askeri isbirlikli nesne aglarinda guvenlik
DESCRIPTION
TRANSCRIPT
ASKERİ ASKERİ İŞBİRLİKLİ NESNE İŞBİRLİKLİ NESNE
AĞLARINDA GÜVENLİKAĞLARINDA GÜVENLİK
Pelin Ç. NarPelin Ç. Nar
İbrahim Bilginİbrahim Bilgin
ÖZETÖZET
İşbirlikli Nesne Ağlarıİşbirlikli Nesne AğlarıDuyarga düğüm
Tetikleyici düğüm
Düğümlerin donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı maliyet
GÜVENLİK AÇIĞI
Bu çalışmada;Bu çalışmada;
işbirlikli nesne ağlarının güvenliğine etki eden özellikleri,
bu özelliklerden kaynaklanan güvenlik açıkları,
muhtemel saldırı türleri ve çözüm önerileri
KonularKonular
İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir?
İşbirlikli Nesne Ağlarının kullanım alanlarıİşbirlikli Nesne Ağlarının kullanım alanları
İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının Özellikleri
KonularKonular
İşbirlikli Nesne Ağlarında Güvenlikİşbirlikli Nesne Ağlarında Güvenlik
Etki eden FaktörlerEtki eden Faktörler Güvenlik AçıklarıGüvenlik Açıkları Saldırı YöntemleriSaldırı Yöntemleri Güvenlik ÇözümleriGüvenlik Çözümleri
SonuçSonuç
İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir?
Duyarga (sensor) ve tetikleyici (actuator) ağlarının imkan ve kabiliyetlerinden daha iyi istifade edebilme arayışı
İşbirlikli Nesne Ağlarıİşbirlikli Nesne Ağları
işbirlikli nesneler (YN) “belli bir amacı gerçekleştirmek üzere, ortamla ve birbirleriyle etkileşebilen ve iş birliği içerisinde üzerlerine düşen görevleri otonom olarak gerçekleştirebilen duyargalar, tetikleyiciler ve yardımlaşan nesneler şeklinde tanımlanabilir.
Heterojen YapıHeterojen Yapı
Duyarga Ağı YapısıDuyarga Ağı Yapısı
Duyarga (sensor) ve tetikleyici (actuator) ağlarının yapısı
Sink
Task Manager
Node
Sensor/Actor field Sensor Actor
İşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının Kullanım AlanlarıKullanım Alanları
Ana kara güvenliği (Homeland security)
Askeri sistemler (Military applications)
Yıkım onarımı (Disaster recovery)
Arama kurtarma (Search and rescue)
Sağlık (Health care)
zaman-kritik ,hayati önem arz eden
İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının ÖzellikleriSualtı Gözetleme ve Savunma Sistemi
SGS Sistemi SGSS İlişki Şeması
ROBOAT: küçük ve hafif suüstü vasıtaları -> YN tahrik sistemi+radyo transiver Görevleri: denizaltı duyargalarını (DD) harekat sahasına dağıtmaktır.
Denizaltı duyargaları (DD) ->YN
• ses, sıcaklık ve manyetik duyargaları,• bir adet radyo alıcı/vericisi,• deniz içerisinde aşağı yukarı hareket edebilmeyi sağlayan
bir mekanizma • düğümün satıhta kalmasını sağlayan ve radyo alıcı/vericisini
üzerinde bulunduran bir şamandıra
ROBOAT’lar tarafından su sathına bırakılan her DD, harekat sahasının maksimum kaplamasını sağlamak üzere kendi derinliğini otomatik olarak ayarlamaktadır.
Duyargalardan herhangi birinin muhtemel bir denizaltı teması alması durumunda:
bahse konu bölgenin daha hassas algılanması maksadıyla ROBOAT’lar tarafından o bölgeye ilave duyargalar atılmaktadır.
Temasın kesin denizaltı olarak sınıflandırılması durumunda, ROBOAT’lar tarafından durum bir işaret ile kendilerini bölgeye getiren suüstü aracına bildirilmekte ve torpido angajmanı için bölge boşaltılmaktadır.
