواهند داشت. ساختار حافظه نهان پیشنهادی بصورت زیر است، و شامل اطلاعاتی است که برای احراز هویت گره سیار لازم می باشند در ضمن فاکتور آخرین زمان حضور گره سیار در نقطه دسترسی ذخیره می­گردد.