2. BACKGROUND
In this section, we first describe the problem of report fabrication
attacks in sensor networks, then review the general
en-route filtering framework as a countermeasure.
2.1 Report Fabrication Attacks
We consider a large-scale sensor network that monitors a
vast geographic terrain using a large number of static sensor
nodes. An approximate estimation on the size and shape of
the terrain being monitored is known a priori. Each sensor
node is battery-powered and has limited sensing, computation
and wireless communication capabilities. The sensor
deployment is dense enough to support fine-grained collaborative
sensing and provide robustness against node failures.
For simplicity, we assume that the node distribution is uniform.
Once deployed, each node can obtain its geographic
location via a localization scheme [18, 26].
In a sensor network that serves mission-critical applications
such as battlefield surveillance and forest fire monitoring,
prompt detection and reporting of each relevant event
in the field is critical. When an event occurs, the detecting
nodes generate a report message and deliver it over multihop
wireless channels to the sink, the data collection unit that
is typically a resource-abundant computer. In our model,
the sink is static and its location is known when sensors are
deployed. Once the sink receives an event report, response
actions such as sending personnel and facilities to the event’s
location, can be taken subsequently.
Unfortunately, the above event detection operations can
be severely disrupted by report fabrication attacks. In such
attacks, the adversary compromises a single or multiple nodes,
then uses them to inject forged sensing reports that describe
non-existent events. The compromised node(s) can pretend
to have “detected” a nearby event or “forwarded” a report
originated from a remote location. Therefore, the forged
events could “appear” not only where nodes are compromised,
but also at arbitrary locations. Such bogus reports
can deceive the user into wrong decisions and result in the
failure of mission-critical applications. They can also induce
congestion and wireless contention, and waste a significant
amount of network resources (e.g., energy and bandwidth),
along data delivery paths. In the worst case, a large number
of forged reports can disrupt the delivery of legitimate
reports and deplete the energy of forwarding nodes.
In this paper, we consider the following threat model. The
attacker may compromise multiple sensor nodes in the network,
and we do not impose any upper bound on the number
of compromised nodes. However, the attacker cannot compromise
the sink, which is typically resourceful and wellprotected
[15]. Once a sensor node is compromised, all secret
keys, data, and code stored on it are exposed to the
attacker. The attacker can load a compromised node with
secret keys obtained from other nodes. We term this as collusion
among compromised nodes. The compromised nodes
can launch many other attacks, such as dropping legitimate
reports, to disrupt the network operations. However, these
threats are addressed in other related work [20, 21] and are
not the focus of this paper. We will study the impact of
a few of them upon our design in Section 5. We also assume
that the attacker cannot successfully compromise a
node during the short deployment phase, i.e., the interval of
tens of seconds when each sensor bootstraps itself (including
obtaining its location and deriving a few keys). Some existing
work [1, 27] has made similar assumptions and argued
that such attacks can indeed be prevented in real-life scenarios
when appropriate network planning and deployment
keep away attackers during the bootstrapping process. We
will revisit this aspect in Section 8.
2.2 General En-route Filtering Framework
We follow the general en-route filtering solution framework
[23, 28] in defending against report fabrication attacks.
The framework has three components that work in concert:
report generation using Message Authentication Codes
(MACs), en-route filtering, and sink verification.
To be forwarded and accepted downstream, a legitimate
report must carry m (m > 1) distinct MACs from the sensing
nodes. Each node stores a few symmetric keys and endorses
any event it has observed by using its keys to generate
a MAC on the report. Each key has a unique index, and the
sink knows all the keys. When a real event occurs, multiple
detecting nodes jointly generate a complete report with the
required m MACs and the associated key indices.
The intermediate nodes detect and discard bogus reports
injected by compromised nodes. When a node receives a report,
it verifies the report as follows: It first checks whether
the report carries m distinct MACs. It then searches its own
stored keys for matched key indices. When a match is found,
it checks whether the carried MAC is the same as the MAC
it computes via its locally stored key. It drops the report
when any of these checks fails. Otherwise (i.e., it does not
35
have any of the keys or the MACs are correct), it forwards
the report as usual. Even though the filtering power (i.e,
the detection percentage for forged reports) at each node
may be limited, the collective filtering power along the forwarding
path can be significant. The more hops a forged
report traverses, the higher chance it is dropped en-route.
