ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK
description
Transcript of ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK
ASKERİ ASKERİ İŞBİRLİKLİ NESNE İŞBİRLİKLİ NESNE
AĞLARINDA GÜVENLİKAĞLARINDA GÜVENLİK
Pelin Ç. NarPelin Ç. Narİbrahim Bilginİbrahim Bilgin
ÖZETÖZET
İşbirlikli Nesne Ağlarıİşbirlikli Nesne AğlarıDuyarga düğüm
Tetikleyici düğüm
Düğümlerin donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı maliyet
GÜVENLİK AÇIĞI
Bu çalışmada;Bu çalışmada;işbirlikli nesne ağlarının güvenliğine etki eden özellikleri,
bu özelliklerden kaynaklanan güvenlik açıkları,
muhtemel saldırı türleri ve çözüm önerileri
KonularKonular
İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir?
İşbirlikli Nesne Ağlarının kullanım alanlarıİşbirlikli Nesne Ağlarının kullanım alanları
İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının Özellikleri
KonularKonular
İşbirlikli Nesne Ağlarında Güvenlikİşbirlikli Nesne Ağlarında Güvenlik
Etki eden FaktörlerEtki eden Faktörler Güvenlik AçıklarıGüvenlik Açıkları Saldırı YöntemleriSaldırı Yöntemleri Güvenlik ÇözümleriGüvenlik Çözümleri
SonuçSonuç
İşbirlikli Nesne Ağları nedir?İşbirlikli Nesne Ağları nedir? Duyarga (sensor) ve tetikleyici (actuator) ağlarının imkan
ve kabiliyetlerinden daha iyi istifade edebilme arayışı
İşbirlikli Nesne Ağlarıİşbirlikli Nesne Ağları
işbirlikli nesneler (YN) “belli bir amacı gerçekleştirmek üzere, ortamla ve birbirleriyle etkileşebilen ve iş birliği içerisinde üzerlerine düşen görevleri otonom olarak gerçekleştirebilen duyargalar, tetikleyiciler ve yardımlaşan nesneler şeklinde tanımlanabilir.
Heterojen YapıHeterojen Yapı
Duyarga Ağı YapısıDuyarga Ağı Yapısı
Duyarga (sensor) ve tetikleyici (actuator) ağlarının yapısı
Sink
Task Manager
Node
Sensor/Actor field Sensor Actor
İşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının Kullanım AlanlarıKullanım Alanları
Ana kara güvenliği (Homeland security)
Askeri sistemler (Military applications)
Yıkım onarımı (Disaster recovery)
Arama kurtarma (Search and rescue)
Sağlık (Health care)
zaman-kritik ,hayati önem arz eden
İşbirlikli Nesne Ağlarının Özellikleriİşbirlikli Nesne Ağlarının ÖzellikleriSualtı Gözetleme ve Savunma Sistemi
SGS Sistemi SGSS İlişki Şeması
ROBOAT: küçük ve hafif suüstü vasıtaları -> YN tahrik sistemi+radyo transiver Görevleri: denizaltı duyargalarını (DD) harekat sahasına dağıtmaktır.
Denizaltı duyargaları (DD) ->YN
• ses, sıcaklık ve manyetik duyargaları,• bir adet radyo alıcı/vericisi,• deniz içerisinde aşağı yukarı hareket edebilmeyi sağlayan
bir mekanizma • düğümün satıhta kalmasını sağlayan ve radyo alıcı/vericisini
üzerinde bulunduran bir şamandıra
ROBOAT’lar tarafından su sathına bırakılan her DD, harekat sahasının maksimum kaplamasını sağlamak üzere kendi derinliğini otomatik olarak ayarlamaktadır.
Duyargalardan herhangi birinin muhtemel bir denizaltı teması alması durumunda:
bahse konu bölgenin daha hassas algılanması maksadıyla ROBOAT’lar tarafından o bölgeye ilave duyargalar atılmaktadır.
Temasın kesin denizaltı olarak sınıflandırılması durumunda, ROBOAT’lar tarafından durum bir işaret ile kendilerini bölgeye getiren suüstü aracına bildirilmekte ve torpido angajmanı için bölge boşaltılmaktadır.
Torpido angajman sonucunun değerlendirlmesi de yine ROBOAT’lar tarafından bölgeye atılan uygun duyargalara sahip YN’ler tarafından gerçekleştirilmektedir.
