Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Authentication and authorization are crucial steps in validating a user who is trying to access to a system, a network, or a service. In particular, authentication is the process of verifying “who someone is”, while authorization is the process of verifying “what someone can do”, so in this case which specific applications, files and data a user has access to. With respect to previous networks generations, in 5G the architecture is quite different, so such processes are conditioned about the way they are applied; in addition, through SDN approach it is possible to implement different security protocols having distincted data plane and control plane. Edge computing introduces unique authentication and authorization challenges; for example, the possibility of implementing such mechanisms in a more centralized or a more distributed way, with the advantages and disadvantages of each of the options (e.g., if such centralized processes are unavailable or compromised by an attack, the whole infrastructure could collapse). In addition, authentication can rely on users belonging to the same trust domain (in particular, various authentication schemes that make use of location-specific information have been proposed, especially if edge data centers are located in the vicinity of end-users). This thesis presents a component that should be deployed at the border of a 5G network in the Mobile Edge Computing (MEC) use case, which authenticates users and implements a policy-based protocol for authorizing them to access services. The protocol is validated by testing the implemented component in an emulated environment. The component comprises a P4 program to be deployed on a programmable switch and a Policy Server responsible for authenticating users and authorizing them after policy checking. The emulation environment consists of a set of virtual machines connected to a BMv2 programmable switch. A performance analysis has also been conducted to verify the efficiency of the protocol under consideration.

L’autenticazione e l’autorizzazione sono passaggi fondamentali nel processo di verifica di un utente che cerca di accedere a un sistema, a una rete o a un servizio. In particolare, l’autenticazione è il processo di verifica di “chi è qualcuno”, mentre l’autorizzazione è il processo di verifica di “cosa può fare qualcuno”, in questo caso a quali specifiche applicazioni, file e dati un utente può accedere. Rispetto alle reti delle generazioni precedenti, con il 5G si ha un’architettura differente, e tali processi sono condizionati circa le modalità di applicazione; in aggiunta, tramite l’approccio SDN è possibile implementare diversi protocolli di sicurezza basandosi su piano dati e piano di controllo separati. L’Edge computing introduce novità specifiche riguardo all’autenticazione e all’autorizzazione: ad esempio, la possibilità di implementare questi meccanismi in modo più centralizzato o più distribuito, con i vantaggi e gli svantaggi di ciascuna delle scelte (si consideri ad esempio il caso in cui questi processi realizzati in modo centralizzato siano indisponibili o compromessi da un attacco, l’intera infrastruttura potrebbe subirne le conseguenze). In aggiunta, l’autenticazione può basarsi su utenti appartenenti allo stesso dominio di trust (in particolare, sono stati proposti diversi schemi di autenticazione che utilizzano informazioni specifiche riguardo la localizzazione, specialmente se gli edge data centers sono nelle prossimità degli utenti). Questa tesi presenta un componente, che dovrebbe essere implementato al confine di una rete 5G in uno use case relativo a Mobile Edge Computing (MEC), il quale autentica utenti e provvede ad autorizzarli all’accesso a servizi mediante un protocollo policy-based. Tale protocollo è stato validato testando il componente implementato in un ambiente emulato. Il componente comprende un programma P4, utilizzato per configurare uno switch programmabile, e un Policy Server, responsabile di autenticare gli utenti e autorizzarli a seguito di un check delle policy di sicurezza. L’ambiente emulato consiste in un set di macchine virtuali connesse a uno switch BMV2 programmabile. Un’analisi delle performance è stata inoltre condotta per verificare l’efficienza del protocollo in esame.