Consequently, one can effectively exploit the sheer scale of
the sensor network in filtering the forged reports.
The en-route filtering performed by sensor nodes may be
probabilistic in nature, thus cannot guarantee to detect and
drop all forged reports. The sink serves as the final guard in
rejecting any escaping ones. Because the sink knows all the
keys, it can verify each MAC carried in a report. Note that
there might be multiple reports for the same event. The
sink decides whether to accept the event based on the total
number of correct MACs it has received. If this number
reaches m, the event is accepted; otherwise it is rejected.
Three designs, including Statistical En-route Filtering (SEF)
[23], Interleaved Hop-by-hop Authentication (IHA) [28] and
our design in this paper, are all specific instances within the
above framework.
2. พื้นหลังในส่วนนี้ เราต้องอธิบายปัญหาของรายงานประดิษฐ์โจมตีในเครือข่ายเซ็นเซอร์ ตรวจสอบโดยทั่วไปแล้วกรอบกรองเส้นทางน้ำเป็นมาตรการป้องกันการ2.1 รายงานประดิษฐ์โจมตีเราพิจารณาเครือข่ายเซนเซอร์ขนาดใหญ่ที่ตรวจสอบการภูมิประเทศทางภูมิศาสตร์มากมายที่ใช้เซนเซอร์คงเป็นจำนวนมากโหน การประเมินโดยประมาณขนาดและรูปร่างของรู้จักภูมิประเทศถูกตรวจสอบเป็น priori แต่ละเซนเซอร์โหนดเป็นแบตเตอรี่ขับเคลื่อน และมีจำกัดการตรวจ คำนวณและความสามารถในการสื่อสารไร้สาย การเซ็นเซอร์หนาแน่นพอที่จะสนับสนุนทรายแป้งละเอียดมีการปรับใช้ร่วมกันการตรวจ และให้เสถียรภาพกับความล้มเหลวโหนราย เราสมมติว่าการกระจายโหนสม่ำเสมอเมื่อจัดวาง โหนแต่ละสามารถรับของภูมิศาสตร์ตำแหน่งที่ตั้งผ่านแผนแปล [18, 26]ในเครือข่ายเซ็นเซอร์รองรับโปรแกรมประยุกต์ที่สำคัญเช่นป่าไฟตรวจสอบ และการเฝ้าระวังในสนามรบให้ตรวจสอบและการรายงานของแต่ละเหตุการณ์ที่เกี่ยวข้องในฟิลด์มีความสำคัญ เมื่อเหตุการณ์เกิดขึ้น การตรวจสอบสร้างข้อความรายงานโหน และส่งผ่าน multihopไร้สายช่องกับอ่างล้างจาน หน่วยเก็บข้อมูลที่โดยทั่วไปคือคอมพิวเตอร์ทรัพยากรอุดมสมบูรณ์ ในรูปแบบของเราอ่างเป็นแบบถาวร และเป็นที่รู้จักเมื่อมีเซนเซอร์ตำแหน่งใช้งาน เมื่ออ่างได้รับรายงานเหตุการณ์ การตอบสนองการดำเนินการเช่นการส่งบุคลากรและสิ่งอำนวยความสะดวกของเหตุการณ์สถานที่ตั้ง สามารถนำมาอับ สามารถดำเนินการตรวจสอบเหตุการณ์ข้างต้นอยู่ระหว่างสองวัน โดยรายงานประดิษฐ์โจมตีอย่างรุนแรง ในดังกล่าวโจมตี เชิงการลดระดับในเรื่องเดียวหรือหลายโหนแล้ว ใช้ให้ฉีดปลอมตรวจรายงานที่อธิบายถึงเหตุการณ์ไม่มีอยู่ สามารถทำเป็นโหนดถูกโจมตีการมีการ "พบ" เหตุการณ์ใกล้เคียง หรือ "ส่งต่อ" รายงานมาจากไกล ดังนั้น หลอมเหตุการณ์อาจ "ปรากฏ" ไม่ เฉพาะ ที่โหนที่สมบูรณ์แต่ในสถานกำหนด รายงานดังกล่าวปลอมสามารถหลอกลวงผู้ใช้ในการตัดสินใจที่ผิด และทำให้เกิดการความล้มเหลวของโปรแกรมประยุกต์ที่สำคัญ พวกเขาสามารถก่อให้เกิดยังแออัด และช่วงชิงงานบนไร้สาย และสำคัญเสียจำนวนทรัพยากรเครือข่าย (เช่น พลังงานและแบนด์วิดธ์),ตามเส้นทางส่งข้อมูล ในกรณีเลวร้ายที่สุด จำนวนมากรายงานหลอมสามารถรบกวนการส่งถูกต้องตามกฎหมายรายงาน และแหล่งพลังงานของโหนดที่ส่งต่อในเอกสารนี้ เราพิจารณารูปแบบภัยคุกคามต่อไปนี้ ที่ผู้โจมตีอาจประนีประนอมหลายโหนเซ็นเซอร์ในเครือข่ายและเราไม่กำหนดขอบเขตใด ๆ บนบนหมายเลขของโหนดที่ถูกโจมตี อย่างไรก็ตาม ผู้โจมตีไม่สามารถประนีประนอมอ่าง ซึ่งโดยทั่วไปกฏหมายและ wellprotected[15] เมื่อโหนเซ็นเซอร์ถูกละเมิด ความลับทั้งหมดคีย์ ข้อมูล และรหัสที่เก็บไว้ในนั้นกำลังเผชิญกับการผู้โจมตี ผู้โจมตีสามารถโหลดโหนถูกโจมตีด้วยsecret keys obtained from other nodes. We term this as collusionamong compromised nodes. The compromised