Zastosowanie sieci sensorowej w systemach bezpieczeństwa i

Zastosowanie sieci sensorowej w systemach
bezpieczeństwa i nadzoru
Robert Kotrys, Piotr Rydzyński
Streszczenie — W artykule przedstawiono koncepcję
bezprzewodowej sieci sensorowej przeznaczonej do pracy w
systemach bezpieczeństwa i nadzoru, które wymagają wysokiej
pewności
i
wiarygodności
przekazywania
danych.
Zaproponowano zastosowanie wybranych metod wyznaczania
tras pakietów, konstrukcji warstwy dostępu do sieci oraz
warstwy zabezpieczeń kryptograficznych prowadzące do dużej
odporności sieci na uszkodzenia węzłów, małego czasu opóźnienia
w przekazywaniu informacji alarmowych oraz wysokiej
odporności na próby przejęcia lub sfałszowania informacji.
Przeprowadzone zostało badanie symulacyjne zaproponowanej
architektury sieci sensorowej pod kontem odporności na
uszkodzenia węzłów, które wykazało wysoką skuteczność
zaproponowanej architektury sieci sensorowej..
Słowa kluczowe — sieci sensorowe, algorytmy routingu,
systemy alarmowe, sieci wieloskokowe.
I. WPROWADZENIE
Tradycyjne systemy bezpieczeństwa i nadzoru są budowane
w oparciu o sieci przewodowe. Rozwiązanie przewodowe
zapewnia wysoką niezawodność i wiarygodność przesyłanych
danych ale jest równocześnie rozwiązaniem kosztownym i
wymaga długiego czasu budowy sieci przewodowej.
Tradycyjna sieć przewodowa, może być zastępowana przez
bezprzewodową sieć sensorową (ang. Wireless Sensor
Network - WSN), która nie wymaga okablowania, a z powodu
zdolności do samoorganizacji umożliwia błyskawiczne
uruchomienie systemu czujników od razu po ich rozlokowaniu
w chronionym obszarze. Zadaniem takiej sieci jest
nadzorowanie obszaru, jego fizycznych właściwości jak
temperatura, oświetlenie, detekcja ognia, ruchu itp. Klasyczne
sieci sensorowe są optymalizowane pod kątem efektywności
energetycznej oraz małych czasów opóźnień bez
uwzględnienia wymagań bezpieczeństwa, które muszą być
zachowane w zastosowaniach związanych z bezpieczeństwem.
z
zapewnieniem
W zastosowaniach
związanych
bezpieczeństwa mienia i ludzi, sieci sensorowe muszą sprostać
szczególnym wymaganiom. Konieczne jest zapewnienie
niezawodności działania sieci, odporności na ataki,
Robert Kotrys – Katedra Radiokomunikacji,
Politechnika Poznańska ([email protected]).
Piotr Rydzyński – student Politechniki Poznańskiej
PWT 2013 - Poznań - 13 grudnia 2013
wierzytelności przesyłanych danych oraz wystarczająco
szybkiego czasu reakcji sieci na zdarzenia alarmowe.
Bezprzewodowe sieci sensorowe, ze względu na
rozmieszczenie ich elementów w terenie, są narażone na wiele
zagrożeń. Mogą one mieć charakter losowy (np. awarie
węzłów) jak i być związane ze świadomym i celowym
działaniem intruzów (np. ataki typu DoS). W przypadku sieci
WSN, których główną funkcją jest zapewnienie
bezpieczeństwa, np. poprzez ochronę budynków użyteczności
publicznej przed włamywaczami, znacznie zwiększa się
ryzyko
wystąpienia
celowego
działania
intruzów.
Bezprzewodowa sieć sensorowa wykorzystana w aplikacjach
związanych z bezpieczeństwem musi poradzić sobie między
innymi z próbą podszycia się pod użytkownika, wykradzenia
informacji, sfałszowania danych, rozbrojenia systemu,
celowego utrudniania transmisji poprzez zagłuszanie,
zalewanie czy wprowadzanie opóźnień w sieci. Włamywacz
może próbować także fizycznie uszkodzić elementy WSN.
Niezależnie od człowieka mogą wystąpić inne czynnik
wpływające na pracę sieci sensorowej, takie jak zakłócenia
środowiskowe, np. silny sygnał radiowy lub pożar. Sieci
sensorowe w większości zastosowań mają ograniczone zasoby
energii i możliwości obliczeniowe węzłów w porównaniu z
innymi
kablowymi
i
bezprzewodowymi
sieciami
informatycznymi. Z powodu znacznych różnic w
wymaganych właściwościach sieci sensorowej pomiędzy
siecią klasyczna a siecią zapewniającą bezpieczeństwo,
odrębnie należy konstruować rozwiązania dedykowane dla
sieci
sensorowych
związanych
z
zapewnieniem
bezpieczeństwa.
