Security in Event-Driven Wireless Sensor Networks

Fachbereich Mathematik und Informatik Institut für Informatik Diplomarbeit Security in Event-Driven Wireless Sensor Networks Nicolai Schmittberger (nicolai.schmittberger@fu-berlin.de) 29. Oktober 2010 Betreuer: Prof. Dr.-Ing. Jochen Schiller Dipl.-Inform. Norman Dziengel

DANKSAGUNG An erster Stelle möchte ich mich bei Herrn Dipl. Inform. Norman Dziengel für die, meiner Meinung nach, perfekte Betreuung dieser Diplomarbeit außerordentlich bedanken. Er hatte immer die richtigen Ratschläge zur richtigen Zeit und konnte mir stets mit Geduld und Verständnis den richtigen Weg zeigen. Herrn Prof. Dr. Ing. Jochen H. Schiller möchte ich für die Ermöglichung dieser Diplomarbeit an der Freien Universität Berlin ebenfalls meinen großen Dank aussprechen. Einen sehr herzlichen Dank möchte ich auch den weiteren Mitarbeitern der Arbeitsgruppe AVS Extrem Martin Seiffert, Marco Ziegert, Zakaria Kasmi, Stephan Adler und insbesondere Stefan Pfeiffer aussprechen. Sie haben mir bei vielen Fragen und Problemen weiterhelfen können und gestalteten durch ihre freundliche und konstruktive Art die Arbeit an dieser Diplomarbeit sehr angenehm. Weiterhin möchte ich mich bei Christian Rotar, Sabine Rotar, Frederik Hermans, Stefanie Dourvos sowie Klaus und Dagmar Weist für ihre Unterstützung, ihr Verständnis und ihre ganz besondere Freundschaft bedanken. Zuletzt, aber nicht weniger herzlich möchte ich mich auch bei meinen Eltern für ihre Unterstützung und Hilfe während dieser teilweise schwierigen Zeit bedanken.

KURZFASSUNG Wireless Sensor Netzworks (WSNs) [Aky02] haben in den letzten Jahren viel Beachtung gefunden und ziehen in immer mehr Bereiche ein, die sicherheitsrelevante Informationen beinhalten. Dazu gehören z.b. Frühwarnsysteme für Naturkatastrophen [Sch071], [Rud06], Patientenüberwachung [Han06] und Grenzschutz [Rot09]. Trotz des vorhandenen Bedarfs existieren bisher nur ungenügende Sicherheitslösungen für WSNs, die entweder Sicherheitsanforderungen offen lassen oder zu aufwendig für einen realistischen Einsatz sind. Diese Arbeit betrachtet die bisherigen Ansätze von Sicherheitssystemen für WSNs und erstellt darauf aufbauend eine Definition der Sicherheitsanforderungen. Das bisher als nicht zufriedenstellend gelöst bekannte Problem der Schlüsselverwaltung [Liu05] wird durch eine eigene, das Konzept von [Dut04] erweiternde Schlüsselverwaltung gelöst. Sie wird zusammen mit einem Paket Wiedereinspielschutz und dem Konzept sowie der Implementierung des CBC Verschlüsselungsverfahrens von TinySec [Kar04] zu einer eigenen Link Layer Sicherheitsschicht, PaRSec, die alle Sicherheitsanforderungen abdeckt, kombiniert. Die Schlüsselverwaltungskomponente basiert dabei auf dem von [Dut04] vorgeschlagenen Konzept des initialen Vertrauensverhältnisses, über das sichere paarweise Verbindungen aufgebaut werden können. Diese werden von PaRSec zum Aufbau und zur Aufrechterhaltung eines globalen sicheren Kanals verwendet, über den die gesicherten Netzwerkkommunikations Pakete übertragen werden. Ein auf der Anwendungsschicht des ISO/OSI Schichtenmodells operierender Controller erweitert das System um eine dynamische Anpassung des Sicherheitslevels, eine Isolationserkennung und eine Angriffserkennung. Labor und Feldtests zeigen, dass die PaRSec Sicherheitsschicht auch unter realen Bedingungen im Kontext der Ereigniserkennung in WSNs und mit lediglich moderatem Mehraufwand einsatzfähig ist. Beim Vergleich zu den verwandten Arbeiten aus der aktuellen Forschung kann PaRSec ebenfalls durch seine Vollständigkeit in Hinblick auf die Sicherheitsanforderungen und den moderaten zusätzlichen Aufwand sehr gut abschneiden. Insgesamt ist PaRSec damit die erste vollständig implementierte, dynamisch reagierende Sicherheitsschicht, die alle Sicherheitsanforderungen abdeckt und dafür keinerlei aufwendige Synchronisierungs oder Statushaltungsmechanismen benötigt. Damit hebt sich PaRSec von vergleichbaren Arbeiten ab und stellt einen deutlichen wissenschaftlichen Mehrwert dar.

