Mobil ad hoc hálózatok biztonsági protokolljainak vizsgálata

Átírás

1 Budapesti Műszaki és Gazdaságtudományi Egyetem Távközlési és Telematikai Tanszék Nagysebességű Hálózatok Laboratóriuma (HSNLab) Mobil ad hoc hálózatok biztonsági protokolljainak vizsgálata TDK dolgozat Gémesi Roland, Ivády Balázs IV. évf. villamosmérnök-hallgatók Konzulens: Zömbik László (Ericsson Magyarország, Kutatólabor)

2 2

3 Tartalomjegyzék 1. Bevezetés Mobil ad hoc hálózatok biztonsági kérdései, feltételei Biztonságos hálózatok Mobil Ad hoc hálózatok veszélyforrásai Útvonal-választó protokollokra irányuló támadások Biztonsági mechanizmusok Autentikáció nyilvános kulcsú titkosítás segítségével Küszöb kriptográfia (Thresold cryptography) Önszervező PKI (Self Organizing Public Key Infrastructure) Identitás alapú (ID-Based) kriptográfia Kulcs szétosztási eljárások Diffie-Hellman (DH) kulcs csere GDH.2 (Generalized Diffie Hellman) Hypercube és Octopus Kulcstranszport nyilvános kulcsú architektúrán Csoport kulcs menedzsment protokoll (Group Key Management Protocol-GKMP) Üzenetszórásos hitelesítés - TESLA Útvonalválasztási mechanizmusok Dynamic Source Routing (DSR) AODV Zone Routing Protokol (ZRP) Biztonságos útvonalválasztás Onion routing Security-Aware Routing - SAR Ariadne Folyamatos figyelés, büntető mechanizmusok CSP Communicating Seqential Processes CSP alapok Biztonsági protokollok modellezése CSP-ben Specifikációk modellezése CSP-ben FDR A Casper A Casper bemeneti fájljának felépítése Biztonsági vizsgálatok Forrás útvonalválasztás ONION routing TESLA Ariadne Megoldás biztonságos mobil ad hoc kommunikációra Összegzés Referenciák

4 1. Bevezetés A hagyományos hálózatokkal szemben az ad hoc hálózatok nem igényelnek előre kiépített infrastruktúrát, a kommunikációt az egyenrangú résztvevők együttműködve valósítják meg. Ad hoc hálózatok már a középkorban is léteztek, gondoljunk csak az indiánok füstjelzéseire vagy az őserdőlakókra, akik távolabbra dobok segítségével kommunikáltak. Mai vonatkozásában a mobil ad hoc hálózatokkal a 2. világháború idején kezdtek el foglalkozni. A harcmezőkön nem volt semmiféle előre kiépített infrastruktúra, pedig a kommunikációra ott is szükség volt. Háború esetén egy idegen területen a gyorsaság az elsődleges, a kommunikációs hálózat kiépítésével eltöltött idő komoly veszteséget jelenthet. Így van ez egyébként katasztrófa helyzet esetén is. Itt is sokkal fontosabb feladatok léteznek egy új hálózat kiépítésnél vagy a régi rekonstruálásánál, pedig gyors és biztonságos adatcserére ilyenkor is szükség van. Más jellegű példa lehet egy mai ad hoc hálózatra egy olyan konferencia hálózat, ahol például csak néhány előadás kedvéért kellene kiépíteni a kommunikációs rendszert. Egy ad hoc rendszerben nincsenek kitüntetett szerepű eszközök, melyek központilag irányítanák, vagy ellenőriznék a feladatokat. Ezt a közös célokért küzdő egységeknek (nodeoknak) kell megvalósíthataniuk speciális entitások segítsége nélkül. Például egy ilyen rendszerben nincsenek szerverek, routerek vagy gatewayek. Minden résztvevő routerként is viselkedhet, hogy a csomagtovábbítást biztosítsa, illetve a gateway szerepét is fel kell vállalniuk, ha más hálózathoz szeretnének kapcsolódni. A mobil ad hoc hálózatok speciális tulajdonságokkal rendelkeznek. Dinamikus topológiájuk miatt ezen hálózatok nem statikusak, így a kiépült útvonalak csak korlátozott ideig érvényesek. A résztvevők mozgása vagy eltűnése nem befolyásolhatja a helyes működést. Manapság egyre több elektromos készülékbe építik be a vezeték nélküli kommunikációs képességet. Az egységek rendszerint kisméretű, hordozható, kézi készülékek, melyek maguk után vonják, hogy korlátozott CPU-, memória- és telepkapacitással rendelkeznek. A kommunikáció vezeték nélkül történik, mely kapcsolatok gyakran kisebb sávszélességgel bírnak és e csatorna gyakran megosztott és limitált. Mind a kapcsolatok, mind a készülékek sokkal sebezhetőbbek, mint vezetékes hálózatok esetében. [Perkins] A 2. fejezetben ismertetjük a biztonságos hálózatokkal szemben támasztott követelményeket és az ad hoc hálózatokat fenyegető veszélyforrásokat. Ezután a 3. fejezet ad hoc hálózatokban alkalmazható biztonsági mechanizmusokat mutatja be. A 4. fejezetben kitérünk az ad hoc hálózatok főbb útvonalválasztó mechanizmusaira, majd az 5. fejezetben lehetőségeket mutatunk a biztonságos útvonalválasztásra. A 6. fejezetben mutatjuk be az analízisünk során használt eszközöket, majd a 7. fejezet modelljeink formátumát ismerteti. A 8. fejezetben mutatjuk be a vizsgálatunk tárgyát képező protokollok modellezését, analízisét és azok eredményeit. Az eredmények alapján a 9. fejezetben egy megoldást adunk, mellyel megvalósítható az ad hoc hálózatok biztonságos kommunikációja. A 10. fejezetben összegezzük az eredményeket. 4

5 2. Mobil ad hoc hálózatok biztonsági kérdései, feltételei 2.1. Biztonságos hálózatok Napjainkra már számos olyan szempont létezik, amely a biztonságos kommunikációs rendszerekkel szemben elvárhatóak. Ezek az igények a hagyományos hálózatok lehetőségeihez lettek formálva. Az ad hoc rendszerek működése gyökeresen más szemléletet rejt, azonban a biztonságos kommunikáció igénye ugyanazon követelményeket támasztja. A következőkben tehát azokat a követelményeket ismertetjük, melyeket egy biztonságos rendszernek nyújtania kell. Információ titkosságának (confidentiality) nevezzük azt, hogy az információ csak azokhoz a résztvevőkhöz jut el, akiknek a küldő szánta. Mivel az információk a hálózatban résztvevők továbbításával jutnak célba, a bizalmas adatok védelme nélkülözhetetlen. A védendő információk nem csak a felhasználók által küldött adatok lehetnek, hanem például a rendszer jelzései is, melyek felhasználásával a támadó hasznos információkhoz juthat (pl. eszköz lokalizálása). Integritás (integrity) az a követelmény, mely biztosítja, hogy az adatok átvitele során történt változásokra fény derüljön. Változást okozhatnak természetes környezeti hatások, mint például az átviteli csatorna gyenge minősége, de egy támadó célja is lehet üzenetek megváltoztatása, új üzenetek beszúrása vagy üzenetek törlése. A hitelesítés (authentication) során az üzenet vagy a küldő személye lesz azonosítva. Biztonságos kommunikáció felépítésekor fontos bizonyosságot nyerni a másik fél személyéről, hogy kizárjuk a megszemélyesítés lehetőségét. Letagadhatatlanságnak (non-repudiation) nevezzük azt a követelményt, mely garantálja hogy a kommunikáció során az üzenetek akár később is meghatározzák a küldő személyét. Ennek segítségével az adott résztvevő és tevékenysége azonosíthatóvá válik, mely utólagos nyomozási vagy bizonyítási eljárásokhoz szükséges lehet. Elérhetőségnek (availability) nevezzük a hálózat elemeinek és a hálózat szolgáltatásainak folyamatos rendelkezésre állását. A rendszer működését veszélyeztetik a meghibásodások, a környezeti hatások és szándékos támadások is. Szükség lehet ezeken kívül egyéb biztonsági szolgáltatásokra is, mint például a hozzáférés védelem (authorization), ami a rendszer erőforrásaihoz való hozzáférést korlátozza. [Seciss] 2.2. Mobil Ad hoc hálózatok veszélyforrásai A mobil ad hoc hálózatok biztonsági szempontból a hagyományos hálózatokhoz képest újabb veszélyeket rejtenek. Ezen veszélyforrásokat foglaljuk össze a következőkben. A mobil ad-hoc hálózatok egységei rendszerint hordozható, kisméretű, kézi készülékek, melyek korlátozott CPU-, memória-, és telepkapacitással rendelkeznek. A telep élettartamának megnövelése céljából minimalizálni kell az erőforrás-igényes algoritmusok 5