Görev sonunda suüstü aracı tarafından yapılan bir yayımla tüm düğümler duyargalarını satha çekmekte ve düğümler ROBOAT’lar tarafından toplanmaktadır.
İşbirlikli Nesne Ağlarında İşbirlikli Nesne Ağlarında GüvenlikGüvenlik
Kullanım alanlarından dolayı güvenlik Kullanım alanlarından dolayı güvenlik önemli bir ihtiyaçönemli bir ihtiyaç Askeri alandaki kullanımAskeri alandaki kullanım Kritik bilgilerin taşınmasıKritik bilgilerin taşınması
Güvenliğe Etki Eden FaktörlerGüvenliğe Etki Eden FaktörlerDonanımsal KısıtlılıkDonanımsal KısıtlılıkKablosuz İletişimKablosuz İletişimHeterojen YapıHeterojen YapıÖlçeklenebillirlik İhtiyacıÖlçeklenebillirlik İhtiyacıGezginlikGezginlikOrtamOrtamMaaliyetMaaliyetGerçek Zamanda İşlem İhtiyacıGerçek Zamanda İşlem İhtiyacı
Donanımsal KısıtlılıkDonanımsal KısıtlılıkÖrnek: MICA mote (duyarga düğümü)Örnek: MICA mote (duyarga düğümü)
Özellikler HarcamaCPU 4 MHz 8-bit Atmel ATMEGA 103 5.5 mA – Aktif (3V)
50 µA – Pasif (3V)
Bellek 128 KB Komut
512 KB Veri (Flash)
Haberleşme RFM radyo 916 MHz – 10’larca metre kapsama alanı
12 mA – Verici4.8 mA – Alıcı 5 µA – Uykuda
Band Genişliği
40 Kbps
Güç Kaynağı
2 AA Pil – 2850 mA – 3V
DD ve ROBOAT İletişim DonanımıDD ve ROBOAT İletişim Donanımı
Donanımsal KısıtlılıkDonanımsal Kısıtlılık
Klasik güvenlik uygulamaları kapasitenin Klasik güvenlik uygulamaları kapasitenin üzerindeüzerindeGerçek- Zaman (Real-time) kısıtıGerçek- Zaman (Real-time) kısıtıUzun süre çalışma – Enerji tasarrufuUzun süre çalışma – Enerji tasarrufuDüşük band genişliğiDüşük band genişliği
Kablosuz İletişim OrtamıKablosuz İletişim Ortamı
Gürültüye açıkGürültüye açıkGüç harcaması kısıtından dolayı menzil Güç harcaması kısıtından dolayı menzil kısıtlı:kısıtlı:
Doğrudan baz istasyonuna iletim yerine Doğrudan baz istasyonuna iletim yerine düğümden düğümedüğümden düğüme (multi-hop) yöntemi (multi-hop) yöntemi
Heterojen YapıHeterojen YapıYN YN basit bir düğüm basit bir düğüm Diğer YN’lerin bir araya gelmesiyle olusan üst Diğer YN’lerin bir araya gelmesiyle olusan üst
düzey bir nesne de olabilir.düzey bir nesne de olabilir.Yazılımlar bu heterojen yapıyı idare Yazılımlar bu heterojen yapıyı idare edebilmek için daha karmaşık bir yapıya edebilmek için daha karmaşık bir yapıya sahipsahip
Bu da güvenlik açıklarına sebep olmaktaBu da güvenlik açıklarına sebep olmakta
ÖlçeklenebilirlikÖlçeklenebilirlik
Temel ihtiyaçlardan biriTemel ihtiyaçlardan biriDevre dışı kalan düğümlerin yerini Devre dışı kalan düğümlerin yerini yenilerinin alması söz konusuyenilerinin alması söz konusuDinamik bir ağ topolojisi şartDinamik bir ağ topolojisi şart
Dinamik topoloji güvenlik problemlerini Dinamik topoloji güvenlik problemlerini beraberinde getiriyorberaberinde getiriyor
Gezginlik (Mobility)Gezginlik (Mobility)
Kendileri hareketli olabilirKendileri hareketli olabilirOrtam hareketiyle pasif bir harekete sahip Ortam hareketiyle pasif bir harekete sahip olabilirlerolabilirler
Dinamik yönlendirme ile birlikte güvenlik Dinamik yönlendirme ile birlikte güvenlik problemi artıyorproblemi artıyor
