Handling Insider Attacks in Wireless Sensor Networks

Krauß, Christoph (2010)
Handling Insider Attacks in Wireless Sensor Networks.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Preview

PDF
Dissertation_ckrauss.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .
Download (3MB) | Preview

Item Type:

Ph.D. Thesis

Type of entry:

Primary publication

Title:

Handling Insider Attacks in Wireless Sensor Networks

Language:

English

Referees:

Eckert, Prof. Dr. Claudia ; Buchmann, Prof. Dr. Johannes

Date:

17 May 2010

Place of Publication:

Darmstadt

Date of oral examination:

10 May 2010

Abstract:

Wireless sensor networks are a relatively new technology for information gathering and processing. A sensor network usually consists of many, resource constrained sensor nodes. These nodes perform measurements of some physical phenomena, process data, generate reports, and send these reports via multihop communication to a central information processing unit called sink. Depending on the scenario, information gathering and processing is collaboratively performed by multiple sensor nodes, e.g., to determine the average temperature in a certain area. Sensor networks can be used in a plethora of application scenarios. Emerging from military research, e.g., sensor networks for target tracking in a battlefield, sensor networks are nowadays used more and more in civil applications such as critical infrastructure monitoring. For ensuring the functionality of a sensor network, especially in malicious environments, security mechanisms are essential for all sensor networks. However, sensor networks differ from classical (wireless) networks and this consequently makes it harder to secure them. Reasons for this are resource constraints of the sensor nodes, the wireless multihop communication, and the possibility of node compromise. Since sensor nodes are often deployed in unattended or even hostile environments and are usually not equipped with tamper-resistant hardware, it is relatively easy to compromise a sensor node. By compromising a sensor node, an adversary gets access to all data stored on the node, such as cryptographic keys. Thus, deployed security mechanisms such as node-based authentication become ineffective and an adversary is able to perform attacks as a "legitimate" member of the network. Such attacks are denoted as insider attacks and pose a serious threat for wireless sensor networks. In this thesis, we develop concepts and mechanisms to cope with insider attacks in wireless sensor networks. The contribution of this thesis is twofold. First, we propose a new general classification to classify the different approaches to protect against insider attacks. Second, we propose several security protocols to protect against insider attacks. In our classification, approaches to protect against insider attacks are first distinguished by the implemented security strategy. The respective strategies are further subclassified by the applied mechanisms. Related work is integrated in the classification to systematically identify open problems and specific properties in the respective areas. The results may be a basis for future protocol design. The protocols, proposed in the second part of this thesis encompass different areas. First, we propose a protocol to protect against a serious Denial-of-Service attack where an adversary injects or replays a large amount of false messages to overload many message forwarding nodes and to (totally) waste their scarce energy resources. Proposed approaches usually apply threshold-based mechanisms to filter such messages out. The drawback of this approach is that messages are not filtered out immediately and if the threshold of compromised nodes is reached, the attack becomes again possible. Our protocol is able to immediately filter such messages while tolerating an arbitrary number of compromised sensor nodes. Further mechanisms are required to additionally protect against an insider attack where an adversary injects false reports to deceive the sink. Usually a redundancy-based approach is used where a report is only valid if it has been collaboratively generated by multiple sensor nodes. However, previously proposed protocols are susceptible to an insider attack where an adversary that has compromised only a single node might be able to impede a successful report generation. So far, only one protocol has been proposed to cope with this issue. However, it is a specific enhancement for a particular protocol and the attacking nodes cannot be identified and excluded. In this thesis, we propose two protocols which protect against the injection of false reports and also enable the detection and exclusion of nodes trying to disrupt the collaborative report generation. In addition, our protocols can be used in combination with or as an extension to any other protocol. In addition, we investigate a general approach to prevent insider attacks and to detect compromised nodes in certain scenarios. We propose to use tamper-resistant hardware in form of the Trusted Platform Module (TPM). Due to cost reasons, the TPM is integrated only in some special sensor nodes that perform some special tasks such as key management, localization or time synchronization in the sensor network. These nodes are a valuable target for an adversary. To detect tampering attempts on these nodes, we propose two efficient attestation protocols. In contrast to attestation protocols proposed for "classical" networks, our protocols have a low communication and computational overhead. They do not require expensive public key operations on the verifying nodes and the few exchanged messages are very short. In addition, compared to software-based attestation, our protocols have the advantage to enable attestation along multiple hops which is of high concern in sensor networks. Using our approach, it is possible to verify the trustworthiness of certain sensor nodes even in unattended or hostile environments making them suitable to perform special tasks.

