Concealed Data Aggregation: Difference between revisions

Main Page --> S2006-IPI --> 15. Security in DTN

Concealed Data Aggregation for Reverse Multicast Traffic in Sensor Networks

NOT THE FINAL VERSION

UNDER HEAVY DEVELOPMENT

Szenario:

Wir haben ein Sensor Netzwerk gegeben, welches eine baumartige Struktur besitzt, so daß ein "Reverse Multicast" möglich ist. Die einzelnen Knoten haben folgende Eigenschaften:

• den Aufgaben entsprechende Sensoren (z.B. Wärmesensoren für die Erkennung von Waldbränden)
• eine einfache CPU ( meist keine FPU, auf niedrigen Energieverbrauch optimiert)
• eine Funk-Netzwerkschnittstelle
• die Stromversorgung erfolgt durch Batterie oder Solarzellen
• die Knoten sind nicht fälschungssicher

Die Sensorknoten werden über ein Gebiet verteilt und formen ein selbstorganisierendes Multihop-Netzwerk. Wir gehen davon aus, daß die Knoten in dem Sensornetzwerk stationär sind, obwohl auch mobile Knoten denkbar sind.

Folgende Anforderungen sind für das Szenario entscheidend:

• Reduzierung des Energieverbrauchs
• die Möglichkeit der Zusammenfassung von Daten in den Knoten
• statistische Berechnungen auf den Daten im Netzwerk

Das hier dargestellte Netzwerk ist statisch mit dicht verteilten Knoten. Durch den Graphen ${\displaystyle G=(N{,}L)}$ kann dieses Netzwerk beschrieben werden. Dabei sind ${\displaystyle \left|N\right|}$ die Knoten und ${\displaystyle \left|L\right|}$ die Kanten. ${\displaystyle R\in N}$ ist der Zielknoten, mit ${\displaystyle A_{t}}$ bezeichnen wir die Menge der Aggregator-Knoten, ${\displaystyle F_{t}}$ kennzeichnet die Menge der Forwarding-Knoten, ${\displaystyle S_{t}}$ die Menge der Sensorknoten und ${\displaystyle I_{t}}$ bezeichnet die Menge der Idle-Knoten. Die Menge der Aggregator-Knoten zum Zeitpunkt ${\displaystyle t}$ kann sich von der Menge der Aggregator-Knoten zum Zeitpunkt ${\displaystyle t+1}$ unterscheiden. Dieses Verhalten trifft auch auf die Forwarding-, Sensor- und Idle-Knoten zu. Nur der Zielknoten ist zu jedem Zeitpunkt fest. In diesem Szenario gehen wir von einem Verhältnis des Energieverbrauchs der einzelnen Operationen aus:

• Senden/Empfangen 100 Energieeinheiten
• Berechnungen 10 Energieeinheiten
• Schlafzustand 1 Energieeinheit.

Das Problem:

Wir möchten Nachrichten in unserem Netzwerk vertraulich übermitteln, das heißt der Netzwerkverkehr muß gegen Abhören geschützt werden. Dafür müssen wir zu Verschlüsselung greifen. Weitere wichtige Sicherheitsaspekte sind die Integrität der Knoten, sprich die Fälschungssicherheit der Knoten, was durch die Authentifizierung der Knoten untereinander gewährleistet werden könnte. Dieses Problem wird an dieser Stelle aber nicht betrachtet, da wir im folgenden mit der fehlenden Fälschungssicherheit zu leben lernen werden.

Die Lösung:

Die einfachste Methode, die Daten auf dem Weg zu verschlüsseln, ist eine Hop-by-Hop-Verschlüsselung. Das heißt, jeder Knoten verschlüsselt die Daten und sendet sie anschließend an den nächsten Knoten. Der entschlüsselt sie wieder, aggregiert die Daten eventuell, verschlüsselt sie wieder und sendet sie weiter. Für ein zuverlässiges Sicherheitskonzept ist es notwendig für jedes Knotenpaar innerhalb des Netzwerks unterschiedliche Schlüssel zu verwenden. Die statistischen Berechnungen lassen sich leicht auf den Knoten realisieren, da alle erhaltenen Daten auf dem Knoten unverschlüsselt sind. Ein großes Problem ist allerdings die Unflexibilität. Wenn ein Forwarding-Knoten ausfällt, lassen sich die Daten, die über diesen Knoten geleitet wurden, nicht über andere Knoten leiten, da dafür die entsprechenden Schlüsselpaare fehlen. Wenn sehr zentrale Knoten in unserem Netzwerk ausfallen, gehen dadurch große Teile des Netzwerkes verloren. Schlüssel für Alternativrouten zu berechnen und auf den einzelnen Knoten vorrätig zu halten, ist aus Kapaziätsgründen keine Lösung. Ein weiterer Nachteil ergibt sich aus der Manipulierbarkeit der Knoten, welche sich aus der fehlenden Fälschungssicherheit ergibt. Wenn ein Angreifer nur einen Knoten unter seine Kontrolle bringen kann, ist der gesamte Netzwerkverkehr der über diesen Knoten läuft, durch die vollständige Entschlüsselung aller empfangenen Daten, kompromittiert. Dies wird besonders kritisch, wenn zentrale Knoten angegriffen werden, da in diesem Fall ein Großteil des Netzwerkverkehrs mitgelauscht werden kann. Ein großes Problem bereitet auch der Energieaufwand für Ver- und Entschlüsselung, der der Reduzierung des Energiebedarfs zuwiderläuft.