Torpido angajman sonucunun değerlendirlmesi de yine ROBOAT’lar tarafından bölgeye atılan uygun duyargalara sahip YN’ler tarafından gerçekleştirilmektedir.
Görev sonunda suüstü aracı tarafından yapılan bir yayımla tüm düğümler duyargalarını satha çekmekte ve düğümler ROBOAT’lar tarafından toplanmaktadır.
İşbirlikli Nesne Ağlarında İşbirlikli Nesne Ağlarında GüvenlikGüvenlik
Kullanım alanlarından dolayı güvenlik Kullanım alanlarından dolayı güvenlik önemli bir ihtiyaçönemli bir ihtiyaç Askeri alandaki kullanımAskeri alandaki kullanım Kritik bilgilerin taşınmasıKritik bilgilerin taşınması
Güvenliğe Etki Eden FaktörlerGüvenliğe Etki Eden Faktörler
Donanımsal KısıtlılıkDonanımsal KısıtlılıkKablosuz İletişimKablosuz İletişimHeterojen YapıHeterojen YapıÖlçeklenebillirlik İhtiyacıÖlçeklenebillirlik İhtiyacıGezginlikGezginlikOrtamOrtamMaaliyetMaaliyetGerçek Zamanda İşlem İhtiyacıGerçek Zamanda İşlem İhtiyacı
Donanımsal KısıtlılıkDonanımsal Kısıtlılık
Örnek: MICA mote (duyarga düğümü)Örnek: MICA mote (duyarga düğümü)
Özellikler Harcama
CPU 4 MHz 8-bit Atmel ATMEGA 103 5.5 mA – Aktif (3V)50 µA – Pasif (3V)
Bellek 128 KB Komut
512 KB Veri (Flash)
Haberleşme RFM radyo 916 MHz – 10’larca metre kapsama alanı
12 mA – Verici4.8 mA – Alıcı 5 µA – Uykuda
Band Genişliği
40 Kbps
Güç Kaynağı
2 AA Pil – 2850 mA – 3V
DD ve ROBOAT İletişim DonanımıDD ve ROBOAT İletişim Donanımı
Donanımsal KısıtlılıkDonanımsal Kısıtlılık
Klasik güvenlik uygulamaları kapasitenin Klasik güvenlik uygulamaları kapasitenin üzerindeüzerinde
Gerçek- Zaman (Real-time) kısıtıGerçek- Zaman (Real-time) kısıtı
Uzun süre çalışma – Enerji tasarrufuUzun süre çalışma – Enerji tasarrufu
Düşük band genişliğiDüşük band genişliği
Kablosuz İletişim OrtamıKablosuz İletişim Ortamı
Gürültüye açıkGürültüye açık
Güç harcaması kısıtından dolayı menzil Güç harcaması kısıtından dolayı menzil kısıtlı:kısıtlı:
Doğrudan baz istasyonuna iletim yerine Doğrudan baz istasyonuna iletim yerine düğümden düğümedüğümden düğüme (multi-hop) yöntemi (multi-hop) yöntemi
Heterojen YapıHeterojen Yapı
YN YN basit bir düğüm basit bir düğüm Diğer YN’lerin bir araya gelmesiyle olusan üst Diğer YN’lerin bir araya gelmesiyle olusan üst
düzey bir nesne de olabilir.düzey bir nesne de olabilir.
