Chống lại các cuộc tấn công man-in-the-middle
Tấn công Man-in-the-middle đƣợc thực hiện khi một kẻ tấn công đứng ở giữa ngƣời gửi và ngƣời nhận để thu bản tin đƣợc gửi từ ngƣời nhận. Sau đó kẻ tấn
công sẽ lấy cắp thông tin và chèn thêm các thông tin sai lệch vào bản tin rồi gửi đến ngƣời nhận nhằm mục đích đánh lừa thiết bị nhận.
Trong mô hình học viên vừa trình bày, trong cùng một miền, mặc dù kẻ tấn công có thể thu đƣợc bản tin đƣợc gửi đi để lấy thông tin ID của ngƣời gửi và ngƣời nhận, chúng cũng sẽ không có thông tin gì về khóa sdID và ds ID tƣơng ứng. Chính vì thế kẻ tấn công sẽ không thể giải mã bản tin để chèn các thông tin sai lệch vào bản tin gốc hay đánh cắp các thông tin đƣợc mã hóa trong bản tin gốc. Nói một cách khác, kể cả kẻ tấn công thay đổi thông tin ID không đƣợc mã hóa trong bản tin gốc, thì bản tin bị thay đổi sẽ bị loại bỏ. Trong miền cảm biến, khóa phiên đối xứng giữa các thiết bị và các phiên là khác nhau, chính bởi vậy kẻ tấn công sẽ không có đủ thời gian để có thể phá đƣợc khóa mã hóa. Và nếu kẻ tấn công có cố tình thay đổi thông tin nhận dạng của các node cảm biến
h
IP thì phía node cảm biến nhận bản tin này cũng không thể giải mã đƣợc vì không tạo ra đƣợc khóa phiên mã hóa ban đầu. Chính vì thế bản tin cuối cùng cũng sẽ bị loại bỏ.
Chống lại các cuộc tấn công lặp lại
Các cuộc tấn công lặp lại đƣợc thực hiện khi một kẻ tấn công cố tình gửi liên tiếp một bản tin đến ngƣời nhận. Tuy nhiên trong mô hình của học viên trong bản tin đƣợc mã hóa để gửi cho các thiêt bị trong mạng luôn có thông tin về nhãn thời gian Tstamp. Nếu Tstamp chỉ ra bản tin là không hợp lệ, bản tin sẽ ngay lập tức bị loại bỏ. Bởi vì kẻ tân công không có khả năng giải mã bản tin nên chúng sẽ không thay đổi đƣợc giá trị Tstamp này. Do đó mô hình này có thể dễ dàng chống lại các cuộc tấn công lặp lại.
Chống lại các cuộc tấn công từ chối dịch vụ DoS:
Tấn công từ chối dịch vụ DoS có nghĩa là một kẻ tấn công sẽ cố gắng gửi bản tin khởi tạo Hello của một ID nhất định liên tục đến MSP. Sau khi nhận đƣợc nhiều bản tin cùng chứa một thông tin ID. MSP sẽ từ chối phục vụ thiết bị ID
đó và MSP sẽ coi thiết bị có ID trên là một thiết bị đã bị xâm nhập.
Trong hệ thống này, nếu kẻ tấn công cố tình gửi lại một bản tin hợp lệ trƣớc đó đến MSP thì bản tin này sẽ dễ dàng bị loại bỏ dựa trên thông tin Tstamp. Còn nếu kẻ tấn công cố tình làm giả 1 bản tin hello, thì bản tin đó cũng sẽ bị loại bỏ vì kẻ tấn công sẽ không thể có đƣợc khóa sd nên bản tin đƣợc làm giả sẽ không đƣợc mã hóa đúng cách. Chính vì thế kẻ tấn công sẽ không bao giờ có thể thực hiện một cuộc tấn công DoS vào hệ thống an ninh này.
Khả năng chống lại các cuộc tấn công mạo danh
Tấn công mạo danh có nghĩa là một thiết bị của kẻ tấn công sẽ giả mạo là thiết bị hợp lệ để giao tiếp với MSP hay các thiết bị khác trong mạng.
Trong mô hình đã đƣợc trình bày, nếu muốn giả mạo là một thiết bị di động hay gateway thì kẻ tấn công sẽ phải biết đƣợc khóa bí mật phụ sd. Khóa bí mật phụ
sd chỉ đƣợc chọn ra một cách ngẫu nhiên bởi thiết bị hợp lệ, chỉ đƣợc lƣu trong thiết bị đó và không bao giờ đƣợc truyền ra ngoài. Để có thể giả mạo là một node cảm biến kẻ tấn công cần phải biết đƣợc ID và danh sách RL n[ ] tƣơng ứng với ID này. Thông tin RL n[ ] cũng không bao giờ đƣợc node cảm biến truyền ra ngoài. Chính vì thế việc có thể giả mạo đƣợc các thiết bị trong mạng nếu không biết các thông tin khóa sd, RL n[ ] tƣơng ứng là không thể xảy ra. Chống lại các cuộc tấn công thỏa hiệp
Tấn công thỏa hiệp có nghĩa là kẻ điều khiển sẽ lấy đƣợc các thông tin về khóa bí mật thành phần dID, khóa bí mật phụ ds ID và RL n[ ]. Sau đó kẻ tấn công có thể sử dụng các khóa dID,ds ID hoặc RL n[ ] để tấn công vào hệ thống.
