Transcript Transparents - projet SEmba

Quelques propositions de
solutions pour la sécurité des
réseaux de capteurs sans fil
Wassim Znaidi
[email protected]
Directeurs de thèse: Marine Minier, Stéphane Ubéda
Laboratoire CITI
INRIA SWING / CITI INSA de Lyon
Date : 19 Octobre 2010
Réseau de capteurs (RdCs)
Station de base (BS)
Capteurs
 Capture/ traitement de données
physiques
 Transmission sans fil
 Energie (batterie)
Contraintes
de capteurs
•Réseau
Mémoire limitée
WSN430:
 Ti MSP430 (8 MHz)
Energie
limitée
• Pas
d’infrastructure
fixe
Capacité
de calcul limitée
• Forte
densité
Faible portée
radio – Env. ouvert
• Topologie
aléatoire
Communication
radio sans fil
• Routage
multi-sauts
 1Mo Flash, 10 Ko de RAM
 Batterie 2xAA
2
Applications: besoin de sécurité
Moniteur d’inventaire
Surveillance environnementale
Réseau de capteurs
Surveillance industrielle
Industrie
3
Sécurité dans les RdCs
Attaquant
 Externe: l’attaquant ne fait pas partie du
réseau
pas d’accès aux nœuds.
 Interne: l’attaquant compromet des nœuds
accès à une partie des nœuds
Contremesures
 Externe: cryptographie
secrets
efficacité dans un environnement contraint ?
 Interne: solution algorithmique, car une partie
des secrets sont connus.
4
Attaques dans les RdCs
Collision
Physique
brouillage, extraction de données,
débordement de tampon,…
Liaison
collision, épuisement, link jamming, …
Routage
Selective forwarding, sinkhole, Sybile,
hello flood, wormhole, réplication des
nœuds,…
Application
inondation, désynchronisation, localisation,
Faux paquet de contrôle, …
Sybile
Réplication
5
Sinkhole
Durant cette thèse
Approches Algorithmiques: solutions pour la couche de routage
 Détection de l’attaque wormhole [Znaidi et al. 2008]
 Attaque wormhole
 Détection de l’attaque par réplication des nœuds
 Coefficient de clustering des arêtes
 Algorithme de détection basé sur le coefficient de clustering
Approches Cryptographiques: solutions pour la couche application
 Performance et comparaison
 Gestion de clés et de contrôle d’accès
 Authentification des messages pour l’agrégation et le codage réseau
[Znaidi et al. 2009 et 2010]
6
Attaque wormhole
Conséquences
 Selective forwarding
 Déni de service
 Fausse découverte de voisinage
7
Etat de l’art
Protocole
Description
Inconvénient
Perrig et al. 2003
Utilisation des paquets leaches
pour des données
géographiques et temporelles
exige la synchronisation
des horloges et l’utilisation
d’un GPS
L. Hu et al. 2004
R. Maheshwari et al.
2007
Shokri et al. 2009
utilisation d’antennes
directionnelles
Besoin d’une solution distribuée ne
Recherche
nécessitantdes
passtructures
de composants Grande complexité de
interdites
calcul
spéciaux
Estimation des distances à
Besoin de la technologie
l’aide d’ondes ultrasons et
ultrason et d’horloges très
recherche des formes
précises
géométriques interdites
Utilisation de la direction des
Motivation
antennes des voisins
8
Observation de l’attaque wormhole
Observation
 2 communautés distinctes ont l’impression
d’être proche grâce au lien wormhole
 les voisins des nœuds malicieux n’ont
aucun voisin commun
Piste
Etude de voisinage pour vérifier la consistance
des liens et détecter une attaque wormhole
9
Coefficient de clustering des arêtes (CCA)
CCA [Radicchi 2004]
• Mesure de la vraisemblance que g-nœuds associés
à une arête soient bien associés entre eux.
• Coefficient de clustering:
g
i,j
C =
lien possible
g
i,j
g
i,j
z
s
a
b
c
i
j
d
lien existant
3
i,j
C =
Proposition de CCA modifié
• Motivation: étudier l’impact de suppression
d’un lien sur la connectivité des voisins
g
i,j\X
• Coefficient clustering modifié: CS
=
g
zi,j\X
a
b
c
i
j
g
si,j\X
d
10
CS3i,j\d =
1
3
2
4
Wormhole détecté à l’aide du CCA modifié
Algorithme de détection
Intuition
1. Découverte de voisinage: les nœuds s’échangent leurs tables de
Dans
un réseau
dense, unàcouple
de noeuds
possède
voisinage
de de
1-2capteurs
sauts, construites
l’aide des
messages
Hello.au moins
(3)
(4)
1-2 noeuds voisins en commun
CS.,.\.
