-
Die
vorliegende Erfindung betrifft Daten- und Kommunikationsnetzwerke
und insbesondere, aber nicht ausschließlich, die Sicherheit von derartigen Netzwerken.
Die Erfindung ist insbesondere anwendbar auf die Verwaltung der
Sicherheit in dynamischen Netzwerken.
-
Die
momentane Netzwerksicherheit basiert auf dem Konzept einer Befestigung
bzw. Verstärkung.
Empfindliche Information/Hardware ist geschützt vor der Welt außerhalb
des Netzwerks durch eine Sicherheitssoftware, als Firewall bezeichnet,
die auf einer begrenzten Anzahl von Computern läuft, als Gateways bezeichnet,
welche die Verbindungen zwischen dem Netzwerk und anderen nicht-vertrauenswürdigen Netzwerken
und/oder Computern vorsehen. Ein Gelangen in das geschützte Netzwerk
umfasst normalerweise ein Durchqueren einer dieser Firewalls, wo
Identitätskontrollen
durchgeführt
werden und nur legitime Zugriffsanforderungen erlaubt sind.
-
Diese
Strategie ist solange effektiv, solange es keine Verletzung der
Firewall gibt und die Kontrolle an den Toren wirksam ist. Diese
Sicherheitstechnik ist gut an eine Netzwerkarchitektur angepasst,
wo Daten und Kommunikation über
feste physikalische Drähte
und Kabel ausgeführt
werden. In dieser Umgebung können
Sicherheitsmassnahmen effektiv implementiert werden an den Eintrittspunkten
zu dem Netzwerk, die nicht vermieden werden können.
-
Ein
Nachteil dieser Strategie ist, dass angenommen wird, dass alles
innerhalb der Wälle
erfolgreich durch ein Filterverfahren gegangen ist und somit implizit
vertrauenswürdig
ist. Somit, sobald eine feindliche Entität, wie ein Hacker oder ein
Virus, einen Weg gefunden hat, alle Kontrollpunkte zu vermeiden,
kann sie auf alles zugreifen und be schädigen, das in dem Netzwerk
geschützt
sein sollte. Solch ein feindlicher Zugang wird oft erreicht über einen
nicht gesicherten oder gefährdeten
Eintrittspunkt, der allgemein als Hintertür bzw. „Backdoor" bezeichnet wird. Jedoch sind Hintertüren relativ
selten und/oder schwierig zu finden in gut geschützten Systemen. Somit muss
ein Hacker oder Virus relativ clever sein, um diese als ein Mittel
verwenden zu können,
um in das sichere Netzwerk zu gelangen.
-
Die
Effizienz von statischen Firewalls ist vollständig abhängig von zwei Elementen. Das
erste ist ihre Fähigkeit,
Eindringlinge zu erkennen (deswegen muss eine Antivirus-Software
aktualisiert bleiben). Das zweite ist die topologische Stabilität des Netzwerks,
das sie schützen.
In anderen Worten, sie werden implementiert, wo sie erforderlich
sind, d. h. an Schnittstellen zu anderen Netzwerken und Computern.
-
Von
einer Netzwerkarchitektur wird angenommen, dass sie langfristig
relativ stabil ist. In anderen Worten, der Sicherheitsmanager weiß, woher eine
Kommunikation von außerhalb
herkommt und kann diese Information verwenden, um die Netzwerkverteidigung
vorzubereiten. Als ein Ergebnis können Computer hinter der Firewall
normale Antivirus-Software laufen lassen und weiter angemessen sicher sein,
da ernstzunehmende absichtliche Angriffe von den Gateways gehandhabt
werden.
-
Die
Patentanmeldung
WO 00/34867 offenbart
ein Verfahren zum dynamischen Anpassen des Warnpegels von Netzwerkknoten,
wobei jeder sukzessiv höhere
Warnpegel eine entsprechende höhere
Sicherheitsantwort von dem Knoten auslöst. Die Knoten passen ihren
Warnpegel gemäß verdächtigen
Ereignissen oder Angriffsversuchen an, die sie erfassen. Ein Server
in dem Netzwerk verwendet die Warnpegel von den Knoten, um einen
Netzwerkwarnpegel zu berechnen, der Sicherheitsreaktionen an allen
Knoten auslöst.
-
Jedoch
bedeuten entstehende Technologien, wie Peer-to-peer-Architektur und Adhoc-Kommunikationsnetzwerke,
dass das Konzept eines statischen Gateways nicht langer anwendbar
ist. Zum Beispiel bedeutet ein Ein- und Abschalten eines mobilen
drahtlosen Zugangspunkts zu jeder Zeit und an jedem Ort und dadurch
ein Teilnehmen/Verlassen eines Netzwerks von frei interagierenden
Vorrichtungen, dass die Netzwerktopologie unstabil ist.
-
Die
Sicherheitssysteme für
dynamische Netzwerke müssen
die Gefahr von unbekannten Viren und erfinderischen Erforschungsstrategien
sowie eine dynamische Topologie bewältigen. Bei Fehlen von adaptiven
Verteidigungsmechanismen sind diese Netzwerke anfällig gegenüber neuen,
noch nicht erfassbaren Formen von Angriffen, aber auch gegenüber Angriffen,
die von bekannten übel
wollenden Entitäten
ausgehen, aufgrund einer unerwarteten Aussetzung von nicht geschützten Vorrichtungen.
-
In
einem dynamischen Netzwerk kann ein Knoten, der sich an einem Punkt
sicher hinter der Firewall befindet, plötzlich direkt ausgesetzt sein
aufgrund von physikalischen Verlagerungen oder topologischen Änderungen.
