Faixas 19,10 9782 Pertuba30 18,20 9320 Pertuba10 18,70 9575 Pertuba5 18,64 9546 Uniforme 18,64 9546 T a b e la 6 .1 - R e su lt a sim u la ç ã o ba30 orme el de chaves. em difusão o, as chaves número de de um nó na T abela 6.1. . Durant e a caso t ivesse Os valores aves obt idas derado, por II III 75 30,61 82 28,11 20 17,33 75 11,44 46 10,73 46 10,71 lt a d o s d a
exemplo, o caso médio, na simulação P ert uba30. P ela coluna I, os nós t êm, em média, 18 vizinhos. São est abelecidas, assim, na vizinhança desse nó, 171 chaves par-a-par, que represent a a combinação dos 19 nós da vizinhança t omados 2 a 2. A simulação most rou que um nó adult erado na inicialização poderia revelar, além das 18 chaves par-a-par que ele est abelece com seus vizinhos, out ras 17 chaves par-a-par ext ras. Essas 17 chaves represent am a vulnerabilidade do prot ocolo, pois são chaves desnecessárias para aquele nó. Esse número, porém, é muit o baixo se comparado com out ras abordagens.
Uma conclusão int eressant e obt ida a part ir dessa simulação é que a dist ribuição aleat ória é mais vulnerável que a dist ribuição uniforme e exist e uma t endência clara que, quant o maior a aleat oriedade da dist ribuição, maior é o número de chaves que podem ser descobert as por um nó malicioso durant e a inicialização. Esse fat o pode ser explicado pela maior aglut inação de alguns nós, formando grupos maiores e mais próximos. Nesses grupos, a int erseção de vizinhanças é maior e o número de chaves descobert as t ambém. Nos modelos de dist ribuição mais uniformes, os nós se encont ram mais eqüidist ant es e normalment e o número de vizinhos é mais const ant e. J á nas dist ribuições mais aleat órias, o número de vizinhos varia muit o de uma região para out ra e, regiões com alt a densidade favorecem a descobert a de chaves pois mais nós compart ilham a mesma região.
P ara efeit o de comparação, no prot ocolo LEAP , caso o inimigo adult ere um nó durant e sua inicialização e obt enha a chave global, ele será capaz de descobrir t odas as chaves par-a-par da rede, e não apenas aquelas t rocadas na vizinhança. Na simulação P ert uba30, isso represent aria 9320 chaves par-a-par.
Assim, o prot ocolo NEKAP , aqui apresent ado, resist e bem melhor às diversas condições de at aques e ainda à quebra da pressuposição inicial de segurança da chave global durant e a inicialização, ut ilizada no LEAP .
' '
,
A implement ação do prot ocolo de dist ribuição de chaves aqui apresent ado foi realizada para o nó sensor Mica2 Mot es [35], com o sist ema operacional T iny OS, ut ilizando as funções de cript ografia já exist ent es.
O algorit mo de cript ografia escolhido para gerar o campo HMAC da mensagem foi o RC5, no modo CBC-MAC. Esse mesmo algorit mo pode ser usado como função irreversível, para gerar a cadeia de chaves e as chaves par-a- par e de difusão.
A memória necessária est á dent ro dos parâmet ros do Mica2 Mot es. O código t ot al do prot ocolo compilado com T iny OS result a em memória de programa de 10 Kbyt es. Será necessário armazenar as seguint es chaves: chaves de difusão, uma por vizinho; chaves par-a-par, uma por vizinho; uma cadeia de chaves para uso pelo nó; últ ima chave divulgada da cadeia de chaves de cada vizinho. Considerando a média de 20 vizinhos e uma cadeia de chaves com 20 chaves, cada nó necessit a armazenar 80 chaves. Considerando, ainda, chaves de 8 byt es, ou 64 bit s, t eremos um t ot al de 640 byt es reservados para armazenar chaves. O nó Mica2 Mot es cont a com 128 K de memória de programa e 4 K de memória RAM, de forma que a ut ilização do prot ocolo descrit o nest e art igo é viável para esse nó.