INHALTSVERZEICHNIS 1 Einleitung... 1 1.1. Motivation... 1 1.2. Problemstellung und Lösungsansätze... 2 1.3. Drahtlose Sensornetze... 2 1.3.1. Restriktionen in drahtlosen Sensornetzen... 3 1.3.1.1. Restriktionen der Sensorknoten... 3 1.3.1.2. Restriktionen des drahtlosen Mediums... 3 1.4. Sicherheit in ereignisorientierten drahtlosen Sensornetzen... 4 2 Verwandte Arbeiten... 5 2.1. SPINS: Security Protocols for Sensor Networks... 5 2.1.1. SNEP Secure Network Encryption Protocol... 6 2.1.2. Counter Exchange Protocol... 6 2.1.3. µtesla Protocol... 6 2.2. Secure Sensor Networks for Perimeter Protection... 7 2.3. FleGSens Secure Area Monitoring Using Wireless Sensor Networks... 8 2.3.1. Trespass Detection Protocol... 9 2.3.2. Node Failure Detection Protocol... 9 2.3.3. Weitere Protokolle... 9 2.4. TinySec: A Link Layer Security Architecture for Wireless Sensor Networks... 10 2.4.1. TinySec Auth... 10 2.4.2. TinySec AE... 11 2.5. Lightweight Key Management in WSNs by Leveraging Initial Trust... 11 2.6. Stand der Forschung... 12 3 Grundlagen... 15 3.1. Angriffe auf WSNs... 15 3.1.1. Passive Angriffe... 15 3.1.1.1. Abhören (Eavesdropping)... 16 3.1.1.2. Verkehrsanalyse (Traffic Analysis)... 16 3.1.2. Aktive Angriffe... 16 3.1.2.1. Manipulation des WSNs... 17 i

3.1.2.2. Denial of Service Angriffe... 17 3.2. Sicherheitsanforderungen an WSNs... 19 3.2.1. Unterschiede zu kabelgebundenen Netzwerken... 19 3.2.2. Vertraulichkeit... 20 3.2.3. Integrität... 21 3.2.4. Authentizität... 21 3.2.5. Aktualität... 21 3.2.6. Semantische Sicherheit... 22 3.2.7. Zugangskontrolle... 22 3.2.8. Verfügbarkeit... 22 3.3. Arten der Umsetzung in WSNs... 22 3.3.1. Verschlüsselungsverfahren... 23 3.3.1.1. Public Key Verschlüsselungsverfahren... 23 3.3.1.2. Symmetrische Verschlüsselungsverfahren.... 23 3.3.1.3. Verschlüsselungsalgorithmen... 27 3.3.2. Message Authentication Code (MAC)... 30 3.3.3. Replay Protection (Paket Wiedereinspielschutz)... 30 3.3.4. Schlüsselaustauschverfahren... 31 3.3.5. Frequency Hopping / Spread Spectrum Verfahren... 32 4 AVS Extrem Verteilte Ereigniserkennung... 33 4.1. Szenario: Baustelle... 34 4.2. Hardware & Software Architektur... 35 4.3. Systemaufbau... 37 5 PaRSec Pattern Recognition Security... 39 5.1. Anforderungen und Rahmenbedingungen... 40 5.2. Bekannte Ansätze... 41 5.2.1. Zeitsynchronisierungsproblematik... 42 5.3. PaRSec Eingliederung in das ISO/OSI Schichtenmodell... 43 5.4. Konzept... 44 5.5. PaRSec im Detail... 47 5.5.1. Key Establishment... 48 5.5.1.1. Aufbau eines sicheren Kanals zwischen zwei Sensorknoten... 49 5.5.1.2. Aufbau eines sicheren globalen Kanals... 51 ii

5.5.1.3. Nachträgliches Hinzufügen eines Sensorknotens zum WSN... 52 5.5.2. Cipher Manager... 54 5.5.3. CBC Mode / CBC MAC... 56 5.5.4. PaRSec Core... 56 5.5.4.1. Sicheres Senden eines Pakets... 58 5.5.4.2. Empfangen eines sicheren Pakets... 58 5.5.5. Exclusion List... 59 5.5.6. Pairwise Key Table... 59 5.5.7. Replay Protection... 60 5.5.8. PaRSec Controller... 61 5.5.8.1. Schlüsselupdate Verwaltung... 61 5.5.8.2. Local Keep Alive... 62 5.5.8.3. Global Keep Alive... 63 5.5.8.4. Intelligentes Routing... 67 5.5.8.5. Presets und Benutzerdefinition... 68 5.5.8.6. Dynamische Anpassung des Sicherheitslevels (Dynamic Security)... 70 5.5.8.7. System Message Handler... 72 5.5.8.8. Isolationserkennung (Isolation Detection)... 74 5.5.8.9. Angriffserkennung (Attack Detection)... 74 5.6. Integration in das AVS Extrem System... 77 6 Evaluation... 81 6.1. Energieverbrauch... 81 6.1.1. Datenverarbeitung... 81 6.1.1.1. Unterschiede zwischen den Verschlüsselungsalgorithmen... 87 6.1.2. Kommunikation... 88 6.2. Effekte der Systemparameter... 90 6.3. Auswertung des intelligenten Routingverfahrens... 95 6.4. Auswirkungen auf das AVS Extrem System... 95 6.4.1. Theoretische Auswirkungen... 96 6.4.2. Messungen unter Laborbedingungen... 97 6.4.3. Feldtest unter realen Bedingungen... 101 6.4.4. Systemparameter... 107 6.5. Vergleich zu verwandten Arbeiten... 111 iii

