A problemática da distribuição de chaves em redes de sensores concluiu que é necessário usar métodos de pré-distribuição baseados em criptografia simétrica devido às limitações dos mesmos. No entanto, em redes hierárquicas, podem haver sensores com diferentes recursos e esse facto pode ser explorado para atribuir tarefas mais pesadas àqueles que mais recursos possuem. Os protocolos propostos por Bohge el al. [11] e Oliveira et al. [10] defendem então essa vertente, com este último a propor um esquema que se adapta a um nível arbitrário de níveis hierárquicos (fixo no esquema de Bohge) e que depende apenas de criptografia simétrica. Mais recentemente foram propostos dois esquemas [8], [9], baseados no protocolo Leach que visam uma rede totalmente homogénea onde todos os sensores são iguais e são candidatos a desempenhar as mesmas funções. Nestes interessa destacar o SecLeach que se baseia no esquema básico de distribuição probabilística de chaves de Eschenauer e Gligor para garantir autenticidade dos nós perante os cluster heads.
Apesar do protocolo SecLeach ser o único a implementar um dos esquemas básicos de pré- distribuição de chaves estudado, é possível argumentar sobre o seu possível uso nos restantes protocolos, mais concretamente no LHA-SP visto que a implementação de tal mecanismo na
framework de Bohge alteraria profundamente o protocolo e no F-Leach faria com que ficasse
bastante semelhante ao próprio SecLeach. Assim, analisando o protocolo LHA-SP, se em vez de usada uma chave global para formação da rede fosse usado um mecanismo de pré-distribuição de aleatória de chaves, então a segurança face à captura de sensores sairia reforçada devido à fragilidade que uma chave global representa. No entanto a cobertura da rede seria potencialmente menor devido à possível inexistência de cluster heads que partilhem chaves na proximidade de um nó, criando aqui um tradeoff entre segurança e cobertura da rede. Como argumento adicional pode, e deve ser referido que o uso de um esquema que aproveita o conhecimento da localização traria benefícios à cobertura, como aliás foi essa a conclusão tirada com o estudo dos mesmos.
29
Finalmente, para uma análise crítica sobre os protocolos estudados, interessa apresentar uma análise dos mesmos face a alguns indicadores que vão ser obtidos no capítulo de testes.
Cobertura efectiva da rede
Todos os protocolos estão sujeitos às condições de operação reais de uma rede de sensores que afectam obviamente a cobertura, ou seja, estão sujeitos ao modelo de comunicação e colisões rádio da pilha IEEE 802.15.4. Adicionalmente existem também factores, muitas vezes aleatórios, especificados pelos próprios protocolos que acabam por se reflectir na cobertura efectiva da rede. Tanto no protocolo F-Leach como no SecLeach a cobertura é directamente afectada pela probabilidade de um nó se tornar cluster head e ainda por critérios probabilísticos da distribuição destes pela rede. Adicionalmente, neste último, é preciso ter também em conta as restrições de vizinhança impostas pelo esquema de pré-distribuição aleatória de chaves.
O protocolo LHA-SP tem uma pré-distribuição determinística de chaves portanto a cobertura será afectada apenas pela distribuição topológica dos nós, ou seja, um nó de nível h terá de ter pelo menos um vizinho de nível h+1 para formar cluster. Finalmente, a cobertura na framework de Bohge é apenas directamente afectada pelo facto de os nós sensores terem pelo menos um nó encaminhador como vizinho e este conseguir encaminhar os dados até à base station segundo um algoritmo de encaminhamento não especificado pela framework.
Condições de sobrecarga de comunicação e impacto energético
Começando pelos protocolos de Bohge e LHA-SP, que assumem uma hierarquia heterogénea, o problema do custo das operações é endereçado de maneira a que os nós de nível superior executem as operações mais pesadas. Já nos protocolos SecLeach e F-Leach, a não existência de nós com mais recursos é resolvida com um mecanismo periódico de troca de cluster heads que permite distribuir a carga por todos.
Relativamente às comunicações, os protocolos F-Leach e SecLeach usam agregação de dados nos cluster heads para minimizar o número de transmissões necessárias, mas por outro lado “consomem” muitas mensagens devido à reorganização periódica da rede para formar novos
clusters. Já o protocolo de Bohge não usufrui de tal mecanismo (agregação) devido a fornecer
segurança end-to-end, mas não necessita de constante reorganização da rede. Por fim o protocolo LHA-SP também não necessita de várias reorganizações e parece levar vantagem no número de
30
mensagens trocadas durante a fase de organização e autenticação de nós, mas isso também se reflecte num tradeoff com segurança devido a inicialmente usar uma chave global.
Condições de segurança e de resiliência face à captura de nós
Uma primeira aproximação ao estudo da segurança pode passar por uma comparação entre protocolos relativamente à resistência face à topologia de ataques do modelo de adversário:
Ataques
externos Eavesdropping aos dados Wormhole Sinkhole / Sybil Blackhole Dados falsos Leach Não resiste Não resiste Não resiste Não resiste Não resiste Não resiste
F-Leach Resiste Não resiste Forte Média Média Fraca
SecLeach Fraca Não resiste Forte Média Média Resiste
LHA-SP Resiste Resiste Fraca Fraca Fraca Resiste
Bohge Resiste Não Resiste --- --- --- Resiste
Tabela 2.2 - Tabela comparativa da resistência dos protocolos face a ataques
Em primeiro lugar a framework de Bohge é um protocolo um pouco diferente dos outros no que toca à organização em clustering. A razão prende-se no facto de que é o protocolo de encaminhamento dos nós encaminhadores que determina a topologia da rede e a segurança da mesma face a um atacante interno com as hipóteses vistas no capítulo do modelo de adversário.
Nos restantes protocolos a segurança prende-se sobretudo nos cluster heads, que são o principal alvo dos atacantes. A razão é que se um cluster head for comprometido ou se um atacante for eleito, então passa a controlar o destino de várias mensagens, neste caso todas as enviadas pelos nós membros que se juntaram a ele. De todos os protocolos, apenas o SecLeach permite que um atacante externo se torne cluster head isto porque a autenticação é apenas garantida entre um nó membro perante um cluster head e não vice-versa. Todos os restantes garantem que apenas nós legítimos se tornem cluster heads.
Relativamente aos dados dos sensores, estes só são protegidos de ataques de eavesdropping no protocolo LHA-SP pois é o único que prevê cifrar os dados durante as várias fases. Já em ataques onde o atacante envia dados falsos ou apenas spam, só o protocolo F-Leach parece vulnerável visto que, ao contrário do SecLeach, este não implementa qualquer tipo de autenticação entre os nós sensores e os cluster heads.
Como contribuição desta dissertação, no capítulo de testes foram obtidos indicadores de cobertura e fiabilidade dos protocolos face a ataques sinkhole e blackhole.
31