ASKERİ ASKERİ İŞBİRLİKLİ NESNE İŞBİRLİKLİ NESNE

AĞLARINDA GÜVENLİKAĞLARINDA GÜVENLİK

Pelin Ç. NarPelin Ç. Narİbrahim Bilginİbrahim Bilgin

ÖZETÖZET

İşbirlikli Nesne Ağlarıİşbirlikli Nesne AğlarıDuyarga düğüm

Tetikleyici düğüm

Düğümlerin donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı maliyet

GÜVENLİK AÇIĞI

Bu çalışmada;Bu çalışmada;işbirlikli nesne ağlarının güvenliğine etki eden özellikleri,

bu özelliklerden kaynaklanan güvenlik açıkları,

muhtemel saldırı türleri ve çözüm önerileri

KonularKonular

İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir?

İşbirlikli Nesne Ağlarının kullanım alanlarıİşbirlikli Nesne Ağlarının kullanım alanları

İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının Özellikleri

KonularKonular

İşbirlikli Nesne Ağlarında Güvenlikİşbirlikli Nesne Ağlarında Güvenlik

Etki eden FaktörlerEtki eden Faktörler Güvenlik AçıklarıGüvenlik Açıkları Saldırı YöntemleriSaldırı Yöntemleri Güvenlik ÇözümleriGüvenlik Çözümleri

SonuçSonuç

İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir? Duyarga (sensor) ve tetikleyici (actuator) ağlarının imkan

ve kabiliyetlerinden daha iyi istifade edebilme arayışı

İşbirlikli Nesne Ağlarıİşbirlikli Nesne Ağları

işbirlikli nesneler (YN) “belli bir amacı gerçekleştirmek üzere, ortamla ve birbirleriyle etkileşebilen ve iş birliği içerisinde üzerlerine düşen görevleri otonom olarak gerçekleştirebilen duyargalar, tetikleyiciler ve yardımlaşan nesneler şeklinde tanımlanabilir.

Heterojen YapıHeterojen Yapı

Duyarga Ağı YapısıDuyarga Ağı Yapısı

Duyarga (sensor) ve tetikleyici (actuator) ağlarının yapısı

Sink

Task Manager

Node

Sensor/Actor field Sensor Actor

İşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının Kullanım AlanlarıKullanım Alanları

Ana kara güvenliği (Homeland security)

Askeri sistemler (Military applications)

Yıkım onarımı (Disaster recovery)

Arama kurtarma (Search and rescue)

Sağlık (Health care)

zaman-kritik ,hayati önem arz eden

İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının ÖzellikleriSualtı Gözetleme ve Savunma Sistemi

SGS Sistemi SGSS İlişki Şeması

ROBOAT: küçük ve hafif suüstü vasıtaları -> YN tahrik sistemi+radyo transiver Görevleri: denizaltı duyargalarını (DD) harekat sahasına dağıtmaktır.

Denizaltı duyargaları (DD) ->YN

• ses, sıcaklık ve manyetik duyargaları,• bir adet radyo alıcı/vericisi,• deniz içerisinde aşağı yukarı hareket edebilmeyi sağlayan

bir mekanizma • düğümün satıhta kalmasını sağlayan ve radyo alıcı/vericisini

üzerinde bulunduran bir şamandıra

ROBOAT’lar tarafından su sathına bırakılan her DD, harekat sahasının maksimum kaplamasını sağlamak üzere kendi derinliğini otomatik olarak ayarlamaktadır.

Duyargalardan herhangi birinin muhtemel bir denizaltı teması alması durumunda:

bahse konu bölgenin daha hassas algılanması maksadıyla ROBOAT’lar tarafından o bölgeye ilave duyargalar atılmaktadır.

Temasın kesin denizaltı olarak sınıflandırılması durumunda, ROBOAT’lar tarafından durum bir işaret ile kendilerini bölgeye getiren suüstü aracına bildirilmekte ve torpido angajmanı için bölge boşaltılmaktadır.

Torpido angajman sonucunun değerlendirlmesi de yine ROBOAT’lar tarafından bölgeye atılan uygun duyargalara sahip YN’ler tarafından gerçekleştirilmektedir.

