Você está na página 1de 18

Segurana em Redes de Sensores

Miguel Elias Mitre Campista1, Otto Carlos Muniz Bandeira Duarte1


1

Grupo de Teleinformtica e Automao Universidade Federal do Rio de Janeiro


(UFRJ)
Caixa Postal 68.504 21.945-970 Rio de Janeiro RJ Brasil


  
Abstract. This paper has the objective to present the main challenges to
provide safety to wireless sensor networks given its hardware constrains and
its energy storage problems. It will be presented the main attacks that this
kind of network is subjected and what are the main proposals to provide
safety. Known its real importance and the uncountable applications that must
come there still much to develop in this technology that is in wide expansion
and opened to new ideas.
Resumo. Este artigo tem como objetivo apresentar os principais desafios para
prover segurana s redes de sensores dadas as suas limitaes de hardware
e os seus problemas de armazenamento de energia. Sero apresentados os
principais ataques aos quais esse tipo de rede est sujeito e quais as
principais propostas para prover segurana. Visto sua real importncia e as
inmeras aplicaes que iro surgir ainda h muito que desenvolver nesse
setor que est em plena expanso e em aberto a novas idias.

1. Introduo
Sensores so pequenos dispositivos que surgiram com o avano da tecnologia de
sistemas micro-eletro-mecnicos (MEMS), comunicaes mveis e tcnicas da
eletrnica digital conhecidas como VLSI.
A tcnica de fabricao VLSI (Very large-scale integration) permite a
integrao micro-mecnica, analgica e digital de dispositivos microeletrnicos em um
mesmo chip produzindo sistemas multifuncionais.
Os MEMS so micromquinas de silcio construdas da mesma forma que um
circuito integrado, porm ao final, o dispositivo desprendido ou partes so deixadas
livres para se moverem. A inteno que esses dispositivos sejam fabricados em
paralelo e em grande escala para que no sejam caros, porm o que observado que
preo atual ainda no satisfatrio.
MEMS oferecem atributos desejveis como pequeno tamanho, alta
velocidade, baixa potncia e um alto grau de funcionalidade. Esta nova tecnologia tem
aplicaes nas mais variadas reas: moduladores de dados, atenuadores variveis, ns
ativos remotos (ns sensores), equalizadores, ADMs, comutadores pticos, limitadores
de potncia, crossconnects pticos. [Bishop 2002]

Os sensores foram concebidos com o principal objetivo de monitorao remota


de ambientes hostis ou de difcil acesso. Esses dispositivos foram desenvolvidos e
inicialmente utilizados em aplicaes militares com o objetivo de monitorar o campo de
batalha em busca de ameaas, como por exemplo, a deteco de radioatividade ou de
movimentao inimiga.
Ao longo do tempo, novas aplicaes vm sendo desenvolvidas. Em grande
parte delas a segurana se faz fundamental por se tratar de informaes sigilosas e que
no podem correr o risco de serem ouvidas por usurios maliciosos. O controle dos
reatores de uma usina, a deteco de intrusos num ambiente de acesso restrito, o
monitoramento de uma rea de importncia estratgica, os testes realizados num novo
tipo de automvel, dentre outros so possveis exemplos onde a aplicao de segurana
no trfego de informaes fundamental.
Porm os sensores possuem grandes restries ao nvel de energia e de
capacidade de processamento. Seu hardware bastante restrito e suas baterias muito
limitadas. Esses problemas impem srias barreiras para a aplicao de mecanismos de
segurana, como algoritmos mais confiveis. O Smart Dust, por exemplo, um projeto
da Universidade de Berkeley [Pister 1999] onde os sensores possuem uma CPU com
processamento de 4MHz, memria RAM de 512 bytes e memria flash de 8kHz, onde
s o sistema operacional ocupa 3,5kHz. O aumento da memria e do poder de
processamento de cada sensor implicaria no aumento dos custos por unidade, havendo
assim, a perda do seu princpio fundamental que o baixo custo para que seja utilizado
e produzido em grande quantidade.

Figura 1. N sensor pertencente ao projeto Smart Dust.

As redes de sensores ento, so compostas por ns sensores que so capazes de


se comunicar e trocar informaes, um n de uma rede de sensores pode contr mais de
um sensor. Nesse cenrio sero introduzidos os mecanismos de segurana,
principalmente ao nvel de camada de rede.
Esse tutorial tem como objetivo apresentar as principais ameaas que as redes de
sensores so submetidas, os algoritmos de segurana propostos, em especial o SPINS
[Perrig 2001], por ser o mais conhecido e o que apresentou a proposta mais completa e
mais eficiente. Ir mostrar tambm que mecanismos de segurana em redes de sensores
ainda tm muito que evoluir e ainda se mostra em aberto para pesquisa e
desenvolvimento tcnico.

Na seo nmero dois ser descrito a arquitetura de uma rede de sensores e


como eles trocam informao. Na seo nmero trs, ser descrito quais so os
objetivos e principais obstculos durante a adoo de algoritmos de segurana para as
redes de sensores. Na seo nmero quatro, ser descrito todos os principais ataques
exercidos contra as redes de sensores por camada do modelo OSI (Open System
Interconnect). Na seo nmero cinco ser apresentado os principais algoritmos e
protocolos que vem sendo utilizados para superar os problemas de segurana ao nvel de
roteamento. Na seo seis ser apresentado as dificuldades existentes durante a escolha
das chaves criptogrficas. Na seo sete ser apresentado uma proposta que garante
segurana s estaes rdio base.

2. Arquitetura de redes de sensores


As redes de sensores so compostas por ns responsveis pelo sensoriamento e pelo
envio das informaes coletadas a um n que agrega informaes. Esse n pode ser um
outro n comum da rede ou um n de maior capacidade, em todo o caso a informao
tende sempre a fluir na direo de um ponto centralizador que pode ser uma ERB ou um
computador de maior porte. Esse n conhecido como n sorvedouro. Como a
informao atinge o n sorvedouro depende do algoritmo sendo utilizado na camada de
rede.

Figura 2. Rede de sensores. O n quadrado o n sorvedouro e os ns que


so ligados por mais de dois arcos so ns agregadores. [Karlof 2003]

A ERB ou o computador de maior porte ser ento responsvel por conectar a


rede de sensores a rede externa, para que o trfego de dados ento atinja o usurio da
rede que pode estar monitorando-a remotamente. Percebe-se ento, que esse ponto
centralizador de fundamental importncia para a segurana da rede e a maioria das
propostas parte do princpio que este ponto seguro e confivel assim como a rede
externa que conecta o usurio remoto rede de sensores.
As redes de sensores so consideradas um tipo de rede ad hoc por muitos autores
[Hu 2003][Karlof 2003][Law 2002] e assim so comparadas com as mesmas. Essa
associao devido s suas caractersticas de auto-configurao, resistncia falhas,
dinamicidade, a capacidade de comunicao direta entre dois ns sem a necessidade da
presena de um ponto de acesso e a no necessidade de infra-estrutura pr-estabelecida.

Essa ltima caracterstica contraditria, pois h sempre a presena de uma ERB ou de


um outro elemento capaz de agregar as informaes o que caracteriza uma infraestrutura, como seria um ponto de acesso numa rede IEEE 802.11 infra-estruturada.
Law em [Law 2003] diz que as redes de sensores combinam as caractersticas de uma
rede ad hoc ao nvel de sistema com caractersticas de sensores ao nvel de
componentes. As diferenas entre as redes de sensores e redes ad hoc so:
Aplicao de tipo especfico: As redes de sensores tm a sua aplicao prdefinida no momento em que comeam a ser utilizadas. J as redes ad hoc possuem
maior flexibilidade, por terem maior poder computacional e por no serem utilizadas em
lugares de difcil acesso o que favorece possveis reprogramaes.
Encaminhamento de pacotes: As redes de sensores, na maioria das aplicaes
apenas enviam seus dados para um vizinho num nico salto sem a capacidade de
escolher melhores rotas. J nas redes ad hoc cada n tem capacidade de rotear o pacote
e escolher o melhor caminho fazendo tambm comunicao n a n.
Limitao de energia: Os sensores tm geralmente uma quantidade de potncia
finita que quando acaba o torna sem utilidade. Os ns de uma rede ad hoc podem
recarregar energia, alm de possuir uma capacidade de armazenamento superior.
Limitao de memria e capacidade de processamento: A maioria dos
algoritmos de segurana necessita de um poder de memria e processamento que os
sensores no possuem para armazenar chaves criptogrficas e processar algoritmos.
Propostas que aproveitem algoritmos j aplicados em redes ad hoc ou at mesmo em
redes cabeadas no so aplicveis na maioria dos casos, pois esto alm da capacidade
dos sensores.
Grande nmero de ns: o nmero de ns numa rede de sensores bem maior do
que numa rede ad hoc comum, esse fator influencia na conectividade. A maioria dos
sensores no possui identificao global, porque sempre se comunicam com um vizinho
mais prximo evitando assim desperdcio de energia. Alm disso, a incluso de
endereos globais aumentaria o overhead das mensagens transferidas.
Facilidade de falhas: Os sensores esto susceptveis a falhas que os ns ad hoc
no esto, principalmente devido s suas restries de energia e as aplicaes as quais
podem estar sendo submetidas. Por exemplo, em aplicaes militares pode se encontrar
um alto risco ao monitorar um territrio inimigo. Em vista disso, as redes de sensores
devem ser mais robustas que as redes ad hoc.
Mobilidade: Na maioria das aplicaes os ns sensores so fixos enquanto os
ns em redes ad hoc devem levar em considerao a mobilidade como um fator de
maior importncia no desenvolvimento de aplicaes e algoritmos.
Tipos de comunicao: Nas redes de sensores os tipos de comunicao so mais
especficos que nas redes ad hoc que tem capacidade de rotear. Nas redes de sensores
so realizadas comunicaes n a n para reconhecer a direo dos vizinhos do n
emissor atravs de transmisso de sinais em broadcast, ou para reconhecer a direo
dos ns agregadores dentro da prpria rede. Pode ser realizada tambm comunicao de
muitos ns para um nico n, para os ns enviarem informaes ao n agregador, ou ao
n sorvedouro. E finalmente o outro tipo de comunicao entre os ns de uma rede de
sensores a comunicao de um s n para muitos, que utilizada principalmente
quando sinais de controle so teis para mais de um n, sendo transmitidos de um n
agregador para os que esto sob a sua rea de influncia. [Karlof 2003]

Em vista dessas diferenas percebe-se que a maior limitao e o maior obstculo


a ser superado para incluir mecanismos de segurana nas redes de sensores so as suas
limitaes de energia e processamento. Portanto todos os algoritmos propostos tm
como principal objetivo otimizar esses parmetros. Enquanto as redes ad hoc tm como
principal objetivo fornecer QoS para que, principalmente aplicaes multimdia, possam
trafegar e superar as imprevisibilidades do meio de transmisso e a mobilidade dos ns,
j que energia no fator limitante.

3. Requisitos de Segurana
Toda a rede para ser considerada segura deve cumprir determinados requisitos. O
importante saber, diante da aplicao em questo, quais dos objetivos a seguir [Hu
2003] se fazem relevantes e que devem ser levados em considerao pelo administrador
da rede durante a fase de escolha do algoritmo a ser utilizado para no sobrecarregar os
sensores, dadas s suas limitaes.
3.1.Objetivos
A rede deve estar sempre disponvel para usurios autorizados, portanto deve estar livre
de ataques de negao de servio (DoS- Denial of Service). Este um tipo de ataque
que exaure os recursos da rede sobrecarregando-a. Deve-se ter cuidado tambm para
que determinados servios que consumam muita energia no sejam utilizados para que a
rede no tenha um tempo de vida reduzido. A disponibilidade da rede pode ser
prejudicada involuntariamente se houver a incidncia de um espectro de freqncias por
sinais esprios que sejam iguais as utilizadas pela rede. As tcnicas de espalhamento de
sinais e de saltos de freqncias j tendem a contornar ou ao menos amenizar esse
problema.
Outro objetivo a confidencialidade dos dados onde um intruso que roube as
informaes trocadas pelos ns no tenha condio de compreender a informao
obtida. Esse objetivo alcanado a partir da criptografia dos dados, onde as chaves
criptogrficas devem ficar em poder dos ns. Quanto mais chaves cada n tiver
condio de utilizar e se cada n tiver a sua prpria chave mais confidencial ser a
informao. A questo saber analisar qual o impacto que a incluso de criptografia ir
causar para rede devido as suas limitaes.
A autenticidade garante que todas as informaes recebidas por um determinado
n so realmente de uma fonte segura, evitando assim que
ns maliciosos faam
injeo de dados. A autenticidade se faz necessria principalmente para proteger
informaes relevantes ao funcionamento correto da rede ou para evitar que invasores
se passem por usurios autorizados e faam alteraes nos dados da mesma. Para
verificar se o dado foi realmente originado pelo n indicado podem ser utilizados
protocolos que fazem desafios aos ns transmissores. Estes enviam mensagens em texto
claro para que os ns que esto sendo autenticados criptografem com sua chave. A
autenticidade confirmada atravs da decriptografia dos dados enviados ao mecanismo
autenticador, que posteriormente ao recebimento do desafio verifica se a chave utilizada
realmente de quem diz ser e se a mensagem a mesma que foi originada. Outro
mecanismo seria a troca de uma chave secreta para computar um cdigo de autenticao

de mensagem, porm essa soluo no segura porque a propagao das mensagens


em broadcast sendo esta uma caracterstica do meio. [Perrig 2001]
A atualizao garante que determinadas informaes no sejam copiadas e
posteriormente sejam injetadas novamente na rede. Os dados copiados seriam
autnticos, porm no seriam mais vlidos. Dependendo da aplicao esse tipo de ao
pode ser bastante danosa. A atualizao pode ser alcanada atravs de renovaes de
chaves criptogrficas, onde as chaves s so vlidas por intervalos de tempo e os ns
que se comunicam e pertenam a rede tm conhecimento dessas mudanas.
J a integridade dos dados garante que os dados no foram alterados em trnsito
por um adversrio. Esse mecanismo geralmente implementado por funes hash. Um
determinado dado pode ser manipulado sem que o atacante nem ao menos saiba do que
se tratava, por estar criptografado.
Os ns devem ser resistentes a manipulao, pois um usurio malicioso ao ter
acesso a um n, no pode obter informaes sigilosas como, dados, cdigo e at mesmo
a chave criptogrfica ou alguma pista que lhe leve a tal. Em posse de tais informaes
um n falso pode ser includo na rede comprometendo-a.
Todos os ns devem colaborar para o funcionamento da rede, ou seja, nenhum
n pode entrar na rede e se negar a encaminhar pacotes de dados ou de controle. Para
detectar uma invaso desse tipo seria necessrio algum mecanismo que detectasse
anomalias na rede atravs de algum sistema de IDS, porm esse mecanismo ainda
muito sofisticado para sua incluso nesse momento de desenvolvimento das redes de
sensores por causar grande gasto de energia. [Law 2002]
3.2.Obstculos
Num algoritmo de criptografia para redes de sensores existe um compromisso entre a
segurana provida pelo algoritmo e a quantidade de energia que ele utiliza. Em vista
disso j foram feitos testes comparativos por Law comparando o TEA e o RC5 em [Law
2002]. A escolha desses dois algoritmos foi feita por serem aplicveis s redes de
sensores.
Este tipo de estudo se faz importante porque necessrio energia para
criptografar dados, decriptografar, enviar dados, receber, processar informaes,
verificar assinaturas etc e a quantidade de energia armazenada num sensor o seu
principal obstculo ou limitao.
Outro fator relevante o comportamento durante o processo em que o sensor
fica em standby para economizar energias. Nesse momento, os sensores podem perder o
sincronismo necessrio para o funcionamento dos algoritmos de segurana, pois existe a
troca de informaes que so utilizadas durante o processo de atualizao de chaves. Se
um n perder tais informaes poder ficar impedido de trocar informaes com a rede.
Alm do que esse mecanismo de standby deve ser cuidadosamente utilizado, porque o
fato do sensor entrar e sair desse estado muitas vezes pode gastar mais energia do que se
estivesse ligado o tempo todo. [Akyildiz 2002]
Proteo contra manipulao aumenta o custo por n. Deve ser assumido sempre
que um ou dois ns esto comprometidos devido falta de proteo dos ns contra esse
tipo de ataque [Hu 2003]. Muitos algoritmos so criados levando em considerao tal
possibilidade, como por exemplo, o INSENS [Deng 2002].

