Teilprojekt A2

From GRK-Wiki

zum übergeordneten Forschungsbereich

Contents 1 Sichere Dienste in selbstorganisierenden Netzen mit unsicheren Knoten 1.1 Stand des Wissens 1.2 Vorarbeiten der beteiligten Wissenschaftler 1.3 Geplante Arbeiten 1.4 Referenzen

Sichere Dienste in selbstorganisierenden Netzen mit unsicheren Knoten

Die technologischen Herausforderungen bei der Realisierung selbstorganisierender Netze ergeben sich direkt aus ihren definierenden Eigenschaften:

• das Fehlen von Administrationsautoritäten, wie etwa einem Netzbetreiber.
• die jederzeit mögliche ungeplante Änderung der Netztopologie durch plötzliche, unkoordinierte Entscheidungen einzelner Knoten (z. B. Außerbetriebnahme oder Ergänzung von Hardware oder Diensten).

Insbesondere kann sich ein selbstorganisierendes Netz nicht auf das Vorhandensein menschlicher Intelligenz, z. B. in Form eines Netzbetreibers/Operators, verlassen, der einen ordnungsgemäßen Aufbau und Betrieb überwacht. Vielmehr ist davon auszugehen, dass Knoten, die gemeinsam das Netz bilden, zu unterschiedlichen Administrationsdomänen gehören und sich rechtlich im Besitz verschiedener Akteure befinden. Sie sind damit bei unterstelltem Fehlverhalten physisch unzugänglich und können nicht aus dem System entfernt werden. Dabei ist noch nicht einmal klar, welche Instanz überhaupt entscheiden könnte, ob ein Knoten sich falsch verhält. Räumlich nahe beieinander liegende Knoten können zwar dasselbe Medium verwenden (z. B. IEEE 802.11), jedoch ansonsten inkompatibel sein. Solche Knoten müssen erkannt und beim Aufbau der Netztopologie ausgeschlossen werden. Selbiges muss mit Knoten geschehen, die sich (absichtlich) „bösartig“ verhalten und die Anstrengungen der „gutartigen“ Knoten erschweren, z. B. indem sie inkorrekte Routing-Informationen verbreiten.

Stand des Wissens

Konventionelle Mechanismen zur automatischen Bildung von Netztopologien gehen von kooperierenden Knoten aus. Lediglich die Nutzerdaten werden End-zu-End verschlüsselt, um das Abhören durch Dritte zu verhindern. Der Prozess der Netzformierung (Erkennung von Nachbarn und Bildung einer Mesh-Topopologie) sowie die Generierung und Verarbeitung von Routing-Informationen sind dagegen nicht geschützt. Um das Jahr 2000 gab es mehrere Ansätze, die Knoten drahtloser Multihop-Netze gegenseitig authentifizieren [1], [2], wobei komplexe kryptographische Systeme eingesetzt wurden. Diese Verfahren laufen jedoch dem Gedanken der Selbstorganisation zuwider, da sie eine „Dritte Instanz“ erfordern, die die Sicherheitsbeziehung der Knoten explizit herstellt. Damit ist es nicht mehr möglich, dass sich zuvor unbekannte Knoten ohne weitere Vorarbeiten, ad hoc, zu einem sicheren Netz zusammenschließen. Generische Protokolle zur Sicherstellung der Konsistenz von Entscheidungen in Gegenwart bösartiger Knoten wurden im Bereich der Verteilten Algorithmen untersucht und haben unter dem Namen Byzantine Agreement Eingang in die Literatur [3] gefunden.

Vorarbeiten der beteiligten Wissenschaftler

Im Rahmen seiner Tätigkeit bei NEC/Princeton, hat J.- P. Redlich das Projekt SOSAETI (Self Organizing Secure Access nETwork Infrastructure) [4] geleitet, bei dem Netzknoten über einen längeren Zeitraum hinweg bilaterale Reputationen aufbauen, die im Fall gegensätzlicher Information zur Bevorzugung der vertrauenswürdigeren Informationsquelle führt [5], [6], [7], [8], [9]. Auf diese Weise lassen sich inkompatible Knoten und die meisten „bösartigen Knoten“ letztendlich aus dem Netz ausblenden. Über das vom Lehrstuhl Systemarchitektur (J.- P. Redlich) betriebene Projekt Berlin Roof Net [10] ist die Erprobung neuer Sicherheitskonzepte an einem realen System möglich. Dies betrifft z. B. die Organisation der Knoten zur Mesh-Topologie, den Aufbau einer Routing-Struktur, aber auch das sichere Verteilen neuer Softwareversionen, um neue Protokolle zum Einsatz bringen zu können. In der Arbeitsgruppe von A. Reinefeld wurden Methoden zur automatischen Integration und Konfiguration von Knoten in verteilten Systemen entwickelt [11], die geeignet sind, ausgefallene oder durch Netzpartionierungen nicht mehr erreichbare Knoten zu ersetzen. In [12] wurde ein theoretisches Modell entwickelt, das die Zuverlässigkeit von Katalogdiensten mit dem Grad der Datenreplizierung in selbsorganisierenden Netzen koppelt. Andere relevante Arbeiten der Arbeitsgruppe befassen sich mit der Selbstorganisation in P2P-Systemen [13] und Regelprozessen in autonomen Systemen [14]. Die Arbeitsgruppe von M. Malek beschäftigt sich seit Jahren mit Gruppenkommunikation und Konsensprotokollen [15], [16], [17] sowie dienstbasierten Architekturen für verteilte Umgebungen.

