Transparents - projet SEmba
Download
Report
Transcript Transparents - projet SEmba
Quelques propositions de
solutions pour la sécurité des
réseaux de capteurs sans fil
Wassim Znaidi
[email protected]
Directeurs de thèse: Marine Minier, Stéphane Ubéda
Laboratoire CITI
INRIA SWING / CITI INSA de Lyon
Date : 19 Octobre 2010
Réseau de capteurs (RdCs)
Station de base (BS)
Capteurs
Capture/ traitement de données
physiques
Transmission sans fil
Energie (batterie)
Contraintes
de capteurs
•Réseau
Mémoire limitée
WSN430:
Ti MSP430 (8 MHz)
Energie
limitée
• Pas
d’infrastructure
fixe
Capacité
de calcul limitée
• Forte
densité
Faible portée
radio – Env. ouvert
• Topologie
aléatoire
Communication
radio sans fil
• Routage
multi-sauts
1Mo Flash, 10 Ko de RAM
Batterie 2xAA
2
Applications: besoin de sécurité
Moniteur d’inventaire
Surveillance environnementale
Réseau de capteurs
Surveillance industrielle
Industrie
3
Sécurité dans les RdCs
Attaquant
Externe: l’attaquant ne fait pas partie du
réseau
pas d’accès aux nœuds.
Interne: l’attaquant compromet des nœuds
accès à une partie des nœuds
Contremesures
Externe: cryptographie
secrets
efficacité dans un environnement contraint ?
Interne: solution algorithmique, car une partie
des secrets sont connus.
4
Attaques dans les RdCs
Collision
Physique
brouillage, extraction de données,
débordement de tampon,…
Liaison
collision, épuisement, link jamming, …
Routage
Selective forwarding, sinkhole, Sybile,
hello flood, wormhole, réplication des
nœuds,…
Application
inondation, désynchronisation, localisation,
Faux paquet de contrôle, …
Sybile
Réplication
5
Sinkhole
Durant cette thèse
Approches Algorithmiques: solutions pour la couche de routage
Détection de l’attaque wormhole [Znaidi et al. 2008]
Attaque wormhole
Détection de l’attaque par réplication des nœuds
Coefficient de clustering des arêtes
Algorithme de détection basé sur le coefficient de clustering
Approches Cryptographiques: solutions pour la couche application
Performance et comparaison
Gestion de clés et de contrôle d’accès
Authentification des messages pour l’agrégation et le codage réseau
[Znaidi et al. 2009 et 2010]
6
Attaque wormhole
Conséquences
Selective forwarding
Déni de service
Fausse découverte de voisinage
7
Etat de l’art
Protocole
Description
Inconvénient
Perrig et al. 2003
Utilisation des paquets leaches
pour des données
géographiques et temporelles
exige la synchronisation
des horloges et l’utilisation
d’un GPS
L. Hu et al. 2004
R. Maheshwari et al.
2007
Shokri et al. 2009
utilisation d’antennes
directionnelles
Besoin d’une solution distribuée ne
Recherche
nécessitantdes
passtructures
de composants Grande complexité de
interdites
calcul
spéciaux
Estimation des distances à
Besoin de la technologie
l’aide d’ondes ultrasons et
ultrason et d’horloges très
recherche des formes
précises
géométriques interdites
Utilisation de la direction des
Motivation
antennes des voisins
8
Observation de l’attaque wormhole
Observation
2 communautés distinctes ont l’impression
d’être proche grâce au lien wormhole
les voisins des nœuds malicieux n’ont
aucun voisin commun
Piste
Etude de voisinage pour vérifier la consistance
des liens et détecter une attaque wormhole
9
Coefficient de clustering des arêtes (CCA)
CCA [Radicchi 2004]
• Mesure de la vraisemblance que g-nœuds associés
à une arête soient bien associés entre eux.
• Coefficient de clustering:
g
i,j
C =
lien possible
g
i,j
g
i,j
z
s
a
b
c
i
j
d
lien existant
3
i,j
C =
Proposition de CCA modifié
• Motivation: étudier l’impact de suppression
d’un lien sur la connectivité des voisins
g
i,j\X
• Coefficient clustering modifié: CS
=
g
zi,j\X
a
b
c
i
j
g
si,j\X
d
10
CS3i,j\d =
1
3
2
4
Wormhole détecté à l’aide du CCA modifié
Algorithme de détection
Intuition
1. Découverte de voisinage: les nœuds s’échangent leurs tables de
Dans
un réseau
dense, unàcouple
de noeuds
possède
voisinage
de de
1-2capteurs
sauts, construites
l’aide des
messages
Hello.au moins
(3)
(4)
1-2 noeuds voisins en commun
CS.,.\.
