Ausarbeitung 2

Sicherheit in
Ad-hoc-Netzwerken
Seminarausarbeitung
von David Wagner
Vortrag am 9. April 2002
Inhaltsverzeichnis:
1.
2
3.
4.
5.
Einführung ........................................................................................................................... 1
1.2
Sicherheitsanforderungen .............................................................................................. 2
1.2
Besondere Herausforderungen ....................................................................................... 3
1.3
Weitere Darstellung und grundlegende Ideen.................................................................. 3
Sicheres Routing................................................................................................................... 4
2.1
Routing-Protokolle für Ad-hoc-Netzwerke...................................................................... 5
2.1.1 Proaktive Routing-Protokolle ..................................................................................... 5
2.1.2 Reaktive Routing-Protokolle ...................................................................................... 5
2.1.2.1
Dynamic Source Routing (DSR) ........................................................................ 5
2.1.3 Hybride Routing-Protokolle ....................................................................................... 6
2.2
Schadensbegrenzung bei Routing-Ausfällen.................................................................... 7
2.2.1 Der Watchdog........................................................................................................... 7
2.2.2 Der Pathrater ............................................................................................................ 8
2.2.3 Simulation und Ergebnisse......................................................................................... 9
2.2.3.1
Der Durchsatz................................................................................................... 9
2.2.3.2 Der Routing Overhead...........................................................................................10
2.2.4 eigene Bewertung, Ideen...........................................................................................10
2.3
Stimulierung der Kooperation in selbst-organisierten Mobilen Ad-hoc-Netzwerken durch
eine virtuelle Währung: Nuglets ................................................................................................11
2.3.1 Das Packet Purse Model (PPM) ................................................................................12
2.3.1.1
PPM mit fester Weiterleitungspauschale ............................................................12
2.3.1.2
PPM mit Auktionen..........................................................................................12
2.3.2 Das Packet Trade Model (PTM)................................................................................13
2.3.3 Das Hybrid-Modell ..................................................................................................13
2.3.4 Der Schutz der Nuglets gegen Fälschung, Missbrauch und Mehrfachnutzung (PPM)....14
2.3.4.1
Voraussetzungen..............................................................................................14
2.3.4.2
Format des PP-Headers und des PP-Acknowledgements .....................................15
2.3.4.3
Das Weiterleitungs-Protokoll ............................................................................15
2.3.4.4
Bewertung .......................................................................................................16
Sicherheitssysteme ...............................................................................................................16
3.1
Emulation einer Zertifizierungsautorität über einen verteilten Schlüssel und SchwellwertKryptographie ..........................................................................................................................18
3.2
Key Agreement............................................................................................................19
3.3
Selbstorganisierende Public -Key-Infrastruktur ...............................................................19
Fazit ....................................................................................................................................20
Quellen................................................................................................................................20
II
1.
Einführung
Ad-hoc-Netzwerke sind eine neue Herausforderung der drahtlosen Kommunikation zwischen mobilen
Geräten. Diese Geräte werden in einem Ad-hoc-Netzwerk Knoten genannt. In den meisten Fällen geht
man davon aus, dass in einem Ad-hoc-Netzwerk keine feste Infrastruktur wie die Basisstationen und
Mobile Switching Centers in den GSM-Netzen und auch keine zentrale Verwaltung existiert. Daher
müssen alle Dienste für die Funktion des Netzwerks von den Knoten selbst erbracht werden und die
Funktion des gesamten Netzwerks hängt sehr von dem kooperativen Verhalten eines jeden Knotens
ab. Dabei kommunizieren Knoten, die direkt in der Reichweite der drahtlosen Funkschnittstelle liegen,
direkt über die drahtlose Verbindung, während weiter entfernte Knoten mittels anderer Knoten erreicht
werden, die die Nachrichten als Router weiterleiten. Die Mobilität der Knoten eines solchen Ad-hocNetzwerkes bedingt eine teilweise hohe Änderungsgeschwindigkeit der Topologie des Netzes.
Abb. 1:
Die Grafik zeigt ein Beispiel: im Zustand a sind die Knoten B, C, D und E von Knoten A aus erreic hbar, und zwar B und C über eine direkte drahtlose Verbindung, D und E nur über eine von B bzw. C
vermittelte Verbindung. Bewegt sich Knoten C wie in b dargestellt aus der Funkreichweite von Knoten A heraus, so geht die (direkte) Verbindung zwischen A und C verloren. Trotzdem ist das Netzwerk
immer noch verbunden, A kann C über B, D und E erreichen.
Die Anwendungen solcher Ad-hoc-Netzwerke liegen bisher zum größten Teil im militärischen Bereich: im Feld sollen über solche Netzwerke verschiedene militärische Einheiten, die mit entsprechenden Geräten ausgerüstet sind, insbesondere mit taktischen Informationen versorgt und koordiniert
werden. In diesem Falle haben alle Knoten des Netzwerks ein gemeinsames Ziel, möglicherweise mit
Ausnahme einiger weniger feindlich übernommener Knoten. Die Knoten haben also im Allgemeinen
ein Interesse, zu kooperieren. Bei einer militärischen Anwendung ist es essentiell, dass bei der Kommunikation die Position und Rolle der einzelnen Knoten vertraulich bleiben.
Andererseits gibt es auch vielfältige Ideen in anderen Bereichen. Sie reichen vom Einsatz in Katastrophenschutz, Rettungseinsätzen, Einsätzen (verschiedener Behörden) zur inneren Sicherheit bis zu Szenarien von riesigen, auch flächig weit ausgedehnten Netzen sogenannter „Terminodes“. Diese Geräte
sind gleichzeitig Netzwerkknoten als auch Terminal, daher der Name. Diese Geräte sollen im Zuge
des technologischen Fortschritts für jeden erreichbare und bezahlbare persönliche batteriebetriebene
Geräte sein, die untereinander paketorientiert drahtlos über lizenzfreie Frequenzen kommunizieren.
Diese Netze können daher eine Größe von mehreren Millionen Knoten und eine sehr lange Lebensdauer erreichen und sollen vollkommen unabhängig von fester Infrastruktur selbstorganisierend sein.
Diese Terminodes können auch Bestandteil größerer Geräte mit vielfältigen Nutzen sein, z. B. können
sie Teil von Autos sein. In einem solchen Fall haben die Knoten keinen gemeinsamen Eigentümer und
kein gemeinsames Ziel. Sie haben keine direkte Motivation zur Kooperation. Im Gegenteil: das Angebot von Diensten für andere Knoten bringt keinen direkten Vorteil, kostet aber wertvolle (Batterie )Energie, Bandbreite und Rechenzeit. „Verschwenden“ Knoten ihre wertvolle Energie nicht zu Gunsten anderer Knoten, so hat ein solches egoistisches Verhalten fatale Effekte auf die Funktionsfähigkeit
des Netzwerks:
1
Abb. 2:
In dieser Grafik sind die Ergebnisse einer Simulation dargestellt, in der die Abhängigkeit des Netzwerkdurchsatzes von dem Anteil der nicht-kooperierenden Knoten, die „nur“ Pakete nicht weiterleiten,
untersucht wurde. Die unterschiedlichen Graphen gehören zu Netzen unterschiedlicher Größe (100,
200, 300 und 400 Knoten) aber gleicher Knotendichte und zeigen, dass der Netzdurchsatz dramatisch
einbricht, je mehr Knoten den Dienst für den anderen verweigern, und dass große Netze anfälliger für
eine solche Störung sind als kleinere.
In einem solchen großen, zivilen Netz mit vielen einzelnen Parteien ist es meist auch nicht wichtig, die
Position einzelner Knoten geheim zu halten, andererseits gilt es aber, die Kommunikation und die
Privatsphäre der einzelnen Knoten und Benutzer gegen Lauschangriffe zu schützen.
Man sieht, dass diese verschiedenen Zwecke auch unterschiedliche Anforderungen an das zugrundeliegende Netzwerk und insbesondere seine Sicherheit stellen.
Es lassen sich aber einige Grundanforderungen festmachen, die in unterschiedlicher Gewic htung je
nach Einsatzgebiet eine Rolle spielen.
1.2
•
•
•
•
Sicherheitsanforderungen
Verfügbarkeit (availability) garantiert die Nutzbarkeit des Netzes bzw. einzelner Dienste gegen Denial-of-Service-Attacken. Hier sind drahtlose Netze per se sehr empfindlich, da die
Nachrichten auf der physikalischen Ebene durch Störsignale zerstört werden können, wobei
der Angriff in einem geographisch großen Raum gleichermaßen möglich ist. Des weiteren ist
ein Angriff auf den höheren Ebenen möglich: Auf der Netzwerk-Ebene ist insbesondere ein
Angriff über das Routing-Protokoll denkbar, um das Netzwerk zu partitionieren bzw. einzelnen Knoten vom Netzwerk zu trennen. Auch auf den höheren Ebenen sind natürlich DoSAngriffe denkbar, aber die meisten sind nicht spezifisch für Ad-hoc-Netzwerke. Im Bereich
der drahtlosen Netzwerke spielt Verschlüsselung eine besonders wichtige Rolle, da Kommunikation einfach mitgehört werden kann. Daher ist eine hohe Verfügbarkeit gerades des
Schlüsselmanagement-Dienstes besonders wichtig.
Vertraulichkeit (confidentiality) gewährleistet, dass bestimmte Informationen nicht an nicht
autorisierte Knoten oder Personen gelangen können. Dies betrifft natürlich insbesondere militärische Anwendungen, bei denen strategische oder taktische Informationen keinesfalls in
feindliche Hand geraten darf.
Dies betrifft unter Umständen auch Routing-Informationen, insofern als aus ihnen direkt oder
indirekt Rückschlüsse auf die Standorte von Knoten und damit Zielen im Schlachtfeld möglich sind.
Integrität (integrity) von Nachrichten garantiert, dass der Empfänger die Information erhält,
die der Sender gesendet hat, unabhängig von Störungen auf der Funkschnittstelle oder Angriffe auf das Netzwerk.
Authentizität (authentication) ermöglicht es einem Knoten, die Identität des Kommunikationspartners feststellen bzw. zu garantieren. Ohne eine solche Authentifizierung könnte sich
2
•
1.2
ein Angreifer für einen anderen Knoten ausgeben und dadurch das Netzwerk stören und außerdem Zugang zu vertraulichen Daten erhalten.
Nichtablehnung oder eindeutige Zuordnung (non-repudiation) ermöglicht die fälschungssichere, eindeutige Zuordnung einer Nachricht zu einem Sender. Dadurch sind die Identifikation
und Isolation eines kompromittierten Knoten möglich. Außerdem wird so eine Verbreitung
solcher Informationen ermöglicht: erhält A eine fehlerhafte Nachricht von B, so kann A andere Knoten anhand dieser eindeutig von B stammenden Nachricht davon überzeugen, dass B
kompromittiert ist.
Besondere Herausforderungen
In den betrachteten Ad-hoc-Netzwerken ergeben sich beim Anstreben dieser Ziele besondere Herausforderungen und Angriffspunkte:
Erstens macht die Nutzung einer Funkschnittstelle ein solches Netz anfällig für Angriffe auf der Verbindungsebene, wie schon oben angedeutet. Diese Attacken reichen von bloßem Lauschen bis zu aktiver Imitierung, Nachrichtenwiederholung und Nachrichtenverfälschung. Dabei können Verfügbarkeit,
Vertraulichkeit, Integrität, Authentizität und die eindeutige Zuordnung verletzt werden.
