ESTUDO DE MECANISMOS DE SEGURANÇA PARA
PROTEÇÃO DO ROTEAMENTO EM REDES DE SENSORES
SÉRGIO DE OLIVEIRA
ORIENTADOR: PROF. JOSÉ MARCOS SILVA NOGUEIRA CO-ORIENTADORA: PROFA. HAO CHI WONG
ESTUDO DE MECANISMOS DE SEGURANÇA PARA
PROTEÇÃO DO ROTEAMENTO EM REDES DE SENSORES
SEM FIO
Tese a ser apresentada ao
Programa de Pós-Graduação em Ciência da Computação do Instituto de Ciências Exatas da
Universidade Federal de Minas Gerais como requisito parcial para a obtenção do grau de
Doutor em Ciência da Computação.
© 2008, Sérgio de Oliveira
T odos os direit os reservados.
Oliveira, Sérgio de.
Estudo de mecanismos de segurança para proteção do roteamento em redes de sensores sem fio [manuscrito] / Sérgio de Oliveira. – 2008.
xii, 181 f., enc. : il.
Orientador: José Marcos Silva Nogueira Co-orientadora: Hao Chi Wong
Tese (doutorado) – Universidade Federal de Minas Gerais. Departamento de Ciência da Computação.
1. Computação – Teses. 2 Redes de Computadores – Teses. 3. Redes de sensores – Teses. I. Nogueira, José Marcos Silva. II Hao, Chi Wong. III Universidade Federal de Minas Gerais. Departamento de Ciência da Computação. IV. Título.
Cert ament e est e t rabalho só pôde ser desenvolvido pela presença de Deus na
minha vida. Sem Ele, eu nem t eria acredit ado no sucesso. Só ele é capaz de
t ransformar um jovem sonhador, aluno de uma escola pública de uma cidade do
int erior, em um acadêmico prest es a defender uma t ese. Só t enho a agradecer a
Deus. Ele sabe sempre o que é melhor para t odos nós. E nos dá força para
superar os obst áculos. E já me deu t ant a coisa, que não sou digno de pedir mais
nada. Agradeço a força que Ele me deu e ponho em suas mãos t odo o mérit o do
meu t rabalho.
Agradeço t ambém a Universidade F ederal de Minais Gerais, referência
ent re as universidades nacionais e int ernacionais, por t er me dado essa
oport unidade. T ambém agradeço ao Depart ament o de Ciência da Comput ação,
at ravés de seus professores, por mant er sua qualidade incont est ável e
possibilit ar o desenvolviment o dest a t ese, fornecendo t odos os recursos e
subsídios para t ant o.
Agradeço especialment e ao meu orient ador, professor J osé Marcos
Nogueira, professor e amigo, me deu apoio em t odos os moment os. E dedicou
inúmeras horas ao desenvolviment o dest e t rabalho. Sem ele, est e t rabalho não
t eria o mesmo result ado.
Agradeço t ambém à professora Hao Chi Wong, minha co-orient adora,
pela sua ajuda nest e t rabalho.
Agradeço t ambém a t odos as est iveram junt os nest es anos de t rabalho e
dedicação. Eles ent enderam quando eu precisei abdicar de moment os felizes
para dedicar a est e t rabalho. Espero ret ribuir a t odos, dedicando mais t empo à
amizade, ao companheirismo e ao amor.
Redes de sensores sem fio (RSSF ) est ão mais sujeit as à ação de um inimigo que
as redes convencionais devido às suas limit ações de hardware e de energia e
devido ao ambient e host il em que podem ser inseridas. Esse cenário é muit o
favorável aos at aques de negação de serviço, especialment e na função de
rot eament o, que é crít ica em uma rede. Est e t rabalho est á focalizado na
prot eção do rot eament o em RSSF . P ara t ant o apresent a um est udo sobre a
segurança nas RSSF com enfoque no rot eament o e propõe uma arquit et ura de
gerenciament o que possibilit a est ender o t empo de vida da rede pelo uso
racional das diversas soluções de segurança e dois mecanismos de segurança. O
primeiro mecanismo apresent ado é um prot ocolo de est abeleciment o de chaves
propost o para que nós sensores vizinhos ut ilizem algorit mos cript ográficos com
o objet ivo de garant ir o cont role de acesso no enlace, inibindo a presença de nós
int rusos à rede. O segundo mecanismo é um algorit mo de rot eament o com rot as
alt ernat ivas para aument ar a resiliência da rede à presença de int rusos e, ainda,
possibilit ar a det ecção de nós int rusos que est ejam promovendo at aques de
negação de serviço no rot eament o. A arquit et ura de gerenciament o de
segurança apresent ada possibilit a que os mecanismos de segurança sejam
usados apenas quando necessário, evit ando, assim, um consumo desnecessário
de energia quando não exist e a presença de int rusos. Esse t rabalho avalia o
cust o comput acional, o consumo de energia, a eficácia e a escalabilidade das
soluções apresent adas, indicando sua viabilidade para RSSF . T ambém são
avaliados os impact os dos at aques e a eficácia dos mecanismos propost os para a
defesa da rede cont ra os at aques. Os result ados indicam que a solução t em
escalabilidade, é eficaz e o consumo adicional de energia pelas soluções
apresent adas não afet am significat ivament e o t empo de vida da rede.
Wireless Sensor Net works (WSN) are more subject t o enemy act ion t han
convent ional net works due t o t heir hardware and energy const raint s and due t o
host ile environment in which t hey can be insert ed. T his scenario is t oo
favorable t o denial of service at t acks, especially in rout ing funct ion, one crit ical
funct ion in any net work. T his work is focused in rout ing prot ect ing in WSN. It
present s a st udy on WSN securit y focusing on rout ing and proposes an
archit ect ure management t o ext end t he net work lifet ime by set t ing up t he
several securit y solut ions and t wo mechanisms for securit y. T he first
mechanism is a key est ablishment prot ocol proposed t o neighboring nodes use
crypt ographic algorit hms t o ensure t he link layer access cont rol, inhibit ing
int ruder nodes presence in net work. T he second mechanism is a rout ing
algorit hm wit h alt ernat ive rout es t o increase net work resilience against
int ruders’ presence and, moreover, enable int ruder det ect ion of nodes running
denial of service at t acks on rout ing. T he archit ect ure of securit y management
present ed enables t hat securit y mechanisms are used only when necessary, t hus
avoiding unnecessary energy consumpt ion when t here is no int ruders’ presence.
T his work evaluat es t he comput at ional cost , energy consumpt ion, efficiency
and scalabilit y of t he solut ions present ed, indicat ing t heir viabilit y for WSN.
T he impact of t he at t acks and t he effect iveness of t he proposed mechanisms t o
prot ect t he net work against at t acks are also analyzed. T he result s show t he
work has scalabilit y, is efficient and t he addit ional energy consumpt ion don’t
decrease significant ly t he net work t ime life.
