Sicherheit in Ad-hoc-Netzwerken

Transkript

1 Sicherheit in Ad-hoc-Netzwerken Seminarausarbeitung von David Wagner Vortrag am 9. April 2002

2 Inhaltsverzeichnis: 1. Einführung Sicherheitsanforderungen Besondere Herausforderungen Weitere Darstellung und grundlegende Ideen Sicheres Routing Routing-Protokolle für Ad-hoc-Netzwerke Proaktive Routing-Protokolle Reaktive Routing-Protokolle Dynamic Source Routing (DSR) Hybride Routing-Protokolle Schadensbegrenzung bei Routing-Ausfällen Der Watchdog Der Pathrater Simulation und Ergebnisse Der Durchsatz Der Routing Overhead eigene Bewertung, Ideen Stimulierung der Kooperation in selbst-organisierten Mobilen Ad-hoc-Netzwerken durch eine virtuelle Währung: Nuglets Das Packet Purse Model (PPM) PPM mit fester Weiterleitungspauschale PPM mit Auktionen Das Packet Trade Model (PTM) Das Hybrid-Modell Der Schutz der Nuglets gegen Fälschung, Missbrauch und Mehrfachnutzung (PPM) Voraussetzungen Format des PP-Headers und des PP-Acknowledgements Das Weiterleitungs-Protokoll Bewertung Sicherheitssysteme Emulation einer Zertifizierungsautorität über einen verteilten Schlüssel und Schwellwert- Kryptographie Key Agreement Selbstorganisierende Public-Key-Infrastruktur Fazit Quellen...20 II

3 1. Einführung Ad-hoc-Netzwerke sind eine neue Herausforderung der drahtlosen Kommunikation zwischen mobilen Geräten. Diese Geräte werden in einem Ad-hoc-Netzwerk Knoten genannt. In den meisten Fällen geht man davon aus, dass in einem Ad-hoc-Netzwerk keine feste Infrastruktur wie die Basisstationen und Mobile Switching Centers in den GSM-Netzen und auch keine zentrale Verwaltung existiert. Daher müssen alle Dienste für die Funktion des Netzwerks von den Knoten selbst erbracht werden und die Funktion des gesamten Netzwerks hängt sehr von dem kooperativen Verhalten eines jeden Knotens ab. Dabei kommunizieren Knoten, die direkt in der Reichweite der drahtlosen Funkschnittstelle liegen, direkt über die drahtlose Verbindung, während weiter entfernte Knoten mittels anderer Knoten erreicht werden, die die Nachrichten als Router weiterleiten. Die Mobilität der Knoten eines solchen Ad-hoc- Netzwerkes bedingt eine teilweise hohe Änderungsgeschwindigkeit der Topologie des Netzes. Abb. 1: Die Grafik zeigt ein Beispiel: im Zustand a sind die Knoten B, C, D und E von Knoten A aus erreichbar, und zwar B und C über eine direkte drahtlose Verbindung, D und E nur über eine von B bzw. C vermittelte Verbindung. Bewegt sich Knoten C wie in b dargestellt aus der Funkreichweite von Knoten A heraus, so geht die (direkte) Verbindung zwischen A und C verloren. Trotzdem ist das Netzwerk immer noch verbunden, A kann C über B, D und E erreichen. Die Anwendungen solcher Ad-hoc-Netzwerke liegen bisher zum größten Teil im militärischen Bereich: im Feld sollen über solche Netzwerke verschiedene militärische Einheiten, die mit entsprechenden Geräten ausgerüstet sind, insbesondere mit taktischen Informationen versorgt und koordiniert werden. In diesem Falle haben alle Knoten des Netzwerks ein gemeinsames Ziel, möglicherweise mit Ausnahme einiger weniger feindlich übernommener Knoten. Die Knoten haben also im Allgemeinen ein Interesse, zu kooperieren. Bei einer militärischen Anwendung ist es essentiell, dass bei der Kommunikation die Position und Rolle der einzelnen Knoten vertraulich bleiben. Andererseits gibt es auch vielfältige Ideen in anderen Bereichen. Sie reichen vom Einsatz in Katastrophenschutz, Rettungseinsätzen, Einsätzen (verschiedener Behörden) zur inneren Sicherheit bis zu Szenarien von riesigen, auch flächig weit ausgedehnten Netzen sogenannter Terminodes. Diese Geräte sind gleichzeitig Netzwerkknoten als auch Terminal, daher der Name. Diese Geräte sollen im Zuge des technologischen Fortschritts für jeden erreichbare und bezahlbare persönliche batteriebetriebene Geräte sein, die untereinander paketorientiert drahtlos über lizenzfreie Frequenzen kommunizieren. Diese Netze können daher eine Größe von mehreren Millionen Knoten und eine sehr lange Lebensdauer erreichen und sollen vollkommen unabhängig von fester Infrastruktur selbstorganisierend sein. Diese Terminodes können auch Bestandteil größerer Geräte mit vielfältigen Nutzen sein, z. B. können sie Teil von Autos sein. In einem solchen Fall haben die Knoten keinen gemeinsamen Eigentümer und kein gemeinsames Ziel. Sie haben keine direkte Motivation zur Kooperation. Im Gegenteil: das Angebot von Diensten für andere Knoten bringt keinen direkten Vorteil, kostet aber wertvolle (Batterie - )Energie, Bandbreite und Rechenzeit. Verschwenden Knoten ihre wertvolle Energie nicht zu Gunsten anderer Knoten, so hat ein solches egoistisches Verhalten fatale Effekte auf die Funktionsfähigkeit des Netzwerks: 1

4 Abb. 2: In dieser Grafik sind die Ergebnisse einer Simulation dargestellt, in der die Abhängigkeit des Netzwerkdurchsatzes von dem Anteil der nicht-kooperierenden Knoten, die nur Pakete nicht weiterleiten, untersucht wurde. Die unterschiedlichen Graphen gehören zu Netzen unterschiedlicher Größe (100, 200, 300 und 400 Knoten) aber gleicher Knotendichte und zeigen, dass der Netzdurchsatz dramatisch einbricht, je mehr Knoten den Dienst für den anderen verweigern, und dass große Netze anfälliger für eine solche Störung sind als kleinere. In einem solchen großen, zivilen Netz mit vielen einzelnen Parteien ist es meist auch nicht wichtig, die Position einzelner Knoten geheim zu halten, andererseits gilt es aber, die Kommunikation und die Privatsphäre der einzelnen Knoten und Benutzer gegen Lauschangriffe zu schützen. Man sieht, dass diese verschiedenen Zwecke auch unterschiedliche Anforderungen an das zugrundeliegende Netzwerk und insbesondere seine Sicherheit stellen. Es lassen sich aber einige Grundanforderungen festmachen, die in unterschiedlicher Gewic htung je nach Einsatzgebiet eine Rolle spielen. 1.2 Sicherheitsanforderungen Verfügbarkeit (availability) garantiert die Nutzbarkeit des Netzes bzw. einzelner Dienste gegen Denial-of-Service-Attacken. Hier sind drahtlose Netze per se sehr empfindlich, da die Nachrichten auf der physikalischen Ebene durch Störsignale zerstört werden können, wobei der Angriff in einem geographisch großen Raum gleichermaßen möglich ist. Des weiteren ist ein Angriff auf den höheren Ebenen möglich: Auf der Netzwerk-Ebene ist insbesondere ein Angriff über das Routing-Protokoll denkbar, um das Netzwerk zu partitionieren bzw. einzelnen Knoten vom Netzwerk zu trennen. Auch auf den höheren Ebenen sind natürlich DoS- Angriffe denkbar, aber die meisten sind nicht spezifisch für Ad-hoc-Netzwerke. Im Bereich der drahtlosen Netzwerke spielt Verschlüsselung eine besonders wichtige Rolle, da Kommunikation einfach mitgehört werden kann. Daher ist eine hohe Verfügbarkeit gerades des Schlüsselmanagement-Dienstes besonders wichtig. Vertraulichkeit (confidentiality) gewährleistet, dass bestimmte Informationen nicht an nicht autorisierte Knoten oder Personen gelangen können. Dies betrifft natürlich insbesondere militärische Anwendungen, bei denen strategische oder taktische Informationen keinesfalls in feindliche Hand geraten darf. Dies betrifft unter Umständen auch Routing-Informationen, insofern als aus ihnen direkt oder indirekt Rückschlüsse auf die Standorte von Knoten und damit Zielen im Schlachtfeld möglich sind. Integrität (integrity) von Nachrichten garantiert, dass der Empfänger die Information erhält, die der Sender gesendet hat, unabhängig von Störungen auf der Funkschnittstelle oder Angriffe auf das Netzwerk. Authentizität (authentication) ermöglicht es einem Knoten, die Identität des Kommunikationspartners feststellen bzw. zu garantieren. Ohne eine solche Authentifizierung könnte sich 2