0(3)et CS.,.\.
0
(4)
2. Phase de calcul: chaque nœud calcule CS.,.\. et CS.,.\.
S’ils sont nuls, le voisin est déclaré comme étant un nœud malicieux.
Extrémité de wormhole
j
Pour deux nœuds a et b, b est déclaré
malicieux si:
k V1 (b) et k ((V1 (a) V2G \ b (a )) \
m
a
b
X
(4)
CSa(3)
0
et
CS
,k \b
a ,k \b 0
Y
n
CSa(3),Y \ X 0, CSa(4)
,Y \ X 0
11
Faux positifs
Limitations
Algorithme de détection
Faux positifs: des nœuds honnêtes sont déclarés comme malicieux
1. Découverte de voisinage: les nœuds s ’échangent leurs tables de
voisinage de 1-2 sauts, construites à l’aide des messages Hello.
2. Phase de calcul: chaque nœud calcule le CS d’ordre 3 et 4. S’ils sont nuls,
le nœud est désigné un nœudj suspect.
Solution proposée
m
a
3. Phase d’isolation: un nœud
diffuse Technique
une alerte de
chaque
qu’il détecte
un
vote: fois
un nœud
est
nœud suspect. Si le nombre d’alertes
dépasse
un seuilsi une
, le nœud
Tammajorité
déclaré
malicieux
deest
déclaré malicieux. b
X
nœudsYle considère malicieux
n
(4)
CS (3)
0,
CS
j ,b \ a
j ,b \ a 0
12
Intégration à un protocole d’auto-organisation
QLoP
[Heurtefeux
et àal.QLoP
2008]
Intégration
Echange de messages
Hello de
périodiques
1. Exécution
QLoP: adaptation de QLoP pour
pouvoir
échanger
les tables de voisinage à 1-2
Echange des tables
de voisinage
à 1-saut
sauts.
Calcul d’indice de proximité
2. Phase
chaque nœud calcule le CCA
Classification des
voisinsde
encalcul:
3 classes
modifié d’ordre 3 et 4. Pour optimiser les calculs,
on calcule ce coefficient que pour les nœuds de
classe 2 et 3
3. Phase d’isolation: un nœud diffuse une alerte
chaque fois qu’il détecte un nœud suspect. Si le
nombre d’alertes dépasse un seuil T , une
am
attaque est déclarée.
13
Etude de performance
Simulations
Simulateur WSNet
Modèle radio réaliste
Comparaison avec l’approche [Shokri 2009]
UDG
Réel
Hypothèses
Topologie aléatoire
Pas de mobilité
Probabilité
de détection de 1/plusieurs
attaques wormhole aléatoires
de faux positifs avec/sans les
nœuds sur les bords
14
Résultats
Observations
Forte probabilité de détection variant (entre 80% et 98%).
1% - 7% de faux positifs. Pour moitié dû aux bordures.
Gain de l’ordre de 15% par rapport à [Shokri 2009]
15
Résultats
16
Conclusion wormhole
Résumé
Algorithme distribué utilisant uniquement des informations de voisinage local
Introduction du coefficient CCA modifié
Définition d’un wormhole à l’aide du coefficient CCA modifié
Intégration dans QLoP
Perspectives
Ne fonctionne plus si les voisins des nœuds wormhole mentent de façon
consistante sur leur voisinage [Boucetta 2010]
Etude de plusieurs attaquants wormhole qui collaborent entre eux
17
2ème partie de la présentation
Sécurisation contre l’attaque wormhole
Authentification des messages pour le codage réseau
Définition de l’attaque de pollution dans le contexte de codage réseau
Les fonctions de hachage universelles
Mode d’opérations de la vérification de l’intégrité des données
18
Codage réseau et attaque par pollution
Le codage réseau est une méthode de transmission de données multipoint par
combinaison de flux permettant d’augmenter le débit et d’améliorer la robustesse
Attaque par pollution:
injecter de fausses données
inutilisables dans les
Bob messages transformés
Codage réseau
Eve
Alice
t1
t2
Question ?
x1
x2
Problème
x1 x2
x1 x2
Alice
Comment prévenir l’attaque par
pollution dans un RdC (en étant
efficace en énergie) ?