Geplante Arbeiten

Zuerst soll eine Übersicht über die Dienste erarbeitet werden, auf die ein selbstorganisierendes Netz unbedingt angewiesen ist. Hierzu wird das Routing gehören. Anschließend sollen die Typen von Attacken gegen diese Dienste zusammengetragen werden sowie gängige Verfahren, um die Attacken erkennen und bekämpfen zu können. Schließlich muss eine Integration dieser Verfahren gelingen, die selbstorganisierende Netze gegen eine Vielzahl von Angriffen unempfindlich macht. Gleichzeitig muss erkannt und dargelegt werden, an welchen Stellen bei dieser Art von Netzen kein Schutz möglich ist, oder nur durch Integration weiterer Technologien, z. B. von Identifikationsdiensten mobiler Netze (z. B. 3G), möglich ist.

Referenzen

[1] Y. C. Hu, D. B. Johnson, A. Perrig. Sead: Secure efficient distance vector routing in mobile wireless ad-hoc networks. 4th IEEE Workshop on Mobile Computing and Applications (WMCSA’02), 2002.

[2] L. Zhou, Z. Haas: Securing ad-hoc networks. IEEE Network vol 13(6), 1999.

[3] N. A. Lynch: Distributed Algorithms. Morgan Kaufmann Publ. 1996.

[4] Z. Haas, J.-P. Redlich: SOSAETI- Self-Organizing, Secure, wireless Access nETwork Infrastructure. NEC-Internal REPORT, Report No: 2004-L010, March 2004.

[5] S. Ali, J.-P. Redlich, N. Simonovski, S. B. Weinstein: A Field Trial of Transparent Wired/Wireless Access Using GuestIP, and of Conference-Oriented Media Services. NEC-Internal REPORT, Report No: 2000-C032, January 2001.

[6] T. Kühnel, W. Müller, J.-P. Redlich: Multi-ISP Controlled Public Internet Access, Based on Third-Party Operated Public Access Stations. NEC-Internal REPORT, Report No: 2001-C002N, January 2001.

[7] R. D. Gitlin, J.-P. Redlich, E. Shim: Secure Candidate Access Router Discovery. NEC-Internal REPORT, Report No: 2002-C032, July 2002.

[8] J. P. Redlich, R. Strotkamp: NEC-Internal REPORT, Report No: 2004-L016: ”Point-M Lightweight Access Point for Increased Systems Security - Concepts Explanation”, March 2004.

[9] R. D. Gitlin, J.-P. Redlich, E. Shim: “Secure Candidate Access Router Discovery”. Proceedings of the Wireless Communications and Networking Conference [WCNC], pp. 1819-1824, March 2003.

[10] Berlin Roof Net Projekt. http://sarwiki.informatik.hu-berlin.de/BerlinRoofNet.

[11] T. Röblitz, F. Schintke, A. Reinefeld, et al.: Autonomic Management of Large Clusters and their Integration into the Grid. J. Grid Computing, Kluwer Acad. Publ., 2005.

[12] F. Schintke, A. Reinefeld: Modelling Replica Availability in Large Data Grids. Journal of Grid Computing (2), Kluwer Acad. Publisher, 2003.

[13] F. Schintke, T. Schütt, A. Reinefeld: A Framework for Self-Optimizing Grids Using P2P Components. In: Proc. ACS and DEXA'03, pp. 689 - 693, Prague, Sep. 2003.

[14] A. Andrzejak, A. Reinefeld, F. Schintke, T. Schütt: On Adaptability in Grid Systems. Dagstuhl Seminar 04451 “Next Generation Grids”, 2005, to appear in Springer LNCS.

[15] M. Barborak, A. Dahbura, M. Malek: The Consensus Problem in Fault-Tolerant Computing. In: ACM Computing Surveys, Vol. 25, No. 2, pp. 171-220, June 1993.

[16] M. Werner: Responsivität- Ein konsensbasierter Ansatz. WBI, Magdeburg (ISBN 3-89811-924-6), 2000.

[17] M. Malek, A. Polze, M. Werner: The Unstoppable Orchestra - A Responsive Distributed Application. In Proceedings of the Third International Conference on Configurable Distributed Systems, Annapolis, USA, IEEE Computer Society Press, pp. 154-160, May 1996.