6.5.1. Vergleich zu TinySec... 111 6.5.2. Vergleich zu SPINS... 114 6.5.3. Vergleich zu Secure Sensor Networks for Perimeter Protection... 115 6.5.4. Vergleich zu FleGSense... 116 7 Zusammenfassung und Ausblick... 117 7.1. Weiterführende Arbeiten... 118 8 Literaturverzeichnis... 121 9 Abbildungsverzeichnis... 125 10 Tabellenverzeichnis... 127 Appendix A PaRSec in Automatendarstellung...A iv

Einleitung 1 EINLEITUNG We envision a future where thousands to millions of small sensors form self organizing wireless networks. Adrian Perrig [Per01] Computer machen das Leben komfortabler und einfacher. Die Vernetzung der Computer zum größten Netzwerk der Welt, dem Internet, erlaubt es uns in Echtzeit mit Computern auf der anderen Seite der Erde zu kommunizieren, Daten auszutauschen und Arbeiten bequem von zu Hause aus zu erledigen. Der Einsatz von miniaturisierten Computern in Form von drahtlosen Sensornetzen wird diesen Komfort in immer mehr und neue Bereiche unseres alltäglichen Lebens und unserer Arbeit erweitern und uns eine Fülle von neuen Möglichkeiten und Informationen bieten. Bereits heute finden drahtlose Sensornetze beispielsweise in Frühwarnsystemen für Naturkatastrophen [Sch071], [Rud06], in der Patientenüberwachung [Han06] und im Grenzschutz [Rot09] Anwendung. Aber neben dem Komfort werden auch Gefahren und Bedrohungen in diese Bereiche Einzug finden. Ähnlich dem Telefonnetz können beispielsweise auch Computernetze abgehört, manipuliert und außer Funktion gesetzt werden. Dies kann je nach Art und Sicherheitsbedarf der ausgetauschten Informationen verheerende Folgen haben und muss deswegen unbedingt verhindert werden. 1.1. Motivation Im Rahmen des AVS Extrem Projekts [Dzi102] entwickelt die Arbeitsgruppe Technische Informatik der Freien Universität Berlin ein drahtloses Sensornetz (auch Wireless Sensor Network, WSN genannt) zur verteilten Ereigniserkennung. Am Beispielszenario der Absicherung eines Baustellengeländes werden die, das Baustellengelände absichernden Bauzaun Elemente mit jeweils einem Sensorknoten ausgestattet. Dieser besteht im Groben aus einem Prozessor, einem Transceiver (Funkmodul), einem oder mehreren Sensoren und einer Energiequelle. Der für das AVS Extrem Projekt eingesetzte Sensorknoten enthält unter anderem einen 3D Beschleunigungssensor und wird mittels eines Trainings auf die Wiedererkennung vordefinierter Bewegungsmuster programmiert. Auf diese Weise kann z.b. ein unerlaubtes Überklettern oder Öffnen des Bauzauns erkannt und durch einen Alarm signalisiert werden. Dieses System läuft derzeit völlig ungesichert und hat damit eine große Sicherheits Schwachstelle. Ein Angreifer kann vor dem Überklettern oder Öffnen des Bauzauns das Sensornetz manipulieren und so erkannte Ereignisse umleiten oder nicht vorhandene Ereignisse erzeugen und in das Sensornetz einschleusen um Verwirrung zu stiften. Schlimmstenfalls kann der Angreifer das Sensornetz auch ganz außer Funktion setzen und könnte damit unbemerkt auf das Baustellengelände gelangen um dort seinen Motiven nachzugehen. 1