Bob
19
Méthode de vérification de l’authenticité
Identité + Intégrité
Codes MACs: crypto symétrique
Signature digitale: crypto asymétrique
MAC Taille fixe
hash
MAC
exemples: RSA, DSA, ECDSA
h
enc
signature
Clé privée
Clé secrète
Trop gourmande en ressources
3 grandes classes de Message Authentication Codes (MACs)
MACs basés sur les fonctions de hachage cryptographiques: HMAC et MDx-MAC
MACs basés sur les algorithmes de chiffrement par blocs: CBC-MAC
MACs basés sur les fonctions de hachage universelles FHU (FMAC)
20
FHU [Carter et al. 1978]
Définition 1: faible probabilité de collision
Définition 2: linéarité
21
FMAC linéaire [Krawczyk 1994]
Les FHU permettent de construire un schéma de MAC sûr si les
résultats sont cachés à l’aide d’une autre fonction
Conception de MAC à l’aide de FHU
La conception d’un code MAC est possible en suivant le scénario suivant:
les deux parties échangent une clé secrète k
les deux parties connaissent une valeur aléatoire r
l’empreinte d’un message M est égale à:
tag f k (M ) r
Exemples
? être obtenue à l’aide d’une fonction pseudo-aléatoire (AES)
Questions
La valeur r peut
[Krawczyk
linéaire
cryptographique
Quels 1994]:
MACs xor
choisir
dans–laCRC
pratique
pour faire du codage réseau ?
tag (M ) M ( x). xn mod q( x), où M ( x)F2 x
22
Etude de la consommation
Simulations et paramètres
WSIM + eSimu
Ti MSP430f1611
Résultats pour des données de 20 octets
Algorithme
Energie (10-4J)
Délai (ms)
SHA1
AES-128
0.623
0.473
4.64
3.53
HMAC
2
14.48
CBC-MAC
1.476
11.045
FMAC (Toeplitz)
1.201
8.976
23
Exploiter la linéarité
Mode d’opération: définir la démarche que le relais doit suivre pour vérifier
la validité des données
méthode classique
nécessitent la propriété de
linéarité
AXMF
fonctionne avec toutes
les primitives MACs
4 modes d’opération
AXF
XAF
XF
fonctionnent uniquement avec
les FMACs linéaires
24
Authenticate-Xor-Mac-Forward (AXMF)
Mode classique qui fonctionne avec HMAC, CBC-MAC et FMAC
Alice
Eve
Bob
x '2 ,d'2
x '1 ,d'1
1
x1 ,d1
x2 ,d 2
ma ,da
2
F
m b ,d b
?
A
X
F
?
h k (x1) = d1 et h k (x2 ) = d2
m=x1 x2
M
d3 =h k (x1 x2 )
3
?
?
h k (m a ) = d a
h k (m b ) = d b
x2 x1 ma
x1 x2 mb
25
Authenticate-Xor-Forward (AXF)
fonctionne uniquement avec FMAC car besoin de la linéarité
Alice
Eve
x '2 ,d'2
x '1 ,d'1
1
Bob
x1 ,d1
x2 ,d 2
ma ,da
2
F
m b ,d b
?
?
h k (x1) = d1 et h k (x2 ) = d2
A
X
F
réduit le calcul
m=x1 x2 / d3 =h k (x1 ) h k (x2 )
3
x ''2 =x1 ma / d''2 =d a d1
x ''1 =x2 mb / d''1 =d b d 2
?
h k (x ''2 ) = d"2
?
h k (x ''1 ) = d"1
26
Modes d’opérations
Xor-Forward (XF)
Xor-Authenticate-Forward (XAF)
Alice
x '1 ,d'1
Eve
Alice
Bob
x '2 ,d'2
x2 ,d 2
x1 ,d1
F
x '1 ,d'1
x2 ,d 2
ma ,da
m b ,d b
X m=x1 x2 / d3 =d'1 d'2
réduit l’authentification
X
?
