ARAN Authenticated Routing for Ad hoc Networks
27
ARAN Authenticated Routing for Ad hoc Networks Master Course Network & Information Security Lab Lee. pung. ho In Journal on Selected Areas in Communication, special issue on Wireless Ad hoc Networks, Volume 23, Number 3, pages 598-610, March 2005. Kimaya Sanzgiri Daniel LaFlamme Bri dget Dahill Brian Neil Levine Clay Shields Eliza beth M. Belding-Royer
description
ARAN Authenticated Routing for Ad hoc Networks. Kimaya Sanzgiri Daniel LaFlamme Bridget Dahill Brian Neil Levine Clay Shields Elizabeth M. Belding-Royer. Master Course Network & Information Security Lab Lee. pung. ho. - PowerPoint PPT Presentation
Transcript of ARAN Authenticated Routing for Ad hoc Networks
ARAN
Authenticated Routing for Ad hoc Networks
Master CourseNetwork & Information Security LabLee. pung. ho
In Journal on Selected Areas in Communication, special issue on Wireless Ad hoc Networks, Volume 23, Number 3, pages 598-610, March 2005.
Kimaya Sanzgiri Daniel LaFlamme Bridget Dahill Brian Neil Levine Clay Shields Elizabeth M. Belding-Royer
2Network & Information Security LabNetwork & Information Security Lab
CONTEXT
1. INTRODUCTION 2. RELATED WORK
21. Ad-Hoc Network 2.1 AODV
3. ARAN(Authenticated Routing for Ad hoc Networks)
4. CONCLUSION
3Network & Information Security LabNetwork & Information Security Lab
1. INTRODUCTION
Abstract AODV 기반으로 기존의 유선 Network 와 유사하게 Certific
ate 를 통한 인증과 Private key 와 Public key 를 사용한 서명 및 기밀성 , 무결성을 인증하는 기법
AODV Problem AODV 는 packet 수정 , 도청 , Routing 방해 등 악의적인 U
ser 의 공격에 취약함
Solution Asymmetric key 의 서명 및 기밀성 보호와 Certificate 를
이용한 상호간에 인증을 통해 각각의 Node 간에 인증을 수행
4Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.1 Ad-Hoc Network 기존의 네트워크와 달리 네트워크 인프라가 구축되지
않은 상태에서 단말들이 상호간에 데이터 송 / 수신을 수행할 수 있는 형태의 네트워크
기지국이나 AP(Access Point) 가 존재하지 않음 각각의 단말 node 들이 Routing 역할을 수행 동적인 Topology 를 소유
Problem 불안정한 링크 소유 : 무선을 이용하므로 대역폭 , 거리의
제한을 받고 , 간섭 / 다중링크 문제점이 존재 도청에 취약 : 유선매체가 아닌 무선매체로 인한 통신 이므로
중간에 도청 당할 위험성 존재 한정된 자원 : Power, memory, computing 능력 등 기존의
네트워크와 달리 자원이 한정됨 .
5Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing) AODV 개요
on-demand 기반의 Routing Ad-hoc Network 에서 보편적으로 사용되는 Routing Protocol 요청을 있을 때 마다 경로탐색을 수행하는 Routing Protocol
AODV 동작과정 목적지에 해당되는 정보가 없을 시 경로 탐색 목적지 경로를 찾을 때까지 RREQ 를 broadcast 목적지에 RREQ 가 도달하면 역 방향으로 RREP Unicast
6Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing) AODV 의 구성요소
Route Table Entry: Destination’s address Next hop Sequence number (Destination node 에서 생성 )
Sequence number 오래된 Entry 와 새로운 Entry 를 구분 (Advertisement 할 때 마다 s
equence num 증가 ) Destination 에서 할당 ( 짝수 )
7Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing)
AA
BB
CCDD
EE
FF
II
GG HH
JJ
KK
Node F 는 Source Node 는 E Destination Node
RREQ Packet 를 받은 이웃 Node 들은 역경로를 기록하고 이웃에게 Broadcast 함
그림 1.
8Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing)
AA
BB
CCDD
EE
FF
II
GG HH
JJ
KK
Node F 는 Source Node 는 E Destination Node 그림 1.
RREQ Packet 를 받은 Destination Node 역경로로 RREP Packet 를 Unicast 함
9Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing)
AA
BB
CCDD
EE
FF
II
GG HH
JJ
KK
Node F 는 Source Node 는 E Destination Node 그림 1.