Einleitung 1.2. Problemstellung und Lösungsansätze Um dieses und viele andere Anwendungsszenarien realistisch einsetzbar zu machen, müssen sie vor Angriffen geschützt werden [Çay09]. A security attack is an attempt to compromise the security of information owned by others (RFC 2828) Erdal Çayırcı [Çay09] Neben der Sicherheit der Informationen, gilt es auch die Sicherheit des Sensornetzes an sich und vor allem die Sicherheit der drahtlosen Kommunikation zwischen den Sensorknoten zu gewährleisten. Diese Aufgabe ist bereits in kabelgebundenen Netzwerken eine Herausforderung [Eck09] und wird durch die in drahtlosen Netzwerken zusätzlich vorhandenen Anforderungen und Restriktionen [Çay09] weiter erschwert. Aus Gründen wie z.b. der bisher nicht zufriedenstellend gelösten Schlüsselverwaltung und der Schwierigkeit alle Sicherheitsanforderungen (siehe Kapitel 1.4 und 3.2) mit vertretbarem Aufwand abzudecken ist bis heute kein vollständig implementiertes Sicherheitssystem für ereignisorientierte drahtlose Sensornetzwerke vorhanden, das alle Sicherheitsanforderungen gewährleisten kann. Die hier vorgestellte Arbeit realisiert das erste vollständig implementierte und alle Sicherheitsanforderungen abdeckende Sicherheitssystem für ereignisorientierte drahtlose Sensornetzwerke. Zu diesem Zweck werden in Kapitel 2 vorhandene verwandte Arbeiten auf ihre Lösungsansätze und Anwendbarkeit untersucht. Aufbauend auf der aktuellen Literatur und den aus den verwandten Arbeiten gewonnenen Erkenntnissen werden daraufhin in Kapitel 3 die unterschiedlichen Möglichkeiten ein Sensornetz anzugreifen (Kapitel 3.1), die Anforderungen an ein als sicher zu bezeichnendes Sensornetz (Kapitel 3.2) sowie die gängigen Arten diese in einem real world security system umzusetzen (Kapitel 3.3) aufgezeigt. In Kapitel 4 wird das AVS Extrem System zur verteilten Ereigniserkennung vorgestellt, dessen Absicherung Ziel der in dieser Arbeit entwickelten und in Kapitel 5 detailliert beschriebenen Sicherheitsschicht, PaRSec Pattern Recognition Security, ist. In Kapitel 6 werden der Energieverbrauch und die Auswirkungen von PaRSec auf das AVS Extrem System evaluiert und ein Vergleich von PaRSec mit den verwandten Arbeiten der aktuellen Forschung angestellt. In Kapitel 7 wird abschließend eine Zusammenfassung der Arbeit sowie ein Ausblick auf weiterführende Arbeiten gegeben. 1.3. Drahtlose Sensornetze Drahtlose Sensornetzte oder auch Wireless Sensor Networks (WSNs) genannt setzen sich aus möglichst kleinen und stark ressourcenbeschränkten Sensorknoten, die drahtlos miteinander kommunizieren können zusammen. Die Sensorknoten bestehen dabei aus einem Prozessor, einem oder mehreren Modulen zur drahtlosen Kommunikation wie 2

Einleitung beispielsweise einem Transceiver (Funkmodul), einem oder mehreren Sensoren verschiedenster Art und einer Energiequelle. Ihre Aufgabe ist es mit Hilfe der Sensorik Informationen über die Umwelt, in der sie ausgebracht wurden zu sammeln, ggf. vorzuverarbeiten und einer zentralen Sammelstelle, der Basisstation, zu melden. 1.3.1. Restriktionen in drahtlosen Sensornetzen Sensorknoten und Sensornetze unterliegen vielen Restriktionen, die in kabelgebundenen Netzwerken typischerweise nicht vorkommen [Çay09]. Sie entstehen, wie in den folgenden beiden Kapiteln genauer beschrieben, durch die Unterstützung von Mobilität, stark beschränkte Ressourcen, insbesondere in Hinblick auf die vorhandene Energie, und durch die Charakteristiken des drahtlosen Mediums. 1.3.1.1. Restriktionen der Sensorknoten Drahtlose Sensornetzwerke können aus wenigen bis hin zu Millionen von Sensorknoten bestehen [Çay09] und dienen dazu Ereignisse zu erkennen und zu melden [Car00]. Um derartige drahtlose Sensornetzwerke realisieren zu können, müssen die einzelnen Sensorknoten klein, energiesparend und kostengünstig sein [Car00]. Daraus resultierend sind die Sensorknoten mit einem, im Vergleich zu aktuellen Desktop PCs, sehr schwachen Prozessor, stark begrenztem Speicher und einem energiesparenden Transceiver (Funkmodul) ausgestattet. Die schwerwiegendste Restriktion ist allerdings der stark begrenzte Energievorrat, der typischerweise durch eine Batterie bereitgestellt wird [Car00]. Die Kommunikation per Funk benötigt um Größenordnungen mehr Energie als für Sensorik und Datenverarbeitung verbraucht wird [Çay09]. Um eine möglichst lange Laufzeit der Sensoren zu erreichen, muss deshalb die durch den energiesparenden Transceiver sowieso bereits in Datenrate und Paketgröße eingeschränkte Kommunikation auf ein Minimum reduziert werden. Aus demselben Grund sollten auch die vom Prozessor unterstützten Energiesparmodi so häufig wie möglich aktiviert werden. Trotz dieser Maßnahmen, fallen die Sensorknoten aufgrund der günstigen Bauweise und/oder aufgrund einer aufgebrauchten Energiequelle früher oder später aus und müssen durch neue ersetzt werden. WSN Softwaresysteme sollten daher eine gute Ausfalltoleranz haben. Aufgrund der Mobilität der Sensorknoten sollte es weiterhin entweder gar keine Sensorknoten mit Spezialfunktionen geben oder jeder Sensorknoten diese übernehmen können [Car00]. Eine Vorkonfiguration der Sensorknoten ist deshalb nur begrenzt möglich. 1.3.1.2. Restriktionen des drahtlosen Mediums Durch die Nutzung des drahtlosen Mediums zur Übertragung von Daten kommen weitere Restriktionen hinzu. Die Kommunikation über das drahtlose Medium ist sehr unzuverlässig, sodass es zu unidirektionaler oder komplett aussetzender Konnektivität kommen 3