Zweitens können Knoten, die meist nur über einen relativ schwachen physikalisch/mechanischen
Schutz verfügen, in einer feindlichen Umgebung, zum Beispiel auf dem Schlachtfeld im militärischen
Einsatz, mit einer nicht vernachlässigbaren Wahrscheinlichkeit kompromittiert werden. Daher besteht
immer die Gefahr, dass die vertraulichen Daten und Schlüssel eines einzelnen Knoten in die Hand des
Gegners gerät und man daher nicht nur Angriffe von außerhalb des Netzes sondern auch von innen in
Betracht ziehen muss. Daher sollte ein Ad-hoc-Netzwerk eine verteilte Architektur ohne zentrale Einrichtungen besitzen. Die Einführung einer zentralen Einrichtung in einem Ad-hoc-Netzwerk würde zu
einer signifikanten Verletzbarkeit an dieser Stelle führen, da eine Kompromittierung dieser Einric htung die Sicherheit des gesamten Netzwerks unterlaufen würde.
Drittens ist ein Ad-hoc-Netzwerk dynamisch, da sich laufend die Topologie und auch die Mitglie dschaft einzelner Knoten aufgrund der Mobilität der Knoten ändert. Es ändern sich sogar Vertrauensverhältnisse, wenn ein Knoten als kompromittiert erkannt wird, und die Verteilung administrativer
Aufgaben. Dies unterscheidet ein solches Netz von anderen drahtlosen mobilen Netzen wie z.B. mobile IP. Daher kann auch eine statische Sicherheitslösung nicht überzeugen, im Gegenteil ist ein Sicherheitsmechanismus gesucht, der sich dynamisch und schnell an solche Änderungen anpasst.
Außerdem sollte diese Lösung skalierbar sein, und auch mit großen Ad-hoc-Netzwerken funktionieren, da ein Ad-hoc-Netzwerk je nach Zielsetzung auch aus mehreren Hunderten, Tausenden oder sogar
Millionen von Knoten bestehen kann.
1.3
Weitere Darstellung und grundlegende Ideen
Bei genauerer Betrachtung ergeben sich zwei grundlegende Probleme, die je nach Einsatzbereich unterschiedlich gewichtet und auch unterschiedlich gelöst werden müssen:
Erstens die grundlegende Funktion des Netzwerks, das heißt insbesondere das Routing: es ist entscheidend für fast alle Paketübermittlungen und gleichzeitig sehr anfällig. Hier können sowohl aktiv
die Routing-Tabellen, falls vorhanden, verfälscht werden, als auch passiv durch einfache NichtWeiterleitung von Paketen Schäden angerichtet werden. Dabei muss man sowohl den Durchsatzabfall
betrachten, aber auch die höhere Latenz sowie die größere Gefahr der Partitionierung des Netzes. Dazu muss man allerdings auch die Routing-Algorithmen in Ad-hoc-Netzwerken zumindest oberflächlich betrachten. (Abschnitt 2.1)
Geht man von einem Netz kooperativer Geräte mit einzelnen kompromittierten Knoten aus, wie man
es im Falle einer militärischen Anwendung erwarten kann, so zeigt sich, dass die gängigen RoutingProtokolle einen Ausfall eines Knotens durch die Nutzung alternativer Routen kompensieren, als ob
die Routing-Informationen veraltet wären und der betreffende Knoten seine Position gewechselt hätte.
Andererseits kann man den Durchsatz eines Ad-hoc-Netzwerks mit einigen kompromittierten Knoten
durch Ergänzungen zu bestehenden Routing-Protokollen signifikant steigern. (Abschnitt 2.2)
Im Falle eines nicht-militärischen, privaten Netzwerks kommt hinzu, dass kein Knoten bzw. sein Nutzer ein direktes Interesse daran hat, Pakete für andere Knoten weiterzuleiten und dabei Bandbreite und
insbesondere Energie bereitzustellen, die wegen des Batteriebetriebs knapp und wertvoll ist. Hier muss
man für Knoten einen Anreiz schaffen, der den indirekten Nutzen eines kooperativen Verhaltens im
3
Netz in einen direkten Nutzen umsetzt. Vorgeschlagen wurde in diesem Bereich der Einsatz einer Art
Währung, mit dem Weiterleiten von Nachrichten belohnt wird bzw. bezahlt werden muss. Damit ergeben sich selbstverständlich neue Anforderungen: diese Währung muss in gewissem Sinne fälschungssicher sein, ihr Gebrauch muss unverzichtbar, aber fair sein. Die vorgeschlagenen Systeme werden in
Abschnitt 2.3 näher vorgestellt.
Zweitens die Sicherheit des Netzwerks, genauer der Schlüsselmanagement-Dienst: er ermöglicht erst
Vertraulichkeit, Integrität, Authentizität und eine eindeutige Zuordnung der Nachrichten. Dieses Thema werde ich nur knapp behandeln.
2
Sicheres Routing
Die spezielle Natur der Ad-hoc-Netzwerke macht auch ganz neue Routing-Mechanismen erforderlich:
Wie bereits gezeigt, müssen auch Knoten, mit denen nicht direkt kommuniziert werden kann, erreicht
werden können, und das bei unsicheren Übertragungsbedingungen und einer sich rasch, und aus Sicht
des einzelnen Knotens einer sich planlos ändernden Topologie. Da den Routing-Mechanismen hier
eine so große Bedeutung zukommt, ist ein Netz an dieser Stelle auch sehr angreifbar für böswillige
Angreifer von außen bzw. verletzlich gegen egoistische Nutzer, die keine Pakete weiterleiten, oder
auch gegen kompromittierte Knoten von innen. Um ein sicher funktionierendes Routing zu gewährleisten, gibt es verschiedene Möglichke iten:
Erstens kann man für Routing nur auf bekannte Knoten zurückgreifen, zu denen eine Vertrauensbeziehung besteht. Diese muss allerdings a priori, außerhalb des Netzwerks aufgebaut werden. In manchen
Anwendungen ist dies per se der Fall, z.B. bei militärischen Anwendungen. Dennoch hat dieses Verfahren Nachteile: erstens müssen Schlüssel ausgetauscht und jede Routing-Kommunikation verschlüsselt werden. Dies ist unter Umständen sowieso gewünscht. Aber auch funktionierende Knoten können
zweitens überlastet, drittens defekt oder viertens kompromittiert sein. Dann ergibt sich die Aufgabe,
solche Knoten zu erkennen und von Knoten, die (unwissentlich) veraltete Informationen über die Topologie des Netzes geliefert haben, zu unterscheiden. Diese Aufgabe ist in einem Ad-hoc-Netzwerk
fast nicht lösbar, es ble iben sehr viele unentscheidbare Fälle. Andererseits sind alle RoutingAlgorithmen für Ad-hoc-Netzwerke so aufgebaut, dass sie mit veralteten, nicht (mehr) zutreffenden
Informationen umgehen können: manche suchen daraufhin eine neue Route, andere speichern per se
mehrere Alternativen, die nacheinander gewählt werden, bis eine Übertragung erfolgreich ist. Insofern
können falsche Routing-Informationen wie veraltete Routing-Informationen betrachtet werden. So
lange noch ausreichend viele verlässliche Knoten im Netzwerk vorhanden sind, werden die RoutingProtokolle einen Ausweg finden. Ein anderer Ansatz ist das sogenannte „diversity coding“, bei dem
direkt alle verfügbaren Verbindungen zum Ziel gleichzeitig genutzt werden, um Informationen, angereichert mit Redundanzdaten, zu übertragen. Selbst wenn ein Pfad oder auch wenige Pfade versagen
und die gesendeten Daten nicht das Ziel erreichen, so genügen die erhaltenen Daten im Normalfalle,
um die Information zu rekonstruieren.
Gegen ein Routing nur über ausgewählte, vertraute Knoten spricht auch, dass möglicherweise auch
nicht per se vertrauenswürdige Knoten diese Aufgabe erfüllen könnten und die Leistung des Netzwerks steigern könnten.
Zweitens könnte man das Routing-Protokoll anpassen, so dass fehlverhaltende Knoten erkannt und
ausgeschlossen würden. Es wäre allerdings fragwürdig, ein grundlegendes Netzwerkprotokoll mit
solch aufwendigen Mechanismen auszustatten. Die bestehenden Protokolle enthalten keine Schutzmechanismen gegen böswillige Attacken, sie setzen sogar voraus, dass jeder Knoten, der Pakete empfängt, auch Pakete weiterleitet.
Drittens kann man existierende Routing-Protokolle erweitern und vielleicht minimal anpassen, um
solche fehlerhaften Knoten zu erkennen und zu umgehen und dadurch den Durchsatz zu steigern. Im
Abschnitt 2.2 stelle ich ein System vor, bei dem das Routing-Protokoll DSR um 2 Komponenten erweitert wird, die die anderen Knoten dynamisch bewerten und das Routing anpassen.
Viertens kann man ein besseres Routing erreichen, indem man Anreize schafft, Pakete weiterzuleiten.
Dies spielt natürlich in einem militärisch genutzten Netz keine Rolle, da alle Knoten das gleiche Ziel
haben, in einem zivilen Netz von privaten Nutzern aber wohl eine vorrangige.
4
2.1
Routing-Protokolle für Ad-hoc-Netzwerke
Im Bereich der Ad-hoc-Netzwerke gibt keinen einzelnen Routing-Standard, sondern mehrere Familien
von Protokollen, die teilweise für unterschiedliche Anforderungen konzipiert sind, teilweise aber auch
direkt konkurrieren. Da die Leistungsfähigkeit eines Ad-hoc-Netzwerks direkt von der Leistungsfähigkeit des eingesetzten Routing-Protokolls abhängt, werde ich hier einen kurzen Überblick über die
verschiedenen Protokolltypen geben.
2.1.1
Proaktive Routing-Protokolle
Proaktive Routing-Protokolle sind verwandt mit den Routing-Protokollen, die in herkömmlichen
drahtgebundenen Netzen eingesetzt werden. Man kann grundlegend zwei Typen unterscheiden:
Distance Vector Routing: hier hält jeder Router die Distanz von sich zu allen möglichen Zielen aktuell, indem er regelmäßig alle ihm bekannten Router abfragt, um seine eigene Tabelle zu aktualisieren.
Link State Routing: hier hält jeder Router ein komplettes Abbild der Netzwerktopologie aktuell, indem
er die Kosten für die Verbindungen zu seinen Nachbarroutern regelmäßig an alle anderen Router im
Netzwerk übermittelt. Zusätzlich wird von den genannten Protokollen jede Änderung der Topologie
direkt an alle bekannten Router weitergesendet.
Bei beiden Verfahren ermittelt der Router bei einer Routing-Anfrage direkt aus seiner eigenen Tabelle
die optimale Route. Daher ist die Anfangsverzögerung einer Verbindung sehr klein, aber die Bandbreite, die benötigt wird, um die Routing-Informationen aktuell zu halten, ist sehr hoch und nimmt mit
steigender Zahl der Router (in einem Ad-hoc-Netzwerk jeder Knoten!) und größerer Dynamik zu.
Beispiele für proaktive Routing Protokolle sind
• Destination-Sequence Distance-Vector Routing (DSDV)
• Wireless Routing Protokoll (WRP)
2.1.2
Reaktive Routing-Protokolle
Im Gegensatz zu den proaktiven Protokollen finden reaktive Routing-Protokolle eine Route erst auf
Anfrage. Wenn ein Sender eine Route erfragt, wird ein sogenannter Route Finder im Netzwerk gestartet. Wurde eine solche Verbindung gefunden, so wird sie vom Routing-Protokoll erhalten, bis das Ziel
über keinen Weg mehr erreichbar ist, oder die Route nicht mehr benötigt wird.