Ortam ÖzellikleriOrtam Özellikleri
Zorlu ortamlarZorlu ortamlar Kimyasal kirlilikKimyasal kirlilik DenizDeniz Açık havaAçık hava Yıkım bölgeleriYıkım bölgeleri
Çevresel faktörlere/saldırganlara açık Çevresel faktörlere/saldırganlara açık
MaliyetMaliyet
İnsan güvenliğini daha az tehlikeye İnsan güvenliğini daha az tehlikeye sokmaları tercih sebebisokmaları tercih sebebiDüğümlerin toplam maliyeti düşük olmalıDüğümlerin toplam maliyeti düşük olmalıYoksa tercih sebepleri azalacaktırYoksa tercih sebepleri azalacaktır
Maaliyet – Güvenlik ikilemiMaaliyet – Güvenlik ikilemi
Gerçek Zamanlı İşlem İhtiyacıGerçek Zamanlı İşlem İhtiyacı
Zaman- kritik, hayati uygulamalarda Zaman- kritik, hayati uygulamalarda kullanılmaktalarkullanılmaktalarGerçek zamanda (real-time)işlem ihtiyacı Gerçek zamanda (real-time)işlem ihtiyacı doğuyordoğuyorGüvenlik uygulamaları işlem yükü getirirGüvenlik uygulamaları işlem yükü getirir
Güvenlik - Gerçek zamanda işlem ikilemiGüvenlik - Gerçek zamanda işlem ikilemi
Güvenlik AçıklarıGüvenlik Açıkları
Bazı kabullenmeler gerekli:Bazı kabullenmeler gerekli: Kablosuz iletişim güvensizdirKablosuz iletişim güvensizdir Fiziksel ortam güvensizdirFiziksel ortam güvensizdir Düğümler ele geçirilip ağa karşı kullanılabilirDüğümler ele geçirilip ağa karşı kullanılabilir Düğümler ele geçirilip sahip oldukları bilgi ve Düğümler ele geçirilip sahip oldukları bilgi ve
yazılım saldırgan lehine kullanılabiliryazılım saldırgan lehine kullanılabilir Baz istasyonları güvenlidirBaz istasyonları güvenlidir
Tehdit GruplarıTehdit Grupları
Gizliliğe yönelikGizliliğe yönelikBütünlüğe yönelikBütünlüğe yönelikKullanılabilirliğe yönelikKullanılabilirliğe yönelik
Gizliliğe Yönelik TehditlerGizliliğe Yönelik Tehditler
Pasif dinleme:Pasif dinleme: Uygun yerden paketler pasif olarak Uygun yerden paketler pasif olarak
dinlenebilirdinlenebilir
İşbirlikçi düğüm kullanma:İşbirlikçi düğüm kullanma: Casus düğümler yardımıyla bilgi sızdırmaCasus düğümler yardımıyla bilgi sızdırma
Bütünlüğe Yönelik TehditlerBütünlüğe Yönelik TehditlerTemelde: Asılama + veri bütünlüğü hedef alınırTemelde: Asılama + veri bütünlüğü hedef alınır2 tip saldırı:2 tip saldırı: Duyulan veri değiştirilerek ağa verilirDuyulan veri değiştirilerek ağa verilir Ağa doğrudan yanlış bilgi enjekte edilirAğa doğrudan yanlış bilgi enjekte edilir
Tümüyle kullanılmaz durumda veriTümüyle kullanılmaz durumda veriKullanılabilir ancak yanlış bilgiKullanılabilir ancak yanlış bilgi
İki yöntem kullanılabilir:İki yöntem kullanılabilir: Dinleme ve Aktif İletimDinleme ve Aktif İletim İşbirlikçi Düğüm Kullanmaİşbirlikçi Düğüm Kullanma
Ağların kullanım alanlarından dolayı doğru Ağların kullanım alanlarından dolayı doğru bilgilendirme hayati önem taşıyabilirbilgilendirme hayati önem taşıyabilir
Kullanılabilirliğe Yönelik TehditlerKullanılabilirliğe Yönelik Tehditler
Kullanılabilirlik: Kullanılabilirlik: ““Tasarlandıkları amaca hizmet etme”Tasarlandıkları amaca hizmet etme” Duyargalar vasıtasıyla algılamak ve tetikleyiciler Duyargalar vasıtasıyla algılamak ve tetikleyiciler