5 ein Angreifer für einen anderen Knoten ausgeben und dadurch das Netzwerk stören und außerdem Zugang zu vertraulichen Daten erhalten. Nichtablehnung oder eindeutige Zuordnung (non-repudiation) ermöglicht die fälschungssichere, eindeutige Zuordnung einer Nachricht zu einem Sender. Dadurch sind die Identifikation und Isolation eines kompromittierten Knoten möglich. Außerdem wird so eine Verbreitung solcher Informationen ermöglicht: erhält A eine fehlerhafte Nachricht von B, so kann A andere Knoten anhand dieser eindeutig von B stammenden Nachricht davon überzeugen, dass B kompromittiert ist. 1.2 Besondere Herausforderungen In den betrachteten Ad-hoc-Netzwerken ergeben sich beim Anstreben dieser Ziele besondere Herausforderungen und Angriffspunkte: Erstens macht die Nutzung einer Funkschnittstelle ein solches Netz anfällig für Angriffe auf der Verbindungsebene, wie schon oben angedeutet. Diese Attacken reichen von bloßem Lauschen bis zu aktiver Imitierung, Nachrichtenwiederholung und Nachrichtenverfälschung. Dabei können Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und die eindeutige Zuordnung verletzt werden. Zweitens können Knoten, die meist nur über einen relativ schwachen physikalisch/mechanischen Schutz verfügen, in einer feindlichen Umgebung, zum Beispiel auf dem Schlachtfeld im militärischen Einsatz, mit einer nicht vernachlässigbaren Wahrscheinlichkeit kompromittiert werden. Daher besteht immer die Gefahr, dass die vertraulichen Daten und Schlüssel eines einzelnen Knoten in die Hand des Gegners gerät und man daher nicht nur Angriffe von außerhalb des Netzes sondern auch von innen in Betracht ziehen muss. Daher sollte ein Ad-hoc-Netzwerk eine verteilte Architektur ohne zentrale Einrichtungen besitzen. Die Einführung einer zentralen Einrichtung in einem Ad-hoc-Netzwerk würde zu einer signifikanten Verletzbarkeit an dieser Stelle führen, da eine Kompromittierung dieser Einric h- tung die Sicherheit des gesamten Netzwerks unterlaufen würde. Drittens ist ein Ad-hoc-Netzwerk dynamisch, da sich laufend die Topologie und auch die Mitglie d- schaft einzelner Knoten aufgrund der Mobilität der Knoten ändert. Es ändern sich sogar Vertrauensverhältnisse, wenn ein Knoten als kompromittiert erkannt wird, und die Verteilung administrativer Aufgaben. Dies unterscheidet ein solches Netz von anderen drahtlosen mobilen Netzen wie z.b. mobile IP. Daher kann auch eine statische Sicherheitslösung nicht überzeugen, im Gegenteil ist ein Sicherheitsmechanismus gesucht, der sich dynamisch und schnell an solche Änderungen anpasst. Außerdem sollte diese Lösung skalierbar sein, und auch mit großen Ad-hoc-Netzwerken funktionieren, da ein Ad-hoc-Netzwerk je nach Zielsetzung auch aus mehreren Hunderten, Tausenden oder sogar Millionen von Knoten bestehen kann. 1.3 Weitere Darstellung und grundlegende Ideen Bei genauerer Betrachtung ergeben sich zwei grundlegende Probleme, die je nach Einsatzbereich unterschiedlich gewichtet und auch unterschiedlich gelöst werden müssen: Erstens die grundlegende Funktion des Netzwerks, das heißt insbesondere das Routing: es ist entscheidend für fast alle Paketübermittlungen und gleichzeitig sehr anfällig. Hier können sowohl aktiv die Routing-Tabellen, falls vorhanden, verfälscht werden, als auch passiv durch einfache Nicht- Weiterleitung von Paketen Schäden angerichtet werden. Dabei muss man sowohl den Durchsatzabfall betrachten, aber auch die höhere Latenz sowie die größere Gefahr der Partitionierung des Netzes. Dazu muss man allerdings auch die Routing-Algorithmen in Ad-hoc-Netzwerken zumindest oberflächlich betrachten. (Abschnitt 2.1) Geht man von einem Netz kooperativer Geräte mit einzelnen kompromittierten Knoten aus, wie man es im Falle einer militärischen Anwendung erwarten kann, so zeigt sich, dass die gängigen Routing- Protokolle einen Ausfall eines Knotens durch die Nutzung alternativer Routen kompensieren, als ob die Routing-Informationen veraltet wären und der betreffende Knoten seine Position gewechselt hätte. Andererseits kann man den Durchsatz eines Ad-hoc-Netzwerks mit einigen kompromittierten Knoten durch Ergänzungen zu bestehenden Routing-Protokollen signifikant steigern. (Abschnitt 2.2) Im Falle eines nicht-militärischen, privaten Netzwerks kommt hinzu, dass kein Knoten bzw. sein Nutzer ein direktes Interesse daran hat, Pakete für andere Knoten weiterzuleiten und dabei Bandbreite und insbesondere Energie bereitzustellen, die wegen des Batteriebetriebs knapp und wertvoll ist. Hier muss man für Knoten einen Anreiz schaffen, der den indirekten Nutzen eines kooperativen Verhaltens im 3