Der Vorteil der reaktiven Routing-Protokolle ist, dass sie nur eine geringe Netzlast erzeugen. Da aber
die Routing-Informationen erst auf Anfrage gesammelt werden, kann die Verzögerung bis zur Nutzung sehr lang sein. Beispiele für reaktive Protokolle sind
• Dynamic Source Routing (DSR)
• Ad Hoc On Demand Distance Vector (AODV)
• Asssociativity-Base Routing (ABR)
Die Funktionsweise von DSR werde ich kurz genauer erläutern, da das in Abschnitt 2.2 vorgestellte
Verfahren auf diesem Routing-Protokoll basiert und dessen Leistung beeinflusst.
2.1.2.1 Dynamic Source Routing (DSR)
DSR ist ein sogenanntes Quellen-Routing-Protokoll (source routing protocol), das heißt, jedes Paket
bekommt direkt von der Quelle einen Routing-Pfad mit, der aus den Adressen aller Knoten besteht,
die dieses Paket passieren soll. Der komplette Pfad wird von der Quelle festgelegt, ist ihr also in jeder
Einzelheit bekannt. Als proaktives Protokoll wird eine Route zu einem Ziel erst dann festgelegt, wenn
ein Paket an dieses Ziel gesendet werden soll und der Sender nicht zufällig schon eine Route kennt.
Man kann DSR in zwei Hauptfunktionen unterteilen: die Routen-Findung und die Routen-Erhaltung.
Bei der Suche eines Senders S nach einem Pfad zu einem bestimmten Knoten D sendet DSR erst ein
Paket mit dieser Anfrage (ROUTE REQUEST) an alle Nachbarn.
5
Abb. 3:
Diese hängen ihre Adresse an und senden das Paket ihrerseits an alle Nachbarn weiter. Jeder Knoten
sendet das Paket seinerseits weiter, es sei denn, er hat diese Anfrage bereits auf einem anderen Weg
erhalten und weitergesendet.
Abb. 4:
Kennt ein Knoten einen Pfad zum Ziel oder erreicht die Anfrage das Ziel, so sendet dieser Knoten eine
Antwort (ROUTE REPLY) an die Quelle der Anfrage. Dies kann über den in der Anfrage festgehaltenen Weg geschehen oder über einen Weg, der seinerseits mit dem Routen-Findungs-Algorithmus festgelegt wird.
Abb. 5:
Da der Pfad nicht eindeutig sein muss, erhält die Quelle im Allgemeinen mehrere Antworten mit verschiedenen Routen zum Ziel. DSR wählt eine Route mit den wenigsten Stationen aus und speichert
auch die anderen für den Fall, dass diese erste Route ausfällt.
Der Routen-Erhaltungsalgorithmus sorgt dafür, dass Knoten auf einem solchen Pfad die Quelle informieren (mittels ROUTE ERROR Nachricht), falls der nächste Knoten nicht mehr erreichbar ist. Der
Quellknoten wählt dann eine Alternativroute aus oder, falls keine Alternativroute mehr gespeichert ist,
startet eine neue Pfad-Suche.
Damit erzeugt dieses Routing-Protokoll als proaktives Protokoll wenig Overhead und als QuellenRouting-Protokoll kennt die Quelle den genauen Pfad, den ihre Pakete zurücklegen (sollten).
2.1.3
Hybride Routing-Protokolle
Diese Protokolle stellen einen Kompromiss zwischen proaktiven und reaktiven Protokollen dar: die
einzelnen Knoten unterhalten Routing-Informationen über eine kleine und klar abgegrenzte Zone,
zeigen also in diesem Bereich proaktives Verhalten. Routen zu Knoten, die nicht in dieser Zone liegen,
werden wie mit einem reaktiven Protokoll erst auf Anfrage hin aufgebaut.
Diese Protokolle gewährleisten eine kleine Latenz bei Kommunikation mit benachbarten Knoten, generieren aber nicht wesentlich mehr Netzlast als die reaktiven Protokolle.
Beispiele sind:
6
•
•
Temporally Ordered Routing Algorithm (TORA)
Zone Routing Protocol (ZRP)
2.2
Schadensbegrenzung bei Routing-Ausfällen
Hier werden zwei Techniken beschrieben, in einem Ad-hoc-Netzwerk den Schaden, den Knoten bewirken, die keine Pakete weiterleiten, dies aber tun sollten, zu begrenzen und den Durchsatz im Vergleich zu Standard-Routing zu verbessern.
Dabei identifiziert ein sogenannter „watchdog“ solche (manipulierten) nicht-standard-konforme Knoten durch Lauschen an seiner Funkschnittstelle und ein „pathrater“ verändert das Routing dahingehend, diese Knoten zu umgehen und die Leistung des Netzes zu steigern.
Im folgenden gehe ich auch von diesen Annahmen aus:
• Die Verbindungen zwischen den Knoten sind bidirektional und symmetrisch. Dies ist für das Lauschen des Watchdogs erforderlich, aber auch in den meisten Funknetzen gegeben.
• Das Senden erfolgt ungerichtet, also in alle Richtungen gleichermaßen, und die Schnittstelle muss
einen Abhör-Modus bieten, so dass auch Nachrichten an andere Knoten empfangen werden, falls
man sich in Reichweite des Senders befindet.
• Das eingesetzte Routing-Protokoll ist DSR. (Die vorgestellten Algorithmen setzen auf DSR auf,
können allerdings begrenzt auch an andere Routing-Protokolle angepasst werden.)
2.2.1
Der Watchdog
Der Watchdog-Algorithmus soll Knoten aufspüren, die sich zwar während der Routen-Suche in die
Routen eintragen, Pakete dann aber doch nicht weiterleiten. Die Idee ist einfach: der Algorithmus
lauscht an der Funkschnittste lle des Knotens auf Pakete, die nicht an den Knoten selbst gerichtet sind.
Unter den gegebenen Voraussetzungen „hört“ er kurz nach dem Weiterleiten eines Paketes, wie die
nächste Station dieses Paket weiterleitet.
Abb. 6:
Beispiel: Soll ein Paket auf dem Weg von S nach D von A über B zu C weitergeleitet werden, so kann
zwar A das Paket nicht direkt zu C senden, empfängt aber im Normalfall von B gesendeten Nachric hten (gepunktete Linie), also auch die an C weitergeleitete Nachricht (durchgezogene Linie). Das heißt,
A kann meist kontrollieren, ob B die Nachricht wirklich weiterleitet. Falls nicht jede einzelne Verbindung verschlüsselt ist, was sehr aufwendig und daher nicht üblich ist, kann A sogar überprüfen, ob B
die Nachricht oder den Header unzulä ssig verändert hat.
Diese Überwachung wird mit Hilfe eines Puffers von kürzlich gesendeten Paketen und Fehlerzählern
für die benachbarten Knoten realisiert. Jede empfangene Nachricht wird mit den Paketen im Puffer
verglichen: handelt es sich um ein kürzlich weitergeleitetes Paket, wird der Eintrag im Puffer gelöscht,
da es anscheinend weitergeleitet wurde. Verbleibt ein Paket länger als eine bestimmte Zeit im Puffer,
so wird der Fehlerzähler des für die Weiterleitung dieses Paketes verantwortliches Knotens erhöht.
Wenn der Fehlerstand eine gewisse Schwellbandbreite erreicht, stellt der Algorithmus fest, dass der
Knoten Pakete nicht ordnungsgemäß weiterleitet und sendet eine Nachricht an die Quelle(n), um sie
über diese Feststellung zu informieren.
Dieses Watchdog-Verfahren hat Vorteile, aber auch unabdingbare Schwächen.
Erstens kann der Watchdog die Nachbarknoten während einer Kollision nicht überwachen:
Abb. 7:
An einer solchen Kollision kann B mit der Weiterleitung des vom Watchdog nachverfolgten Paketes 1
beteiligt sein, dies muss dann aber nicht die erfolgreiche Übertragung an C verhindern, B kann aber
auch mit der Übertragung eines anderen Paket oder gar nicht beteiligt sein.
Zweitens kann der Watchdog nur erfahren, dass die Nachricht gesendet wurde, aber nicht, ob sie den
nächsten Knoten auch erreicht hat:
Abb. 8:
Der Watchdog von A löscht den Eintrag für Paket 1 in seinem Puffer, wenn er hört, dass B versucht,
dieses Paket an C zu senden, obwohl er nicht hören kann, ob dieses Paket C erreicht oder möglicherweise aufgrund einer Kollision verloren geht. B sollte dann die Übertragung wiederholen, dies wird
7
aber durch den Watchdog von A nicht mehr kontrolliert. B könnte sogar eine Kollision provozieren,
indem er erst zu senden beginnt, wenn er eine andere Übe rtragung von C empfängt. Im ersten Falle
spart der Knoten dadurch Energie, er verhält sich egoistisch. Im zweiten Falle allerdings kostet ihn
sein Verhalten Energie, Bandbreite und Rechenzeit, ohne dass es ihm einen Vorteil bringt: dieses Verhalten ist kaum zu erwarten.
Drittens könnte ein Knoten auch andere Knoten fälschlich eines Fehlverhaltens bezichtigen: dadurch
könnte der Durchsatz gesenkt oder sogar das Netz partitioniert werden. Dieses Verhalten würde alle rdings auffallen: berichtet A dem Sender S, dass B Pakete nicht weiterleitet, so dürfte A die Acknowledgements nicht weiterleiten, um den Schein zu wahren. Dies alle rdings würde Knoten B bemerken
und dann dem Sender S melden. Da er das Fehlverhalten von A erkannt hat, würde B eine andere Route wählen, so dass die Nachricht S auch erreicht.
Viertens könnte ein Gerät, das seine Sendeleistung kontrollieren kann, u.U. den Watchdog täuschen,
indem es seine Leistung soweit reduziert, dass die Nachricht zwar den Vorgängerknoten, aber nicht
den Nachfolger erreicht. Dies würde dem Knoten allerdings keinen echten Vorteil einbringen, da er
Energie und Bandbreite verschwendet, nur um den Vorgängerknoten zu täuschen. Auch das entspricht
nicht dem vorausgesetzten Umfeld, so dass dieser Fall nicht weiter betrachtet werden muss.
Fünftens könnten mehrere Knoten sehr wohl der Kontrolle durch den Watchdog entgehen, wenn sie
zusammenarbeiten: falls C Pakete verwirft, aber B dies nicht meldet, ist die Überwachung fehlgeschlagen. Aber auch dieses Verhalten ist im angedachten Umfeld von privaten Ad-hoc-Netzwerken, in
denen i.A. jeder Knoten einen anderen Eigentümer hat, nicht zu erwarten.
Sechstens können Knoten natürlich Pakete mit einer geringeren Rate als der Schwellrate des Watchdogs verwerfen. Allerdings könnte es dann passieren, dass der Watchdog aus den oben angegebenen
Gründen die Übertragung nicht detektiert und der Fehlerzähler daher unter die Schwelle gerät. Zudem
garantiert der Watchdog so zumindest indirekt eine gewisse Minimalbandbreite.
Ich möchte hier bereits anmerken, dass ein solches Verhalten ebenso wie das oben beschriebene NichtWiederholen des Sendens bei den beschriebenen Algorithmen keinen Sinn macht, da selbst eine generelle Verweigerung der Weiterleitung oder ein Fehlverhalten ohne negative Folgen für den Knoten
bleibt.