vasıtasyla uygun tepkiyi göstermekvasıtasyla uygun tepkiyi göstermekDoS (Denial of Service) saldırıları servis dışı DoS (Denial of Service) saldırıları servis dışı bırakmayı amaçlar.bırakmayı amaçlar.Gerçekleştirme yöntemleri:Gerçekleştirme yöntemleri: Fiziksel katmanda yapılan saldırılarFiziksel katmanda yapılan saldırılar Güç tüketimini arttırmaya yönelik saldırılarGüç tüketimini arttırmaya yönelik saldırılar
Temelde gerekjsiz trafik yaratılmasıTemelde gerekjsiz trafik yaratılması İşbirlikçi düğümlerin kullanılmasıİşbirlikçi düğümlerin kullanılması
Saldırı YöntemleriSaldırı Yöntemleri1.1. Taklit edilen, değiştirilen veya yinelenen Taklit edilen, değiştirilen veya yinelenen
yönlendirme bilgisiyönlendirme bilgisi2.2. Seçici İletimSeçici İletim3.3. Sinkhole SaldırısıSinkhole Saldırısı4.4. Sybil SaldısısıSybil Saldısısı5.5. Solucan DelikleriSolucan Delikleri6.6. Hello Baskın SaldırısıHello Baskın Saldırısı7.7. Alındı TaklidiAlındı Taklidi
1. Taklit Edilen, Değiştirilen ve 1. Taklit Edilen, Değiştirilen ve Yinelenen Yönlendirme BilgisiYinelenen Yönlendirme BilgisiHedef, doğrudan ağ yönlendirmesidirHedef, doğrudan ağ yönlendirmesidirYönlendirme bilgisiYönlendirme bilgisi Taklit edilirTaklit edilir DeğiştirilirDeğiştirilir YinelenirYinelenirAmaç:Amaç: Yönlendirme döngüleri oluşturmakYönlendirme döngüleri oluşturmak Ağ trafiğinin belli bölgelere ulaşımını engelemekAğ trafiğinin belli bölgelere ulaşımını engelemek Trafiği istenen casus düğümlere yönlendirmekTrafiği istenen casus düğümlere yönlendirmek Trafik yollarını uzatmak/kısaltmakTrafik yollarını uzatmak/kısaltmak Ağı parçalamakAğı parçalamak
2. Seçici İletim (Selective 2. Seçici İletim (Selective Forwarding)Forwarding)
Paketlerin alıcıya (çoğunlukla baz Paketlerin alıcıya (çoğunlukla baz istasyonuna) ulaşmasının engellenmesiistasyonuna) ulaşmasının engellenmesiÇeşitli yöntemler kullanılarak gerçeklenirÇeşitli yöntemler kullanılarak gerçeklenir2 şekilde olabilir2 şekilde olabilir Kara Delik: Alınan tüm paketler ağdan Kara Delik: Alınan tüm paketler ağdan
düşürülür. (Tespit edilmesi kolay)düşürülür. (Tespit edilmesi kolay) Seçici: Bazı paketler dışındakiler normal bir Seçici: Bazı paketler dışındakiler normal bir
şekilde iletilir. (Tespit edilmesi zor)şekilde iletilir. (Tespit edilmesi zor)
3. Sinkhole Saldırıları3. Sinkhole SaldırılarıAğ trafiğini belli bir merkeze odaklamak Ağ trafiğini belli bir merkeze odaklamak amaçlanıramaçlanırAğa cazip bir yönlendirme bilgisi sunulurAğa cazip bir yönlendirme bilgisi sunulurTakdim edilen yönlendirme bilgisi:Takdim edilen yönlendirme bilgisi:Sahte olabilirSahte olabilirDoğru (Ağ dışından daha güçlü bir Doğru (Ağ dışından daha güçlü bir bağlantıyla direkt baz istasyonuna iletim) bağlantıyla direkt baz istasyonuna iletim) olabilir.olabilir.Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir
4. Sybil Saldırıları4. Sybil Saldırıları