' (
.
+
O prot ocolo LEAP [7] é a propost a para dist ribuição de chaves que mais se aproxima dest e t rabalho. O prot ocolo foi descrit o e discut ido na seção 3.2.1. A diferença do t rabalho propost o nest e capít ulo para o LEAP é a forma como a chave global inicial é usada. No LEAP , essa chave pode ser usada a qualquer moment o para gerar novament e as chaves par-a-par. Logo, essas chaves podem ser descobert as a qualquer moment o, bast ando a um inimigo descobrir a chave global. E isso pode ser feit o at ravés de algum nó que não se inicializou corret ament e ou at ravés de algum mét odo de cript oanálise. Nest e t rabalho, isso não é possível, pois a chave global é usada soment e durant e a inicialização, para a t roca das chaves mest ras, que, por sua vez, são usadas para a geração das chaves par-a-par. Assim, a descobert a da chave global não revela nenhuma informação post erior nest e t rabalho.
Eschenauer & Glicor [29], Chan e t a l. [28] e Liu e Ning [26] apresent am
prot ocolos de pré-dist ribuição aleat ória de chaves. O primeiro problema dessa abordagem é que, caso dois nós não compart ilhem chaves, eles devem est abelecer chaves at ravés de out ros nós que t enham conseguido est abelecer
comunicação segura ent re eles e isso pode aument ar o consumo de energia. Além disso, mensagens em modo de difusão não são aceit as. Logo, o envio de mensagens em modo de difusão pelo nó, amplament e ut ilizado em diversos algorit mos de rot eament o só pode ser realizado pelo envio de uma mensagem para cada vizinho, o que mult iplica o consumo de energia pelo número de vizinhos. Out ro problema dessa abordagem é a suscet ibilidade a nós adult erados. Um nó adult erado pode se comunicar com diversos out ros nós em diversos locais da rede, de forma que a clonagem de nós adult erados pode t er um impact o muit o alt o na rede. NEKAP não t em esses problemas, sendo mais eficient e em t ermos de consumo de energia e mais seguro por não permit ir que nós adult erados sejam clonados e inseridos em vários pont os da rede.
' 4
Est e capít ulo apresent ou o prot ocolo NEKAP , para est abeleciment o de chaves para RSSF . As chaves são usadas para garant ir a aut ent icação par-a-par e conseqüent e cont role de acesso. Essa abordagem possibilit a eliminar diversos t ipos de at aques promovidos por inimigos. O principal objet ivo dest e t rabalho é realizar o cont role de acesso no rot eament o para dificult ar a realização de at aques pelo inimigo sem, no ent ant o causar impact o no consumo de energia.
P ara compromet er a comunicação em uma rede que ut iliza o NEKAP , um adversário deve est ar fisicament e present e na vizinhança e adult erar um nó da rede. P ode, ainda, ouvir passivament e e colet ar t odas as mensagens usadas na inicialização da rede e descobrir a chave global de inicialização. Mesmo assim, um at aque bem sucedido t em impact o apenas local. Além disso, para gerar as chaves, est a solução requer apenas t rês mensagens enviadas em difusão a part ir de cada nó, em oposição à comunicação par-a-par ent re t odos os pares de vizinhos da vizinhança, usada pelo LEAP . Assim, a solução aqui apresent ada é t ambém mais eficient e em t ermos de energia e t empo de configuração. As simulações realizadas indicam que as ações do inimigo não t razem efeit os muit o grandes para a rede, afet ando, no máximo, alguns poucos nós.
A solução aqui apresent ada, em conjunt o com out ras soluções já exist ent es na lit erat ura, como aut ent icação fim-a-fim [4], possibilit a um
aument o significat ivo da eficiência da rede na presença de um inimigo e impede a maioria dos at aques conhecidos.
