Quelques propositions de solutions pour la sécurité des réseaux de capteurs sans fil Wassim Znaidi wassim.znaidi@insa-lyon.fr Directeurs de thèse: Marine Minier, Stéphane Ubéda Laboratoire CITI INRIA SWING / CITI INSA de Lyon Date : 19 Octobre 2010 W. Znaidi

Réseau de capteurs (RdCs) Station de base (BS) Capteurs Capture/ traitement de données physiques Transmission sans fil Energie (batterie) Contraintes Mémoire limitée Energie limitée Capacité de calcul limitée Faible portée radio Communication radio sans fil Réseau de capteurs Pas d’infrastructure fixe Forte densité Topologie aléatoire – Env. ouvert Routage multi-sauts WSN430: Ti MSP430 (8 MHz) 1Mo Flash, 10 Ko de RAM Batterie 2xAA W. Znaidi

Applications: besoin de sécurité Surveillance environnementale Moniteur d’inventaire Surveillance industrielle Réseau de capteurs Médical-BodyNet Industrie Militaire+santé W. Znaidi

Sécurité dans les RdCs Attaquant Contremesures Externe: l’attaquant ne fait pas partie du réseau pas d’accès aux nœuds. Interne: l’attaquant compromet des nœuds accès à une partie des nœuds Contremesures Externe: cryptographie secrets efficacité dans un environnement contraint ? Interne: solution algorithmique, car une partie des secrets sont connus. les attaquants externes qui sont des attaquant extérieurs aux réseaux et n’ont aucun accès au secrets des nœuds, pour cela les solutions cryptographiques classiques peuvent encore servir s’ils sont bien choisis les attaquants internes ou des nœuds légitimes sont compromis et de coup les attaquant ont accès à un une partie des secrets, pour cela les solutions algorithmiques restent les meilleurs moyens pour les contrer W. Znaidi

Attaques dans les RdCs Physique Liaison Routage Application brouillage, extraction de données, débordement de tampon,… Liaison collision, épuisement, link jamming, … Selective forwarding, sinkhole, Sybile, hello flood, wormhole, réplication des nœuds,… Routage Application inondation, désynchronisation, localisation, Faux paquet de contrôle, … Réplication Sinkhole Sybile Collision

Durant cette thèse Approches Algorithmiques: solutions pour la couche de routage Détection de l’attaque wormhole Détection de l’attaque par réplication des nœuds [Znaidi et al. 2008] Attaque wormhole Coefficient de clustering des arêtes Algorithme de détection basé sur le coefficient de clustering Performance et comparaison Approches Cryptographiques: solutions pour la couche application Gestion de clés et de contrôle d’accès Authentification des messages pour l’agrégation et le codage réseau [Znaidi et al. 2009 et 2010] W. Znaidi

Attaque wormhole Conséquences Selective forwarding Déni de service le réseau va essayer de construire une structure ou organisation logique pour router les données d’un point donnée vers la station de base Le but d’une attaque wormhole est alors d’altérer cette structure. De coup une fois ce lien installé entre 2 attaquants physiquement distants à l’aide …, ce lien sera favori pour le choix de la route vers la BS, ainsi cette attaque vous se procurer d’une grand pouvoir vu que la majorité du trafic va passer a travers et ainsi on peut en profiter pour lancer d’autres attaques …. Conséquences Selective forwarding Déni de service Fausse découverte de voisinage W. Znaidi

Etat de l’art Motivation Protocole Description Inconvénient Perrig et al. 2003 Utilisation des paquets leaches pour des données géographiques et temporelles exige la synchronisation des horloges et l’utilisation d’un GPS L. Hu et al. 2004 Utilisation de la direction des antennes des voisins utilisation d’antennes directionnelles R. Maheshwari et al. 2007 Recherche des structures interdites Grande complexité de calcul Shokri et al. 2009 Estimation des distances à l’aide d’ondes ultrasons et recherche des formes géométriques interdites Besoin de la technologie ultrason et d’horloges très précises Motivation Besoin d’une solution distribuée ne nécessitant pas de composants spéciaux

Observation de l’attaque wormhole 2 communautés distinctes ont l’impression d’être proche grâce au lien wormhole les voisins des nœuds malicieux n’ont aucun voisin commun Piste Etude de voisinage pour vérifier la consistance des liens et détecter une attaque wormhole le but du lien malicieux est de faire croire à deux communauté disjointes qu’ils sont proche et relié. Mais si c’était vrai, ces communautés auront plus d’un lien partagé vu qu’on fait l’hypothèse d’avoir un réseau assez dense. Ainsi nous essayerons d’utiliser cette intuition afin de caractériser notre attaque. W. Znaidi