4. Segurana ao nvel de camadas


Algumas caractersticas e ataques podem ser especficos de determinadas camadas do
modelo OSI. Os ataques so mais incisivos se forem sobre a camada de enlace e de
rede.
importante ser observado que um ataque pode ser mais incisivo e mais difcil
de contornado se for combinado com outros, independente das camadas atingidas.
A diviso dos tipos de ataques por camadas pode ser realizada como ser vista
nas sub-sees a seguir.
4.1.Camada fsica
Uma das caractersticas mais importantes de ume rede de sensores o seu tempo de
vida. Sendo esse o parmetro mais importante no projeto e no desenvolvimento de
algoritmos que sero utilizados na mesma.
Atualmente, as propostas que vm sendo feitas so tentativas de otimizar o
consumo de energia por algoritmos mais enxutos ou que apresentem melhores
resultados levando-se em conta essa mtrica. Essas propostas no so somente na rea
de segurana, mas tambm em outras como roteamento. Falta ainda algo que realmente
seja palpvel e que possibilite o avano dos sensores, esse fator ser concebido quando
forem encontrados materiais capazes de armazenar mais energia em pequenos
dispositivos ou que sejam de alguma forma recarregveis. Uma proposta poderia ser
sensores que utilizassem luz do sol para recarregar energia.
Tendo isso em vista, muitos ataques visam justamente exaurir a energia da rede
principalmente ataques de negao de servio em que o objetivo sobrecarregar de tal
modo os ns que o seu tempo de vida seja reduzido.
Outros ataques introduzem rudos com a mesma freqncia que o utilizado pelos
sensores com o intuito de prejudicar a comunicao. As tcnicas de espalhamento de
espectro e salto de freqncia j tentam contornar esse problema. Outra soluo seria
aumentar a potncia de transmisso para melhorar a relao sinal rudo, porm essa
soluo no seria vivel, pois consumiria muita energia. Visto que durante a
transmisso que h o maior gasto de energia, mais do que na recepo e muito mais que
durante o processamento.[Akyildiz 2002]
Existem, porm, aplicaes em que necessrio e fundamental que a rede esteja
disponvel ao menos por um tempo previsvel, para que no haja danos ou interrupes
inesperadas danificando todos os resultados j atingidos ou evitando que se chegue a
uma concluso.
Existe uma proposta [Slijepcevic 2002] que tenta otimizar o consumo de energia
dependendo da importncia da aplicao em questo. Para tal, so feitos divises por
nveis que identifica qual o grau de segurana preciso e assim no haja desperdcio de
energia.
4.2.Camada de enlace
Em ambientes sem fio, segurana ao nvel de enlace mais crtico que nas redes
cabeadas devido caracterstica do meio ser aberto. Haja vista, os exemplos de war

driving em que pessoas com latas iam andando pelas ruas de grandes cidades e
captavam sinais das redes sem fio.
Essa vulnerabilidade tambm existe para a rede de sensores, porm h a
possibilidade da limitao do alcance das transmisses, diminuindo a possibilidade de
interceptao.
Ataques camada de enlace, mais precisamente sub-camada MAC, podem
prejudicar a rede ao nvel de pacote. Isso pode ser feito atravs de induo de colises,
danificao de pacotes de dados ou de controle. Porm esses ataques podem ser
detectados atravs do checksum e corrigidos. O que isso pode ocasionar a repetio
das mensagens at que elas consigam ser recebidas corretamente se for utilizado algum
mecanismo de confiabilidade para transferncia de dados. Para roubar informaes ser
necessrio muito tempo de interceptao de mensagens para ser possvel a extrao de
uma quantidade suficiente de dados teis.[Hu 2003]
4.3.Camada de rede
As redes de sensores provem segurana na camada de rede j que esta a mais afetada
e a que causa maiores danos. Isso se deve a sua caracterstica de transmisso ser por
mltiplos saltos, o que obriga que os dados passem por ns intermedirios at atingir o
seu destino podendo representar vulnerabilidades.
Nessa camada podem existir diversos tipos de ataques com caractersticas
diferentes [Karlof 2003], mas que tem o mesmo intuito, o de prejudicar o roteamento e a
transferncia de dados.

4.3.1.Spoofing, alterao ou repetio de informaes de roteamento


Esse tipo de ataque pode causar loops na rede, atrair ou repelir trfego, gerar mensagens
de erro de rota falsas, dividir a rede, dentre outros danos. Tudo por ter como alvo
principal os pacotes de controle responsveis pelas informaes de roteamento, atravs
de repeties ou modificaes dos mesmos.
4.3.2.Encaminhamento seletivo
Encaminhamento seletivo acontece quando um n malicioso se recusa a encaminhar
determinados pacotes descartando-os, funcionando de forma no colaborativa com a
rede. Esse tipo de ataque pode acontecer devido s caractersticas de transmisso da
informao ser salto a salto, onde os ns tm responsabilidade de encaminhar pacotes
vindo de seus vizinhos. Um n malicioso pode funcionar como um buraco negro (black
hole) ao no encaminhar os dados recebidos independente de quem recebeu.
Esse tipo de ataque pode ser realizado somente sobre algumas rotas selecionadas
e pode ser mais incisivo se o n malicioso estiver participando da rota principal de
transmisso de dados. Outra forma em que haveria srios danos seria se estivesse sendo
utilizado alguma mtrica de escolha de caminhos de roteamento baseados na justia.
Onde um n que no encaminha os pacotes que recebe estaria se aproveitando mais da
rede que contribuindo, logo o nmero de pacotes que seriam direcionados a ele seria
cada vez maior.

Com o passar do tempo os pacotes no seriam mais encaminhados a ele, por esse
n no dar continuidade na transmisso dos dados. Isso poderia representar um defeito
nesse n ou atravs de algum mecanismo de deteco de intruso representaria uma
anomalia, porm mecanismos de IDS ainda esto distantes das redes de sensores.
4.3.3.Ataque sorvedouro
Ataque sorvedouro acontece quando o trfego desviado para um determinado n
malicioso. Os ns vizinhos ou o prprio n podem manipular os dados e fazer
modificaes. Esse tipo de ataque acontece porque os adversrios podem alterar as
mensagens de roteamento. Essa atitude faz com que um n se torne atraente aos ns
vizinhos fazendo parte de suas rotas, podendo inclusive atingir outros atravs de
inundaes da rede com rotas falsas.
Se a mtrica utilizada for o nmero de saltos, um computador de maior poder e
com uma maior potncia de transmisso pode indicar apenas um salto ao destino, uma
ERB, por exemplo, e assim atrair todo o trfego para si. Nas redes de sensores esse tipo
de ataque mais drstico, pois na maioria das vezes o destino de todos os ns o
mesmo, o n sorvedouro.