6 futtatását, így kompromisszumokat követel például a kommunikáció során alkalmazott kriptográfiai műveletek megválasztása is. Túl egyszerű algoritmus esetén azonban megnőhet akár a kódtöréses támadások esélye. A telepkímélés egy másik fontos mechanizmusa a rádióadó, illetve akár az egész készülék ki-, vagy készenléti állapotba kapcsolása akkor, amikor nincsen rá szükség. Egy lehetséges támadási forma az olyan szolgáltatásbénító (Denial of Service - DoS) támadás, melynek célja pont a résztvevők energiaforrásainak pazarlása (sleep deprivation). Ekkor a támadó a készüléket folyamatosan aktivált állapotban tartja. Fennáll a CPU elleni DoS támadás veszélye is, például amikor egy támadó nagy számításigényű műveletek elvégzésére kötelezi a másik résztvevőt. Ekkor a számolással elfoglalt egység nem tud válaszolni, elérhetetlen lesz. Nehézségeket okozhat a memória korlátossága is, mivel az gátat szab például a tárolható kulcsok mennyiségének, illetve a nem megbízható egységek listájának hosszára is. Mivel ad hoc rendszerekben a csomagtovábbítás a résztvevők együttműködésén alapszik, ezért felmerülő kérések esetén válaszolni kell. Így támadásnak minősül az ebben való részvétel önző megtagadása is, azaz ha a támadó a hozzá érkező csomagokat nem továbbítja. Hordozható készülék könnyen illetéktelen személy kezébe juthat (pl. lopás), így számítani lehet arra is, hogy egy megbízott résztvevő készüléke egyszerre csak támadóként kezd viselkedni. A készülékek kis méret és súlyigényének következtében csak gyenge fizikai védelemmel látható el, így egy megszerzett készüléken hardver, illetve szoftvermódosítások végezhetőek. A felhasználó tárolt bizalmas információi rossz kezekbe kerülhetnek (pl. titkos kulcs), de a szoftver módosításaival a támadó vírust vagy trójai falovat is telepíthet az eszközbe. A mobil eszközök vezeték nélküli kommunikációja is veszélyeket rejt. A mobilitást manapság rádiós csatorna használatával valósítják meg. A rádiós csatorna olyan osztott médium, mely mindenki számára hozzáférhető. A kisugárzott információ a szükségesnél nagyobb térben is elérhető, érzékeny vevővel az elküldött információ nagyobb távolságból is lehallgatható, így a bizalmas információkat titkosítással kell ellátni. Az intranetek tűzfallal történő védelme sem megvalósítható, mivel a belső és külső hálózatok érintkezési pontjai nem egyértelműek. Mert ha egy épületben valaki rádiós kommunikációt használ, akkor az ő kommunikációja az épületen, a tűzfalon kívül is hallható lehet. Az osztott médium megzavarása DoS támadásként jöhet szóba. A csatorna elzajosításával az átviteli minőség lerontható, de akár teljesen használhatatlanná is tehető. A támadó által sugárzott zavaró jel csak nehezen választható el a csatorna természetes zajától. A csatornához való hozzáférés is együttműködést igényel, vagy szabályainak megsértése egy másik módja a kommunikáció megzavarásának. Az információk integritásának védelmére ezért szükség van. Egy támadó próbálkozhat az információk megváltoztatásával, vagy például új üzenetek beszúrásával az adatfolyamba, utazó csomagok teljes eltávolításával, de akár azok megváltoztatásával is. A biztonságos kommunikáció igénye szükségessé teszi olyan üzenetváltások meglétét, melyek futtatói a kommunikáció befejeztével meghatározott jellemzőkkel kell rendelkeznek. Biztonsági protokollok célja a résztvevő közötti titkos, illetve megfelelően hitelesített kapcsolat felépítése, ezek feladatai körébe tartoznak még például a kapcsolathoz szükséges kulcsok előállításai, illetve kódoltan a megfelelően hitelesített résztvevőkhöz juttatása. Egy támadó az üzenetváltások megfigyelésével és a szerzett információk felhasználásával a protokoll működésébe úgy igyekszik beavatkozni, hogy azzal a futtató résztvevőket megtévessze és így a futtatás befejeztével aláássa a feltételezett biztonságot. Egy ilyen támadó 6