 0(3)et CS.,.\.
0
(4)
2. Phase de calcul: chaque nœud calcule CS.,.\. et CS.,.\.
S’ils sont nuls, le voisin est déclaré comme étant un nœud malicieux.
Extrémité de wormhole
j
Pour deux nœuds a et b, b est déclaré
malicieux si:
k  V1 (b) et k  ((V1 (a)  V2G \ b (a )) \
m
a
b
X
(4)
CSa(3)

0
et
CS
,k \b
a ,k \b  0
Y
n
CSa(3),Y \ X  0, CSa(4)
,Y \ X  0
11
Faux positifs
Limitations
Algorithme de détection
Faux positifs: des nœuds honnêtes sont déclarés comme malicieux
1. Découverte de voisinage: les nœuds s ’échangent leurs tables de
voisinage de 1-2 sauts, construites à l’aide des messages Hello.
2. Phase de calcul: chaque nœud calcule le CS d’ordre 3 et 4. S’ils sont nuls,
le nœud est désigné un nœudj suspect.
Solution proposée
m
a
3. Phase d’isolation: un nœud
diffuse Technique
une alerte de
chaque
qu’il détecte
un
vote: fois
un nœud
est
nœud suspect. Si le nombre d’alertes
dépasse
un seuilsi une
, le nœud
Tammajorité
déclaré
malicieux
deest
déclaré malicieux. b
X
nœudsYle considère malicieux
n
(4)
CS (3)

0,
CS
j ,b \ a
j ,b \ a  0
12
Intégration à un protocole d’auto-organisation
QLoP
[Heurtefeux
et àal.QLoP
2008]
Intégration
 Echange de messages
Hello de
périodiques
1. Exécution
QLoP: adaptation de QLoP pour
pouvoir
échanger
les tables de voisinage à 1-2
 Echange des tables
de voisinage
à 1-saut
sauts.
 Calcul d’indice de proximité
2. Phase
chaque nœud calcule le CCA
 Classification des
voisinsde
encalcul:
3 classes
modifié d’ordre 3 et 4. Pour optimiser les calculs,
on calcule ce coefficient que pour les nœuds de
classe 2 et 3
3. Phase d’isolation: un nœud diffuse une alerte
chaque fois qu’il détecte un nœud suspect. Si le
nombre d’alertes dépasse un seuil T , une
am
attaque est déclarée.
13
Etude de performance
Simulations
 Simulateur WSNet
 Modèle radio réaliste
 Comparaison avec l’approche [Shokri 2009]
UDG
Réel
Hypothèses
 Topologie aléatoire
 Pas de mobilité
Probabilité
 de détection de 1/plusieurs
attaques wormhole aléatoires
 de faux positifs avec/sans les
nœuds sur les bords
14
Résultats
Observations
 Forte probabilité de détection variant (entre 80% et 98%).
 1% - 7% de faux positifs. Pour moitié dû aux bordures.
 Gain de l’ordre de 15% par rapport à [Shokri 2009]
15
Résultats
16
Conclusion wormhole
Résumé
 Algorithme distribué utilisant uniquement des informations de voisinage local
 Introduction du coefficient CCA modifié
 Définition d’un wormhole à l’aide du coefficient CCA modifié
 Intégration dans QLoP
Perspectives
 Ne fonctionne plus si les voisins des nœuds wormhole mentent de façon
consistante sur leur voisinage [Boucetta 2010]
 Etude de plusieurs attaquants wormhole qui collaborent entre eux
17
2ème partie de la présentation
 Sécurisation contre l’attaque wormhole
 Authentification des messages pour le codage réseau
 Définition de l’attaque de pollution dans le contexte de codage réseau
 Les fonctions de hachage universelles
 Mode d’opérations de la vérification de l’intégrité des données
18
Codage réseau et attaque par pollution
Le codage réseau est une méthode de transmission de données multipoint par
combinaison de flux permettant d’augmenter le débit et d’améliorer la robustesse
Attaque par pollution:
injecter de fausses données
inutilisables dans les
Bob messages transformés
Codage réseau
Eve
Alice
t1
t2
Question ?
x1
x2
Problème
x1  x2
x1  x2
Alice
Comment prévenir l’attaque par
pollution dans un RdC (en étant
efficace en énergie) ?
