Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

DFG Kolloquium Rostock 2002 SPP Sicherheit in der Informations- und Kommunikationstechnik Sicherheitsarchitektur und Referenzszenario für spontan vernetzte.

Veröffentlicht von:Hedwig Strauch Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "DFG Kolloquium Rostock 2002 SPP Sicherheit in der Informations- und Kommunikationstechnik Sicherheitsarchitektur und Referenzszenario für spontan vernetzte."—  Präsentation transkript:

1 DFG Kolloquium Rostock 2002 SPP Sicherheit in der Informations- und Kommunikationstechnik
Sicherheitsarchitektur und Referenzszenario für spontan vernetzte mobile Geräte

2 Gliederung Projektziele Aktuelle Arbeiten / Ergebnisse
CeBIT 2003 Beitrag Ausblick / weitere Arbeiten

3 Drahtlose Netzwerkarchitekturen
WPAN 802.15 WLAN 802.11 WWAN GSM, UMTS Lokaler Serviceprovider Zentraler Serviceprovider 10 m 300 m 10 km

4 Ziele des Projektes Untersuchung von Sicherheitsproblemen im Bereich mobiler Systeme bei spontaner Vernetzung über drahtlose Verbindungen Sichere Authentifizierung, Verschlüsselung und Zugriffssteuerung trotz geringerer Prozessorleistung und niedriger Stromaufnahme auf mobilen Systemen Entwicklung von Techniken der Anonymisierung und der individuellen Konfiguration durch den Anwender Prototypische Implementierung

5 Aktuelle Arbeiten / Ergebnisse
Sicherheitsanalyse, ASM Kryptografisches Interface Anonymität in drahtlosen Ad Hoc Netzen Sensornetzwerke Sicheres und effizientes Service Discovery Referenzszenario: Digital Citizen Assistant

6 Sicherheitsanalyse Sicherheitsanalyse existierender drahtloser Technologien mit der Möglichkeit zur spontanen Vernetzung Unzureichende „Device Level Security“ Keine Benutzer-Authentifizierung Kein automatisierter initialer Schlüsselaustausch (PIN) Keine PKI-Infrastruktur bzw. Zertifikatsüberprüfung Lokalisierungs-Problem Kein abgesichertes Service Discovery und Service Nutzung Vielfalt von Lösungen, die oftmals nicht miteinander kompatibel sind Advanced Security Manager (ASM) Konzept Device Level Security (Sicherheitsanalyse existierener drahtloser Technologien): Technologien haben entweder keine Sicherheitsmechanismen (IrDA) oder diese Sicherheitsmechanismen sind ausreichend, z.B. WEP-Problematik. Das andere Problem ist einen sicheren Austausch von Schlüsseln. Auf Grund Analyse in [Paper BellLabs, DA Heiko Bucholz] wurde gezeigt, dass die existenten Technologien beim Schlüsselsaustausch keine ausreichenden Sicherheitsmechanismen haben. Beispiel Bluetooth PIN, dass der Benutzer bei jedem Kommunikationsvorgang mit einem anderen Gerät ein PIN eingeben muss. Die aktuelle Studien zeigen [BellLabs], dass diese PIN oftmals nur aus 4 Ziffern besteht, was natürlich nicht ausreichend ist. Weiteres Problem ist die Lokalisierung vom mobilen Nutzern. Die gegenwärtige Kommunikationstechnologien besitzen eindeutigen MAC-Adresse, was ermöglicht ein Lokalisierungsprofil zu erstellen. Selbstorganisierte PKI-Infrastrukure und die Zertifikatensüberprüfung. Vielfalt von angebotene Lösungen, die oftmals mit einandern nicht kompatibel sind. //Kommt weg Untersuchung von Bedrohungsszenarien für mobile Geräte mit dem Schwerpunkt spontane Vernetzung (DA Buchholz, Paper Security for Service Discovery) )

7 ASM Konzept „Ad hoc networks require ad hoc security“
Ad hoc Netzwerke benötigen eine einfache, homogene, flexible und skalierbare Datensicherheit: Keine manuelle Administration beim Verbindungsaufbau Zentrales Sicherheitsmanagement mit einheitlichem Benutzerinterface Automatische Anpassung von Sicherheitsebenen Geräte- und anwendungsspezifische Sicherheitsebenen Kooperierender Ansatz Unterstützung der technologiespezifischen Sicherheitsmechanismen Erweiterung dieser durch zusätzliche kryptographische Algorithmen und Sicherheitskonzepte

