143
홈센서 네트워크 보안 프레임워크(Security Map of Sensor Network)
2004.7.12
한국정보보호진흥원암호인증기술팀
전 길 수
2/43
목차
개요 ( 센서네트워크란 ?) 센서네트워크 응용 센서네트워크 위험요인 및 제약조건 현재 연구동향 및 이슈
연구동향 초경량 , 저전력 암호기술에 대해 센서네트워크 보안 프로토콜 : SPINS 에 대해
결론
3/43
센서네트워크란 무선 네트워크로 연결된 센서노드들의 그룹 - 일종의 Ad-Hoc 네트워크 - 응용범위 : 홈네트워크 , ITS, U-Commerce 등
4/43
센서네트워크의 응용 (1)
< 기기 취약성으로 인한 텔레매틱스 서비스 저해 >
자동차 · 교통 분야 - 환경 정보 센싱 기능뿐만 아니라 , 통신 기능을 가진 센서 태그를 차량의 주요
부 분에 장착하고 네트워크로 연결 - 도로 , 신호등 , 주요 교차로 , 교통 거점 등에 센서 태그를 설치하고 태그들을
네트 워크로 연결
5/43
센서네트워크의 응용 (2) U-Commerce 분야 - 태그가 부착된 지능형 사물 ( 단말기 , 제품 , 시스템 ) 이 네트워크로 연결 - 자율 컴퓨팅 능력을 가진 사물이 사람을 대신하여 전자상거래 수행 (Silent Commerce)
6/43
보안요구사항 기밀성 (Confidentiality)
인증 및 부인봉쇄 (Authentication & Non-repudiation)
무결성 (Integrity)
적시성 (Freshness)
7/43
기밀성 통신 당사자간의 비밀정보를 공격자로부터 보호
도청 (Eavesdropping), 트래픽 분석 (Traffic Analysis) 등의 공격으로부터 보호
암호알고리즘을 사용하여 구현 - 대칭키 암호 : 빠르고 효율적이나 키분배 문제 - 공개키 암호 : 키 분배문제를 해결하나 계산량 복잡 및 속도 암호알고리즘으로 충분한 보호가 안됨 - 예 ) 동일 메시지가 동일한 암호문으로 암호화되는 경우 , 재생 공격 (Replay Attack) 이 가능
8/43
인증 및 부인봉쇄 메시지 수신자가 메시지의 소스에 대한 authenticity 를
검증할 수 있게함 - 참여자가 자신의 신원을 증명할 수 있게 함 - 위조 혹은 위장공격에 대한 보호
참여자들 (Peer) 의 사전 공유 정보 (shared secret) 가 있다면 대칭키 기반 기술로 가능
사전공유 정보가 없는 경우 , 전자서명 기술을 이용할 수 있음 전자서명 : 계산량 복잡 및 속도
9/43
무결성 메시지가 불안전한 통신채널로 손상되지 않았음을 보장
메시지가 전송도중 공격자로 인해 의도적으로 훼손되지 않았음을 보장
MD5, SHA 등 해쉬함수를 통해 구현
10/43
Freshness( 적시성 ) 메시지가 현재 세션에 해당되는 내용임을 보장
메시지에 순서가 부여됨으로써 이전 전송된 메시지의 복사본이 아님을 보장
- Weak Freshness : 메시지의 Partial Ordering 제공 ※ 메시지를 수신자가 올바르게 검증하면 , 검증된 메시지는 이전에 올바르게
검증 된 메시지 이후에 전송되었다는 것을 보장 , 예로 , MAC 에 사용되는 Counter 정보를 이용하여 이전 메시지의 재전송을 방지
- Strong Freshness : 메시지의 Total Ordering 제공 ※ 노드 A 에게 자신의 메시지에 대한 응답 메시지를 B 가 생성하였다는 보장 , 예로 , 카운터 정보 및 난수값을 이용하여 양방향 통신으로 설계
타임스탬프 (Timestamp), 시퀀스 넘버 (Sequence Number), 난수를 이용하여 구현가능
11/43
보안기술의 적용 한계 기본 제약조건 - Peanut CPU (slow computation rate) - 배터리 파워 (trade-off between security and battery life) - 제한된 메모리 - 전송 거리
무선 ad-hoc 네트워크의 특성 - 잦은 네트워크 토폴로지 변경 - 잦은 라우팅 변경 - 데이터 전송속도 /패킷 사이즈 - 채널 에러 /지연
Smart Dust 노드
12/43
위험요인 센서노드공격 (Sensor node compromise) 도청공격 (Eavesdropping)
센싱된 데이터의 프라이버시
서비스거부 (DoS) 공격
Sybil 공격
13/43
Security Map of Sensor Network
출처 : Infocomm Security Department Institute for Infocomm Research, 2004.06
14/43
보안연구동향 (1)
분류 세부분류
Generic Survey
Crypto AlgorithmSymmetric Key
Asymmetric Key