A. Rodzaje ataków w sieciach sensorowych
Atak typu DoS – atak odmowy usługi, realizowany zwykle
jako wprowadzenie do sieci ruchu większego, niż może zostać
obsłużony. Może mieć różne postaci, np. wystąpić w warstwie
fizycznej przyjmując formę zagłuszania, a w warstwie łącza
danych zalewając sieć (ang. flooding) pakietami i tym samym
doprowadzając do kolizji danych i konieczności ich
retransmisji. Z kolei wystąpienie ataku DoS w warstwie
sieciowej może polegać na kierowaniu pakietów w złym
kierunku.
Zagłuszanie silnym sygnałem radiowym – szczególny
rodzaj ataku typu DoS, polegający na nadawaniu na
67
częstotliwości interferującej z częstotliwością pracy węzłów.
Atak typu Sybil - włamywacz wprowadza do sieci
podstawiony, złośliwy węzeł, w którym umieszcza wiele
identyfikatorów ID, przez co wpływa negatywnie na
większość algorytmów routingu stosowanych w WSN. Węzeł
intruza, między innymi, może stać się częścią ścieżki a potem
blokować transmisję poprzez rozgłaszanie istnienia wielu
fikcyjnych sąsiadów i w ten sposób dezorganizować
trasowanie.
Atak typu dziura (ang. sinkhole) – zwabianie przesyłanych
danych do węzła napastnika.
Atak przez analizę ruchu w sieci – próba zaatakowanie
stacji bazowej, uprzedzona odnalezieniem jej poprzez analizę
ruchu sieciowego (sąsiedzi BS zwykle wysyłają najwięcej
danych).
Atak przez kopiowanie – węzeł złośliwy próbuje wykraść
numer identyfikacyjny ID któregoś w węzłów sieci, aby nie
być traktowany jako intruz i tym samym niezauważenie
wykonać właściwy atak, np. odłączyć fragment sieci.
Przejęcie węzła – włamywacz modyfikuje kod programu
zaimplementowanego w pamięci węzła sensorowego.
Atak „wormhole” – fałszowanie odległości między
węzłami. Złośliwy węzeł podsłuchuje wiadomości i przesyła
je przez sieć do innego węzła intruza. Znajduje się on
możliwie najdalej i odtwarza przechwycone wiadomości w
swoim otoczeniu.
Atak fizyczny – zniszczenie węzła, czy też wykradzenie
danych np. kluczy
B. Przeciwdziałanie oraz walka z zagrożeniami
Zagłuszanie silnym sygnałem radiowym - zlokalizowanie
miejsca ataku i przekonfigurowanie ścieżki, tak by omijała
zakłócane węzły. Sposobem walki z wąskopasmowymi
interferencjami jest zastosowanie technik rozproszonego
pasma. Jeśli zagłuszanie jest miejscowe, można zastosować
ścieżki redundantne, które omijają niepewny obszar.
Zastosowanie sygnalizacji alarmem w przypadku nie
powrócenia do stacji bazowej znacznej części danych
pomiarowych.
Atak typu DoS – zastosowanie ścieżek redundantnych,
pozwala zwiększyć prawdopodobieństwo dotarcia do celu
pakietów, które przez złośliwe węzły zostały skierowany w
fałszywym kierunku.
Przejęcie węzła - ochrona poprzez ukrycie, bądź
zamaskowanie węzłów. Innym sposobem jest usunięcie
systemu kodowania i pamięci programu, w przypadku
wykrycia próby ataku na węzeł. Administrator sieci, po
potwierdzeniu swojej autentyczności, może usunąć
kryptograficzne klucze i informacje o sensorze, co do którego
zachodzi podejrzenie, że został przejęty przez atakującego [3].
Atak typu Sybil - sprawdzanie, czy węzeł nie posiada kilku
identyfikatorów. W przypadku losowej predystrybucji kluczy,
jednym z rozwiązań jest ograniczenie ich liczby, dzięki czemu
wirtualnym węzłom nie zostaną przypisane klucze, co
uniemożliwi im odszyfrowanie wiadomości [1].
Atak typu wormhole – specjalne obliczenia w przestrzeni
wielowymiarowej.
68
Atak przez analizę ruchu w sieci – zrandomizowanie
kierunku w jakim przesyłana jest wiadomość (mechanizm
random walk), celowe przesyłanie fałszywych wiadomości.
Atak fizyczny – fizyczna ochrona węzłów np. poprzez ich
maskowanie, czy zastosowanie specjalnej konstrukcji
sprzętowej węzłów utrudniającej dostęp do układów
wewnętrznych. W sytuacji podejrzenia próby włamania
zniszczenie poufnych danych np. kluczy [5].
II. METODY DOSTĘPU DO MEDIUM W SIECI SENSOROWEJ
Szczególną cechą sieci sensorowych jest różnorodność
proponowanych i wykorzystywanych metod dostępu do
medium. W warstwie łącza danych sieci sensorowej
wykorzystuje się różne, alternatywne techniki wielodostępu.
Można podzielić je na dwie zasadnicze grupy: kolizyjne
i bezkolizyjne.