nodescan launch many other attacks, such as dropping legitimatereports, to disrupt the network operations. However, thesethreats are addressed in other related work [20, 21] and arenot the focus of this paper. We will study the impact ofa few of them upon our design in Section 5. We also assumethat the attacker cannot successfully compromise anode during the short deployment phase, i.e., the interval oftens of seconds when each sensor bootstraps itself (includingobtaining its location and deriving a few keys). Some existingwork [1, 27] has made similar assumptions and arguedthat such attacks can indeed be prevented in real-life scenarioswhen appropriate network planning and deploymentkeep away attackers during the bootstrapping process. Wewill revisit this aspect in Section 8.2.2 General En-route Filtering FrameworkWe follow the general en-route filtering solution framework[23, 28] in defending against report fabrication attacks.The framework has three components that work in concert:report generation using Message Authentication Codes(MACs), en-route filtering, and sink verification.To be forwarded and accepted downstream, a legitimatereport must carry m (m > 1) distinct MACs from the sensingnodes. Each node stores a few symmetric keys and endorsesany event it has observed by using its keys to generatea MAC on the report. Each key has a unique index, and thesink knows all the keys. When a real event occurs, multipledetecting nodes jointly generate a complete report with therequired m MACs and the associated key indices.The intermediate nodes detect and discard bogus reportsinjected by compromised nodes. When a node receives a report,it verifies the report as follows: It first checks whetherthe report carries m distinct MACs. It then searches its ownstored keys for matched key indices. When a match is found,it checks whether the carried MAC is the same as the MACit computes via its locally stored key. It drops the reportwhen any of these checks fails. Otherwise (i.e., it does not35have any of the keys or the MACs are correct), it forwardsthe report as usual. Even though the filtering power (i.e,the detection percentage for forged reports) at each nodemay be limited, the collective filtering power along the forwardingpath can be significant. The more hops a forgedreport traverses, the higher chance it is dropped en-route.Consequently, one can effectively exploit the sheer scale ofthe sensor network in filtering the forged reports.The en-route filtering performed by sensor nodes may beprobabilistic in nature, thus cannot guarantee to detect anddrop all forged reports. The sink serves as the final guard inrejecting any escaping ones. Because the sink knows all thekeys, it can verify each MAC carried in a report. Note thatthere might be multiple reports for the same event. Thesink decides whether to accept the event based on the totalnumber of correct MACs it has received. If this numberreaches m, the event is accepted; otherwise it is rejected.Three designs, including Statistical En-route Filtering (SEF)[23], Interleaved Hop-by-hop Authentication (IHA) [28] andour design in this paper, are all specific instances within theabove framework.
การแปล กรุณารอสักครู่..