Coefficient de clustering des arêtes (CCA) CCA [Radicchi 2004] Mesure de la vraisemblance que g-nœuds associés à une arête soient bien associés entre eux. Coefficient de clustering: b a d c i j lien possible lien existant Proposition de CCA modifié Motivation: étudier l’impact de suppression d’un lien sur la connectivité des voisins b a d c i j Mais moi ce qui m’intéresse, c’est de trouver comment caractériser ce lien malicieux, l’évolution de ce CCA avec la suppression des nœuds du  réseau. nous introduisons cette nouvelle métrique qui définie de la même manière à la seule différence qu’on exclut un ensemble de nœuds du réseau. Coefficient clustering modifié: W. Znaidi

Wormhole détecté à l’aide du CCA modifié Algorithme de détection Découverte de voisinage: les nœuds s’échangent leurs tables de voisinage de 1-2 sauts, construites à l’aide des messages Hello. Phase de calcul: chaque nœud calcule S’ils sont nuls, le voisin est déclaré comme étant un nœud malicieux. Intuition Dans un réseau de capteurs dense, un couple de noeuds possède au moins 1-2 noeuds voisins en commun Extrémité de wormhole Pour deux nœuds a et b, b est déclaré malicieux si: Y X a b m n j

Faux positifs Algorithme de détection Limitations Solution proposée Découverte de voisinage: les nœuds s ’échangent leurs tables de voisinage de 1-2 sauts, construites à l’aide des messages Hello. Phase de calcul: chaque nœud calcule le CS d’ordre 3 et 4. S’ils sont nuls, le nœud est désigné un nœud suspect. Phase d’isolation: un nœud diffuse une alerte chaque fois qu’il détecte un nœud suspect. Si le nombre d’alertes dépasse un seuil , le nœud est déclaré malicieux. Limitations Faux positifs: des nœuds honnêtes sont déclarés comme malicieux Y X a b m n j Solution proposée Technique de vote: un nœud est déclaré malicieux si une majorité de nœuds le considère malicieux

Intégration à un protocole d’auto-organisation QLoP [Heurtefeux et al. 2008] Echange de messages Hello périodiques Echange des tables de voisinage à 1-saut Calcul d’indice de proximité Classification des voisins en 3 classes Intégration à QLoP Exécution de QLoP: adaptation de QLoP pour pouvoir échanger les tables de voisinage à 1-2 sauts. Phase de calcul: chaque nœud calcule le CCA modifié d’ordre 3 et 4. Pour optimiser les calculs, on calcule ce coefficient que pour les nœuds de classe 2 et 3 Phase d’isolation: un nœud diffuse une alerte chaque fois qu’il détecte un nœud suspect. Si le nombre d’alertes dépasse un seuil , une attaque est déclarée. L’idée ici est que deux nœuds voisins partageant un nombre important de voisin auront un indice de proximité fort et de coup le nœud sera mi dans le voisinage 1 logique W. Znaidi

Etude de performance Simulations Hypothèses Probabilité UDG Réel Simulations Simulateur WSNet Modèle radio réaliste Comparaison avec l’approche [Shokri 2009] Hypothèses Topologie aléatoire Pas de mobilité Probabilité de détection de 1/plusieurs attaques wormhole aléatoires de faux positifs avec/sans les nœuds sur les bords une couche radio réaliste incluant un modèle d’interférence permettant d’avoir un voisinage fluctuant et un modèle de bruit qui va rajouter de l’instabilité sur les lien W. Znaidi

Résultats Observations Forte probabilité de détection variant (entre 80% et 98%). 1% - 7% de faux positifs. Pour moitié dû aux bordures. Gain de l’ordre de 15% par rapport à [Shokri 2009] il faut pas oublier que dans notre cas on utilise que des informations locale W. Znaidi

Résultats Observations [Znaidi 2008] [Shokri 2009] Forte probabilité de détection variant entre 77% et 95% en présence de plusieurs wormhole aléatoires. 1% - 17% de faux positive. Moitié dû à l’effet de bord

Conclusion wormhole Résumé Perspectives Algorithme distribué utilisant uniquement des informations de voisinage local Introduction du coefficient CCA modifié Définition d’un wormhole à l’aide du coefficient CCA modifié Intégration dans QLoP Perspectives Ne fonctionne plus si les voisins des nœuds wormhole mentent de façon consistante sur leur voisinage [Boucetta 2010] Etude de plusieurs attaquants wormhole qui collaborent entre eux

2ème partie de la présentation Sécurisation contre l’attaque wormhole Authentification des messages pour le codage réseau Définition de l’attaque de pollution dans le contexte de codage réseau Les fonctions de hachage universelles Mode d’opérations de la vérification de l’intégrité des données Nous venons dans la première partie de résoudre un des problème qui touche la couche de routage. Mais cette couche est influencé aussi par les informations renvoyé par la couche application, pour cela dans cette partie nous allons étudier le probleme W. Znaidi

Codage réseau et attaque par pollution Le codage réseau est une méthode de transmission de données multipoint par combinaison de flux permettant d’augmenter le débit et d’améliorer la robustesse Attaque par pollution: injecter de fausses données inutilisables dans les messages transformés Codage réseau Alice Eve Bob Problème Question ? Comment prévenir l’attaque par pollution dans un RdC (en étant efficace en énergie) ? Alice Bob Le codage réseau est une méthode de transmission de données multicast autorisant les nœuds intermédiaires de combiner les paquets afin d’augmenter le débit et de rajouter de la robustesse W. Znaidi

Méthode de vérification de l’authenticité Identité + Intégrité Codes MACs: crypto symétrique Signature digitale: crypto asymétrique exemples: RSA, DSA, ECDSA MAC MAC Taille fixe Clé secrète hash h Clé privée enc signature Trop gourmande en ressources 3 grandes classes de Message Authentication Codes (MACs) MACs basés sur les fonctions de hachage cryptographiques: HMAC et MDx-MAC MACs basés sur les algorithmes de chiffrement par blocs: CBC-MAC MACs basés sur les fonctions de hachage universelles FHU (FMAC)

FHU [Carter et al. 1978] Définition 1: faible probabilité de collision Définition 2: linéarité

Quels MACs choisir dans la pratique pour faire du codage réseau ? FMAC linéaire [Krawczyk 1994] Les FHU permettent de construire un schéma de MAC sûr si les résultats sont cachés à l’aide d’une autre fonction Conception de MAC à l’aide de FHU La conception d’un code MAC est possible en suivant le scénario suivant: les deux parties échangent une clé secrète k les deux parties connaissent une valeur aléatoire r l’empreinte d’un message M est égale à: Exemples La valeur r peut être obtenue à l’aide d’une fonction pseudo-aléatoire (AES) [Krawczyk 1994]: xor linéaire – CRC cryptographique Questions ? Quels MACs choisir dans la pratique pour faire du codage réseau ?

Etude de la consommation Simulations et paramètres WSIM + eSimu Ti MSP430f1611 Résultats pour des données de 20 octets Algorithme Energie (10-4J) Délai (ms) SHA1 AES-128 0.623 0.473 4.64 3.53 HMAC 2 14.48 CBC-MAC 1.476 11.045 FMAC (Toeplitz) 1.201 8.976

Exploiter la linéarité Mode d’opération: définir la démarche que le relais doit suivre pour vérifier la validité des données méthode classique AXMF nécessitent la propriété de linéarité fonctionne avec toutes les primitives MACs 4 modes d’opération AXF XAF XF fonctionnent uniquement avec les FMACs linéaires

Mode classique qui fonctionne avec HMAC, CBC-MAC et FMAC Authenticate-Xor-Mac-Forward (AXMF) Mode classique qui fonctionne avec HMAC, CBC-MAC et FMAC Alice Eve Bob 1 F F 2 A M X 3

fonctionne uniquement avec FMAC car besoin de la linéarité Authenticate-Xor-Forward (AXF) fonctionne uniquement avec FMAC car besoin de la linéarité Alice Eve Bob 1 F F 2 A réduit le calcul X 3 Maintenant, au lieu de tester 2 fois l’authenticité des données, je vais essayer de faire mieux en exploitant encore la propriété de linéarité des FMAC, ce qui va nous donner le 3 modes XAF W. Znaidi

Modes d’opérations Xor-Forward (XF) Alice Eve Bob Xor-Authenticate-Forward (XAF) Alice Eve Bob X A F F F F réduit l’authentification relais Ici Eve commence à combiner les messages et les tags en même temps, puis vérifier la validité des ces valeurs et qui sera garantit par la linéarité des FMAC. XF ne permet pas au relais de détecter l’attaque par pollution W. Znaidi