Wśród metod wielodostępu bez możliwości kolizji
wyróżnia się:
• FDMA – wielodostęp z podziałem częstotliwości,
• TDMA – wielodostęp z podziałem czasowym,
• SDMA – wielodostęp z podziałem przestrzennym,
• CDMA – wielodostęp z podziałem kodowym,
• OFDMA – wielodostęp z ortogonalnym podziałem
częstotliwości.
Metody dostępu do współdzielonego kanału z możliwością
kolizji danych to:
• CSMA – wielodostęp ze śledzeniem nośnej,
• CSMA/CA – wielodostęp ze śledzeniem nośnej z
unikaniem kolizji,
• CSMA/CD – wielodostęp ze śledzeniem nośnej z
wykrywaniem kolizji [30].
W przypadku sieci sensorowych najczęściej wykorzystuje
się wielodostęp z podziałem czasowym TDMA oraz różne
wersje CSMA.
Wielodostęp z podziałem czasowym TDMA (ang. Time
Division Multiple Access) jest techniką wykorzystującą
zwielokrotnianie z podziałem czasu TDM. W metodzie tej
każdy użytkownik dysponuje całym dostępnym pasmem przez
ściśle określony przedział czasu, nazywany szczeliną czasową.
Badania nad sieciami WSN wykazują, że w przypadku gdy
moduł radiowy nie jest cały czas aktywny, to technika dostępu
do łącza oparta na TDMA jest najbardziej efektywna
energetycznie [7]. Wadą techniki jest mało optymalne
wykorzystanie pasma [5].
Jednym z protokołów bazującym na podziale czasowym w
sieciach sensorowych jest SMACS [1]. Zakłada on, że węzły
dowiadują się o istnieniu innych węzłów i budują
wieloskokową sieć. Każdy sensor w sieci przechowuje tablice
TDMA, która informuje go w jakiej szczelinie czasowej może
komunikować się ze swoim sąsiadem. Losowe włączanie
węzła podczas fazy transmisji oraz wyłączenie modułu
radiowego podczas stanu bezczynności powoduje znaczne
oszczędności energii, co skutkuje dłuższą żywotnością
węzłów. Niestety, dla prawidłowego działania sieci, wymaga
się aby wszystkie węzły były zsynchronizowane [7].
Innym przykładem protokołu jest zaproponowany w [8]
TDMA dla systemów wbudowanych. Jego założeniem jest
XVII Poznańskie Warsztaty Telekomunikacyjne
randomizowane uruchomienie algorytmu TDMA. Zawsze,
gdy podczas fazy uruchamiania nastąpi kolizja, na podstawie
zmiennej BE (wykładnika czasu zwłoki) określa się czas, w
którym nastąpi próba retransmisji danych. W algorytmie [8]
zoptymalizowano czas oraz liczbę transmisji kosztem wzrostu
obliczeń [5].
Z kolei protokół LEACH [8] został opracowany z myślą o
sieciach, w których kluczową rolę odgrywa żywotność.
Zakłada on wykorzystanie TDMA jedynie w fazie organizacji
sieci. Natomiast w [9] opisano protokół dla sieci z hierarchią
grupową. Twórcy określają go mianem: zwracającego uwagę
na energię, bazującego na TDMA, protokołu dostępu do
medium dla sieci sensorowych. Jego główną koncepcją jest
podział sieci na klastry oraz informowanie przez lidera klastra
innych węzłów należących do grupy, którymi slotami
czasowymi mogą się oni komunikować z nim samym.
Protokół warstwy MAC jest w jego przypadku jest ściśle
powiązany z warstwą sieciową [10].
Oczywiście istnieje szereg innych algorytmów bazujących
na podziale czasowym, jak chociażby LEMMA, którego
decyzje opierają się na sile odebranego sygnału pozwalając
mu funkcjonować niezależnie od topologii sieci [11].
III. PROPONOWANA ARCHITEKTURA SIECI SENSOROWEJ
Sieć sensorowa przeznaczona do systemów bezpieczeństwa
musi odznaczać się szczególną odpornością na awarie i
celowe ataki intruzów. W artykule autorzy proponują
połączenie technik dostępu do medium, trasowania ścieżek
pakietów, oraz metod zabezpieczeń kryptograficznych, które
mają sprostać wymaganiom sieci sensorowych w systemach
bezpieczeństwa. W warstwie MAC zaproponowano
wykorzystanie 2 technik dostępu do kanału: wersji
szczelinowej CSMA/CA w fazie konstytuowania się sieci oraz
TDMA w fazie zabezpieczania chronionego obszaru. Podczas
fazy konstytuowania się sieci stacja bazowa (BS) zbiera
informacje o topologii sieci w postaci tablic sąsiedztwa
wszystkich węzłów i na ich podstawie wyznacza trasy
pakietów. Gotowe tablice routingu są rozsyłane przez BS do
węzłów. Wyznaczone przez BS trasy pakietów maja charakter
redundantny. Do wyznaczania tras zastosowano protokół
INSENS (ang. INtrusion-tolerant routing protocol for wireless
SEnsor NetworkS) [4] wzbogacony o technikę ścieżek
plecionych. Protokół INSENS tworzy alternatywne rozłączne
ścieżki o zwiększonej odporności na atak intruza. Do tak
przygotowanych
ścieżek
wprowadzamy
dodatkowa
redundancję poprzez zastosowanie techniki ścieżek
plecionych. Większość zadań związanych z konfiguracja sieci
jest wykonywana przez stacje bazową, która po wyznaczeniu
tras pakietów dokonuje podziału szczelin czasowych
nadawczych w łączach pomiędzy węzłami. Przydział szczelin
jest optymalizowany pod względem minimalizacji czasu
opóźnienia przy dostarczaniu informacji alarmowych.