Ein Beispiel des ersten Falls kann eine Person sein, die das Büro verlässt, während sie
an einem mobilen Telefon spricht, und von „Voice over IP" (vermutlich unter
Verwendung einer sicheren Basisstation, die durch eine Firmen-Firewall geschützt ist)
zu dem normalen zellularen Telefonnetzwerk schaltet. Die zweite
Situation (topologische Änderung)
kann einen festen Server umfassen, der als der primäre Zugangspunkt
für externe
Kunden beginnt zu wirken, nachdem einer seiner Gegenstücke (normalerweise
für eine
automatisierte Online-Unterstützung
zuständig)
ausgefallen ist. In beiden Fällen
muss eine Vorrichtung, die einmal sicher hinter der Firewall war,
ohne eigenen Schutz, eine Firewall aufbauen, um sicher zu bleiben
und zu vermeiden, eine Hintertür
zu werden.
-
Ausführungsbeispiele
der Erfindung sehen ein Verfahren vor zur Bestimmung eines Warnpegels eines
Knotens in einem Netzwerk von anderen Knoten, die vertrauenswürdige Knoten
oder nicht-vertrauenswürdige Knoten
sein können,
wobei das Verfahren die Schritte aufweist: Empfangen eines oder mehrerer
Bakensignal(e) von einem oder mehreren anderen Knoten in dem Netzwerk,
wobei das Bakensignal dem Knoten eine Anzeige des Warnpegels des anderen
Knotens und/oder eine Anzeige liefert, ob der andere Knoten ein
vertrauenswürdiges
oder nicht-vertrauenswürdiges
Element des Netzwerks ist; und Bestimmen eines Warnpegels für den Knoten basierend
auf dem Warnpegel und/oder der Anzeige der vertrauenswürdigen oder
nicht-vertrauenswürdigen
Eigenschaft des anderen Knotens in jedem des einen Bakensignals
oder der mehreren empfangenen Bakensignale.
-
Weitere
Ausführungsbeispiele
der vorliegenden Erfindung sehen eine Vorrichtung oder ein Verfahren
zur Verwendung in einem Netzwerksicherheitssystem, das eine lokale
inhibierende Signalisierung verwendet, um mögliche Sicherheitsverletzungen
zu identifizieren, und benötigt
keine explizite Benachrichtigung von erscheinenden und verschwindenden
Gefahren. Das System ist auch sehr skalierbar. Diese Merkmale sind
vorteilhaft in einer dynamischen Topologie, da herkömmliche
Sicherheitsaktualisierungen zu häufig
sein können,
um in Echtzeit tatsächlich
verfolgt werden zu können
und die Größe und Form
einer Domain kann sich dramatisch ändern (zum Beispiel Fusion
von Teildomains). Das System kombiniert mehrere wünschenswerte
Charakteristiken wie Einfachheit, Robustheit, Skalierbarkeit und ein
Stabilitätsgleichgewicht
(lokal vorhersagbares Verhal ten) und Anpassungsfähigkeit (spontane Antwort auf
unvorhergesehene Änderungen).
-
Das
System ist ausgebildet, die Plastizität von Netzwerksicherheitssystemen
zu erhöhen,
wodurch sie auf topologische Änderungen
reagieren können,
so dass Verteidigungsmaßnahmen
an der Peripherie konzentriert werden. Dies wird vorgesehen durch
eine adaptive Firewall, die „schlafend" gehalten wird in
Knoten, die sich in einer sicheren Umgebung befinden, aber spontan
ihre volle Stärke
erreicht, sobald die Vorrichtung, auf der sie läuft, nicht länger geeignet
geschützt
ist.
-
Ausführungsbeispiele
der Erfindung werden im Folgenden beschrieben unter Bezugnahme auf die
beigefügten
Zeichnungen, wobei:
-
1 eine
schematische Darstellung eines Netzwerks ist, das eine Sicherheitsverletzung
zeigt;
-
2 eine schematische Darstellung von Knoten
in einem dynamischen Netzwerk ist, die topologische Modifikationen
darstellt, die Firewalls veranlasst, auf den falschen Knoten zu
laufen;
-
3 ein
Graph ist, der die Leistung eines Algorithmus zeigt, der in einem
Ausführungsbeispiel der
Erfindung verwendet wird;
-
4 eine schematische Darstellung von Knoten
in einem Netzwerk ist, die gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung arbeiten;
-
5 ein
Ablaufdiagramm ist, das den Betrieb eines Knotens in dem Netzwerk
gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung darstellt;
-
6 ein
Satz von Balkendiagrammen ist, die den progressiven Anstieg des
Warnpegels für vertrauenswürdige Knoten
in einem Netzwerk in der Nähe
von nicht-vertrauenswürdigen
Knoten zeigen;
-
7a ein
dreidimensionales Balkendiagramm ist, das das Warnprofil für ein 16×16-Gitter von
vertrauenswürdigen
Knoten darstellt, die sich in der Mitte eines größeren nicht-vertrauenswürdigen Netzwerks
befinden, das 32×32
Knoten aufweist; und
-
7b die
spontane Reorganisation des Gitters von 7a darstellt,
nachdem einige Knoten aus der vertrauenswürdigen Domain ausgeschlossen
wurden.
-
1 sieht
eine Darstellung einer Sicherheitsverletzung in einem Netzwerk 101 von
Computern 103 vor. Der Typ der Sicherheitsverletzung wird als „transiente
Hintertür
(transient backdoor)" bezeichnet.