Einleitung kann [Car00]. Desweiteren muss mit einer im Vergleich zu kabelgebundenen Netzen deutlich höheren Latenz und um Größenordnungen höheren Kanalfehlerrate umgegangen werden [Car00]. Daraus resultierend steht nur eine begrenzte Datenrate zur Verfügung, die, anders als in kabelgebundenen Netzen, nicht durch zusätzliche Leitungen erweitert werden kann. Durch die unterschiedliche Konnektivität und Mobilität kann es weiterhin zu häufigen Routing Änderungen und zur Isolation von einzelnen oder Gruppen von Sensorknoten kommen [Car00]. Ebenfalls gibt es ohne eine feste Infrastruktur und aufgrund der durch das drahtlose Medium möglichen Mobilität der Sensorknoten keine einfachen Mittel zur Positionierung oder Lokalisierung der Sensorknoten [Çay09]. Dies bedingt, dass im Falle von Multi Hop Kommunikation die auf der Route liegenden Zwischen Hops unbekannt sind [Car00]. Sie könnten potentielle Angreifer sein und das Netz infiltrieren, stören oder außer Funktion setzen. Hier ist die Notwendigkeit einer Sicherheitsschicht zur Abwehr dieser Gefahren eines Sensornetzes nochmals gut erkennbar. 1.4. Sicherheit in ereignisorientierten drahtlosen Sensornetzen Welche Kriterien ein drahtloses Sensornetz erfüllen muss, um als sicher bezeichnet werden zu können, wird nach dem aktuellen Stand der Forschung ([Car00], [Kar04], [Çay09], [Per01]) wie folgt definiert: Vertraulichkeit: Integrität: Authentizität: Aktualität: Semantische Sicherheit: Zugangskontrolle: Verfügbarkeit: Nur dafür autorisierte Sensorknoten dürfen Zugang zu geschützten Daten bekommen. Es darf keine Manipulation der Daten stattfinden oder sie muss erkannt werden. Die Identitäten der Sensorknoten, speziell der Absender einer Nachricht, müssen gewährleistet sein. Es dürfen keine Nachrichten wiedereingespielt werden können oder sie müssen als solche erkannt werden. Auch bei wiederholter Verschlüsselung desselben Klartexts, darf kein Rückschluss auf den Klartext möglich sein. Nur dafür autorisierte Sensorknoten dürfen Zugang zum Sensornetz erhalten. Das Sensornetz darf nicht ausfallen, auch im Falle eines Angriffs. 4

Verwandte Arbeiten 2 VERWANDTE ARBEITEN Wireless Sensor Networks (WSNs) haben in den letzten Jahren stark an Aufmerksamkeit gewonnen und werden auch in Zukunft in immer mehr Bereichen Einzug finden [Kar04]. Bereits heute gehören dazu der Einsatz in der Umwelt und Wohnraumüberwachung [Pad09], in der Medizin zur Überwachung von Patienten und Senioren sowie der Einsatz im militärischen Bereich u.a. zur Verfolgung von Feind und Truppenbewegungen und der Einschätzung von Gefahren [Ava03]. Besonders im medizinischen und militärischen Bereich ist die Sicherheit des Sensornetzes und der Kommunikation zwischen den einzelnen Sensorknoten von offensichtlicher Wichtigkeit. Auch in den anderen Bereichen ist die Sicherheit häufig nicht von minderer Bedeutung [Pad09]. Die im Folgenden beschriebenen verwandten Arbeiten versuchen diesen Bedarf an Sicherheit entweder für einen speziellen Bereich oder universell für alle Bereiche zu erfüllen. 2.1. SPINS: Security Protocols for Sensor Networks Die Autoren von SPINS [Per01] gehen davon aus, dass sich drahtlose Sensornetzwerke bereits in naher Zukunft in allen Bereichen des Lebens etablieren werden. Die Einführung einer Sicherheitsschicht ist aus ihrer Sicht allgemein, insbesondere in Bereichen wie der medizinischen Überwachung, bei Notfall und Katastropheneinsätzen und dem Militär, sinnvoll und notwendig. Um den Anforderungen jedes Bereichs gerecht werden zu können, wurde SPINS mit dem Ziel entworfen, möglichst universell einsetzbar zu sein. Es werden drei Kommunikationsprofile benannt, die, den Autoren nach, den überwiegenden Anteil der Kommunikation innerhalb eines Sensornetzes ausmachen: Sensorknoten Basisstation (Unicast) Basisstation Sensorknoten (Unicast) Basisstation Sensorknoten (Broadcast) Wie bereits an den Kommunikationsprofilen erkennbar, wird hierbei das Vorhandensein einer Basisstation, welche eine zentrale und übergeordnete Funktion übernimmt, vorausgesetzt. Der Mobilität der Netzwerk Sensorknoten ist dabei keine direkte Schranke gesetzt, allerdings muss jeder Netzwerk Sensorknoten über mindestens einen Pfad Pakete von der Basisstation erhalten können, da sonst das im Folgenden beschriebene µtesla Protokoll nicht funktionieren kann. SPINS ist eine Protokollfamilie, die aus drei Protokollen besteht und auf die Abdeckung dieser Kommunikationsprofile spezialisiert ist. 5