7 minden előre ismert, megszerezhető, illetve kikövetkeztethető információt felhasználhat, egyetlen korlátja a kriptográfiai algoritmusok által kódolt üzenetek olvasása. Ezzel tehát feltételezzük, hogy titkosítási algoritmusaink jól működők, feltörhetetlenek a támadó számára. Man-in-the-middle támadás Ennél a fajta támadásnál a támadó a két kommunikáló fél közé épül be. Ez a támadás többféleképpen is megnyilvánulhat. Egyik módja például a résztvevők megszemélyesítése. A támadó a lehallgatott üzenetekből meg tudja fejteni a másik fél identitására szolgáló adatokat, és ezeket használva kiadja magát másnak. Reflection tükrözés A trükk itt az, ami a névből is adódik, vagyis hogy a támadó egy résztvevőnél visszapattintja az üzenetet vagy annak egy részét. Ezzel az üzenet küldőjét lehet becsapni a helyes válasz feltárásával. Ez a támadás gyakran szimmetrikus helyzeteken alapul. Oracle jóslás Ilyenkor a támadó a résztvevő által véletlenül felfedett információt használja. A támadó ráveszi a szereplőt, hogy a protokollból végrehajtson néhány üzenetváltást, ezáltal a támadó olyan adatokhoz jut hozzá, amihez másképp nem tudott volna. Ezekből az adatokból lehet jósolni az esetleges támadáshoz. Replay visszajátszás A támadó folyamatosan figyeli a protokoll üzeneteit, és később ugyanazt az üzenetet visszajátssza. Ez akkor fordulhat elő, ha a protokoll nem tud különbséget tenni az üzenetek között, nem tartalmaz az adott üzenetre jellemző egyedi információt. Interleave összefésülés Ez nagyon intelligens támadási forma, amikor a támadó két vagy több protokoll futás során kitalálja a protokoll átfedéseit. Sok esetben a támadó a jóslás és az összefésülés technikáját kombinálja, mely így sokkal eredményesebb. Failures of forward secrecy Valódi rendszerek működésében számítani kell a rendszer feltörésére. Ha egy támadó megszerez titkos kulcsokat, azzal az összes e kulccsal titkosított üzenethez is hozzájuthat. A rendszer teljes visszaállítása után is lehet a támadónál olyan információ, mely a rendszerre veszélyt jelenthet. Ezért az adatok titkosítására alkalmazott kulcsokat nem szabad újabb kulcsok bizalmas átvitelére használni, hanem erre külön kulcsot kell létrehozni. Algebrai támadás A kriptográfiai eljárások gyakran megfelelnek bizonyos algebrai szabályoknak. Erre példa a kizáró vagy művelettel való (Vernam) titkosítás, amikor is két azonos kulccsal titkosított üzenet kizáró vagy műveletének eredmény azonos lesz a két üzenet kizáró vagy kapcsolatával. Ezek közül így az egyik ismeretében következtetni lehet a másikra, valamint a használt kulcsra is. [Lowe] Az ad hoc hálózatok teljesen elosztott rendszerek, ahol nincsen központi elem. Így nincsen a rendszernek kiemelten érzékeny résztvevője, ám nem támaszkodhatunk központi segítségre sem. Nincsen teljesen megbízható pont a hálózatban, amely hiteles információkat szolgáltatna. A hagyományos rendszerekben elérhető és ezért széles körben alkalmazott hitelesítő központ hiányában a résztvevők megszemélyesítése komoly fenyegetést jelent. 7

8 Fokozott problémát jelent ez az első találkozáskor történő azonosítása. Végpont megszemélyesítésről beszélünk, amikor egy támadó másnak adja ki magát, mint aki valójában. Nem csak végpontokat lehet megszemélyesíteni, hanem a közbülső résztvevőket is. Man in the Middle támadáskor a támadó az útvonalba épülve a címzettnek adja ki magát, így tévesztve meg a küldőt Útvonal-választó protokollokra irányuló támadások A mobil ad hoc hálózatok nem rendelkeznek fix infrastruktúrával, felépítésük idővel dinamikusan változik. Ennek következtében olyan útvonal-választási megoldásokra van szükség, melyek követni tudják a bekövetkező változásokat. A pillanatnyi architektúra feltérképezése, illetve a csomagok célba juttatása a résztvevők közös információjával és együttműködésével történhet. Így jelentős zavarokat okozhat az, ha egy támadó téves információkkal árasztja el és téveszti meg hálózatot. A mobil ad hoc hálózatokra irányuló támadások jelentős része az útvonalválasztás mechanizmusát támadja, ezek az utazó csomagok eltérítését hivatottak elérni. Egy példa útvonal-manipulálásra, amikor a támadó téves útvonal információk küldésével egy hurkot hoz létre az útvonalban. Az ebbe bekerülő csomagok sohasem érnek célba, körbekörbe utaznak, miközben a rendszer energiáját és sávszélességét pazarolják. Másik egyszerű példa olyan fekete lyuk kialakítása, mely minden csomagot elnyel. A támadó elérheti ezt is meghamisított útvonal információkkal, mindössze minden csomagot saját magára kell irányítania, majd az érkező csomagokat figyelmen kívül hagyni. (2.1.ábra) A fekete lyuk speciális esete a szürke lyuk, mely szelektíven válogathat a csomagok között, a támadó tehát szűrést végezhet. Szintén útvonal manipulálással elérhetőek az optimálisnál jóval kedvezőtlenebb utak. Szélsőséges esetben a hálózat akár független tartományokra is darabolható, vagyis a résztvevők különböző halmazai nem érhetik el egymást. Gratitous detour-nak nevezzük, amikor egy támadó a rajta keresztülvezető, egyébként rövid útvonalat virtuális résztvevők beiktatásával hosszabbnak, előnytelenebbnek tüntet fel. Több útvonal-választási mechanizmus is használ valamiféle feketelistát a rosszindulatú résztvevőkről. Egy támadó célja lehet a jó résztvevőknek rossz színben való feltüntetése hamis információk terjesztésével. Ezáltal ez is felhasználható támadási célra. Egy trükkösebb támadás a wormhole Forrás Támadó Fekete lyuk 2.1.ábra Fekete lyuk támadók magánhálózata 2.2.ábra Wormhole támadás Támadó Célpont támadás. (2.2.ábra) Ennek lényege, hogy két támadó egység egy előre felépített magánhálózaton sokkal gyorsabban átvihet információt, mint az éppen akkor utat kereső többi résztvevő. A támadás során tehát a felépítendő útvonal egy részét magánhálózatukkal áthidalják a támadók, így sokkal gyorsabbnak fog tűnni, a felépülő út tartalmazni fogja a támadókat. 8

9 Láthattuk, hogy az ad hoc hálózatok nagyon sok veszélynek vannak kitéve. A biztonságos kommunikáció megvalósításához olyan megoldásokat kell alkalmazni, melyek egy támadó ellen sikeresen meg tudják védeni a hálózatot. A következő fejezetben a rendelkezésünkre álló biztonsági mechanizmusokat mutatjuk be. 9