Das Netzwerk 101 umfasst auch einen drahtlosen lokalen
Netzwerkserver (WLAN – wireless local
area network) 105, der ausgebildet ist, drahtlose Verbindungen 106 zwischen
einigen der Computern 103 vorzusehen. Das Netzwerk weist
auch einen Drucker 107 und zwei Verbindungen 109 zu
einem anderen Netzwerk 111 auf, wie dem Internet.
-
Die
Darstellung der Sicherheitsverletzung wird vorgesehen durch Betrachten
des Effekts auf das Netzwerk 101 des zusätzlichen
Anschlusses eines Laptopcomputers 113. Der Laptop 113 kann drahtlose
Verbindungen 115 zu dem Internet 111 und mit dem
WLAN 105 herstellen und auch eine Infrarotverbindung zu
dem Drucker 107. Bevor der Laptop 113 die Verbindung 115 zu
dem Internet 111 initiiert unter Verwendung eines Modems
und eines mobilen Telefons, befinden sich alle Maschinen 103, 105, 107 sicher
hinter einer Fire wall-Software (angezeigt durch das einfache Flammensymbol
in 1), die auf den einzigen zwei Computern 103 läuft, die
direkt mit dem Internet 111 durch die Verbindungen 109 verbunden
sind.
-
Während jedoch
der Laptop 113 mit dem Netzwerk 101 verbunden
bleibt, werden einige Teile des Systems anfällig für einen Angriff. Zum Beispiel ist
der Laptop 113 legitim mit dem WLAN 105 verbunden,
kann aber mit dem Internet 111 über sein Modem und die Verbindung 115 verbunden
sein, wodurch eine Sicherheitsverletzung verursacht wird, d. h. Öffnen einer
transienten Hintertür.
Der Laptop 113 kann auch mit dem Drucker 107 über die
Infrarotverbindung 117 verbunden sein. Um dieser Sicherheitsverletzung
entgegenzutreten, muss die Firewall-Software auch auf zumindest
einer der Vorrichtungen laufen, die das Fragezeichen-Flammensymbol
in 1 zeigen, d. h. dem WLAN 105 und dem
Drucker 107 sowie dem Laptop 113 (entweder auf
dem Laptop 113 oder auf sowohl dem Drucker 107 und
dem WLAN 105).
-
Unter
Betrachtung der Situation, die in 1 dargestellt
wird, kann dies bedeuten, dass eine hochwertige Firewall-Software
auf jedem einzelnen Element des Netzwerks 101 laufen sollte,
das eine Verbindung zu einer Vorrichtung, wie dem Laptop 113, herstellen
kann. In anderen Worten, jede Vorrichtung in dem Netzwerk 101 muss
eine Firewall-Software laufen lassen. In einem großen Netzwerk
ist dies in der Praxis eine unpraktische Lösung, insbesondere wenn das
Netzwerk ein dynamisches Peer-to-Peer- und/oder ein Adhoc-Netzwerk
ist. In solchen Netzwerken gibt es wahrscheinlich keine geeigneten
Eintrittspunkte, wo es möglich
ist, Verteidigungsbemühungen,
wie eine Firewall-Software, zu konzentrieren. Jedes mobile Element
in dem Netzwerk wird ein möglicher
unsicherer Zugangspunkt zu dem Netzwerk. Das Problem ist, dass in
solchen Architekturen mehrere Lücken
gleichzeitig auftreten und verschwinden können, was sehr schnell dazu
führen kann,
dass Firewalls laufen, wo sie am wenigsten erforderlich sind, ganz
im Kern des Netzwerk und nicht an der Schnittstelle zu der Welt
außerhalb,
wo sich feindliche Entitäten
befinden.
-
Die 2a und 2b zeigen
eine Darstellung von topologischen Modifizierungen eines Netzwerks 201,
das eine dynamische Architektur hat. Die Modifizierungen veranlassen,
dass eine Firewall-Software auf den falschen Vorrichtungen 203 in dem
Netzwerk 201 läuft.
Die anstehenden Vorrichtungsbewegungen werden angezeigt durch schwarze
Pfeile, die von den Vorrichtungen 203 in 2a wegleiten.
Alle freundlichen Vorrichtungen sind durch den Buchstaben „F" gekennzeichnet und
sind vor feindlichen Entitäten
geschützt,
die durch den Buchstaben „H" gekennzeichnet sind.
Eine Firewall-Software läuft
auf den Vorrichtungen 205, 207 und 209, welches
diejenigen sind, die tatsächlich
in Kontakt mit der Bedrohung stehen. Die Situation nach den Vorrichtungsbewegungen,
die in dem Netzwerk 201a angezeigt werden, werden in der 2b gezeigt. Nach
der Änderung
sind die Firewall-Verteidigungen, die sich auf den Vorrichtungen 205 und 209 befinden, unbrauchbar
und das Netzwerk 201 ist nun offen gegenüber Angriffen,
die auf die Vorrichtungen 215 oder 217 zielen.
Eine geeignete Reaktion in dieser Situation wäre, Firewalls auf den Vorrichtungen 205 und 209 abzuschalten
und sie auf die Vorrichtungen 215 und 217 zu übertragen.
-
In
Ausführungsbeispielen
der Erfindung sind Vorrichtungen oder Knoten in dem Netzwerk jeweils vorgesehen
mit einer Firewall- oder anderen geeigneten Sicherheits-Software.
