Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-9776
For citation please use:
Main Title: Access control for M2M infrastructures in 5G networks
Translated Title: Zugangskontrolle für M2M-Infrastrukturen in 5G-Netzen
Author(s): Corici, Andreea Ancuta
Advisor(s): Magedanz, Thomas
Referee(s): Magedanz, Thomas
Küpper, Axel
Crespi, Noel
Granting Institution: Technische Universität Berlin
Type: Doctoral Thesis
Language Code: en
Abstract: In telecommunication sector, the term Access Control (AC) was defined in the standard from 1997 and included multiple meanings, one of which is used in this context: Access Control is the function performed by the resource controller that allocates system resources in order to satisfy (user) requests. In this context, the resources are: (i) Internet Protocol (IP) (RFC0791) connectivity from a Fifth Generation Wireless (5G) Core Network and (ii) communication to dynamically spawned Machine to Machine (M2M) Applications server instances. At a functional level, the mobile networks communication stratum can be separated into three distinct planes and the associated type of components, as defined by the International Telecommunication Union (ITU) in the Technical Report from 2004: (i) Data Plane - components which transfer the data between the different entities, (ii) Control Plane - components which control the operation of the specific layer entities and the support components and (iii) Management Plane - components used to manage the specific layer entities and the support components. Following the Next Generation Mobile Networks (NGMN) list of 5G system requirements, the 3rd Generation Partnership Project (3GPP) is in the process of standardizing the 5G system core network architecture. In more details, the resulting 5G system architecture is the first mobile core network architecture having the Control Plane and Data Plane handled by different components. The management plane resides in multiple components that handle policies for access control or detect malfunctions. In the architecture the component interfacing with the applications was already included in the core network of Long Term Evolution (LTE), called Evolved Packet Core (EPC), and is now transcending an increase of exposed capabilities. Application Area: Machine to Machine Applications One of the application areas supported by 5G is Machine to Machine (M2M) communication. In recent years the M2M technologies have reached a certain level of acceptance due to sensors, actuators and other smart devices communication flexibility increase and affordability, making the M2M deployment attractive in several domains like eHealth, Environmental monitoring, Smart metering, Automotive and transport, Agriculture, Manufacturing. Research Issue: Limited M2M specific Access Control At the same time, the concepts of (i) Network Function Virtualization (NFV), in which network components become software based and dynamically spawned by NFV Management and Orchestration (NFV MANO) components, and (ii) Software Defined Networking (SDN), introducing the concepts of controller and switch for separating the control plane from data plane, have revolutionized the networking by introducing flexibility and complexity. As these concepts are adopted by standards like 3rd Generation Partnership Project and the European Telecommunications Standards Institute (ETSI), the interest is to make use of the full power of the technology and scale the infrastructures dynamically according to the needs and keeping the communication across the devices, the network and service instances reliable. Solutions using IP pools for service instance allocation are only suitable for communication paradigms like request-response, thus not suitable for state-full services using sessions. The Access Control between M2M device and Server across multiple Server instances and multiple 5G Core Network instances (also known as Slices) requires a higher level approach for enabling trustworthy and dynamic coupling of M2M communication peers. Own Approach: M2M Device Management deeply linked to 5G Slice Components There are several protocols defined for Device Management, e.g. Open Mobile Alliance Lightweight M2M and Broadband Forum (BF) Technical Report 069 (TR-069), in which a device management server can monitor the registered devices status (battery lifetime, logs, connectivity). The solution proposed here extends such a protocol for enabling access control of M2M infrastructures. The solution has three types of access control. The first one is related to service instance information allocation with the device management server making use of knowledge on the dynamically deployed instances of M2M Application Servers and sending recommendations to the M2M device on the available instances. The second one is the trustful bootstrap of M2M devices so that the devices are managed by new management servers when they are performing handover between 5G slices. The third one refers to connectivity management and consists of increasing the flexibility of the core network subscriber information server in order to enable dynamically allocated subscriber information on devices that join the M2M infrastructure. Scientific Contributions The main contribution of this work is the specification of a Cross-Layer Access Control Framework for M2M Infrastructures using 5G Core Networks by interconnecting the Management Plane of the M2M Communication and the one of the Mobile Core Networks for Trustful Handover of the M2M devices between Security Domains that are running on Core Network Slices. The concept and design of the prototype implementation address common requirements from different M2M vertical domains and are general enough to be further used in other ones. The performance evaluation of the associated components and comparison with other academic, open-source and industry-owned solutions provides a perspective of the future suitability. Validation and Outlook The work has been validated and evaluated within several European Union granted projects as well as one industry funded project. The interoperability and performance have been evaluated. The implementation is part of the Fraunhofer FOKUS Open5GMTC toolkit, an extension for M2M application domain of the Open5GCore toolkit, and acts as basis for future research and development projects.