6 Netz in einen direkten Nutzen umsetzt. Vorgeschlagen wurde in diesem Bereich der Einsatz einer Art Währung, mit dem Weiterleiten von Nachrichten belohnt wird bzw. bezahlt werden muss. Damit ergeben sich selbstverständlich neue Anforderungen: diese Währung muss in gewissem Sinne fälschungssicher sein, ihr Gebrauch muss unverzichtbar, aber fair sein. Die vorgeschlagenen Systeme werden in Abschnitt 2.3 näher vorgestellt. Zweitens die Sicherheit des Netzwerks, genauer der Schlüsselmanagement-Dienst: er ermöglicht erst Vertraulichkeit, Integrität, Authentizität und eine eindeutige Zuordnung der Nachrichten. Dieses Thema werde ich nur knapp behandeln. 2 Sicheres Routing Die spezielle Natur der Ad-hoc-Netzwerke macht auch ganz neue Routing-Mechanismen erforderlich: Wie bereits gezeigt, müssen auch Knoten, mit denen nicht direkt kommuniziert werden kann, erreicht werden können, und das bei unsicheren Übertragungsbedingungen und einer sich rasch, und aus Sicht des einzelnen Knotens einer sich planlos ändernden Topologie. Da den Routing-Mechanismen hier eine so große Bedeutung zukommt, ist ein Netz an dieser Stelle auch sehr angreifbar für böswillige Angreifer von außen bzw. verletzlich gegen egoistische Nutzer, die keine Pakete weiterleiten, oder auch gegen kompromittierte Knoten von innen. Um ein sicher funktionierendes Routing zu gewährleisten, gibt es verschiedene Möglichke iten: Erstens kann man für Routing nur auf bekannte Knoten zurückgreifen, zu denen eine Vertrauensbeziehung besteht. Diese muss allerdings a priori, außerhalb des Netzwerks aufgebaut werden. In manchen Anwendungen ist dies per se der Fall, z.b. bei militärischen Anwendungen. Dennoch hat dieses Verfahren Nachteile: erstens müssen Schlüssel ausgetauscht und jede Routing-Kommunikation verschlüsselt werden. Dies ist unter Umständen sowieso gewünscht. Aber auch funktionierende Knoten können zweitens überlastet, drittens defekt oder viertens kompromittiert sein. Dann ergibt sich die Aufgabe, solche Knoten zu erkennen und von Knoten, die (unwissentlich) veraltete Informationen über die Topologie des Netzes geliefert haben, zu unterscheiden. Diese Aufgabe ist in einem Ad-hoc-Netzwerk fast nicht lösbar, es ble iben sehr viele unentscheidbare Fälle. Andererseits sind alle Routing- Algorithmen für Ad-hoc-Netzwerke so aufgebaut, dass sie mit veralteten, nicht (mehr) zutreffenden Informationen umgehen können: manche suchen daraufhin eine neue Route, andere speichern per se mehrere Alternativen, die nacheinander gewählt werden, bis eine Übertragung erfolgreich ist. Insofern können falsche Routing-Informationen wie veraltete Routing-Informationen betrachtet werden. So lange noch ausreichend viele verlässliche Knoten im Netzwerk vorhanden sind, werden die Routing- Protokolle einen Ausweg finden. Ein anderer Ansatz ist das sogenannte diversity coding, bei dem direkt alle verfügbaren Verbindungen zum Ziel gleichzeitig genutzt werden, um Informationen, angereichert mit Redundanzdaten, zu übertragen. Selbst wenn ein Pfad oder auch wenige Pfade versagen und die gesendeten Daten nicht das Ziel erreichen, so genügen die erhaltenen Daten im Normalfalle, um die Information zu rekonstruieren. Gegen ein Routing nur über ausgewählte, vertraute Knoten spricht auch, dass möglicherweise auch nicht per se vertrauenswürdige Knoten diese Aufgabe erfüllen könnten und die Leistung des Netzwerks steigern könnten. Zweitens könnte man das Routing-Protokoll anpassen, so dass fehlverhaltende Knoten erkannt und ausgeschlossen würden. Es wäre allerdings fragwürdig, ein grundlegendes Netzwerkprotokoll mit solch aufwendigen Mechanismen auszustatten. Die bestehenden Protokolle enthalten keine Schutzmechanismen gegen böswillige Attacken, sie setzen sogar voraus, dass jeder Knoten, der Pakete empfängt, auch Pakete weiterleitet. Drittens kann man existierende Routing-Protokolle erweitern und vielleicht minimal anpassen, um solche fehlerhaften Knoten zu erkennen und zu umgehen und dadurch den Durchsatz zu steigern. Im Abschnitt 2.2 stelle ich ein System vor, bei dem das Routing-Protokoll DSR um 2 Komponenten erweitert wird, die die anderen Knoten dynamisch bewerten und das Routing anpassen. Viertens kann man ein besseres Routing erreichen, indem man Anreize schafft, Pakete weiterzuleiten. Dies spielt natürlich in einem militärisch genutzten Netz keine Rolle, da alle Knoten das gleiche Ziel haben, in einem zivilen Netz von privaten Nutzern aber wohl eine vorrangige. 4

7 2.1 Routing-Protokolle für Ad-hoc-Netzwerke Im Bereich der Ad-hoc-Netzwerke gibt keinen einzelnen Routing-Standard, sondern mehrere Familien von Protokollen, die teilweise für unterschiedliche Anforderungen konzipiert sind, teilweise aber auch direkt konkurrieren. Da die Leistungsfähigkeit eines Ad-hoc-Netzwerks direkt von der Leistungsfähigkeit des eingesetzten Routing-Protokolls abhängt, werde ich hier einen kurzen Überblick über die verschiedenen Protokolltypen geben Proaktive Routing-Protokolle Proaktive Routing-Protokolle sind verwandt mit den Routing-Protokollen, die in herkömmlichen drahtgebundenen Netzen eingesetzt werden. Man kann grundlegend zwei Typen unterscheiden: Distance Vector Routing: hier hält jeder Router die Distanz von sich zu allen möglichen Zielen aktuell, indem er regelmäßig alle ihm bekannten Router abfragt, um seine eigene Tabelle zu aktualisieren. Link State Routing: hier hält jeder Router ein komplettes Abbild der Netzwerktopologie aktuell, indem er die Kosten für die Verbindungen zu seinen Nachbarroutern regelmäßig an alle anderen Router im Netzwerk übermittelt. Zusätzlich wird von den genannten Protokollen jede Änderung der Topologie direkt an alle bekannten Router weitergesendet. Bei beiden Verfahren ermittelt der Router bei einer Routing-Anfrage direkt aus seiner eigenen Tabelle die optimale Route. Daher ist die Anfangsverzögerung einer Verbindung sehr klein, aber die Bandbreite, die benötigt wird, um die Routing-Informationen aktuell zu halten, ist sehr hoch und nimmt mit steigender Zahl der Router (in einem Ad-hoc-Netzwerk jeder Knoten!) und größerer Dynamik zu. Beispiele für proaktive Routing Protokolle sind Destination-Sequence Distance-Vector Routing (DSDV) Wireless Routing Protokoll (WRP) Reaktive Routing-Protokolle Im Gegensatz zu den proaktiven Protokollen finden reaktive Routing-Protokolle eine Route erst auf Anfrage. Wenn ein Sender eine Route erfragt, wird ein sogenannter Route Finder im Netzwerk gestartet. Wurde eine solche Verbindung gefunden, so wird sie vom Routing-Protokoll erhalten, bis das Ziel über keinen Weg mehr erreichbar ist, oder die Route nicht mehr benötigt wird. Der Vorteil der reaktiven Routing-Protokolle ist, dass sie nur eine geringe Netzlast erzeugen. Da aber die Routing-Informationen erst auf Anfrage gesammelt werden, kann die Verzögerung bis zur Nutzung sehr lang sein. Beispiele für reaktive Protokolle sind Dynamic Source Routing (DSR) Ad Hoc On Demand Distance Vector (AODV) Asssociativity-Base Routing (ABR) Die Funktionsweise von DSR werde ich kurz genauer erläutern, da das in Abschnitt 2.2 vorgestellte Verfahren auf diesem Routing-Protokoll basiert und dessen Leistung beeinflusst Dynamic Source Routing (DSR) DSR ist ein sogenanntes Quellen-Routing-Protokoll (source routing protocol), das heißt, jedes Paket bekommt direkt von der Quelle einen Routing-Pfad mit, der aus den Adressen aller Knoten besteht, die dieses Paket passieren soll. Der komplette Pfad wird von der Quelle festgelegt, ist ihr also in jeder Einzelheit bekannt. Als proaktives Protokoll wird eine Route zu einem Ziel erst dann festgelegt, wenn ein Paket an dieses Ziel gesendet werden soll und der Sender nicht zufällig schon eine Route kennt. Man kann DSR in zwei Hauptfunktionen unterteilen: die Routen-Findung und die Routen-Erhaltung. Bei der Suche eines Senders S nach einem Pfad zu einem bestimmten Knoten D sendet DSR erst ein Paket mit dieser Anfrage (ROUTE REQUEST) an alle Nachbarn. 5

8 Abb. 3: Diese hängen ihre Adresse an und senden das Paket ihrerseits an alle Nachbarn weiter. Jeder Knoten sendet das Paket seinerseits weiter, es sei denn, er hat diese Anfrage bereits auf einem anderen Weg erhalten und weitergesendet. Abb. 4: Kennt ein Knoten einen Pfad zum Ziel oder erreicht die Anfrage das Ziel, so sendet dieser Knoten eine Antwort (ROUTE REPLY) an die Quelle der Anfrage. Dies kann über den in der Anfrage festgehaltenen Weg geschehen oder über einen Weg, der seinerseits mit dem Routen-Findungs-Algorithmus festgelegt wird. Abb. 5: Da der Pfad nicht eindeutig sein muss, erhält die Quelle im Allgemeinen mehrere Antworten mit verschiedenen Routen zum Ziel. DSR wählt eine Route mit den wenigsten Stationen aus und speichert auch die anderen für den Fall, dass diese erste Route ausfällt. Der Routen-Erhaltungsalgorithmus sorgt dafür, dass Knoten auf einem solchen Pfad die Quelle informieren (mittels ROUTE ERROR Nachricht), falls der nächste Knoten nicht mehr erreichbar ist. Der Quellknoten wählt dann eine Alternativroute aus oder, falls keine Alternativroute mehr gespeichert ist, startet eine neue Pfad-Suche. Damit erzeugt dieses Routing-Protokoll als proaktives Protokoll wenig Overhead und als Quellen- Routing-Protokoll kennt die Quelle den genauen Pfad, den ihre Pakete zurücklegen (sollten) Hybride Routing-Protokolle Diese Protokolle stellen einen Kompromiss zwischen proaktiven und reaktiven Protokollen dar: die einzelnen Knoten unterhalten Routing-Informationen über eine kleine und klar abgegrenzte Zone, zeigen also in diesem Bereich proaktives Verhalten. Routen zu Knoten, die nicht in dieser Zone liegen, werden wie mit einem reaktiven Protokoll erst auf Anfrage hin aufgebaut. Diese Protokolle gewährleisten eine kleine Latenz bei Kommunikation mit benachbarten Knoten, generieren aber nicht wesentlich mehr Netzlast als die reaktiven Protokolle. Beispiele sind: 6