Die Stärke
der Firewall, die auf jedem Knoten läuft, ist variabel und wird
gemessen durch eine reale Nummer (x) zwischen 0 (keine Sicherheit)
und 1 (maximaler Sicherheitspegel). Jeder Knoten sendet periodisch
Bakensignale an seine unmittelbaren Nachbarn, wobei die Bakensignale
aus einer er kennbaren ID (die verschlüsselt sein kann, um eine Impersonation
zu vermeiden) und dem aktuellen Sicherheitspegel (Firewall-Stärke) des sendenden
Knotens bestehen. Das Format des Bakensignals wird detaillierter
im Folgenden beschrieben.
-
Jeder
Knoten ist bei Empfang der Bakensignale seiner Nachbarn ausgebildet,
einen neuen Warnpegel für
sich selbst zu berechnen auf der Basis seines aktuellen Zustands
und der Information, die in dem N (oder weniger) empfangenen Bakensignal enthalten
ist. Diese Berechnung wird ausgeführt unter Verwendung der folgenden
Differentialgleichung:
-
In
der Gleichung [1] ist n ≤ N
die Anzahl von ersten Nachbarn, für die dieser Knoten ein richtig
formatiertes Bakensignal empfangen hat, d. h. ein Bakensignal einschließlich eines
erkennbaren Tags bzw. einer Markierung, der/die den Sender als ein vertrauenswürdiges Element
der Gemeinschaft identifiziert. Die Summe repräsentiert dann den Warnpegel
der n vertrauenswürdigen
Nachbarn, wobei (1 – x) für Sättigungseffekte
steht. Der rechte Term βx
(mit 0 < β < 1) führt eine
Form eines Abklingens ein, wodurch eine Firewall-Stärke spontan
abnimmt, wenn nicht kompensiert. Es sollte angemerkt werden, dass,
da es keinen unabhängigen
Term gibt, x = 0 immer eine triviale Lösung der Gleichung [1] ist,
was bedeutet, dass, wenn eine Sicherheit nicht-existent ist, eine
externe Intervention erforderlich ist, um den Sicherheitspegel über null
zu heben.
-
Eine
Untersuchung von Grenzfällen
liefert eine nützliche
Information über
ein Systemverhalten, das durch die Gleichung [1] erzeugt wird. Zum
Beispiel die Betrachtung der Situation, wo keine der N ersten Nachbarn
vertrauenswürdige
Knoten sind (die Vorrichtung ist isoliert mitten unter möglicherweise feindlichen
Peers bzw. Teilnehmern), n ist gleich null und die Summe ist null.
Die Gleichung [1] wird dann:
und die (stabile) positive
Lösung
ist:
x = 1 – β [2b] -
In
anderen Worten, vorausgesetzt dass x > 0, wenn ein Knoten anfangs aufgebaut
wird (restliche Sicherheit), steigt der Warnpegel eines isolierten Knotens
progressiv an, bis er 1 erreicht (volle Sicherheit), zumindest wenn β << 1, was typischerweise der Fall sein
wird (spontane Auslöschung
der Firewall sollte relativ langsam gehalten werden).
-
Ein
weiterer interessanter Fall ist für ein Netzwerk zu finden, das
nur „freundliche" Knoten aufweist.
In diesem Fall ist n = N und x sollte in dem System identisch sein
(x
i = x). In dieser Situation wird die Gleichung
[1]:
-
Durch
ein Eliminieren der trivialen Lösung
x = 0 wird der Ausdruck [3a] eine einfache Gleichung des zweiten
Grades:
was eine stabile und eine
unstabile Lösung
erlaubt, gegeben durch:
-
Diese
Lösungen
existieren nur, wenn α > 4β, in diesem Fall wirkt die untere
als eine Schwelle, über der
ein spontanes Abklingen für
die kombinierte Selbst- und Kreuz-Erregung unter den Knoten nicht kompensieren
kann und die gesamte Population geht auf einen vollen Sicherheitspegel
(stabile Lösung). Da
in diesem Szenario angenommen wird, dass alle Vorrichtungen vertrauenswürdig sind,
ist dies offensichtlich eine pathologische Situation, die verhindert werden
sollte durch sorgfältige
Auswahl der Parameterwerte (α und β) und der
anfänglichen
Firewall-Stärke
(x).
-
3 ist
ein Graph, der die Gleichungen 3a und 3b zeigt, um die Variation
des Erregungspegels (dx) als eine Funktion einer Firewall-Stärke (x)
für gewählte Werte
von α und β darzustellen.
Aus 3 ist zu sehen, dass die Lösung x ≅ 0,2 die unstabile Schwelle
ist, während
x ≅ 0,8
der maximal erreichbare Sicherheitspegel für die Werte der Parameter α und β ist.
-
Die
Parameterwerte α und β können gewählt werden,
so dass α > 4β – außerhalb des Bereichs, wo die
analytischen Lösungen,
die durch den Ausdruck [3c] gegeben werden, real sind und bestehend
zwischen 0 und 1. Diese Anordnung verhindert die pathologische Situation,
die oben angeführt
wird, und nur die triviale Lösung
x = 0 besteht. In anderen Worten, eine Gemeinschaft von sich gegenseitig
vertrauenden Knoten kann nicht „paranoid werden" und unabhängig von
der Störung
kehren sie letztendlich zu einem niedrigen Sicherheitszustand zurück. Jedoch unter
Berücksichtigung
der Tatsache, dass die nachfolgende Fähigkeit der Knoten, schnell
wieder eine Firewall zu errichten, abhängig ist von ihrem latenten Sicherheitspegel,
ist es anzuraten, diesen Wert „künstlich" über einer gewählten Schwelle > 0 zu halten. Es wird
angenommen, dass diese zusätzliche Einschränkung besteht.