Casus düğüm ağa kendini farklı kimliklerle Casus düğüm ağa kendini farklı kimliklerle tanıtırtanıtırÇoklu yol (Multi-path) yönteminde bütün Çoklu yol (Multi-path) yönteminde bütün paketler ayni casus düğüme gönderiliyor paketler ayni casus düğüme gönderiliyor olabilir.olabilir.Cğrafi yönlendirme ağlarında kendilerini Cğrafi yönlendirme ağlarında kendilerini birkaç noktada bulunuyormuş gibi birkaç noktada bulunuyormuş gibi gösterebilirlergösterebilirler
Örnek: Coğrafi Yönlendirmeye Örnek: Coğrafi Yönlendirmeye Sybil SaldırısıSybil Saldırısı
A1(2,3)
A2(2,1)
A3(1,2)C(0,2) B(2,2)
A (3,2)
A at (3,2)
A1at (2,3)
A2at (2,1)
A3at (1,2)
5. Solucan Delikleri (Wormholes)5. Solucan Delikleri (Wormholes)
Ağın Bir Bölgesinden alınan mesajların Ağın Bir Bölgesinden alınan mesajların başka bir bölgesine gecikmesi az olan bir başka bir bölgesine gecikmesi az olan bir bağlantı üzerinden tünellenmesidirbağlantı üzerinden tünellenmesidir2 iş birlikçi düğüm2 iş birlikçi düğümHop sayısı düşük gösterilerek etraftaki Hop sayısı düşük gösterilerek etraftaki düğümler için cazip bir yol sağlanır.düğümler için cazip bir yol sağlanır.Sinkhole ve seçici yönlendirme saldırıları Sinkhole ve seçici yönlendirme saldırıları ile birlikte kullanılır.ile birlikte kullanılır.
Örnek: Solucan DeliğiÖrnek: Solucan Deliği
Base
6. Hello Baskın Saldırısı6. Hello Baskın Saldırısı
Güçlü vericiye sahip saldırgan düğüm ağa Güçlü vericiye sahip saldırgan düğüm ağa hello mesajı gönderirhello mesajı gönderirMesajı alanlar saldırgan düğüme komşu Mesajı alanlar saldırgan düğüme komşu olduklarıdı düşünürolduklarıdı düşünürBu düğümlerin çıkış güçleri yeterli Bu düğümlerin çıkış güçleri yeterli olmayacağından bu düğüme gönderilen olmayacağından bu düğüme gönderilen mesajlar kaybolurmesajlar kaybolurAğ trafiğini kesebilirAğ trafiğini kesebilir
Örnek: Hello Baskın SaldırısıÖrnek: Hello Baskın Saldırısı
7. Alındı Taklidi 7. Alındı Taklidi (Acknowledgement Spoofing)(Acknowledgement Spoofing)Link katmanı alındı paketleri kulanılırLink katmanı alındı paketleri kulanılırDüğümlerin gönderdiği paketler için sahte Düğümlerin gönderdiği paketler için sahte alındı yollanır.alındı yollanır.Zayıf bir linkin çalıştığı veya ölü bir Zayıf bir linkin çalıştığı veya ölü bir düğümün canlı olduğu izlenimi verilebilir.düğümün canlı olduğu izlenimi verilebilir.Seçici iletim saldırılarına imkan verirSeçici iletim saldırılarına imkan verir
Güvenlik ÇözümleriGüvenlik Çözümleri
TinySecTinySecSPINSSPINSEnerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik ProtokolüSeviyelendirilmiş Güvenlik KatmanlarıSeviyelendirilmiş Güvenlik KatmanlarıKarantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
TinySecTinySec
Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmişBağlantı Katmanı üzerinde tanımlıBağlantı Katmanı üzerinde tanımlıYetkisiz mesajlar baz istasyonuna Yetkisiz mesajlar baz istasyonuna ulaşmadan, ağa ilk girişte yakalanması ulaşmadan, ağa ilk girişte yakalanması amaçlanmışamaçlanmışDoS saldırılarına karşı etkiliDoS saldırılarına karşı etkili