Yazılımlar bu heterojen yapıyı idare Yazılımlar bu heterojen yapıyı idare edebilmek için daha karmaşık bir yapıya edebilmek için daha karmaşık bir yapıya sahipsahip
Bu da güvenlik açıklarına sebep olmaktaBu da güvenlik açıklarına sebep olmakta
ÖlçeklenebilirlikÖlçeklenebilirlik
Temel ihtiyaçlardan biriTemel ihtiyaçlardan biri
Devre dışı kalan düğümlerin yerini Devre dışı kalan düğümlerin yerini yenilerinin alması söz konusuyenilerinin alması söz konusu
Dinamik bir ağ topolojisi şartDinamik bir ağ topolojisi şart
Dinamik topoloji güvenlik problemlerini Dinamik topoloji güvenlik problemlerini beraberinde getiriyorberaberinde getiriyor
Gezginlik (Mobility)Gezginlik (Mobility)
Kendileri hareketli olabilirKendileri hareketli olabilir
Ortam hareketiyle pasif bir harekete sahip Ortam hareketiyle pasif bir harekete sahip olabilirlerolabilirler
Dinamik yönlendirme ile birlikte güvenlik Dinamik yönlendirme ile birlikte güvenlik problemi artıyorproblemi artıyor
Ortam ÖzellikleriOrtam Özellikleri
Zorlu ortamlarZorlu ortamlar Kimyasal kirlilikKimyasal kirlilik DenizDeniz Açık havaAçık hava Yıkım bölgeleriYıkım bölgeleri
Çevresel faktörlere/saldırganlara açık Çevresel faktörlere/saldırganlara açık
MaliyetMaliyet
İnsan güvenliğini daha az tehlikeye İnsan güvenliğini daha az tehlikeye sokmaları tercih sebebisokmaları tercih sebebi
Düğümlerin toplam maliyeti düşük olmalıDüğümlerin toplam maliyeti düşük olmalı
Yoksa tercih sebepleri azalacaktırYoksa tercih sebepleri azalacaktır
Maaliyet – Güvenlik ikilemiMaaliyet – Güvenlik ikilemi
Gerçek Zamanlı İşlem İhtiyacıGerçek Zamanlı İşlem İhtiyacı
Zaman- kritik, hayati uygulamalarda Zaman- kritik, hayati uygulamalarda kullanılmaktalarkullanılmaktalar
Gerçek zamanda (real-time)işlem ihtiyacı Gerçek zamanda (real-time)işlem ihtiyacı doğuyordoğuyor
Güvenlik uygulamaları işlem yükü getirirGüvenlik uygulamaları işlem yükü getirir
Güvenlik - Gerçek zamanda işlem ikilemiGüvenlik - Gerçek zamanda işlem ikilemi
Güvenlik AçıklarıGüvenlik Açıkları
Bazı kabullenmeler gerekli:Bazı kabullenmeler gerekli: Kablosuz iletişim güvensizdirKablosuz iletişim güvensizdir Fiziksel ortam güvensizdirFiziksel ortam güvensizdir Düğümler ele geçirilip ağa karşı kullanılabilirDüğümler ele geçirilip ağa karşı kullanılabilir Düğümler ele geçirilip sahip oldukları bilgi ve Düğümler ele geçirilip sahip oldukları bilgi ve
yazılım saldırgan lehine kullanılabiliryazılım saldırgan lehine kullanılabilir Baz istasyonları güvenlidirBaz istasyonları güvenlidir
Tehdit GruplarıTehdit Grupları
Gizliliğe yönelikGizliliğe yönelik
Bütünlüğe yönelikBütünlüğe yönelik
Kullanılabilirliğe yönelikKullanılabilirliğe yönelik
Gizliliğe Yönelik TehditlerGizliliğe Yönelik Tehditler
Pasif dinleme:Pasif dinleme: Uygun yerden paketler pasif olarak Uygun yerden paketler pasif olarak
dinlenebilirdinlenebilir
İşbirlikçi düğüm kullanma:İşbirlikçi düğüm kullanma: Casus düğümler yardımıyla bilgi sızdırmaCasus düğümler yardımıyla bilgi sızdırma
Bütünlüğe Yönelik TehditlerBütünlüğe Yönelik TehditlerTemelde: Asılama + veri bütünlüğü hedef alınırTemelde: Asılama + veri bütünlüğü hedef alınır
2 tip saldırı:2 tip saldırı: Duyulan veri değiştirilerek ağa verilirDuyulan veri değiştirilerek ağa verilir Ağa doğrudan yanlış bilgi enjekte edilirAğa doğrudan yanlış bilgi enjekte edilir
Tümüyle kullanılmaz durumda veriTümüyle kullanılmaz durumda veri
Kullanılabilir ancak yanlış bilgiKullanılabilir ancak yanlış bilgi
İki yöntem kullanılabilir:İki yöntem kullanılabilir: Dinleme ve Aktif İletimDinleme ve Aktif İletim İşbirlikçi Düğüm Kullanmaİşbirlikçi Düğüm Kullanma