Die Alpha- und Beta-Parameter sollten immer Werte zwischen 0 und
1 haben. Hinsichtlich des Verhaltens des Sicherheitspegels und wiederum
der zugehörigen
Sicherheits-Software,
wie einer Firewall, bestimmt Alpha die Geschwindigkeit, mit der
der Warnpegel bei Abwesenheit des geeigneten inhibierenden Signals
(Baken) zunimmt, während
Beta bestimmt, wie schnell der Knoten zu einer niedrigen Warnung
zurückkehrt,
bei der Rückkehr
zu einer sicheren Umgebung (erste Nachbarn sind vertrauenswürdig und
auf niedriger Warnung).
-
Die 4a und 4b zeigen
ein Beispiel von drei Knoten 401, 403, 405 unter
Verwendung des Bakensignalsystems, das oben angeführt wird.
Die Knoten 401, 403, 405a sind sequentiell
verbunden und solange sie alle freundlich bleiben, wie durch den Buchstaben „F" angezeigt, steht
der Ausdruck [3b] und es kann entweder eine (x = 0) oder drei Lösungen (x
= 0 plus Werte, die durch [3c] gegeben werden) geben, wie in 4a dargestellt
wird. Wenn jedoch ein Knoten 405a beeinträchtigt wird
oder durch einen Eindringling 405b ersetzt wird, wie in 4b gezeigt,
dann sollte sein Bakensignal entweder verschwinden oder durch seine(n)
Nachbarn nicht erkannt werden, was zu n = 1 < N = 2 für den mittleren Knoten 403 führt. In
anderen Worten, die Sicherheitsverletzung, die resultiert aus dem
Ersatz des vertrauenswürdigen
Knotens 405a durch eine feindselige Entität 405b,
und ihr Effekt auf den Wert von n, wie verwendet durch seinen ersten
Nachbarknoten 403 bei der Berechnung seines neuen höheren Sicherheitspegels
oder Warnzustands.
-
Unter
Bezugnahme auf das Beispiel in den
4a und
4b,
wenn die Variablen x und y jeweils den Erregungspegel der oberen
Vorrichtung
401 und der mittleren Vorrichtung
401 darstellen, dann
sollte eine Lösung
die folgenden Bedingungen erfüllen:
-
Was
bedeutet, dass es möglicherweise
einen festen Zustand gibt, der befolgt:
-
Zum
Beispiel, gezeigt in den 4a und 4b,
wenn α =
0,3 und β =
0,1, dann stabilisieren sich die Warnpegel für x ≅ 0,6 und y ≅ 0,83, was zeigt, dass (für diese
gewählten
Parameterwerte) die Vorrichtung 403, die in Kontakt mit
der Bedrohung 405b steht, spontan eine stärkere Firewall
errichtet als ihr besser geschütztes
Gegenstück 401.
-
Wie
oben angeführt,
sendet und empfängt
jeder Knoten ein Bakensignal. Abhängig von dem bestimmten eingesetzten
Netzwerkübertragungsmittel kann
der Weg, wie die Bakensignalinformation übertragen wird, variieren.
Jedoch weisen in dem vorliegenden Ausführungsbeispiel die Bakensignale
eine Anzeige auf, dass das Signal ein Bakensignal ist, einen eindeutigen
Knoten- oder Vorrichtungs-Identifizierer
und eine Anzeige des Sicherheitspegels des sendenden Knotens. Der
Bakensignal-Anzeiger ist in dem Header des Signals platziert, so
dass die Datenpakete, die Bakensignale enthalten, von anderen Paketen
in dem Netzwerk unterschieden werden können. Der eindeutige Knoten-
oder Vorrichtungs-Identifizierer ermöglicht sowohl Knoten, die Bakensignal empfangen,
als auch einem Netzwerk-Manager oder -Administrator, jeden Knoten
oder jede Vorrichtung eindeutig zu identifizieren. Der Identifizierer
kann tatsächlich
eine Registrierungsnummer für
den Knoten in dem Netzwerk sein. Die Berechnung und Verwendung des
Sicherheitspegels wird detaillierter im Folgenden beschrieben.
-
Vorzugsweise
ist das Bakensignal zur Sicherheit verschlüsselt. Das Bakensignal kann
teilweise oder vollständig
verschlüsselt
sein. Wenn ein Signal teilweise verschlüsselt ist, sollten zumindest
der Knoten-Identifizierer
und der Warnpegel verschlüsselt
sein. Die Verschlüsselung
sollte ausgeführt
werden mit einem Schlüssel,
der für
alle vertrauenswürdigen
Knoten in dem Netzwerk verfügbar
ist. Dieser Schlüssel
ermöglicht
den Knoten, ihre eigenen Bakensignale für eine Übertragung zu verschlüsseln und
empfangene Bakensignale zu entschlüsseln. Wenn ein Bakensignal
von einem nicht-vertrauenswürdigen Knoten
empfangen wird, dann liefert die Entschlüsselung des Signals keine gültige Information,
wodurch der nicht-vertrauenswürdige
Zustand seines Senders angezeigt wird. Wenn der Netzwerk-Manager
oder -Administrator wählt,
einen oder mehrere Knoten oder Vorrichtungen als nicht-vertrauenswürdig zu
kennzeichnen, dann wird an die verbleibenden vertrauenswürdigen Knoten
ein neuer Verschlüsselungsschlüssel ausgegeben.
Dies veranlasst, dass die Bakensignale der neu nicht-vertrauenswürdigen Knoten
beschädigt
werden.