8 Physical Layer/Data Link Layer
ASM Architektur User - Interface Legacy Applicat. GMU Autorisierung Authentifizierung Verschlüsselung Integrität Non-Repudiation ASM Application Connection User Sec. Module Access Transport Layer Device Transportebene Erweiterung, die ermöglicht: Autorisierung, Authentifizierung, Verschlüsselung (sowie auf die Link-Ebene), Non-Repudiation auf die Benutzer-, Gerät oder Anwendungsebene. ASM hat „pluggable“ Sicherheitsmodule und kann auf Grund der Einstellung vom Benutzer, Gerät oder von der Anwendung die entsprechenden Sicherheitsanforderung gewährleisten. Transparenz für die Anwendungen. „Legacy“und ASM-Aware Anwendungen. ASM-Protokoll für den Schlüsselaustausch. Einheitlichkeit: Jedes Gerät hat einen ASM Modul und kann mit jedem anderen Gerät kommunizieren. Nutzer-Nutzer Verschlüsselung. Gemeinsame Verwendung von kryptographischen Routinen spart Speicherplatz, sinkt den Zeitverbrauch, verbessert die Interoprabilität. Network Layer Physical Layer/Data Link Layer

9 ASM Performance (iPAQ)
Durchsatz [kb/s] Paketgrösse [Byte] Performance des ASM bei der Verschlüsselung von großen Daten-strömen unbefriedigend Einsatz von kryptografischer Hardware erforderlich Schneller Sicherer = tamperresistant ressourcenschonend

10 Kryptographisches Interface
PCMCIA Interface Hot-Plugable weit verbreitet Einbettung der Crypto- Hardware in ein Kernel-Modul auf Basis der Linux-Crypto-API Ziele: Performanceverbesserung „Hardware Security Plugin“ für mobile Geräte cipher-hardware.o P C M C I A Control Rekonfigurierbare Hardware 3DES ECC AES SIM 1 SIM 2 SIM3 Linux-Crypto-API cipher-aes.o cipher-des.o cipher-idea.o

11 Anonymität in drahtl. Ad Hoc Netzen
Ziel: Zurückhaltung identifizierender Daten Feine Unterschiede zwischen HyperLAN2 und IEEE802.11 Stromverbrauch und Aufwand für den Betrieb sind ebenfalls zu berücksichtigen Änderung persistenter Gerätemerkmale Schweigsamkeit Broadcast-fähigkeit Bluetooth Vorhanden und fest Wird unterstützt Nicht möglich IEEE Vorhanden, änderbar Möglich durch Promiscuous Mode HyperLAN2 Dynamische Vergabe Senden bei Bedarf, Alive-Meldungen

12 Ad Hoc Kommunikationsmodelle
Direkte Übertragung Peer-to-Peer Kommunikation Multihop Übertragung Sensornetzwerke Clustering Mehrstufige Systemarchitektur

13 Cluster Netzwerk besteht aus:
Mobilen Knoten Clusterköpfen Algorithmus zur Bestimmung der Clusterköpfe Low-Energy Adaptive Clustering Hierarchy LEACH Verbesserung des LEACH Algorithmus durch Berücksichtigung der Energieressourcen der mobilen Geräte 30 % höhere Lebensdauer Sicherheitseigenschaften: selbstorganisiert, dezentralisiert LEACH erschwert gezieltes Ausschalten von Knoten

14 Cluster Evaluierung Simulationsumgebung Experimenteller Aufbau
YANASim (Yet Another Network Analyzing and Simulation Tool) Experimenteller Aufbau Bluetooth Gateway Bluetooth Protokollstack für Mikrocontroller BlueNode Plattform CH Piconet-1 Piconet-2