Eine andere Methode ist die End-zu-End-Verschlüsselung. Die Vorteile wären ein niedrigerer Energieverbrauch und die Möglichkeit eine flexible Netzwerkstruktur zu haben. Die Kontrolle eines Knotens durch einen Angreifer ist keine Problem, da dieser nur den verschlüsselten Netzwerkverkehr zu sehen bekommt. Das gesamte Verschlüsselungssystem würde eine ausreichende Verschlüsselung der Daten bieten. Problematisch ist die hohe Komplexität dieses Systems. Als mögliches System bieten sich sogenannte Privacy-Homomorphismen an. Dabei werden auf den verschlüsselten Daten Berechnungen durchgeführt und auch verschiedene Verschlüsselte Daten ohne Entschlüsselung für den Weitertransport zusammengefasst. Leider gibt es für dieses System keine effiziente Methode Public-Key-Verschlüsselung zu verwenden, deshalb müssen wir uns auf symmetrische Verschlüsselung beschränken. Im folgenden wird der PH von Domingo-Ferrer vorgestellt.

Doming-Ferrer-PH:

Aufbau:

Ganzzahl ${\displaystyle d\geq 2}$ große Ganzzahl ${\displaystyle g}$, mit vielen kleinen Divisoren und vielen kleinen Ganzzahlen ${\displaystyle <g}$, die ${\displaystyle {\bmod {g}}}$ invertiert werden können.
Secret key ${\displaystyle k=(r{,}g^{'})}$ ${\displaystyle r\in {Z}_{g}}$ mit es existiert ${\displaystyle r^{-1}{\bmod {g}}}$ und ${\displaystyle \log _{g^{'}}g}$ ist ein integer mit einem kleinen ${\displaystyle g^{'}}$
Klartext: ${\displaystyle {Z}_{g^{'}}}$
Ciphertext: ${\displaystyle ({Z}_{g})^{d}}$

Verschlüsselung:

teile ${\displaystyle {a}\in {Z}_{g^{'}}}$ zufällig in ein Geheimnis ${\displaystyle a_{1},\ldots ,a_{d}}$ so daß ${\displaystyle a=\sum _{j=1}^{d}a_{j}\ {\bmod {\ }}g^{'}}$ und ${\displaystyle a_{j}\in {Z}_{g^{'}}}$ Nun wird folgende Berechnung durchgeführt: ${\displaystyle E_{k}(a)=(a_{1}r^{1}\ {\bmod {\ }}g,a_{2}r^{2}\ {\bmod {\ }}g,\ldots ,a_{d}r^{d}\ {\bmod {\ }}g)}$

Entschlüsselung:

${\displaystyle D_{k}(E_{k}(a))=\sum _{j=1}^{d}(a_{j}\ {\bmod {\ }}g^{'})}$

Ciphertextop ${\displaystyle \ +}$: Komponentenweise
Ciphertextop ${\displaystyle \times }$: kreuzmultipliziert in ${\displaystyle Z_{g}}$ mit dem Grad ${\displaystyle m_{1}}$ von ${\displaystyle a}$ und dem Grad ${\displaystyle m_{2}}$ und ergibt einen Term mit dem Grad ${\displaystyle (m_{1}+m_{2})}$

Was machen wir mit dem Schlüssel?

Wir haben die Möglichkeit eines Network-Shared-Key, welcher die Vorteile einer großen Routing-Flexibilität und eines einfachen Keymanagements mitbringt. Das Problem mit einem Network-Shared-Key ist aber, daß lediglich ein Knoten korrumpiert werden muß, um den Schlüssel zu bekommen.

Eine andere Möglichkeit ist das Topology-aware-Group-keying. Wir haben weiterhin eine hohe Routingflexibilität und ein moderates Key-Management. Zusätzlich ist durch einen korrumpierten Knoten nicht das ganze Netzwerk, sondern nur eine Region des Netzwerkes betroffen. Das Problem ist allerdings die Abwägung zwischen Sicherheit und Flexibilität. Es nicht möglich höchste Sicherheit und höchste Flexibilität gleichzeitig zu haben. Die Schlüsselverteilung läuft folgendermaßen ab:

Es gibt 4 Phasen:

1.Pre-Configuration:

Der Hersteller konfiguriert jeden Knoten mit dem gleichen Schlüsselpool ${\displaystyle K^{*}}$ und deren Schlüssel IDs ${\displaystyle ID_{k},k\in K^{*}}$

2.Roll out:

Die Knoten werden zufällig in einer Region verteilt und der Sink-Node sollte im Zentrum plaziert werden.

3.Bootstrapping

Eine Teilmenge von Knoten, nahe des Sink-Nodes wählt eine Schlüsselliste aus und broadcastet deren Ids. Die Knoten, die diese Liste empfangen löschen entweder ihren gesamten Schlüsselpool, oder wählen zufällig einen Schlüssel aus der Liste aus. Was die Knoten tun, hängt von einer Wahrscheinlichkeitsfunktion basierend auf der Distanz und maximalen Distanz von den Knoten ab. Werden noch andere Schlüssellisten empfangen, werden diese ignoriert. Die Knoten broadcasten ${\displaystyle ID_{k_{1}}\|\dots \|ID_{k_{r}}}$ an die nächsten weiter entfernten Knoten.

4.Cleansing

Die Knoten, die keine Nachrichten nach einer bestimmten Zeit nach dem Roll-Out empfangen haben, löschen ihren gesamten Schlüsselpool, so daß unerreichbare Knoten keine sensiblen Daten mehr speichern.

---

Main Page --> S2006-IPI --> 15. Security in DTN