Trong mô hình mã hóa nhận thực không sử dụng chứng thƣ, nếu MSP bị thỏa hiệp, kẻ tấn công sẽ không gây ra đƣợc các ảnh hƣởng nghiêm trọng đến hệ thống vì các khóa sd không đƣợc lƣu trong MSP. Kẻ tấn công cũng sẽ không thể giải mã đƣợc các bản tin đƣợc gửi đi hay mạo nhận là một thiết bị khác trong toàn miền. Nếu một thiết bị, gateway hay node cảm biến bị xâm nhập, kẻ tấn công chỉ có thể mạo nhận là thiết bị bị xâm nhập và mã giải mã các bản tin đƣợc gửi đến thiết bị bị xâm nhập này. Các khóa dID,ds ID và RL n[ ] của các thiết bị khác trong hệ thống sẽ vẫn đƣợc đảm bảo an toàn. Chính vì thế mức độ ảnh hƣởng của tấn công xâm nhập với hệ thống là khá hạn chế.
Chống lại các cuộc tấn công từ bên trong
Các cuộc tấn công từ bên trong đƣợc thực hiện bởi một kẻ tấn công bằng cách nào đó biết đƣợc hết thông tin trong một node cảm biến. Kẻ tấn công sẽ sử dụng thống tin này và chèn một thiết bị khác mạo danh node cảm biến để tấn công mạng.
Trong thực tế, các cuộc tấn công đƣợc phân ra làm 3 mức: (1) kẻ tấn công có thể biết hết các tham số an ninh đƣợc MSP quảng bá nhƣng không biết sử dụng các thông tin này. (2) kẻ tấn công biết đƣợc các tham số và biết dùng chúng để tạo khóa công khai nhƣng biết rất ít về các qui định truyền thông trong hệ thống. (3) kẻ tấn công biết thông tin về hệ thống và biết các qui tắc truyền thông của mạng.
Đầu tiên chúng ta sẽ phân tích ảnh hƣởng của một node cảm biến bị chiếm quyền điều khiển đến các node cảm biến khác trong hệ thống. Với mô hình học viên đã trình bày, mỗi node cảm biến có một danh sách các node lân cận riêng. Rõ ràng, thiết bị độc hại chỉ có thể tính đƣợc khóa phiên của riêng nó vì nó không biết về các danh sách '
[ ]
RL n khác nữa. Chính vì vậy, kẻ xâm nhập sẽ không thể nghe lén hay chỉnh sửa luồng dữ liệu của các node cảm biến khác. Chính vì thế chúng ta chỉ cần quan tâm đến ảnh hƣởng và phƣơng pháp đối phó với trƣờng hợp node bị xâm nhập là node nguồn truyền thông tin.
Đối với cấp độ 1, kẻ xâm nhập chỉ có các thông số mà không biết cách sử dụng các tham số này. Loại tấn công không thể tham gia truyền thông với các thiết bị khác một cách bình thƣờng bởi vì chúng không tính đƣợc các khóa phiên đối xứng. Đối với cấp độ 2, kẻ tấn công có thể tính dƣợc khóa phiên đối xứng hắn có thể gây ra đôi chút ảnh hƣởng lên hệ thống. Đó là bởi bì trong phƣơng pháp nhận thực của mô hình, chúng ta sử dụng 2 khóa đối xứng trong một phiên và thông tin danh sách các node thƣờng xuyên đƣợc thay đổi. Kẻ tấn công sẽ không biết phải sử dụng khóa nào trong 2 khóa phiên của nó và sẽ không cập nhật đƣợc danh sách các node với các thiết bị khác trong mạng một cách đúng đắn. Điều đó sẽ làm pha thiết lập các phiên truyền thông sau thất bại. Đối với cấp độ 3, cấp độ tấn công mạnh mẽ nhất, sẽ rất khó để phân biệt đƣợc kẻ tấn công trong các tập thiết bị hợp lệ bởi vì việc nắm đƣợc các thông số và các qui tắc truyền thông làm kẻ tấn công hoàn toàn giống một thiết bị hợp lệ. Để có thể chống lại các cuộc tấn công ở mức 3, cần phải bổ sung thêm một mô hình khác nhƣ sau: Trong pha khởi tạo hệ thống, MSP sẽ phân phối các giá trị cons độc nhất không đổi đến các node cảm biến. Khi MSP muốn kiểm tra xem liệu thiết bị IPi có phải là thiết bị độc hại hay không, nó có thể yêu cầu gateway quản lý
i
IP là IDr giả vờ là có một node cảm biến khác đang muốn thiết lập phiên truyền thông với IPi. Sau khi phiên đƣợc thiết lập, MSP sẽ yêu cầu IPi gửi lại giá trị cons qua gateway IDr. Nếu IPi là một kẻ tấn công chủ động, thì nhiều khả năng chúng ta sẽ thu đƣợc giá trị cons sai. Từ đó ta có thể phát hiện và cô lập thiết bị này khỏi mạng. Nếu thiết bị tấn công IPi là một thiết bị tấn công bị động chỉ nhằm thu thập thông tin trong mạng, thì chúng ta phải dùng phƣơng pháp phát hiện bằng cách theo dõi các phiên truyền thông trong mạng. Nếu một thiết bị truyền thông tin với tốc độ cao bất thƣờng hoặc gửi các các bản tin đến các điện chỉ không xác định, thiết bị đó sẽ bị coi là thiết bị độc hại. Các phƣơng pháp theo dõi và phát hiện bất thƣờng trong các mạng WSN là rất đa dạng và từ lâu đã đƣợc nghiên cứu phát triển đầy đủ. Với việc áp dụng một trong số các phƣơng pháp phát hiện này một cách hợp lý, hệ thống có thể dễ dàng tìm ra và cô lập các thiết bị độc hại ra khỏi mạng.