A
h k (m) = d 3
x ''2 x1 ma
x ''1 x2 mb
d''2 =da d1
d''1 =d b d 2
?
h k (x ''2 ) = d"2
Bob
x '2 ,d'2
x1 ,d1
F
ma ,da
Eve
?
h k (x ''1 ) = d"1
F
m b ,d b
m x1 x2
d3 =d'1 d'2
F
relais
x ''2 x1 ma
x ''1 x2 mb
d''2 =da
d1
?
h k (x ''2 ) = d"2
d''1 =d b ? d 2
h k (x ''1 ) = d"1
27
Résultats
(WSNet-WSIM-eSimu)
E T =19.1
ET =14.7
ET =16.4
E T =13.1
ET =11.2
R: réception, V:vérification, T:tranformation, E:émission, E T :energie totale
28
En pratique
Conclusion
Combiner les modes XAF et XF
pour économiser l’énergie et
contrer l’attaque par pollution
Energie moyenne
p: la probabilité qu’une attaque par pollution se produise, M: le mode utilisé
S (M ) p Eattack (M ) (1 p) Enoattack (M )
29
Conclusion agrégation de MACs
MAC pour l’agrégation et le codage réseau
Extension des travaux:
utilisation des codes FMACs pour
le mécanisme de l’agrégation des
données.
Généralisation de CRC Cryptographique sur
Fp
M(x) = M 0 x l 1 +...+ M l-1 et tag(M) = M(x).x n mod q(x) + r mod p
Agrégation de MACs
Pour les schémas d’agrégation de données, seule la station de base est
capable de vérifier la validité des données
Mise en place d’un mécanisme de vérification à la volée
30
Conclusion Générale
Aussi
Proposition d’une ontologie d’attaques pour les RdCs
Défense contre l’attaque de réplication de nœuds dans un RdC:
Utilisation d’une architecture hiérarchique
Utilisation des filtres de Bloom
Proposition d’un mécanisme de gestion de clé
Schéma de Blundo modifié
Utilisation des chaînes de hachages
31
Perspectives
Analyse formelle des politiques de sécurité dans un RdC
Plusieurs mécanismes de sécurité possibles pour chaque couche
Différents niveaux de sécurité possibles selon le besoin de
l’application et de QoS
Proposition d’une étude utilisant un modèle formel permettant de
choisir la meilleure politique de sécurité en fonction de l’énergie
restante dans le capteur et de la QoS souhaitée
32
Merci pour votre attention
Questions ?
Publications:
Journal
“Key management and access control scheme for WSNs”. To appear in the Telecommunication Systems Journal, 2010.
Conférences Internationaux
“Energy Friendly Integrity for Network Coding in Wireless Sensor Networks”. In NSS 2010, Melbourne, Australia.
“Hierarchical Node Replication Attacks Detection in Wireless Sensors Networks”. In PIMRC 2009, Tokyo, Japan.
“Aggregated authentication (AMAC) using universal hash functions”. In SecureComm 2009 , Athènes, Grèce.
“Detecting Wormhole Attacks in Wireless Networks Using Local Neighborhood Information”. In PIMRC 2008, Cannes, France.
“Worst-case lifetime computation of a Wireless Sensor Network by model-checking”. In PE-WASUN 2007, Grèce
Conférences Nationaux
“Problèmes d'allocation dynamique d'adresses”. Dans AlgoTel 2010, Belle Dunes, France.
“Une proposition d'agrégation de MACs pour les réseaux de capteurs utilisant des fonctions de hachage universelles”. Dans SARSSI 2009, Luchon, France.
“Proposition de gestion des clés et de contrôle d'accès dans un réseau de capteurs”. Dans JDIR 2009, Belfort, France.
33
Quelques propositions de
solutions pour la sécurité des
réseaux de capteurs sans fil
Wassim Znaidi
[email protected]
Directeurs de thèses: Marine Minier, Stéphane Ubéda
Laboratoire CITI
INRIA SWING / CITI INSA de Lyon
Date: 19 Octobre 2010
Attaque wormhole
Lien wormhole
• Radio plus sophistiqué ou un
câble
• longueur du lien > 4-5 sauts
35
• Combine [Cas 05] and our approach
• A node i:
– two key kai and kei
( IVi ,
( c1i
where :
C M r
i
i
IVj , IVk ,
c1 j c1k ,..., cli clj clk ),
tagi tag j tag k )
i
k
( M 0i r0i mod p,..., M li1 rli1 mod p)
tag i hi r i
i
(h r mod p,..., h r mod p)
i
0
i
0
i
l 1
– The Sink verifies:
i
l 1
tags ?
s
( IVi , ( c1i ,..., cli ), tag i )
s
M
s
36
j
( IV j , ( c1 j ,..., clj ), tag j )
37
38
Attaque nœud répliqué
Base station
Cluster head node
Sensor node
BFi
BF’i
i
j
=?
CHj checks if any of its cluster node is in BFi
If one node success, a double check with CHi
is requested
39