4
3
:
C
D
:
(
,
O capít ulo ant erior apresent ou uma propost a de est abeleciment o de chaves ent re vizinhos para promover o cont role de acesso no enlace, evit ando a presença de int rusos no rot eament o. Essa est rat égia, ent ret ant o, não é eficaz
cont ra a ocorrência de t a m pe r i n g, quando um nó da rede é adult erado por um
inimigo, que pode obt er t odas as informações do nó e t er acesso a qualquer prot ocolo da rede. Além disso, algumas aplicações podem não suport ar ou simplesment e abdicar de cript ografia, exigindo out ro t ipo de solução. Assim, est e capít ulo apresent a out ra abordagem que pode ser usada em conjunt o com a cript ografia ou de forma independent e.
Est e capít ulo apresent a uma est rat égia para prover as redes de sensores sem fio com habilidades de t olerância à int rusão e, por conseguint e, aument ar a resiliência das mesmas. A est rat égia prevê a criação de rot as alt ernat ivas no rot eament o, o que t ambém cont ribui com a det ecção de int rusos. O algorit mo de rot eament o T inyOS beaconing [14] foi modificado para que cada nó repassador ut ilize dois caminhos para enviar suas informações para a est ação base. Caso um int ruso est eja present e em um desses caminhos, inut ilizando-o, o caminho alt ernat ivo pode cont inuar funcionando, garant indo a ent rega de part e das informações. O capít ulo apresent a o algorit mo modificado, bem como uma avaliação do seu desempenho em t ermos de energia e eficácia. O desempenho foi verificado por simulação e os result ados most raram uma boa eficiência mesmo para um alt o número de int rusos.
As rot as múlt iplas são caminhos redundant es no rot eament o, usadas de forma alt ernada e sem replicação de informações. A alt ernância de rot as aument a a t olerância da rede a int rusos, vist o que oferece uma opção a mais de rot eament o. Caso exist a um int ruso em uma das rot as, uma rot a alt ernat iva
possibilit a o encaminhament o dos pacot es por ela. Além disso, fazendo-se análise dos pacot es recebidos, é possível descobrir rot as que não ent regam os pacot es corret ament e e que est ejam causando problemas no rot eament o. A alt ernância de rot as foi escolhida para mant er o consumo de energia próximo daquele verificado com rot as simples.
A ut ilização de alt ernância de rot as dest e caso cont ribui para o aument o da resiliência da rede e ainda permit e a det ecção eficient e de nós int rusos. Nas simulações apresent adas, observa-se que o algorit mo de det ecção de int rusos t em grande eficiência na presença de poucos int rusos, mas ainda consegue ident ificar boa part e dest es em simulações com grande número de nós int rusos, sendo capaz de det ect ar t odos em sucessivas fases de det ecção e revogação de nós.
Vários t rabalhos abordam o uso de rot as múlt iplas em RSSF [23], [45] e [46]. As rot as múlt iplas podem ser usadas de forma redundant e ou de forma alt ernada. Rot as usadas de forma redundant e aument am a t olerância a falhas, porém aument am o consumo de energia, pois replicam as informações pela rede em diversos caminhos. O uso de rot as de forma alt ernada, nest e t rabalho, foi escolhido para mant er o consumo de energia bem próximo daquele verificado sem os mecanismos propost os.
A propost a dest e t rabalho, ut ilizando alt ernância de rot as, cont ribui para o aument o da resiliência e ainda permit e a realização de det ecção nós int rusos de forma eficient e. Nas simulações apresent adas, observa-se que o algorit mo de det ecção de int rusos t em grande eficiência na presença de poucos int rusos, mas ainda consegue ident ificar boa part e dest es em simulações com grande número de nós int rusos.