4.3.4.Ataque Sybil
Para resistir a determinadas ameaas alguns sistemas aplicam redundncias ao nvel de
rotas, caso alguma seja comprometida. Um n, conhecendo essas caractersticas, pode
apresentar mltiplas identidades e assim se fazer passar por outros controlando grande
parte da rede. Os ns afetados acham que um n malicioso que esteja aplicando esse
tipo de ataque representa ns disjuntos quando na verdade no o .
Novamente, quanto maior o poder do n mais efetivo pode ser o seu ataque por
aumentar a sua rea de influncia. Para se defender desse ataque pode se introduzir um
n confivel ou mais de um que faa o papel de agncia certificadora de identidades dos
ns.[Douceur 2002]

4.3.5.Wormholes
Um wormhole um tnel criado pelo atacante. As mensagens entram nesse tnel numa
parte da rede e so propagadas at uma outra parte, normalmente esses tneis possuem
uma latncia superior.
Um wormhole instanciado por dois ns maliciosos que ficam nas extremidades
do tnel. Cada um deles ir convencer os ns vizinhos que o wormhole o melhor
caminho atravs de transmisso de pacotes de roteamento com mtricas forjadas que
faam o tnel mais atraente diante das outras possibilidades. Essa transmisso pode ser
feita por inundao.
Quanto mais prximo do n sorvedouro mais informao passar por dentro
desse tnel.

Figura 3. Um wormhole entre dois ns maliciosos. [Karlof 2003]

4.3.6.Ataque de inundao de HELLO


Muitos protocolos de roteamento emitem pacotes especiais de HELLO para verificar
conectividade. Esse tipo de pacote trocado apenas por vizinhos.
Um n mal intencionado pode enviar pacotes de HELLO para qualquer n da
rede desde que possua um transmissor capaz. Assim os sensores ao receber esses
pacotes julgam esse n como vizinho e comeam a aceitar as rotas que so anunciadas
por ele. Essas rotas anunciadas vo induzir os ns a encaminhar seus pacotes por onde o
n malicioso quiser.
A inundao que esse tipo de ataque menciona, no feita em mltiplos saltos e
sim num nico salto. Portanto, a inundao de pacotes de HELLO, se d num nico
salto por ser feito por um n de maior porte.

4.3.7.Spoofing de reconhecimento positivo


Esse tipo de ataque pode ser utilizado para fazer parecer que um canal ruim ou um n
que j esteja fora da rede ainda est funcionando normalmente. Isso pode ser feito aps
um n transmissor receber um reconhecimento positivo vindo de um n malicioso.
H ento a transferncia da mensagem pelo n atacante. O reconhecimento
positivo caracterstica de alguns algoritmos de transmisso de dados. Podendo
inclusive ser ao nvel MAC no caso de estar sendo usado o padro IEEE 802.11, por
exemplo.
4.3.8. Anel da maldade
Um n normal ou um grupo podem ser cercados por ns maliciosos, formando o
chamado anel da maldade (the ring of evil).
Esses ns ento vo se recusar a encaminhar e vo injetar informaes erradas
no anel. Quando uma rede se encontra muito comprometida ou, como nesse caso, um n
est cercado por muitos ns maliciosos muito difcil encontrar solues.
4.3.9. Loop

Podem ser introduzidos na rede loops ou detour, que atravs de informaes de


roteamento transmitidas por ns comprometidos tendem a fazer com que informaes
fiquem circulando pela rede. Isso pode exaurir as energias dos sensores.

Figura 4. Ataques camada de rede em redes de sensores.[Law 2002]

4.4.Camada de Transporte
Todas as medidas relativas segurana so realizadas ao nvel de rede e de enlace,
portanto se fossem colocados tambm ao nvel de transporte alm de serem redundantes
seriam dispendiosas energeticamente.
Ao nvel de transporte so deixadas as suas atividades usuais como controle de
fluxo, reordenamento de pacotes, recuperao de erro e controle de congestionamento.

5. Algoritmos de Segurana ao nvel de roteamento


Os algoritmos que mostram melhor desempenho so aqueles que conseguem proteger
da melhor forma a aplicao e ao mesmo tempo consumir o mnimo de energia possvel.
Conforme foi se verificando a importncia de se introduzir mecanismos de
segurana em redes de sensores, mais houve a necessidade da elaborao de algoritmos
capazes de prover tais funcionalidades. As primeiras solues encontradas foram incluir
mecanismos de segurana em protocolos de roteamento j existentes principalmente os
que j eram utilizados em redes ad hoc. Aps isso, comearam a surgir algoritmos que
j foram concebidos levando-se em considerao a questo da segurana.
As solues integradas so as mais eficientes que as que tentaram incluir
segurana num segundo estgio. A maioria das propostas foi feita ao nvel de camada de
rede, pois onde os ataques se fazem mais incisivos como j pde ser observado.
Protocolos como o AODV [Perkins 1999] e o DSR [Maltz 2002] que so
algoritmos de roteamento das redes ad hoc foram utilizados em redes de sensores e
foram bem sucedidos, porm, no quesito segurana, no tiveram o mesmo sucesso, pois

