Vertical Industries Requirements Analysis & Targeted KPIs for Advanced 5G Trials

Just before the commercial roll out of European 5G networks, 5G trials in realistic environments have been recently initiated all around Europe, as pat of the Phase 3 projects of 5GPPP H2020 program [1]. The goal is to showcase 5G's capabilities and to convince stakeholders about its value adding business potential. The approach is to offer advanced 5G connectivity to real vertical industries and showcase how it enables them to overcome existing 4G network limitations and other long standing issues. The 5G EVE H2020 5GPPP project [2] offers cutting edge 5G end to end facilities (in 4 countries) to diversified vertical industry experimenters. The objective is to understand the needs of prominent industries across Europe and to offer tailor made 5G experience to each and every one of them. This paper contributes to the understanding of vertical services' needs, by offering a thorough and concise vertical requirements analysis methodology, including an examination of the 4G limitations. It also provides real life values for the targeted KPIs of three vertical sectors namely, Smart Industry (4.0), Smart Cities / Health and Smart Energy, while assisting market roll out by prioritizing their connectivity needs.Comment: EuCNC 201

Ασφάλεια και ιδιωτικότητα του υποσυστήματος πολυμέσων IP (IP multimedia subsystem-IMS) των δικτύων επόμενης γενεάς

During the last decade, the development of technology has made Voice Over Internet Protocol (VoIP) and other multimedia services feasible even for mobile devices. Internet users have been gradually moving away from convectional computers since they can access such services from everywhere, through their mobile phones. The convergence of all these heterogeneous networks is achieved through the deployment of the IP Multimedia Subsystem (IMS). This platform is the main signaling component in next generation networks and can bring together all different types of networks under a common, all-IP, architecture. As the main signaling component, the IMS is responsible for the session establishment and management of the provided multimedia services, such as internet telephony, video and call conferences and many more, by utilizing the session initiation protocol (SIP). The variety of different networks and protocols, that take part in this architecture, introduce threats, vulnerabilities and new possibilities for attacks. The technical specifications of IMS cannot sufficiently prevent many security incidents while SIP has been proven vulnerable to many malicious acts. This thesis is concerned with security and privacy issues in SIP based communication services such as the ones provided by VoIP/IMS infrastructures. All the vulnerabilities that can be exploited and violate confidentiality, integrity, availability and privacy requirements are presented and evaluated considering many different factors such as the time frame of the attack, the access level of the attacker and the security mechanisms employed. Since signaling messages’ integrity can be protected with various methods, this research has been focused on preserving architecture’s availability, messages’ authenticity and users’ privacy. The development of a flooding attack detection mechanism has been the first objective of this research since such attacks pose serious threats to these environments. A metric that is derived by modeling the session establishment procedure has been proposed for detecting incomplete SIP connections. By applying simple mathematical computations, single and distributed source flooding attacks can be detected. Afterwards, a more advanced framework that provides prevention of both SIP signaling and flooding attacks has been introduced. The content of packets that encapsulate SIP signaling is analyzed and the information gathered are bound with SIP authentication. The generated tuples are stored into tables with the support of the Bloom filters. Messages’ manipulation can be detected by analysing the gathered data while a statistical model has been developed in order to detect deviations from devices’ normal traffic behaviour. Concerning privacy requirements, a mechanism that protects users’s anonymity has been introduced. The unprotected users’ identity is concealed by utilizing commutative functions. A new one-time identity is generated for every new session providing also unlinkability services. All the developed mechanisms have been implemented and evaluated through numerous different scenarios. The experimental results prove the proposed mechanisms’ efficiency while they demonstrate that only negligible overheads are introduced.