10 3. Biztonsági mechanizmusok Vezetékes hálózatok esetében kiforrott, jól működő biztonsági megoldásokat alkalmaznak. Ezek a megoldások (pl. autentikáció, digitális aláírás, kódolás, titkosítás, hash alkalmazása) megfelelő biztonságot nyújthatnak, ám legtöbbjük igényel valamiféle menedzsmentszolgáltatást, mely ellátásához legtöbbször központosított entitás szükséges. Ilyen központi, megbízott elemekre ad hoc környezetben nem támaszkodhatunk. Ezeket a feladatokat is elosztva kell végezni, ráadásul a rendszernek redundanciát is hordoznia kell, mivel résztvevők eltűnhetnek, szakadozhat a kapcsolat és a kompromittálódás veszélye is fennáll. Ad hoc hálózatok esetében a résztvevők hitelesítése jelenti a legkomolyabb problémát, ezután a hagyományos titkosítási algoritmusok már jól alkalmazhatóak Autentikáció nyilvános kulcsú titkosítás segítségével Nyilvános kulcsú titkosítás esetén (PKI Public Key Infrastructure) mindenki rendelkezik egy nyilvános és egy titkos kulccsal. A nyilvános kulcshoz bárki hozzáférhet, míg a privát kulcsot mindenki csak saját maga tudja. A nyilvános kulcs ismeretében a titkos kulcs, illetve fordítva nem állítható elő. A nyilvános kulccsal lekódolt üzenet csak a neki megfelelő titkos kulccsal dekódolható. Nyilvános kulcsú titkosítás segítségével létrehozhatunk olyan központi helyet, mely tanúsítványokat (certificate) állít ki a nyilvános kulcsok és a megfelelő résztvevők összetartozásáról. Az ilyen központokat Certificate Authority-nak nevezünk (CA) A CA-nak elismertnek, hitelesnek és megbízhatónak kell lennie. A CA segítségével ellenőrizni lehet, hogy használójához tényleg a megfelelő kulcs tartozik-e és hogy ez a kulcs érvényes-e még vagy pedig már visszavonták. A CA-nak on-line elérhetőnek kell maradnia, hogy ezen összerendeléseket folyamatosan biztosítani tudja, és egyben követnie kell a kulcsváltozásokat is, valamint még tanúsítványok visszavonására is képesnek kell lennie. Ad hoc hálózatokban nem alkalmazhatunk központosított CA-kat, ezt a feladatot elosztva kell végezni. A következőkben bemutatjuk e feladat elosztásának két lehetséges módját Küszöb kriptográfia (Thresold cryptography) A bizalom elosztásának egy lehetséges módja a küszöb kriptográfia. Egy (n, t+1) séma lehetővé teszi egy kriptográfiai feladat n résztvevő közötti szétosztását úgy, hogy azt bármely t+1 tagja sikeresen el tudja végezni, de ennél kevesebb tag már nem birkózhat meg a feladattal. Ez esetben a kulcs menedzsment szolgáltatás n szervere osztja szét egy bizonyítvány aláírásának jogát. A szolgáltatás titkos kulcsát n részre osztja és eljuttatja ezeket az egyes szervereknek. Ezt a szétosztást a k kulcs (n, t+1) szétosztásának nevezzük. Így minden egyes szerver az aláírásnak csak egy részét képes előállítani, melyek még akkor is sikeresen összekombinálhatóak, ha t szerver kompromittálódott. A küszöb kriptográfia egy nagyon hasznos tulajdonsága, hogy képes a résztvevők információ darabjainak frissítésére. Ez a mozgó támadók kivédését teszi lehetővé, melyek egymás után törik fel a szervereket, melyek mennyisége egy bizonyos idő elteltével meghaladhatná a kritikus t mennyiséget. A szétosztás frissítésekor (share refresh) egy új küszöb kriptográfiai séma jön létre, mely kiválóan alkalmas a hálózat változásaihoz való alkalmazkodásra. Mivel e frissítés nem túl bonyolult művelet, egy kialakított konfiguráció hosszabb ideig is képes a hálózat változásait követni. Viszont ha túl sok résztvevő kompromittálódott, új sémát kell kialakítani. 10

11 A bemutatott megoldás komoly problémája, hogy feltételezi a résztvevők szinkronitását, amely csak a legritkább esetben áll fenn. Egy csomópont kapcsolata bizonyos időre megszűnhet vagy lelassulhat, miközben előfordulhat, hogy a többiek véghezvisznek egy szétosztás frissítést. Ezek után már nem lesz képes visszakapcsolódni a folyamatba, mert azóta egy újabb konfiguráció alakult ki. A rendszer működésének kezdete komoly probléma, ugyanis ekkor még csak néhány résztvevővel rendelkezik a hálózat. Ekkor is el kell tudni dönteni, hogy ki kezdeményezheti egy szétosztott CA létrehozását. Ráadásul később, ha egy kialakult rendszer diszjunkt részekre szakad, ezek külön is folytathatják működésüket, az újbóli egyesülés lehetőségének engedélyezése további problémát jelenthet. [Haas] Önszervező PKI (Self Organizing Public Key Infrastructure) A tanúsítvány alapú hitelesítés fő problémáját képezi a megbízott harmadik fél szükségessége, melynek központiságát ad-hoc környezetben el kell kerülni és teljesen önszervező struktúrát kell kialakítani. Küszöb kriptográfia egy megoldást kínált az elosztott CA megvalósítására, de léteznek bizonyítvány alapú autentikációs megoldások (pl. PGP - Pretty Good v U tanúsítvány lánca Z tanúsítvány lánca U-tól V-be egy lánc Z-n keresztül 3.1. ábra Önszervező PKI tanúsítványlánca z Privacy), melyekben a bizonyítványokat a felhasználók saját maguk készítik el és önszervező terjesztésük is megoldott. Itt nincsenek központosított kulcstárak, vagy CA-k, hanem minden felhasználó rendelkezik egy kis méretű helyi tanúsítványtárolóval, melyben korlátozott számú tanúsítványt képes tárolni. Amikor két felhasználó (u és v) azonosítani szeretnék egymást, egyesítik e tárolójukat, melyben u próbál keresni egy megfelelő tanúsítvány láncot v-hez (3.1.ábra). A gráf pontjai a felhasználókat jelentik, a megfelelő irányítottságú élek pedig a tanúsítvány hitelesítéseket. Ilyen lánc jó eséllyel biztosítható még akkor is, ha a tároló mérete kicsi a hálózat résztvevőinek számához képest. Ezen megközelítés jó megoldás lehet a teljes önszerveződés eléréséhez. Problémát a skálázhatóság jelent, mivel a hálózat növekedésével egyre növekszik a valószínűsége annak, hogy nem létezik majd megfelelő tanúsítvány lánc. [Questfor] Identitás alapú (ID-Based) kriptográfia Az identitás alapú kriptosémák alapötlete, hogy a nyilvános kulcs szerepét az egységek identifikálására szolgáló szintén nyilvános azonosítók töltsék be, és ezzel a CA által biztosított összerendelő feladatkör szükségtelenné válik. Azonban a nyilvános kulcsú titkosítás lényege éppen abból adódik, hogy a nyilvánosból a titkos kulcs (illetve fordítva) nem származtatható. Ez esetben egyetlen központi entitás képes arra, hogy egy publikus kulcsból (identitás) elkészítse annak titkos párját. Ezt a műveletet csak egyszer, a felhasználók regisztrációjakor kell elvégezni. A rendszerben résztvevő, egymást nem ismerő elemek ezután autentikusan lesznek képesek egymással kommunikálni, mégpedig harmadik féllel való interakció nélkül. u 11

12 A valóságban viszont gondolni kell a kompromittálódott, és később újra regisztrálni akaró résztvevőkre is, tehát a regisztráló központnak mégis elérhetőnek kell maradnia. További veszélyforrás, hogy e központ ismerni fogja a résztvevők titkos kulcsait is, továbbá e titkos kulcs elkészítése erőforrás-igényes feladat, hosszú időt vehet igénybe. [IDbased] 3.2. Kulcs szétosztási eljárások A korábban megtörtént sikeres azonosítás után az információ védelmére egy biztonságos, kódolt kapcsolat létrehozása szükséges. Ilyenre alkalmas a szimmetrikus kulcsú kódolás (Common Key Architecture). Ehhez a résztvevőknek közös, osztott kulccsal kell rendelkezniük, melyet a kódolás és dekódolás folyamatában is használhatnak. Ezzel a megoldással lehetővé válik a bizalmas üzenetszórás (broadcast) vagy többesküldés (multicast). Korábban már számos kulcs menedzsment protokoll kialakult, de az ad hoc hálózatok más igényeket is támasztanak. A következőkben bemutatunk néhány ilyen protokollt Diffie-Hellman (DH) kulcs csere A Diffie-Hellman kulcs csere algoritmus segítségével nyilvános csatornán lehetőség nyílik két résztvevő közötti közös titok kialakítására. Egy harmadik résztvevő azonban teljes egészében hallhatja a kommunikációt, viszont mégsem lesz képes ugyanazon közös kulcs létrehozására. A két résztvevő (A és B) megállapodnak egy q rendű G ciklikus véges csoporton és a csoport α generátor elemén. Ezután mindkét résztvevő véletlenszerűen választ egy titkos kitevőt (A és B). Ezután A kiszámítja α A -t, B α B -t és átküldik egymásnak az így megkapott értékeket. Mivel a kitevők titokban maradtak, az átküldött értékeket erre a hatványra emelve kialakul a α AB közös titok, de a lehallgató nem tudja meg magukat a kitevőket, így képtelen a kulcs létrehozására. A kettőnél több résztvevős esetben is lehetséges a kulcs kialakítása. Ezek közül tekintünk most át néhányat. [Applied] GDH.2 (Generalized Diffie Hellman) A GDH.2 a Diffie-Hellman kulcs csere algoritmus általánosítása több résztvevő esetére. A résztvevők egy láncot alkotnak, majd α r1 1 2 α r1 α r α r1r2r3 α r1r3r4 α r2r3r4 3.2.ábra GDH.2 üzenetváltásai α r1r2 α r1r3 α r2r3 α r1r2r3 4 az első tag indít egy üzenetet, melyet a résztvevők kiegészítés után láncszerűen továbbküldenek. Ez igazából csak az egyik oldala a Diffie- Hellman üzenetnek, az utolsó egység küldi a másikat. A kiegészítések a 3.2.ábrán láthatóak. Ez a folyamat a legutolsó elemig folytatódik, ami már képes lesz a közös titok létrehozására, és minden egyes résztvevőnek eljuttatja a számára hiányzó információt. A titok csak a megfelelő végpontok számára lesz ismert. Ezen eljárás fő problémája, hogy az utolsó entitás kitüntetett szereppel rendelkezik, mivel ő továbbítja minden egyes résztvevőnek a hiányzó információt a közös titok előállításához. Ez a 12