Résultats (WSNet-WSIM-eSimu) R: réception, V:vérification, T:tranformation, E:émission,

En pratique Energie moyenne Conclusion Combiner les modes XAF et XF pour économiser l’énergie et contrer l’attaque par pollution Energie moyenne p: la probabilité qu’une attaque par pollution se produise, M: le mode utilisé

Conclusion agrégation de MACs MAC pour l’agrégation et le codage réseau Extension des travaux: utilisation des codes FMACs pour le mécanisme de l’agrégation des données. Généralisation de CRC Cryptographique sur Agrégation de MACs Pour les schémas d’agrégation de données, seule la station de base est capable de vérifier la validité des données Mise en place d’un mécanisme de vérification à la volée

Conclusion Générale Aussi Durant cette présentation Proposition d’une ontologie d’attaques pour les RdCs Défense contre l’attaque de réplication de nœuds dans un RdC: Utilisation d’une architecture hiérarchique Utilisation des filtres de Bloom Proposition d’un mécanisme de gestion de clé Schéma de Blundo modifié Utilisation des chaînes de hachages Durant cette présentation Proposition d’un mécanisme de découverte de voisinage sécurisé et de défense contre l’attaque Wormhole Proposition d’un schéma d’agrégation de MACs linéaires pour sécuriser le mécanisme de codage réseau contre les attaques par pollution

Perspectives Analyse formelle des politiques de sécurité dans un RdC Plusieurs mécanismes de sécurité possibles pour chaque couche Différents niveaux de sécurité possibles selon le besoin de l’application et de QoS Proposition d’une étude utilisant un modèle formel permettant de choisir la meilleure politique de sécurité en fonction de l’énergie restante dans le capteur et de la QoS souhaitée Une politique de sécurité dans un RdC est un ensemble de plans d'actions défini pour maintenir un certain niveau de sécurité. Elle reflète l'exigence de l'application en matière de sécurité. L'utilisation de plusieurs mécanismes de sécurité dans un tel système engendre un coût supplémentaire. il faut s'assurer que les interactions de différents composants ne créent pas un effet néfaste qui engendrerait une surconsommation. Un défi à relever aujourd'hui consiste à équilibrer le compromis entre le niveau de sécurité exigé et la consommation énergétique. Nous avons choisi l'analyse formelle en raison de sa capacité à faire une analyse exhaustive sur l'ensemble des scénarios décrits pour notre modèle W. Znaidi

Merci pour votre attention Questions ? “Key management and access control scheme for WSNs”. To appear in the Telecommunication Systems Journal, 2010. “Energy Friendly Integrity for Network Coding in Wireless Sensor Networks”. In NSS 2010, Melbourne, Australia. “Hierarchical Node Replication Attacks Detection in Wireless Sensors Networks”. In PIMRC 2009, Tokyo, Japan. “Aggregated authentication (AMAC) using universal hash functions”. In SecureComm 2009 , Athènes, Grèce. “Detecting Wormhole Attacks in Wireless Networks Using Local Neighborhood Information”. In PIMRC 2008, Cannes, France. “Worst-case lifetime computation of a Wireless Sensor Network by model-checking”. In PE-WASUN 2007, Grèce “Problèmes d'allocation dynamique d'adresses”. Dans AlgoTel 2010, Belle Dunes, France. “Une proposition d'agrégation de MACs pour les réseaux de capteurs utilisant des fonctions de hachage universelles”. Dans SAR-SSI 2009, Luchon, France. “Proposition de gestion des clés et de contrôle d'accès dans un réseau de capteurs”. Dans JDIR 2009, Belfort, France. Publications: Journal Conférences Nationaux Conférences Internationaux

Quelques propositions de solutions pour la sécurité des réseaux de capteurs sans fil Wassim Znaidi wassim.znaidi@insa-lyon.fr Directeurs de thèses: Marine Minier, Stéphane Ubéda Laboratoire CITI INRIA SWING / CITI INSA de Lyon Date: 19 Octobre 2010 W. Znaidi

Attaque wormhole Lien wormhole Radio plus sophistiqué ou un câble longueur du lien > 4-5 sauts Longeur != intéressent W. Znaidi

Combine [Cas 05] and our approach A node i: two key kai and kei The Sink verifies: k i j

CHj checks if any of its cluster node is in BFi Attaque nœud répliqué Base station Cluster head node Sensor node BFi BF’i i j =? CHj checks if any of its cluster node is in BFi If one node success, a double check with CHi is requested