Verwandte Arbeiten 2.1.1. SNEP Secure Network Encryption Protocol Das Protokoll SNEP wird für die Verschlüsselung der beiden Unicast Kommunikationsprofile eingesetzt. Neben dem symmetrischen Verschlüsselungsalgorithmus im Counter (CTR) Modus [Vertraulichkeit, Semantische Sicherheit] kommen ein Counter für die Aktualität und ein Message Authentication Code (MAC) für die Integrität und Authentizität zum Einsatz. Der Counter erlaubt zusätzlich einen, in diesem Fall lockeren, Packet Wiedereinspielschutz und wird entgegen dem üblichen Verfahren nicht mit jedem Paket übertragen, sondern pro Sensorknoten gespeichert und durch Zustandshaltung verwaltet. 2.1.2. Counter Exchange Protocol Das Counter Exchange Protocol wird zum Austausch der aktuellen Counter Werte zweier Sensorknoten verwendet. Dies ist zur Initialisierung des Sensornetzwerks und für den Fall, dass ein Sensorknoten einen inkonsistenten Status des Counters eines anderen Sensorknotens hat notwendig. Da für die Synchronisierung die Aktualität der Pakete unerlässlich ist, sendet ein anfragender Sensorknoten A eine Nonce, das ist eine zufällige Bitfolge der Länge, dass sich eine erschöpfende Suche (also ein Brute Force Angriff) nicht lohnt, an den zu synchronisierenden Sensorknoten B. Sensorknoten B inkludiert die Nonce wiederum in das Antwort Paket mit seinem Counter und sendet es an A zurück. Auf diese Weise kann garantiert werden, dass B s Antwort nach der Anfrage von A gesendet wurde, da Sensorknoten B die Nonce erst nach dem Erhalt des Anfrage Pakets von A gekannt haben kann. Es ist also eine strikt aufsteigende Abfolge der Pakete und damit die Aktualität gewährleistet. 2.1.3. µtesla Protocol Das µtesla Protokoll ermöglicht die authentifizierte Broadcast Kommunikation von einer Basisstation zu den Netzwerk Sensorknoten und deckt damit das dritte Kommunikationsprofil ab. Für das Funktionieren des Protokolls bestehen folgende Voraussetzungen: Die Sensorknoten sind zeitsynchronisiert. Die Sensorknoten besitzen den gemeinsamen Master Key. Die Sensorknoten kennen den vordefinierten Schlüsselveröffentlichungsplan. Ist dies erfüllt, generiert die Basisstation eine Einweg Schlüsselabfolge der Länge n, indem sie den letzten Schlüssel K n zufällig wählt und auf Basis dessen mittels einer Einweg Schlüsselfunktion (das ist eine nicht bzw. schwer umkehrbare Funktion, wie beispielsweise die Hashfunktion MD5 [Riv92]) alle vorherigen Schlüssel K 0... K n 1 berechnet. Diese Schlüssel werden daraufhin den einzelnen Epochen, das sind vordefinierte Zeitintervalle, in die die Zeit aufgeteilt wird, zugeordnet. Soll nun ein authentifiziertes Broadcast Paket von der Basisstation in Epoche i verschickt werden, wird der Message Authentication Code (MAC) des Pakets mit dem zugehörigen Schlüssel K i erstellt. Der Schlüssel K i wird allerdings erst in Epoche K i+1 oder später veröffentlicht. Da aufgrund der 6

Verwandte Arbeiten Art der Schlüsselabfolgenerstellung gilt: K F K wobei F die Einweg Schlüsselfunktion ist, kann mit K i zum einen die Gültigkeit aller vorherigen Schlüssel verifiziert werden und zum Anderen das in Epoche i erhaltene Paket authentifiziert werden. Die Authentifizierung des Pakets ist deshalb valide, da zur Epoche i nur der Basisstation der korrekte Schlüssel bekannt war und in späteren Epochen der Schlüssel der Epoche i nicht mehr gültig ist und somit nicht mehr zur Verschlüsselung eines Pakets verwendet werden kann. Wurde das erhaltene Paket also mit dem Schlüssel der Epoche i authentifiziert, muss es von der Basisstation stammen. Obwohl SPINS den Anspruch hat universell einsetzbar zu sein, unterstützt es, im Gegensatz zu der hier vorgestellten Arbeit, nur die drei benannten Kommunikationsprofile. Für die Absicherung von anderen Kommunikationsarten, wie beispielsweise Broadcasts von Netzwerk Sensorknoten, gibt es zwar Vorschläge aber keine konkreten Lösungen. Die Sicherheitsanforderungen werden zwar komplett abgedeckt, der dafür notwendige Aufwand erscheint, aufgrund der für das µtesla Protokoll notwendigen Zeitsynchronisierung in Verbindung mit der ebenfalls notwendigen Counter Zustandshaltung und ggf. Synchronisierung, relativ hoch. Die Autoren geben an die einzelnen Protokolle implementiert zu haben, evaluieren aber lediglich den benötigten Mehraufwand für die Verschlüsselung in SNEP und das Versenden eines Pakets mit µtesla. Aufgrund der fehlenden vollständigen Implementierung, wie auch in [Kar04] beanstandet, ist die Frage, ob der Aufwand für die Zeitsynchronisierung sowie die Counter Statushaltung und Synchronisierung in einem stark ressourcenbeschränkten Sensornetzwerk noch einen sinnvollen Einsatz zulässt, nicht überprüfbar. 2.2. Secure Sensor Networks for Perimeter Protection Das von S. Avancha et al. entworfene System Secure Sensor Networks for Perimeter Protection [Ava03] hat den Fokus speziell auf die Geländeabsicherung gesetzt und verfolgt damit einen, im Vergleich zu SPINS, eher gegensätzlichen Ansatz. Es wird eine zentrale, rechenstarke und immer verfügbare Basisstation vorausgesetzt, die zum Zeitpunkt der Initialisierung des Netzes eine Topologieerkennung durchführt und auf Basis der so gewonnenen Daten statische Routen festlegt. Sämtliche Kommunikation, die aufgrund des Paketformats und Routingsystems über maximal zwei Hops gehen kann, ist entweder an die Basisstation gerichtet oder geht von ihr aus. Diese besondere Stellung der Basisstation ermöglicht es ihr gleich mehrere vorteilhafte Funktionen auszuüben. Da sämtliche Kommunikation über die Basisstation geht, hat sie zu jedem Zeitpunkt den Überblick, wie viel Last auf jedem einzelnen Sensorknoten liegt und kann so mit Hilfe von Load Balancing Algorithmen ggf. auftretende Überlastsituationen versuchen zu verhindern oder zumindest zu verringern. Unter der Voraussetzung, dass das Sensornetzwerk überwiegend statisch ist, kann die Basisstation ebenfalls sehr leicht erkennen, ob ein Sensorknoten ausgefallen ist oder sich fehlverhält und entsprechend darauf reagieren. 7