Figura 2.1 - Árvore gerada pelo Tiny OS ... 50
Figura 2.2 - Modelo Colméia ... 64
Figura 4.1 - Percentual de nós silenciados em função do total de nós na simulação ... 94
Figura 4.2 - Árvore de roteamento sen a presença de Wormhole ... 97
Figura 4.3 - Árvore de roteamento com a presença de Wormhole ... 97
Figura 4.4 - Ataques Wormhole simulados ... 99
Figura 4.5 - Ataques Hello Flood simulados ... 102
Figura 5.1 - Arquitetura de Gerenciamento de Segurança ... 109
Figura 6.1 - Protocolo para troca das chaves mestras ... 119
Figura 6.2 - Mensagem em difusão autenticada ... 119
Figura 6.3 - Mensagem em difusão encriptada e autenticada ... 119
Figura 6.4 - Envio de informações sobre a vizinhança ... 120
Figura 6.5 - Autenticação durante a inserção de nós ... 122
Figura 6.6 - Vizinhos do nó sensor A ... 123
Figura 6.7 - Intersecção dos vizinhos de A e vizinhos de B ... 123
Figura 6.8 – Estabelecimento de chaves durante a movimentação de nós ... 125
Figura 6.9 - Distribuições de nós simuladas ... 130
Figura 7.1 - Árvore gerada pelo Tiny OS ... 138
Figura 7.2 - Grafo resultante com rotas múltiplas ... 138
Figura 7.3 - Exemplo de detecção de intrusos ... 142
Figura 7.4 - Respostas da Rede na Presença de 10% de Intrusos para o roteamento com alternância e sem alternância ... 147
Figura 7.5 - Respostas da Rede na Presença de 30% de Intrusos para o roteamento com alternância e sem alternância ... 147
Figura 7.6 - Detecção de intrusos em redes com 10 % de intrusos ... 149
Figura 7.7 - Detecção de intrusos em redes com 30 % de intrusos ... 150
Figura 7.8 - Intrusos detectados após cada iteração ... 151
Tabela 2.1 - Microcontroladores comerciais usados em nós sensores ... 41
Tabela 2.2 - Campos do pacote do TinyOS ... 42
Tabela 2.3 - Comparação entre Bluetooth e Zigbee ... 48
Tabela 2.4 - Número de vizinhos em função do alcance no modelo colméia ... 64
Tabela 2.5 - Energia gasta por hora de funcionamento de um nó sensor ... 66
Tabela 2.6 - Tempo de vida de um nó versus capacidade de sua bateria ... 67
Tabela 3.1 - Formato de quadro do TinySec ... 71
Tabela 4.1 - Impacto do ataque Buraco Negro ... 93
Tabela 4.2 - Número de nós silenciados pelo ataque Wormhole ... 100
Tabela 4.3 - Resultados das simulações de Hello Flood ... 102
Tabela 4.4 - Síntese dos ataques... 104
Tabela 5.1- Eventos de detecção de intrusos e ações ... 111
Tabela 5.2 - Níveis de segurança autonômicos ... 112
T abela 6.1 - Result ados da simulação ... 130
Tabela 7.1 - Aumento do consumo pelo uso de Rotas Alternativas ... 145
Tabela 7.2 - Aumento da Resiliência pelas Rotas Alternativas ... 147
Tabela 7.3 - Eficácia da detecção de intrusos para um intruso ... 148
Tabela 7.4 - Detecção de Intrusos com grande número de intrusos ... 149
Tabela 7.5 - Intrusos detectados após várias iterações da rede ... 150
Tabela 8.1 - Consumo de energia na rede sem componetes segurança ... 154
Tabela 8.2 - Energia extra consumida com IDS em 10% dos nós ... 156
Tabela 8.3 - Energia consumida com rotas alternativas ... 157
Tabela 8.4 - Aumento do consumo de energia sem fusão de dados ... 157
Capítulo 1 Introdução ... 23
1.1 Delimitação do problema ... 25
1.2 Objetivos... 29
1.3 Contribuições ... 30
1.4 Apresentação do documento ... 32
Capítulo 2 Conceitos Preliminares ... 35
2.1 RSSF ... 35
2.2 Classificações de RSSF ... 36
2.2.1 Composição ... 37
2.2.2 Organização funcional ... 38
2.2.3 Mobilidade ... 39
2.2.4 Missão ... 40
2.3 Arquitetura dos nós sensores ... 40
2.3.1 Microcontroladores ... 41
2.3.2 Sistema operacional: Tiny OS ... 42
2.3.3 Exemplos de nós sensores ... 43
2.4 Autoconfiguração ... 44
2.5 Arquitetura de rede ... 46
2.5.1 Camada física ... 46
2.5.2 Camada de enlace ... 47
2.5.3 Camada de rede ... 49
2.5.4 Roteamento em redes de sensores sem fio ... 49
2.6 Segurança em RSSF ... 51
2.6.1 Ataques ... 52
2.6.2 Arquitetura de segurança ... 53
2.6.3 Técnicas criptográficas ... 53
2.6.4 Gerenciamento de chaves ... 56
2.6.5 Sistemas de detecção de intrusos e revogação de nós ... 59
2.6.6 Roteamento seguro ... 60
2.6.7 Fusão segura dos dados ... 61
2.7 Modelo de rede adotado ... 61
2.7.1 Modelos de distribuição espacial ... 63
2.7.2 Modelo de energia ... 65
2.7.3 Notação ... 67
3.1 Criptografia ... 69
3.1.1 Tiny Sec ... 70
3.2 Gerenciamento de chaves ... 71
3.2.1 LEAP ... 72
3.2.2 Pré-distribuições de chaves probabilísticas ... 73
3.2.3 SPINS ... 75
3.2.4 Criptografia de chave pública ... 76
3.3 Rotas seguras ... 77
3.3.1 INSENS ... 78
3.4 Detecção de intrusos ... 79
3.4.1 Localização e isolamento de intrusos ... 79
3.4.2 Detecção de intrusos de forma distribuída ... 80
3.4.3 Detecção de intrusos de forma centralizada ... 81
3.5 Gerenciamento de segurança... 81
3.6 Conclusões ... 83
Capítulo 4 Um Estudo do Impacto dos Ataques de Negação de Serviço em RSSF ... 87
4.1 Introdução ... 87
4.2 Ataques de negação de serviço em RSSF ... 88
4.2.1 Adulteração (Tampering) ... 90
4.2.2 Buraco Negro ... 91
4.2.3 Encaminhamento Seletivo ... 94
4.2.4 Sinkhole ... 95
4.2.5 Wormhole ... 96
4.2.6 Hello Flood ... 100
4.3 Sumário de ataques ... 103
4.4 Conclusões ... 105
Capítulo 5 Arquitetura de Gerenciamento de Segurança para Redes de Sensores Sem Fio ... 107
5.1 Introdução ... 107
5.2 Gerenciamento de Redes de Sensores Sem Fio ... 108
5.3 Arquitetura de gerenciamento ... 109
5.4 Componentes de segurança ... 110
5.5 Decisões autonômicas ... 110
5.5.1 Base de informações de gerenciamento (MIB) ... 113
5.5.2 Definição das mensagens ... 114
5.5.3 Eventos ... 115
Capítulo 6 Estabelecimento de Chaves em RSSF – Protocolo NEKAP ... 117
6.1 Introdução ... 117
6.2 Protocolo ... 119
6.2.1 Estabelecimento das chaves de difusão ... 119
6.2.2 Estabelecimento das chaves par-a-par ... 119
6.2.3 Inserção de Novos Nós ... 120
6.3 Descrição do protocolo... 122
6.4 Mobilidade... 124
6.5 Análise de segurança ... 125
6.5.1 Instanciação para distribuição determinística ... 126
6.5.2 Modelo de simulação ... 128
6.6 Implementação ... 131
6.7 Trabalhos relacionados... 132
6.8 Conclusões ... 133
Capítulo 7 Rotas Alternativas para Detecção e Aumento da Resiliência à Intrusão Distribuída ... 135
7.1 Introdução ... 135
7.2 Rotas alternativas ... 136
7.2.1 Estabelecimento ... 137
7.2.2 Conhecimento da topologia ... 138
7.3 Detecção de intrusos ... 139
7.4 Revogação de intrusos ... 143
7.5 Avaliação ... 144
7.5.1 Consumo de energia... 145
7.5.2 Eficácia das rotas alternativas ... 146
7.5.3 Eficácia da detecção de intrusos ... 148
7.5.4 Detecção em várias iterações ... 150
7.6 Conclusões ... 151
Capítulo 8 Validação da Arquitetura de Gerenciamento de Segurança para Redes de Sensores ... 153
8.1 Introdução ... 153
8.1.1 Consumo sem componentes de segurança ... 154
8.1.2 Criptografia ... 154
8.1.3 Gerenciamento de chaves ... 155
8.1.4 Sistemas de detecção de intrusos e revogação de nós ... 155
8.1.5 Roteamento seguro ... 156
8.1.6 Fusão de dados ... 157
8.2 Resultados finais ... 158
8.3 Discussão ... 159
8.4 Conclusões ... 160
Capítulo 9 Conclusões ... 163
9.1 Trabalhos futuros ... 164
Referências Bibliográficas ... 167
Novos modelos de rede est ão t razendo novos paradigmas para a comput ação,
com novas aplicações e necessidades. A comput ação ubíqua[1], que represent a o
uso de comput ação nos diversos ambient es e sit uações, não se rest ringindo aos
ambient es comput acionais convencionais, t rouxe inúmeras possibilidades de
aplicações comput acionais, ent re elas as Redes de Sensores sem F io.