현 경로가 손상되어 끝단 Node 까지 도달 할 수 없다고 가정
10Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing)
AA
BB
CCDD
EE
FF
II
GG HH
JJ
KK
Node F 는 Source Node 는 E Destination Node 그림 1.
손상이 발견된 시점에서 역경로를 통해 RERR packet 을 전송하여 경로의 손상을 알림
11Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing)
AA
BB
CCDD
EE
FF
II
GG HH
JJ
KK
Node F 는 Source Node 는 E Destination Node 그림 1.
RREQ packet 를 broadcast 하여 대체 경로를 확보함
12Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing) Routing 이 목적인 AODV 는 다음과 같은 취약점이
존재
AODV Routing protocol 의 취약점 Modification
공격자는 routing messages 나 control message 와 같은 중요 packet을 위조하거나 수정하여 Network 에 치명적인 영향을 줄 수 있음
Denial-of-service packet header 를 임의로 수정함으로써 , 서비스 - 거부 공격을
유발함 , 무결성 확인에 대한 문제점 발생시 이 packet 이 정당한 packet 인지 알 수가 없음
Impersonation MAC 나 IP address 등의 변경을 통해 인증 받은 Node 로 사칭 할 수
있음 이 기법은 역추적이 불가능
13Network & Information Security LabNetwork & Information Security Lab
2. RELATED WORK
2.2 AODV(Ad hoc On-Demand Distance Vector Routing) Solution
각각의 Node 들은 인증서 발급 Server 를 통해 인증서를 발급 받음 Asymmetric key 를 통해 date 의 기밀성 유지 , 서명을 통해 사칭을 방지 , 인증서를 통해 각각의 Node 들이 정당하다는 것을 입증함 위 과정을 매 hop 마다 수행하여 가장 안전성이 높은 경로를 확보
14Network & Information Security LabNetwork & Information Security Lab
3. ARAN
ARAN(Authenticated Routing for Ad hoc Networks)
Asymmetric key 를 이용한 서명과 인증서를 통해 매 Hop 마다 인증과정을 수행해 각각의 Node 간에 인증을 확인하는 기법
ARAN 의 수행요소 Certification Authenticated route discovery Authenticated route setup Route maintenance Key revocation
15Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.1 Certification of Authorized Nodes 신뢰성이 입증된 인증서 발급 Server T 가 존재한다고 가정 여러 Node 들 중 하나인 A 는 Server T 에게 인증서 발급을
요청함
Server T 는 Node A 에게 위와 같은 내용을 포함하는 packet 을 T 의 개인키로 서명하여 전송
Node A 는 사전에 획득한 T 의 공개키로 T 의 서명을 확인할 수 있음
certA A 의 인증서IPA A 의 IP
주소KA+ A 의 공개키t timestemp
e 만료시간KT- T 의 개인키
AT
T->A :certA=[IPA ,KA+ ,t ,e] KT-
16Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.2 Authenticated Route Discover
각각의 Node 들이 서로의 공개키를 가지고 있고 , 위와 같은 방법으로 Server T 로부터 인증서를 발급 받았다고 가정함 ,
Node A 가 Node X 에 대한 경로를 검색한다고 가정한다면
Node A 는 목적지 X 의 IP, A 의 인증서 , A 의 난수 NA 를 A 의 개인키로 서명하여 이웃 Node 들에게 broadcast 함
NA 는 Source Node 가 A 라는 것을 지시하는 임시번호임
A B C D X
A->brdcst:[RDP, IPX, certA, NA, t] KA-
17Network & Information Security LabNetwork & Information Security Lab
3. ARAN
A 의 broadcast 를 받은 Node B 는 A 의 공개키를 사용하여 A의 서명을 확인한 후 Node B 는 broadcast 된 packet 의 역경로를 저장함
( B 의 역 경로는 A)
Node B 는 packet 에 B 의 개인키를 사용한 서명과 B 의 인증서를 추가하여 이웃 Node 에게 re-broadcast 함
B 의 broadcast 를 받은 Node C 는 B 의 공개키를 사용하여 B 의 서명을 확인
Node C 는 broadcast 된 packet 의 역 경로를 저장함 (C 의 역 경로는 B)
A B C D X
B->brdcst:[[RDP, IPX, certA, NA, t] KA-] KB-, certB
18Network & Information Security LabNetwork & Information Security Lab
3. ARAN