9 Temporally Ordered Routing Algorithm (TORA) Zone Routing Protocol (ZRP) 2.2 Schadensbegrenzung bei Routing-Ausfällen Hier werden zwei Techniken beschrieben, in einem Ad-hoc-Netzwerk den Schaden, den Knoten bewirken, die keine Pakete weiterleiten, dies aber tun sollten, zu begrenzen und den Durchsatz im Vergleich zu Standard-Routing zu verbessern. Dabei identifiziert ein sogenannter watchdog solche (manipulierten) nicht-standard-konforme Knoten durch Lauschen an seiner Funkschnittstelle und ein pathrater verändert das Routing dahingehend, diese Knoten zu umgehen und die Leistung des Netzes zu steigern. Im folgenden gehe ich auch von diesen Annahmen aus: Die Verbindungen zwischen den Knoten sind bidirektional und symmetrisch. Dies ist für das Lauschen des Watchdogs erforderlich, aber auch in den meisten Funknetzen gegeben. Das Senden erfolgt ungerichtet, also in alle Richtungen gleichermaßen, und die Schnittstelle muss einen Abhör-Modus bieten, so dass auch Nachrichten an andere Knoten empfangen werden, falls man sich in Reichweite des Senders befindet. Das eingesetzte Routing-Protokoll ist DSR. (Die vorgestellten Algorithmen setzen auf DSR auf, können allerdings begrenzt auch an andere Routing-Protokolle angepasst werden.) Der Watchdog Der Watchdog-Algorithmus soll Knoten aufspüren, die sich zwar während der Routen-Suche in die Routen eintragen, Pakete dann aber doch nicht weiterleiten. Die Idee ist einfach: der Algorithmus lauscht an der Funkschnittste lle des Knotens auf Pakete, die nicht an den Knoten selbst gerichtet sind. Unter den gegebenen Voraussetzungen hört er kurz nach dem Weiterleiten eines Paketes, wie die nächste Station dieses Paket weiterleitet. Abb. 6: Beispiel: Soll ein Paket auf dem Weg von S nach D von A über B zu C weitergeleitet werden, so kann zwar A das Paket nicht direkt zu C senden, empfängt aber im Normalfall von B gesendeten Nachric h- ten (gepunktete Linie), also auch die an C weitergeleitete Nachricht (durchgezogene Linie). Das heißt, A kann meist kontrollieren, ob B die Nachricht wirklich weiterleitet. Falls nicht jede einzelne Verbindung verschlüsselt ist, was sehr aufwendig und daher nicht üblich ist, kann A sogar überprüfen, ob B die Nachricht oder den Header unzulässig verändert hat. Diese Überwachung wird mit Hilfe eines Puffers von kürzlich gesendeten Paketen und Fehlerzählern für die benachbarten Knoten realisiert. Jede empfangene Nachricht wird mit den Paketen im Puffer verglichen: handelt es sich um ein kürzlich weitergeleitetes Paket, wird der Eintrag im Puffer gelöscht, da es anscheinend weitergeleitet wurde. Verbleibt ein Paket länger als eine bestimmte Zeit im Puffer, so wird der Fehlerzähler des für die Weiterleitung dieses Paketes verantwortliches Knotens erhöht. Wenn der Fehlerstand eine gewisse Schwellbandbreite erreicht, stellt der Algorithmus fest, dass der Knoten Pakete nicht ordnungsgemäß weiterleitet und sendet eine Nachricht an die Quelle(n), um sie über diese Feststellung zu informieren. Dieses Watchdog-Verfahren hat Vorteile, aber auch unabdingbare Schwächen. Erstens kann der Watchdog die Nachbarknoten während einer Kollision nicht überwachen: Abb. 7: An einer solchen Kollision kann B mit der Weiterleitung des vom Watchdog nachverfolgten Paketes 1 beteiligt sein, dies muss dann aber nicht die erfolgreiche Übertragung an C verhindern, B kann aber auch mit der Übertragung eines anderen Paket oder gar nicht beteiligt sein. Zweitens kann der Watchdog nur erfahren, dass die Nachricht gesendet wurde, aber nicht, ob sie den nächsten Knoten auch erreicht hat: Abb. 8: Der Watchdog von A löscht den Eintrag für Paket 1 in seinem Puffer, wenn er hört, dass B versucht, dieses Paket an C zu senden, obwohl er nicht hören kann, ob dieses Paket C erreicht oder möglicherweise aufgrund einer Kollision verloren geht. B sollte dann die Übertragung wiederholen, dies wird 7