Um überwachen zu können, ob der nächste Knoten das Paket an den richtigen Knoten weiterleitet,
muss der Watchdog die übernächste Station auf dem Pfad kennen. In dem beschriebenen Fall trifft
dies immer zu, da diese Implementierung auf DSR aufsetzt und bei diesem Protokoll jedes Paket alle
Stationen des Pfades enthält. Bei einem Hop-by-Hop-Routing-Protokoll, bei dem in jedem Knoten nur
die Entscheidung getroffen wird, an wen die Nachricht weitergeleitet wird, hätte der Watchdog diese
Information nicht und so könnte der nächste Knoten an einen nicht vorhanden Knoten senden, ohne
dass der Watchdog Verdacht schöpfte. Natürlich wird dieses Problem durch den Einsatz eines Quellen-Routing-Protokolls elegant gelöst, dennoch muss man meiner Meinung nach auch hier die gle ichen Argumente wie bei einer geplanten Kollision bei der nächsten Station gelten lassen: dieses Verhalten bringt dem störenden Knoten keinerlei Vorteil, es kostet ebenso Ressourcen wie eine ordnungsgemäße Weiterleitung. Da wir von einem zivilen Netz privater egoistischer Knoten ausgehen, ist dieses Verha lten nicht zu erwarten.
Der Einsatz eines Quellen-Routing-Protokolls ist für den Einsatz des Pathrater allerdings nötig, damit
er den genauen Pfad eines Pakets festlegen kann.
2.2.2
Der Pathrater
Auch der Pathrater-Algorithmus läuft auf jedem Knoten des Netzwerks. Er nutzt die Informationen der
Watchdogs um die Zuverlässigkeit eines Pfades zu bewerten und das Routing mit Hilfe dieser Bewertungen anzupassen. Dazu speichert er für jeden ihm bekannten Knoten eine Zuverlässigkeitsbewertung. Die Metrik eines Pfades ergibt sich dann als arithmetisches Mittel der Bewertungen der Knoten
des Pfades. Wenn mehrere Pfade zu einem Ziel bekannt sind, wählt der Algorithmus den Pfad mit der
höchsten Metrik, nicht den Pfad mit den wenigsten Schritten wie DSR. Hier sieht man, dass der
Pathrater auf einem Quellen-Routing-Protokoll aufbauen muss, da er den ganzen Pfad bis Ziel festlegen soll. Die Wertung der einzelnen Knoten geschieht folgendermaßen:
Die Zuverlässigkeit des eigenen Knotens bewertet der Pathrater mit 1. Lernt er einen neuen Knoten
kennen, so erhält dieser die neutrale Wertung 0,5. Dies bewirkt, dass der Pathrater ohne weitere Informationen den kürzesten Pfad wählt. Die Wertung eines Knotens wird angepasst, solange Pakete
über diesen Knoten geleitet werden, sonst bleibt die Wert unangetastet. Wenn Pakete erfolgreich über
8
einen Knoten geleitet werden, wird die Bewertung des Knotens alle 200ms um 0,01 erhöht, allerdings
maximal bis 0,8.Wird während einer Übertragung die Verbindung unterbrochen, wird die Bewertung
um 0,05 reduziert, bis maximal 0. Wird ein Knoten von einem Watchdog als Nicht-Weiterleitend gemeldet, erhält er eine stark negative Bewertung, z.B. –100. Dadurch bekommen Pfade mit einem oder
mehreren als nicht funktionierend verdächtigten Knoten negative Bewertungen. Diese Pfade werden
erst in letzter Instanz gewählt und mit einer „Send Route Request“ (SRR) genannten Erweiterung versehen versucht der Pathrater sogar vorher noch durch eine Pfadsuche einen Alternativpfad zu finden.
Erst wenn auch diese keine Alternativpfade findet, wird ein solcher Pfad genutzt.
Da Knoten auch dann als fehlerhaft auffalle n, wenn sie kurzzeitig ausfallen oder überlastet sind, wäre
es sinnvoll, die Bewertung langsam wieder zu erhöhen, um Knoten nicht endgültig auszusperren.
2.2.3
Simulation und Ergebnisse
An der Stanford University wurden mit dem Berkeley Network Simulator (ns) und den 802.11-CMUErweiterungen verschiedene Simulationen eines Netzes aus 50 Knoten auf einer 670x670m2 Fläche
durchgeführt. Es wurden 2 Bewegungsmuster simuliert, wobei sich die Knoten jeweils mit zufälliger,
aber konstanter Geschwindigkeit von bis zu 20 m/s auf zufällige Ziele zu bewegten, dort je nach
Simulation 0 oder 60 s pausierten, um dann wieder ein zufälliges Ziel anzusteuern. Während der
Simulation wurden zehn Verbindungen konstanter Bitrate aufgebaut, wobei vier Knoten Quelle von
zwei Strömen und zwei Knoten Quellen je eines Stroms waren, und acht Knoten je einen Strom empfangen und ein neunter zwei. Der Anteil der nicht-weiterleitenden Knoten wurde in 5%-Schritten
zwischen 0% und 40% variiert, wobei jeweils die größeren Gruppen Obermengen der kleineren waren.
Um den Effekt der beschriebenen Erweiterungen von DSR zu bestimmen, wurden die Simulationen
mit verschiedenen Kombinationen der Erweiterungen zu DSR durchgeführt.
Gemessen wurden der Durchsatz und der Anteil der Übertragungen, die dem Routing dienen: ROUTE
REQUEST-, ROUTE REPLY-, ROUTE ERROR –Nachrichten von DSR sowie WATCHDOGNachrichten. Es wurden Übertragungen und nicht Pakete gezählt, da ein einzelnes Route RequestPaket eine Kaskade von Übertragungen auslöst, die das Netz sehr belasten.
2.2.3.1 Der Durchsatz
Abb. 9:
Dargestellt ist der Durchsatz in Abhängigkeit von dem Anteil der nicht-weiterleitenden Knoten in
Simulationen mit folgenden DSR-Konfigurationen:
• Keine Erweiterung als Referenz
• Einfacher Pathrater (PR)
• Einfacher Pathrater (PR) und Watchdog (WD) sowie
• Pathrater mit SRR-Funktion und Watchdog.
Man sieht signifikante Unterschiede zwischen den einzelnen Protokoll-Versionen, wobei die Version
mit allen drei Erweiterungen den besten Durchsatz erzielt. Wird die SRR-Funktion abgeschaltet, so ist
die Durchsatzsteigerung nicht ganz so groß. Obwohl der Watchdog selbst keine Routingentscheidun9
gen trifft, so versorgt er doch den Pathrater mit wichtigen Informationen: wird der Watchdog deaktiviert, kann der Pathrater selbst keine fehlerhaften Knoten erkennen und beeinflusst den Durchsatz
nicht signifikant.
2.2.3.2 Der Routing Overhead
Abb. 10:
Dargestellt ist der Overhead in Abhängigkeit von dem Anteil der nicht-weiterleitenden Knoten in Simulationen mit folgenden DSR-Konfigurationen:
• Keine Erweiterung als Referenz
• Watchdog (WD)
• Einfacher Pathrater (PR) und Watchdog (WD) sowie
• Pathrater mit SRR-Funktion und Watchdog.
Man sieht, dass der Watchdog-Mechanismus im Vergleich zum DSR-Routin g-Overhead nur geringen
zusätzlichen Aufwand verursacht. Dieser ist auch so gering, dass er durch weitere fehlerhafte Knoten
gar nicht merklich gesteigert wird. Die zusätzliche Aktivierung des Pathraters führt zu einer zwar
messbaren aber immer noch kleinen Erhöhung des Overheads, da nun Pakete über sichere Umwege
geleitet werden. Zu beachten ist, dass diese kleine Overhead von maximal 6 % den Durchsatz um 16
% steigert! Die Aktivierung der SRR-Funktion verursacht dagegen einen wesentlich höheren Overhead, in Relation dazu steigert sie den Durchsatz aber nicht so effektiv.
2.2.4
eigene Bewertung, Ideen
Meiner Meinung nach bietet sich das Verständnis der Bewertung als eine Zuverlässigkeitswahrscheinlichkeit an. So betrachtet ergeben sich viele Änderungsvorschläge:
Die Watchdogs sollten für ihre Nachbarn einen alternde relative Häufigkeit für die Beobachtung einer
Weiterleitung führen. Diese könnten sie in größeren, regelmäßigen Abständen an die Sender übermitteln. Falls eine bestimmte Schranke unterschritten wird, also der beobachtete Knoten anscheinend gar
keine Pakete weiterleitet, sollte sofort eine Nachricht an die Quelle gesendet werden. Das Produkt der
Zuverlässigkeitswahrscheinlichkeiten aller Knoten eines Pfades gibt die Zuverlässigkeitswahrscheinlichkeit des Pfades an.
Der Pathrater kann nun den Pfad mit der höchsten Erfolgswahrscheinlichkeit auswählen. Man müsste
zusätzlich einen Mechanismus schaffen, der durch eine langsame Erhöhung der Bewertungen dazu
führt, dass auch zeitweilig als fehlerhaft erkannte Knoten wieder gete stet werden.
Eine andere, meiner Meinung nach elegantere, Methode wäre, die Pfadmetriken ebenfalls als Wahrscheinlichkeiten für die Auswahl des Pfades zu nutzen. Dies hätte den Vorteil, dass auch als sehr unzuverlässig bewertete Pfade von Zeit zu Zeit getestet würden. Dies könnte alle rdings zu unvertretbar
hohen Verlusten führen.
10
Denkbar wäre auch eine Mischform: mit einer hohen Wahrscheinlichkeit wird der Pfad mit der höchsten Metrik gewählt, mit einer entsprechend kleinen Wahrscheinlichkeit wird der Pfad aus allen möglichen Pfaden zufällig gewählt, wobei die Wahrscheinlichkeit der Auswahl eines Pfades proportional zu
ihrer Bewertung ist.
Eine Simulation wert wäre auch der Versuch, dieses System auf die lokale Nachbarschaft zu beschränken, dann aber zwei Wahrscheinlichkeiten pro Knoten zu verwalten: eine für die Zuverlässigkeit
des Nachbarknoten selbst und eine für Routen, die über diesen Knoten führten. Dies würde das System
auch mit Hop-by-Hop-Routing-Protokollen kompatibel machen.
Generell wäre es wünschenswert, wenn die nicht-kooperativen Knoten einen Nachteil aus ihrem Verhalten hätten. Dies könnte dadurch geschehen, dass Pakete für solche Knoten nicht weitergeleitet werden. Dies würde allerdings DoS-Angriffe ermöglichen. In Kombination mit dem vorgeschlagenen
Wahrscheinlichkeitsansatz könnte man die Wahrscheinlichkeit für die Weiterleitung eines Paketes
proportional (z.B. Faktor 2, so dass Pakete für unbekannte Knoten weitergeleitet werden) zu der Zuverlässigkeitsbewertung der Quelle wählen.
2.3
Stimulierung der Kooperation in selbst-organisierten Mobilen
Ad-hoc-Netzwerken durch eine virtuelle Währung: Nuglets
In diesem Abschnitt wird ökonomischen Ansatz von Prof. Jean-Pierre Hubaux und seines Mitarbeiters
Dr. Levente Buttyán vorgestellt, die Kooperation in einem Ad-hoc-Netzwerk durch eine virtuelle
Währung zu gewährleisten, die sie „Nuglet“ nennen, mit der Dienste bezahlt bzw. berechnet werden. .
Über das zugrunde liegende Netzwerk werden folgende Annahmen gemacht:
• es handelt sich um ein ziviles, großes Netz sogenannter „Terminodes“
• Das Netzwerk ist komplett selbstorganisierend, es gibt keine feste Infrastruktur
• Im Allgemeinen gehört jeder Terminode einem anderen Nutzer mit eigenen Interessen.
• Der Nutzer hat volle Kontrolle über Hard- und Software seines Gerätes. Er kann also beides
mutwillig verändern bzw. verändern lassen oder veränderte Geräte kaufen, um persönliche
Vorteile zu erhalten, z.B. eine verlängerte Akkulaufzeit.
• Man geht aber davon aus, dass der Nutzer kein Interesse daran hat, die Protokolle der unteren
Ebenen, genauer gesagt die der physical und der data link Ebene, zu verändern, da diese Protokolle für eine Nutzung des Netzwerks nötig sind. Eine Veränderung auf diesen Ebenen würde zwar das Netzwerk stören, dem Nutzer aber keine erkennbaren Vorteile bringen. Da diese
Ebenen wie vorgesehen funktionieren, kann ein Knoten mit jedem Knoten in seiner Funkreichweite kommunizieren.
• Andererseits geht man davon aus, dass jede höhere Protokollebene inklusive der Netzwerkebene verändert werden kann.
• Bei Einsatz dieser virtuellen Währung kann jeder Knoten anhand von Batteriestand, „Kontostand“, Nugletbedarf, Energiebedarf für eine Übertragung zu einem nächsten Knoten und
möglicherweise weiteren Faktoren eigenständig bestimmen, ab welchem Entgelt sich eine
Weiterleitung für ihn lohnt.
Insgesamt führen diese Annahmen zu einem Netzwerk, dessen Knoten egoistisch sind: sie nutzen zwar
Dienste anderer Knoten, tendieren aber dazu, keine Dienste umsonst anzubieten. Man muss ihnen also
einen Anreiz bieten, mit anderen Knoten zu kooperieren, also Dienste ohne direkten Vorteil anzubieten. Da Dienste im Netzwerk mit Nuglets bezahlt werden müssen und das Angebot von Diensten die
einzige Möglichkeit für einen Terminode ist, Nuglets zu gewinnen, ist jetzt jeder Knoten daran interessiert, Nuglets zu verdienen bzw. zumindest einen gewissen Bestand von Nuglets zu erhalten. Da
aber unter Umständen Nuglets im Netzwerk verloren gehen können, muss auf irgendeine Weise ein
Ausgleich für diese Verluste geschaffen werden. Dies könnte dadurch geschehen, dass internationale
Vertragsorganisationen Nuglets für Geld verkaufen. Dann könnten auch höhere Dienste wie der Übe rgang in andere Netze oder Informationen mit Nuglets bezahlt werden, die dadurch allerdings wirklich
Geld-äquivalente Bedeutung erhalten würden. Damit würde auch die Motivation für eine Manipulation
dieses Systems wesentlich steigen.
Die Einführung einer solchen Währung hätte aber auch noch einen weiteren Vorteil im Bereich Nachrichten-Weiterleitung: die Nutzer wären motiviert, ihr Gerät nicht auszuschalten oder auf bloße Empfangsbereitschaft zu schalten, um Nachrichten weiterleiten und damit Nuglets verdienen zu können.
Außerdem würde ein solches System zu einer bewussten und moderaten Nutzung des Netzes führen,
11
wie es schon in den herkömmlichen Mobilkommunikationsnetzen (GSM-Netze mit fester Infrastruktur
und zeit- oder volumenabhängigen Nutzungstarifen) funktioniert.
Im folgenden wird sich der Fokus allein auf die Weiterleitung von Paketen in einem TerminodesNetzwerk richten. Generell funktioniert dieses System auch mit anderen Routing-Algorithmen und
lässt sich auf andere Dienste einfach erweitern.
Es wurden 2 grundlegende Modelle entwickelt:
Beim Packet Purse Model (PPM) zahlt der Sender des Pakets im Voraus, indem er eine virtuelle Geldbörse des Pakets mit einer von ihm gewählten Anzahl Nuglets auflädt, bevor er das Paket abschickt.
Beim Paket Trade Model (PTM) wird ein Paket vom Empfänger im Nachhinein bezahlt, indem jede
Station das Paket von der jeweils vorigen für einen von ihr gewählten Betrag abkauft.
Beide Modelle haben Vor- und Nachteile, wie sich aus der folgenden genaueren Beschreibung ergibt,
es ist aber auch eine Kombination aus beiden Modellen leicht denkbar.
In jedem Falle muss der Handel mit Nuglets gut abgesichert sein, um Fälschungen und Missbrauch zu
verhindern und eine Akzeptanz als Währung zu ermöglichen.
2.3.1
Das Packet Purse Model (PPM)
In diesem Modell zahlt der Sender für die Weiterleitung des Pakets, indem er das Paket mit (seiner
Schätzung nach) ausreichend vielen Nuglets auflädt. Jeder Knoten, der dieses Paket weiterleitet,
nimmt sich aus der Börse des Pakets so viele Nuglets, dass seine Kosten für die Weiterleitung gedeckt
sind. Falls die im Paket vorhandenen Nuglets nicht für eine Weiterle itung ausreichen, wird es entsorgt.
Dies ist auch der Hauptnachteil dieses Verfahrens: der Sender hat keine Möglichkeit, die genauen
Transportkosten zu erfahren und wenn er sie unterschätzt, sind alle eingesetzten Nuglets für ihn verloren. Daher sollte ein Paket immer mit mehr als ausreichend vielen Nuglets versehen werden. Die bis
zum Empfänger verbleibenden Nuglets können dann dort als Bezahlung für andere Dienste oder Informationen sein. Dennoch kann jedes Paket durch die Eigenschaften eines Ad-hoc-Netzwerks verloren gehen, z.B. durch einen einfachen Pufferüberlauf bei einer Station oder durch eine Partitionierung
des Netzes.
Andererseits wird durch dieses System gewährleistet, dass kein Nutzer das Netz durch unsinnige Pakete stört, da er im Voraus die Kosten tragen muss. Bei diesem Verfahren muss durch Sicherheitsmechanismen gewährleistet sein, dass ein Knoten nur das noch festzulegende Entgelt für seine Weiterleitung
erhält, die Nuglets aber nicht mehrfach oder für ein anderes Paket verwendet werden können.
2.3.1.1 PPM mit fester Weiterleitungspauschale
Ein einfachen Ansatz zur Festlegung der Weiterleitungsentgelte ist eine vom Sender festgelegte Pauschale u pro Weiterleitung, die zusätzlich zu den Nuglets vom Sender dem Paket mitgegeben wird und
dann auch vor Manipulation geschützt werden muss. Ebenfalls muss gesichert werden, dass jeder weiterleitende Knoten genau u Nuglets erhält, wenn und nur wenn er das Paket weiterleitet.
Leider ist das Verfahren sehr unflexibel: Fa lls die Weiterleitung des Pakets für u Nuglets unökonomisch ist, kann der Knoten das Paket verwerfen, auch wenn die Nuglet-Börse noch mehr als ausreichend gefüllt ist. Die Entlohnung ist außerdem völlig unabhängig von der Situation des einzelnen
Knoten: Batterieladung und ähnliches werden hier nicht berücksichtigt. Dieses Verfahren hat alle rdings auch große Vorteile:
Es ist sehr einfach zu implementieren und generisch.
Außerdem können Routing-Algorithmen, die die ganze Route erkunden, derart angepasst werden, dass
beteiligte Knoten direkt ihren Minimalpreis angeben und der Sender so erstens seine Pauschale anpassen kann und zweitens sogar seine Route anhand der minimalen Kosten auswählen kann. Dabei wären
die Knoten an der Teilnahme und der ehrlichen Angabe der Weiterleitungspreise interessiert, da der
Sender sonst eine andere Route wählt oder die angebotene Pauschale nicht kostendeckend wäre, der
Knoten also auch keine Nuglets verdienen könnte.
2.3.1.2 PPM mit Auktionen
Bei diesem Verfahren wird von jedem weiterleitenden Knoten eine geschlossene Auktion durchgeführt. Dabei geben alle als nächste Station in Frage kommenden Knoten ein geheimes Gebot ab, für
das sie bereit sind, das Paket selbst weiterzuleiten. Der weiterleitende Knoten bestimmt den Bieter des
niedrigsten Gebots pj = mini pi als Gewinner, legt im Paket das zweitniedrigste Gebot pk = mini, i ? j pi
12
als Entgelt fest und leitet das Paket an den Gewinner weiter. Das Sicherheitssystem muss bei diesem
Verfahren gewährleisten, dass die Auktion regelgemäß durchgeführt wird und der nächste Knoten
genau pk Nuglets entnimmt.
Dieses Verfahren hat mehrere Nachteile: es ist sehr komplex und wenn die Auktionen über einen
Nachrichtenaustausch durchgeführt werden, werden Overhead sowie die Verzögerung der Nachric htenübermittlung unvertretbar groß. Man kann die Auktionen allerdings auch mit Software-Agenten
realisieren, die mittels Hello-Protokoll übermittelt werden, intern den Nachbarknoten repräsentieren
und Gebote abgeben.
Ein anderer Nachteil dieses Systems ist, dass es nur mit Routingverfahren kombiniert werden kann,
die mehrere nächste Stationen für ein Ziel zulassen. Hier kann dann mit den möglichen Knoten eine
(interne) Auktion durchgeführt werden, um den genutzten nächsten Knoten auszuwählen.
Hauptvorteile dieses Verfahrens sind erstens der Versuch, die Übertragungskosten zu minimieren und
zweitens die Berücksichtigung, der (Batterie -)Situation der einzelnen Knoten. Durch die Auswahl des
lokal günstigsten Anbieters wird gleichzeitig die Wahrscheinlichkeit reduziert, dass das Paket aufgrund unzureichender Nuglets verworfen wird. Ein Knoten mit niedriger Batterieladung wird die Kosten einer Weiterleitung höher einschätzen, ein höheres Gebot abgeben und seltener Auktionen gewinnen. Damit spart er Energie, verdient aber weniger Nuglets. Dies ist eine angenehme Eigenschaft,
insbesondere da gezeigt wurde, dass die Lebensdauer eines Netzwerks verlängert werden kann, indem
der Energieverbrauch der Geräte durch Routing an die Energiereserven der Knoten angepasst wird.
2.3.2
Das Packet Trade Model (PTM)
Bei diesem Ansatz trägt ein Paket keine Nuglets, sondern wird für Nuglets weiterverkauft. Jeder Knoten auf dem Weg von Sender zu Empfänger „kauft“ das Paket von seinem Vorgänger (bis auf den
ersten, er erhält es umsonst vom Sender), und verkauft es an den nächsten für mehr Nuglets. So werden die Kosten für die Weiterleitung am Ende insgesamt vom Empfänger getragen. Falls ein Knoten
ein Angebot für ein Paket ausschlägt, kann der aktuellen „Besitzer“ des Pakets das Paket für einen
niedrigeren Preis anbieten, es einem anderen Knoten anbieten oder das Paket verwerfen.
Der Hauptnachteil dieses Systems ist, dass ein Sender nicht mehr die Kosten für seine Sendungen
trägt, und deshalb eine Überlastung nicht durch Kosten für das Senden eines Paketes vermieden wird.
Im Gegenteil: das Senden von (sogar Multicast-)Paketen ist völlig ohne Nachteile. Außerdem trage
alle Knoten, die das Paket kaufen, das Risiko, dass kein anderer Knoten das Paket annehmen will. So
entsteht für den letzten Eigentümer des Pakets ein Verlust für ein Paket, an dem er an sich kein Interesse hatte. Dabei steigt das Risiko mit der Entfernung vom Sender, da der weiterleitende Knoten immer in Vorleistung treten muss, was sich sicherlich als hemmend für (teure) Übertragungen über große
Distanzen auswirkt.
Vorteile dieses Ansatzes sind, dass der Sender nic ht im Voraus die Kosten der Übertragung kennen
oder schätzen muss, dadurch werden keine Nuglets wegen einer falschen „Frankierung“ verschwendet.
Mit dieser Technik sind natürlich auch Multicast-Pakete einfach zu realisieren.
2.3.3
Das Hybrid-Modell
Die beiden vorgestellten Modelle lassen sich offensichtlich einfach kombinieren: die Quelle stattet das
Paket mit einer gewissen Anzahl von Nuglets aus, und das Paket wird nach dem Packet Purse Model
weitergeleitet, bis der Nuglet-Vorrat erschöpft ist. Danach wird es nach dem Packet Trade Model weitergeschickt.
Das Hybrid-Modell kombiniert die Vorteile beider Ansätze:
Da der Sender für seine Pakete zahlen muss, wird er es vermeiden, nutzlose oder überflüssige Pakete
zu senden. Die Netzlast wird damit über die Kosten kontrolliert.
Andererseits geht ein Paket (und seine Nuglets) nicht verloren, wenn der Sender die Kosten der Übe rtragung unterschätzt hat. Beim Einsatz dieses Verfahrens sollten allerdings zusätzliche Regeln eingeführt werden, so dass der Sender mindestens einen vernünftigen Betrag investieren muss, und der
Empfänger verpflichtet ist, kleine Fehlbeträge auszugleichen (insbesondere, wenn er aus früheren Paketen des gleichen Senders Nuglets verdient hat), damit das System nicht einseitig in Richtung PPM
oder PTM verschoben wird.
13
2.3.4
Der Schutz der Nuglets gegen Fälschung, Missbrauch und Mehrfachnutzung (PPM)
Die grundlegende Entscheidung ist die Repräsentation der Nuglets. Falls man sie als digitales Geld
realisieren würde, bräuchte man eine zentrale Autorität als Bank, die Konten für die Nutzer verwaltet
und digitales Geld signiert. Eines solche zentrale Autorität ist aber, wie schon erläutert, in dem erwarteten Einsatzgebiet kaum zu realisieren. Daher hat man sich entschlossen, die Nuglets nur durch Zähler in den Knoten zu repräsentieren. Um illegitime Zugriffe auf diese Zähler zu verhindern, werden die
Zähler in einem Sicherheitsmodul realisiert, das von einem vertrauenswürdigen Hersteller stammt und
nicht verändert werden kann. Alle sicherheitsrele vanten Vorgänge werden in dieser geschützten
Hardware ausgeführt, wobei kryptographische Mechanismen einen Missbrauch verhindern sollen.
Im folgenden stelle ich für eine Implementierung des Packet Purse Model die Funktionen des Sicherheitsmoduls, die Headerstrukturen und Mechanismen bei der Paketweiterleitung vor.
2.3.4.1 Voraussetzungen
Jedes Gerät enthält ein Sicherheitsmodul, das einen eigenen Prozessor, eigenen Speicher und eine
systemweit eindeutige Identität (A) besitzt. In diesem Speicher werden der eigene Nuglet-Zähler, die
gleich angegebenen kryptographischen Parameter und eine Tabelle mit Einträgen für jeden Nachbarn
gespeichert. Dabei enthält jeder Eintrag folgende Daten:
• Eine Kennung: die systemweit eindeutig Identität des betreffenden Nachbarn (B)
• Einen Sitzungsschlüssel: bei Kontaktaufnahme legen zwei Geräte A und B über einen asymmetrisch gesicherten Kanal aus Effizienzgründen einen Schlüssel kAB für die symmetrische
Verschlüsselung der folgenden Kommunikation fest
• Zwei Sequenznummern: ebenfalls bei Kontaktaufnahme werden zufällig eine Empfangs() und Sendesequenznummer ( c A→ B ) festgelegt, so dass für die entsprechenden Nummern des
Nachbarn B gilt: = c A→ B = c B← A + 1 und c B→ A = c A← B + 1 . Diese Nummern werden genutzt,
um Nachrichtenwiederholungen zu erkennen: Wenn A ein Paket an B weiterleitet, schickt er
den aktuellen Stand von c A→ B mit und inkrementiert danach c A→ B . Wenn A ein Paket von B
erhält, überprüft er, ob die erhaltene Sequenznummer ( c B→ A ) um eins größer ist als. Nur dann
akzeptiert er das Paket und erhöht seinen Empfangszähler c A← B auf den erhaltenen Wert.
• Einen Schuldenzähler d A→ B . Wenn A ein Paket an B weiterleitet, wird nicht sofort der
Nugletzähler entsprechend erhöht, da die Übertragung ja durch unsichere, manipulierbare
Hardware des Knotens geschieht. Dies geschieht erst, wenn ein Acknowledgement vom Sicherheitsmodul von B eintrifft. Um B einen Anreiz zu geben, dieses Acknowledgement zu
senden, erhält B einige wenige Nuglets von A, die aber keine neue Übertragung rechtfertigen.
Die gegenseitigen Schulden werden bei der nächsten Kontaktüberprüfung durch das HelloProtokoll ausgeglichen.
Im Falle von PPM mit Auktionen enthält jeder Eintrag zusätzlich noch den Software-Agenten des
Nachbarknoten und das Sicherheitsmodul insgesamt abhängig vom eingesetzten Routing-Protokoll
Teile der Routing-Informationen.
Es wird eine Public-Key-Infrastruktur eingesetzt, bei der jedes Gerät a priori ein Schlüsselpaar,
sowie ein Zertifikat des Herstellers für den öffentlichen Schlüssel und den öffentlichen Schlüssel des
Herstellers selbst erhält. Diese Schlüssel sind schreibgeschützt im Sicherheitsmodul gespeichert. Außerdem signieren alle Hersteller von Sicherheitsmodulen gegenseitig ihre öffentlichen Schlüssel und
ein Sicherheitsmodul speichert alle vom eigenen Hersteller für andere Hersteller ausgestellten Zertif ikate. Die Menge dieser Schlüssel ist überschaubar, wenn es, und das fordert man, nur eine beschränkte
Anzahl Hersteller gibt.
Es ist möglich, ein Hello -Protokoll einzusetzen, da die Nachbarschaft sich nicht sehr schnell ändert.
Dies ermöglicht es, Nachbarn zu identifizieren und Sicherheitsparameter auszutauschen.
Das Protokoll der data link-Ebene nutzt Acknowledgements. Dies schafft zuverlässige Verbindungen
zwischen Nachbarknoten. Diese Forderung ist sinnvoll, da eine unzuverlässige Funkverbindung genutzt wird und nur mit Ende-zu-Ende-Acknowledgements die Verlustwahrscheinlichkeit insbesondere
bei Verbindungen über lange Strecken zu hoch würde (802.11 nutzt Acknowledgements).
14
2.3.4.2 Format des PP-Headers und des PP-Acknowledgements
Bei Einsatz des Nuglets-Systems wird ein zusätzlicher Header zwischen MAC-Ebenen-Header und
Header der Netzwerkebene eingefügt.
Abb. 11:
Der Packet Purse Header (PPH) wird vom Sicherheitsmodul der Quelle erzeugt und vom Sicherheitsmodul von jedem weiterleitenden Knoten neu berechnet. Er wird kryptographisch geschützt, um jegliche illegitime Änderung zu verhindern bzw. erkennen zu können.
Er enthält die Kennung des Sicherheitsmoduls A, das den Header generiert hat, die Kennung des Sicherheitsmoduls B, an den das Paket als nächstes weitergeleitet werden soll, Sendesequenznummer
c A→ B von A, die Zahl der Nuglets im Paket n, die Zahl Nuglets u, die B entnehmen darf, sowie einen
Purse Authentication Code (PAC). Diesen Code berechnet A aus den anderen Feldern des PPH sowie
einem kryptographischen Hashwert der Nutzlast, der mit dem Sitzungsschlüssel kAB und der Hashfunktion g erzeugt wird. Da es sich bei dieser Funktion um eine Einwegfunktion handelt, kann B durch
eine Kontrollberechnung des PAC verifizieren, dass das Paket (hochwahrscheinlich) nicht modifiziert
wurde. Der Wert von u wird je nach System entweder von der Quelle für alle Knoten vorgegeben oder
von A durch Auktion bestimmt.
Wenn ein Knoten ein solches Paket empfängt, muss sie den Erhalt mit einem Acknowledgement
bestätigen. Obwohl dies nicht dem Schichtungsgedanken entspricht, soll dieses Acknowledgement an
das Acknowledgement der MAC-Ebene angehängt (Piggybacking) werden, das in jedem Falle gesendet wird. Ein solches Acknowledgement des Nuglet-Systems wird von dem Sicherheitsmodul des
empfangenden Knoten B generiert und enthält die Kennungen von A und B, die Sequenznummer
c A→ B und einen Acknowle dgement Authentication Code (AAC). Dieser AAC wird aus dem
erhaltenen PPH mittels der erwähnten kryptographischen Hashfunktion g und dem Sitzungsschlüssel
kAB als Schlüssel berechnet. Erst wenn der Sicherheitsmodul A ein solches kryptographisch
abgesichertes Acknowle dgement erhält, wird der dem Paket vorher abgezogene Nuglet-Betrag dem
eigenen Nuglet-Zähler gutgeschrieben.
2.3.4.3 Das Weiterleitungs-Protokoll
Es folgt eine kurze Beschreibung des Paket-Weiterleitungs-Protokolls. Angenommen ein Knoten B hat
von einem Knoten A ein Paket erhalten und leitet es an einen Knoten C weiter, da er den Auftrag lukrativ findet.
Abb. 12:
15
(1) Um Nuglets zu verdienen, übermittelt der Knoten B den PPH des erhaltenen Pakets, den Hashwert
der Nutzlast und die Kennung von C, falls es sich nicht um das Auktionssystem handelt, an sein
Sicherheitsmodul B.
B verifiziert nur den PPH, indem es testet, ob die übermittelte Sequenznummer gleich c B←A + 1
ist und ob der übermittelte PAC sich mit seiner Berechnung deckt. Falls beide Tests positiv sind,
hab B verifiziert, dass dieses Paket unverändert von A zu ihm übertragen wurde.
a) Daher wird ein Acknowledgement für A generiert, wie unter (5) für C beschrieben.
(2) B berechnet einen neuen PP-Header PPH’ mit den Identitäten von B und C, der Sequenznummer
c B→C , n-u als Anzahl der Nuglets und u’, der Bezahlung für C. Diese Zahl u’ ist im Falle einer
festen Pauschale gleich u. Im Falle von Auktionen wird sie erst durch eine Auktion unter den
Software-Agenten der als nächste Station möglichen Knoten als das zweitniedrigste Gebot ermittelt. Der Gewinner der Auktion wird dann als nächstes Ziel an NB übertragen. Außerdem berechnet B einen neuen PAC mittels g und kB C. Schließlich erhöht B die Sendesequenznummer für C
( c B→C ), speichert den neuen Header PPH’ intern und gibt ihn an die Knoten-Hardware NB aus.
(3) NB fügt den Header PPH’ in das Paket ein und sendet es an N C.
(4) NC leitet das Paket ebenfalls an sein Sicherheitsmodul weiter und bereite ein Acknowledgement
der MAC-Ebene vor.
(5) C generiert ein Acknowledgement des Nuglet-Systems: er fügt die Kennungen von B und C, die
erhaltene Sequenznummer sowie den aus dem PP-Header PPH’ mit der Funktion g und dem
Schlüssel kBC berechneten AAC zusammen.
(6) NC sendet das erhaltene Nuglet-System Acknowledgement mit dem der MAC-Ebene zu NB.
(7) NB leitet das Acknowledgement an B weiter, um Nuglets zu verdienen. B sucht nun den passenden
PP-Header in seinem Speicher. Wird er fündig, so berechnet er den AAC neu und vergleicht sein
Ergebnis mit dem erhaltenen AAC.
(8) Falls sie gleich sind, erhöht er den eigenen Nuglet-Zähler um u, die von A mitgeteilte Bezahlung
für die Weiterleitung. Außerdem erhöht er den Schuldenzähler gegenüber C ( d B→C ) um einige
Nuglets und reduziert den eigenen Nuglets-Stand entsprechend.
2.3.4.4 Bewertung
Das System ist so sicher, wie die verwendeten Verschlüsselungsalgorithmen, da ein Zugriff auf den
Nuglet-Zähler wegen des geschützten Sicherheitsmoduls nicht möglich ist und ein Generieren von
Paketen oder Acknowledgements nur durch die Sicherheitsmodule möglich ist. Der PAC verhindert
eine Veränderung des PPH und wegen des Hashwerts auch eine Veränderung der Nutzlast, und eine
Wiederholung von Nachrichten wird durch die Sequenzzähler detektiert.
Der Aufwand für dieses System ist tatsächlich nicht sehr hoch. Die Berechnung und Verifikation der
Authentifizierungscodes erfordert nur kryptographische Hashfunktionen, die sehr effizient zu berechnen sind. Public -Key-Berechnungen, die wesentlich teurer sind, werden nur im Hello-Protokoll benutzt und könnten zur allgemeinen Verschlüsselung dienen, stellen also keinen Zusatzaufwand dar.
Die meisten Berechnungen werden zudem im Sicherheitsmodul selbst durchgeführt, das mit Einschränkungen parallel zum Hauptprozessor genutzt werden kann. Der Energiebedarf dieser Berechnungen ist gegenüber dem für die Übertragungen gering. Bleibt der Kommunikations-Overhead: bei
vernünftigen Längen der einzelnen Felder (Kennungen je 8, Sequenznummern 4, Nuglets 4, Bezahlung 2 und Sicherungscodes 20 Bytes) ergibt sich eine Länge von 46 Byte für den PPH und 40 Byte
für das ACK. Dies erscheint bei den üblichen Paketlängen ein akzeptabler Overhead, wenn man bedenkt, dass eine Weiterleitung sonst möglicherweise kaum erfolgen würde.
3.
Sicherheitssysteme
Dies ist die andere zentrale Herausforderung. Für viele Sicherheitsmechanismen gibt es allgemein
verwendbare Lösungen: so funktioniert eine symmetrisch verschlüsselte Verbindung auch in Ad-hocNetzwerken, dieses Verfahren hat sogar sehr große Vorteile, da die Verschlüsselung nicht sehr rechenaufwendig ist, was gerade bei der begrenzten Rechenleistung der mobilen Knoten und dem begrenzten
Energievorrat der Geräte große Bedeutung hat. Allerdings muss der verwendete Schlüssel vorher sicher unter den Kommunikationspartnern ausgehandelt oder übermittelt werden. In anderen Netzen
wird dafür meist eine Public-Key-Infrastruktur genutzt: jeder Knoten verfügt über ein Paar Schlüssel,
16
einen geheimen privaten und einen öffentlichen. Um bei Verbindungen über Router bei einem Schlüsselaustausch eine Man-in-the-Middle-Attacke zu verhindern, gibt es eine zentrale Zertifizierungsautorität für das Schlüsselmanagement, die ebenfalls ein solches Schlüsselpaar besitzt und Zertifikate für
die Zuordnung von Schlüsseln zu Knoten ausstellt. Den öffentlichen Schlüssel kennt jeder Knoten a
priori. Damit kann man beim Schlüsselaustausch sicher sein, dass wirklich nur der (mit dem bekannten
Schlüssel zertifizie rte) Schlüssel des gewünschten Kommunikationspartners akzeptiert wird.
Eine solche einzelne feste Zertifizierungsautorität im Netz ist so sicherlich in keinem Ad-hocNetzwerk akzeptabel, da dieser zentrale Knoten eine extreme Unsicherheit darstellt: Fällt er aus oder
ist nur nicht erreichbar, so können Knoten nicht die Öffentlichen Schlüssel eines Kommunikationspartners erhalten, also keine sichere Verbindung aufbauen. Wird er kompromittiert, so kann er beliebige Zertifikate ausstellen oder widerrufen, die Sicherheit des gesamten Netzwerks ist (möglicherweise
unbemerkt) zerstört. Ein Standard-Ansatz um die Erreichbarkeit eines Dienstes zu erhöhen, ist, diesen
Dienst zu replizieren, ihn nämlich von mehreren Servern anzubieten. Dies ist in diesem Falle aber
keine Lösung, da die Sicherheit bereits zerstört wäre, wenn nur ein Server kompromittiert würde. Man
würde die Erreic hbarkeit auf Kosten der Sicherheit erhöhen.
Will man eine Lösung für dieses Problem finden, so muss man die Besonderheiten je nach Zweck des
Ad-hoc-Netzwerks beachten: Gibt es überhaupt eine solche zentrale Autorität (wie in einem militärisch genutzten Netzwerk)? Ist diese Autorität in der Lage, die Geräte a priori mit einem Schlüssel und
weiterem kryptographischen Material auszustatten? Falls es mehrere Autoritäten gibt, wie ist das Verhältnis zwischen ihnen, wie können sie dieses Verhältnis kryptographisch absichern? Sind diese Autoritäten a priori festgelegt? Ist die Zahl der Nutzer begrenzt? Soll nur bilaterale Kommunikation abgesichert werden oder auch multilaterale? Und: wie lange ist ein Schlüssel gültig, bzw. soll es einen Mechanismus zum Widerruf von Schlüsseln geben?
Man könnte die Funktion der Zertifizierungsautorität auch aus dem Netz auslagern, so dass jedes Gerät vor der ersten Nutzung mit einem signierten Schlüssel ausgestattet ist. Diese Lösung wirft wieder
andere Fragen auf: soll es nur eine Autorität, ein Hersteller sein, der signie rte Schlüssel ausstellt? Oder
mehrere, die sich gegenseitig zusätzlich zertifizieren und diese Zertifikate in jedes Gerät speichern?
Wenn wenige Autoritäten existieren, die Geräte a priori mit einem für das Gerät zertifizie rten Schlüssel sowie Zertifikaten für die Schlüssel aller anderen Autoritäten ausstatten können, so erhält man eine
funktionierende Public -Key-Infrastruktur. Diese ist allerdings sehr unflexibel: wie gesagt, können
keinerlei Schlüssel oder Zertifikate nachträglich widerrufen werden.
Ein solches System ist dennoch für den Einsatz bei dem Nuglet-System vorgesehen. Dies könnte aber
durch andere Sicherheitssysteme auf höheren Ebenen ergänzt werden, obwohl der Sinn eines zusätzlichen Sicherheitssystems eher fraglich ist, wenn man den Herstellern der Sicherheitsmodule wirklich
vertraut (oder sowieso vertrauen muss).
Ein anderer Ansatz ist, die zentrale Funktion der Zertifizierungsautorität auf eine kleine Menge von
Knoten zu verteilen, wie in Abschnitt 3.1 beschrieben wird. Diese Lösung hat viele Vorteile: sie ist
beweisbar sicher, solange die Annahmen richtig sind, zuverlässig und toleriert gewisse Ausfälle. Sie
ermöglicht außerdem die Flexibilität einer aktualisierbaren Zertifizierungsautorität: in einem solchen
System können Schlüssel von als kompromittiert erkannten Knoten widerrufen werden und die
Schlüssel der Knoten können regelmäßig erneuert werden, um die Erfolgschancen von Brute-ForceAttacken zu reduzieren. In einem Netz unter einer Autorität ist sie auch m.E. die beste Wahl, dennoch
ist sie für ein ziviles Netz von privaten Knoten denkbar ungeeignet, da einzelne Knoten definiert werden müssen, die völlig selbstlos aufwendige Dienste für das Netz erbringen. Hier kann diese Lösung
nicht zum Einsatz kommen.
In einem kleinen Netzwerk könnte man sich eine vollkommen verteilte Lösung vorstellen, die auf
einem gemeinsamen, a priori vorhandenen Geheimnis (Passwort) beruht. Eine solche Idee werde ich in
Abschnitt 3.2 kurz vorstellen. In großen privaten Netzen ist aber auch diese Idee nutzlos.
Hier kann nur ein vollkommen verteiltes System überzeugen, bei dem kein Knoten mehr leisten muss
als andere: eine selbst-organisierende Public -Key-Infrastruktur. Diesen Ansatz werde ich in Abschnitt
3.3 beschreiben.
17
3.1
Emulation einer Zertifizierungsautorität über einen verteilten
Schlüssel und Schwellwert-Kryptographie
Hier handelt es sich um ein Public -Key-Kryptosystem, bei dem alle teilnehmenden Knoten den öffentlichen Schlüssel der Zertifizierungsautorität kennen müssen, und allen Zertifikaten, die mit dem geheimen Schlüssel der Zertifizierungsautorität signiert sind, vertrauen. Jeder teilnehmende Knoten kann
öffentliche Schlüssel von Knoten abfragen und seinen eigenen Schlüssel updaten (ändern).
An ein solches System werden insbesondere zwei Forderungen gestellt:
• Robustheit: der Dienst sollte jederzeit Anfragen und Updateaufträge der Clients adäquat bearbeiten können.
• Geheimhaltung: ein Angreifer darf niemals in der Lage sein, gültige Zertifikate auszustellen, d.h.
der private Schlüssel der Zertifizierungsautorität darf niemals einem Angreifer preisgegeben werden.
Das vorgestellte System ist sicher unter der Annahme, dass in einer bestimmten Zeitspanne d höchstens t Server kompromittiert werden können.
Diese Ziele werden in der vorgeschlagenen Lösung durch den Einsatz eines sogenannten „(n,t+1)Schwellwert-Kryptographie -Systems“ (threshold cryptography scheme) erreicht. Dabei wird die Zertifizierungsautorität intern auf n (wobei n=3t+1) Knoten, die als Server bezeichnet werden, verteilt,
wobei jeder dieser Server ein privat / öffentliches Schlüsselpaar besitzt und die öffentlichen Schlüssel
aller anderen Server kennt und daher sichere Verbindungen zu ihnen aufbauen kann. Dabei können
jeweils t+1 Knoten eine kryptographische Operation wie eine Signatur ausführen, während dies für t
Parteien unter keinen Umständen möglich ist.