13 kitüntetett szerep egyben maga után vonja, hogy a célpontja lesz a támadásoknak. Másik probléma, hogy viszonylag nagy mennyiségű adat átvitelére van szükség. [Keyest] Hypercube és Octopus α ab A C α cd A α ϕ(αab ) ϕ(α cd ) C Egy másik megoldás a Hypercube algoritmus. Az eljárás alapötlete párok kialakítása, melyek Diffie-Hellman kulcs csere algoritmus segítségével létrehozzák közös titkaikat. Ezután a párokat is párokba rendezzük, melyek B B D 3.3.ábra A Hypercube üzenetváltásai D P 1 P 2 P 3 között ismét elvégezhető a kulcs-csere kettesével, és így tovább (3.3.ábra). Az eljárás hátránya, hogy a résztvevők száma csak 2 n lehet. Megoldásként adódott az Octopus protokoll (3.4.ábra), mely létrehoz egy Hypercube magot, amit karokkal egészít ki (P 1, P 2, stb.). Először e karok végeznek DH kulcs cserét a nekik megfelelő központi elemekkel, majd e központ alakít ki Hypercube struktúrát, végül pedig közlik a karokkal a kialakult új kulcsot. Hátránya, hogy a Hypercube mag központi szerepet játszik, valamint bonyolult új résztvevők bevonása a rendszerbe. [Keyest] A B C D P 5 P 6 P 4 P ábra Az Octopus üzenetváltásai Kulcstranszport nyilvános kulcsú architektúrán Nyilvános kulcsú architektúra alkalmazása erőforrásigényes megoldás, ezért nagyobb mennyiségű információ titkosítására csak a legritkább esetben használják. Ezzel szemben a szimmetrikus kulcsú titkosítás hatékony megoldást nyújt. Nyilvános kulcsú titkosítást alkalmazó rendszerekben P B (S) egyszerűen létrehozható szimmetrikus kulcspár. Az új kulcsot létrehozó fél az ismert nyilvános kulcsok hassználatával A B bárkinek eljuttathatja a későbbiekben szimmetrikus titkosításra használandó titkot. Ez a kulcstranszport folyamat 3.5. ábra Kulcstranszport látható a 3.5.ábrán Csoport kulcs menedzsment protokoll (Group Key Management Protocol-GKMP) Ez a protokoll a résztvevők egy csoportjának szimmetrikus kulcs menedzsment funkcióit látja el. A GKMP kulcs kialakítási mechanizmusa két résztvevő közötti kooperatív eljárás. (pl: Diffie-Hellman kulcs csere) A kulcs létrehozása után a GKMP elterjeszti e csoport kulcsot az arra jogosult elemeknek. Lehetővé teszi ezen túl új résztvevő beléptetését, tag törlését és a csoport teljes újrakulcsolását. A GKMP teljes jogosultság-ellenőrző rendszert is tartalmaz, mivel a kulcsolás alkalmával jogosultsági tanúsítványok (Permission Certificate PC) is létrejönnek. Bármely csomópont bárki jogosultságát leellenőrizheti, de módosítani nem 13

14 képes azt. GKMP-vel lehetséges a kompromittálódott résztvevők kizárása, mivel a feltört résztvevők listája (CRL Compromise Recovery List) szétterjesztésre kerül a hálózatban. Ez a protokoll megpróbálja a lehető legtöbb feladatot szétosztani a csoporton belül, tehát igyekszik elkerülni bármiféle központi entitást. Ennek ellenére néhány funkció, mint például a jogosultságok osztása továbbra is központosított feladatkörök maradtak. [Gkmp] Láthattuk az előzőekben, hogy a kommunikáció titkosítottságának biztosítása nem jelent komolyabb problémát, mivel közös titok, vagyis titkos csatorna kialakítására és kulcsainak létrehozására léteznek megoldások (DH, GDH.2, Hypercube, Octopus). A közös kulcs a végpontok között kialakítható, így a köztes csomópontok és más lehallgatók számára a kommunikáció rejtve marad. Sokkal komolyabb kihívás ennél az egyes résztvevők azonosítása, vagyis az autentikáció megvalósítása. Ad-hoc hálózatokban nem támaszkodhatunk központi tanúsítványokat biztosító entitásra (Certificate Authority), bár láttuk, hogy kiküszöbölésére léteznek megoldási lehetőségek (Küszöb kriptográfia, Önszervező PKI, ID-Based PKI) Üzenetszórásos hitelesítés - TESLA A forrás hitelesítés alapvetően aszimmetrikus művelet, mivel minden vevő képes a hitelesítő üzenet leellenőrzésére, de nem képes annak meghamisítására. A TESLA ezt az asszimetriát kulcsok késleltetett nyilvánosságra hozásával éri el, ennek következtében az autentikáció is késni fog. A TESLA hatékony és kis erőforrásigényű eljárás, mivel szimmetrikus titkosítást használ. A titkok folyamatos nyilvánosságra hozásának következtében nagy mennyiségű kulcsra van szükség, erre egy őstitokból kiinduló egyirányú hash láncot alkalmazunk. A küldő elkészít egy ilyen láncot, majd visszafelé hozza elemeit nyilvánosságra. Így ha egy kulcsot autentikusnak tekintünk, úgy a későbbi kulcsokat is mind autentikusak tekinthetjük, az egyirányú hash függvény miatt mástól nem származhat. Csomag küldésekor a küldő tippel egy pesszimista korlátot a hálózat késleltetésére. Ezután vesz a hash láncából egy olyan kulcsot, mely még a csomag megérkezésekor is biztosan titok lesz. Ezzel a kulccsal számít egy üzenet autentikációs kódot (Message Authentication Code - MAC), melyet az üzenettel együtt átküld. Küldõ Vevõ A vevő a csomag érkezésekor először ellenőrzi, hogy a t MAC készítéséhez használt kulcs még mindig titok-e. Ha már nem, az azt jelenti, hogy a küldő már publikálta a megfelelő kulcsot, tehát a MAC-ot más is előállíthatta, így az autentikáció sikertelen (3.6.ábra). Ha titkos még, a vevő puffereli a csomagot addig, amíg a küldő nem publikálja a Küldõ üzenet + MAC i ti Vevõ 3.7. ábra Sikeres TESLA autentikáció t üzenet + MAC i megfelelő kulcsot, és így képes lesz majd 3.6. ábra Sikertelen TESLA autentikáció leellenőrizni azt (3.7.ábra). A TESLA alkalmazásakor szükség van a küldő és a vevő között időszinkronizálására, melynek nem szükséges pontosnak lennie, de a vevőnek jósolnia kell egy legnagyobb időkorlátot a küldő idejéről. Problémát jelenthet az autentikáció késése, valamint a pufferelés megvalósítása, de ennek kiküszöbölésére léteznek megoldások. [Tesla] ti 14