10 aber durch den Watchdog von A nicht mehr kontrolliert. B könnte sogar eine Kollision provozieren, indem er erst zu senden beginnt, wenn er eine andere Übe rtragung von C empfängt. Im ersten Falle spart der Knoten dadurch Energie, er verhält sich egoistisch. Im zweiten Falle allerdings kostet ihn sein Verhalten Energie, Bandbreite und Rechenzeit, ohne dass es ihm einen Vorteil bringt: dieses Verhalten ist kaum zu erwarten. Drittens könnte ein Knoten auch andere Knoten fälschlich eines Fehlverhaltens bezichtigen: dadurch könnte der Durchsatz gesenkt oder sogar das Netz partitioniert werden. Dieses Verhalten würde alle r- dings auffallen: berichtet A dem Sender S, dass B Pakete nicht weiterleitet, so dürfte A die Acknowledgements nicht weiterleiten, um den Schein zu wahren. Dies alle rdings würde Knoten B bemerken und dann dem Sender S melden. Da er das Fehlverhalten von A erkannt hat, würde B eine andere Route wählen, so dass die Nachricht S auch erreicht. Viertens könnte ein Gerät, das seine Sendeleistung kontrollieren kann, u.u. den Watchdog täuschen, indem es seine Leistung soweit reduziert, dass die Nachricht zwar den Vorgängerknoten, aber nicht den Nachfolger erreicht. Dies würde dem Knoten allerdings keinen echten Vorteil einbringen, da er Energie und Bandbreite verschwendet, nur um den Vorgängerknoten zu täuschen. Auch das entspricht nicht dem vorausgesetzten Umfeld, so dass dieser Fall nicht weiter betrachtet werden muss. Fünftens könnten mehrere Knoten sehr wohl der Kontrolle durch den Watchdog entgehen, wenn sie zusammenarbeiten: falls C Pakete verwirft, aber B dies nicht meldet, ist die Überwachung fehlgeschlagen. Aber auch dieses Verhalten ist im angedachten Umfeld von privaten Ad-hoc-Netzwerken, in denen i.a. jeder Knoten einen anderen Eigentümer hat, nicht zu erwarten. Sechstens können Knoten natürlich Pakete mit einer geringeren Rate als der Schwellrate des Watchdogs verwerfen. Allerdings könnte es dann passieren, dass der Watchdog aus den oben angegebenen Gründen die Übertragung nicht detektiert und der Fehlerzähler daher unter die Schwelle gerät. Zudem garantiert der Watchdog so zumindest indirekt eine gewisse Minimalbandbreite. Ich möchte hier bereits anmerken, dass ein solches Verhalten ebenso wie das oben beschriebene Nicht- Wiederholen des Sendens bei den beschriebenen Algorithmen keinen Sinn macht, da selbst eine generelle Verweigerung der Weiterleitung oder ein Fehlverhalten ohne negative Folgen für den Knoten bleibt. Um überwachen zu können, ob der nächste Knoten das Paket an den richtigen Knoten weiterleitet, muss der Watchdog die übernächste Station auf dem Pfad kennen. In dem beschriebenen Fall trifft dies immer zu, da diese Implementierung auf DSR aufsetzt und bei diesem Protokoll jedes Paket alle Stationen des Pfades enthält. Bei einem Hop-by-Hop-Routing-Protokoll, bei dem in jedem Knoten nur die Entscheidung getroffen wird, an wen die Nachricht weitergeleitet wird, hätte der Watchdog diese Information nicht und so könnte der nächste Knoten an einen nicht vorhanden Knoten senden, ohne dass der Watchdog Verdacht schöpfte. Natürlich wird dieses Problem durch den Einsatz eines Quellen-Routing-Protokolls elegant gelöst, dennoch muss man meiner Meinung nach auch hier die gle i- chen Argumente wie bei einer geplanten Kollision bei der nächsten Station gelten lassen: dieses Verhalten bringt dem störenden Knoten keinerlei Vorteil, es kostet ebenso Ressourcen wie eine ordnungsgemäße Weiterleitung. Da wir von einem zivilen Netz privater egoistischer Knoten ausgehen, ist dieses Verha lten nicht zu erwarten. Der Einsatz eines Quellen-Routing-Protokolls ist für den Einsatz des Pathrater allerdings nötig, damit er den genauen Pfad eines Pakets festlegen kann Der Pathrater Auch der Pathrater-Algorithmus läuft auf jedem Knoten des Netzwerks. Er nutzt die Informationen der Watchdogs um die Zuverlässigkeit eines Pfades zu bewerten und das Routing mit Hilfe dieser Bewertungen anzupassen. Dazu speichert er für jeden ihm bekannten Knoten eine Zuverlässigkeitsbewertung. Die Metrik eines Pfades ergibt sich dann als arithmetisches Mittel der Bewertungen der Knoten des Pfades. Wenn mehrere Pfade zu einem Ziel bekannt sind, wählt der Algorithmus den Pfad mit der höchsten Metrik, nicht den Pfad mit den wenigsten Schritten wie DSR. Hier sieht man, dass der Pathrater auf einem Quellen-Routing-Protokoll aufbauen muss, da er den ganzen Pfad bis Ziel festlegen soll. Die Wertung der einzelnen Knoten geschieht folgendermaßen: Die Zuverlässigkeit des eigenen Knotens bewertet der Pathrater mit 1. Lernt er einen neuen Knoten kennen, so erhält dieser die neutrale Wertung 0,5. Dies bewirkt, dass der Pathrater ohne weitere Informationen den kürzesten Pfad wählt. Die Wertung eines Knotens wird angepasst, solange Pakete über diesen Knoten geleitet werden, sonst bleibt die Wert unangetastet. Wenn Pakete erfolgreich über 8

11 einen Knoten geleitet werden, wird die Bewertung des Knotens alle 200ms um 0,01 erhöht, allerdings maximal bis 0,8.Wird während einer Übertragung die Verbindung unterbrochen, wird die Bewertung um 0,05 reduziert, bis maximal 0. Wird ein Knoten von einem Watchdog als Nicht-Weiterleitend gemeldet, erhält er eine stark negative Bewertung, z.b Dadurch bekommen Pfade mit einem oder mehreren als nicht funktionierend verdächtigten Knoten negative Bewertungen. Diese Pfade werden erst in letzter Instanz gewählt und mit einer Send Route Request (SRR) genannten Erweiterung versehen versucht der Pathrater sogar vorher noch durch eine Pfadsuche einen Alternativpfad zu finden. Erst wenn auch diese keine Alternativpfade findet, wird ein solcher Pfad genutzt. Da Knoten auch dann als fehlerhaft auffalle n, wenn sie kurzzeitig ausfallen oder überlastet sind, wäre es sinnvoll, die Bewertung langsam wieder zu erhöhen, um Knoten nicht endgültig auszusperren Simulation und Ergebnisse An der Stanford University wurden mit dem Berkeley Network Simulator (ns) und den CMU- Erweiterungen verschiedene Simulationen eines Netzes aus 50 Knoten auf einer 670x670m 2 Fläche durchgeführt. Es wurden 2 Bewegungsmuster simuliert, wobei sich die Knoten jeweils mit zufälliger, aber konstanter Geschwindigkeit von bis zu 20 m/s auf zufällige Ziele zu bewegten, dort je nach Simulation 0 oder 60 s pausierten, um dann wieder ein zufälliges Ziel anzusteuern. Während der Simulation wurden zehn Verbindungen konstanter Bitrate aufgebaut, wobei vier Knoten Quelle von zwei Strömen und zwei Knoten Quellen je eines Stroms waren, und acht Knoten je einen Strom empfangen und ein neunter zwei. Der Anteil der nicht-weiterleitenden Knoten wurde in 5%-Schritten zwischen 0% und 40% variiert, wobei jeweils die größeren Gruppen Obermengen der kleineren waren. Um den Effekt der beschriebenen Erweiterungen von DSR zu bestimmen, wurden die Simulationen mit verschiedenen Kombinationen der Erweiterungen zu DSR durchgeführt. Gemessen wurden der Durchsatz und der Anteil der Übertragungen, die dem Routing dienen: ROUTE REQUEST-, ROUTE REPLY-, ROUTE ERROR Nachrichten von DSR sowie WATCHDOG- Nachrichten. Es wurden Übertragungen und nicht Pakete gezählt, da ein einzelnes Route Request- Paket eine Kaskade von Übertragungen auslöst, die das Netz sehr belasten Der Durchsatz Abb. 9: Dargestellt ist der Durchsatz in Abhängigkeit von dem Anteil der nicht-weiterleitenden Knoten in Simulationen mit folgenden DSR-Konfigurationen: Keine Erweiterung als Referenz Einfacher Pathrater (PR) Einfacher Pathrater (PR) und Watchdog (WD) sowie Pathrater mit SRR-Funktion und Watchdog. Man sieht signifikante Unterschiede zwischen den einzelnen Protokoll-Versionen, wobei die Version mit allen drei Erweiterungen den besten Durchsatz erzielt. Wird die SRR-Funktion abgeschaltet, so ist die Durchsatzsteigerung nicht ganz so groß. Obwohl der Watchdog selbst keine Routingentscheidun- 9

12 gen trifft, so versorgt er doch den Pathrater mit wichtigen Informationen: wird der Watchdog deaktiviert, kann der Pathrater selbst keine fehlerhaften Knoten erkennen und beeinflusst den Durchsatz nicht signifikant Der Routing Overhead Abb. 10: Dargestellt ist der Overhead in Abhängigkeit von dem Anteil der nicht-weiterleitenden Knoten in Simulationen mit folgenden DSR-Konfigurationen: Keine Erweiterung als Referenz Watchdog (WD) Einfacher Pathrater (PR) und Watchdog (WD) sowie Pathrater mit SRR-Funktion und Watchdog. Man sieht, dass der Watchdog-Mechanismus im Vergleich zum DSR-Routing-Overhead nur geringen zusätzlichen Aufwand verursacht. Dieser ist auch so gering, dass er durch weitere fehlerhafte Knoten gar nicht merklich gesteigert wird. Die zusätzliche Aktivierung des Pathraters führt zu einer zwar messbaren aber immer noch kleinen Erhöhung des Overheads, da nun Pakete über sichere Umwege geleitet werden. Zu beachten ist, dass diese kleine Overhead von maximal 6 % den Durchsatz um 16 % steigert! Die Aktivierung der SRR-Funktion verursacht dagegen einen wesentlich höheren O- verhead, in Relation dazu steigert sie den Durchsatz aber nicht so effektiv eigene Bewertung, Ideen Meiner Meinung nach bietet sich das Verständnis der Bewertung als eine Zuverlässigkeitswahrscheinlichkeit an. So betrachtet ergeben sich viele Änderungsvorschläge: Die Watchdogs sollten für ihre Nachbarn einen alternde relative Häufigkeit für die Beobachtung einer Weiterleitung führen. Diese könnten sie in größeren, regelmäßigen Abständen an die Sender übermitteln. Falls eine bestimmte Schranke unterschritten wird, also der beobachtete Knoten anscheinend gar keine Pakete weiterleitet, sollte sofort eine Nachricht an die Quelle gesendet werden. Das Produkt der Zuverlässigkeitswahrscheinlichkeiten aller Knoten eines Pfades gibt die Zuverlässigkeitswahrscheinlichkeit des Pfades an. Der Pathrater kann nun den Pfad mit der höchsten Erfolgswahrscheinlichkeit auswählen. Man müsste zusätzlich einen Mechanismus schaffen, der durch eine langsame Erhöhung der Bewertungen dazu führt, dass auch zeitweilig als fehlerhaft erkannte Knoten wieder getestet werden. Eine andere, meiner Meinung nach elegantere, Methode wäre, die Pfadmetriken ebenfalls als Wahrscheinlichkeiten für die Auswahl des Pfades zu nutzen. Dies hätte den Vorteil, dass auch als sehr unzuverlässig bewertete Pfade von Zeit zu Zeit getestet würden. Dies könnte allerdings zu unvertretbar hohen Verlusten führen. 10