15 Effizientes Service Discovery
Entwicklung des Konzeptes für das sichere, Zeit und Energie effiziente Service Discovery und Nutzung Energie und Zeit effizient (Standby 10 mW / Aktiv 178,2 mW) Unterstützung von Sicherheitsmechanismen Geeignet für Ad Hoc Netzwerke mit ressourcenarmen Knoten Service S Secure Find (Service S) Use (Service S) Existierende Service Discovery Protokolls sind ungeeignet. Beispiel: SDP, man muss zu jedem Gerät eine Verbindung herstellen. Jini, UPnP senden die Broadcast und Multicast-Packeten. Da bei den Ad Hoc Systemen mit Frequency Hoping die Sendung von Broadcast Packeten nicht möglich ist, können die o.g. Protokollen nicht richtig funktionieren. Workaround ist der Aufbau eine statische Topologie, z.B. IP-Basiert. Solche Lösungen sind sehr Energie ineffecient, statisch und für kleine mobilen Geräten ungeeignet. Wenn Bluetooth-Geräte auch im Internet verwendet werden, müssen diese IP-fähig sein. Deshalb könnte auch hier unter IP auf Schicht 3 geroutet werden. fühen aber als Gegenargument an, dass durch die Mobilität der Geräte, die die Zuweisung ihrer IP-Adressen durch DHCP-Server erhalten, welche aber wiederum mehrere hops entfernt stehen können, die Zuweisung nicht erfolgen kann. Denn IP-Router lassen Pakete ohne gültige Absenderadresse nicht zu und verwerfen diese. 2. Sicherheitsproblem, z.B. bei Bluetooth bei der Verbindungsaufbau zu jedem Gerät muss man die PIN-Code eintippen. 3. Für die Geräten mit begrenzten Ressourcen (Rechnerleistung, Stromverbrauch) sind die moderne Service Discovery Mechanismen nicht möglich. 4. Unserer Einsatz ist die Entwicklung eine sichere Zeit und Energie-effizient Mechanismen zur Service Discovery und Nutzung.

16 Citizen Digital Assistant
Identity Token Communication Framework (IrDA, Bluetooth, WLAN, GSM, UMTS) Subscriber Identity Framework Secure Document Management Framework Siemens TopSec ID Module Compaq IPAQ 3870 (Linux ) Monitoring and Confidentiality Framework

17 CDA handelt stellvertretend für den Bürger
Authentifizierung Person Inhaber der Identität Person Inhaber der Identität Auth1 Auth2 Applikation Digitales Pendant Benutzer Proof of Identity Proof of Credential Bürger CDA e-Government Service Was machen wir mit dieser Folie ??? CDA handelt stellvertretend für den Bürger

18 Publikationen Handy, M.; Haase, M.; Timmermann, D.; Low-Energy Adaptive Clustering Hierarchy with Deterministic Cluster-Head Selection; 4th IEEE International Conference on Mobile and Wireless Communications Networks, Stockholm, September 2002 Haase, M., Burchardt, H., Golatowsk, F.; Bluetooth Sensornetzwerk auf der Basis von Mikrocontroller gesteuerten Sensorknoten; embedded world 2003 Maibaum, N; Sedov, I.; Cap, C.; A Citizen Digital Assistant for e-Government; Volume 2456, Pages Lecture Notes in Computer Science; EGOV2002, Aix-en Provence, France, September 2002 Cap, C; Maibaum, N.; Heyden, L.; JavaCard-kontrollierter, sicherer Zugriff auf persönliche Dokumente und Berechtigungen; GI-Edition - Lecture Notes in Informatics; Sigrid Schubert, Bernd Reusch and Norbert Jesse (Hrsg.), Informatik bewegt, Informatik 2002; Proceedings of the 32th Annual Meeting of the GI, pages Cap, C.; Maibaum, N.; Digital Identity and it's Implications for Electronic Government; First IFIP IEEE Conference; 4-5 October, 2001

19 Publikationen Sedov, I.; Preuss, S.; Haase, M.; Cap, C; Timmermann, D; Time and Energy Efficient Service Discovery in Bluetooth, The 57th IEEE Semiannual Vehicular Technology Conference, Jeju, Korea 2003 (eingereicht) Sedov, I.; Maibaum, N.; Cap, C.; Haase, M.; Timmermann, D.; Citizen Digital Assistant (CDA) – Ein sicherer Zugang zu e-Government – Diensten, PIK Sonderheft 2003 Handy, M.; Haase, M; Zugenmaier, A; Hohl, A.; Anonymität in drahtlosenAd-Hoc Netzwerken, BSI Kongress 2003 (eingereicht) Buchholz, H.; Sedov, I.; Preuss, S.; Cap, C; Security for Service Discovery, Technischer Bericht, 2002 Buchholz, H.; Preuss, S.;Haase, M.; Sedov, I.; Cap, C.; Ad Hoc Network Protection by the Advanced Security Manager Advanced Security Manager; Technischer Bericht, 2002