Proponowaną architekturę sieci dopełnia warstwa
zabezpieczeń kryptograficznych.
W funkcjonowaniu warstwy MAC można wyróżnić cztery
fazy:
PWT 2013 - Poznań - 13 grudnia 2013
1. Faza zbierania informacji o topologii sieci – metoda
dostępu ro szczelinowe CSMA/CA.
2. Faza rozsyłania tablic routingu – metoda dostępu TDMA.
3. Faza nadzoru i przesyłania informacji od węzłów do BS
– metoda dostępu TDMA.
4. Faza sterowania i przesyłania informacji od BS do
węzłów sieci – metoda dostępu TDMA.
W fazie nadzoru, zebranie danych pomiarowych sieci
odbywa się poprzez koncentracji danych (ang. convergecast).
Koncentracja danych polega na sukcesywnym agregowaniu
pakietów danych w kolejnych warstwach sieci, w czasie ich
przesyłania w „górę” do stacji bazowej. Szybką koncentrację
uzyskuje się poprzez budowę drzewa ścieżek podstawowych z
korzeniem w postaci stacji bazowej oraz poprzez
uporządkowanie slotów czasowych w ścieżce od węzła
pomiarowego do BS, w taki sposób by minimalizować czas
przesyłania informacji. Procedura ta nosi nazwę kaskadowania
szczelin czasowych. W celu dokonania przydziału szczelin
czasowych poszczególnym węzłom wykorzystano znany
algorytm przeszukiwania wszerz BF (ang. Breadth-first
search).
W fazie sterowania, rozesłanie danych alarmowych
(reakcji na zdarzenie) odbywa się za pomocą rozsiewania
danych (ang. broadcast). Transmisja rozpoczyna się w stacji
bazowej, a kończy w docelowych węzłach aktywacyjnych.
Również w tym przypadku wykorzystano kaskadowanie
szczelin czasowych.
Przyjęty w projekcie układ slotów czasowych pozwala na
przesłanie danych pomiarowych oraz ewentualną reakcję BS
w ciągu jednego cyklu TDMA.
Technika TDMA okazuje się przydatna, w przypadku
znanej topologii sieci, natomiast nie jest to rozwiązanie
odpowiednie dla sytuacji gdy brakuje tej informacji. Taki
przypadek ma miejsce w momencie w fazie konstytuowania
się sieci. Dochodzi do niej bezpośrednio po ustanowieniu i
uruchomieniu sieci, a także każdorazowo w czasie
rekonfiguracji, która może być okresowa, bądź podyktowana
dużymi zmianami w sieci.
Stacja bazowa musi poznać strukturę sieci, by być w stanie
zoptymalizować działanie systemu. Podczas konfiguracji sieci
węzły wykorzystują protokół wielodostępu do łącza ze
śledzeniem stanu nośnika i unikaniem kolizji - CSMA w
wersji szczelinowej.
Technika ta pozwala transmisję pomiędzy węzłami mimo
braku globalnej wiedzy na temat struktury sieci. Jest to
rozwiązanie, które jednak w przypadku sieci sensorowych
wprowadza znacznie większe opóźnienia, ponieważ przydział
szczelin jest losowy oraz istnieje ryzyko niedostarczenia
informacji w przypadku kilkukrotnego wystąpienia kolizji.
Niektóre
ze
szczelin
CSMA/CA
mogą
zostać
niewykorzystane, co prowadzi do wystąpienia opóźnień, które
dałoby się wyeliminować stosując TDMA.
IV. TRASOWANIE PAKIETÓW
Głównym sposobem walki z uszkodzeniami w sieciach
WSN jest zastosowanie algorytmu routingu bazującego na
69
transmisji danych po kilku ścieżkach (ang. multipath).
Jako rozwiązanie w warstwie sieciowej zaproponowano
połączenie znanych z literatury protokołów routingu. Warstwa
sieciowa bazuje na modelu INSENS, który wyposażono w
technikę bezpieczeństwa μTESLA (ang. the “micro” version
of The Timed, Efficient, Streaming, Loss-tolerant
Authentication protocol) znaną z protokołu SPINS [12].