Alternative Abstract:

Alternative Abstract

Language

Drahtlose Sensornetze stellen eine noch relativ junge Technologie zur Informationsgewinnung und -verarbeitung dar. Ein Sensornetz besteht üblicherweise aus vielen kleinen, in ihren Ressourcen stark beschränkten Sensorknoten. Diese führen Messungen über physikalische Phänomene durch, verarbeiten diese Daten, erzeugen einen Report und senden diesen mittels Hop-zu-Hop Kommunikation zu einer zentralen Datenverarbeitungseinheit, genannt Sink. Je nach Szenario erfolgt die Datenerfassung und -verarbeitung auch durch mehrere Sensorknoten gemeinsam, z.B. zur Bestimmung der mittleren Temperatur in einem größeren Areal. Durch ihre vielfältigen Einsatzmöglichkeiten erhalten Sensornetze immer größere Aufmerksamkeit. Entstammten die ursprünglichen Einsatzszenarien noch größtenteils dem militärischen Umfeld, z.B. Erfassung von feindlichen Truppenbewegungen, zeichnen sich mittlerweile immer mehr zivile Einsatzszenarien, wie z.B. die Überwachung der strukturellen Integrität von Gebäuden und kritischen Infrastrukturen, ab. Um die Funktionalität eines Sensornetzes insbesondere unter Angriffsbedingungen zu gewährleisten, müssen Sicherheitsmechanismen integraler Bestandteil jedes Sensornetzes sein. Sensornetze unterscheiden sich jedoch von klassischen (drahtlosen) Netzen, was die Absicherung erheblich erschwert. Gründe hierfür sind die Ressourcenbeschränkung der einzelnen Sensorknoten, die drahtlose Multihop-Kommunikation und die meist vorhandene Möglichkeit der Kompromittierung von Sensorknoten durch einen Angreifer. Knotenkompromittierungen sind in Sensornetzen besonders einfach durchzuführen, da Sensorknoten meist in unkontrollierten oder sogar feindlichen Gebieten ausgelegt sind und aus Kostengründen üblicherweise keine manipulationsresistente Hardware eingesetzt wird. Durch eine Knotenkompromittierung erhält ein Angreifer somit Zugriff auf alle Daten, wie z.B. kryptographische Schlüssel, die auf einem Sensorknoten gespeichert sind. Hierdurch werden Sicherheitsmechanismen, wie z.B. wechselseitige Authentifikation der einzelnen Sensorknoten, wirkungslos. Als Folge dessen kann sich ein Angreifer als berechtigter Sensorknoten ausgeben und als legitimes Mitglied des Sensornetzes Angriffe durchzuführen. Solche Angriffe werden in dieser Arbeit als Insider Angriffe bezeichnet und stellen ein ernsthaftes Problem für viele Sensornetze dar. In dieser Arbeit werden Konzepte und Mechanismen entwickelt, wie man mit Insiderangriffen in Sensornetzen umgehen kann. Den Beitrag dieser Arbeit kann man grob in zwei Teile gliedern: Zunächst wird eine allgemeine Klassifikation von Schutzmaßnahmen gegen Insiderangriffe vorgeschlagen. Im zweiten Teil werden Sicherheitsprotokolle vorgeschlagen, die verschiedene Insiderangriffe abwehren oder deren mögliches Schadenspotential begrenzen. In der Klassifikation wird zunächst nach den grundsätzlichen Strategien unterschieden, die man verfolgen kann, um mit Insiderangriffen umzugehen. Die Strategien werden anschließend weiter nach den Mechanismen die sie umsetzen unterteilt. Bestehende Arbeiten werden nach den eingesetzten Mechanismen und verfolgten Strategien eingeordnet, um so systematisch offene Probleme und besondere Eigenschaften in den jeweiligen Bereichen zu identifizieren. Solch eine systematische Betrachtung wurde in Sensornetzen bisher noch