-
Ähnlich muss,
um einen Zugang zu dem Netzwerk zu erlangen, ein neuer Knoten oder
eine neue Vorrichtung durch ein Anmeldungs- und Verifizierungsverfahren mit dem
Administrator oder Manager gehen. Dieser Prozess baut vorzugsweise
eine Beziehung zwischen dem Administrator und einem gegebenen Knoten
auf, um eine verschlüsselte
Kommunikation zwischen den beiden zu ermöglichen. Diese Verschlüsselung
sollte ausgeführt
werden mit einem Schlüssel,
der eindeutig für
den Knoten ist. Dies ermöglicht,
dass neue Bakensignal-Verschlüsselungsschlüssel sicher
und selektiv an Knoten gesendet werden können, so dass neu nicht-vertrauenswürdige Knoten
aus dem vertrauenswürdigen Netzwerk
ausgeschlossen sind.
-
Die
Verarbeitung, die jeder Knoten ausführt, um seinen Sicherheitspegel
zu errichten, wird nun unter Bezugnahme auf 5 beschrieben.
Wenn der Knoten seine Aktivität
in dem Netzwerk initiiert, wird ein Timer auf Null gesetzt in Schritt 501 und
in Schritt 503 sammelt der Knoten ankommende Bakensignale von
seinen benachbarten Knoten. In Schritt 505 wird der Timer
inkrementiert und die Verarbeitung geht zu Schritt 507,
wo eine periodische Überprüfung durchgeführt wird,
um festzustellen, ob das Bakensignal des Knotens selbst berechnet
und übertragen
werden soll, und wenn nicht kehrt die Verarbeitung zurück zu Schritt 503.
Wenn es Zeit ist, ein Bakensignal zu senden, dann geht die Verarbeitung
zu Schritt 509.
-
In
Schritt 509 werden alle Signale, die von anderen Knoten
oder Vorrichtungen empfangen werden, verwendet, um zu bestimmen,
wie viele (N) im Bereich sind, und in Schritt 511 werden
die Signale authentisiert, die als Baken erkannt sind, um die Anzahl
von vertrauenswürdigen
Nachbarn (n) zu bestimmen. Die Verarbeitung geht dann zu Schritt 513, wo
der Knoten einen neuen Warnpegel für sich selbst berechnet unter
Verwendung der obigen Gleichung [1], wobei die Werte für N und
n in den Schritten 509 und 511 berechnet werden
und der Warnpegel die vertrauenswürdigen Bakensignale bildet,
die in Schritt 511 bestimmt werden. Sobald die Berechnung abgeschlossen
ist, stellt in Schritt 515 der Knoten sein eigenes Bakensignal
her, verschlüsselt
es und sendet (broadcasts) das vollendete Bakensignal.
-
6 ist
eine Darstellung, wie ein Ring von 32 Knoten reagieren würde, wenn
der Mittlere 8 nicht-vertrauenswürdig
ist, wie durch die schwarzen Balken gezeigt. Eine Graph-Darstellung
wird verwendet, um vier Darstellungen im Verlauf der Zeit zu zeigen.
Die Graphen zeigen Warnpegel der Knoten auf der Y-Achse und die
relative Position der Knoten in dem Ring (wobei Knoten 32 ebenso
sich neben Kno ten 1 befindet). Sobald die Knoten 12 und 21 das geeignete
inhibierende Signal jeweils von ihren „rechten" und „linken" Nachbarn nicht mehr empfangen, beginnt
der Warnpegel der Knoten 12 und 21 zu steigen von dem (eingeführten) Minimumwert
von 0,1 (t = 1). Neun Zeitschlitze später (t = 10) sind neun nicht-vertrauenswürdige Bakensignale
empfangen worden (oder neun vertrauenswürdige Bakensignale sind als
fehlend berichtet worden) von jedem der nicht-vertrauenswürdigen Knoten 13 bis 20. Als
ein Ergebnis sind die Knoten 12 und 21 in der Nähe der maximal erreichbaren
Firewall-Stärke
für diese
Parameterwerte (α =
0,3 und β =
0,1) in dieser eindimensionalen Architektur.
-
Später in dem
Verfahren (t = 100) erhöhen auch
die Knoten 11 und 22 ihren Warnpegel, da, obwohl sie inhibierende
Signale von beiden unmittelbaren Nachbarn empfangen, die Bakensignale
von den Knoten 12 und 21 die Warnpegel für diese Knoten umfassen. Diese
werden berücksichtigt
durch die Knoten 11 und 22 bei der Berechnung ihrer jeweiligen Warnpegel
gemäß der Gleichung
1. In anderen Worten, die Bakensignale von den Knoten 11 und 21 kommen
mit einer angehängten
Sicherheitswarnung. Diese Sicherheitswarnung kann betrachtet werden als
eine zweite Verteidigungsschicht und hat auch den sehr wünschenswerten
Effekt der Verringerung einer Reaktionszeit, wenn die Knoten 12
oder 21 ebenfalls nicht-vertrauenswürdig werden. In anderen Worten,
die nächsten
potentiellen Ziele sind bereits über
dem minimalen Warnpegel, wenn das inhibierende Signal von den Knoten
12 und 21 später
fehlen würde
(was anzeigt, dass sie sie ebenfall beschädigt worden sind).
-
Der
Effekt des Systems wird nun dargestellt in Bezug zu einer komplizierteren
Architektur, wie eine Gitter-ähnliche
Struktur, wobei die Knoten in einem regelmäßigen rechteckigen Gitter angeordnet sind, wobei
jeder Knoten 4 unmittelbare Nachbarn hat (statt 2 wie in dem Beispiel,
das unter Bezugnahme auf 6 beschrieben wurde).