INSENS został wzbogacony o obsługę plecionych ścieżek
redundantnych.
Zakładamy wykorzystanie 3 rodzajów ścieżek w celu
transmisji danych. Pierwsza (podstawowa) jest ścieżką
optymalną i jest wyznaczana za pomocą algorytmu Dijkstry.
Kluczowymi parametrami decydującymi o wyborze trasy
ścieżki pierwotnej były odległość pomiędzy węzłami oraz
liczba przeskoków. Wyważenie tych czynników stanowi
kompromis pomiędzy żywotnością sieci a szybkością reakcji.
Druga ścieżka (pierwsza alternatywna) zbudowana jest w
oparciu o algorytm wyznaczenia trasy INSENS. Ścieżka ta ma
umożliwić transmisję danych mimo rozległych uszkodzeń
sieci, bądź zagłuszania pewnego obszaru. Trzecia ze ścieżek
tworzona jest metodą ścieżek plecionych. Wybierana jest ta,
która charakteryzuje się najmniejszym kosztem.
Rys. 1. Sposób tworzenia alternatywnej ścieżki przez algorytm INSENS
Algorytm ten zakłada budowę tablic routingu w każdym z
węzłów sieci sensorowej, które umożliwiając komunikację
pomiędzy węzłami a stacją bazową BS. Tablice routingu są
wyznaczane przez BS i rozsyłane do węzłów sieci. Dzięki
temu minimalizuje się obliczenia, pamięć, komunikację, czy
zapotrzebowanie na pasmo w węzłach WSN kosztem
zwiększenia tych parametrów w stacji bazowej. Protokół
INSENS nie polega na wykrywaniu włamań, a na ich
70
tolerowaniu poprzez omijanie złośliwych węzłów. Ważną
cechą tego protokołu jest to, że obecność węzłów-intruzów
może zakłócić pracę niewielkiej liczby węzłów w swoim
sąsiedztwie nie powodując rozległych uszkodzeń w sieci [4].
Algorytm wyznaczania alternatywnych ścieżek protokołu
INSENS, ma na celu dostarczenie wiadomości różnymi
ścieżkami omijając zagłuszające węzły. Na Rys. 1
przedstawiono sposób tworzenia redundantnych ścieżek.
Wyznaczona ścieżka główna oraz alternatywna są rozłączne,
co oznacza, że obydwie trasy mają jedynie wspólne źródło i
cel, natomiast różnią się węzłami pośrednimi. Każda
wiadomość pomiędzy źródłem a celem jest przesyłana w kilku
kopiach, ale raz przez każdą z wyznaczonych ścieżek.
Wiadomość zostaje więc dostarczona pod warunkiem, że choć
jedna ze ścieżek nie zostanie zakłócona [4].
V. ZABEZPIECZENIE PRZED ATAKAMI I TECHNIKI
KRYPTOGRAFICZNE
Próba włamania się do systemu przez intruza zakończona
powodzeniem może prowadzić do niezdatności całego
systemu alarmowego, dlatego ważne jest szczególne zadbanie
o kwestie bezpieczeństwa.
Zapewnienie bezpieczeństwa w WSN realizuje się poprzez
wykorzystanie technik uwierzytelniania oraz szyfrowania
danych. Z racji ograniczonych zasobów węzłów w
bezprzewodowych sieciach sensorowych nie sprawdzają się
tradycyjne metody stosowane w pozostałych sieciach.
Ograniczona moc obliczeniowa sensorów nie pozwala na
wykorzystanie tradycyjnych metod uzgadniania klucza za
pomocą protokołów klucza publicznego. Alternatywą dla tej
metody pozostaje kryptografia symetryczna wraz z
dodatkowymi mechanizmami. Takim rozwiązaniem jest np.
losowa predystrybucja kluczy, gdzie zarówno nadawca jak i
odbiorca jest wyposażony w zestaw poufnych kluczy, z
których choć jeden z nich współdzielą [1].
Innym sposobem na zapewnienie poufności danych jest
zastosowanie protokołu PIKE [13], który w celu ustalenia
kluczy wykorzystuje obecność jednego lub więcej zaufanych
węzłów. Aby dwa węzły mogły ustalić klucz do szyfrowania
danych musi istnieć zaufany węzeł trzeci, który współdzieli
już klucze z każdym z nich z osobna.
W celu zapobiegania atakom na sieć stosuje się czasami
mechanizm polegający na tym, że tylko stacja bazowa
uprawniona jest do wykonywania wszelkich obliczeń
związanych z kluczami. Takie podejście również znacznie
ogranicza pole działania intruzów.
Proponowane rozwiązanie bezpieczeństwa składa się z
kilku elementów.
Po pierwsze, aby zapobiec atakom zalewania typu DoS
ograniczono rodzaje komunikacji. Poszczególne węzły nie
mogą nadawać do całej sieci. Tylko stacja bazowa może
korzystać z transmisji rozgłoszeniowej (ang. broadcast).