15 4. Útvonalválasztási mechanizmusok Mobil ad hoc hálózatok általában multi hop hálózatok, ahol a csomagok továbbítását a résztvevők végzik. Hagyományos hálózatokban léteznek kitüntetett szerepű pontok (gateway, router), melyek információval rendelkeznek a hálózat felépítéséről, így képesek az útvonal megbízható megválasztására. Ezzel szemben a mobil ad hoc hálózatokban a rendszer felépítése dinamikusan változhat, nincsen fix infrastruktúra, nincsenek kitüntetett pontok. Ennek következtében a hosszabb útvonalak felderítéséhez elosztott algoritmusra van szükség, a meghatározott útvonalakon történő adattovábbításban minden egységnek részt kell vállalnia. A mobil kommunikációs világ útvonalválasztó protokolljai két nagy csoportba sorolhatóak: a proaktív és a reaktív protokollokra. Egy proaktív protokoll folyamatosan igyekszik figyelemmel kísérni a hálózat változásait, időről időre elvégzi a rendszer pillanatnyi felépítésének feltérképezését. Ehhez folyamatosan felderítő csomagokat küld a hálózatba, mely a rendszer terhelését eredményezi. Az ilyen rendszerek további hátránya, hogy a megszerzett információk tárolása révén a résztvevőknek sok szükségtelen információt kell hordozniuk. Mobil ad hoc hálózatokban előnyösebb útvonalválasztást valósítanak meg a reaktív vagy más néven igény szerinti protokollok. Ezek jellemzője, hogy csak akkor próbálkoznak egy útvonal felderítésével, amikor arra igény mutatkozik. Az ilyen protokollok alkalmazása optimálisabb megoldást nyújthat, de mivel az útkeresés csak az igény megjelenése után kezdődik, így a kommunikáció kezdetekor számottevő késedelem jelentkezhet. Léteznek még e két típust ötvöző hibrid útvonalválasztó protokollok is, melyek a kétféle megoldás előnyeit igyekeznek egyesíteni. [Introute] A továbbiakban bemutatunk néhány útvonalválasztó protokollt, melyek az ad hoc hálózatokban jelentős szereppel bírnak Dynamic Source Routing (DSR) A hagyományos IP hálózatok világában már korábban kidolgozásra került a forrás által meghatározott útvonalválasztás (source routing) lehetősége. Ennek lényege, hogy a küldő fél határozza meg a csomag teljes továbbítási útvonalát, és így a közbülső útválasztók beállításaitól függetlenül vihető át a csomag. A kívánt útvonalat a csomag fejrészébe építve a feladó specifikálja, mellyel a közbülső csomópontok számára egyértelműen adottá válik a továbbítás iránya. A DSR egy egyszerű és hatékony útvonalválasztó protokoll, melyet kimondottan vezeték nélküli ad hoc hálózatokhoz terveztek. Használatával olyan rendszer valósul meg, melyben az útvonalválasztás teljesen önszervező és önbeállító módon valósul meg. A rendszer architektúrájának folyamatos megváltozásait a DSR protokoll dinamikusan kezelni tudja. Az átvitel során minden üzenet fejlécébe belekerül a teljes útvonallista, ezáltal az útvonal hurokmentessége garantált lesz. A rendszer működése során nincsen szükség arra, hogy a közbülső résztvevők bármiféle aktuális információval rendelkezzenek. További előny, hogy az információkat vevő minden résztvevő eltárolhatja az abból kikövetkeztetett útvonal információt. A DSR protokoll legfontosabb mechanizmusa az útvonal felderítése, mely akkor következik be, amikor egy forrás útvonalat szeretne keresni egy bizonyos címzetthez. Ekkor egy útvonalkérő csomagot állít elő a küldő, melyben feltünteti a címzettet és üzenetszórással terjeszteni kezdi. Minden szereplő, mely megkapja e csomagot, saját címével kiegészítve újra továbbküldi a kérést, mely így szétterjed a hálózatban. Amennyiben egy ilyen útvonalkérő 15

16 csomag eljut a címzetthez, a benne szereplő listából azonnal ismerni fogja a csomag teljes érkezési útvonalát. Ezen útvonalon fordított irányban egy Route reply csomagot indít visszafelé, hogy a küldő tudtára hozza, hogy sikerült útvonalat találni. Egyirányú kapcsolatok esetén lehetőség van a RREP üzenet számára egy másik visszafelé vezető útvonalat keresni. Az útvonalkeresés folyamatának meggyorsítására a résztvevők fenntarthatnak bizonyos méretű gyorsítótárat (cache), melyben működő útvonalak információit rögzítik. Az útvonalfelderítés sebessége így jelentős mértékben lecsökkenhet. A DSR másik fontos mechanizmusa az útvonal karbantartás, mellyel az útvonalban fellépő változások kerülnek lekezelésre. Minden továbbító résztvevő felelős a csomag szomszédai felé való eljuttatásáért. Amennyiben valami következtében sikertelenné válik a csomagok továbbítása, úgy Route Error üzenettel értesíthető erről a többi résztvevő, és így elkezdődhet működő útvonal keresése. Működés közben több útvonal is nyilvántartásban tartható, így esetleges meghibásodások esetén a másik útvonalra való átváltás szinte nem is jár időkieséssel. Nem csak meghibásodás esetén lehet szükség ilyen áttérésre, hanem például egy megjelenő optimálisabb útvonalra való átváltáskor is. Kis mobilitású hálózatban, ahol az útvonal-gyorsítótárakban lévő bejegyzések hosszabb ideig is használhatóak maradnak a DSR protokoll meglehetősen jó választásnak tűnik. Hátránya, hogy minden csomagnak a közbülső résztvevők címeit is tartalmaznia kell, mely hosszabb útvonalak, vagy nagy címek (pl. IPv6) esetén jelentős többletterhelést eredményezhet. [Dsrdraft] 4.2. AODV Az AODV szintén egy reaktív protokoll, mely csak kommunikációs igény esetén próbálkozik útvonal felépítésével. Ellentétben a DSR-el, nem forrás útvonalválasztást használ, hanem a közbülső résztvevők döntik el a továbbítás irányát. Ebből adódóan a közbülső egységek döntései alapján továbbítódnak a csomagok, melyeket saját információik alapján hoznak. Ennek megfelelően minden résztvevő rendelkezik egy útvonalválasztó táblázattal, melynek tartalma időről időre dinamikusan változik. Amikor igény lép fel csomagok egy adott címzetthez való eljuttatására, útvonal felderítő folyamat indul el. Ez hasonló a DSR-ben alkalmazott útvonal-felderítő (route request - RREQ) üzenettel, amely a hálózatban szétküldésre kerül. Ebben a felderítő csomagban a feladó és küldő címe, valamint még néhány adminisztratív mező található. Minden résztvevő, aki megkapja a RREQ üzenetet, létrehoz saját útvonalválasztó táblájában egy a feladóra mutató (reverse route) bejegyzést, majd tovább terjeszti a kérést. A helyi útvonalválasztó táblák alapján így a feladó már megtalálható lesz, és amikor végül a címzetthez is eljut a kérés, a visszajelzés (RREP- Route Reply) már ezen az útvonalon egyszerűen visszajuthat a feladóhoz. A visszajelzés során minden közbülső résztvevő útvonalválasztó táblájába bekerül az előre, vagyis a címzetthez vezető irány is. AODV esetében figyelmet kell fordítani az útvonal hurokmentességére is. Ezt az útvonal felderítő üzenetek sorszámozásával érik el, melyet minden résztvevő a megfelelő szabályok szerint növel. Az útvonalválasztó táblák nem használt bejegyzései idővel érvényüket vesztik, azonban használat esetén az útvonalak érvényben maradnak. Használat nélkül is lehetőség van helyi Hello üzenetekkel fenntartani az adott kapcsolatot. Amikor egy útvonalban hiba lép fel, akkor az elérhetetlenné váló résztvevőkről útvonalhiba (route error RERR) üzenet keletkezik. Az AODV-ben megvan a lehetősége az útvonalhibák helyi javításának, amikor is a feladó, illetve a címzett nem is értesülnek az útvonal hiba miatti változásairól. 16