Key ManagementSymmetric key based
Asymmetric key based
Routing Security
Secure routing
Attacks
Routing algorithm
Location Aware Security
Key establishment
Privacy aware
Location verification
Data Fusion SecurityAggregation
Authentication
15/43
보안연구동향 (2)
Survey Securing Ad Hoc Networks, by Zhou et al. in IEEE Network’99.
Security for SmartDust Sensor Network, by Perrig et al. http://www.cs.berkeley.edu/~vwen/classes/f2000/cs261/project/sensor_security.html.
Security for Sensor Networks, by Undercoffer et al. in CADIP’02.
Security in wireless sensor networks, by Perrig et al. in proc. of ACM CCS’04.
Crypto Algorithm Ultra-Low-Power Universal Hash Functions, by Yuksel et al. in CNDS 2004
Public Key Cryptography in Sensor Networks, by Gaubatz et al. in ESAS 2004
Low-Power ECC, by Ozturk et al. in CHES 2004
16/43
보안연구동향 (3)
Routing Security Denial of Service, by Wood et al. in IEEE Computer’2002.
Routing security, by Karlof et al. in 1st IEEE workshop SNPA’03.
Sybil attack, by Newsome et al. in ACM IPSN’04.
Key management Key management, by Eschenauer et al. in ACM CCS’02.
SPINS, by Perrig et al. in Wireless Networks Journal (WINE), 2002.
Random Key Assignment, by pietro et al. in ACM SASN '03.
Establishing Pairwise Keys, by Liu et al. in ACM CCS’03.
LEAP, by Zhu et al. in proc. of ACM CCS’03.
Pairwise Key Pre-distribution, by Du et al. in ACM CCS’03.
Random Key Predistribution, by Chan et al. in IEEE S&P’03
Deployment knowledge, by Du et al. in IEEE INFOCOM'04.
17/43
보안연구동향 (4)
Location Aware Security(a problem of “context aware” security) Privacy-Aware Location, Gruteser et al. in USENIX HOTOS IX, 2003.
Location-Based Pairwise Key Establishments, Liu et al. in ACM SASN '03.
Location claims, by Sastry et al. in ACM WiSe’03.
Data Fusion Security (a problem known as “False data injection”) SIA, by Przydatek et al. in proc. of ACM SenSys’03.
Secure aggregation, by Hu et al. in workshop on security and assureance in Ad hoc Networks, 2003.
Witeness, by Du et al. in proc. of IEEE GLOBECOM’03.
SEF, by Ye et al. in proc. of IEEE INFOCOM’04.
Integrity protection, by Vogt et al. in technical report no. 434, ETH Zrich.
IHA, by Zhu et al. in proc. of IEEE S&P’04.
uTESLA, by Perrig et al. in proc. of ACM Mobicom’01.
LEAP, by Zhu et al. in proc. of ACM CCS’03.