Görev sonunda suüstü aracı tarafından yapılan bir yayımla tüm düğümler duyargalarını satha çekmekte ve düğümler ROBOAT’lar tarafından toplanmaktadır.

İşbirlikli Nesne Ağlarında İşbirlikli Nesne Ağlarında GüvenlikGüvenlik

Kullanım alanlarından dolayı güvenlik Kullanım alanlarından dolayı güvenlik önemli bir ihtiyaçönemli bir ihtiyaç Askeri alandaki kullanımAskeri alandaki kullanım Kritik bilgilerin taşınmasıKritik bilgilerin taşınması

Güvenliğe Etki Eden FaktörlerGüvenliğe Etki Eden FaktörlerDonanımsal KısıtlılıkDonanımsal KısıtlılıkKablosuz İletişimKablosuz İletişimHeterojen YapıHeterojen YapıÖlçeklenebillirlik İhtiyacıÖlçeklenebillirlik İhtiyacıGezginlikGezginlikOrtamOrtamMaaliyetMaaliyetGerçek Zamanda İşlem İhtiyacıGerçek Zamanda İşlem İhtiyacı

Donanımsal KısıtlılıkDonanımsal KısıtlılıkÖrnek: MICA mote (duyarga düğümü)Örnek: MICA mote (duyarga düğümü)

Özellikler HarcamaCPU 4 MHz 8-bit Atmel ATMEGA 103 5.5 mA – Aktif (3V)

50 µA – Pasif (3V)

Bellek 128 KB Komut

512 KB Veri (Flash)

Haberleşme RFM radyo 916 MHz – 10’larca metre kapsama alanı

12 mA – Verici4.8 mA – Alıcı 5 µA – Uykuda

Band Genişliği

40 Kbps

Güç Kaynağı

2 AA Pil – 2850 mA – 3V

DD ve ROBOAT İletişim DonanımıDD ve ROBOAT İletişim Donanımı

Donanımsal KısıtlılıkDonanımsal Kısıtlılık

Klasik güvenlik uygulamaları kapasitenin Klasik güvenlik uygulamaları kapasitenin üzerindeüzerindeGerçek- Zaman (Real-time) kısıtıGerçek- Zaman (Real-time) kısıtıUzun süre çalışma – Enerji tasarrufuUzun süre çalışma – Enerji tasarrufuDüşük band genişliğiDüşük band genişliği

Kablosuz İletişim OrtamıKablosuz İletişim Ortamı

Gürültüye açıkGürültüye açıkGüç harcaması kısıtından dolayı menzil Güç harcaması kısıtından dolayı menzil kısıtlı:kısıtlı:

Doğrudan baz istasyonuna iletim yerine Doğrudan baz istasyonuna iletim yerine düğümden düğümedüğümden düğüme (multi-hop) yöntemi (multi-hop) yöntemi

Heterojen YapıHeterojen YapıYN YN basit bir düğüm basit bir düğüm Diğer YN’lerin bir araya gelmesiyle olusan üst Diğer YN’lerin bir araya gelmesiyle olusan üst

düzey bir nesne de olabilir.düzey bir nesne de olabilir.Yazılımlar bu heterojen yapıyı idare Yazılımlar bu heterojen yapıyı idare edebilmek için daha karmaşık bir yapıya edebilmek için daha karmaşık bir yapıya sahipsahip

Bu da güvenlik açıklarına sebep olmaktaBu da güvenlik açıklarına sebep olmakta

ÖlçeklenebilirlikÖlçeklenebilirlik

Temel ihtiyaçlardan biriTemel ihtiyaçlardan biriDevre dışı kalan düğümlerin yerini Devre dışı kalan düğümlerin yerini yenilerinin alması söz konusuyenilerinin alması söz konusuDinamik bir ağ topolojisi şartDinamik bir ağ topolojisi şart

Dinamik topoloji güvenlik problemlerini Dinamik topoloji güvenlik problemlerini beraberinde getiriyorberaberinde getiriyor

Gezginlik (Mobility)Gezginlik (Mobility)

Kendileri hareketli olabilirKendileri hareketli olabilirOrtam hareketiyle pasif bir harekete sahip Ortam hareketiyle pasif bir harekete sahip olabilirlerolabilirler