Ağların kullanım alanlarından dolayı doğru Ağların kullanım alanlarından dolayı doğru bilgilendirme hayati önem taşıyabilirbilgilendirme hayati önem taşıyabilir
Kullanılabilirliğe Yönelik TehditlerKullanılabilirliğe Yönelik Tehditler
Kullanılabilirlik: Kullanılabilirlik: ““Tasarlandıkları amaca hizmet etme”Tasarlandıkları amaca hizmet etme” Duyargalar vasıtasıyla algılamak ve tetikleyiciler Duyargalar vasıtasıyla algılamak ve tetikleyiciler
vasıtasyla uygun tepkiyi göstermekvasıtasyla uygun tepkiyi göstermek
DoS (Denial of Service) saldırıları servis dışı DoS (Denial of Service) saldırıları servis dışı bırakmayı amaçlar.bırakmayı amaçlar.Gerçekleştirme yöntemleri:Gerçekleştirme yöntemleri: Fiziksel katmanda yapılan saldırılarFiziksel katmanda yapılan saldırılar Güç tüketimini arttırmaya yönelik saldırılarGüç tüketimini arttırmaya yönelik saldırılar
Temelde gerekjsiz trafik yaratılmasıTemelde gerekjsiz trafik yaratılması İşbirlikçi düğümlerin kullanılmasıİşbirlikçi düğümlerin kullanılması
Saldırı YöntemleriSaldırı Yöntemleri
1.1. Taklit edilen, değiştirilen veya yinelenen Taklit edilen, değiştirilen veya yinelenen yönlendirme bilgisiyönlendirme bilgisi
2.2. Seçici İletimSeçici İletim3.3. Sinkhole SaldırısıSinkhole Saldırısı4.4. Sybil SaldısısıSybil Saldısısı5.5. Solucan DelikleriSolucan Delikleri6.6. Hello Baskın SaldırısıHello Baskın Saldırısı7.7. Alındı TaklidiAlındı Taklidi
1. Taklit Edilen, Değiştirilen ve 1. Taklit Edilen, Değiştirilen ve Yinelenen Yönlendirme BilgisiYinelenen Yönlendirme BilgisiHedef, doğrudan ağ yönlendirmesidirHedef, doğrudan ağ yönlendirmesidirYönlendirme bilgisiYönlendirme bilgisi Taklit edilirTaklit edilir DeğiştirilirDeğiştirilir YinelenirYinelenir
Amaç:Amaç: Yönlendirme döngüleri oluşturmakYönlendirme döngüleri oluşturmak Ağ trafiğinin belli bölgelere ulaşımını engelemekAğ trafiğinin belli bölgelere ulaşımını engelemek Trafiği istenen casus düğümlere yönlendirmekTrafiği istenen casus düğümlere yönlendirmek Trafik yollarını uzatmak/kısaltmakTrafik yollarını uzatmak/kısaltmak Ağı parçalamakAğı parçalamak
2. Seçici İletim (Selective 2. Seçici İletim (Selective Forwarding)Forwarding)
Paketlerin alıcıya (çoğunlukla baz Paketlerin alıcıya (çoğunlukla baz istasyonuna) ulaşmasının engellenmesiistasyonuna) ulaşmasının engellenmesi
Çeşitli yöntemler kullanılarak gerçeklenirÇeşitli yöntemler kullanılarak gerçeklenir
2 şekilde olabilir2 şekilde olabilir Kara Delik: Alınan tüm paketler ağdan Kara Delik: Alınan tüm paketler ağdan
düşürülür. (Tespit edilmesi kolay)düşürülür. (Tespit edilmesi kolay) Seçici: Bazı paketler dışındakiler normal bir Seçici: Bazı paketler dışındakiler normal bir
şekilde iletilir. (Tespit edilmesi zor)şekilde iletilir. (Tespit edilmesi zor)
3. Sinkhole Saldırıları3. Sinkhole Saldırıları
Ağ trafiğini belli bir merkeze odaklamak Ağ trafiğini belli bir merkeze odaklamak amaçlanıramaçlanırAğa cazip bir yönlendirme bilgisi sunulurAğa cazip bir yönlendirme bilgisi sunulurTakdim edilen yönlendirme bilgisi:Takdim edilen yönlendirme bilgisi:Sahte olabilirSahte olabilirDoğru (Ağ dışından daha güçlü bir Doğru (Ağ dışından daha güçlü bir bağlantıyla direkt baz istasyonuna iletim) bağlantıyla direkt baz istasyonuna iletim) olabilir.olabilir.Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir
4. Sybil Saldırıları4. Sybil Saldırıları
Casus düğüm ağa kendini farklı kimliklerle Casus düğüm ağa kendini farklı kimliklerle tanıtırtanıtır
Çoklu yol (Multi-path) yönteminde bütün Çoklu yol (Multi-path) yönteminde bütün paketler ayni casus düğüme gönderiliyor paketler ayni casus düğüme gönderiliyor olabilir.olabilir.
