Κατά την τελευταία δεκαετία, η πρόοδος της τεχνολογίας έκανε εφικτή τη χρήση υπηρεσιών διαδικτυακής τηλεφωνίας (VoIP - Voice over IP) και άλλων πολυμεσικών εφαρμογών, μέσω κινητών συσκευών. Οι χρήστες του διαδικτύου απομακρύνονται σταδιακά από τους συμβατικούς υπολογιστές αφού μπορούν να έχουν πρόσβαση σε τέτοιες υπηρεσίες από παντού, κάνοντας χρήση των κινητών τους τηλεφώνων. Η ενοποίηση όλων αυτών των ετερογενών δικτύων κάτω από μία κοινή αρχιτεκτονική, βασισμένη εξ’ ολοκλήρου στο πρωτόκολλο IP, επιτυγχάνεται με την χρήση του Υποσυστήματος Πολυμέσων IP (IMS – IP Multimedia Subsystem). Το IMS, ως κύριο σύστημα σηματοδοσίας των δικτύων επόμενης γενεάς, είναι υπεύθυνο για την εγκαθίδρυση συνόδων και τη διαχείριση των παρεχόμενων πολυμεσικών υπηρεσιών (όπως η διαδικτυακή τηλεφωνία, η τηλεδιάσκεψη μέσω εικόνας και ήχου και πολλές άλλες), αξιοποιώντας το πρωτόκολλο σηματοδοσίας SIP (Session Initiation Protocol). Η ποικιλία των διαφορετικών δικτύων και πρωτοκόλλων που συμμετέχουν σε αυτή την αρχιτεκτονική, έχουν σαν αποτέλεσμα τη δημιουργία νέων ευπαθειών και νέου τύπου επιθέσεων. Οι τεχνικές προδιαγραφές του IMS δεν καλύπτουν επαρκώς τις νέες αυτές απαιτήσεις ασφάλειας, δεδομένου μάλιστα ότι το SIP έχει αποδειχθεί ευάλωτο σε αρκετές κακόβουλες ενέργειες. Η παρούσα διατριβή μελετά τα ζητήματα ασφάλειας και ιδιωτικότητας στις τηλεπικοινωνιακές υπηρεσίες που είναι βασισμένες στο πρωτόκολλο SIP, όπως αυτές που προσφέρονται από τις υποδομές VoIP/IMS. Όλες οι αδυναμίες που μπορεί να αξιοποιήσει μια επίθεση για να παραβιάσει τις απαιτήσεις εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ιδιωτικότητας, παρουσιάζονται και αξιολογούνται λαμβάνοντας υπόψη διάφορους παράγοντες όπως το χρονικό διάστημα της επίθεσης, το επίπεδο πρόσβασης του επιτιθέμενου και τους υπάρχοντες μηχανισμούς ασφαλείας. Εφόσον η ακεραιότητα των μηνυμάτων σηματοδοσίας μπορεί να προστατευτεί με διάφορες μεθόδους, η διατριβή αυτή εστιάζει στην προστασία της διαθεσιμότητας της αρχιτεκτονικής, στην αυθεντικότητα των μηνυμάτων και στην προστασία της ιδιωτικότητας των χρηστών. Η ανάπτυξη ενός μηχανισμού εντοπισμού επιθέσεων πλημμύρας αποτέλεσε έναν από τους αρχικούς στόχους της έρευνας, δεδομένου μάλιστα ότι επιθέσεις του τύπου αυτού μπορούν να επιφέρουν σημαντικές συνέπειες σε τέτοια περιβάλλοντα. Μία μετρική, η οποία προκύπτει από την μοντελοποίηση της διαδικασίας εγκαθίδρυσης συνόδου, προτάθηκε για τον εντοπισμό ημιτελών SIP συνδέσεων. Με την εφαρμογή απλών μαθηματικών υπολογισμών, γίνεται εφικτός ο εντοπισμός επιθέσεων πλημμύρας, τόσο ενός όσο και πολλαπλών γεννητόρων. Στη συνέχεια παρουσιάζεται ένα εξελιγμένο πλαίσιο προστασίας από επιθέσεις πλημμύρας και σηματοδοσίας ταυτόχρονα. Το περιεχόμενο των πακέτων που ενθυλακώνουν σηματοδοσία SIP αναλύεται και οι πληροφορίες που συλλέγονται, συνδέονται με την αυθεντικοποίηση του πρωτοκόλλου SIP. Οι παραγόμενες πλειάδες αποθηκεύονται σε πίνακες με τη βοήθεια Bloom φίλτρων. Η παραποίηση των μηνυμάτων μπορεί να εντοπιστεί αναλύοντας τα δεδομένα που έχουν συλλεχθεί, ενώ ένα στατιστικό μοντέλο έχει αναπτυχθεί προκειμένου να εντοπισθούν οι αποκλίσεις από την κανονική συμπεριφορά της δικτυακής κίνησης κάθε συσκευής. Αναφορικά με τις απαιτήσεις ιδιωτικότητας, παρουσιάζεται ένας μηχανισμός που υποστηρίζει την ανωνυμία των χρηστών. Συγκεκριμένα, οι ταυτότητες των χρηστών προστατεύονται με την αξιοποίηση αντιμεταθετικών συναρτήσεων. Μια νέα, μίας χρήσης, ταυτότητα παράγεται για κάθε νέα σύνοδο, επιτυγχάνοντας έτσι μη συνδεσιμότητα. Όλοι οι προτεινόμενοι μηχανισμοί υλοποιήθηκαν και αξιολογήθηκαν μέσω πολυάριθμων σεναρίων. Τα πειραματικά αποτελέσματα αποδεικνύουν τόσο την αποδοτικότητα των μηχανισμών όσο και την αμελητέα επιβάρυνση που εισάγουν στο σύστημα.
Enhancing security and privacy in VoIP/IMS environments