Redes de sensores sem fio (RSSF ) são redes a d h oc formadas por
element os miniat urizados, chamados nós sensores, equipados com um conjunt o
de sensores e capazes de comunicação sem fio [2]. P odem cont er desde algumas
unidades at é milhares de nós. Essas redes cont am com um element o cent ral,
conhecido como est ação base ou nó sorvedouro, t em o objet ivo de recolher as
informações colet adas para apresent ação aos usuários da rede. A est ação base
pode t ambém enviar comandos aos nós para solicit ar informações, bem como
configurar os nós ou funções da rede.
Vários t ipos de aplicações são propost os para as RSSF , normalment e
relacionados ao monit orament o de ambient es, com finalidades diversas. Ent re
as aplicações, podemos cit ar o monit orament o ambient al, visando à obt enção
de dados sobre a flora e a fauna, o cont role de incêndios, em edifícios, florest as e
indúst rias, e a espionagem milit ar, colet ando informações em campos de
bat alha ou em t errit ório inimigo.
Um requisit o dos mais import ant es das RSSF é a necessidade de baixo
consumo de energia. Devido a seu t amanho reduzido, as font es de energia são
muit o limit adas e as mais ut ilizadas são pequenas bat erias, dificilment e
subst it uíveis ou recarregáveis. Assim, para garant ir o funcionament o do nó por
um período de t empo especificado, é preciso que t odos os seus component es
sejam projet ados para um consumo adequado de energia, em geral muit o baixo.
Como nas redes convencionais, a comunicação nas redes de sensores é
modularizada em camadas formando uma pilha de prot ocolos. Devido à
redes convencionais. A camada de rede t em papel especial, devido às
caract eríst icas da rede, que deve incluir a capacidade de aut o-organização,
mesmo sem prévio conheciment o da localização específica de cada nó na rede. O
rot eament o deve ser propost o em função dessas caract eríst icas.
A função de rot eament o é uma função de rede essencial nas RSSF . Ela
pode ser dividida em duas subfunções: est abeleciment o de rot as e
encaminhament o de pacot es. O est abeleciment o de rot as t em por objet ivo criar
os caminhos ent re os nós e a est ação base. A função de encaminhament o t em
por objet ivo levar os pacot es at é seu dest ino final. Em redes de sensores, o
conceit o de disseminação de dados pode subst it uir o conceit o de
encaminhament o, pois o objet ivo do rot eament o não é levar um pacot e
específico a um dest ino, mas sim seu cont eúdo. O import ant e é que as
informações cheguem ao seu dest ino e essas informações podem est ar replicadas
em diversos pacot es, obt idas por diversos nós diferent es, ou sumarizadas em
poucos pacot es. Assim, a ent rega de um pacot e não é import ant e, se o dado por
ele represent ado puder chegar a seu dest ino a part ir de out ro nó origem.
Segurança é um requisit o essencial para t odo t ipo de rede sujeit o à
presença de int rusos. Como as RSSF normalment e são usadas em ambient es
abert os, isso as t orna muit o vulneráveis à presença de int rusos [3]. Diversos
mecanismos podem ser usados para est ender requisit os de segurança,
especialment e aqueles baseados em algorit mos cript ográficos. Várias aplicações
de RSSF possuem requisit os de segurança [4]: aplicações milit ares,
monit orament o comercial e indust rial e at é mesmo o monit orament o civil, onde
a privacidade precisa ser respeit ada, são exemplos de uso de RSSF com
requisit os de segurança.
A presença de um int ruso num caminho por onde passam os dados com
dest ino a um nó sorvedouro int erferindo na função de encaminhament o pode
inibir t oda a produção da rede, prejudicando o alcance de seus objet ivos. Est e
t rabalho est á focado em mecanismos de segurança em RSSF para prot eção das
funções de rot eament o, especialment e o encaminhament o de pacot es.
nest a t ese, podem ser suficient es para evit ar a presença de um inimigo no
rot eament o.
Alguns mecanismos de segurança usados em redes convencionais, como
cript ografia por chave pública e o uso de um cent ro de dist ribuição de chaves
não são viáveis para redes de sensores devido às suas limit ações energét icas e
comput acionais.
Ant es de ent rar diret ament e no t rat ament o da prot eção cont ra os
at aques, é necessário delimit ar o problema principal a ser t rat ado. Os at aques
de negação de serviço em RSSF efet uados sobre a função de rot eament o,
impedindo o encaminhament o de pacot es, são alvo dest e t rabalho. Esses
at aques podem ser alt ament e prejudiciais ao funcionament o da rede. Além
disso, as abordagens para as redes de sensores t endem a ser muit o diferent es
daquelas exist ent es para as redes convencionais, devido às limit ações exist ent es
nos ambient es de RSSF .
Diversas aplicações de RSSF definem requisit os de segurança,
especialment e disponibilidade. Nessas redes, é possível a exist ência de ent idades
com objet ivos cont rários aos objet ivos da rede, que podem agir para inut ilizar
seus serviços. P or isso é import ant e prot egê-las cont ra os at aques de negação de
serviço, at aques cont ra a disponibilidade. Esses at aques podem ser execut ados
com muit a facilidade por um inimigo e, se não forem t rat ados, podem inut ilizar
t oda a rede, ou grande part e dela.
Est e t rabalho est á part icularment e int eressado nas redes de sensores
planas, nas quais t odos os nós t êm funções semelhant es, homogêneas, com o
mesmo hardware ut ilizado para t odos os nós, com o número de nós
part icipant es variando ent re 50 e 1000 nós e aplicações que podem durar anos.
Esse t ipo de rede foi escolhido por t er um cust o significat ivament e mais baixo
de desenvolviment o, mont agem e dist ribuição. Várias aplicações de redes de
sensores podem ut ilizar esses t ipos de nós, como monit oração ambient al e at é
mesmo uso milit ar. Est a t ese considera, ainda, soment e as RSSF est át icas, ou
seja, sem moviment ação dos nós, mas que permit em a adição e revogação dos
rest rição exige o desenvolviment o de soluções mais específicas e eficient es, além
de ser a opção mais dest acada na lit erat ura e com amplo campo de aplicação, na
monit oração de áreas não habit áveis e com nós com recursos ext remament e
limit ados, o que rest ringe sua moviment ação.
Os at aques de negação de serviço em RSSF foram inicialment e
apresent ados por Wood e St ankovic [3]. Nesse t rabalho, os at aques foram
classificados de acordo com a camada da pilha de prot ocolos onde at uam.