20 Gliederung Projektziele Aktuelle Arbeiten / Ergebnisse
CeBIT 2003 Beitrag Ausblick / weitere Arbeiten

21 CeBIT 2003 Beitrag Beteiligung am gemeinsamen PDA Prototypen
Middleware SDP Manager Ad-Hoc Manager Advanced Security Manager Bluetooth Gateway für Bank Szenario Eigener Beitrag für Einzelpräsentation Kryptografisches Interface Bluetooth Cluster Netzwerk (BlueNode, Tini Board) Biometrischer Sensor

22 Architektur des Prototypen
Von unserer Spec.: Die Middleware Schicht ist eine Abstraktionsschicht, die die zur Ansteurung von Hardwarekomponenten erforderlichen Softwarekonstrukte und die zum Datenaustausch erforderliche Protokollschichten im Teilkomponenten zusammenfasst. Für den CeBIT Prototypen enthält die Middleware die Komponenten: Ad Hoc Manager, Service Discovery, Manager und Advanced Security Manager. Die Funktionalität von den API-Interfaces ist auf die wichtigsten Funktionen beschränkt und umfasst die zur Steurung der Hardware notwendigen Software und Managmentkomponenten, die zur abgesicherten Findung und Nutzung von Geräten und Services erforderlich ist. Der Ad-Hoc Manager enthält Funktionen zum Finden von Kommunikationspartnern, zum Auf- und Abbauen von Netzwerkverbindungen und zum Senden und Empfangen von Daten. Darüber hinaus beinhaltet der Ad Hoc Manager alle erforderlichen Konfigurationsaufrufe, die zur Einstellung des drahtlosen Interfaces benötigt werden. Der Advanced Security Manager verwaltet und überwacht alle Sicherheitsfunktionen und Sicherheitseinstellungen des Gerätes. In mehreren Datenbanken können Nutzer, Geräte, Applikationen und Services, die im Zusammenhang mit dem Gerät stehen, administriert werden. Der Service Discovery Manager gewährleistet die Suche nach Services und deren Nutzung. Ebenfalls bietet er die Möglichkeit eigene Services zu registrieren und diese Services anderen Kommunikationspartnern anzubieten.

23 Middleware

24 Gliederung Projektziele Aktuelle Arbeiten / Ergebnisse
CeBIT 2003 Beitrag Ausblick / weitere Arbeiten

25 Ausblick / weitere Arbeiten
Sicheres und effizientes Service Discovery und Servicenutzung Ad Hoc Netzwerktopologien Selbstorganisation Aufbau, Betrieb, Pflege Clustering Sicherheit Prototypische Implementierung (BlueNode, Tini Board, Gateway) Adaptiver, transparenter Wechsel von Kommunikationstechnologien in Abhängigkeit der Sicherheitsanforderungen IrDA GSM(UMTS)

26 Ausblick / weitere Arbeiten
Einsatz kryptografischer Hardware für mobile Klein- und Kleinstgeräte VPN Client für PDA oder Sensor Gemeinsame Kooperation im Rahmen des SPPS bei der Weiterentwicklung des Prototypen

27 ENDE

28 Backup Folien

29 Aktuelle Arbeiten/Ergebnisse
Modul-Managment Identifizieren Verifizieren Erfassen Verwalten RS-232 Encoder Matcher Archiv TopSec ID Module auf jeder Plattform unter jedem Betriebssystem Vorraussetzung: serielle Schnittstelle Funktionen: Identifizieren Verifizieren intern extern Erfassen Modulmanagment Biometrische Funktionen Benutzermanagment Sensor

30 ASM Performance ASM ohne Sicherheitsroutinen RSA-Verschlüsselung
ASM mit 3DES, non-Repudiation, MD5 Es wurde eine Verbindung zwischen iPAQ 3660 und einem PC 1 GHz hergestellt. Der iPAQ generiert ein Packet mit X byte und schickt an PC. Der ASM schaut im seinen Datenbank nach die Sicherheitsanstellungen und anwendet entsprechende Sicherheitsroutinen. Die Verzögerung bei der Verbindungsaufbau beträgt 640 ms (für ASM Protokoll). Du kannst sagen, dass wir gegenwärtig den Diffe-Hellman Algorithmus verwenden. Graphik Nr. 1 zeigt die Performance mit dem ASM und ohne ASM. In diesem Beispiel wurden keine kryptographische Algorithmen eingesetzt. 2. Beispiel demonstriert die RSA-Verschlüsselung mit dem Bluetooth Modul und dem Bluetooth-Emulator über Ethernet. Wir sehen, dass der Performance unzureichend ist. 3. Beispiel ASM mit 3DES, non-Repudiation, MD5. Folge: wir brauchen Hardware, z.B. Crypto-Chip !