Authentication based
18/43
향후 연구분야
Software only cryptography (best balance of security and Performance)
Efficient key management (support random key pre-distribution, PKC)
Robust multi-hop routing protocols (against node compromise & DoS attacks)
Location aware security (or context aware security)
Secure and resilient aggregation (towards False data injection)
참고 http://www.ccs.neu.edu/home/zhufeng/security_manet.html.
http://www.ee.ucla.edu/~saurabh/robust/. http://www.i2r.a-star.edu.sg/icsd/SecureSensor/Document.html
19/43
초경량 , 저전력 암호기술 ( 대칭키 )
Analyzing and Modeling Encryption Overhead for Sensor Network Nodes by Ganesan et al. , ACM’03
- 다양한 하드웨어 플랫폼에서의 암호알고리즘들의 수행속도 평가
- 4MHz 8-bit Atmel Atmega 103 ~ 400MHz 32-bit Intel XScale
20/43
초경량 , 저전력 암호기술 ( 대칭키 )
수행시간 (μs)
21/43
초경량 , 저전력 암호기술 ( 대칭키 )
현재 센서네트워크 (Berkeley Motes SPIN Project) 에서 암호알고리즘의 선택 : RC5
Atmega103 에서 RC5 와 RC4 의 비교 : RC4 가 약간 빠름 StrongARM 에서의 비교 : RC5 가 RC4 보다 3 배 더 빠름 Atmega 103 에서 RC5 가 IDEA 보다 1.5 배 더 빠름
22/43
초경량 , 저전력 암호기술 ( 대칭키 )
Ultra-Low-Power Universal Hash Functions, by Yuksel et al. in CNDS 2004
UMAC(Crypto’99) NH: Unconditionally Secure MAC
NH 보다 전력감소 및 속도가 빠른 NH 의 변형 PH, PR, WH UMAC 제안
“SmartDust” motes, RFID 등과 같은 초저력 응용환경에 적합
23/43
초경량 , 저전력 암호기술 ( 대칭키 )
24/43
초경량 , 저전력 암호기술 ( 공개키 )
Public Key Cryptography in Sensor Networks, by Gaubatz et al. in ESAS 2004
경량 (lightweight) 센서 노드에 탑재 가능한 저전력 공개키 암호로 Rabin, Ntru 구현
Rabin Scheme - 인수분해 문제의 어려움에 기반 - RSA 의 특별한 하나의 형태 , 1979년 , Rabin 이
제안
NtruEncrypt - SVP(Shortest Vector Problem) 의 어려움에 기반 - 1996년 , Hoffstein, Pipher 와 Silverman 이 제안
25/43
초경량 , 저전력 암호기술 ( 공개키 )
26/43
초경량 , 저전력 암호기술 ( 공개키 )
Low-Power ECC, by Ozturk et al. in CHES 2004 저전력을 요구하는 타원곡선 암호 구현 방법 제안
27/43
보안 프로토콜 (SPIN) SPINS: Security Protocols for Sensor Networks
UC Berkley 에서 개발
리소스가 제한된 무선통신 환경
두 개의 기본구조로 구성 : TESLA 와 SNEP
SNEP- Data Confidentiality- Two-party data authentication- Data Integrity- Freshness
TESLA- authenticated broadcast
28/43
SNEP SNEP : Secure Network Encryption Protocol
통신 참여자들은 서로 하나의 카운터를 공유 , 한 블록을 전송한 후 카운터를 증가
노드와 BS 는 마스터 비밀키 K 를 공유한 뒤 통신에 사용되는 키들을 마스터 키로 유도 (Ket Setup)
EKeymaster
Keyencryption
KeyMAC
Keyrandom
E : RC5 를 사용
29/43
암호화 /복호화 과정
E
Counter
Keyencryption E
Counter
Keyencryption
RC5-CTR mode Semantic security : 도청자가 암호화된 데이터를 추측하는 것으로부터 보호