Karlof e Wagner [5] det alharam os possíveis at aques de negação de serviço no
rot eament o, indicando quais as propost as de algorit mos de rot eament o
est ariam sujeit as aos referidos at aques. Os at aques do t ipo negação de serviço
no rot eament o foram eleit os como o problema a ser t rat ado nest a t ese, devido à
sua abrangência e facilidade de execução, uma vez que um simples nós pode
int erferir no rot eament o em uma das rot as principais, silenciando part e da rede.
Embora as camadas superiores não necessit em de fluxos de t ransmissão
confiáveis nas RSSF , o serviço de rot eament o é considerado como crít ico. Em
redes de larga escala, mensagens podem passar por muit os passos at é alcançar
seu dest ino. Infelizment e, quando o cust o agregado de encaminhament o de um
pacot e aument a, t ambém aument a a probabilidade de um at aque ser efet ivado
para descart ar ou redirecionar o pacot e ao longo do caminho [3]. A forma
dinâmica de est abeleciment o de rot as facilit a a inserção de um nó int ruso nas
rot as principais. Como um único nó pode ser responsável por repassar os
pacot es de vários out ros nós, a presença de um int ruso em uma rot a principal
pode afet ar a disseminação de dados de muit os out ros nós.
Na ocorrência de um at aque de negação de serviço no encaminhament o
de pacot es, a rede pode se comport ar de duas formas: defender-se do at aque e
cont inuar funcionando normalment e, sem permit ir o acesso do int ruso à rede,
t ampouco sofrer os efeit os da sua presença, ou não se defender do at aque, o que
pode levá-la a t er a produção reduzida, pelo silenciament o de alguns nós, ou at é
mesmo a int errupção t ot al de seu funcionament o. Est e t rabalho busca
invest igar e propor mecanismos para eliminar o efeit o da presença de um
Algumas considerações devem ser feit as para permit ir a delimit ação do
problema. A primeira é que, devido à comunicação sem fio, o enlace de rádio
não é seguro. Out ra consideração válida é que se o propriet ário da rede pode
lançar nós aut ênt icos, ent ão um inimigo t ambém pode lançar nós maliciosos
com capacidades de hardware similares. Um inimigo pode t ambém capt urar nós
legít imos, ler e escrever dados da sua memória, pois os nós não cont am com
prot eção física e est ão sujeit os a at aques que ut ilizam do acesso físico aos nós,
at aques conhecidos como T a m pe r i n g. Ele pode t ambém subst it uir o código de
um nó e at é clonar nós legít imos que podem t er seu código subst it uído. Nós
inseridos por um inimigo podem ainda, event ualment e, cont ar com um enlace
de rádio de baixa lat ência e alt a largura de banda [5]. Devido à larga escala da
rede, porém, não será considerado que o inimigo possa eliminar ou adult erar
t odos os nós aut ênt icos ou uma parcela significat iva desses nós.
Algumas dist inções ent re as diversas possibilidades de nós maliciosos
devem t ambém ser consideradas. A primeira é que os nós maliciosos podem ser
nós sensores limit ados, como os demais element os da rede, com as mesmas
limit ações de processament o, comunicação, memória e energia, ou podem ser
nós mais poderosos, como comput adores port át eis ou seus equivalent es. Esses
últ imos element os t êm processament o, memória e capacidade de comunicação
em níveis muit o superiores aos nós da rede, podendo usar esses recursos para
efet uar os at aques.
A segunda dist inção a ser considerada é em relação à presença de nós
maliciosos na rede. Os nós maliciosos serão considerados como int ernos se
puderem part icipar normalment e das comunicações da rede, conhecendo t odas
as chaves e prot ocolos necessários. Do cont rário, se falt ar alguma informação
necessária para a part icipação nos prot ocolos de rede, os nós maliciosos são
considerados como ext ernos.
A prot eção do rot eament o cont ra at aques de negação de serviço não
pode ser realizada pelas soluções convencionais exist ent es em out ras redes, em
razão de várias caract eríst icas peculiares das RSSF , incluindo a maior
vulnerabilidade dos nós e as limit ações comput acionais e de energia dos nós.
sem fio e a simplicidade do hardware. Adicionando isso à localização e operação
da rede, muit as vezes em ambient es abert os e de acesso não cont rolado, a
prot eção dos element os da rede cont ra T a m pe r i n g fica inviável. Um inimigo
pode est ar present e no local e no moment o da obt enção dos dados colet ados, na
sua t ransmissão sem fio, ou ainda at uando nos diversos prot ocolos ut ilizados
nessas redes.
Mecanismos de segurança usados em redes convencionais, como
cript ografia, só podem ser usados em RSSF se observadas as rest rições de
processament o, energia e comunicação. Mecanismos baseados em algorit mos de
cript ografia de chave pública ou o uso de um cent ro de dist ribuição de chaves
(KDC - K e y D i s t r i bu t i on C e n t e r) devem ser descart ados, devido ao alt o cust o
de processament o ou comunicação apresent ados. Dessa forma, os algorit mos
cript ográficos est ão limit ados àqueles que usam chaves simét ricas e a
dist ribuição de chaves deve ocorrer com baixo cust o de comunicação. Essas
caract eríst icas exigem novas abordagens para que seja possível at ender aos
requisit os de segurança necessários a algumas aplicações.
Diversos mecanismos podem ser usados para evit ar a ação de um inimigo
em RSSF . O cont role de acesso à rede pode impedir a ent rada de nós int rusos, a
det ecção de int rusos pode apont ar os nós int rusos em ação na rede bem como
mecanismos de revogação de nós podem isolar os nós int rusos, de forma que sua
ação não t enha mais efeit o. A combinação de mecanismos de segurança é
necessária para aument ar a prot eção da rede e a imunidade a diversos t ipos de
at aque.
Diversos t rabalhos já foram propost os na lit erat ura para rest ringir a
presença do inimigo. O efeit o de nós maliciosos ext ernos pode ser anulado pelo
uso de algorit mos cript ográficos [6], garant indo o cont role de acesso a rede. O
problema, nesse caso, resume-se a um gerenciament o adequado de chaves,
incluindo-se a dist ribuição, armazenament o, revogação e renovação das chaves
[7]. P ara anular o efeit o dos nós maliciosos int ernos, out ras abordagens
precisam ser ut ilizadas, como det ecção e revogação de int rusos [8][9].
Abordagens adequadas de gerenciament o de chaves podem, ainda, impedir a
int ernos. No t erceiro capít ulo dest a t ese, será feit a uma revisão da lit erat ura
most rando em det alhes as diversas abordagens conhecidas.
As soluções já exist ent es na lit erat ura não t rat am o problema de
prot eção do rot eament o de forma suficient e. Algumas apresent am
vulnerabilidades que podem ser exploradas por um inimigo. Out ras exigem
hardware mais poderoso. Out ras, ainda, aument am muit o o consumo de energia
dos nós, inviabilizando seu uso nas redes que apresent am hardware mais
limit ado. Embora alguns at aques sejam t rat ados de forma eficaz e sem
aument ar o consumo ou a necessidade de hardware adicional, out ros ainda
permanecem sem boas soluções, especialment e os at aques conhecidos como
W or m h ole e H ello F lood [5].
Os objet ivos dest a t ese serão most rados a seguir, ut ilizando abordagens
para a resolução do problema apresent ado.
O objet ivo principal dest e t rabalho é o est udo e proposição de mecanismos
para a prot eção da função de rot eament o em RSSF . Esses mecanismos visam
eliminar ou reduzir os efeit os de at aques do t ipo negação de serviço que at uam
na função de rot eament o. F az part e dos objet ivos dest a t ese desenvolver
mét odos, t écnicas e algorit mos para reduzir os efeit os dos at aques de negação de
serviço sobre uma RSSF e permit ir que a mesma cont inue funcionando
normalment e, mesmo durant e um at aque.