(
Rot as múlt iplas podem ser disjunt as, com t odos os nós dist int os ent re as rot as;
ou ent relaçadas, quando cont êm nós em comum. Ganesan e t a l. apresent am
uma comparação ent re rot as múlt iplas disjunt as e ent relaçadas. Rot as disjunt as são mais resilient es a falhas e int rusão [46]. Rot as ent relaçadas são mais barat as em t ermos de consumo de energia para criação e manut enção. Um pont o de falha em um nó comum, porém, pode inut ilizar t odas as rot as
exist ent es. Vários algorit mos de rot eament o foram propost os para RSSF nos quais os mecanismos ut ilizados para a criação e manut enção de rot as em cada um dest es algorit mos são just ificados em função do t ipo de rede e do t ipo de aplicação. Exist em muit as formas de criar rot as múlt iplas para cada prot ocolo. Est e t rabalho, porém, rest ringe-se ao prot ocolo conhecido como P I, ou
P ropagação da Informação [58], usado no Sist ema Operacional T i n y O S , onde é
conhecido como T i n y O S be a con i n g.
4! !
*
As rot as alt ernat ivas são est abelecidas ut ilizando como base o algorit mo de rot eament o conhecido como T i n y O S be a con i n g. Esse algorit mo é baseado
no uso de um be a con, enviado em modo de difusão pela est ação base. Cada nó
det ermina qual dos seus nós vizinhos será o próximo salt o em direção à est ação
base a part ir da recepção do be a con. A ordem de recepção do be a con pelos nós é
que det ermina a criação de rot as. P ara a criação de rot as múlt iplas, o nó deve
est abelecer mais rot as além daquela originada no nó que enviou o be a con
primeiro. Assim, a segunda rot a é est abelecida a part ir do segundo nó vizinho que repassar o be a con. Esse processo não garant e a criação de rot as disjunt as, porém, garant e que cada nó t erá saídas alt ernat ivas no primeiro salt o, at ravés
de dois nós de saída. A rot a criada após o recebiment o do be a con pela primeira
vez será t rat ada como rot a padrão e a rot a criada após o recebiment o do be a con
pela segunda vez será t rat ado como rot a alt ernat iva.
O algorit mo de rot eament o considera as mensagens originadas em um nó
de forma diferent e daquelas geradas por out ros nós e que passam pelo nó em quest ão. As mensagens geradas por um nó serão enviadas de forma alt ernada pelas rot as que passam pelo mesmo nó, ou seja, uma vai pela rot a padrão e a próxima vai pela rot a alt ernat iva. As mensagens que são apenas repassadas serão sempre enviadas pela rot a padrão. Dois objet ivos mot ivaram essa est rat égia. Caso mensagens repassadas pudessem seguir pela rot a alt ernat iva, o caminho desde um nó at é a est ação base seria alt ernat ivo a cada salt o, criando inúmeras possibilidades. P orém, como é necessário regist rar o caminho percorrido pelo pacot e, essa est rat égia se t ornaria cara. Além disso, caso os pacot es repassados pudessem seguir pela rot a alt ernat iva, poderia ocorrer laços
que levariam ao encareciment o do rot eament o e at é mesmo impediment o de ent rega de alguns pacot es.
A F igura 7.1 e a F igura 7.2 exemplificam a criação de rot as alt ernat ivas em uma rede pequena. As set as mais escuras indicam as rot as padrão; as mais claras, as rot as alt ernat ivas.
Após o est abeleciment o das rot as é necessário um mecanismo para decidir qual rot a deve ser usada a cada moment o, de forma imprevisível para o inimigo, mas conhecida para a est ação base. A decisão da rot a deve levar em consideração a det ecção e o isolament o dos int rusos: o número de mensagens que passam por cada uma das duas rot as deve ser comparável ao da out ra rot a e t ant o a est ação base quant o o nó devem saber a pr i or i a rot a usada para cada mensagem. Assim, quando uma mensagem não chega, a est ação base sabe por onde ela foi rot eada.
4! !