PjPjCj
30/43
MAC
CBC-MAC : MAC(KMAC, C) 로 표기 입력의 모든 블록이 출력에 영향
E
P1
KMAC EKMAC
P2
EKMAC
P3
31/43
인증 및 기밀성
BS 는 모든 노드에 대한 공유 카운터를 유지 암호문에 사용된 카운터가 MAC 에 포함 Weak Freshness : MAC 에 사용되는 카운터 정보는 이전 메시지를
재생하여 보내는 공격을 방지
노드 A BS
{Msg}<Kencr, Counter>,MAC(KMAC, Counter | {Msg}<Kencr, Counter>)
Msg, MAC(KMAC, Msg)
32/43
PRNG
Nonce 생성방법 , 사용 후 카운터를 증가
RC5
Random Counter
Keyrandom
Pseudo-Random Number
33/43
Strong Freshness
PRNG 를 이용하여 Nonce 생성 송신자는 request 와 함께 Nonce포함하여 보냄 수신자는 Response 의 MAC 에 Nonce 를 포함
노드 A BS
{Response}<Kencr, Counter>,MAC(KMAC, Nonce | Counter | {Response}<Kencr, Counter>)
Request, Nonce
34/43
μTESLA
TESLA : Timed Efficient Streaming Loss-tolerant Authentication Protocol
브로드캐스트 인증방법
위조방지 : 비대칭 메커니즘의 필요
비대칭 전자서명을 사용할 수 없는 이유 - Expensive computation, storage, communication
Delayed key disclosure 방법 사용 - BS 와 노드 사이에 Loosely synchronized clocks 을 가정
35/43
Key Setup
Si = F(Si+1), where F is a one-way function. 환경설정 - 각 노드는 F 와 S0 를 알고있음 검증 : - Si = F(Si+1) ? 악의적인 노드는 F 와 S0 가 주어져도 그 다음에 해당되는 수를 추측할 수
없음 사용 : - Delayed release of symmetric keys (TESLA)
Sn … S0Sn-1
F FF
…seed Release this #
36/43
Broadcast
Time 을 각 interval 로 분할 키 Ki 를 각 interval i 에 할당 Interval i 에 보내지는 메시지는 키 Ki 를 이용하여 MAC 값을 계산 키 Ki 는 time i + 에 reveal
노드는 Ki 인증하고 Ki 이용하여 메시지를 인증
K0 K1 K2 K3 …0 1 2 3 4 time
37/43
TESLA 예 )
노드 A BS
Tnow, Ki, Ti, Tint, , MAC(Kmaster, Nonce | Tnow | …)
Nonce
Msg, MAC(Kj, Msg)
Kj
38/43
TESLA 예 )
interval j, BS 는 Msg 를 브로드캐스트 노드는 키 Kj 가 이전에 노출되었는지를 검증 노드는 Msg 저장
disclosure interval 시간 후 , BS 는 K j 브로드캐스트 노드는 F(Kj)=Kj-1, 혹은 F(F(Kj))=Kj-2, 등을 검증 노드는 Msg 의 MAC 값을 검증
노드 A 는 Nonce 를 BS 에 전달 BS 의 Response
- Tnow: Time at base station
- Ki: Previously disclosed key
- Ti: Starting time of interval i
- Tint: Interval duration
- : Disclosure delay
39/43
연구그룹 (Twente)
University of Twente EYES(Energy Efficient Sensor Network)
project : European research project (IST-2001-34734, 2002~2005)
http://wwwes.cs.utwente.nl/security/
40/43
연구그룹 (I2R)
InfoComm Security Department, Institute for Infocomm Research (I2R)
http://www.i2r.a-star.edu.sg/icsd/
41/43
연구그룹 (MANTIS)
MANTIS multithreaded sensor OS http://mantis.cs.colorado.edu
42/43
연구그룹 (CU-Boulder’s CCSC)
CU-Boulder’s Security Center http://www.ccsc.colorado.edu
43/43
감사합니다E-mail : [email protected]