TinySec: GerçeklenmeTinySec: Gerçeklenme2 şekilde:2 şekilde:
Asıllama+şifrelemeAsıllama+şifreleme Sadece asıllamaSadece asıllama
Asıllama için paketlere sasıllama kodu (MAC) eklenirAsıllama için paketlere sasıllama kodu (MAC) eklenirŞifrelemede:Şifrelemede:
Skipjack blok şifrelemesiSkipjack blok şifrelemesi IV (8 Byte)IV (8 Byte) Şifre Bloğu Zincirlemesi (CBC) Şifre Bloğu Zincirlemesi (CBC)
Anahtarlama güvenlik seviyesine bağlıAnahtarlama güvenlik seviyesine bağlı Örn: Her ağ için bir anahtar çifti:Örn: Her ağ için bir anahtar çifti:
1.1. Veriyi şifrelemek içinVeriyi şifrelemek için2.2. MAC hesaplaması içinMAC hesaplaması için
Tinysec: Performans YüküTinysec: Performans Yükü
Asıllama + Şifreleme kullanılıyorsaAsıllama + Şifreleme kullanılıyorsa Band genişliğinde %10 ek yükBand genişliğinde %10 ek yük
Sadece asıllama kullanılıyorsa:Sadece asıllama kullanılıyorsa: Band genişliğinde %3 ek yük Band genişliğinde %3 ek yük
SPINS(Security Protocols For SPINS(Security Protocols For Sensor Networks)Sensor Networks)
Berkeley Ünv. tarafından geliştirilmişBerkeley Ünv. tarafından geliştirilmişTemelde 2 protokol yapı taşıTemelde 2 protokol yapı taşı µµTESLATESLA SNEPSNEP
SNEPSNEP
Semantik Güvenlik: Semantik Güvenlik: Birden fazla şifreli kopyadan açık metin Birden fazla şifreli kopyadan açık metin
çıkarılamazçıkarılamaz Her mesaj alış verişinde arttırılan, paylaşılan Her mesaj alış verişinde arttırılan, paylaşılan
bir sayaç sayesinde gerçeklenir (IV)bir sayaç sayesinde gerçeklenir (IV) Blok şifreleyicileri sayaç madunda çalışır Blok şifreleyicileri sayaç madunda çalışır
(CTR):(CTR):Sayaç her blokta arttırılırSayaç her blokta arttırılır
SNEPSNEPKimlik Kanıtlaması: Kimlik Kanıtlaması: MACMACTekrar koruması: Tekrar koruması: Sayaç MAC içinde karşıya gönderilirSayaç MAC içinde karşıya gönderilirTazelik Tespiti:Tazelik Tespiti: MAC içinde karşıya gönderilen sayaç MAC içinde karşıya gönderilen sayaç
garantilergarantilerDüşük haberleşme Ek Yükü: Sayaç alıcı Düşük haberleşme Ek Yükü: Sayaç alıcı ve vericide tutulduğu için az. (8 Byte)ve vericide tutulduğu için az. (8 Byte)
SNEPSNEPŞifrelenmiş veri: E = {D} (Kencr,C)MAC: M = MAC (Kmac,C|E)Şifreleme ve MAC anahtarları K anahtarından elde edilirA -> B: {D} (Kencr,C) ,MAC (Kmac,C|{D} (Kencr,C))- D açık metin- C başlangıç vektörü (IV)- Kencr şifreleme anahtarı- Kmac MAC alma anahtarı
µµTESLATESLAAsıllanmış çoklu yayın (Broadcast) için kullanılırAsıllanmış çoklu yayın (Broadcast) için kullanılırAsıllama simetrik yapılırAsıllama simetrik yapılırSadece gönderen tarafından bilinen bir anahtar Sadece gönderen tarafından bilinen bir anahtar ve tek yönlü bir fonksiyonla MAC oluşturulur.ve tek yönlü bir fonksiyonla MAC oluşturulur.Anahtar mesajdan bir süre sonra yayınlanır.Anahtar mesajdan bir süre sonra yayınlanır.Arabellekte tutulan paket alınan anahtar bilgisi Arabellekte tutulan paket alınan anahtar bilgisi ile asıllanır.ile asıllanır.Paket içeriğinin değiştirilme ihtimali ortadan Paket içeriğinin değiştirilme ihtimali ortadan kalkmış olur.kalkmış olur.
Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü
NOVSF(Orthogonal Variable )NOVSF(Orthogonal Variable ) Her duyargaya atılmadan önce bir anahtar Her duyargaya atılmadan önce bir anahtar
verilirverilir Anahtar baz istasyonu tarafından bilinirAnahtar baz istasyonu tarafından bilinir Baz istasyonu periyodik olarak yeni oturum Baz istasyonu periyodik olarak yeni oturum
anahtarı yayımlaranahtarı yayımlar Düğüm yeni anahtarı ve yeni oturum Düğüm yeni anahtarı ve yeni oturum
anaharını kullanarak kendi gizli oturum anaharını kullanarak kendi gizli oturum anahtarını elde ederanahtarını elde eder
Asıllama + Veri Tazeliği sağlar Asıllama + Veri Tazeliği sağlar
Enerji Verimli Güvenlik ProtokolüEnerji Verimli Güvenlik Protokolü
Ek tedbir: NOVSF kod atlamasıEk tedbir: NOVSF kod atlaması64 zaman yuvası (time sloth)64 zaman yuvası (time sloth)Bir çoklayıcıyla her oturumda veri blokları Bir çoklayıcıyla her oturumda veri blokları farklı permütasyonla bu zaman yuvaların farklı permütasyonla bu zaman yuvaların aktarılıraktarılırBaz istasyonu küme başlarına (Cluser Baz istasyonu küme başlarına (Cluser Head) periyodik olarak yeni Head) periyodik olarak yeni permütasyonlar gönderir.permütasyonlar gönderir.Çift katlı bir güvenik oluşturulmuş olur.Çift katlı bir güvenik oluşturulmuş olur.
NOVSF Kod AtlamasıNOVSF Kod Atlaması
Blok 1 Blok 2 Blok 3 Blok 8
NOVSFYuva 1
NOVSFYuva 2
NOVSFYuva 3
NOVSFYuva 8
. . . .
. . . .
Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları
Amaç: Güvenlik için minimum enerji sarfiyatıAmaç: Güvenlik için minimum enerji sarfiyatıTaşınan veriye göre güvenlik seviyelendirilmişTaşınan veriye göre güvenlik seviyelendirilmiş Gezgin kodGezgin kod Duyarga mevkiiDuyarga mevkii Uygulamaya özel veriUygulamaya özel veri
Şifrelemede RC6 kullanılıyorŞifrelemede RC6 kullanılıyorRC6’nın tur sayısı güvenlik seviyesine göre RC6’nın tur sayısı güvenlik seviyesine göre tespit ediliyortespit ediliyor
RC6:RC6: RC5 in aynı; AESnin 128 bit giriş/çıkış 128 RC5 in aynı; AESnin 128 bit giriş/çıkış 128 bit blok uzunluğu gerekliliğini uygular.bit blok uzunluğu gerekliliğini uygular.
Seviyelendirilmiş Güvenlik Seviyelendirilmiş Güvenlik MekanizmalarıMekanizmaları
Güvenlik Seviyesi 1:Güvenlik Seviyesi 1: Gezgin kod ağ içinde daha az dolaşırGezgin kod ağ içinde daha az dolaşır En üst seviye güvenlikEn üst seviye güvenlik
Güvenlik Seviyesi 2:Güvenlik Seviyesi 2: Duyarga mevkiileri her mesajda yer alırDuyarga mevkiileri her mesajda yer alır Güçlü şifreleme ek yükGüçlü şifreleme ek yük Mevkii bilgisinin ele geçirilmesi riskliMevkii bilgisinin ele geçirilmesi riskli Ağ hücrelere bölünerek mevkii tabanlı anahtarlar Ağ hücrelere bölünerek mevkii tabanlı anahtarlar
kullanılırkullanılırGüvenlik Seviyesi 3Güvenlik Seviyesi 3 Ağda en sık dolaşan uygulamaya özel verilerdirAğda en sık dolaşan uygulamaya özel verilerdir Güvenlikten bir miktar ödün verilebilirGüvenlikten bir miktar ödün verilebilir
Karantina Bölgesi YöntemiKarantina Bölgesi Yöntemi
Spam saldırılarına karşı geliştirilmişSpam saldırılarına karşı geliştirilmişSpam Saldırısı Tespiti:Spam Saldırısı Tespiti: Baz istasyonu gelen mesajları içeriğe göre Baz istasyonu gelen mesajları içeriğe göre
filtreler vefiltreler ve çok fazla hatalı mesaj gönderen düğümleri çok fazla hatalı mesaj gönderen düğümleri
tespit edertespit eder Belli bir bölgeden gelen mesajları frekans Belli bir bölgeden gelen mesajları frekans
analizine tutarak anormalliklere bakaranalizine tutarak anormalliklere bakar
Karantina Bölgesi YöntemiKarantina Bölgesi YöntemiKarantina Bölgesinin Oluşturulması:Karantina Bölgesinin Oluşturulması: Spam saldırısı tespit eden baz istasyonu durumu ağa Spam saldırısı tespit eden baz istasyonu durumu ağa
yayınlaryayınlar Haberdar olan düğümler belirli bir süre asıllanmamış Haberdar olan düğümler belirli bir süre asıllanmamış
mesaj yönlendirmezlermesaj yönlendirmezler Asıllanmamış mesajlar için kaynağa asıllanma Asıllanmamış mesajlar için kaynağa asıllanma
isteğinde bulunurlaristeğinde bulunurlar Gönderenin bunu başarı ile gerçekleştirememesi Gönderenin bunu başarı ile gerçekleştirememesi
durumunda alıcı kendini karantina bölgesinde kabul durumunda alıcı kendini karantina bölgesinde kabul eder ve komşuları ile mesajlaşmayı asıllama yaparak eder ve komşuları ile mesajlaşmayı asıllama yaparak devam ettirir.devam ettirir.