17 Az AODV kis számítás- és memóriaigényű protokoll, mely elosztott módon valósítja meg az útvonalválasztást. Képes nagyobb mobilitású hálózatok esetén is megfelelően működni, jó skálázhatósági paraméterekkel rendelkezik. [Aodvdraft] 4.3. Zone Routing Protokol (ZRP) A mobil ad hoc hálózatok útvonal-választási protokolljainak a hálózat topológiájának dinamikus változásával, a nem szimmetrikus linkekkel és az alacsony átviteli sebességgel is szembe kell nézniük. Mind a reaktív, mind proaktív protokollok nem bizonyultak teljesen tökéletesnek ebben a környezetben. A Zone Routing Protokoll (ZRP) egyesíti a proaktív és reaktív megoldások előnyeit. Ez folyamatos topológiai térképet tart fenn az egyes zónákba rendelt egységekről. A zónán belüli útvonalak mindig elérhetőek. A zónán kívüliekhez útvonal felderítési mechanizmust használ, melyet egyesít a zónán belüli információkkal. Egy korlátozott területen (zónában) az útvonalakról az aktuális információkat sokkal könnyebb folyamatosan fenntartani, mint az egész hálózatban. Ezáltal a nem használt távolabbi elérési útvonalak száma minimálisra csökkenthető. A zónák közti útvonalakat pedig reaktív módon térképezi fel a protokoll. Mivel minden egység a helyi útvonalakat proaktív módon tárolja ezért egy esetleges útvonal-felderítés sokkal hatékonyabb ezen tárolók felhasználásával. Egy zóna nagyságát ugrások (hop) számában határozzák meg. Például 2 ugrás esetére mutat példát a 4.1.ábra. Ezen látható, hogy az S résztvevőhöz képest a K-n kívül minden résztvevő 2 hop-on belül van. G A J F B S H E C D 4.1.ábra A ZRP egy zónája I K Egy esetleges útvonal-felderítés esetén először ellenőrzi a forrás, hogy a célpont az adott zónán belül van-e, ha igen, akkor proaktív módon történik a felderítés. Ha nem az adott zónán belül, akkor a zónán belüli egység a periférikus résztvevőknek küldi a route request üzenetet. Mivel a periférikus egységek két zónában vannak, azok már a következő zónákban is ellenőrizni tudják, hogy ott található-e a célpont. Ha ott sem, akkor tovább folytatódik ez a felderítés. Eközben minden szereplő, akin keresztülment a felderítés, csatolja a saját elérhetőségét. Ha a felderítő üzenetet hallgató egység tudja a célállomás helyét, akkor az route replay üzenettel felel a forrás felé. Ez az üzenet pedig fordított sorrendben tartalmazza a route request-től kapott résztvevők listáját, így jut vissza a válasz a forráshoz. A ZPR lecsökkenti a forgalmat a tiszta reaktív vagy proaktív protokollhoz képest. A zónák optimális nagysága a résztvevők számától függő érték, ezáltal a ZRP egy jól skálázható protokoll. [Zrpdraft] 17

18 5. Biztonságos útvonalválasztás Mobil ad-hoc hálózatok biztonságossá tételében jelentős szereppel bír a biztonságos útvonalválasztás megvalósítása. Az ismertetett útvonal-választási protokollok biztonsági szempontokat nem vesznek figyelembe. A veszélyek az útvonalválasztás folyamatának elosztottságából adódnak, feltételezik minden résztvevő együttműködési szándékát. A valóságban sajnos nem ez a helyzet, nem tekinthetünk megbízhatónak olyan rendszert, melynek működését bárki könnyen megtévesztheti. Olyan megoldásra van szükség, mely lehetővé teszi, hogy az útvonalkeresés során a lehetséges útvonalak közül meghatározott szempontok szerint válogassunk. Ezen felül fontos még bizonyosságot nyernünk afelől, hogy a továbbított adatok valóban a kiválasztott úton haladnak végig Onion routing Az Onion routing egy olyan útvonal-választási megoldás, mely lehetőséget nyújt annak biztosítására, hogy az elküldött üzenet csakis egy meghatározott útvonalon utazhasson végig. A P B (P C (P D (msg))) B P C (P D (msg)) C P D (msg) D P B P C P D 5.1.ábra Onion routing Ennek megvalósításához az Onion routing nyilvános kulcsú titkosítást használ. Működésének lényege, hogy a küldő az útvonalban előforduló minden egyes továbbító nyilvános kulcsával mintegy héjszerűen betitkosítja az üzenetet. A nyilvános kulcsok védelmét csak a megfelelő titkos kulccsal rendelkező egységek tudják eltávolítani, így a címzetthez eljutó adat csakis abban az esetben lehet feldolgozható, amennyiben végigutazott a meghatározott útvonalon. (5.1.ábra) A csomagküldés elindításához a küldőnek először össze kell gyűjtenie a közbülső továbbítók nyilvános kulcsait, majd az útvonaléval ellenkező sorrendben elvégezni a csomagok titkosítását. Onion routing csak olyan esetekben alkalmazható, amikor a küldő már pontosan tudja, hogy csomagjának milyen útvonalon kell végighaladnia a hálózaton, amely a forrás útvonalválasztások sajátossága (pl. DSR). [Onion] 5.2. Security-Aware Routing - SAR A hagyományos útvonalválasztó megoldások a lehető legoptimálisabb útvonal (például legkevesebb a hop-ok száma vagy a legrövidebb idő) megtalálását tűzik ki célul. Az optimális döntéshez olyan szempontokat vesznek figyelembe, mint például a lehetséges legrövidebb, vagy leggyorsabb útvonal keresése. A SAR a döntés során különféle biztonsági szempontok teljesülését is szem előtt tartja. Egy útvonal biztonságának meghatározására többféle jellemző is megadható. Ilyen lehet például az útvonal megbízhatóságának (trust level) vagy biztonságosságának szintje (security 18