Verwandte Arbeiten Die Kommunikation zwischen den Sensorknoten wird generell Ende zu Ende verschlüsselt [Vertraulichkeit], wobei eine DateTimeGroup Variable als Counter eingesetzt wird [Semantische Sicherheit, Aktualität]. Die Sensorknoten mit zwei Hops Entfernung zur Basisstation müssen einen Sensorknoten mit einem Hop Entfernung zur Basisstation als Relay Station benutzen. Da dieser aber durch die Ende zu Ende Verschlüsselung das Paket nicht lesen kann, werden zwei verschiedene Schlüsselarten eingeführt. Zum einen gibt es den Paarweisen Schlüssel, den jeder Sensorknoten mit der Basisstation teilt, zum anderen gibt es einen Globalen Schlüssel, der von allen Sensorknoten benutzt werden kann. Um ein Paket über zwei Hops zu schicken, wird der Header mit dem Globalen Schlüssel und die Payload mit dem von Basisstation und Absender geteilten Paarweisen Schlüssel verschlüsselt [Authentizität]. Auf diese Art kann ein Relay Sensorknoten den Header jedes Pakets lesen und es ggf. weiterleiten ohne dabei auf die Payload des Pakets Zugriff zu haben. Die starke Spezialisierung des Systems ermöglicht einige sehr nützliche Features wie z.b. die leichte Erkennung von Sensorknoten Ausfällen oder Angriffsversuchen und das, durch das Source Routing ermöglichte, Load Balancing. Auch der Ansatz von Paarweisen und Globalen Schlüsseln ist sehr interessant und wurde für die hier vorgestellte Arbeit in abgewandelter Form übernommen. Andererseits bringt die Spezialisierung auch Nachteile, wie z.b. die auf zwei Hops beschränkte Netzwerkgröße und die Basisstation als Single Point of Failure. Es wurde außerdem aufgrund der kompletten Verschlüsselung der Pakete auf einen MAC verzichtet, wodurch die Integrität des Pakets nicht mehr gewährleistet werden kann. Es sind also nicht alle Sicherheitsanforderungen abgedeckt. Wie bei SPINS, wurde auch dieses System niemals vollständig implementiert. Sämtliche Evaluierungsergebnisse beruhen ausschließlich auf Simulationen der dafür implementierten Topologieerkennungs und Netzwerk Setup Komponente. 2.3. FleGSens Secure Area Monitoring Using Wireless Sensor Networks FleGSens [Rot09] ist ein System zur Überwachung und Erkennung von unerlaubtem Betreten und/oder Durchqueren eines vorgegebenen Gebiets. Für diese Aufgabe werden die Sensorknoten mit Infrarot Sensoren ausgestattet und in einem vorgegebenen Gittermuster auf dem Gebiet aufgestellt. FleGSens arbeitet ausschließlich auf der Applikationsschicht des ISO/OSI Schichtenmodells und setzt sich aus insgesamt fünf Protokollen zusammen: 8