13 Denkbar wäre auch eine Mischform: mit einer hohen Wahrscheinlichkeit wird der Pfad mit der höchsten Metrik gewählt, mit einer entsprechend kleinen Wahrscheinlichkeit wird der Pfad aus allen möglichen Pfaden zufällig gewählt, wobei die Wahrscheinlichkeit der Auswahl eines Pfades proportional zu ihrer Bewertung ist. Eine Simulation wert wäre auch der Versuch, dieses System auf die lokale Nachbarschaft zu beschränken, dann aber zwei Wahrscheinlichkeiten pro Knoten zu verwalten: eine für die Zuverlässigkeit des Nachbarknoten selbst und eine für Routen, die über diesen Knoten führten. Dies würde das System auch mit Hop-by-Hop-Routing-Protokollen kompatibel machen. Generell wäre es wünschenswert, wenn die nicht-kooperativen Knoten einen Nachteil aus ihrem Verhalten hätten. Dies könnte dadurch geschehen, dass Pakete für solche Knoten nicht weitergeleitet werden. Dies würde allerdings DoS-Angriffe ermöglichen. In Kombination mit dem vorgeschlagenen Wahrscheinlichkeitsansatz könnte man die Wahrscheinlichkeit für die Weiterleitung eines Paketes proportional (z.b. Faktor 2, so dass Pakete für unbekannte Knoten weitergeleitet werden) zu der Zuverlässigkeitsbewertung der Quelle wählen. 2.3 Stimulierung der Kooperation in selbst-organisierten Mobilen Ad-hoc-Netzwerken durch eine virtuelle Währung: Nuglets In diesem Abschnitt wird ökonomischen Ansatz von Prof. Jean-Pierre Hubaux und seines Mitarbeiters Dr. Levente Buttyán vorgestellt, die Kooperation in einem Ad-hoc-Netzwerk durch eine virtuelle Währung zu gewährleisten, die sie Nuglet nennen, mit der Dienste bezahlt bzw. berechnet werden.. Über das zugrunde liegende Netzwerk werden folgende Annahmen gemacht: es handelt sich um ein ziviles, großes Netz sogenannter Terminodes Das Netzwerk ist komplett selbstorganisierend, es gibt keine feste Infrastruktur Im Allgemeinen gehört jeder Terminode einem anderen Nutzer mit eigenen Interessen. Der Nutzer hat volle Kontrolle über Hard- und Software seines Gerätes. Er kann also beides mutwillig verändern bzw. verändern lassen oder veränderte Geräte kaufen, um persönliche Vorteile zu erhalten, z.b. eine verlängerte Akkulaufzeit. Man geht aber davon aus, dass der Nutzer kein Interesse daran hat, die Protokolle der unteren Ebenen, genauer gesagt die der physical und der data link Ebene, zu verändern, da diese Protokolle für eine Nutzung des Netzwerks nötig sind. Eine Veränderung auf diesen Ebenen würde zwar das Netzwerk stören, dem Nutzer aber keine erkennbaren Vorteile bringen. Da diese Ebenen wie vorgesehen funktionieren, kann ein Knoten mit jedem Knoten in seiner Funkreichweite kommunizieren. Andererseits geht man davon aus, dass jede höhere Protokollebene inklusive der Netzwerkebene verändert werden kann. Bei Einsatz dieser virtuellen Währung kann jeder Knoten anhand von Batteriestand, Kontostand, Nugletbedarf, Energiebedarf für eine Übertragung zu einem nächsten Knoten und möglicherweise weiteren Faktoren eigenständig bestimmen, ab welchem Entgelt sich eine Weiterleitung für ihn lohnt. Insgesamt führen diese Annahmen zu einem Netzwerk, dessen Knoten egoistisch sind: sie nutzen zwar Dienste anderer Knoten, tendieren aber dazu, keine Dienste umsonst anzubieten. Man muss ihnen also einen Anreiz bieten, mit anderen Knoten zu kooperieren, also Dienste ohne direkten Vorteil anzubieten. Da Dienste im Netzwerk mit Nuglets bezahlt werden müssen und das Angebot von Diensten die einzige Möglichkeit für einen Terminode ist, Nuglets zu gewinnen, ist jetzt jeder Knoten daran interessiert, Nuglets zu verdienen bzw. zumindest einen gewissen Bestand von Nuglets zu erhalten. Da aber unter Umständen Nuglets im Netzwerk verloren gehen können, muss auf irgendeine Weise ein Ausgleich für diese Verluste geschaffen werden. Dies könnte dadurch geschehen, dass internationale Vertragsorganisationen Nuglets für Geld verkaufen. Dann könnten auch höhere Dienste wie der Übe r- gang in andere Netze oder Informationen mit Nuglets bezahlt werden, die dadurch allerdings wirklich Geld-äquivalente Bedeutung erhalten würden. Damit würde auch die Motivation für eine Manipulation dieses Systems wesentlich steigen. Die Einführung einer solchen Währung hätte aber auch noch einen weiteren Vorteil im Bereich Nachrichten-Weiterleitung: die Nutzer wären motiviert, ihr Gerät nicht auszuschalten oder auf bloße Empfangsbereitschaft zu schalten, um Nachrichten weiterleiten und damit Nuglets verdienen zu können. Außerdem würde ein solches System zu einer bewussten und moderaten Nutzung des Netzes führen, 11