Dinamik yönlendirme ile birlikte güvenlik Dinamik yönlendirme ile birlikte güvenlik problemi artıyorproblemi artıyor

Ortam ÖzellikleriOrtam Özellikleri

Zorlu ortamlarZorlu ortamlar Kimyasal kirlilikKimyasal kirlilik DenizDeniz Açık havaAçık hava Yıkım bölgeleriYıkım bölgeleri

Çevresel faktörlere/saldırganlara açık Çevresel faktörlere/saldırganlara açık

MaliyetMaliyet

İnsan güvenliğini daha az tehlikeye İnsan güvenliğini daha az tehlikeye sokmaları tercih sebebisokmaları tercih sebebiDüğümlerin toplam maliyeti düşük olmalıDüğümlerin toplam maliyeti düşük olmalıYoksa tercih sebepleri azalacaktırYoksa tercih sebepleri azalacaktır

Maaliyet – Güvenlik ikilemiMaaliyet – Güvenlik ikilemi

Gerçek Zamanlı İşlem İhtiyacıGerçek Zamanlı İşlem İhtiyacı

Zaman- kritik, hayati uygulamalarda Zaman- kritik, hayati uygulamalarda kullanılmaktalarkullanılmaktalarGerçek zamanda (real-time)işlem ihtiyacı Gerçek zamanda (real-time)işlem ihtiyacı doğuyordoğuyorGüvenlik uygulamaları işlem yükü getirirGüvenlik uygulamaları işlem yükü getirir

Güvenlik - Gerçek zamanda işlem ikilemiGüvenlik - Gerçek zamanda işlem ikilemi

Güvenlik AçıklarıGüvenlik Açıkları

Bazı kabullenmeler gerekli:Bazı kabullenmeler gerekli: Kablosuz iletişim güvensizdirKablosuz iletişim güvensizdir Fiziksel ortam güvensizdirFiziksel ortam güvensizdir Düğümler ele geçirilip ağa karşı kullanılabilirDüğümler ele geçirilip ağa karşı kullanılabilir Düğümler ele geçirilip sahip oldukları bilgi ve Düğümler ele geçirilip sahip oldukları bilgi ve

yazılım saldırgan lehine kullanılabiliryazılım saldırgan lehine kullanılabilir Baz istasyonları güvenlidirBaz istasyonları güvenlidir

Tehdit GruplarıTehdit Grupları

Gizliliğe yönelikGizliliğe yönelikBütünlüğe yönelikBütünlüğe yönelikKullanılabilirliğe yönelikKullanılabilirliğe yönelik

Gizliliğe Yönelik TehditlerGizliliğe Yönelik Tehditler

Pasif dinleme:Pasif dinleme: Uygun yerden paketler pasif olarak Uygun yerden paketler pasif olarak

dinlenebilirdinlenebilir

İşbirlikçi düğüm kullanma:İşbirlikçi düğüm kullanma: Casus düğümler yardımıyla bilgi sızdırmaCasus düğümler yardımıyla bilgi sızdırma

Bütünlüğe Yönelik TehditlerBütünlüğe Yönelik TehditlerTemelde: Asılama + veri bütünlüğü hedef alınırTemelde: Asılama + veri bütünlüğü hedef alınır2 tip saldırı:2 tip saldırı: Duyulan veri değiştirilerek ağa verilirDuyulan veri değiştirilerek ağa verilir Ağa doğrudan yanlış bilgi enjekte edilirAğa doğrudan yanlış bilgi enjekte edilir

Tümüyle kullanılmaz durumda veriTümüyle kullanılmaz durumda veriKullanılabilir ancak yanlış bilgiKullanılabilir ancak yanlış bilgi

İki yöntem kullanılabilir:İki yöntem kullanılabilir: Dinleme ve Aktif İletimDinleme ve Aktif İletim İşbirlikçi Düğüm Kullanmaİşbirlikçi Düğüm Kullanma

Ağların kullanım alanlarından dolayı doğru Ağların kullanım alanlarından dolayı doğru bilgilendirme hayati önem taşıyabilirbilgilendirme hayati önem taşıyabilir