In der Telekommunikation Bereich wurde der Begriff Zugangskontrolle (AC) in der Norm von 1997 definiert und umfasste mehrere Bedeutungen, von denen eine im vorliegenden Kontext verwendet wird: Zugangskontrolle ist die Funktion ausgeführt vom Ressourcenkontrolleur, der teilt die Systemressourcen zur Befriedigung von (Nutzer-)Anfragen. In vorliegenden Kontext sind die Ressourcen: (i) die Internetprotokoll(IP) -konnektivität, bereitgestellt von einem drahtlosen Kernnetz der fünften Generation (5G Fifth Generation Wireless Core Network) und (ii) die Kommunikation mit dynamisch erzeugten Maschine-Maschine(M2M)-Anwendungsserverinstanzen. In funktionaler Hinsicht kann die Schicht der mobilen Kommunikationsnetze in drei klar voneinander abgegrenzte Ebenen einschließlich der dazugehörigen funktionalen Komponenten gemäß Definition durch die Internationale Fernmeldeunion (ITU) unterteilt werden: (i) die Datenebene - Komponenten, die die Daten zwischen den verschiedenen Einheiten übertragen, (ii) die Steuerungsebene - Komponenten, die den Betrieb der Einheiten der einzelnen Schichten und der unterstützenden Komponenten steuern und (iii) die Verwaltungsebene - Komponenten, die zur Verwaltung der Einheiten der einzelnen Schichten und der unterstützenden Komponenten verwendet werden. Ausgehend von der vom Verband Next Generation Mobile Networks (NGMN) aufgestellten Liste der Anforderungen an ein 5G-System arbeitet das 3rd Generation Partnership Project (3GPP) daran, die Architektur des 5G-Kernnetzes zu standardisieren. Genauer gesagt ist die sich ergebende 5G-Systemarchitektur die erste Architektur für Kernnetze der mobilen Kommunikation, bei der die Steuerungsebene und die Datenebene in unterschiedlichen Komponenten angesiedelt sind. Die Verwaltungsebene ist auf verschiedene Komponenten verteilt, die für Zugangskontrolle verantwortlich sind oder Fehlfunktionen feststellen. In der Architektur war die Komponente, die über Schnittstellen mit den Anwendungen verfügte, schon unter der Bezeichnung Evolved Packet Core (EPC) im Kernnetz des Long-Term-Evolution (LTE)-Netzes angelegt und zeigt jetzt eine Zunahme an Fähigkeiten. Anwendungsbereich: Maschine-Maschine-Anwendungen Einer der Anwendungsbereiche von 5G ist die Kommunikation Maschine-Maschine (M2M). In jüngster Zeit haben M2M-Technologien eine gewisse Akzeptanz erlangt, da die Kommunikation von Sensoren, Betätigungselementen und anderen smarten Geräten flexibler und erschwinglicher wurde, so dass die Nutzung von M2M in verschiedenen Bereichen wie dem Gesundheitswesen, Umweltmonitoring, Smarte Verbrauchszähler, Autoverkehr und Transportwesen, Landwirtschaft, Fertigungsindustrie immer attraktiver wird. Forschungsthema: Beschränkte spezifische M2M-Zugangskontrolle Gleichzeitig haben die Konzepte der (i) Virtualisierung von Netzfunktionen (NFV), bei der Netzwerkbestandteile auf Software beruhen und dynamisch von NFV-Verwaltungs- und Steuerungskomponenten (NFV-MANO-Komponenten)erzeugt werden, sowie (ii) software-basierten Netzwerken (Software Defined Networking (SDN)), bei denen die Konzepte von Steuerung und Schalter für die Trennung der Steuerungsebene von der Datenebene eingeführt wurden, die Netzkommunikation revolutioniert, indem sie Flexibilität und Komplexität in sie einführten. Aufgrund der Übernahme dieser Konzepte durch Standardisierungsorganisationen wie 3GPP und das Europäische Institut für Telekommunikationsnormen (ETSI) besteht Interesse daran, diese Technologien in vollem Umfang nutzen zu können und die Infrastruktur entsprechend der Bedarfsentwicklung dynamisch auszubauen sowie für eine zuverlässige Kommunikation zwischen den Geräten, dem Netz und den Dienstinstanzen zu sorgen. Lösungen, bei denen IP-Pools für die Zuweisung von Dienstinstanzen genutzt werden, sind nur bei Gültigkeit von