este requisito no foi concebido com eles. Para contornar esse problema foram feitos os
seguintes esforos [Law 2002]:
Watchdog e pathrater [Marti 2000] foram propostos por Marti. O watchdog
tinha como objetivo o monitoramento das atividades dos outros ns durante o
encaminhamento de pacotes. Isso possvel trabalhando em modo promscuo, porm
consome muita energia. J o pathrater media taxas de confiabilidade de transmisso de
todas as rotas alternativas a um mesmo destino baseado nos dados fornecido pelo
watchdog. Essas propostas tinham alguns problemas que foram inclusive citados pelo
prprio autor. Esses problemas eram referentes a sua ineficincia no caso de dois ns
estarem de acordo e atacando a rede ao mesmo tempo.
No trabalho de Michiardi [Michiardi 2002] o mecanismo que media as taxas foi
generalizado. Todos os ns vizinhos de qualquer n colaboravam medindo o quo
eficiente era esse n ao desempenhar as tarefas solicitadas pelos vizinhos. O problema
que ao avaliar os ns so necessrios dados fornecidos pelo prprio n que est sendo
avaliado abrindo espao para informaes forjadas e assim havendo dificuldade de se
avaliar a veracidade dos dados recebidos. Ele definiu n egosta e n malicioso, onde a
diferena do n egosta do n malicioso que o egosta no encaminha nenhum tipo de
pacote para economizar recursos, sua inteno a princpio no prejudicar a rede,
porm seu comportamento o faz.
Buttyan [Buttyan 2001] e Blazevic [Blazevic 2001] introduziram um mdulo de
segurana que armazenasse identificadores, materiais de criptografia. Porm utilizava
sistema de chaves assimtrica que consome muita energia.
Uma outra proposta foi feita por Yi [Yi 2001] que props nveis negociveis de
proteo como mtricas de estabelecimento de rota durante a fase de descobrimento das
melhores. A cada nvel de proteo estaria associada uma mtrica que seria levada em
considerao para o estabelecimento de um caminho fim a fim mais seguro ou no
dependendo da aplicao.
Alguns algoritmos foram desenvolvidos tambm no intuito de prover maior
segurana para redes de sensores. O que obteve a maior aceitao foi o SPINS,
conforme ser visto adiante.
A maioria dos algoritmos propostos aplica criptografia de chave simtrica, pois a
de chave pblica consome muita energia. As variveis necessrias para fazer os clculos
das chaves no caberiam na memria de um sensor [Perrig 2001]. A propagao em
broadcast tambm um importante obstculo a ser contornado, principalmente na
questo de distribuio de chaves por no representar um meio confivel.
Os algoritmos propostos so os que seguem nas sub-sees a seguir.
5.1.INSENS
O INSENS (INtrusion-tolerant routing protocol for wireless SEnsor NetworkS) [Deng
2002] j leva em considerao a possibilidade da existncia de alguns ns maliciosos,
por isso capaz de detect-los e no utiliz-los para as tarefas da rede. O INSENS parte
do princpio que um n malicioso consegue prejudicar a sua vizinhana apenas, mas no
toda a rede.

O INSENS tem como objetivo prevenir ataques do tipo de negao de servio


realizados atravs de inundaes da rede ao limitar o tipo de comunicao. Somente a
estao rdio base tem permisso de fazer inundaes. Para tal, a estao rdio base
autenticada para que nenhum n malicioso se faa passar pela mesma. Para
comunicao unicast todo o pacote deve passar pela ERB para que esta funcione como
um filtro. Essa caracterstica introduz infra-estrutura rede de sensores.
Para prevenir o anncio de rotas falsas a informao de controle de roteamento
autenticada. Para economizar energia, utilizada criptografia simtrica para atingir
confidencialidade e autenticao entre os ns comuns e a ERB. A ERB utilizada para
a disseminao e processamento das tabelas de roteamento, portanto os ns da rede
apenas mantm as tabelas recebidas e no as transmitem. Evitando assim, a injeo de
tabelas de roteamento falsas na rede.
Essa atitude minimiza computao, comunicao, armazenamento, e largura de
banda necessria pelos ns sensores. Em compensao o n sorvedouro ir necessitar de
aumento de computao, comunicao, armazenamento, e largura de banda. [Hu 2003]
O INSENS utiliza mltiplos caminhos para transferncia de dados introduzindo
redundncia. Essa proposta tem como objetivo o aumento da robustez, pois se caso uma
rota venha a ser comprometida devido presena de um possvel intruso outros
caminhos podero ser utilizados.
5.2.Ariadne
Ariadne [Hu 2002] um protocolo de roteamento sob demanda para redes ad hoc
seguro que pode ser utilizado tambm em redes de sensores. Esse protocolo previne
atacantes de alterar rotas e ns que estejam livres de qualquer inteno maliciosa.
O Ariadne emprega chaves simtricas e previne contra ataques de negao de
servio. Cada n deve gerar sua prpria cadeia de sentido nico de chaves. As suas
restries de memria impedem que sejam geradas cadeias de chaves muito longas o
que pode proporcionar um gasto de tempo muito grande de clculos de chaves. O
Ariadne no muito efetivo contra ataques de mltiplos ns em conluio.
5.3.SPINS
O SPINS [Perrig 2001] (Security Protocols for Sensor Networks) composto por dois
protocolos. O TESLA responsvel por prover autenticao quando h comunicao
em broadcast e o SNEP responsvel pela confidencialidade, autenticao da
comunicao ponto a ponto e atualizao dos dados com baixo overhead.
O SNEP confia num contador compartilhado entre transmissor e receptor que
utilizado como um vetor de inicializao para o algoritmo usado criptografar e
decriptografar os dados, no caso do SNEP a criptografia realizada por um RC5 enxuto
devido s limitaes dos sensores. Como ambos participantes possuem o contador e o
incrementam aps cada bloco de dados criptografados, o contador no precisa ser
enviado a cada transmisso.
Para autenticar transmissor e receptor e manter a integridade dos dados
utilizado um cdigo de autenticao de mensagem.