14 wie es schon in den herkömmlichen Mobilkommunikationsnetzen (GSM-Netze mit fester Infrastruktur und zeit- oder volumenabhängigen Nutzungstarifen) funktioniert. Im folgenden wird sich der Fokus allein auf die Weiterleitung von Paketen in einem Terminodes- Netzwerk richten. Generell funktioniert dieses System auch mit anderen Routing-Algorithmen und lässt sich auf andere Dienste einfach erweitern. Es wurden 2 grundlegende Modelle entwickelt: Beim Packet Purse Model (PPM) zahlt der Sender des Pakets im Voraus, indem er eine virtuelle Geldbörse des Pakets mit einer von ihm gewählten Anzahl Nuglets auflädt, bevor er das Paket abschickt. Beim Paket Trade Model (PTM) wird ein Paket vom Empfänger im Nachhinein bezahlt, indem jede Station das Paket von der jeweils vorigen für einen von ihr gewählten Betrag abkauft. Beide Modelle haben Vor- und Nachteile, wie sich aus der folgenden genaueren Beschreibung ergibt, es ist aber auch eine Kombination aus beiden Modellen leicht denkbar. In jedem Falle muss der Handel mit Nuglets gut abgesichert sein, um Fälschungen und Missbrauch zu verhindern und eine Akzeptanz als Währung zu ermöglichen Das Packet Purse Model (PPM) In diesem Modell zahlt der Sender für die Weiterleitung des Pakets, indem er das Paket mit (seiner Schätzung nach) ausreichend vielen Nuglets auflädt. Jeder Knoten, der dieses Paket weiterleitet, nimmt sich aus der Börse des Pakets so viele Nuglets, dass seine Kosten für die Weiterleitung gedeckt sind. Falls die im Paket vorhandenen Nuglets nicht für eine Weiterleitung ausreichen, wird es entsorgt. Dies ist auch der Hauptnachteil dieses Verfahrens: der Sender hat keine Möglichkeit, die genauen Transportkosten zu erfahren und wenn er sie unterschätzt, sind alle eingesetzten Nuglets für ihn verloren. Daher sollte ein Paket immer mit mehr als ausreichend vielen Nuglets versehen werden. Die bis zum Empfänger verbleibenden Nuglets können dann dort als Bezahlung für andere Dienste oder Informationen sein. Dennoch kann jedes Paket durch die Eigenschaften eines Ad-hoc-Netzwerks verloren gehen, z.b. durch einen einfachen Pufferüberlauf bei einer Station oder durch eine Partitionierung des Netzes. Andererseits wird durch dieses System gewährleistet, dass kein Nutzer das Netz durch unsinnige Pakete stört, da er im Voraus die Kosten tragen muss. Bei diesem Verfahren muss durch Sicherheitsmechanismen gewährleistet sein, dass ein Knoten nur das noch festzulegende Entgelt für seine Weiterleitung erhält, die Nuglets aber nicht mehrfach oder für ein anderes Paket verwendet werden können PPM mit fester Weiterleitungspauschale Ein einfachen Ansatz zur Festlegung der Weiterleitungsentgelte ist eine vom Sender festgelegte Pauschale u pro Weiterleitung, die zusätzlich zu den Nuglets vom Sender dem Paket mitgegeben wird und dann auch vor Manipulation geschützt werden muss. Ebenfalls muss gesichert werden, dass jeder weiterleitende Knoten genau u Nuglets erhält, wenn und nur wenn er das Paket weiterleitet. Leider ist das Verfahren sehr unflexibel: Fa lls die Weiterleitung des Pakets für u Nuglets unökonomisch ist, kann der Knoten das Paket verwerfen, auch wenn die Nuglet-Börse noch mehr als ausreichend gefüllt ist. Die Entlohnung ist außerdem völlig unabhängig von der Situation des einzelnen Knoten: Batterieladung und ähnliches werden hier nicht berücksichtigt. Dieses Verfahren hat alle r- dings auch große Vorteile: Es ist sehr einfach zu implementieren und generisch. Außerdem können Routing-Algorithmen, die die ganze Route erkunden, derart angepasst werden, dass beteiligte Knoten direkt ihren Minimalpreis angeben und der Sender so erstens seine Pauschale anpassen kann und zweitens sogar seine Route anhand der minimalen Kosten auswählen kann. Dabei wären die Knoten an der Teilnahme und der ehrlichen Angabe der Weiterleitungspreise interessiert, da der Sender sonst eine andere Route wählt oder die angebotene Pauschale nicht kostendeckend wäre, der Knoten also auch keine Nuglets verdienen könnte PPM mit Auktionen Bei diesem Verfahren wird von jedem weiterleitenden Knoten eine geschlossene Auktion durchgeführt. Dabei geben alle als nächste Station in Frage kommenden Knoten ein geheimes Gebot ab, für das sie bereit sind, das Paket selbst weiterzuleiten. Der weiterleitende Knoten bestimmt den Bieter des niedrigsten Gebots p j = min i p i als Gewinner, legt im Paket das zweitniedrigste Gebot p k = min i, i? j p i 12

15 als Entgelt fest und leitet das Paket an den Gewinner weiter. Das Sicherheitssystem muss bei diesem Verfahren gewährleisten, dass die Auktion regelgemäß durchgeführt wird und der nächste Knoten genau p k Nuglets entnimmt. Dieses Verfahren hat mehrere Nachteile: es ist sehr komplex und wenn die Auktionen über einen Nachrichtenaustausch durchgeführt werden, werden Overhead sowie die Verzögerung der Nachric h- tenübermittlung unvertretbar groß. Man kann die Auktionen allerdings auch mit Software-Agenten realisieren, die mittels Hello-Protokoll übermittelt werden, intern den Nachbarknoten repräsentieren und Gebote abgeben. Ein anderer Nachteil dieses Systems ist, dass es nur mit Routingverfahren kombiniert werden kann, die mehrere nächste Stationen für ein Ziel zulassen. Hier kann dann mit den möglichen Knoten eine (interne) Auktion durchgeführt werden, um den genutzten nächsten Knoten auszuwählen. Hauptvorteile dieses Verfahrens sind erstens der Versuch, die Übertragungskosten zu minimieren und zweitens die Berücksichtigung, der (Batterie -)Situation der einzelnen Knoten. Durch die Auswahl des lokal günstigsten Anbieters wird gleichzeitig die Wahrscheinlichkeit reduziert, dass das Paket aufgrund unzureichender Nuglets verworfen wird. Ein Knoten mit niedriger Batterieladung wird die Kosten einer Weiterleitung höher einschätzen, ein höheres Gebot abgeben und seltener Auktionen gewinnen. Damit spart er Energie, verdient aber weniger Nuglets. Dies ist eine angenehme Eigenschaft, insbesondere da gezeigt wurde, dass die Lebensdauer eines Netzwerks verlängert werden kann, indem der Energieverbrauch der Geräte durch Routing an die Energiereserven der Knoten angepasst wird Das Packet Trade Model (PTM) Bei diesem Ansatz trägt ein Paket keine Nuglets, sondern wird für Nuglets weiterverkauft. Jeder Knoten auf dem Weg von Sender zu Empfänger kauft das Paket von seinem Vorgänger (bis auf den ersten, er erhält es umsonst vom Sender), und verkauft es an den nächsten für mehr Nuglets. So werden die Kosten für die Weiterleitung am Ende insgesamt vom Empfänger getragen. Falls ein Knoten ein Angebot für ein Paket ausschlägt, kann der aktuellen Besitzer des Pakets das Paket für einen niedrigeren Preis anbieten, es einem anderen Knoten anbieten oder das Paket verwerfen. Der Hauptnachteil dieses Systems ist, dass ein Sender nicht mehr die Kosten für seine Sendungen trägt, und deshalb eine Überlastung nicht durch Kosten für das Senden eines Paketes vermieden wird. Im Gegenteil: das Senden von (sogar Multicast-)Paketen ist völlig ohne Nachteile. Außerdem trage alle Knoten, die das Paket kaufen, das Risiko, dass kein anderer Knoten das Paket annehmen will. So entsteht für den letzten Eigentümer des Pakets ein Verlust für ein Paket, an dem er an sich kein Interesse hatte. Dabei steigt das Risiko mit der Entfernung vom Sender, da der weiterleitende Knoten immer in Vorleistung treten muss, was sich sicherlich als hemmend für (teure) Übertragungen über große Distanzen auswirkt. Vorteile dieses Ansatzes sind, dass der Sender nic ht im Voraus die Kosten der Übertragung kennen oder schätzen muss, dadurch werden keine Nuglets wegen einer falschen Frankierung verschwendet. Mit dieser Technik sind natürlich auch Multicast-Pakete einfach zu realisieren Das Hybrid-Modell Die beiden vorgestellten Modelle lassen sich offensichtlich einfach kombinieren: die Quelle stattet das Paket mit einer gewissen Anzahl von Nuglets aus, und das Paket wird nach dem Packet Purse Model weitergeleitet, bis der Nuglet-Vorrat erschöpft ist. Danach wird es nach dem Packet Trade Model weitergeschickt. Das Hybrid-Modell kombiniert die Vorteile beider Ansätze: Da der Sender für seine Pakete zahlen muss, wird er es vermeiden, nutzlose oder überflüssige Pakete zu senden. Die Netzlast wird damit über die Kosten kontrolliert. Andererseits geht ein Paket (und seine Nuglets) nicht verloren, wenn der Sender die Kosten der Übe r- tragung unterschätzt hat. Beim Einsatz dieses Verfahrens sollten allerdings zusätzliche Regeln eingeführt werden, so dass der Sender mindestens einen vernünftigen Betrag investieren muss, und der Empfänger verpflichtet ist, kleine Fehlbeträge auszugleichen (insbesondere, wenn er aus früheren Paketen des gleichen Senders Nuglets verdient hat), damit das System nicht einseitig in Richtung PPM oder PTM verschoben wird. 13