Kommunikationsparadigmen wie Anfrage-Antwort geeignet und können daher nicht für statusbetonte Dienste, die mittels Sessions abgewickelt werden, angewandt werden. Die Zugangskontrolle zwischen M2M-Gerät und Server über mehrere Server-Instanzen und 5G-Kernnetzinstanzen (auch als Slices bezeichnet) erfordern einen Ansatz auf einem höheren Niveau, um eine vertrauenswürdige und dynamische Kopplung von M2M-Kommunikationsteilnehmern zu ermöglichen. Eigener Ansatz: M2M-Geräteverwaltung eng verknüpft mit 5G-Slice-Komponenten Es gibt mehrere Protokolle für Geräteverwaltung, z.B. Offen Mobile Allianz (OMA) Lightweight M2M und Breitband Forum (BF) Technicher Berichrt 069 (TR-069), bei denen ein Geräteverwaltungsserver den Status der registrierten Geräte (Batterielebensdauer, Logs, Konnektivität) überwachen kann. Die hier vorgeschlagene Lösung erweitert ein solches Protokoll in der Art, dass eine Zugangskontrolle von M2M-Infrastrukturkomponenten ermöglicht wird. Die Lösung bietet drei Arten von Zugangskontrolle. Die erste bezieht sich auf die Zuweisung von Dienstinstanz-Informationen, wobei der Geräteverwaltungsserver das in den dynamisch eingesetzten Instanzen der M2M-Anwendungsserver vorhandene Wissen nutzt und Empfehlungen über die vorhandenen Instanzen an der M2M-Geräte sendet. Die zweite ist das vertrauensvolle Bootstrapping der M2M-Geräte, so dass die Geräte von neuen Verwaltungsservern verwaltet werden, wenn sie eine Übergabe zwischen 5G-Slices ausführen. Die dritte bezieht sich auf das Konnektivitätsmanagement und besteht darin, dass die Flexibilität des Kernnetz-Teilnehmerinformationsservers erhöht wird, um eine dynamische Zuweisung von Teilnehmerinformationen auf Geräte, die in die M2M-Infrastruktur einbezogen werden, zu ermöglichen. Wissenschaftliche Beiträge Der Hauptbeitrag dieser Arbeit besteht in der Spezifizierung eines schichtenübergreifenden Zugangskontrollrahmens für M2M-Infrastrukturen mittels 5G-Kernnetze durch verbinden der Verwaltungsebene der M2M-Kommunikation mit der des mobilen Kernnetzes für die geschützte Übergabe der M2M-Geräte zwischen den Sicherheitsdomänen, die innerhalb der Kernnetz-Slices betrieben werden. Konzept und Auslegung der Prototyp-Umsetzung behandeln gemeinsame Anforderungen unterschiedlicher vertikaler M2M-Domänen und sind allgemein genug gehalten, um auch für andere verwendet werden zu können. Die Beurteilung der Leistung der eingebundenen Komponenten und ein Vergleich mit anderen Lösungen, die von wissenschaftlichen Einrichtungen, Open-Source-Anbietern und der Industrie angeboten werden, liefert eine Vorstellung von ihrer Zukunftsfähigkeit. Validierung und Ausblick Die Arbeit wurde im Rahmen mehrerer von der Europäischen Union geförderter Projekte sowie einem von der Industrie finanzierten Projekt validiert und bewertet. Es fand eine Auswertung der Interoperabilität und Leistung statt. Die Umsetzung ist Teil des Fraunhofer-FOKUS-Open5GMTC-Toolkits, der entwickelt als Erweiterung des Open5GCore-Toolkits für die M2M-Anwendungsdomäne würde und dient als Grundlage für künftige Forschungs- und Entwicklungsprojekte.
URI: https://depositonce.tu-berlin.de/handle/11303/10883
http://dx.doi.org/10.14279/depositonce-9776
Exam Date: 6-Dec-2019
Issue Date: 2020
Date Available: 25-May-2020
DDC Class: 000 Informatik, Informationswissenschaft, allgemeine Werke
Subject(s): access control
M2M
5G
4G
connectivity management
security domain
Zugangskontrolle
Konnektivitätsverwaltung
Sicherheitszone
License: https://creativecommons.org/licenses/by-nc/4.0/
Appears in Collections:FG Architekturen der Vermittlungsknoten » Publications

Files in This Item:
corici_andreea_ancuta.pdf
Format: Adobe PDF | Size: 14.16 MB
DownloadShow Preview
Thumbnail

Item Export Bar

This item is licensed under a Creative Commons License Creative Commons