2
P ara ident ificar int rusos, a est ação base deve conhecer a t opologia da rede. Mecanismos de conheciment o da t opologia já est ão disponíveis na lit erat ura. St addon e t a l. propõe uma forma de conheciment o da t opologia pelo envio do ident ificador de um nó vizinho em cada medida efet uada pelo nó sensor [47]. Com isso o cust o de energia é menor, pois não exist em mensagens ext ras. P orém, o t empo necessário para o conheciment o da t opologia é maior. A opção
F ig u ra 7 .2 - G ra fo re su lt a n t e c o m ro t a s m ú lt ip la s F ig u ra 7 .1 - Á rv o re g e ra d a p e lo
por um mecanismo capaz de descobrir a t opologia em um t empo menor permit e a det ecção de int rusos desde os moment os iniciais de funcionament o da rede.
Nest e t rabalho, para a est ação base conhecer a t opologia da rede, cada nó envia uma mensagem indicando quais são os vizinhos responsáveis pelas rot as at é a est ação base. Após o recebiment o das informações dos nós, a est ação base é capaz de criar um grafo de conect ividade da rede, que será usado no algorit mo de det ecção de int rusos. Nós part icipant es de rot as em silêncio, ou gerando um número baixo de informações, serão marcados no grafo para possibilit ar a localização de int rusos.
(
O comport ament o da rede diant e de nós int rusos é diferent e do comport ament o diant e de falhas. No caso de uma falha, a rede pode cont ornar o problema ident ificando out ro nó que possa assumir a função do nó com falha. Uma nova execução do algorit mo de est abeleciment o de rot as pode resolver o problema ocasionado por uma falha. No caso de uma int rusão, a rede deve, ant es, isolar o nó int ruso. Soment e a execução do algorit mo de est abeleciment o de rot as não elimina o int ruso, pois ele vai part icipar desse processo e se inserir novament e na árvore de rot eament o.
No algorit mo propost o, a produção de cada nó por cada rot a é verificada pela est ação base para que ela possa descobrir a exist ência de int rusos. Esse mapa de produção vai indicar a diferença ent re o número de mensagens esperadas pela est ação base, provenient es de cada nó, e o número de mensagens efet ivament e recebidas, o que most ra a perda em cada rot a. P ara obt er esse número, porém, a est ação base deve ident ificar o caminho percorrido por cada pacot e recebido e cont abilizar os pacot es por nó e rot a de origem.
O algorit mo pode ident ificar int rusos usando esse mapa de produção. O algorit mo é recursivo. Ele inicia na est ação base e segue em direção aos nós folha usando a árvore formada pelas rot as padrão. A cada passo um nó é avaliado. P ara esse nó, é verificada a diferença ent re as perdas pelas rot as padrão e alt ernat iva de cada nó que dependem desse nó para o rot eament o. Caso as perdas apresent em diferenças significat ivas ent re a rot a padrão e a rot a alt ernat iva, o nó responsável pela rot a de maior perda é marcado como int ruso.
Caso um nó não apresent e respost a em nenhuma das rot as, ele é marcado como nó em silêncio.
O result ado da execução do algorit mo é a marcação de nós em silêncio e de possíveis nós int rusos. À medida que o algorit mo é execut ado, uma pont uação referent e ao grau de int rusão pode ser increment ada. Quant o maior a pont uação, mais evident e é a presença de um int ruso naquele nó, pois maior é sua int erferência na produção da rede. A pont uação de um possível int ruso é increment ada caso seja ident ificado nós em silêncio no caminho de rot eament o que passa por esse nó int ruso. Assim, os pont os do int ruso aument arão devido aos nós em silêncio que dependem dele.
Nós com falhas int ermit ent es ou canais com muit os erros podem ser confundidos com a presença de int rusos realizando at aques do t ipo Encaminhament o Selet ivo. As falhas int ermit ent es, porém, t em padrão aleat ório. J á esses at aques t endem a seguir uma lógica, rest ringindo os pacot es com base em alguma informação disponível, como a origem. Mesmos os at aques de Encaminhament o Selet ivo, nos quais os pacot es são repassados aleat oriament e, podem ser dist inguidos das falhas int ermit ent es pelo percent ual