Node C 는 packet 에 있던 C 의 개인키를 사용한 서명과 C 의 인증서를 추가하여 이웃 Node 에게 re-broadcast 함
C 의 broadcast 를 받은 Node D 는 C 의 공개키를 사용하여 C의 서명을 확인
Node D 는 broadcast 된 packet 의 역 경로를 저장함 (D 의 역 경로는 C)
A B C D X
C->brdcst:[[RDP, IPX, certA, NA, t] KA-] KC-,certC
19Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.3 Authenticated Route Setup Node A 가 전송한 RDP packet 이 목적지인 Node X 에 도달하게
되면 X 는 REP packet 로 Node 에게 응답함 RDP 와 달리 REP 는 역 경로로 Unicast 됨
Node A 의 IP, X 의 인증서와 A 의 난수에 X 의 개인키 서명과 인증서를 추가하여 역 경로로 Unicast 함
X 의 역경로는 D
A B C D X
X->D:[REP,IPa,certX,Na,t] Kx-
20Network & Information Security LabNetwork & Information Security Lab
3. ARAN
Node D 는 Node X 가 전송한 REP packet 에 X 의 공개키를 사용하여 X 의 서명을 확인
D 는 packet 에 D 의 공개키 서명과 인증서를 추가하여 역 경로로 Unicast 함
D 의 역 경로는 C
A B C D X
D->C:[[REP,IPa,certX,Na,t]Kx-]Kd,certD
21Network & Information Security LabNetwork & Information Security Lab
3. ARAN
Node C 는 Node D 가 전송한 REP packet 에 D 의 공개키를 사용하여 D 의 서명을 확인
C 는 packet 에 C 의 공개키 서명과 인증서를 추가하여 역 경로로 Unicast 함
C 의 역 경로는 B
위와 같은 과정을 반복하여 Node A 에 도달하면 경로 확보 완료
A B C D X
C->B:[[REP,Ipa,certX,Na,t]Kx-]Kc-,certC
22Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.4 Route Maintenance 경로 유지 및 손실에 대한 기법은 기존의 AOVD 와 유사한
과정을 수행하지만 , 개인키 서명과 인증서 기법을 함께 사용 A 와 X 간에 date 전송 중 그림과 같이 경로 손상이 발생했다고
가정
AODV 처럼 ERR packet 를 각각의 역 경로 Node 에게 Unicast하여 경로가 손상된 것을 알림
A B C D X
23Network & Information Security LabNetwork & Information Security Lab
3. ARAN
Node C 는 A 와 X 간의 경로가 손상되었다는 것을 지시하는 ERR packet 에 C 의 난수 NC, 공개키 서명 , 인증서를 포함하여 역 경로인 B 에게 Unicast 함
Node B 는 C 의 공개키로 서명을 확인할 수 있음 차후 위 과정과 경로탐색 과정을 거쳐 대체 경로를 탐색함
A B C D X
C->B:[ERR,IPa,IPx,certC,NC,t]KC-
24Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.5 Key Revocation 인증서 발급 Server 인 T 는 공개키의 교체나 인증서의
유효기간 만료에 의해 Network 상의 Node 들에게 revoke packet을 broadcast
revoke packet 은 Server T 의 개인키로 서명
broadcast 를 받은 Node 는 T 의 공개키로 서명을 확인 주변 이웃 Node 들에게 re-broadcast 하여 revoke packet 를 전송 인증서와 공개 / 개인 키의 revoke
TT
T-> brdcst : [revoke,certR] Kt-
25Network & Information Security LabNetwork & Information Security Lab
3. ARAN
3.6 Potential Optimizations ARAN 은 반복적인 Asymmetric key 를 사용한 secure routing 을
수행하므로 computational overhead, power consumption 를 유발
session key 를 이용한 기법을 사용 일반적으로 symmetric key 를 사용 각각의 Node 간의 인증 이후 Node 간 session key 를 공유 무결성 인증일 위해 hash chain 기법을 병행할 수 있음
26Network & Information Security LabNetwork & Information Security Lab
4. CONCLUSION
장점 기밀성 확보 인증서를 이용한 상호간의 인증 Asymmetric key 의 개인키를 이용한 서명
단점 Asymmetric key 를 이용한 암호화로 인해 자원소모 증가 충분한 수의 인증서 발급 서버가 필요
27Network & Information Security LabNetwork & Information Security Lab
참고문헌 A Secure Routing Protocol for Ad Hoc Networks A Secure Protocol for Ad hoc Networks Ad hoc On-Demand Distance Vector Routing