16 2.3.4 Der Schutz der Nuglets gegen Fälschung, Missbrauch und Mehrfachnutzung (PPM) Die grundlegende Entscheidung ist die Repräsentation der Nuglets. Falls man sie als digitales Geld realisieren würde, bräuchte man eine zentrale Autorität als Bank, die Konten für die Nutzer verwaltet und digitales Geld signiert. Eines solche zentrale Autorität ist aber, wie schon erläutert, in dem erwarteten Einsatzgebiet kaum zu realisieren. Daher hat man sich entschlossen, die Nuglets nur durch Zähler in den Knoten zu repräsentieren. Um illegitime Zugriffe auf diese Zähler zu verhindern, werden die Zähler in einem Sicherheitsmodul realisiert, das von einem vertrauenswürdigen Hersteller stammt und nicht verändert werden kann. Alle sicherheitsrele vanten Vorgänge werden in dieser geschützten Hardware ausgeführt, wobei kryptographische Mechanismen einen Missbrauch verhindern sollen. Im folgenden stelle ich für eine Implementierung des Packet Purse Model die Funktionen des Sicherheitsmoduls, die Headerstrukturen und Mechanismen bei der Paketweiterleitung vor Voraussetzungen Jedes Gerät enthält ein Sicherheitsmodul, das einen eigenen Prozessor, eigenen Speicher und eine systemweit eindeutige Identität (A) besitzt. In diesem Speicher werden der eigene Nuglet-Zähler, die gleich angegebenen kryptographischen Parameter und eine Tabelle mit Einträgen für jeden Nachbarn gespeichert. Dabei enthält jeder Eintrag folgende Daten: Eine Kennung: die systemweit eindeutig Identität des betreffenden Nachbarn (B) Einen Sitzungsschlüssel: bei Kontaktaufnahme legen zwei Geräte A und B über einen asymmetrisch gesicherten Kanal aus Effizienzgründen einen Schlüssel k AB für die symmetrische Verschlüsselung der folgenden Kommunikation fest Zwei Sequenznummern: ebenfalls bei Kontaktaufnahme werden zufällig eine Empfangs- () und Sendesequenznummer ( ca ) festgelegt, so dass für die entsprechenden Nummern des B Nachbarn B gilt: = c A B = cb A + 1 und c B A = c A B + 1. Diese Nummern werden genutzt, um Nachrichtenwiederholungen zu erkennen: Wenn A ein Paket an B weiterleitet, schickt er den aktuellen Stand von ca mit und inkrementiert danach B ca. Wenn A ein Paket von B B erhält, überprüft er, ob die erhaltene Sequenznummer ( ) um eins größer ist als. Nur dann cb A akzeptiert er das Paket und erhöht seinen Empfangszähler c auf den erhaltenen Wert. Einen Schuldenzähler d A. Wenn A ein Paket an B weiterleitet, wird nicht sofort der B Nugletzähler entsprechend erhöht, da die Übertragung ja durch unsichere, manipulierbare Hardware des Knotens geschieht. Dies geschieht erst, wenn ein Acknowledgement vom Sicherheitsmodul von B eintrifft. Um B einen Anreiz zu geben, dieses Acknowledgement zu senden, erhält B einige wenige Nuglets von A, die aber keine neue Übertragung rechtfertigen. Die gegenseitigen Schulden werden bei der nächsten Kontaktüberprüfung durch das Hello- Protokoll ausgeglichen. Im Falle von PPM mit Auktionen enthält jeder Eintrag zusätzlich noch den Software-Agenten des Nachbarknoten und das Sicherheitsmodul insgesamt abhängig vom eingesetzten Routing-Protokoll Teile der Routing-Informationen. Es wird eine Public-Key-Infrastruktur eingesetzt, bei der jedes Gerät a priori ein Schlüsselpaar, sowie ein Zertifikat des Herstellers für den öffentlichen Schlüssel und den öffentlichen Schlüssel des Herstellers selbst erhält. Diese Schlüssel sind schreibgeschützt im Sicherheitsmodul gespeichert. Außerdem signieren alle Hersteller von Sicherheitsmodulen gegenseitig ihre öffentlichen Schlüssel und ein Sicherheitsmodul speichert alle vom eigenen Hersteller für andere Hersteller ausgestellten Zertif i- kate. Die Menge dieser Schlüssel ist überschaubar, wenn es, und das fordert man, nur eine beschränkte Anzahl Hersteller gibt. Es ist möglich, ein Hello -Protokoll einzusetzen, da die Nachbarschaft sich nicht sehr schnell ändert. Dies ermöglicht es, Nachbarn zu identifizieren und Sicherheitsparameter auszutauschen. Das Protokoll der data link-ebene nutzt Acknowledgements. Dies schafft zuverlässige Verbindungen zwischen Nachbarknoten. Diese Forderung ist sinnvoll, da eine unzuverlässige Funkverbindung genutzt wird und nur mit Ende-zu-Ende-Acknowledgements die Verlustwahrscheinlichkeit insbesondere bei Verbindungen über lange Strecken zu hoch würde ( nutzt Acknowledgements). A B 14

17 Format des PP-Headers und des PP-Acknowledgements Bei Einsatz des Nuglets-Systems wird ein zusätzlicher Header zwischen MAC-Ebenen-Header und Header der Netzwerkebene eingefügt. Abb. 11: Der Packet Purse Header (PPH) wird vom Sicherheitsmodul der Quelle erzeugt und vom Sicherheitsmodul von jedem weiterleitenden Knoten neu berechnet. Er wird kryptographisch geschützt, um jegliche illegitime Änderung zu verhindern bzw. erkennen zu können. Er enthält die Kennung des Sicherheitsmoduls A, das den Header generiert hat, die Kennung des Sicherheitsmoduls B, an den das Paket als nächstes weitergeleitet werden soll, Sendesequenznummer ca von A, die Zahl der Nuglets im Paket n, die Zahl Nuglets u, die B entnehmen darf, sowie einen B Purse Authentication Code (PAC). Diesen Code berechnet A aus den anderen Feldern des PPH sowie einem kryptographischen Hashwert der Nutzlast, der mit dem Sitzungsschlüssel k AB und der Hashfunktion g erzeugt wird. Da es sich bei dieser Funktion um eine Einwegfunktion handelt, kann B durch eine Kontrollberechnung des PAC verifizieren, dass das Paket (hochwahrscheinlich) nicht modifiziert wurde. Der Wert von u wird je nach System entweder von der Quelle für alle Knoten vorgegeben oder von A durch Auktion bestimmt. Wenn ein Knoten ein solches Paket empfängt, muss sie den Erhalt mit einem Acknowledgement bestätigen. Obwohl dies nicht dem Schichtungsgedanken entspricht, soll dieses Acknowledgement an das Acknowledgement der MAC-Ebene angehängt (Piggybacking) werden, das in jedem Falle gesendet wird. Ein solches Acknowledgement des Nuglet-Systems wird von dem Sicherheitsmodul des empfangenden Knoten B generiert und enthält die Kennungen von A und B, die Sequenznummer ca und einen Acknowledgement Authentication Code (AAC). Dieser AAC wird aus dem B erhaltenen PPH mittels der erwähnten kryptographischen Hashfunktion g und dem Sitzungsschlüssel k AB als Schlüssel berechnet. Erst wenn der Sicherheitsmodul A ein solches kryptographisch abgesichertes Acknowle dgement erhält, wird der dem Paket vorher abgezogene Nuglet-Betrag dem eigenen Nuglet-Zähler gutgeschrieben Das Weiterleitungs-Protokoll Es folgt eine kurze Beschreibung des Paket-Weiterleitungs-Protokolls. Angenommen ein Knoten B hat von einem Knoten A ein Paket erhalten und leitet es an einen Knoten C weiter, da er den Auftrag lukrativ findet. Abb. 12: 15