Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Authentication and authorization are very important aspects for the validation of a user who desires to get access to a network, a system or a service. Specifically, authentication is the procedure of test "who someone is", authorization is the procedure which verifies "what someone can do". In our scenario, they mean if a user is recognized for a service and if they are able to gain access to that service. Recently, the 5G networks are expanding more and more and they present a lot of differences between them and the previous network generations; consequently, the components within it are deployed differently arising new challenges. Moreover, the advent of the SDN approach has disclosed new ways to conceptualize security protocols because of the possibility to separate data plane from control plane. The Edge Computing paradigm carries with it unmatched authentication and authorization challenges; one example to be taken into account is regarding the implementations of such mechanisms in a centralized or distributed way, with the pros and cons of each of the choices (e.g., if a centralized process is under a disruption or compromised by an attack, the entire system may collapse). Furthermore, the authentication procedure can trust on users located in the same trust domain (some authentication schemes that exploit location-specific informations have been suggested, especially for those cases where the edge data centers are situated near of end-users). This thesis illustrates a Customer Edge Switch that is designed to be collocated at the border of a 5G network, which authenticates users with a policy-based control and implements an network-layer protocol for authorizing them to get access to services by leveraging the Mobile Edge Computing paradigm. The CES component is built with a P4 program as data plane which authorizes the packet traffics, an orchestrator written in Python as control plane to administer the match-andaction tables in the switch and a policy server to authenticate users. The environment used to simulate the components is based on a set of virtual machines linked to a BMv2 programmable switch. To test the efficiency of our authorization protocol, it has been led a performance analysis under some remarks.

L’autenticazione, l’autorizzazione sono fondamentali per la validazione di un utente che desidera accedere ad una rete, ad un sistema o ad un servizio. Per autenticazione si intende quel processo che risponde alla domanda "chi è quell’entità", con autorizzazione si definisce quella procedura che soddisfa la domanda "che cosa può fare quell’entità". Nello senario considerato, queste domande sono utilizzate per capire se un utente è autenticato ed autorizzato per accedere ad un determinato servizio. Recentemente, le reti 5G si sono espanse sempre di più, facendo emergere delle differenze rispetto alle passate generazioni. Queste differenze si ripercuotono sul funzionamento dei componenti interni. In più, con l’avvento del paradigma SDN, sono sorte nuove metodologie di sviluppo per i protocolli di sicurezza, dispiegati grazie alla possibilità di dividere il piano di controllo da quello dei dati. Il paradigma basato sul Edge Computing ha portato alla luce nuove sfide di autenticazione ed autorizzazione da risolvere; la possibilità di implementare questi meccanismi di sicurezza in modo distribuito o centralizzato ne è un chiaro esempio (se un sistema centralizzato dovesse fallire per via di un attacco informatico, tutto il sistema potrebbe collassare). In aggiunta, con questo paradigma è possibile fidarsi di un utente che è presente all’interno dello stesso dominio della rete (infatti, sono stati proposti diversi protocolli di autenticazione che si basano sulle informazioni riguardanti la posizione dell’utente, in particolar modo se questo risiede all’interno della rete). Questa tesi si basa sull’ideazione di un componente switch per il paradigma Mobile Edge Computing ed è realizzato per essere collocato al bordo di una rete 5G. Questo dispositivo autentica gli utenti tramite una politica di accesso ed implementa un protocollo di rete per autorizzare gli utenti a dei servizi. Il componente in questione è stato progettato utilizzando il linguaggio P4 per il piano dei dati tramite il quale vengono autorizzati i pacchetti, un controllore scritto in Python per il piano di controllo con il quale vengono gestite le tabelle nello switch ed un server dedicato alla politica di accesso per autenticare gli utenti. L’ambiente utilizzato per simulare il componente ideato è costituito da delle macchine virtuali collegate fra di loro tramite uno switch programmabile di tipo BMv2. Per verificare l’efficienza del nostro componente, è stato condotto un test sulle prestazioni del nostro protocollo di autorizzazione ottenendo dei buoni risultati.