Bob
19
Méthode de vérification de l’authenticité
Identité + Intégrité
Codes MACs: crypto symétrique
Signature digitale: crypto asymétrique
MAC Taille fixe
hash
MAC
exemples: RSA, DSA, ECDSA
h
enc
signature
Clé privée
Clé secrète
Trop gourmande en ressources
3 grandes classes de Message Authentication Codes (MACs)
 MACs basés sur les fonctions de hachage cryptographiques: HMAC et MDx-MAC
 MACs basés sur les algorithmes de chiffrement par blocs: CBC-MAC
 MACs basés sur les fonctions de hachage universelles FHU (FMAC)
20
FHU [Carter et al. 1978]
Définition 1: faible probabilité de collision
Définition 2: linéarité
21
FMAC linéaire [Krawczyk 1994]
Les FHU permettent de construire un schéma de MAC sûr si les
résultats sont cachés à l’aide d’une autre fonction
Conception de MAC à l’aide de FHU
La conception d’un code MAC est possible en suivant le scénario suivant:
 les deux parties échangent une clé secrète k
 les deux parties connaissent une valeur aléatoire r
 l’empreinte d’un message M est égale à:
tag  f k (M )  r
Exemples
? être obtenue à l’aide d’une fonction pseudo-aléatoire (AES)
Questions
La valeur r peut
 [Krawczyk
linéaire
cryptographique
Quels 1994]:
MACs xor
choisir
dans–laCRC
pratique
pour faire du codage réseau ?
tag (M )  M ( x). xn mod q( x), où M ( x)F2  x 
22
Etude de la consommation
Simulations et paramètres
 WSIM + eSimu
 Ti MSP430f1611
Résultats pour des données de 20 octets
Algorithme
Energie (10-4J)
Délai (ms)
SHA1
AES-128
0.623
0.473
4.64
3.53
HMAC
2
14.48
CBC-MAC
1.476
11.045
FMAC (Toeplitz)
1.201
8.976
23
Exploiter la linéarité
Mode d’opération: définir la démarche que le relais doit suivre pour vérifier
la validité des données
méthode classique
nécessitent la propriété de
linéarité
AXMF
fonctionne avec toutes
les primitives MACs
4 modes d’opération
AXF
XAF
XF
fonctionnent uniquement avec
les FMACs linéaires
24
Authenticate-Xor-Mac-Forward (AXMF)
Mode classique qui fonctionne avec HMAC, CBC-MAC et FMAC
Alice
Eve
Bob
x '2 ,d'2
x '1 ,d'1
1
x1 ,d1
x2 ,d 2
ma ,da
2
F
m b ,d b
?
A
X
F
?
h k (x1) = d1 et h k (x2 ) = d2
m=x1  x2
M
d3 =h k (x1  x2 )
3
?
?
h k (m a ) = d a
h k (m b ) = d b
x2  x1  ma
x1  x2  mb
25
Authenticate-Xor-Forward (AXF)
fonctionne uniquement avec FMAC car besoin de la linéarité
Alice
Eve
x '2 ,d'2
x '1 ,d'1
1
Bob
x1 ,d1
x2 ,d 2
ma ,da
2
F
m b ,d b
?
?
h k (x1) = d1 et h k (x2 ) = d2
A
X
F
réduit le calcul
m=x1  x2 / d3 =h k (x1 )  h k (x2 )
3
x ''2 =x1  ma / d''2 =d a  d1
x ''1 =x2  mb / d''1 =d b  d 2
?
h k (x ''2 ) = d"2
?
h k (x ''1 ) = d"1
26
Modes d’opérations
Xor-Forward (XF)
Xor-Authenticate-Forward (XAF)
Alice
x '1 ,d'1
Eve
Alice
Bob
x '2 ,d'2
x2 ,d 2
x1 ,d1
F
x '1 ,d'1
x2 ,d 2
ma ,da
m b ,d b
X m=x1  x2 / d3 =d'1  d'2
réduit l’authentification
X
?