Karantina Bölgesi YöntemiKarantina Bölgesi YöntemiAsıllama:Asıllama: Düğümlere yüklü gizli bir anahtar bulunurDüğümlere yüklü gizli bir anahtar bulunur Anahtar + HMAC fonksiyonuyla elde edilen Anahtar + HMAC fonksiyonuyla elde edilen
kod mesaj başlığına eklenirkod mesaj başlığına eklenir Veri tazeliğini belirlemek için başlığa bir de Veri tazeliğini belirlemek için başlığa bir de
sayaç eklenirsayaç eklenirKarantinanın Kalkması:Karantinanın Kalkması: Karantina süresince komşulardan başarısız Karantina süresince komşulardan başarısız
bir asıllama faaliyeti tespit edilmezse bir asıllama faaliyeti tespit edilmezse karantina modundan çıkılır.karantina modundan çıkılır.
SonuçSonuçİşbirlikli Nesne Ağlarının İşbirlikli Nesne Ağlarının donanımsal kısıtları, kablosuz iletişim donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı ve maliyetortam şartlarının ağırlığı ve maliyet gibi hususlardan kaynaklanan gibi hususlardan kaynaklanan kendilerine özgü özellikleri, klasik bilgisayar ağları için kendilerine özgü özellikleri, klasik bilgisayar ağları için geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini geliştirilmiş güvenlik mekanizmalarının kullanılabilirliğini engellemektedir. engellemektedir.
YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme YN ağları çok büyük bir oranda zaman-kritik ve hayati öneme sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, sahip uygulamalar için kullanılacaktır. Bu durum, kablosuz, tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tasarsız duyarga ve tetikleyici ağlarından miras alınanlar ile yeni tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına tanıtılan güvenlik sorunlarının çok daha ön plana çıkmasına neden olacaktır. Henüz teorik temellerinin oluşturulması neden olacaktır. Henüz teorik temellerinin oluşturulması aşamasında bulunan bu ağların başarısında ve kabul görmesinde aşamasında bulunan bu ağların başarısında ve kabul görmesinde en belirleyici unsurlardan biri olacak olan güvenlik konusunun da en belirleyici unsurlardan biri olacak olan güvenlik konusunun da bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun bu temeller içerisine başlangıçtan itibaren eklenmesinin uygun olacağı değerlendirilmektedir.olacağı değerlendirilmektedir.
KaynaklarKaynaklarMithat Dağlar Erdal Çayırcı, “Yardımlaşan Nesne Ağlarında Güvenlik Sorunları ve Çözümler”, ABG 2005.
E.Cayirci, M. Dağlar, C. Çiftci “Functional and Physical Decomposition of Cooperating Objects,” Teknik Rapor, Deniz Bilimleri ve Mühendisliği Enstitüsü, Deniz Harp Okulu, Tuzla, Istanbul.
Chris Karlof, David Wagner, “Secure routing in wireless sensor networks: Attacks and countermeasures”, Proceedings of the 1st IEEE International Workshop on Sensor Network Protocols and Applications, May 11, 2003.
Erdal Cayirci, “Wireless Sensor and Actuator Networks”, IEEE Tutorial Now.