Verwandte Arbeiten 2.3.1. Trespass Detection Protocol Das Trespass Detection Protocol ist die Kernkomponente des Systems. Es übernimmt die Erkennung, Verfolgung und Meldung von Ereignissen. Die Ereignismeldungen aller Sensorknoten werden aggregiert und es wird versucht einen der drei folgenden Pfade durch das überwachte Gebiet zu erkennen: Eintritts und Ausgangspunkt bilden eine direkte, gerade Linie durch das Gebiet Eintritts und Ausgangspunkt sind schräg versetzt, bilden aber immer noch eine gerade Linie durch das Gebiet Nach dem Eintritt in das Gebiet können ein oder mehrere Richtungswechsel stattfinden, bevor das Gebiet auf der gegenüberliegenden oder auf der gleichen Seite wieder verlassen wird Die Netzwerkpakete werden dabei mit einem Zeitstempel versehen [Aktualität] und durch einen MAC vor Manipulation geschützt, sodass Authentizität und Integrität gewährleistet sind. Auf die Verschlüsselung der Pakete oder Teilen davon wird bewusst verzichtet, da der Inhalt der Pakete, den Autoren nach, keiner Vertraulichkeit bedarf. 2.3.2. Node Failure Detection Protocol Der Ausfall von Sensorknoten ist eine Gefahr für die Funktionalität von FleGSens, da jeder ausgefallene Sensorknoten ein Überwachungsloch für das System darstellt. Das Node Failure Detection Protocol übernimmt die Aufgabe Ausfälle möglichst zeitnah zu erkennen und zu melden, damit ein Austausch des entsprechenden Sensorknotens stattfinden kann. Zu diesem Zweck wird jeder Sensorknoten von einer bestimmten Anzahl benachbarter Sensorknoten überwacht und überwacht selber eine bestimmte Anzahl benachbarter Sensorknoten, welche dann seine Buddies sind. Durch sogenannte Heartbeat Pakete meldet jeder Sensorknoten seine korrekte Funktionalität, welche von den überwachenden Sensorknoten registriert wird. Wird zu lange kein Heartbeat Paket eines bestimmten Sensorknotens empfangen, geht das System von einem Ausfall des entsprechenden Sensorknoten aus. Auch hier werden die Pakete unverschlüsselt versendet, aber durch Zeitstempel und MAC vor Wiedereinspielung und Manipulation geschützt. 2.3.3. Weitere Protokolle Um die Funktionalitäten von Trespass Detection Protocol und Node Failure Detection Protocol gewährleisten zu können, werden die Dienste der folgenden drei Protokolle benötigt: Partition Detection Protocol: Überprüft, ob der Netzwerkgraph des Sensornetzwerks zusammenhängend ist. Time Synchronization Protocol: Synchronisiert die Zeit aller Sensorknoten. 9

Verwandte Arbeiten Localisation Protocol: Führt die Lokalisierung der Sensorknoten unter Verwendung des SHOLOC 1 und TESLA 2 Protokolls durch. FleGSens erscheint bei Betrachtung der Trespass Detection Protocol und Node Failure Detection Protocol Protokolle recht leichtgewichtig, was durch die bewusst ausgelassene Verschlüsselung weiter bestätigt wird. Allerdings ist so auch die Sicherheitsanforderung der Vertraulichkeit nicht gewährleistet und das System verliert an Allgemeingültigkeit im Sinne der universellen Einsetzbarkeit. Des Weiteren wird der Anschein der Leichtgewichtigkeit durch den Einsatz von Zeitsynchronisierung, Lokalisierung und des TESLA Protokolls zum Gegenteil verändert. Speziell TESLA wurde von den Autoren des SPINS Systems [Per01] evaluiert und als für WSNs ungeeignet eingestuft, weshalb sie ihre eigene Version, µtesla, entworfen haben. Das Problem des übermäßigen Kommunikationsaufwands wird von den FleGSens Autoren im Zusammenhang mit dem Fluten des Netzwerks mit Event Paketen eigens angesprochen und durch das Zusammenfassen mehrerer Events zu einem Paket versucht zu beheben. Ob dies letztendlich zu einem akzeptablen Ergebnis geführt hat, ist weder aus den Ergebnissen der Simulations Evaluation, noch aus denen des Prototyps eindeutig entnehmbar und mangels einer verfügbaren Implementierung auch nicht überprüfbar. 2.4. TinySec: A Link Layer Security Architecture for Wireless Sensor Networks TinySec [Kar04] ist ein speziell für das Betriebssystem TinyOS entwickeltes Sicherheitssystem für die Sicherungsschicht des ISO/OSI Schichtenmodells. Vorrangiges Ziel der Autoren war es, ein System zu entwerfen, das universell einsetzbar und flexibel anpassbar ist, aber trotzdem eine geringe Komplexität aufweist damit die Hürde für Programmierer, TinySec zu verwenden, möglichst niedrig ist. Da, aus Sicht der Autoren, alle bisher entworfenen Systeme entweder unsicher oder zu ressourcenintensiv sind und SPINS als noch vergleichbarster Ansatz niemals vollständig spezifiziert und implementiert wurde, entschieden sie sich ein vollständig eigenes, neues System zu entwickeln. TinySec lässt wahlweise den Betrieb eines der folgenden zwei Sicherheitsmodi zu: 2.4.1. TinySec Auth Der TinySec Auth (Authentication_Only) Modus legt fest, dass Pakete um u.a. einen Counter erweitert und anschließend durch einen MAC geschützt werden. Dies gewährleistet die Authentizität und Integrität des Pakets. 1 Secure Hop Count Based Localization in Wireless Sensor Networks 2 The TESLA Broadcast Authentication Protocol 10