Um prot ocolo de rot eament o seguro deve garant ir alguns requisit os no
est abeleciment o das rot as: confidencialidade, aut ent icidade e int egridade. Além
disso, a função de encaminhament o de pacot es deve est ar sempre disponível,
operacional. O objet ivo é garant ir esses requisit os mesmo na presença de
quaisquer t ipos de inimigos.
O primeiro objet ivo dest a t ese é fazer um est udo sobre os diversos t ipos de
at aques de negação de serviço que podem compromet er o serviço de
encaminhament o de pacot es em uma RSSF . Esses at aques serão avaliados com
o objet ivo de verificar os seus alcances e efeit os, para at aques realizados
O segundo objet ivo dest a t ese é desenvolver mecanismos para eliminar o
efeit o de nós maliciosos ext ernos. At aques promovidos por nós maliciosos
ext ernos podem ser defendidos pelo uso de mecanismos de cript ografia [6],
at ravés de um rigoroso cont role de acesso na camada de enlace. P ara t ant o, um
prot ocolo de dist ribuição de chaves é propost o, para que os mecanismos de
cript ografia [6] possam ser usados de forma sat isfat ória.
O t erceiro objet ivo é propor mecanismos de det ecção e revogação de
int rusos, com o objet ivo de eliminar os nós maliciosos int ernos da rede e,
conseqüent ement e, seus at aques.
O quart o objet ivo é mant er o consumo de energia cont rolado, para mant er
a longevidade da rede. Como o gerenciament o de energia é crít ico em redes de
sensores, para at ingir esse objet ivo mecanismos de gerenciament o dos diversos
element os de segurança fazem-se necessários, permit indo seu uso de forma
racional para não gerar demanda excessiva de energia, o que ocasionaria uma
redução do t empo de vida na rede. Est a t ese deve prever o gerenciament o de
segurança, de forma a permit ir o uso racional dos mecanismos de segurança,
preservando o t empo de vida da rede.
A part ir dos objet ivos definidos para o t rabalho de pesquisa dest a t ese,
vários mecanismos foram pesquisados para reduzir ou eliminar os efeit os de
at aques efet uados por nós maliciosos ext ernos e int ernos. P ara at aques
ext ernos, a execução do cont role de acesso ut ilizando algorit mos cript ográficos
exigiu a proposição de um prot ocolo de gerenciament o de chaves com baixo
consumo de energia e resist ent e a at aques. P ara at aques int ernos, a solução
recaiu sobre um prot ocolo de rot eament o resilient e à int rusão e um algorit mo
de det ecção e revogação de int rusos. T odos esses mecanismos foram concebidos
considerando as limit ações das RSSF .
Assim, no desenvolviment o dest e t rabalho, as seguint es cont ribuições
foram alcançadas:
1. Avaliação dos impact os de at aques de negação de serviço no
[5][3], de forma a indicar a ext ensão e a facilidade de efet uar e se
defender de cada at aque;
2. P roposição e avaliação de uma arquit et ura de gerenciament o de
segurança que permit e a configuração e o acionament o de diversos
component es de segurança, incluindo alguns apresent ados nest e
t rabalho e out ros present es na lit erat ura, visando sua ut ilização
apenas quando necessário e racionalização seu uso e seu consumo ext ra
de energia;
3. P roposição, avaliação, implement ação e t est es de um novo prot ocolo
de est abeleciment o de chaves para cont role de acesso na camada de
enlace, que permit e a cada nó est abelecer chaves com t odos os seus
vizinhos e, a part ir de ent ão, realizar o cont role de acesso para impedir
a ent rada de nós int rusos;
4. P roposição e avaliação de um algorit mo de rot eament o com rot as
alt ernat ivas em RSSF , para aument ar a resiliência da rede na presença
de int rusos e permit ir a det ecção de int rusos de forma eficient e.
A arquit et ura de gerenciament o apresent ada nest e t rabalho foi propost a
visando à ext ensão do t empo de vida da rede, pois permit e acionar e configurar
os diversos component es de segurança, incluindo os mecanismos apresent ados
nest a t ese, bem como out ros disponíveis na lit erat ura, promovendo sua
ut ilização apenas quando necessário. Sua aplicação possibilit a mant er as
vant agens dos mecanismos de segurança, especialment e porque evit a os at aques
de negação de serviço aqui apresent ados e preserva, t ambém, o consumo de
energia dent ro do mínimo necessário diant e das ameaças descobert as.
O prot ocolo de est abeleciment o de chaves foi chamado de NEKAP , um
acrônimo para N e i gh bor h ood -ba s e d K e y A gr e e m e n t P r ot ocol. Esse prot ocolo
permit e o est abeleciment o de chaves ent re cada nó e aqueles considerados como
seus vizinhos, por est arem no raio de alcance do rádio, de forma que as
informações t rocadas por esses nós sejam aut ent icadas com essas chaves, assim
evit ando a comunicação de nós int rusos. Esse prot ocolo foi implement ado e
O uso de rot as alt ernat ivas foi propost o visando a aument ar a resiliência
da rede à presença de int rusos e ainda prover um mecanismo eficient e para a
det ecção de int rusos. Assim, t oda informação que deve ser encaminhada por um
nó t em dois caminhos para chegar à est ação base. Caso um dos caminhos t enha
um int ruso, os dados podem ser encaminhados pelo caminho alt ernat ivo. Sobre
esse mecanismo foi implement ado, ainda, um algorit mo que permit e a det ecção
de int rusos, at ravés da análise do fluxo de pacot es em cada uma das rot as. O
algorit mo para det ecção de int rusos é apresent ado nest e t rabalho e t ambém
represent a uma cont ribuição import ant e, diret ament e associada à proposição
de rot as alt ernat ivas.
As cont ribuições dest e t rabalho podem ser dest acadas no aument o da
segurança no rot eament o em RSSF , com o prot ocolo de est abeleciment o de
chaves, a avaliação do impact o de at aques de negação de serviço dist ribuídos e
com uso de rot as alt ernat ivas.
O cont eúdo dest a t ese é apresent ado em oit o capít ulos, desde a definição
do problema, at é a conclusão e apresent ação dos t rabalhos fut uros.
Os t rês primeiros capít ulos são int rodut órios: est e primeiro capít ulo
apresent a o problema a ser abordado nest a t ese, seus objet ivos e cont ribuições
realizadas; o segundo capít ulo apresent a t odos os conceit os necessários para
ent endiment o desse t rabalho, incluindo a descrição das RSSF e uma discussão a
respeit o dos requisit os de segurança e ameaças exist ent es nesse ambient e; o
t erceiro capít ulo apresent a os t rabalhos relacionados.
O quart o capít ulo, a part ir do qual são apresent adas as cont ribuições
dest e t rabalho, propõe uma arquit et ura de gerenciament o de segurança para
redes de sensores sem fio, definindo os principais component es de segurança e as
int erações ent re eles.
O quint o capít ulo apresent a um est udo sobre o impact o dos at aques de
negação de serviço dist ribuído nas RSSF . São realizadas simulações para
verificar a redução da produção t ot al da rede em função do número de int rusos.
O sext o capít ulo apresent a o prot ocolo de dist ribuição de chaves, bem como sua
uma modificação em um algorit mo de rot eament o da lit erat ura, incluindo rot as
múlt iplas de forma alt ernada, abordagem que é usada para aument ar a
resiliência e permit ir a det ecção de int rusos de forma eficient e, mesmo na
presença de um grande número de int rusos. A validação da arquit et ura de
gerenciament o de segurança é apresent ando no oit avo capít ulo, que inclui sua
avaliação no cenário de redes de sensores sem fio.