Przynależność węzłów do sieci jest autoryzowana przez stację
bazową poprzez wykorzystanie mieszań (ang. hashes) jednokierunkowych, tak że poszczególne węzły nie mogą
podszywać się pod stację bazową i w konsekwencji zalewać
sieć. Wykorzystując transmisję typu punkt-punkt (ang.
XVII Poznańskie Warsztaty Telekomunikacyjne
unicast) węzły muszą się zawsze komunikować przez stację
bazową umożliwiając jej w ten na działanie jak filtr pakietów i
zabezpieczając węzły przed złośliwymi atakami typu DoS.
INSENS jest równie odporny na DDOS, ponieważ kilka
węzłów również nie będzie w stanie rozgłaszać do całej sieci.
Po drugie, aby zabezpieczyć system przed ogłaszaniem
nieprawidłowych danych trasujących, dane kontrolne routingu
zostają uwierzytelniane. W konsekwencji stacja bazowa
zawsze otrzymuje poprawną wiedzę częściową na temat
topologii. Mimo, że stacja bazowa może nie otrzymać
wszystkich informacji wykrywania topologii, z powodu
lokalnych np. lokalnych zagłuszeń, obraz sieci, który stacja
bazowa jest w stanie skonstruować jest mimo wszytko
prawidłowy [4].
Z powodu ograniczonych zasobów węzłów sieci sensorowej
oraz w celu zachowania poufności danych INSENS
wykorzystuje szyfrowanie z symetrycznymi kluczami jako
uwierzytelnianie pomiędzy stacją bazową a każdym z węzłów.
Rozwiązanie to jest lepsze w przypadku sieci WSN od
popularnego szyfrowania z kluczem publicznym, ponieważ
nie wymaga wysokiej mocy obliczeniowej od ograniczonych
w zasoby węzłów. Aby zminimalizować eksploatację węzłów,
zaproponowano w INSENS, aby obliczaniem oraz
rozprowadzaniem tablic routingu zajmowała się wyłącznie
stacja bazowa, która jako jedyna nie jest ograniczona
zasobami, takimi jak zasilanie, moc obliczeniowa, czy pamięć.
Przede wszystkim INSENS zakłada transmisję danych po
wielu ścieżkach, co ma ochronić sieć zarówno przed
przypadkowymi problemami w komunikacji pomiędzy
węzłami, jak i celowymi atakami na poszczególne węzły. W
podstawowej wersji protokół zakłada budowę rozłącznych
ścieżek, dzięki czemu uszkodzony przez intruza pojedynczy
węzeł, bądź ścieżka nie spowodują niedostarczenia pakietu do
celu. Dane mogą zostać przesłane alternatywnymi ścieżkami.
Tworzenie przez stację bazową tablic routingu dla każdego
węzła odbywa się w 3 fazach. Stacja bazowa w pierwszej
kolejności
wyszukuje
węzły
poprzez
rozgłaszanie
komunikatów żądania (ang. REQuest), następnie zbiera
informację na temat topologii sieci od wszystkich węzłów i na
koniec wyznacza różne ścieżki i rozsyła tablice routingu do
poszczególnych węzłów. Tym samym rola czujników
ograniczona jest jedynie do przekazywania SB lokalnej
informacji na temat topologii sieci [14].
Ataki niezidentyfikowanych intruzów na sieć mogą nastąpić
np. podczas fazy tworzenia tablic routingu. Jeśli nie
zapewniono by wystarczającej opieki, intruzi mogliby
dostarczyć fałszywych informacji o połączeniach lub celowo
przedstawiać mylne trasy, co doprowadziłoby do zbudowania
błędnych tablic routingu. Hakerzy dokonują również ataków
typu DoS, poprzez częste wysyłanie wielu kopii tej samej
wiadomości (zakłócające wiadomości). To może opóźniać w
nieskończoność,
a
nawet
całkowicie
uniemożliwić
zbudowanie tablic routingu. Zagrożenia te są niwelowane
przez protokół INSENS, który stosuje jednokierunkowy
mechanizm uwierzytelniania danych, zaproponowany przez
twórców protokołu SPINS [15] do poświadczenia przez stację
bazową autorstwa wysyłanych informacji. Protokół
PWT 2013 - Poznań - 13 grudnia 2013
wykorzystuje ponadto odpowiednie mechanizmy integralności
zapewniając, że jakakolwiek nieuprawniona, zmanipulowana
informacja zostanie wykryta przez docelowego odbiorcę
wiadomości i zignorowana. Wykrywanie fałszywych pakietów
prowadzi do zebrania przez stację bazową wyłącznie
prawidłowych, niesfałszowanych danych ze wszystkich
wiadomości, które otrzymuje od węzłów WSN. Dodatkowo
INSENS sam w sobie ogranicza zalewanie sieci poprzez
wymuszenie całej komunikacji za pośrednictwem stacją
bazowej (nie liczących wiadomości pośrednich) oraz poprzez
porzucanie przez węzłów identycznych wiadomości. To
wszystko prowadzi do ograniczenia uszkodzeń jakie mogą
wywołać osoby próbujące złamać system. Intruz swoim
działaniem może wyłączyć z użyteczności małą część sieci,
nie powodując przy tym niesprawności całego systemu [4]
VI. SYMULACJA DZIAŁANIA SIECI
Do stworzenia symulacji sieci sensorowej wykorzystano
narzędzie programistyczne Microsoft Visual C++, będące
częścią zintegrowanego środowiska programistycznego:
Microsoft Visual Studio. Kod programu został napisany w
języku programowania C++. Symulowano działanie sieci
sensorów rozłożonych przypadkowo na obszarze o kształcie
kwadratu. Celem symulacji było zbadanie reakcji sieci na
losowe uszkodzenia węzłów. Badano jaki jest poziom strat
informacji w funkcji liczby uszkodzonych węzłów oraz jak
liczba uszkodzonych węzłów wpływa na czas dostarczenia
informacji alarmowej.