Figura 5. Contador utilizado para criptografar e decriptografar. A funo de


criptografia aplicada a um contador com crescimento montono para gerar
uma nica palavra que ser multiplicada pelo texto plano num XOR. O
processo de decriptografia idntico. [Perrig 2001]

O TESLA utiliza um mtodo para autenticar comunicao em broadcast a


partir de chaves simtricas emulando assimetria para que nenhum receptor no
autorizado consiga obter a chave. Para isso ela envia em ponto a ponto a cada n
participante da rede os parmetros necessrios para a comunicao ser segura e para o
algoritmo poder funcionar. A autenticidade desses parmetros garantida por uma
assinatura digital. Existem propostas que tentam otimizar esse processo de transmisso
de parmetros para que no seja ponto a ponto, pois numa rede com muitos ns esse
processo induziria um grande atraso.[Liu 2003]
A assimetria que o TESLA introduz devido caracterstica do protocolo de
sempre atualizar a chave criptogrfica simtrica e somente transmiti-las em broadcast
no final de intervalos de tempo pelas ERBs. A partir dessa chave, os receptores tero
condio de construir cadeias de chaves e assim autenticar as chaves recebidas, pois ao
receber a chave essa deve pertencer a cadeia de chaves computadas atravs de uma
funo aleatria.
S ento as mensagens podero ser decriptografadas. Dentro desse intervalo de
tempo todos os ns utilizam a mesma chave. Essa cadeia de chaves obtida a partir de
um dos parmetros que foi recebido no incio processo.
Ataques de repetio so evitados porque os ns tm como identificar a que
intervalo pertence chave recebida e, portanto no a utilizam posteriormente.
A estao base ou n sorvedouro novamente considerado fora de risco de
ataques e, portanto confivel.

6. Gerenciamento de chaves
O gerenciamento de chaves o processo em que as chaves criptogrficas so geradas,
armazenadas, protegidas, transferidas, carregadas, usadas e destrudas.
Esse gerenciamento problemtico em redes de sensores por serem vulnerveis
a manipulaes devido s suas limitaes de custo, por no poderem armazenar muitas
chaves devido s suas limitaes de espao em memria e por no poderem utilizar
algoritmos de criptografia mais robustos devido s suas limitaes de energia.

Para cumprir os requerimentos funcionais e de segurana da maioria das redes


de sensores deve se levar em considerao os seguintes requisitos.[Law 2003]
Uma rede de sensores no deve trabalhar com uma nica chave, pois devido a
sua falta de proteo ter uma chave somente e no ter nenhuma faz o mesmo efeito.
Uma rede no deve ter um n centralizador ou ponto de vulnerabilidade. O
SPINS parte do princpio que o n sorvedouro est livre de qualquer falha.
Devem ser respeitados critrios de escalabilidade para que a adio de novos ns
possam ser feitos a qualquer momento sem causar aumentos excessivos ao nvel de
processamento por n, de comunicao e de overhead administrativo na rede.
Existem dois tipos de esquemas para a distribuio de chaves em redes de
sensores. Um tipo aberto a toda a rede e um tipo especfico por n
. O tipo aberto
rede equipa todo o n da rede com a mesma chave e iguala o comprometimento de um
nico sistema de chaves com o comprometimento de toda a rede. Se houver o roubo de
informaes, a rede estar completamente comprometida. O tipo especfico por n
determina uma nica chave para toda a combinao de ns que esto se comunicando.
A segurana atingida por esse esquema otimizada, entretanto o hardware necessrio para
armazenar est fora das possibilidades dos sensores.[Hu 2003]
O que se faz ento tentar encontrar solues intermedirias que no sejam to
eficientes, mas que tambm no sejam to vulnerveis.
Existem outras propostas para a distribuio segura de chaves. Dentre elas a feita
por Chan [2003] que prope trs tipos mtodos distintos, o q-composite random key
predistribution scheme que atinge uma grande proteo sobre ataques de baixa escala
enquanto troca um aumento da vulnerabilidade a ataques fsicos em grande escala aos
ns da rede. Essa vulnerabilidade ocorre porque o atacante tem condio de agregar
muitas informaes e no mais encontraria resistncia da rede. Outro tipo o multi-path
key reinforcement scheme, que tem aumenta a segurana da rede ao transmitir a chave
por mltiplos caminhos. Por ltimo, h a proposta random-pairwise keys scheme, que
garante que mesmo se alguns ns estiverem comprometidos, a rede continua
completamente segura. Isso ocorre porque a comunicao entre dois ns sempre feita
baseado no reconhecimento da chave que est sendo utilizada pelo par, como uma
forma de autenticao.

7. Segurana na estao rdio base


Durante a proposta de seus algoritmos muitos autores partem do princpio que a ERB
um ponto seguro. A justificativa que a ERB por ter maior capacidade de
processamento pode possuir um algoritmo mais eficiente que o provenha segurana.
Porm, mesmo a ERB est sujeita a ataques.
Deng em [Deng 2003] props trs mtodos que podem aumentar a segurana das
ERBs. O primeiro seria o estabelecimento de mltiplos caminhos que atingiriam
mltiplas ERB. Com a introduo de ERBs redundantes haveria a proteo contra
ataques a uma nica ERB, essa estratgia pode ser considerada tanto para a fase de
descobrimento de rota quanto para transferncia de dados. A segunda soluo fazer
com que o endereo do destino no fique claro nos pacotes transferidos. Assim, ao obter
um pacote, um atacante no tem como identificar o destino, que poderia ser o endereo

da ERB. Finalmente, a ltima proposta o deslocamento da ERB dentro da topologia da


rede. A ERB no ficaria esttica dificultando a sua localizao.