Dazu wird der private Schlüssel des Systems in n Teile aufgespalten, und jedem Server ein Teil zugewiesen. Um ein Zertifikat zu erstellen, müssen mindestens t+1 nicht-kompromittierte Server mit ihrem
privaten Teil-Schlüssel je ein Teilzertifikat erstellen, aus denen von einem sogenannten Kombinierer
ein gültiges Zertifikat generiert wird. Dabei verfügt der Kombinierer über kein besonderes Wissen,
jeder Server oder sogar jeder Knoten kann Kombinierer sein. Der Kombinierer kann bei diesem System leicht feststellen, ob unter den verwendeten Teilzertifikaten ungültige, von kompromittierten Servern erstellte Teilzertifikate sind, indem er das erzeugte Zertifikat mit dem öffentlichen Schlüssel des
Systems überprüft. Schlägt die Verifikation fehl, so muss er eine andere Teilmenge der erhaltenen
Teilschlüssel wählen, bis er ein gültige Signatur erzeugt hat. Dies muss immer gelingen, da gemäß
Annahme maximal t Server kompromittiert sind, im System mindestens 3t+1 Server vorhanden sind
und t+1 gültige Teilzertifikate für das Erstellen eines gültigen Zertifikats genügen. Je nach eingesetztem Kryptographie -System ist die Berechnung der Signatur auch eine Interpolation, bei der ein kleiner
Anteil von falschen Teilzertifikaten direkt toleriert werden kann.
Dennoch könnte ein solches System über längere Zeit kompromittiert werden, wenn der Angreifer die
Server nacheinander in Besitz nimmt. Um einen solchen Erfolg zu verhindern, werden in einem proaktiven Schwellwert-Kryptographie -System die Teilschlüssel spätestens nach einer Zeitspanne d erneuert. Dies geschieht, ohne dass der Gesamtschlüssel geändert wird und sogar ohne dass Teilschlüssel
ausgetauscht werden, so dass kein Server bei dem Update mehr Informationen über den Gesamtschlüssel erhält. Die erzeugten neuen Teilschlüssel sind dabei unabhängig von den alten, so dass nach
jedem Update nur noch erneuerte Teilschlüssel zur Erzeugung einer gültigen Signatur benutzt werden
können. Da wir voraussetzen, dass ein Angreifer in der Zeit d höchstens t Server kompromittieren
kann, kann er nach einem Update die erhaltenen alten Schlüssel nicht mit den neuen Schlüsseln kombinieren. Daher ist es ihm unmöglich, den Gesamtschlüssel zu erhalten.
Bei einem Update erzeugt im ersten Schritt jeder Server i einen Nullschlüssel si , teilt ihn gemäß des
eingesetzten Schwellwert-Kryptographie -Systems in n Teilschlüssel und schickt jedem Server j den jn
ten Teilschlüssel sij . Im zweiten Schritt bildet jeder Server j seinen neuen Schlüssel als
= +∑ .
s' s
j
j
i=1
s
ij
Da auch hier das beschriebene Schwellwert-Kryptographie -System zum Einsatz kommt, können auch
beim Update falsche oder fehlende Teilschlüssel kompensiert werden. Erforderlich ist nur, dass sich
mindestens t+1 korrekte Server auf eine zu benutzende Untermenge von mindestens t+1 Nullschlüsseln si verständigen. Die Korrektheit kann auch hier durch Kombination von Teilzertifikaten mit den
Teilschlüsseln sij erfolgen: eine Kombination von t+1 korrekten Teil-(Null-)Schlüsseln ergibt das
Nullzertifikat.
18
Ein solches Schwellwert-Kryptographie -System kann durch weitere angenehme Eigenschaften erweitert werden: So ist es möglich, die Teilschlüssel so zu gestalten, dass die Server über eine EinwegFunktion die Korrektheit ihres Teilschlüssels beweisen können, ohne Information über diesen preis zu
geben. Dies erspart den Verifikations-Aufwand der Kombinierer. Außerdem ist es möglich über den
Schlüsselerneuerungsalgorithmus das Schwellwert-Kryptographie -System dynamisch zu einer (n’,
t’+1)-Konfiguration zu ändern: Dazu teilt jeder Server i seinen Schlüssel entsprechend in n’ Teilschlüssel und schickt jedem der n’ neuen Server über eine sichere Verbindung einen Teilschlüssel sij ,
wobei j zwischen 1 und n’ liegt. Jeder neue Server j kann nun seinen Teilschlüssel sj aus den erhaltenen Teilschlüsseln berechnen. Diese n’ neuen Teilschlüssel bilden jetzt ein (n’, t’+1)-SchwellwertKryptographie -System.
Offensichtlich ist diese Lösung ziemlich sicher, recht flexibel und weist keine größeren Schwachpunkte auf. Wenn die Natur des Netzes es zulässt, ist ein solches Kryptographiesystem eine gute Wahl.
Dies ist allerdings nur in Netzen unter einheitlicher Kontrolle der Fall, in denen gewährleistet ist, dass
einzelne Knoten auch diese Serverdienste anbieten.
3.2
Key Agreement
Wie schon gesagt, beruht dieses System darauf, dass alle teilnehmenden Nutzer ein gemeinsames
Passwort vereinbaren können. Damit eignet sich dieses Verfahren zum Beispiel, um sichere Kommunikation auf einer Konferenz oder einem Ad-hoc-Meeting aufzubauen, auch ohne Zugang zu einer
Public-Key-Infrastruktur (wie PGP) oder einem anderen Schlüsselmanagement-Service. Dann sollte
aber nicht das Passwort selbst als Schlüssel verwendet werden, um nicht durch Dictionary-Attacken
angreifbar zu sein, sondern nur als Authentifizierung für den Schlüsselaustausch. Damit wird der
schwache gemeinsame Schlüssel durch einen starken ausgetauscht. Dieses System ist annehmbar sicher, funktioniert aber leider wirklich nur, wenn alle Parteien physikalisch in einem Raum zusammenkommen (und die Gruppe klein genug ist). Dies ist natürlich in fast allen Anwendungen nicht der Fall,
daher ist das System im Allgemeinen nicht brauchbar.
3.3
Selbstorganisierende Public-Key-Infrastruktur
Dazu stellen sich Nutzer des Systems gegenseitig Zertifikate aus: glaubt ein Nutzer, dass ein bestimmter öffentlicher Schlüssel zu einem bestimmten Knoten gehört, so bestätigt er dies mit einem von ihm
signierten Zertifikat. Um nun zu gewährleisten, dass ein Nutzer u den auch den authentischen öffentlichen Schlüssel eines anderen Nutzers v erhält, wird eine Kette solcher Zertifikaten genutzt. Sie beginnt mit dem Schüssel eines Knotens, den u kennt und dem er vertraut. Jedes weitere Zertifikat kann
durch den öffentlichen Schlüssel des vorausgehenden Zertifikats verifiziert werden, das letzte Zertifikat der Kette enthält den öffentlichen Schlüssel von v.
Abb. 13:
Um diese Zertifikat-Kette aufbauen zu können, muss jeder Knoten u ausreichend viele Zertifikate
speichern und sie „geschickt“ auswählen, so dass er mit den von dem gewünschten Kommunikationspartners gespeicherten Zertifikaten eine solche Kette finden kann. Dabei werden sowohl eine festgelegte Zahl Zertifikate anderer Knoten, als auch alle selbst ausgestellten Zertifikate gespeichert. Dadurch wird gewährleistet, dass alle im System ausgestellten Zertifikate dezentralisiert gespeichert wer19
den. Entscheidend für die Leistungsfähigkeit des Systems ist der Algorithmus A für die Auswahl der
fremden Zertifikate.
Stellt man Zertifikate als gerichtete Kanten im Vertrauensgraphen des Netzwerks dar, so besitzen u
und v je einen anhand eines bestimmten Algorithmus ausgewählten Subgraphen, deren Vereinigung
einen solchen gerichteten Pfad von u nach v enthält.
Der vorgeschlagene Algorithmus wählt dabei einen oder mehrere eingehende und ausgehende Pfade
aus, wobei er sogenannte „Shortcuts“ bevorzugt. Das sind Kanten, die Entfernungen im Graphen abkürzen, nach deren Entfernung die Distanz zwischen den beiden vorher verbundenen Knoten wesentlich größer als zwei ist.
In PGP-Vertrauensnetzen erreicht man mit dem Algorithmus eine hohe Wahrscheinlichkeit für die
Existenz einer verbindenden Vertrauenskette im Vereinigungsgraphen, aber im größten Testnetzwerk
kann nur die Version mit mehreren Kanten überzeugen, und dies auch nur bei Speicherung recht großer Subgraphen. Die Ergebnisse lassen vermuten, dass Subgraphen der Größe 2 n mit 95% Wahrscheinlichkeit eine solche Kette ermöglichen.
Dennoch ist dieses Verfahren meiner Meinung nicht zufriedenstellend:
Erstens erfordert es sehr viel Speicher im Knoten, alle selbst ausgestellten Zertifikate und bei Netzen
in der Größenordnung von Millionen teilnehmenden Geräten 2 n Zertifikate zu speichern.
Zweitens ist die Verifikation über Public -Key-Kryptosysteme, wie sie zur Verifikation der Zertifikatskette nötig ist, sehr rechenaufwendig.
Drittens werden böswillige Nutzer(-gruppen), die falsche Zertifikate ausstellen, nicht berücksichtigt
oder erkannt.
Viertens sehe ich Probleme bei der Anpassung des Algorithmus auf den Online-Einsatz, bei dem den
Knoten nur einzelne Zertifikate angeboten werden, die Graphentopologie aber unbekannt ist.
Insgesamt ist der Ansatz sehr interessant, aber noch nicht einsatzfähig.
4.
Fazit
Ad-hoc-Netzwerke bieten faszinierende Möglichkeiten, aber auch große Herausforderungen. Für einige Problemstellungen gibt es vielversprechende Lösungsansätze, für andere leider nur Ideen, die alle
spezifische Schwächen aufweisen.
So scheint ein Netz mittlerer Größe unter einer einheitlichen Autorität durchaus sicher und stabil realisierbar zu sein. Ein riesiges Terminodes-Netzwerk dagegen wirft noch ungelöste Probleme auf:
Das Weiterleiten von Paketen könnte durch Nuglets ausreichend stimuliert werden, aber das Sicherheitssystem in Form eines selbstorganisierenden Public -Key-Kryptosystems scheint mir noch unzureichend.
5.
Quellen
[1] J-P. Hubaux, L. Buttyán, S. Capkun: The Quest for Security in Mobile Ad Hoc Networks, in Proceedings of the ACM Symposium on Mobile Ad Hoc Networking and Computing (MobiHoc)
2001
[2] D. Nguyen, L. Zhao, P. Uisawang, J. Platt: Security Routing Analysis for Mobile Ad Hoc Networks, wahrscheinlich 2001, Publikation unbekannt
[3] L. Zhou, Z. Haas: Securing Ad Hoc Networks, IEEE Network, 13(6):24-30, November/Dezember
1999
[4] S. Marti, T.J. Giuli, K. Lai, M. Baker: Mitigating Routing Misbehavior in Mobile Ad Hoc Networks, in Proceedings of MOBICOM, 2000
[5] L. Buttyán, J-P. Hubaux: Enforcing Service Availability in Mobile Ad-Hoc WANs, In Proceedings of the First IEEE/ACM Workshop on Mobile Ad Hoc Networking and Computing (MobiHOC), Boston, MA, USA, August 2000
[6] L. Buttyán, J-P. Hubaux: Nuglets: a Virtual Currency to Stimulate Cooperation in Self-Organized
Mobile Ad Hoc Networks, Technical Report No. DSC/2001/001, Swiss Federal Institute of Technology, Lausanne, January 2001
Weiterführende Quellen im Internet, von der Gruppe um Hubaux (insbesondere auch in Zukunft) unter
www.terminodes.org/publications.html.
20