Authorizing access to edge resources using 5G device authentication

GIACOMETTI, LUCA
2022/2023

Abstract

Authentication and authorization are very important aspects for the validation of a user who desires to get access to a network, a system or a service. Specifically, authentication is the procedure of test "who someone is", authorization is the procedure which verifies "what someone can do". In our scenario, they mean if a user is recognized for a service and if they are able to gain access to that service. Recently, the 5G networks are expanding more and more and they present a lot of differences between them and the previous network generations; consequently, the components within it are deployed differently arising new challenges. Moreover, the advent of the SDN approach has disclosed new ways to conceptualize security protocols because of the possibility to separate data plane from control plane. The Edge Computing paradigm carries with it unmatched authentication and authorization challenges; one example to be taken into account is regarding the implementations of such mechanisms in a centralized or distributed way, with the pros and cons of each of the choices (e.g., if a centralized process is under a disruption or compromised by an attack, the entire system may collapse). Furthermore, the authentication procedure can trust on users located in the same trust domain (some authentication schemes that exploit location-specific informations have been suggested, especially for those cases where the edge data centers are situated near of end-users). This thesis illustrates a Customer Edge Switch that is designed to be collocated at the border of a 5G network, which authenticates users with a policy-based control and implements an network-layer protocol for authorizing them to get access to services by leveraging the Mobile Edge Computing paradigm. The CES component is built with a P4 program as data plane which authorizes the packet traffics, an orchestrator written in Python as control plane to administer the match-andaction tables in the switch and a policy server to authenticate users. The environment used to simulate the components is based on a set of virtual machines linked to a BMv2 programmable switch. To test the efficiency of our authorization protocol, it has been led a performance analysis under some remarks.
ING - Scuola di Ingegneria Industriale e dell'Informazione
4-mag-2023
2022/2023
L’autenticazione, l’autorizzazione sono fondamentali per la validazione di un utente che desidera accedere ad una rete, ad un sistema o ad un servizio. Per autenticazione si intende quel processo che risponde alla domanda "chi è quell’entità", con autorizzazione si definisce quella procedura che soddisfa la domanda "che cosa può fare quell’entità". Nello senario considerato, queste domande sono utilizzate per capire se un utente è autenticato ed autorizzato per accedere ad un determinato servizio. Recentemente, le reti 5G si sono espanse sempre di più, facendo emergere delle differenze rispetto alle passate generazioni. Queste differenze si ripercuotono sul funzionamento dei componenti interni. In più, con l’avvento del paradigma SDN, sono sorte nuove metodologie di sviluppo per i protocolli di sicurezza, dispiegati grazie alla possibilità di dividere il piano di controllo da quello dei dati. Il paradigma basato sul Edge Computing ha portato alla luce nuove sfide di autenticazione ed autorizzazione da risolvere; la possibilità di implementare questi meccanismi di sicurezza in modo distribuito o centralizzato ne è un chiaro esempio (se un sistema centralizzato dovesse fallire per via di un attacco informatico, tutto il sistema potrebbe collassare). In aggiunta, con questo paradigma è possibile fidarsi di un utente che è presente all’interno dello stesso dominio della rete (infatti, sono stati proposti diversi protocolli di autenticazione che si basano sulle informazioni riguardanti la posizione dell’utente, in particolar modo se questo risiede all’interno della rete). Questa tesi si basa sull’ideazione di un componente switch per il paradigma Mobile Edge Computing ed è realizzato per essere collocato al bordo di una rete 5G. Questo dispositivo autentica gli utenti tramite una politica di accesso ed implementa un protocollo di rete per autorizzare gli utenti a dei servizi. Il componente in questione è stato progettato utilizzando il linguaggio P4 per il piano dei dati tramite il quale vengono autorizzati i pacchetti, un controllore scritto in Python per il piano di controllo con il quale vengono gestite le tabelle nello switch ed un server dedicato alla politica di accesso per autenticare gli utenti. L’ambiente utilizzato per simulare il componente ideato è costituito da delle macchine virtuali collegate fra di loro tramite uno switch programmabile di tipo BMv2. Per verificare l’efficienza del nostro componente, è stato condotto un test sulle prestazioni del nostro protocollo di autorizzazione ottenendo dei buoni risultati.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis_Luca_Giacometti.pdf

Open Access dal 17/04/2024

Descrizione: Tesi di laurea magistrale
Dimensione 2.36 MB
Formato Adobe PDF
Visualizza/Apri
2.36 MB Adobe PDF Visualizza/Apri
Executive_Summary_Luca_Giacometti.pdf

Open Access dal 17/04/2024

Descrizione: Executive summary per la tesi magistrale
Dimensione 562.74 kB
Formato Adobe PDF
Visualizza/Apri
562.74 kB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/208333