-
7a ist
ein dreidimensionaler Graph, der den Sicherheitspegel von Knoten
in einem Netzwerk 701 in Bezug zu ihren relativen Positionen
in dem Gitter darstellt. 7a zeigt
die Situation, sobald ein stabiles Warnprofil erreicht wurde durch
eine 16×16-Domain
von vertrauenswürdigen
Knoten und sich in der Mitte eines größeren 32×32-Netzwerks von nicht-vertrauenswürdigen Knoten
befindet. Spontan differenzieren sich die 256 gegenseitig vertrauenswürdigen Knoten 701 in
eine Einfassung 703 aus Vorrichtungen, die in Kontakt mit
der äußeren Welt
stehen und für
die Sicherheit zuständig
sind (hoher Warnpegel), und einer Gruppe von 196 Knoten in der Einfassung 703,
auf der eine ruhende Firewall läuft.
Das Fehlen einer zweiten Verteidigungsschicht in der Einfassung
kann der Tatsache zugeordnet werden, dass Parameterwerte dieselben
sind wie für
das eindimensionale Beispiel (6, α = 0,3 und β = 0,1), während die
Anzahl der Nachbarn, die durch jeden Knoten überwacht werden, verdoppelt
sind (4 statt 2). Dies führt
dazu, dass die sekundäre
Verteidigungsreaktion zu einem gewissen Grad unterdrückt ist.
Jedoch ist ein Indiz dieser sekundären Reaktion in 7a zu
sehen durch den leicht erhöhten
Sicherheitspegel der Knoten 705 an den inneren Ecken der Einfassung 703.
Dies ist ein Ergebnis davon, dass diese Knoten 705 zwei
unmittelbare Nachbarn mit einem hohen Sicherheitspegel an der Peripherie
der Einfassung 703 haben.
-
7b zeigt
die spontane Reorganisation der Einfassung 703, das heißt die Reaktion
darauf, dass einige Knoten aus der vertrauenswürdigen Domain ausgeschlossen
werden, d. h. nicht-vertrauenswürdig werden.
In anderen Worten, das Profil der Firewall-Software kann sich dynamisch ändern, um auf Änderungen
der Netzwerktopologie zu reagieren. In diesem Fall wurde ein Teil
der ur sprünglichen
Domain, der 25% der Knoten darstellt, als nicht-vertrauenswürdig erklärt. Eine solche Situation kann
zum Beispiel aus einer menschlichen Entscheidung resultieren, die
entsprechende Teil-Domain auszuschließen durch Verteilen eines neuen
Verschlüsselungsschlüssels an
die verbleibenden 75%. Dies würde
zu der tatsächlichen
Beschädigung
(corruption) von Bakensignalen von den alten Elementen führen, da
sie nicht länger
erkannt werden und so ihren inhibierenden Effekt verlieren.
-
Der
Zweck des oben beschriebenen Systems ist, einen Warnpegel zu berechnen,
der sich automatisch und dynamisch an eine Änderung in der Umgebung anpasst,
die Sicherheitsimplikationen hat. Typischerweise kann die Öffnung einer
Sicherheitsverletzung in einer mobilen Architektur, wie einem Adhoc-
oder Peer-to-peer(p2p)-Netzwerk,
2 unterschiedliche Anfange haben:
- • Eine Vorrichtung
in dem Netzwerk bewegt sich in potentiell gefährliches Territorium, wo sie
Angriffen durch übel
wollende Entitäten
ausgesetzt sein kann (zum Beispiel außerhalb der Firewall).
- • Eine
nicht-vertrauenswürdige
Entität
bricht in eine vorher sichere Umgebung ein (zum Beispiel ein Laptop
wird physikalisch in den Bereich eines anderen Computers gebracht,
so dass eine direkte Verbindung aufgebaut werden kann, ohne durch
einen geschützten
Eingangspunkt zu gehen).
-
Ein
Knoten, auf dem das oben beschriebene System läuft, erhöht seinen Warnpegel als Antwort auf
eine dieser Änderungen
durch Erfassen der Präsenz
eines Informationsflusses, der nicht zu einem richtig formatierten/verschlüsselten
Bakensignal gehört
(n < N). Wie jedoch
für Fachleute
offensichtlich ist, bleibt die Definition, welche Änderungen
in der Sicherheitsstrategie aus diesem erhöhten Warnpegel resultieren,
die Verantwortung des Netzwerk-Administrators und kann wesentlich
von einem Netzwerk zu einem anderen variieren.
-
Trotzdem
kann, wie offensichtlich ist, der Knoten seinen Warnpegel x verwenden,
um unter mehreren Sicherheitsstrategien zu wählen, wie durch die Netzwerk-Administratoren
definiert. Herkömmlicherweise
sind 4 generische Sicherheitseinstellungen definiert:
- 1. Nichts ist erlaubt (der paranoide Ansatz).
- 2. Alles, was nicht ausdrücklich
erlaubt ist, ist verboten (der vorsichtige Ansatz).
- 3. Alles, was nicht ausdrücklich
verboten ist, ist erlaubt (der freizügige Ansatz).
- 4. Alles ist erlaubt (der promiskuive Ansatz).
-
Im
Allgemeinen definiert ein Netzwerk-Administrator mehrere vorsichtige
und mehrere freizügige Strategien.
Zum Beispiel in dem E-Mail-Szenario:
- Freizügig
1. Alles ist erlaubt, außer
ausführbare
Anhänge.
- Freizügig
2. Alles ist erlaubt, außer
ausführbare
Anhänge
und eine drahtlose Verwendung.
- Vorsichtig 1. Alles ist verboten, außer Textnachrichten über ein
verdrahtetes Medium.