P or fim, o nono capít ulo apresent a as conclusões e os t rabalhos fut uros
vislumbrados no desenvolviment o dest e t rabalho. Est a t ese cont a ainda com
Est e capít ulo apresent a um breve t ut orial sobre os conceit os import ant es para
est a t ese. Serão apresent ados modelos de organização de rede, modelos de
comunicação de dados e princípios de segurança aplicáveis a essas redes.
!
As redes de sensores sem fio surgiram para permit ir o monit orament o de locais
sem infra-est rut ura est abelecida. F ormadas por dezenas, cent enas e at é
milhares de nós, as RSSF devem at ender a alguns requisit os, como comunicação
sem fio, aut o-organização, aut onomia e t amanho reduzido. Com o foco nesses
requisit os, os nós sensores, prot ocolos e padrões foram desenvolvidos diferindo
significat ivament e daqueles usados nas redes de comput adores convencionais.
Redes de sensores sem fio possibilit am avanços import ant es na forma de
monit orament o de ambient es. Seu uso permit e cobrir vast as áreas a baixo
cust o. As aplicações propost as são as mais diversas, desde espionagem em caso
de guerra at é a supervisão de áreas de preservação ambient al. P ara cada
aplicação, é necessário definir o número de nós sensores ut ilizados, o alcance do
rádio, as informações a serem colet adas e os requisit os de segurança necessários.
Diversas aplicações est ão previst as para RSSF e, ent re elas, podemos
cit ar:
- Localização de focos de incêndio e desmat ament o em florest as:
Sensores dist ribuídos por uma região florest al podem colet ar e enviar
informações diversas, como localização de focos de incêndio, ações de
desmat ament o e erosão e, at é mesmo, dist ribuição da fauna;
- Espionagem em t errit ório inimigo: sensores deposit ados por aviões
podem espionar regiões inimigas, colet ando informações diversas,
como t emperat ura, umidade, moviment ações de t ropas ou
- Aplicações médicas: ambient es especiais de recuperação de pacient es
podem cont ar com sensores que monit oram as at ividades e sinais
vit ais do pacient e. P odem est ar present es no ambient e ou no próprio
pacient e, de forma a disponibilizar um conjunt o muit o maior de
informações para um diagnóst ico mais preciso dos profissionais da
saúde.
- Monit oração de t rânsit o: em grandes cent ros urbanos, sensores
podem ser usados em diversos t rechos de t rânsit o elevado, de forma a
colet ar informações que podem ser usadas para cont rolar semáforos,
acesso a pont es e viadut os e at é mesmo provocar o desvio de áreas
sobrecarregadas.
Várias dessas aplicações possuem requisit os de segurança, pois podem
cont ar com a presença de um inimigo, represent ado por algum element o
int eressado no funcionament o incorret o da rede ou na sua paralisação.
Em t odas as aplicações, o hardware a ser ut ilizado nas RSSF é bem mais
simples que o hardware ut ilizado em comput adores pessoais. Normalment e a
configuração represent a um sist ema embut ido, com microcont roladores que
ut ilizam quant idades reduzidas de memória e alguns pinos de ent rada e saída,
os quais recebem os sinais dos sensores. O rádio t em curt o alcance e
normalment e é implement ado em um único chip, que recebe e t ransfere os
dados diret ament e para o processador. T odos os component es devem
apresent ar baixíssimo consumo de energia, de modo que uma font e de energia
barat a e reduzida seja capaz de mant er o sist ema operant e pelo período de
t empo necessário para a aplicação.
"
!
As redes de sensores sem fio podem ser classificadas quant o a fat ores
como composição, organização funcional, mobilidade e missão. A definição de
det erminadas caract eríst icas para uma RSSF dá-se em função dos requisit os da
aplicação a que se dest ina, cust o e confiabilidade da rede. As classificações aqui
! !
Uma RSSF pode ser const it uída de diversos t ipos de nó sensores, com
caract eríst icas variadas de hardware e soft ware. De acordo com as
caract eríst icas const rut ivas dos nós sensores que compõe uma RSSF , ela pode
ser classificada em:
- Rede homogênea, quando t odos os nós são semelhant es, em t ermos
de recursos de hardware e soft ware. Os mesmos recursos
comput acionais e bat eria são encont rados em t odos os sensores.
Embora sejam idênt icos em sua est rut ura, alguns nós sensores podem
realizar funções especiais, diferindo em seu funcionament o dos
demais nós;
- Rede het erogênea, quando há diferenças ent re os nós sensores em
t ermos de hardware e soft ware. Nós sensores mais robust os podem
ser usados para funções especiais, como rot eament o de pacot es,
armazenament o e cont role de chaves cript ográficas, e out ras,
exigindo maior poder comput acional e energét ico.
A diferenciação dos sensores é uma alt ernat iva que pode aument ar o
cust o da rede significat ivament e, mas ao mesmo t empo aument a o poder da
rede como um t odo. Nós sensores com hardware mais robust o podem agregar
out ras funcionalidades e permit ir a realização de t arefas que não podem ser
execut adas na grande maioria dos nós sensores.
Os nós que cont am com hardware mais poderoso podem execut ar t arefas
especiais para garant ir os requisit os de segurança da rede. Soluções de
segurança, como algorit mos baseados em chave pública, não podem ser
execut adas nos nós mais simples devido às suas limit ações de hardware. Mas,
possivelment e, nós mais poderosos em redes het erogêneas podem execut ar esses
algorit mos, desempenhando papel de dest aque nas soluções de segurança.
Redes homogêneas, no ent ant o, t êm cust o significat ivament e menor,
além de ser mais facilment e dist ribuídas, pois não é necessário prever, a priori,
os pont os de inst alação dos nós mais robust os. Est e t rabalho vai considerar
! !
"
#
$
De acordo com a funcionalidade que cada nó sensor assume na rede, uma
RSSF pode ser classificada em:
- Rede plana, na qual a funcionalidade de t odos os sensores é idênt ica,
ou seja, t odos os sensores podem execut ar as mesmas t arefas, sejam
elas de rot eament o, colet a de dados, cript ografia ou t roca de chaves;
- Rede hierárquica, na qual alguns nós sensores assumem funções
especiais, ou seja, exist e divisão de funções ent re os nós. Est as
funções podem exigir um maior poder comput acional e at é mesmo
um consumo maior de bat eria.
A organização da rede depende t ambém da sua composição. Redes
het erogêneas podem ser hierárquicas na sua organização, cent ralizando algumas
funções nos nós com maior poder comput acional e energét ico. Redes
homogêneas t ambém podem ser hierárquicas, nomeando alguns nós para
realizarem funções especiais. Como est as funções demandam maior consumo de
energia, os nós podem se revezar na sua execução. Uma forma de escolher os nós
que devem realizar funções especiais é realizar eleições periódicas, nomeando
nós mais bem localizados e com maiores reservas energét icas para realizar
t arefas especiais, que possam demandar mais energia.
A organização em grupo est á present e nas redes hierárquicas. Um grupo,
ou clu s t e r, de nós sensores é a menor forma de organização. O nó responsável
pelas funções especiais de um grupo é conhecido como cabeça do grupo, ou
clu s t e r h e a d. O nó cabeça do grupo pode ser um nó com capacidade maior de processament o e energia, caso a rede seja het erogênea, ou um nó eleit o para est a
função, caso a rede seja homogênea.