Cğrafi yönlendirme ağlarında kendilerini Cğrafi yönlendirme ağlarında kendilerini birkaç noktada bulunuyormuş gibi birkaç noktada bulunuyormuş gibi gösterebilirlergösterebilirler
Örnek: Coğrafi Yönlendirmeye Örnek: Coğrafi Yönlendirmeye Sybil SaldırısıSybil Saldırısı
A1(2,3)
A2(2,1)
A3(1,2)C(0,2) B(2,2)
A (3,2)
A at (3,2)
A1at (2,3)
A2at (2,1)
A3at (1,2)
5. Solucan Delikleri (Wormholes)5. Solucan Delikleri (Wormholes)
Ağın Bir Bölgesinden alınan mesajların Ağın Bir Bölgesinden alınan mesajların başka bir bölgesine gecikmesi az olan bir başka bir bölgesine gecikmesi az olan bir bağlantı üzerinden tünellenmesidirbağlantı üzerinden tünellenmesidir
2 iş birlikçi düğüm2 iş birlikçi düğüm
Hop sayısı düşük gösterilerek etraftaki Hop sayısı düşük gösterilerek etraftaki düğümler için cazip bir yol sağlanır.düğümler için cazip bir yol sağlanır.
Sinkhole ve seçici yönlendirme saldırıları Sinkhole ve seçici yönlendirme saldırıları ile birlikte kullanılır.ile birlikte kullanılır.
Örnek: Solucan DeliğiÖrnek: Solucan Deliği
Base
6. Hello Baskın Saldırısı6. Hello Baskın Saldırısı
Güçlü vericiye sahip saldırgan düğüm ağa Güçlü vericiye sahip saldırgan düğüm ağa hello mesajı gönderirhello mesajı gönderir
Mesajı alanlar saldırgan düğüme komşu Mesajı alanlar saldırgan düğüme komşu olduklarıdı düşünürolduklarıdı düşünür
Bu düğümlerin çıkış güçleri yeterli Bu düğümlerin çıkış güçleri yeterli olmayacağından bu düğüme gönderilen olmayacağından bu düğüme gönderilen mesajlar kaybolurmesajlar kaybolur
Ağ trafiğini kesebilirAğ trafiğini kesebilir
Örnek: Hello Baskın SaldırısıÖrnek: Hello Baskın Saldırısı
7. Alındı Taklidi 7. Alındı Taklidi (Acknowledgement Spoofing)(Acknowledgement Spoofing)
Link katmanı alındı paketleri kulanılırLink katmanı alındı paketleri kulanılır
Düğümlerin gönderdiği paketler için sahte Düğümlerin gönderdiği paketler için sahte alındı yollanır.alındı yollanır.
Zayıf bir linkin çalıştığı veya ölü bir Zayıf bir linkin çalıştığı veya ölü bir düğümün canlı olduğu izlenimi verilebilir.düğümün canlı olduğu izlenimi verilebilir.
Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir
Güvenlik ÇözümleriGüvenlik Çözümleri
TinySecTinySec
SPINSSPINS
Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü
Seviyelendirilmiş Güvenlik KatmanlarıSeviyelendirilmiş Güvenlik Katmanları
Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
TinySecTinySec
Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmiş
Bağlantı Katmanı üzerinde tanımlıBağlantı Katmanı üzerinde tanımlı
Yetkisiz mesajlar baz istasyonuna Yetkisiz mesajlar baz istasyonuna ulaşmadan, ağa ilk girişte yakalanması ulaşmadan, ağa ilk girişte yakalanması amaçlanmışamaçlanmış
DoS saldırılarına karşı etkiliDoS saldırılarına karşı etkili
TinySec: GerçeklenmeTinySec: Gerçeklenme
2 şekilde:2 şekilde: Asıllama+şifrelemeAsıllama+şifreleme Sadece asıllamaSadece asıllama
Asıllama için paketlere sasıllama kodu (MAC) eklenirAsıllama için paketlere sasıllama kodu (MAC) eklenirŞifrelemede:Şifrelemede:
Skipjack blok şifrelemesiSkipjack blok şifrelemesi IV (8 Byte)IV (8 Byte) Şifre Bloğu Zincirlemesi (CBC) Şifre Bloğu Zincirlemesi (CBC)
Anahtarlama güvenlik seviyesine bağlıAnahtarlama güvenlik seviyesine bağlı Örn: Her ağ için bir anahtar çifti:Örn: Her ağ için bir anahtar çifti:
1.1. Veriyi şifrelemek içinVeriyi şifrelemek için2.2. MAC hesaplaması içinMAC hesaplaması için
Tinysec: Performans YüküTinysec: Performans Yükü
Asıllama + Şifreleme kullanılıyorsaAsıllama + Şifreleme kullanılıyorsa Band genişliğinde %10 ek yükBand genişliğinde %10 ek yük
Sadece asıllama kullanılıyorsa:Sadece asıllama kullanılıyorsa: Band genişliğinde %3 ek yük Band genişliğinde %3 ek yük
SPINS(Security Protocols For SPINS(Security Protocols For Sensor Networks)Sensor Networks)
Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmiş
Temelde 2 protokol yapı taşıTemelde 2 protokol yapı taşı µµTESLATESLA SNEPSNEP
SNEPSNEP
Semantik Güvenlik: Semantik Güvenlik: Birden fazla şifreli kopyadan açık metin Birden fazla şifreli kopyadan açık metin
çıkarılamazçıkarılamaz Her mesaj alış verişinde arttırılan, paylaşılan Her mesaj alış verişinde arttırılan, paylaşılan
bir sayaç sayesinde gerçeklenir (IV)bir sayaç sayesinde gerçeklenir (IV) Blok şifreleyicileri sayaç madunda çalışır Blok şifreleyicileri sayaç madunda çalışır
(CTR):(CTR):Sayaç her blokta arttırılırSayaç her blokta arttırılır
SNEPSNEP
Kimlik Kanıtlaması: Kimlik Kanıtlaması: MACMAC
Tekrar koruması: Tekrar koruması: Sayaç MAC içinde karşıya gönderilirSayaç MAC içinde karşıya gönderilir
Tazelik Tespiti:Tazelik Tespiti: MAC içinde karşıya gönderilen sayaç MAC içinde karşıya gönderilen sayaç
garantilergarantiler
Düşük haberleşme Ek Yükü: Sayaç alıcı Düşük haberleşme Ek Yükü: Sayaç alıcı ve vericide tutulduğu için az. (8 Byte)ve vericide tutulduğu için az. (8 Byte)
SNEPSNEP
Şifrelenmiş veri: E = {D} (Kencr,C)MAC: M = MAC (Kmac,C|E)Şifreleme ve MAC anahtarları K anahtarından elde edilirA -> B: {D} (Kencr,C) ,MAC (Kmac,C|{D} (Kencr,C))- D açık metin- C başlangıç vektörü (IV)- Kencr şifreleme anahtarı- Kmac MAC alma anahtarı
µµTESLATESLA
Asıllanmış çoklu yayın (Broadcast) için kullanılırAsıllanmış çoklu yayın (Broadcast) için kullanılır
Asıllama simetrik yapılırAsıllama simetrik yapılır
Sadece gönderen tarafından bilinen bir anahtar Sadece gönderen tarafından bilinen bir anahtar ve tek yönlü bir fonksiyonla MAC oluşturulur.ve tek yönlü bir fonksiyonla MAC oluşturulur.
Anahtar mesajdan bir süre sonra yayınlanır.Anahtar mesajdan bir süre sonra yayınlanır.