Rys 2. Przykładowe rozmieszczenie węzłów WSN w projektowanym
systemie alarmowym
Symulowana sieć (Rys. nr 2) składa się ze stacji bazowej
umieszczonej w punkcie (20, 20) oraz 32 węzłów. Wszystkie
są wyposażone w moduły komunikacyjne o zasięgu 30 m,
czujniki temperatury oraz ruchu. 6 z nich, oprócz funkcji
pomiarowych i komunikacyjnych może podejmować akcje
obronne na próbę wtargnięcia intruza np.
złodzieja.
Oznaczone je kolorem czerwonym (buzzer’y). Dodatkowo 4
węzły reagują na wykrycie przez dowolny z sensorów pożaru
71
(strażak). Założono, że stacja bazowa (BS) może znajdować
się na uboczu, w pomieszczeniu, które jest najlepiej strzeżone,
np. w serwerowni budynku.
Jak widać na rysunku 3 czas reakcji na zdarzenia włamania
bądź pożaru zwykle jest mniejszy niż 0,5 sekundy co stanowi
¼ cyklu TDMA. Z reguły czas okresowego pomiaru
temperatury jest rzędu 0,3÷0,4 s. Większe uszkodzenia
powodują dłuższy czas reakcji i pomiaru. Dzieje się tak
dlatego, że wiele pakietów nie dociera po głównej ścieżce,
gdyż spotyka na niej uszkodzone węzły. Często udaje się
jednak w następnym cyklu przesłać dane za pośrednictwem
alternatywnych tras, co wpływa na wzrost czasów opóźnień.
Krytycznym parametrem w przypadku alarmowej sieci
WSN jest niezawodność działania systemu ostrzegania,
wyrażana jako odporność na błędy transmisyjne i
uszkodzenia. Jak już wcześniej wspomniano, w projekcie
wykorzystano technikę wielodrogowości polegającą na
transmisji danych po kilku ścieżkach celem minimalizacji
ryzyka niedostarczenia danych.
Wyk. 4. Niezawodność sieci w zależności od procentu uszkodzonych węzłów.
VII. PODSUMOWANIE
Rys. 3. Zależność średnich opóźnień (w sekundach) dla różnego
procentowego uszkodzenia sieci
Rysunek 4 przedstawia wyniki symulacyjnego badania
sprawność systemu przy uszkodzeniach węzłów równych
odpowiednio: 0%, 6,25%, 12,5%, 25% i 50% ogólnej liczby
węzłów. Wartości te są równoważne awarii odpowiednio
żadnego, 2, 4, 8 i 16 z 32 węzłów końcowych sieci
sensorowej. Rozpatrzono przypadek najgorszy, czyli taki, gdy
wszystkie uszkodzenie odbywają się w tym samym
momencie. Należy również pamiętać, że założono iż 1%
transmisji kończy się niepowodzeniem z przyczyn losowych
zakłóceń w kanale radiowym.
Symulacja potwierdziła wysoka odporność proponowanego
systemy sieci sensorowych na rozległe uszkodzenia węzłów.
Na rys. 4 widać, iż pomimo wyłączenia 25% węzłów liczba
traconych pakietów danych nie wzrasta znacząco powyżej 1%.
72
W artykule przedstawiono najistotniejsze zagadnienia
związane z projektowaniem bezprzewodowych sieci
sensorowych przeznaczonych do systemów bezpieczeństwa i
nadzoru. Przy tworzeniu warstwy dostępu do medium,
zaproponowano użycie metody TDMA w trybie nadzoru sieci
sensorów oraz metody CSMA aktywowanej w początkowym
etapie konstytuowania się sieci oraz w przypadkach jej
rekonfiguracji. Warstwa sieciowa opiera się na protokole
INSENS. Algorytm pozwala na funkcjonowanie w warunkach
ataku na sieć, oraz minimalizuje szkody jakie może
spowodować sieciowy włamywacz, np. poprzez umieszczenie
węzła zakłócającego. Warstwa sieciowa projektu została
uzupełniona o dodatkowy algorytm trasowania polegający na
konstrukcji
ścieżek
plecionych.