As redes hierárquicas podem cont ar com nós com funções especiais nas
soluções de segurança, como dist ribuição de chaves, ou encript ação e
decript ação de mensagens. Mecanismos usados para economizar energia, como
fusão ou agregação de dados, necessit am de nós com funções especiais, em redes
hierárquicas. Se essas soluções são usadas em ambient es seguros, esses nós
Est e t rabalho foi propost o para redes planas e homogêneas. As soluções
de segurança para redes hierárquicas het erogêneas normalment e ut ilizam
algorit mos de chave pública nos nós int ermediários, o que facilit a o projet o de
segurança dessas redes. Redes hierárquicas homogêneas, por sua vez, não
devem concent rar funções especiais de segurança em poucos nós. Isso porque
nessas redes é necessário o rodízio dos nós com funções especiais, para evit ar a
sua exaust ão de energia. Mas o rodízio das funções de segurança pode levar um
nó int ruso a assumir essas funções, possibilit ando um at aque de maiores
proporções. Assim, esse t rabalho est á focado nas redes planas e homogêneas,
vislumbrando maiores cont ribuições nessas redes.
! !% &
Quant o à possibilidade de locomoção dos nós, uma RSSF pode ser:
- Est acionária, quando os nós ficam fixos no local onde foram
deposit ados inicialment e. O depósit o dos nós pode ser feit o de forma
aleat ória, como por exemplo, at ravés de um avião lançador, ou de
forma organizada, manualment e, em localizações pré-det erminadas.
- Móvel, quando os nós não t êm posição fixa e podem ser
moviment ados a t odo moment o. Devido ao moviment o, t oda a
t opologia da rede é dinâmica. Os diversos prot ocolos de rede devem
ser desenvolvidos prevendo a mobilidade.
As RSSF est acionárias podem permit ir pequenos deslocament os de nós
sensores por ação de agent e ext erno. Um animal, por exemplo, pode deslocar
um nó sensor por cert a dist ância. O deslocament o fará com que o nó sensor
permaneça inoperant e at é que a rede seja reconfigurada. A ocorrência de et apas
de reconfiguração pode reint egrar nós sensores deslocados à rede.
As RSSF móveis exigem soluções diferenciadas de segurança. P or
exemplo, caso os nós det enham chaves individuais, os mecanismos de segurança
devem garant ir a validade das chaves em qualquer pont o da rede, ou o
rest abeleciment o cont ínuo das chaves a cada deslocament o de nós. Essas
limit ações dificult am as soluções de segurança para essas redes. As redes
! !'
&
De acordo com a missão para a qual é ut ilizada uma RSSF , podem ser
necessários requisit os de segurança. As RSSF podem ent ão ser classificadas de
acordo com sua missão em:
- Redes de missão comum, onde as aplicações não exigem requisit os de
segurança. Aplicável soment e em aplicações em ambient es
t ot alment e fechados, inalcançáveis à ação do inimigo;
- Redes de missão crít ica, com aplicações que demandam requisit os de
segurança.
É difícil conceber aplicações que não demandem um nível mínimo de
segurança. A presença de invasores pode ser det ect ada em diversos t ipos de
aplicações de rede. At é aplicações simples de monit orament o ambient al, por
exemplo, podem despert ar int eresse de empresas que exploram o ambient e
como madeireiras e garimpeiros.
#
$
A arquit et ura de hardware e soft ware dos nós sensores deve ser
desenvolvida considerando suas funcionalidades: colet a de dados ambient ais e
t ransmissão dest es dados à est ação base. O nó sensor deve ser descart ável, uma
vez que é difícil recuperá-lo no ambient e. O nó sensor deve t ambém ficar ocult o
no ambient e, sem despert ar a at enção de pessoas ou animais. Dest a forma, os
nós sensores ut ilizados em redes de sensores sem fio devem ent ão at ender aos
seguint es requisit os:
- Baixo cust o, para permit ir o uso em grande número e t ambém seu
descart e ao fim do t empo de vida da bat eria;
- Baixo consumo de energia, permit indo uma vida prolongada com
uma bat eria compact a;
- T amanho reduzido, permit indo que fique ocult o no ambient e;
- Comunicação sem fio, para t ransmissão dos dados at é a est ação base.
P ara at ender a est es requisit os visando à obt enção de plena
funcionalidade de uma RSSF , um nó sensor deve cont ar com os seguint es
- Microcont rolador – Incluindo alguns port os de ent rada e saída,
memória de programa e de dados;
- Bat eria – P ara fornecer energia. Devem ser considerados volume,
capacidade inicial e comport ament o diant e de variações de
t emperat ura;
- T ranscept or – Responsável pela comunicação sem fio;
- Sensores – Convert em grandezas do ambient e, como t emperat ura,
pressão e out ras, em grandezas elét ricas a serem usadas pelos nós.
Esses element os serão aqui apresent ados visando det alhar as limit ações
que devem exist ir nas aplicações para RSSF . Essas limit ações são
ext remament e relevant es para a definição de soluções de segurança, pois essas
soluções devem ser capazes de execut ar no hardware disponível nos sensores.
!%!
&
Vários microcont roladores t êm sido propost os para serem ut ilizados nos nós
sensores. As propost as de microcont roladores devem at ender aos requisit os
acima mencionados relat ivos a baixo consumo e cust o. Os principais
microcont roladores ut ilizados nas propost as de nós sensores exist ent es est ão
most rados na T abela 2.1.
T a b e la 2 . 1 - M ic ro c o n t ro la d o re s c o m e rc iais u sa d o s e m n ó s se n so re s
Microcont rolador P alavra F reqüência Memória de
programa
Memória
RAM
F abricant e
AT Mega 128 [11] 8 bit s 8 MHz 128 K 4 Kbyt es At mel
AT Mega 8535 [12] 8 bit s 8 MHz 8 K 512 byt es At mel
MSP 430x149 [13] 16 bit s 1 MHz 60 K 4 Kbyt es T exas
T odos esses microcont roladores apresent am consumo de energia muit o
baixo, sendo conhecidos como u lt r a low -pow e r. A memória de programa é
especificada em número de inst ruções e não em byt es, uma vez que cada
microcont rolador possui t amanho específico para sua inst rução.
Est e t rabalho leva em consideração apenas os nós sensores que ut ilizam
os microcont roladores acima mencionados, ou out ros equivalent es em preço e
consideradas soluções propost as para out ros t ipos de nós sensores. O mot ivo
para est a escolha recai sobre as aplicações previst as para as RSSF , suas
caract eríst icas e funcionalidades, conforme mencionado acima.
O hardware simplificado desses microcont roladores cont a com um
conjunt o reduzido de inst ruções. Dent re os microcont roladores apresent ados,
apenas o MSP cont a com mult iplicador. Essas limit ações influem diret ament e
no t empo necessário para processar os algorit mos cript ográficos que serão
usados nesse t rabalho.
!%!
(
) "
T inyOS [14] é um sist ema operacional dirigido a event os para RSSF . T em
sido amplament e ut ilizado graças às suas exigências mínimas de hardware,
podendo facilment e ser execut ado em microcont roladores de oit o bit s e
ocupando poucos kilobyt es de código.
O projet o do T iny OS é baseado na simplicidade e define: um prot ocolo
de rot eament o, descrit o na seção 2.5.4, baseado em uma árvore geradora; um
t amanho máximo de pacot e de 36 byt es, conforme a T abela 2.2, e
endereçament o com uso dois byt es. A T abela 2.2 most ra o format o do pacot e
enviado pelo T iny OS para disseminação de dados e mensagens de cont role.
T a b e la 2 .2 - C a m p o s d o p a c o t e d o T in y O S
Field Length
Destination ID 2 bytes
Active message handler 1 byte
Group ID 1 byte
Data length 1 byte
Data 29 bytes (max)
CRC 2 bytes
Um suplement o ao T inyOS foi propost o por Karlof e t a l. [6], chamado
T inySec, incluindo rot inas de cript ografia para encript ação e assinat ura das
mensagens. Esse t rabalho, porém, não cont empla a dist ribuição de chaves, que
deve ser implement ada de alguma forma pra viabilizar seu uso em RSSF . Est a
t ese apresent a uma propost a de dist ribuição de chaves adequada para o uso
!%!% *+
,
At endendo aos requisit os propost os para RSSF , alguns nós foram desenvolvidos
e propost os comercialment e ou para experiment os cient íficos e t ecnológicos.