A
h k (m) = d 3
x ''2  x1  ma
x ''1  x2  mb
d''2 =da  d1
d''1 =d b  d 2
?
h k (x ''2 ) = d"2
Bob
x '2 ,d'2
x1 ,d1
F
ma ,da
Eve
?
h k (x ''1 ) = d"1
F
m b ,d b
m  x1  x2
d3 =d'1  d'2
F
relais
x ''2  x1  ma
x ''1  x2  mb
d''2 =da 
d1
?
h k (x ''2 ) = d"2
d''1 =d b ? d 2
h k (x ''1 ) = d"1
27
Résultats
(WSNet-WSIM-eSimu)
E T =19.1
ET =14.7
ET =16.4
E T =13.1
ET =11.2
R: réception, V:vérification, T:tranformation, E:émission, E T :energie totale
28
En pratique
Conclusion
Combiner les modes XAF et XF
pour économiser l’énergie et
contrer l’attaque par pollution
Energie moyenne
p: la probabilité qu’une attaque par pollution se produise, M: le mode utilisé
S (M )  p Eattack (M )  (1  p) Enoattack (M )
29
Conclusion agrégation de MACs
MAC pour l’agrégation et le codage réseau
 Extension des travaux:
utilisation des codes FMACs pour
le mécanisme de l’agrégation des
données.
Généralisation de CRC Cryptographique sur
Fp
M(x) = M 0 x l 1 +...+ M l-1 et tag(M) = M(x).x n mod q(x) + r mod p
Agrégation de MACs
Pour les schémas d’agrégation de données, seule la station de base est
capable de vérifier la validité des données
Mise en place d’un mécanisme de vérification à la volée
30
Conclusion Générale
Aussi
 Proposition d’une ontologie d’attaques pour les RdCs
 Défense contre l’attaque de réplication de nœuds dans un RdC:
 Utilisation d’une architecture hiérarchique
 Utilisation des filtres de Bloom
 Proposition d’un mécanisme de gestion de clé
 Schéma de Blundo modifié
 Utilisation des chaînes de hachages
31
Perspectives
Analyse formelle des politiques de sécurité dans un RdC
 Plusieurs mécanismes de sécurité possibles pour chaque couche
 Différents niveaux de sécurité possibles selon le besoin de
l’application et de QoS
 Proposition d’une étude utilisant un modèle formel permettant de
choisir la meilleure politique de sécurité en fonction de l’énergie
restante dans le capteur et de la QoS souhaitée
32
Merci pour votre attention
Questions ?
Publications:
Journal
“Key management and access control scheme for WSNs”. To appear in the Telecommunication Systems Journal, 2010.
Conférences Internationaux
 “Energy Friendly Integrity for Network Coding in Wireless Sensor Networks”. In NSS 2010, Melbourne, Australia.
 “Hierarchical Node Replication Attacks Detection in Wireless Sensors Networks”. In PIMRC 2009, Tokyo, Japan.
 “Aggregated authentication (AMAC) using universal hash functions”. In SecureComm 2009 , Athènes, Grèce.
 “Detecting Wormhole Attacks in Wireless Networks Using Local Neighborhood Information”. In PIMRC 2008, Cannes, France.
 “Worst-case lifetime computation of a Wireless Sensor Network by model-checking”. In PE-WASUN 2007, Grèce
Conférences Nationaux
 “Problèmes d'allocation dynamique d'adresses”. Dans AlgoTel 2010, Belle Dunes, France.
 “Une proposition d'agrégation de MACs pour les réseaux de capteurs utilisant des fonctions de hachage universelles”. Dans SARSSI 2009, Luchon, France.
 “Proposition de gestion des clés et de contrôle d'accès dans un réseau de capteurs”. Dans JDIR 2009, Belfort, France.
33
Quelques propositions de
solutions pour la sécurité des
réseaux de capteurs sans fil
Wassim Znaidi
[email protected]
Directeurs de thèses: Marine Minier, Stéphane Ubéda
Laboratoire CITI
INRIA SWING / CITI INSA de Lyon
Date: 19 Octobre 2010
Attaque wormhole
Lien wormhole
• Radio plus sophistiqué ou un
câble
• longueur du lien > 4-5 sauts
35
• Combine [Cas 05] and our approach
• A node i:
– two key kai and kei
( IVi ,
( c1i
where :
C M  r
i
i
IVj , IVk ,
 c1 j  c1k ,..., cli  clj  clk ),
tagi  tag j  tag k )
i
k
 ( M 0i  r0i mod p,..., M li1  rli1 mod p)
tag i  hi  r i
i
 (h  r mod p,..., h  r mod p)
i
0
i
0
i
l 1
– The Sink verifies:
i
l 1
 tags ? 
s
( IVi , ( c1i ,..., cli ), tag i )
s
M

s
36
j
( IV j , ( c1 j ,..., clj ), tag j )
37
38
Attaque nœud répliqué
Base station
Cluster head node
Sensor node
BFi
BF’i
i
j
=?
CHj checks if any of its cluster node is in BFi
If one node success, a double check with CHi
is requested
39