Κατά την τελευταία δεκαετία, η πρόοδος της τεχνολογίας έκανε εφικτή τη χρήση υπηρεσιών διαδικτυακής τηλεφωνίας (VoIP - Voice over IP) και άλλων πολυμεσικών εφαρμογών, μέσω κινητών συσκευών. Οι χρήστες του διαδικτύου απομακρύνονται σταδιακά από τους συμβατικούς υπολογιστές αφού μπορούν να έχουν πρόσβαση σε τέτοιες υπηρεσίες από παντού, κάνοντας χρήση των κινητών τους τηλεφώνων. Η ενοποίηση όλων αυτών των ετερογενών δικτύων κάτω από μία κοινή αρχιτεκτονική, βασισμένη εξ’ ολοκλήρου στο πρωτόκολλο IP, επιτυγχάνεται με την χρήση του Υποσυστήματος Πολυμέσων IP (IMS – IP Multimedia Subsystem). Το IMS, ως κύριο σύστημα σηματοδοσίας των δικτύων επόμενης γενεάς, είναι υπεύθυνο για την εγκαθίδρυση συνόδων και τη διαχείριση των παρεχόμενων πολυμεσικών υπηρεσιών (όπως η διαδικτυακή τηλεφωνία, η τηλεδιάσκεψη μέσω εικόνας και ήχου και πολλές άλλες), αξιοποιώντας το πρωτόκολλο σηματοδοσίας SIP (Session Initiation Protocol). Η ποικιλία των διαφορετικών δικτύων και πρωτοκόλλων που συμμετέχουν σε αυτή την αρχιτεκτονική, έχουν σαν αποτέλεσμα τη δημιουργία νέων ευπαθειών και νέου τύπου επιθέσεων. Οι τεχνικές προδιαγραφές του IMS δεν καλύπτουν επαρκώς τις νέες αυτές απαιτήσεις ασφάλειας, δεδομένου μάλιστα ότι το SIP έχει αποδειχθεί ευάλωτο σε αρκετές κακόβουλες ενέργειες. Η παρούσα διατριβή μελετά τα ζητήματα ασφάλειας και ιδιωτικότητας στις τηλεπικοινωνιακές υπηρεσίες που είναι βασισμένες στο πρωτόκολλο SIP, όπως αυτές που προσφέρονται από τις υποδομές VoIP/IMS. Όλες οι αδυναμίες που μπορεί να αξιοποιήσει μια επίθεση για να παραβιάσει τις απαιτήσεις εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ιδιωτικότητας, παρουσιάζονται και αξιολογούνται λαμβάνοντας υπόψη διάφορους παράγοντες όπως το χρονικό διάστημα της επίθεσης, το επίπεδο πρόσβασης του επιτιθέμενου και τους υπάρχοντες μηχανισμούς ασφαλείας. Εφόσον η ακεραιότητα των μηνυμάτων σηματοδοσίας μπορεί να προστατευτεί με διάφορες μεθόδους, η διατριβή αυτή εστιάζει στην προστασία της διαθεσιμότητας της αρχιτεκτονικής, στην αυθεντικότητα των μηνυμάτων και στην προστασία της ιδιωτικότητας των χρηστών. Η ανάπτυξη ενός μηχανισμού εντοπισμού επιθέσεων πλημμύρας αποτέλεσε έναν από τους αρχικούς στόχους της έρευνας, δεδομένου μάλιστα ότι επιθέσεις του τύπου αυτού μπορούν να επιφέρουν σημαντικές συνέπειες σε τέτοια περιβάλλοντα. Μία μετρική, η οποία προκύπτει από την μοντελοποίηση της διαδικασίας εγκαθίδρυσης συνόδου, προτάθηκε για τον εντοπισμό ημιτελών SIP συνδέσεων. Με την εφαρμογή απλών μαθηματικών υπολογισμών, γίνεται εφικτός ο εντοπισμός επιθέσεων πλημμύρας, τόσο ενός όσο και πολλαπλών γεννητόρων. Στη συνέχεια παρουσιάζεται ένα εξελιγμένο πλαίσιο προστασίας από επιθέσεις πλημμύρας και σηματοδοσίας ταυτόχρονα. Το περιεχόμενο των πακέτων που ενθυλακώνουν σηματοδοσία SIP αναλύεται και οι πληροφορίες που συλλέγονται, συνδέονται με την αυθεντικοποίηση του πρωτοκόλλου SIP. Οι παραγόμενες πλειάδες αποθηκεύονται σε πίνακες με τη βοήθεια Bloom φίλτρων. Η παραποίηση των μηνυμάτων μπορεί να εντοπιστεί αναλύοντας τα δεδομένα που έχουν συλλεχθεί, ενώ ένα στατιστικό μοντέλο έχει αναπτυχθεί προκειμένου να εντοπισθούν οι αποκλίσεις από την κανονική συμπεριφορά της δικτυακής κίνησης κάθε συσκευής. Αναφορικά με τις απαιτήσεις ιδιωτικότητας, παρουσιάζεται ένας μηχανισμός που υποστηρίζει την ανωνυμία των χρηστών. Συγκεκριμένα, οι ταυτότητες των χρηστών προστατεύονται με την αξιοποίηση αντιμεταθετικών συναρτήσεων. Μια νέα, μίας χρήσης, ταυτότητα παράγεται για κάθε νέα σύνοδο, επιτυγχάνοντας έτσι μη συνδεσιμότητα. Όλοι οι προτεινόμενοι μηχανισμοί υλοποιήθηκαν και αξιολογήθηκαν μέσω πολυάριθμων σεναρίων. Τα πειραματικά αποτελέσματα αποδεικνύουν τόσο την αποδοτικότητα των μηχανισμών όσο και την αμελητέα επιβάρυνση που εισάγουν στο σύστημα

Obscuring Users' Identity in VoIP/IMS Environments

Next Generation Networks bring together wired and wireless architectures, under the umbrella of an all IP architecture. Architectures such as the IP Multimedia Subsystem (IMS) offer advanced services at very low cost but also inherit IP infrastructure's security and privacy issues. The utilized signalling protocol (i.e. Session Initiation Protocol) and the related specifications are both overlooking users' privacy, leaving public and private identities unprotected to eavesdroppers. Existing solutions require either the existence of a public key infrastructure or the establishment of the appropriate mechanism for managing symmetric keys. We propose a novel one-time identity mechanism for obscuring users' real identity against eavesdroppers. The solution exploits the advantages of commutative functions, enabling the communicating parties to exchange data without pre-established keys nor any modification in the infrastructure. All participating entities generate one-time random identities providing in this way unlinkability and anonymity services as well. We evaluate the proposed mechanism through an open source IMS platform. Results have provided evidence that the client's response times are not considerably affected by the proposed mechanism, while the overhead imposed to the IMS core is negligibleJRC.G.6-Digital Citizen Securit