Kullanılabilirliğe Yönelik TehditlerKullanılabilirliğe Yönelik Tehditler

Kullanılabilirlik: Kullanılabilirlik: ““Tasarlandıkları amaca hizmet etme”Tasarlandıkları amaca hizmet etme” Duyargalar vasıtasıyla algılamak ve tetikleyiciler Duyargalar vasıtasıyla algılamak ve tetikleyiciler

vasıtasyla uygun tepkiyi göstermekvasıtasyla uygun tepkiyi göstermekDoS (Denial of Service) saldırıları servis dışı DoS (Denial of Service) saldırıları servis dışı bırakmayı amaçlar.bırakmayı amaçlar.Gerçekleştirme yöntemleri:Gerçekleştirme yöntemleri: Fiziksel katmanda yapılan saldırılarFiziksel katmanda yapılan saldırılar Güç tüketimini arttırmaya yönelik saldırılarGüç tüketimini arttırmaya yönelik saldırılar

Temelde gerekjsiz trafik yaratılmasıTemelde gerekjsiz trafik yaratılması İşbirlikçi düğümlerin kullanılmasıİşbirlikçi düğümlerin kullanılması

Saldırı YöntemleriSaldırı Yöntemleri1.1. Taklit edilen, değiştirilen veya yinelenen Taklit edilen, değiştirilen veya yinelenen

yönlendirme bilgisiyönlendirme bilgisi2.2. Seçici İletimSeçici İletim3.3. Sinkhole SaldırısıSinkhole Saldırısı4.4. Sybil SaldısısıSybil Saldısısı5.5. Solucan DelikleriSolucan Delikleri6.6. Hello Baskın SaldırısıHello Baskın Saldırısı7.7. Alındı TaklidiAlındı Taklidi

1. Taklit Edilen, Değiştirilen ve 1. Taklit Edilen, Değiştirilen ve Yinelenen Yönlendirme BilgisiYinelenen Yönlendirme BilgisiHedef, doğrudan ağ yönlendirmesidirHedef, doğrudan ağ yönlendirmesidirYönlendirme bilgisiYönlendirme bilgisi Taklit edilirTaklit edilir DeğiştirilirDeğiştirilir YinelenirYinelenirAmaç:Amaç: Yönlendirme döngüleri oluşturmakYönlendirme döngüleri oluşturmak Ağ trafiğinin belli bölgelere ulaşımını engelemekAğ trafiğinin belli bölgelere ulaşımını engelemek Trafiği istenen casus düğümlere yönlendirmekTrafiği istenen casus düğümlere yönlendirmek Trafik yollarını uzatmak/kısaltmakTrafik yollarını uzatmak/kısaltmak Ağı parçalamakAğı parçalamak

2. Seçici İletim (Selective 2. Seçici İletim (Selective Forwarding)Forwarding)

Paketlerin alıcıya (çoğunlukla baz Paketlerin alıcıya (çoğunlukla baz istasyonuna) ulaşmasının engellenmesiistasyonuna) ulaşmasının engellenmesiÇeşitli yöntemler kullanılarak gerçeklenirÇeşitli yöntemler kullanılarak gerçeklenir2 şekilde olabilir2 şekilde olabilir Kara Delik: Alınan tüm paketler ağdan Kara Delik: Alınan tüm paketler ağdan

düşürülür. (Tespit edilmesi kolay)düşürülür. (Tespit edilmesi kolay) Seçici: Bazı paketler dışındakiler normal bir Seçici: Bazı paketler dışındakiler normal bir

şekilde iletilir. (Tespit edilmesi zor)şekilde iletilir. (Tespit edilmesi zor)

3. Sinkhole Saldırıları3. Sinkhole SaldırılarıAğ trafiğini belli bir merkeze odaklamak Ağ trafiğini belli bir merkeze odaklamak amaçlanıramaçlanırAğa cazip bir yönlendirme bilgisi sunulurAğa cazip bir yönlendirme bilgisi sunulurTakdim edilen yönlendirme bilgisi:Takdim edilen yönlendirme bilgisi:Sahte olabilirSahte olabilirDoğru (Ağ dışından daha güçlü bir Doğru (Ağ dışından daha güçlü bir bağlantıyla direkt baz istasyonuna iletim) bağlantıyla direkt baz istasyonuna iletim) olabilir.olabilir.Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir

4. Sybil Saldırıları4. Sybil Saldırıları

Casus düğüm ağa kendini farklı kimliklerle Casus düğüm ağa kendini farklı kimliklerle tanıtırtanıtırÇoklu yol (Multi-path) yönteminde bütün Çoklu yol (Multi-path) yönteminde bütün paketler ayni casus düğüme gönderiliyor paketler ayni casus düğüme gönderiliyor olabilir.olabilir.Cğrafi yönlendirme ağlarında kendilerini Cğrafi yönlendirme ağlarında kendilerini birkaç noktada bulunuyormuş gibi birkaç noktada bulunuyormuş gibi gösterebilirlergösterebilirler

Örnek: Coğrafi Yönlendirmeye Örnek: Coğrafi Yönlendirmeye Sybil SaldırısıSybil Saldırısı

A1(2,3)

A2(2,1)

A3(1,2)C(0,2) B(2,2)

A (3,2)

A at (3,2)

A1at (2,3)

A2at (2,1)

A3at (1,2)

5. Solucan Delikleri (Wormholes)5. Solucan Delikleri (Wormholes)

Ağın Bir Bölgesinden alınan mesajların Ağın Bir Bölgesinden alınan mesajların başka bir bölgesine gecikmesi az olan bir başka bir bölgesine gecikmesi az olan bir bağlantı üzerinden tünellenmesidirbağlantı üzerinden tünellenmesidir2 iş birlikçi düğüm2 iş birlikçi düğümHop sayısı düşük gösterilerek etraftaki Hop sayısı düşük gösterilerek etraftaki düğümler için cazip bir yol sağlanır.düğümler için cazip bir yol sağlanır.Sinkhole ve seçici yönlendirme saldırıları Sinkhole ve seçici yönlendirme saldırıları ile birlikte kullanılır.ile birlikte kullanılır.

Örnek: Solucan DeliğiÖrnek: Solucan Deliği

Base

6. Hello Baskın Saldırısı6. Hello Baskın Saldırısı

Güçlü vericiye sahip saldırgan düğüm ağa Güçlü vericiye sahip saldırgan düğüm ağa hello mesajı gönderirhello mesajı gönderirMesajı alanlar saldırgan düğüme komşu Mesajı alanlar saldırgan düğüme komşu olduklarıdı düşünürolduklarıdı düşünürBu düğümlerin çıkış güçleri yeterli Bu düğümlerin çıkış güçleri yeterli olmayacağından bu düğüme gönderilen olmayacağından bu düğüme gönderilen mesajlar kaybolurmesajlar kaybolurAğ trafiğini kesebilirAğ trafiğini kesebilir

Örnek: Hello Baskın SaldırısıÖrnek: Hello Baskın Saldırısı

7. Alındı Taklidi 7. Alındı Taklidi (Acknowledgement Spoofing)(Acknowledgement Spoofing)Link katmanı alındı paketleri kulanılırLink katmanı alındı paketleri kulanılırDüğümlerin gönderdiği paketler için sahte Düğümlerin gönderdiği paketler için sahte alındı yollanır.alındı yollanır.Zayıf bir linkin çalıştığı veya ölü bir Zayıf bir linkin çalıştığı veya ölü bir düğümün canlı olduğu izlenimi verilebilir.düğümün canlı olduğu izlenimi verilebilir.Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir

Güvenlik ÇözümleriGüvenlik Çözümleri

TinySecTinySecSPINSSPINSEnerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik ProtokolüSeviyelendirilmiş Güvenlik KatmanlarıSeviyelendirilmiş Güvenlik KatmanlarıKarantina Bölgesi YöntemiKarantina Bölgesi Yöntemi

TinySecTinySec

Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmişBağlantı Katmanı üzerinde tanımlıBağlantı Katmanı üzerinde tanımlıYetkisiz mesajlar baz istasyonuna Yetkisiz mesajlar baz istasyonuna ulaşmadan, ağa ilk girişte yakalanması ulaşmadan, ağa ilk girişte yakalanması amaçlanmışamaçlanmışDoS saldırılarına karşı etkiliDoS saldırılarına karşı etkili