Alguns deles serão most rados nest a seção.
M o t e s
Desenvolvidos pela Universidade de Berkeley, os nós sensores conhecidos
como Mot es foram propost os especificament e para RSSF . São encont rados em
diversos t amanhos e capacidades, ent re eles, os pioneiros: Macro Mot es e Rene
Mot es. Alguns já est ão disponíveis comercialment e, como o nó Mica Mot es.
As versões comerciais mais recent es disponíveis são:
- Mica2 Mot es: Nó sensor que ut iliza duas bat erias AA, com duração
de at é um ano em modo sleep, nas freqüências 433, 869 e 916 MHz,
em rádio mult ifreqüência, microcont rolador At mel At mega 128L
[11], dimensões de 58 x 32 x 7 mm, excluindo o compart iment o das
bat erias e largura de banda de 38,4 Kbaud;
- Mica2Dot Mot es: Nó sensor com as mesmas caract eríst icas do Mica2,
excet o pelo t amanho reduzido, em forma de moeda, com 25 mm de
diâmet ro e 6 mm de alt ura.
S m art D u s t
Out ro exemplo de nó sensor est á sendo desenvolvido t ambém pela Universidade
de Berkeley sob o nome Smart Dust [15]. O objet ivo é desenvolver um nó sensor
cujo volume não ult rapasse 1 mm3. O desenvolviment o at ual do projet o já cont a
com um sensor de 100 mm3 cujas caract eríst icas são:
- CP U 8-bit s, 4MHz, AT 90LS8535
- Rádio de Comunicação de 916 MHz
- Largura de banda de 10 kbps
- Sist ema Operacional T iny OS
- Espaço ocupado pelo SO: 3500 inst ruções
E Y E S
O nó sensor desenvolvido pela Universit y of T went e [16], Holanda, no
projet o conhecido como Eyes, cont a com as seguint es caract eríst icas:
- Microcont rolador MSP 430x149 da T exas Inst rument s, com 1MHz,
memória RAM de 2kbyt es e memória de programa de 60 K
inst ruções;
- Rádio T R1001, operando na freqüência de 868.35 MHz;
- Bat eria de lít io e dióxido de manganês, com capacidade para operar
em modo at ivo por 2,7 dias;
- Largura de banda de 115,2 Kbps.
T m o t e S k y
O nó T mot e Sky [17], desenvolvido e comercializado pela empresa M ot e i v
C or por a t i on, criada por ex-alunos da Universidade de Berkeley, cont a com as seguint es caract eríst icas:
- Microcont rolador MSP 430 da T exas Inst rument s, com 8MHz,
memória RAM de 10 kbyt es e memória de programa de 48 K
inst ruções;
- Comunicação compat ível com o padrão IEEE 802.15.4, at ravés de
t r a n s ce i v e r fabricado pela Chipcon, com largura de banda de 250 kbps;
- Sensores de humidade, t emperat ura e luz int egrados.
Durant e o desenvolviment o dest a t ese, alguns nós Mot es Mica2 e T mot es
Sky est iveram disponíveis para implement ação e t est es. As soluções aqui
apresent adas foram implement adas e t est adas nesses nós usando o sist ema
operacional T iny OS.
" %
O dinamismo das RSSF exige que est as se organizem de forma
aut omát ica. A aut oconfiguração é uma função da rede que permit e a
manut enção dos seus serviços em caso de perdas de nós, bem como a agregação
de novos nós, aument ando assim a densidade da rede e a disponibilidade dos
A aut oconfiguração t ambém é uma função de RSSF est acionárias, pois
essas redes t ambém permit em algum dinamismo. P ara ent ender o dinamismo é
necessário conhecer as et apas de funcionament o de uma RSSF :
1. Os nós sensores podem ser deposit ados manualment e, em locais
previament e det erminados ou serem lançados, como no caso de
lançament o por avião. Nesse caso, sua disposição na rede deve seguir
um modelo probabilíst ico;
2. Após a deposição dos nós sensores, eles devem descobrir informações
sobre sua localização, como quais são os nós vizinhos, alcançáveis
at ravés da comunicação de rádio, e det erminar os parâmet ros
necessários para seu funcionament o, incluindo as rot as para o fluxo
de pacot es ent re os nós sensores e a est ação base;
3. Durant e o funcionament o normal da rede, as bat erias dos nós
sensores vão se exaurindo, de forma que alguns nós param de
funcionar. A densidade de nós sensores vai diminuindo e novas
et apas de reconfiguração devem ocorrer periodicament e. Nós
sensores responsáveis pelo rot eament o t endem a exaurir sua bat eria
mais rapidament e;
4. Nós sensores podem ser adicionados at ravés de novos lançament os.
Novas et apas de reconfiguração devem acont ecer, para permit ir a
int egração dest es novos sensores à rede.
Durant e o funcionament o da rede, a inserção de novos nós pode ser feit a,
especialment e para aument ar a densidade da rede possivelment e afet ada pela
perda de nós por t érmino da carga da bat eria.
Qualquer propost a para RSSF deve considerar a possibilidade de
aut oconfiguração em t odas as fases descrit as acima. O projet o de segurança
deve, ainda, considerar a possibilidade de int egração de novos nós, bem como a
reconfiguração em caso de falhas. Caso não sejam consideradas t odas as fases da
rede, est a pode t er suas funcionalidades ou t empo de vida reduzido ou ainda, o
invasor pode se aproveit ar de uma possibilidade não cobert a pelos mecanismos
&
#
O objet ivo de aument ar a longevidade de uma rede de sensores pela via da
economia de energia obriga o uso de um modelo simples e funcional para a rede.
Na arquit et ura de comunicação de uma RSSF são suport adas at é cinco
camadas: aplicação, t ransport e, rede, enlace e física.
Est a seção apresent a as principais propost as para as camadas física,
enlace e rede. Ist o se dá porque o objet ivo dest e t rabalho é desenvolver
mecanismos de segurança para redes de sensores sem fio e t odas as propost as
aqui apresent adas ut ilizam apenas as camadas inferiores do modelo de rede.
T ambém será apresent ada nest a seção a funcionalidade de aut oconfiguração,
que permit e que a rede inicie sua operação em ambient es onde não é possível a
int ervenção humana.
O est udo de segurança envolve um est udo apurado do modelo de rede
ut ilizado, com vist as a ident ificar possíveis pont os de falhas e garant ir a
segurança em cada camada.
!-!
$
A camada física é const it uída por um meio sem fio, ut ilizando um
t ranscept or e possivelment e uma ant ena, com as opções:
- Ópt ica (laser), ou LED infravermelho, que t em como vant agem o
baixo consumo e como desvant agem a necessidade de visibilidade
diret a para t ransmissão de dados; e
- Rádio-freqüência: algumas faixas de freqüências est ão disponíveis,
ent re elas 315, 433, 869, 915 e 2400 MHz. Est as freqüências são
reservadas para uso médico, privat ivo e pesquisas, ou para
disposit ivos de curt o alcance.
Alguns t r a n ce i v e r s, como o CC1000 [18], possuem capacidade de variar
o alcance de t ransmissão em função da energia gast a para t ransmit ir. Est e
aspect o é especialment e int eressant e para alguns algorit mos de rot eament o.
Nesse t ipo de disposit ivo são oferecidas 30 possibilidades de configuração de