A policy-based access control node for the 5G edge

BATTAGIN, FRANCESCO
2020/2021

Abstract

Authentication and authorization are crucial steps in validating a user who is trying to access to a system, a network, or a service. In particular, authentication is the process of verifying “who someone is”, while authorization is the process of verifying “what someone can do”, so in this case which specific applications, files and data a user has access to. With respect to previous networks generations, in 5G the architecture is quite different, so such processes are conditioned about the way they are applied; in addition, through SDN approach it is possible to implement different security protocols having distincted data plane and control plane. Edge computing introduces unique authentication and authorization challenges; for example, the possibility of implementing such mechanisms in a more centralized or a more distributed way, with the advantages and disadvantages of each of the options (e.g., if such centralized processes are unavailable or compromised by an attack, the whole infrastructure could collapse). In addition, authentication can rely on users belonging to the same trust domain (in particular, various authentication schemes that make use of location-specific information have been proposed, especially if edge data centers are located in the vicinity of end-users). This thesis presents a component that should be deployed at the border of a 5G network in the Mobile Edge Computing (MEC) use case, which authenticates users and implements a policy-based protocol for authorizing them to access services. The protocol is validated by testing the implemented component in an emulated environment. The component comprises a P4 program to be deployed on a programmable switch and a Policy Server responsible for authenticating users and authorizing them after policy checking. The emulation environment consists of a set of virtual machines connected to a BMv2 programmable switch. A performance analysis has also been conducted to verify the efficiency of the protocol under consideration.
BREGNI, STEFANO
GALLONE, EMANUELE
ING - Scuola di Ingegneria Industriale e dell'Informazione
28-apr-2022
2020/2021
L’autenticazione e l’autorizzazione sono passaggi fondamentali nel processo di verifica di un utente che cerca di accedere a un sistema, a una rete o a un servizio. In particolare, l’autenticazione è il processo di verifica di “chi è qualcuno”, mentre l’autorizzazione è il processo di verifica di “cosa può fare qualcuno”, in questo caso a quali specifiche applicazioni, file e dati un utente può accedere. Rispetto alle reti delle generazioni precedenti, con il 5G si ha un’architettura differente, e tali processi sono condizionati circa le modalità di applicazione; in aggiunta, tramite l’approccio SDN è possibile implementare diversi protocolli di sicurezza basandosi su piano dati e piano di controllo separati. L’Edge computing introduce novità specifiche riguardo all’autenticazione e all’autorizzazione: ad esempio, la possibilità di implementare questi meccanismi in modo più centralizzato o più distribuito, con i vantaggi e gli svantaggi di ciascuna delle scelte (si consideri ad esempio il caso in cui questi processi realizzati in modo centralizzato siano indisponibili o compromessi da un attacco, l’intera infrastruttura potrebbe subirne le conseguenze). In aggiunta, l’autenticazione può basarsi su utenti appartenenti allo stesso dominio di trust (in particolare, sono stati proposti diversi schemi di autenticazione che utilizzano informazioni specifiche riguardo la localizzazione, specialmente se gli edge data centers sono nelle prossimità degli utenti). Questa tesi presenta un componente, che dovrebbe essere implementato al confine di una rete 5G in uno use case relativo a Mobile Edge Computing (MEC), il quale autentica utenti e provvede ad autorizzarli all’accesso a servizi mediante un protocollo policy-based. Tale protocollo è stato validato testando il componente implementato in un ambiente emulato. Il componente comprende un programma P4, utilizzato per configurare uno switch programmabile, e un Policy Server, responsabile di autenticare gli utenti e autorizzarli a seguito di un check delle policy di sicurezza. L’ambiente emulato consiste in un set di macchine virtuali connesse a uno switch BMV2 programmabile. Un’analisi delle performance è stata inoltre condotta per verificare l’efficienza del protocollo in esame.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2022_04_Battagin.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Thesis
Dimensione 1.68 MB
Formato Adobe PDF
  Visualizza/Apri
1.68 MB Adobe PDF   Visualizza/Apri
2022_04_Battagin_Executive_Summary.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Executive Summary
Dimensione 941.46 kB
Formato Adobe PDF
  Visualizza/Apri
941.46 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/186246