Figura 6. a) Mltiplos caminhos para mltiplas ERBs b) Disfarce dos campos


de endereamento c) Deslocamento da ERB.

8. Concluso
Ainda existe muito que evoluir nessa rea no s na rea de segurana em particular,
mas em todos os assuntos que dizem respeito s redes de sensores. O maior fator de
limitao desse tipo de rede a quantidade de energia que armazenada e a capacidade
de processamento dos ns que limitam as suas aplicaes.
Poucos algoritmos foram desenvolvidos e foram implementados
o que abre
espao ainda para muita pesquisa e desenvolvimento nessa rea. O que vem sendo
observado que se deve buscar uma soluo que consiga conciliar as limitaes de
energia com o mximo de segurana possvel.

Referncias
Akyildiz, I., Su, W., Sankarasubramaniam, Y., and Cayirci, E. (2002) A Survey on
Sensor Networks, IEEE Communications Magazine, Agosto.
Blazevic, L., Buttyan, L., Capkun, S., Giordano, S., Hubaux, J. P. e Le Boudec, J. Y.
(2001) Self-Organization in mobile ad hoc networks: the approach of terminodes,
IEEE Communication Magazine, p. 164-174, Junho.
Buttyan, L.e Hubaux, J. P. (2001) Nuglets: A Virtual Currency to Stimulate
Cooperation in Self-Organized mobile Ad-Hoc Networks, Technical Report
DSC/2001/001, Department of Communications Systems, Swiss Federal Institute of
Technology.
Bishop, David J., Giles, C. Randy e Gary, P. Austin (2002) The Lucent
LambdaRouter: MEMS Technology of the Future Here Today, IEEE
Comunnications Magazine, Maro.

Chan, H., Perrig, A. e Song, D. (2003) Random Key Predistribution Schemes for
Sensor Networks , IEEE Symposium on Security and Privacy, Maio.
Deng, J., Han, R. e Mishra, S. (2002) INSENS: Intrution-Tolerant Routing in Wireless
Sensor networks, TR CU-CS-939-02, Dept of Computer Science, University of
Colorado.
Deng, J., Han, R. e Mishra, S. (2003) Enhancing Base Station Security in Wireless
Sensor Networks, Technical Report CU-CS 951-03, Department of Computer
Science, University of Colorado, Abril.
Douceur, J. R. (2002) Tha Sybil Attack, 1st International Workshop on Peer-to-Peer
Systems (IPTS`02), Maro.
Hu, F., Tillett, J., Ziobro, J., Sharma, N. K. (2003) A Survey on Securing Wireless
Sensor Networks, Submetido ao IEEE Communications Surveys, Janeiro.
Hu, Y. C., Perrig A., Johnson, D. B. (2002) Ariadne: A Secure On-Demand Routing
Protocol for Ad Hoc Networks, MobiCOM 2002.
Karlof, C., Wagner, D. (2003) Secure Routing in Sensor Networks: Attacks and
Countermeasures, 1st IEEE International Workshop on Sensor Network Protocols
and Applications, Maio.
Law, Y., W., Dulman, S., Etalle, S. e Havinga, P. (2002) Assessing Security-Critical
Energy-Eficcient Sensor Networks, 18th IFIP TC11 Int. Conf. on Information
Security, Security and Privacy in the Age of Uncertainty (SEC), Maio.
Law, Y. W., Corin, R., Etalle, S. e Hartel, P. H. (2003) A Formally Verified
Decentralized Key Management Architecture for Wireless Sensor Networks,
Personal Wireless Communications (PWC 2003), IFIP WG 6.8, Mobile and Wireless
Communications, Setembro.
Liu, D. e Ning, P. (2003) Efficient Distribution of Key Chain Commitments for
Broadcast Authentication in Distributed Sensor Networks, In Proceedings of the
10th Annual Network and Distributed System Security Symposium, p. 263-276,
Fevereiro.
Maltz, D. A., Johnson, D. B., Hu, Y. K. e Jetcheva, J. G. (2002) The dynamic source
routing protocol for mobile ad hoc networks, Internet Draft, draft-ietf-manet-dsr06.txt.
Marti, S., Giuli, T. J., Lai, K. e Baker, M. (2000) Mitigating routing misbehavior in
mobile ad hoc networks, Proceedings of the Sixth Annual International Conference
on Mobile Computing and Networking, p.255-265.
Michiardi, M., e Molva, R. (2002) Core: A COllaborative REputation mechanism to
enforce node cooperation in Mbile Ad Hoc Networks, In Communications and
Multimedia Security Conference.
Perkins, C. e Royer, E. (1999) Ad Hoc On-Demand Distance Vector Routing, In 2nd
IEEE Workshop on Mobile Computing Systems and Applications, p. 90-100.
Perrig, A., Szewczyk, R., Wen, V., Culler, D. e Tygar, J. D. (2001) SPINS: Security
Protocols for Sensor Networks, In Seventh Annual ACM International Conference
on Mobile Computing and Networks(Mobicom 2001).
Pister, K. S. J., Kahn, J. M. e Boser, B. E. (1999) Smart dust: Wireless networks of
milimeter-scale sensor nodes., Artigo tcnico da U. C. Berkeley.
Slijepcevic, S., Potkonjak, M., Tsiatsis, V., Zimbeck, S., Srivastava, M. B. (2002) On
Communication Security in Wireless Ad-Hoc Sensor Networks, 11th IEEE

International Workshops on Enabling Technologies: Infrastructure for Collaborative


Enterprises, Junho, p. 139-144.
Yi, S., Naldurg, P. e Kravets R. (2001) Security-aware ad hoc routing for wireless
networks, in Proceedings of the 2001 ACM International Symposium on Mobile Ad
Hoc Networking and Computing, ACM Press, p. 299-302.