31 SAM – Secure Ad Hoc Management
Topologie Aufbau Automatische Auswahl der drahtl. Technologie Suchen von Diensten Secure Ad-Hoc Management Nutzung von Diensten Wenn wir beide zuvor gezeigten Folien zusammenfassen, dann es wird leicht zu erkennen, dass wir eine Art von der Middleware brauchen. Link formation Ad Hoc Manager, Smart environment, self-prganizing collaborative regions Service, Resource Discovery, self configuring und self-organizing Neighborhood formation, without manual effort Lego-style blocks (lego-computer) 2. Reduce Managment cost, automatische Auswahl von eingesetzten Technologie Low cost, low power. Many devices may not be willing to forward packets or participate in the control protocol due to energy or computational constraints. Protocols for allocate network addresses, automatic approach must be decentralized Routing & Data Transport Service Discovery Security Manager Topologie Verwaltung ohne zentrale Instanz Advanced Security Manager

Herunterladen ppt "DFG Kolloquium Rostock 2002 SPP Sicherheit in der Informations- und Kommunikationstechnik Sicherheitsarchitektur und Referenzszenario für spontan vernetzte."

Ähnliche Präsentationen

AUTOKURATIERUNG & AUSSENPOLITIK HANS BERNHARD Netznetz.net, Depot, 18. November 2005.

AUTOKURATIERUNG & AUSSENPOLITIK HANS BERNHARD Netznetz.net, Depot, 18. November 2005.
Service Oriented Architectures for Remote Instrumentation

Service Oriented Architectures for Remote Instrumentation
An new European Power Network: Student Power

An new European Power Network: Student Power
Copyright © Siemens Enterprise Communications GmbH & Co. KG 2010. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee.

Copyright © Siemens Enterprise Communications GmbH & Co. KG All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee.
Selbstorganisierende mobile Sensor- und Datenfunknetze

Selbstorganisierende mobile Sensor- und Datenfunknetze
Masterprojekt Systementwicklung Projektthemen Sommersemester 2012

Masterprojekt Systementwicklung Projektthemen Sommersemester 2012
M-Commerce Der Begriff M-Commerce umfasst alle Angebote, bei denen das Mobiltelefon als Terminal dient quelle: Funkschau 1/2 2000 Ie Piu CuE-Commerce.

M-Commerce "Der Begriff M-Commerce umfasst alle Angebote, bei denen das Mobiltelefon als Terminal dient quelle: Funkschau 1/ Ie Piu CuE-Commerce.
Link Layer Security in BT LE.

Link Layer Security in BT LE.
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org CrossGrid Migrating-Desktop Marcus Hardt Forschungszentrum Karlsruhe GmbH An Induction to.

INFSO-RI Enabling Grids for E-sciencE CrossGrid Migrating-Desktop Marcus Hardt Forschungszentrum Karlsruhe GmbH An Induction to.
Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems

Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems
© 2006 Open Grid Forum OGF26 - Chapel Hill, May 2009 Addressing Metadata Challenges OGF Digital Repositories RG.

© 2006 Open Grid Forum OGF26 - Chapel Hill, May 2009 Addressing Metadata Challenges OGF Digital Repositories RG.
Mobile Lernende in verteilten Umgebungen (dSpace) Oliver Brand Learning Lab Lower Saxony (L3S) Hannover.

Mobile Lernende in verteilten Umgebungen (dSpace) Oliver Brand Learning Lab Lower Saxony (L3S) Hannover.
Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.

Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.
© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.

© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.
Institut für Angewandte Mikroelektronik und Datentechnik Fachbereich Elektrotechnik und Informationstechnik, Universität Rostock Vorlesung Echtzeitbetriebssysteme.

Institut für Angewandte Mikroelektronik und Datentechnik Fachbereich Elektrotechnik und Informationstechnik, Universität Rostock Vorlesung Echtzeitbetriebssysteme.
Architektur.

Architektur.
Einführung in Bluetooth Low Energy

Einführung in Bluetooth Low Energy
Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:

Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:
Peter Marwedel TU Dortmund, Informatik 12

Peter Marwedel TU Dortmund, Informatik 12
30.10.2000 DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.

DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.

Ähnliche Präsentationen

Google-Anzeigen