19 level). A SAR lényege, hogy az útvonalválasztás során ezeket is figyelembe veszi, és csak a megfelelő biztonsági előírásoknak megfelelő útvonal épül ki. A kialakuló útban csak olyan résztvevők vehetnek részt, melyek rendelkeznek a megfelelő, fenti paraméterekkel. (5.2.ábra) Továbbá e szinteknek autentikusnak kell lenniük ahhoz, hogy sem a csomópontok szintjei, sem az igényelt szint ne kompromittálódhasson. SAR alkalmazásakor a küldő, aki útvonal felderítést kér, az igényelt biztonsági szintet is meghatározza a SAR útvonal kérésben. A közbülső résztvevők csak akkor továbbítják a kérést, amennyiben megfelelnek a biztonsági előírásoknak. Ha a kérés eljut a címzetthez, akkor kialakulhat a megfelelő biztonsági előírású A legrövidebb útvonal B útvonal. A SAR kiegészítés szinte bármely igény szerinti (on-demand) útvonalválasztó protokollhoz implementálható. A SAR megoldások egy komoly 5.2. ábra A SAR segítségével meghatározott útvonal nehézsége az, hogy az egyes szinteket autentikálni kell, semmiképpen sem lehet a résztvevők felelőssége saját szintjükről nyilatkozni. Láttuk korábban, hogy ad-hoc hálózatokban az autentikáció kérdéskörének megoldása nem triviális feladat, úgymint az sem, hogy megakadályozzuk a nem megfelelő biztonságú (és esetleg támadó) csomópontok beépülését az útvonalba. Mindezek tetejére már az is támadást jelenthet, ha egy résztvevő biztonsági paraméterei kiolvashatóak, mivel ezek általában szoros összefüggésben vannak annak fontosságával. [Secaware] 5.3. Ariadne Az Ariadne egy olyan igény szerinti útvonalválasztó protokoll, mely képes aktív támadók esetén is megfelelő működést biztosítani. Lehetőséget nyújt autentikus útvonalválasztás véghezvitelére, így még rosszindulatú résztvevők jelenléte esetén is képes megfelelő útvonal kiépítésére. Működése a DSR működésén alapuló forrás útvonalválasztás, de az útvonalválasztó üzenetek hitelesítő mechanizmussal vannak kiegészítve. Ez teszi lehetővé azt, hogy csak meghatározott entitások legyenek képesek az útvonalválasztás folyamatában részt venni. Nagy előnye, hogy működése során csak szimmetrikus kriptográfiai megoldásokra és egyirányú (hash) függvény használatára támaszkodik, így működése telepkímélő. A végpontok közötti hitelesítés megvalósítására az üzenethez, előzőleg osztott titok segítségével, üzenet autentikációs kódot (MAC) csatol. Az üzenetszórással terjesztett üzenetek (pl. RREQ) hitelesítéséhez ez nem megfelelő. Ez az üzenetszórásos hitelesítés a TESLA protokoll segítségével került megoldásra. A folyamat lényegi működését az útvonalkérés (RREQ) folyamatára mutatjuk be, hasonló elvek alapján minden DSR üzenet kiegészíthető hitelesítéssel. 19

20 A végpontok tehát rendelkeznek osztott A titokkal, melynek 1. RREQ(A, E) 8. RREP(A,B,C,D,E) felhasználásával a h a =MAC ad MAC b, MAC c, MAC d, MAC e, Kt d, Kt c, Kt b kommunikációt kezdeményező fél az B útvonalkérő csomag 2. RREQ(A,B,E) 7. RREP(A,B,C,D,E) h hitelesítésére előállítja b =h(mac ad, B), MAC b MAC b, MAC c, MAC d, MAC e, Kt d, Kt c annak MAC azonosítóját, melyet a C kéréssel együtt 3. RREQ(A,B,C,E) 6. RREP(A,B,C,D,E) h terjeszteni kezd. A c =h(h b ), MAC b, MAC c MAC b, MAC c, MAC d, MAC e, Kt d kérést vevő résztvevők a DSR működésének D 4. RREQ(A,B,C,D,E) 5. RREQ(A,B,C,D,E) megfelelően h továbbítás előtt az d =h(h c ), MAC b, MAC c, MAC d MAC b, MAC c, MAC d, MAC e útvonallistába illesztik E saját azonosítójukat. A továbbított csomag 5.3.ábra Az Ariadne mechanizmusa újabb MAC azonosítóval kerül hitelesítésre. Ezen azonosító előállításához a résztvevők TESLA kulcsot választanak, mely egészen a RREP üzenetig titokban marad. Ezen túl átvitelre kerül még az eredeti üzenet MAC kódjának továbbító címével együtt vett hash kódja. A vevőhöz érkező kérés MAC kódja az osztott kulcs révén ellenőrizhető. A RREP üzenet a kiadódott útvonalon indul vissza kiegészítve a kéréskor összegyűjtött Tesla kulcsos MAC kódokkal. A továbbítás során a Tesla kulcsok sorra leleplezésre kerülnek, és így a továbbítók is autentikusak lesznek. Ez az üzenetváltás látható az 5.3.ábrán. [Ariadne]; [Worksess] 5.4. Folyamatos figyelés, büntető mechanizmusok A watchdog metódus a résztvevők megbízhatóságának folyamatos nyomon követését teszi lehetővé. A rádiós csatorna osztottsága révén minden résztvevő figyelemmel kísérheti közvetlen szomszédainak viselkedését, így könnyen leleplezhet egy megbízhatatlan elemet. Ez a passzív figyelés a hálózatra nézve nem okoz plussz terhelést, de sajnos tévedhet (pl. gyakran elhaló, rossz link, ütközés), illetve megtéveszthető. Megtévesztése történhet például irányított antennával, mert ilyenkor az előző résztvevő a továbbítást nem érzékeli. A támadó résztvevők leleplezésén túl további cél azok kirekesztése a felépülő kommunikációból. Ezt a pathrater eljárás úgy valósítja meg, hogy az egyes utakhoz működésük során felállított statisztikák alapján jósági értékeket rendel. Az egyes utak jósági mutatóját megfelelő működés esetén folyamatosan növeli, míg hiba esetén csökkenti. Ilyen adatok ismeretében az útvonalválasztás során lehetőség van egy megfelelő út kiválasztásra. A legtöbb útvonalválasztó mechanizmus arra törekszik, hogy a kialakuló biztonságos utakban ne szerepelhessenek megbízhatatlan résztvevők. Ezzel a támadó semmiféle hátrányba nem kerül, kevesebben fogják csomagtovábbításra kérni. Az ilyenfajta önző viselkedésminta igen csábító lehet például a telep kímélése céljából, de tömeges méretekben a hálózat működésének megszűnését is eredményezheti. Kiküszöbölése egyfajta virtuális fizetőeszköz, a nuglet alkalmazásával történhet. Ezzel a fizetőeszközzel vásárolják meg a résztvevők egymás szolgáltatását a hálózatban, így az önző egyedek nuglet-jei idővel elfogynak. 20