Arabellekte tutulan paket alınan anahtar bilgisi Arabellekte tutulan paket alınan anahtar bilgisi ile asıllanır.ile asıllanır.
Paket içeriğinin değiştirilme ihtimali ortadan Paket içeriğinin değiştirilme ihtimali ortadan kalkmış olur.kalkmış olur.
Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü
NOVSF(Orthogonal Variable )NOVSF(Orthogonal Variable ) Her duyargaya atılmadan önce bir anahtar Her duyargaya atılmadan önce bir anahtar
verilirverilir Anahtar baz istasyonu tarafından bilinirAnahtar baz istasyonu tarafından bilinir Baz istasyonu periyodik olarak yeni oturum Baz istasyonu periyodik olarak yeni oturum
anahtarı yayımlaranahtarı yayımlar Düğüm yeni anahtarı ve yeni oturum Düğüm yeni anahtarı ve yeni oturum
anaharını kullanarak kendi gizli oturum anaharını kullanarak kendi gizli oturum anahtarını elde ederanahtarını elde eder
Asıllama + Veri Tazeliği sağlar Asıllama + Veri Tazeliği sağlar
Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü
Ek tedbir: NOVSF kod atlamasıEk tedbir: NOVSF kod atlaması64 zaman yuvası (time sloth)64 zaman yuvası (time sloth)Bir çoklayıcıyla her oturumda veri blokları Bir çoklayıcıyla her oturumda veri blokları farklı permütasyonla bu zaman yuvaların farklı permütasyonla bu zaman yuvaların aktarılıraktarılırBaz istasyonu küme başlarına (Cluser Baz istasyonu küme başlarına (Cluser Head) periyodik olarak yeni Head) periyodik olarak yeni permütasyonlar gönderir.permütasyonlar gönderir.Çift katlı bir güvenik oluşturulmuş olur.Çift katlı bir güvenik oluşturulmuş olur.
NOVSF Kod AtlamasıNOVSF Kod Atlaması
Blok 1 Blok 2 Blok 3 Blok 8
NOVSFYuva 1
NOVSFYuva 2
NOVSFYuva 3
NOVSFYuva 8
. . . .
. . . .
Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları
Amaç: Güvenlik için minimum enerji sarfiyatıAmaç: Güvenlik için minimum enerji sarfiyatı
Taşınan veriye göre güvenlik seviyelendirilmişTaşınan veriye göre güvenlik seviyelendirilmiş Gezgin kodGezgin kod Duyarga mevkiiDuyarga mevkii Uygulamaya özel veriUygulamaya özel veri
Şifrelemede RC6 kullanılıyorŞifrelemede RC6 kullanılıyor
RC6’nın tur sayısı güvenlik seviyesine göre RC6’nın tur sayısı güvenlik seviyesine göre tespit ediliyortespit ediliyor
RC6:RC6: RC5 in aynı; AESnin 128 bit giriş/çıkış 128 RC5 in aynı; AESnin 128 bit giriş/çıkış 128 bit blok uzunluğu gerekliliğini uygular.bit blok uzunluğu gerekliliğini uygular.
Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları
Güvenlik Seviyesi 1:Güvenlik Seviyesi 1: Gezgin kod ağ içinde daha az dolaşırGezgin kod ağ içinde daha az dolaşır En üst seviye güvenlikEn üst seviye güvenlik
Güvenlik Seviyesi 2:Güvenlik Seviyesi 2: Duyarga mevkiileri her mesajda yer alırDuyarga mevkiileri her mesajda yer alır Güçlü şifreleme ek yükGüçlü şifreleme ek yük Mevkii bilgisinin ele geçirilmesi riskliMevkii bilgisinin ele geçirilmesi riskli Ağ hücrelere bölünerek mevkii tabanlı anahtarlar Ağ hücrelere bölünerek mevkii tabanlı anahtarlar
kullanılırkullanılır
Güvenlik Seviyesi 3Güvenlik Seviyesi 3 Ağda en sık dolaşan uygulamaya özel verilerdirAğda en sık dolaşan uygulamaya özel verilerdir Güvenlikten bir miktar ödün verilebilirGüvenlikten bir miktar ödün verilebilir
Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
Spam saldırılarına karşı geliştirilmişSpam saldırılarına karşı geliştirilmiş
Spam Saldırısı Tespiti:Spam Saldırısı Tespiti: Baz istasyonu gelen mesajları içeriğe göre Baz istasyonu gelen mesajları içeriğe göre
filtreler vefiltreler ve
çok fazla hatalı mesaj gönderen düğümleri çok fazla hatalı mesaj gönderen düğümleri tespit edertespit eder
Belli bir bölgeden gelen mesajları frekans Belli bir bölgeden gelen mesajları frekans analizine tutarak anormalliklere bakaranalizine tutarak anormalliklere bakar
Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
Karantina Bölgesinin Oluşturulması:Karantina Bölgesinin Oluşturulması: Spam saldırısı tespit eden baz istasyonu durumu ağa Spam saldırısı tespit eden baz istasyonu durumu ağa
yayınlaryayınlar Haberdar olan düğümler belirli bir süre asıllanmamış Haberdar olan düğümler belirli bir süre asıllanmamış
mesaj yönlendirmezlermesaj yönlendirmezler Asıllanmamış mesajlar için kaynağa asıllanma Asıllanmamış mesajlar için kaynağa asıllanma
isteğinde bulunurlaristeğinde bulunurlar Gönderenin bunu başarı ile gerçekleştirememesi Gönderenin bunu başarı ile gerçekleştirememesi
durumunda alıcı kendini karantina bölgesinde kabul durumunda alıcı kendini karantina bölgesinde kabul eder ve komşuları ile mesajlaşmayı asıllama yaparak eder ve komşuları ile mesajlaşmayı asıllama yaparak devam ettirir.devam ettirir.
Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
Asıllama:Asıllama: Düğümlere yüklü gizli bir anahtar bulunurDüğümlere yüklü gizli bir anahtar bulunur Anahtar + HMAC fonksiyonuyla elde edilen Anahtar + HMAC fonksiyonuyla elde edilen
kod mesaj başlığına eklenirkod mesaj başlığına eklenir Veri tazeliğini belirlemek için başlığa bir de Veri tazeliğini belirlemek için başlığa bir de
sayaç eklenirsayaç eklenir
Karantinanın Kalkması:Karantinanın Kalkması: Karantina süresince komşulardan başarısız Karantina süresince komşulardan başarısız
bir asıllama faaliyeti tespit edilmezse bir asıllama faaliyeti tespit edilmezse karantina modundan çıkılır.karantina modundan çıkılır.
SonuçSonuç
İşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının donanımsal kısıtları, kablosuz iletişim donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı ve maliyetortam şartlarının ağırlığı ve maliyet gibi hususlardan kaynaklanan gibi hususlardan kaynaklanan kendilerine özgü özellikleri, klasik bilgisayar ağları için kendilerine özgü özellikleri, klasik bilgisayar ağları için geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini engellemektedir. engellemektedir.
YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına neden olacaktır. Henüz teorik temellerinin oluşturulması neden olacaktır. Henüz teorik temellerinin oluşturulması aşamasında bulunan bu ağların başarısında ve kabul görmesinde aşamasında bulunan bu ağların başarısında ve kabul görmesinde en belirleyici unsurlardan biri olacak olan güvenlik konusunun da en belirleyici unsurlardan biri olacak olan güvenlik konusunun da bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun olacağı değerlendirilmektedir.olacağı değerlendirilmektedir.
KaynaklarKaynaklar
Mithat Dağlar Erdal Çayırcı, “Yardımlaşan Nesne Ağlarında Güvenlik Sorunları ve Çözümler”, ABG 2005.
E.Cayirci, M. Dağlar, C. Çiftci “Functional and Physical Decomposition of Cooperating Objects,” Teknik Rapor, Deniz Bilimleri ve Mühendisliği Enstitüsü, Deniz Harp Okulu, Tuzla, Istanbul.
Chris Karlof, David Wagner, “Secure routing in wireless sensor networks: Attacks and countermeasures”, Proceedings of the 1st IEEE International Workshop on Sensor Network Protocols and Applications, May 11, 2003.
Erdal Cayirci, “Wireless Sensor and Actuator Networks”, IEEE Tutorial Now.