nicht durchgeführt. Die erarbeiteten Ergebnisse können als Basis für den Entwurf von neuen Sicherheitsprotokollen verwendet werden. Die im zweiten Teil dieser Arbeit vorgestellten Protokolle decken verschiedene Bereiche ab. Zunächst wird ein Protokoll zum Schutz gegen einen Denial-of-Service Angriff vorgeschlagen bei dem der Insider viele gefälschte Nachrichten einschleust oder alte Nachrichten wieder einspielt. Diese Nachrichten werden über viele Sensorknoten weitergeleitet, die sowohl hierdurch überlastet werden als auch ihre knappen Energiereserven (vollständig) verschwenden. Im Gegensatz zu bestehenden Arbeiten, die grenzwertbasiert gefälschte Nachrichten probabilistisch ausfiltern, ermöglicht das vorgeschlagene Protokoll gefälschte Nachrichten sofort auszufiltern und toleriert eine beliebige Anzahl an kompromittierten Sensorknoten. Anschließend werden Protokolle zum Schutz gegen Insiderangriffe bei denen kompromittierte Sensorknoten zur Täuschung des Sinks falsche Reports einschleusen vorgestellt. Bestehende Protokolle verwenden hierzu einen redundanzbasierten Ansatz, bei dem mehrere Sensorknoten gemeinsam einen Report erzeugen müssen, damit er gültig ist. Hierbei ist es jedoch möglich, dass ein einzelner kompromittierter Sensorknoten eine erfolgreiche Reporterzeugung verhindern kann. Bisher wurde eine ausschließlich auf ein Protokoll anwendbare Erweiterung für dieses Problem vorgeschlagen, bei der die angreifenden Sensorknoten nicht identifiziert und ausgeschlossen werden können. In dieser Arbeit werden zwei Protokolle zum Schutz gegen eingeschleuste Reports vorgestellt, die es erstmals ermöglichen solche Angriffe zu erkennen und die verantwortlichen Sensorknoten auszuschließen. Weiterhin können die vorgeschlagenen Protokolle als Erweiterung zu beliebigen anderen Protokollen eingesetzt werden. Neben diesen Protokollen wird ein grundsätzlicher Ansatz untersucht, wie man in bestimmten Szenarien Insiderangriffe verhindern und versuchte Knotenkompromittierungen erkennen kann. Hierzu wird der Einsatz von manipulationsresistenter (engl. tamper-resistant) Hardware in Form des Trusted Platform Modules (TPM) vorgeschlagen. Aus Kostengründen werden nur einige Sensorknoten, die besondere Aufgaben wie Schlüsselmanagement, Lokalisierung oder Zeitsynchronisierung für andere Sensorknoten durchführen und somit ein lohnenswertes Ziel für einen Angreifer darstellen, mittels TPM geschützt. Zur Erkennung von Manipulationsversuchen an diesen Sensorknoten werden zwei neue effiziente Attestationsprotokolle vorgeschlagen. Diese sind an die Ressourcenbeschränkungen von Sensornetzen angepasst, d.h. der Energieverbrauch für Berechnungen und Kommunikation ist sehr gering, da keine Public Key Operationen auf den verifizierenden Knoten benötigt wird und nur wenige, kurze Nachrichten ausgetauscht werden. Weiterhin hat der vorgeschlagene Ansatz Vorteile gegenüber softwarebasierter Attestation, da nun auch eine erfolgreiche Attestation über mehrere Hops möglich ist, was wichtig für Sensornetze ist. Mit dem vorgeschlagenen Ansatzes ist es nun möglich, die Vertrauenswürdigkeit von bestimmten Sensorknoten auch in unkontrollierten oder feindlichen Gebieten überprüfen zu können und sie so für besondere Aufgaben einzusetzen.

German

Uncontrolled Keywords:

Wireless Sensor Networks, Insider Attacks, Security, Protocols

Alternative keywords: