Umschaden, K. (2007). Signaling security in next generation networks [Dissertation, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/184210
Herkömmliche Telefonnetzbetreiber befinden sich momentan in einer schwierigen Situation. Alternative Betreiber bieten ihren Kunden günstige Sprachdienste über IP Netze und gewinnen dadurch ständig Marktanteile.<br />Außerdem steigen die Wartungskosten von herkömmlichen Telekommunikationsnetzen aufgrund von veralteten Komponenten mit auslaufenden Serviceverträgen.<br />Die Einführung von innovativen Netzen der nächsten Generation - sogenannten NGNs - hilft herkömmlichen Netzbetreibern flexibel auf Markt- und Kundenanforderungen reagieren zu können. NGNs ermöglichen es, integrierte Multimedia Dienste über ein einziges Netz anzubieten.<br />Dies ermöglicht eine signifikante Senkung der Betriebs- undWartungskosten.<br />Die gut durchdachte NGN Architektur hilft weiters, neue interaktive Services rasch zu entwickeln und ebenso rasch erfolgreich zum Einsatz zu bringen.<br />Selbst wenn die Standardisierung von NGNs bereits fortgeschritten ist, bringt die Verschmelzung von Telefon- und IP Netzen dennoch einige Herausforderungen.<br />Vor allem sind Sicherheitsaspekte im Detail zu analysieren, da IP mit keinerlei Sicherheitsmechanismen ausgestattet ist. Aus diesem Grund betrachte ich die Signalisierung in NGNs, die auf dem mächtigen Session Initiation Protocol (SIP) beruht. Ich analysiere Vor- und Nachteile existierender Sicherheitskonzepte für SIP. Darüberhinaus präsentiere ich ein neues, innovatives Domain-to-Domain Sicherheitskonzept, das die Vorteile der existierenden Sicherheitskonzepte in sich vereinigt. Es sichert die Signalisierung von einem Signalisierungspunkt zum nächsten in den vertrauenswürdigen Domänen von Anrufer und Angerufenem. Zwischen diesen Domänen wird SIP mit Hilfe asymmetrischer Kryptographie gesichert.<br />Dafür kommt eine neue Netzkomponente namens Security Back-to-Back User Agent zum Einsatz, die die Signalisierung entsprechend schützt.<br />Um die Performance der einzelnen Sicherheitsmechanismen vergleichen zu können, simuliere ich sowohl die Netzlast als auch das Ende-zu-Ende Delay der Signalisierung mittels diskretem ereignisbasiertem Simulator. Meine Simulationsergebnisse zeigen den relativen Einfluß jedes Sicherheitsmechanismus auf die Performance. Da es noch weitere Einflußfaktoren gibt, untersuche ich weiters unterschiedliche Netztopologien und verschiedene Signalisierungsszenarien.<br />Einerseits zeigen meine Simulationsergebnisse daß mein neu entwickeltes Domain-to-Domain Sicherheitskonzept Ende-zu-Ende Delay und Netzlast leicht erhöht, andererseits kombiniert es die Vorteile des flexiblen Hop-by-Hop Sicherheitskonzepts mit der hohen Sicherheit von Ende-zu-Ende Sicherheit.<br />
de
Legacy Public Switched Telephone Network operators are in a turn of events. Alternative service providers offering cheap voice service over IP networks to their customers steadily win significant market shares.<br />Moreover, the maintenance costs of legacy circuit switched telecommunications equipment rise due to old switching components that are already end of live. The introduction of innovative Next Generation Networks (NGNs) helps legacy network operators to react flexibly on market and customer requirements. Via NGN, it is possible to offer integrated Multimedia (MM) services via one single integrated next generation service delivery network.<br />This helps to reduce Operations, Administration and Maintenance costs significantly. Moreover, due to the well-designed NGN architecture, it is possible to develop and deploy new interactive MM services quickly.<br />Even when the progress of NGN standardization is advanced, the merge of telephone and IP networks introduces several challenges. Above all, security topics have to be analyzed in detail, as IP inherently excludes these points.<br />Therefore, this Thesis investigates MM session signaling in NGNs, which is performed using the powerful Session Initiation Protocol (SIP). This work analyzes existing signaling security concepts for SIP including their respective merits and drawbacks. Moreover, it presents my contribution, the innovative domain-to-domain security concept merging the advantages of both existing SIP security concepts. It secures signaling messages hop-by-hop in the trusted sender and receiver domains. Between these trusted domains, it applies the high secure Secure Multipurpose Internet Mail Extension to the signaling traffic. Therefore, it authorizes a newly introduced network device called Security Back-to-Back User Agent (Security B2BUA) to perform session description protection for the customer.<br />To compare the performance of the relevant signaling security mechanisms, this Thesis describes the results of simulated network load and end-to-end signaling delay using a discrete event simulator. Compared to plain signaling traffic as reference, the simulation results illustrate the relative performance impact of each security concept. As the performance impact not only depends on the applied security mechanisms themselves, several network topologies and different signaling message flows have been additionally inspected. On the one hand simulation results show that domain-to-domain security slightly increases end-to-end delay and network load. On the other hand the new security concept combines the advantages of flexible hop-byhop and highly secure end-to-end security.