TinySec: GerçeklenmeTinySec: Gerçeklenme2 şekilde:2 şekilde:

Asıllama+şifrelemeAsıllama+şifreleme Sadece asıllamaSadece asıllama

Asıllama için paketlere sasıllama kodu (MAC) eklenirAsıllama için paketlere sasıllama kodu (MAC) eklenirŞifrelemede:Şifrelemede:

Skipjack blok şifrelemesiSkipjack blok şifrelemesi IV (8 Byte)IV (8 Byte) Şifre Bloğu Zincirlemesi (CBC) Şifre Bloğu Zincirlemesi (CBC)

Anahtarlama güvenlik seviyesine bağlıAnahtarlama güvenlik seviyesine bağlı Örn: Her ağ için bir anahtar çifti:Örn: Her ağ için bir anahtar çifti:

1.1. Veriyi şifrelemek içinVeriyi şifrelemek için2.2. MAC hesaplaması içinMAC hesaplaması için

Tinysec: Performans YüküTinysec: Performans Yükü

Asıllama + Şifreleme kullanılıyorsaAsıllama + Şifreleme kullanılıyorsa Band genişliğinde %10 ek yükBand genişliğinde %10 ek yük

Sadece asıllama kullanılıyorsa:Sadece asıllama kullanılıyorsa: Band genişliğinde %3 ek yük Band genişliğinde %3 ek yük

SPINS(Security Protocols For SPINS(Security Protocols For Sensor Networks)Sensor Networks)

Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmişTemelde 2 protokol yapı taşıTemelde 2 protokol yapı taşı µµTESLATESLA SNEPSNEP

SNEPSNEP

Semantik Güvenlik: Semantik Güvenlik: Birden fazla şifreli kopyadan açık metin Birden fazla şifreli kopyadan açık metin

çıkarılamazçıkarılamaz Her mesaj alış verişinde arttırılan, paylaşılan Her mesaj alış verişinde arttırılan, paylaşılan

bir sayaç sayesinde gerçeklenir (IV)bir sayaç sayesinde gerçeklenir (IV) Blok şifreleyicileri sayaç madunda çalışır Blok şifreleyicileri sayaç madunda çalışır

(CTR):(CTR):Sayaç her blokta arttırılırSayaç her blokta arttırılır

SNEPSNEPKimlik Kanıtlaması: Kimlik Kanıtlaması: MACMACTekrar koruması: Tekrar koruması: Sayaç MAC içinde karşıya gönderilirSayaç MAC içinde karşıya gönderilirTazelik Tespiti:Tazelik Tespiti: MAC içinde karşıya gönderilen sayaç MAC içinde karşıya gönderilen sayaç

garantilergarantilerDüşük haberleşme Ek Yükü: Sayaç alıcı Düşük haberleşme Ek Yükü: Sayaç alıcı ve vericide tutulduğu için az. (8 Byte)ve vericide tutulduğu için az. (8 Byte)

SNEPSNEPŞifrelenmiş veri: E = {D} (Kencr,C)MAC: M = MAC (Kmac,C|E)Şifreleme ve MAC anahtarları K anahtarından elde edilirA -> B: {D} (Kencr,C) ,MAC (Kmac,C|{D} (Kencr,C))- D açık metin- C başlangıç vektörü (IV)- Kencr şifreleme anahtarı- Kmac MAC alma anahtarı

µµTESLATESLAAsıllanmış çoklu yayın (Broadcast) için kullanılırAsıllanmış çoklu yayın (Broadcast) için kullanılırAsıllama simetrik yapılırAsıllama simetrik yapılırSadece gönderen tarafından bilinen bir anahtar Sadece gönderen tarafından bilinen bir anahtar ve tek yönlü bir fonksiyonla MAC oluşturulur.ve tek yönlü bir fonksiyonla MAC oluşturulur.Anahtar mesajdan bir süre sonra yayınlanır.Anahtar mesajdan bir süre sonra yayınlanır.Arabellekte tutulan paket alınan anahtar bilgisi Arabellekte tutulan paket alınan anahtar bilgisi ile asıllanır.ile asıllanır.Paket içeriğinin değiştirilme ihtimali ortadan Paket içeriğinin değiştirilme ihtimali ortadan kalkmış olur.kalkmış olur.

Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü

NOVSF(Orthogonal Variable )NOVSF(Orthogonal Variable ) Her duyargaya atılmadan önce bir anahtar Her duyargaya atılmadan önce bir anahtar

verilirverilir Anahtar baz istasyonu tarafından bilinirAnahtar baz istasyonu tarafından bilinir Baz istasyonu periyodik olarak yeni oturum Baz istasyonu periyodik olarak yeni oturum

anahtarı yayımlaranahtarı yayımlar Düğüm yeni anahtarı ve yeni oturum Düğüm yeni anahtarı ve yeni oturum

anaharını kullanarak kendi gizli oturum anaharını kullanarak kendi gizli oturum anahtarını elde ederanahtarını elde eder

Asıllama + Veri Tazeliği sağlar Asıllama + Veri Tazeliği sağlar

Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü

Ek tedbir: NOVSF kod atlamasıEk tedbir: NOVSF kod atlaması64 zaman yuvası (time sloth)64 zaman yuvası (time sloth)Bir çoklayıcıyla her oturumda veri blokları Bir çoklayıcıyla her oturumda veri blokları farklı permütasyonla bu zaman yuvaların farklı permütasyonla bu zaman yuvaların aktarılıraktarılırBaz istasyonu küme başlarına (Cluser Baz istasyonu küme başlarına (Cluser Head) periyodik olarak yeni Head) periyodik olarak yeni permütasyonlar gönderir.permütasyonlar gönderir.Çift katlı bir güvenik oluşturulmuş olur.Çift katlı bir güvenik oluşturulmuş olur.

NOVSF Kod AtlamasıNOVSF Kod Atlaması

Blok 1 Blok 2 Blok 3 Blok 8

NOVSFYuva 1

NOVSFYuva 2

NOVSFYuva 3

NOVSFYuva 8

. . . .

. . . .

Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları

Amaç: Güvenlik için minimum enerji sarfiyatıAmaç: Güvenlik için minimum enerji sarfiyatıTaşınan veriye göre güvenlik seviyelendirilmişTaşınan veriye göre güvenlik seviyelendirilmiş Gezgin kodGezgin kod Duyarga mevkiiDuyarga mevkii Uygulamaya özel veriUygulamaya özel veri

Şifrelemede RC6 kullanılıyorŞifrelemede RC6 kullanılıyorRC6’nın tur sayısı güvenlik seviyesine göre RC6’nın tur sayısı güvenlik seviyesine göre tespit ediliyortespit ediliyor

RC6:RC6: RC5 in aynı; AESnin 128 bit giriş/çıkış 128 RC5 in aynı; AESnin 128 bit giriş/çıkış 128 bit blok uzunluğu gerekliliğini uygular.bit blok uzunluğu gerekliliğini uygular.

Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları

Güvenlik Seviyesi 1:Güvenlik Seviyesi 1: Gezgin kod ağ içinde daha az dolaşırGezgin kod ağ içinde daha az dolaşır En üst seviye güvenlikEn üst seviye güvenlik

Güvenlik Seviyesi 2:Güvenlik Seviyesi 2: Duyarga mevkiileri her mesajda yer alırDuyarga mevkiileri her mesajda yer alır Güçlü şifreleme ek yükGüçlü şifreleme ek yük Mevkii bilgisinin ele geçirilmesi riskliMevkii bilgisinin ele geçirilmesi riskli Ağ hücrelere bölünerek mevkii tabanlı anahtarlar Ağ hücrelere bölünerek mevkii tabanlı anahtarlar

kullanılırkullanılırGüvenlik Seviyesi 3Güvenlik Seviyesi 3 Ağda en sık dolaşan uygulamaya özel verilerdirAğda en sık dolaşan uygulamaya özel verilerdir Güvenlikten bir miktar ödün verilebilirGüvenlikten bir miktar ödün verilebilir

Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi

Spam saldırılarına karşı geliştirilmişSpam saldırılarına karşı geliştirilmişSpam Saldırısı Tespiti:Spam Saldırısı Tespiti: Baz istasyonu gelen mesajları içeriğe göre Baz istasyonu gelen mesajları içeriğe göre

filtreler vefiltreler ve çok fazla hatalı mesaj gönderen düğümleri çok fazla hatalı mesaj gönderen düğümleri

tespit edertespit eder Belli bir bölgeden gelen mesajları frekans Belli bir bölgeden gelen mesajları frekans

analizine tutarak anormalliklere bakaranalizine tutarak anormalliklere bakar

Karantina Bölgesi YöntemiKarantina Bölgesi YöntemiKarantina Bölgesinin Oluşturulması:Karantina Bölgesinin Oluşturulması: Spam saldırısı tespit eden baz istasyonu durumu ağa Spam saldırısı tespit eden baz istasyonu durumu ağa

yayınlaryayınlar Haberdar olan düğümler belirli bir süre asıllanmamış Haberdar olan düğümler belirli bir süre asıllanmamış

mesaj yönlendirmezlermesaj yönlendirmezler Asıllanmamış mesajlar için kaynağa asıllanma Asıllanmamış mesajlar için kaynağa asıllanma

isteğinde bulunurlaristeğinde bulunurlar Gönderenin bunu başarı ile gerçekleştirememesi Gönderenin bunu başarı ile gerçekleştirememesi

durumunda alıcı kendini karantina bölgesinde kabul durumunda alıcı kendini karantina bölgesinde kabul eder ve komşuları ile mesajlaşmayı asıllama yaparak eder ve komşuları ile mesajlaşmayı asıllama yaparak devam ettirir.devam ettirir.

Karantina Bölgesi YöntemiKarantina Bölgesi YöntemiAsıllama:Asıllama: Düğümlere yüklü gizli bir anahtar bulunurDüğümlere yüklü gizli bir anahtar bulunur Anahtar + HMAC fonksiyonuyla elde edilen Anahtar + HMAC fonksiyonuyla elde edilen

kod mesaj başlığına eklenirkod mesaj başlığına eklenir Veri tazeliğini belirlemek için başlığa bir de Veri tazeliğini belirlemek için başlığa bir de

sayaç eklenirsayaç eklenirKarantinanın Kalkması:Karantinanın Kalkması: Karantina süresince komşulardan başarısız Karantina süresince komşulardan başarısız

bir asıllama faaliyeti tespit edilmezse bir asıllama faaliyeti tespit edilmezse karantina modundan çıkılır.karantina modundan çıkılır.

SonuçSonuçİşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının donanımsal kısıtları, kablosuz iletişim donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı ve maliyetortam şartlarının ağırlığı ve maliyet gibi hususlardan kaynaklanan gibi hususlardan kaynaklanan kendilerine özgü özellikleri, klasik bilgisayar ağları için kendilerine özgü özellikleri, klasik bilgisayar ağları için geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini engellemektedir. engellemektedir.

YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına neden olacaktır. Henüz teorik temellerinin oluşturulması neden olacaktır. Henüz teorik temellerinin oluşturulması aşamasında bulunan bu ağların başarısında ve kabul görmesinde aşamasında bulunan bu ağların başarısında ve kabul görmesinde en belirleyici unsurlardan biri olacak olan güvenlik konusunun da en belirleyici unsurlardan biri olacak olan güvenlik konusunun da bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun olacağı değerlendirilmektedir.olacağı değerlendirilmektedir.

KaynaklarKaynaklarMithat Dağlar Erdal Çayırcı, “Yardımlaşan Nesne Ağlarında Güvenlik Sorunları ve Çözümler”, ABG 2005.

E.Cayirci, M. Dağlar, C. Çiftci “Functional and Physical Decomposition of Cooperating Objects,” Teknik Rapor, Deniz Bilimleri ve Mühendisliği Enstitüsü, Deniz Harp Okulu, Tuzla, Istanbul.

Chris Karlof, David Wagner, “Secure routing in wireless sensor networks: Attacks and countermeasures”, Proceedings of the 1st IEEE International Workshop on Sensor Network Protocols and Applications, May 11, 2003.

Erdal Cayirci, “Wireless Sensor and Actuator Networks”, IEEE Tutorial Now.