Zakłada
on
niewykorzystywanie w procesie generowania ścieżki
alternatywnej niektórych węzłów leżących na ścieżce
podstawowej. Działanie protokołu INSENS podzielono na
dwie fazy: tworzenia tras oraz przesyłania danych. Podczas
pierwszej z nich odkrywana jest topologia sieci i budowane są
tablice routingu. W czasie drugiej następuje właściwe
przekazanie danych pomiarowych oraz wykonywane są
reakcje na zdarzenia alarmowe, a także przesyłane są „w dół”
zapytania stacji bazowej o parametry wybranych węzłów.
Zaproponowany model sieci został poddany badaniu
symulacyjnemu, które potwierdziło wysoka odporność sieci na
uszkodzenia węzłów. Wykazano, iż uszkodzenie nawet do
25% węzłów nie wpływa znacząco na zwiększenie start
przekazywanych przez siec informacji. Wystąpienie
uszkodzeń w sieci odbija się jednak negatywnie na wielkość
opóźnień w sieci. Niektóre z pakietów nie docierają po
najszybszych, pierwszych ścieżkach, a dane przesyłane po
alternatywnych ścieżkach charakteryzują się większym
opóźnieniem. W przypadku uszkodzeń do 12,5% nie
zaobserwowano zwiększenia się opóźnień w sieci, natomiast
pojawienie się aż 50% chwilowych uszkodzeń powoduje
XVII Poznańskie Warsztaty Telekomunikacyjne
niespełna 2-krotne zwiększenie czasu reakcji. Wydaje się
więc, że opóźnienia te są akceptowalne.
LITERATURA
[1] Pach A., Systemy bezprzewodowe i mobilne oraz ich bezpieczeństwo,
Kraków, 2008.
[2] Araujo R., Boukerche A., Pazzi R., A Fast and Reliable Protocol for
Wireless Sensor Networks in Critical Conditions Monitoring Applications,
International Workshop on Modeling Analysis and Simulation of Wireless
and Mobile Systems - MSWiM, str. 157-164, 2004
[3] Goszczyński T., Problemy bezpieczeństwa w bezprzewodowych sieciach
sensorowych, http://www.par.pl/automatyka/bezpieczenstwo/413-problemybezpieczenstwa-w-bezprzewodowych-sieciach-sensorowych.html, 2011.
[4] Deng J., Han R., Mishra S., INSENS: Intrusion-Tolerant Routing in
Wireless Sensor University of Colorado, Department of Computer Science
Technical Report CU-CS-939-02, 2002.
[5] Waraksa M., Żurek J., Bezpieczeństwo transmisji danych w sieciach
sensorowych, Zeszyty Naukowe Akademii Morskiej w Gdyni. Wybrane
zagadnienia telekomunikacji, Gdynia, str. 88-98, 2011.
[6] Rom R., Sidi M., Multiple Access Protocols: Performance and analysis,
Springer-Verlang, 1989.
[7] Jeznach J., Niepsuj P., Analiza protokołów rutingu w sieciach
sensorowych, http://sieci-sensorowe.eprace.edu.pl/spis_tresci.html, 2007.
[8] Claesson V., Lonn H., Suri N., Efficient TDMA synchronization for
distributed embedded systems, Proceedings of the 20th IEEE Symposium on
Reliable Distributed Systems (SRDS), str. 198-201, 2001.
[9] Arisha K., Younis M., Youssef M., Energy-Aware TDMA-Based MAC
for Sensor Networks, IEEE Workshop on Integrated Management of Power
Aware Communications, Computing and Networking (IMPACCT 2002),
2002.
[10] Arumugam U., Collision-free communication in sensor networks,
Michigan State University, 2003.
[11] Grilo A., Macedo M., Nunes M., Interence-Free TDMA Slot Allocation
in Wireless Sensor Networks, INESC, Lisboa, 2007.
[12] Culler D., Perrig A., Szewczyk R., Tygar J.D., Wen V., SPINS: Security
Protocols for Sensor Networks, Proceedings of Seventh Annual International
Conference on Mobile Computing and Networks MOBICOM, 2001.
[13] Chan H., Perig A., PIKE: Peer Intermediaries for Key Establishment in
Sensor Networks, Proc. INFOCOM, Pittsburgh, str. 524-535, 2005.
[14] Deng J., Han R., Mishra S., A Performance Evaluation of IntrusionTolerant Routing in Wireless Sensor Networks, IPSN 2003, LNCS 2634,
Springer-Verlag, Berlin, str. 349-364, 2003.
[15] Culler D., Perrig A., Szewczyk R., Tygar J.D., Wen V., SPINS: Security
Protocols for Sensor Networks, Proceedings of Seventh Annual International
Conference on Mobile Computing and Networks MOBICOM, 2001.
PWT 2013 - Poznań - 13 grudnia 2013
73