- Vorsichtig 2. Alles ist verboten, außer verschlüsselte Textnachrichten über ein
verdrahtetes Medium.
-
Der Übergang
zwischen diesen Strategien wird geregelt durch den Warnpegel des
Knotens, der wiederum abhängt
von der Präsenz/Absenz
von nicht-vertrauenswürdigen
Entitäten,
ihrem Anteil in der Umgebung und den Parameterwerten (die ebenfalls
gewählt
werden sollten durch den Administrator, um seine/ihre Sicherheitsbedenken
zu reflektieren). Zum Beispiel kann ein Warnpegel x < 0,25 interpretiert
werden als Freizügig
1, 0,25 < x < 0,5 als Freizügig 2, 0,5 < x < 0,75 als Vorsichtig
1 und x > 0,75 als Vorsichtig
2.
-
Wie
für Fachleute
offensichtlich ist, kann das System implementiert werden mit Knoten,
die unterschiedliche Vertrauenspegel zueinander haben. In anderen
Worten, ein Knoten kann teilweise oder vollständig vertrauenswürdig sein,
wobei einem teilweise vertrauenswürdigen Knoten zu erlauben ist,
einen Teilsatz aller Operationen in dem Netzwerk auszuführen. Die
teilweise vertrauenswürdigen
Knoten können
eine Verbindung zu dem Netzwerk unterhalten, aber das Sicherheitssystem
stellt sicher, dass diese auf einem höheren Sicherheitspegel ist
als Verbindungen mit vertrauenswürdigen
Vorrichtungen, die freizügiger
sind. Dies kann implementiert werden durch Aufnehmen in jedes Bakensignals
eines Vertrauenspegels für
den Knoten, der durch den Netzwerk-Administrator zugewiesen wird.
Der Vertrauenspegel kann als ein Satz von Privilegien wirken, d. h.
die für
den Knoten erlaubten Operationen definieren, oder er kann dazu dienen,
den Warnpegel der vertrauenswürdigen
Knoten zu erhöhen,
mit denen der teilweise vertrauenswürdige Knoten Verbindungen herstellt.
-
Es
sollte auch angemerkt werden, dass aufgrund der selbsterweiternden
Eigenschaft des Systems einige dieser Zustande wahrscheinlich unstabil sind,
was ein sehr wünschenswertes
Merkmal sein kann, wenn richtig verwendet. Wenn zum Beispiel eine
nicht-vertrauenswürdige Vorrichtung
auf dem Netzwerk vorhanden ist und Freizügig 2 auslöst, kann x (der Warnpegel)
selbständig
ansteigen und schließlich
Vorsichtig 1 erreichen, außer
die Gefahr verschwindet. Dies wäre äquivalent
dazu, dass das System autonom, spontan und implizit eine Unterscheidung
zwischen einem transienten Risiko (nicht-vertrauenswürdiger drahtlos-aktivierter
Laptop kommt zufällig
vorbei), das temporär
ein etwas höheres
Profil erfordert, und einem bestimmten Hacker-Versuch (die Präsenz einer
nicht identifizierten Vorrichtung wird für mehrere Minuten aufgezeichnet), der
ausführlichere
Gegenmaßnahmen
erfordert.
-
Das
System sollte angesehen werden als ein Weg, niemals einen konstanten
Pegel von akzeptablen Risiken in einer sich ändernden Umgebung zu überschreiten,
mit dem Wissen, dass diese Risiken relativ hoch sein können (wie
Ermöglichen
von 10% von nicht identifizierten Vorrichtungen in einem Kommunikationsbereich,
vor Gehen zu Freizügig
2 zum Beispiel). Es ist tatsächlich
immer der Fall, dass Effizienz und Sicherheit gegeneinander abgewägt werden
müssen,
und das System liefert ein Mittel zum Unterhalten eines solchen
Gleichgewichts in den besonders anspruchsvollen Umständen einer
unvorhersehbar dynamischen Gefahr.
-
Die
folgende Gleichung [5] ist eine Alternative zu der oben beschriebenen
Gleichung [1].
-
-
Wenn
der Exponent Gamma in der Gleichung [5] höher als eins ist, verlangsamt
er den Anstieg des Warnpegels, wenn er niedriger als eins ist (jedoch
sollte er immer positiv sein), hat er den entgegengesetzten Effekt
(macht ihn schneller). Die Gleichung ermöglicht eine Anpassung an höhere Dimensionen
einer Konnektivität
in dem Netzwerk. Wenn zum Beispiel ein Knoten zehn Nachbarn hat
(N = 10, fünf
Dimensionen in einem rechteckigen Gitter), kann es für den Warnpegel
der Knoten wünschenswert
sein, schneller anzusteigen, auch wenn sie weiterhin stark inhibiert
sind, d. h. vertrauenswürdige
Bakensignale von den meisten umgebenden Knoten empfangend. Zum Beispiel
können
zwei nicht-vertrauenswürdige
Knoten unbedeutend erscheinen, wenn sie in den Bakensignalen untergetaucht
sind, wel che die Verteidigungen der Knoten inhibieren (im Gegensatz
als sie vier Nachbarn waren). Jedoch bedeutet dies nicht unbedingt,
dass zwei gefährdete Nachbarn
eine geringere Gefahr sind, somit kann der Administrator (oder ein
adaptiver Algorithmus), um zu kompensieren, Gamma verringern, so
dass zwei fehlende Baken aus zehn genauso ernst genommen werden
wie zwei fehlende Baken aus vier.
-
Wie
für Fachleute
offensichtlich ist, können die
Gleichungen [1] und [5] weiter modifiziert werden, um auf spezifische
Konditionen zu reagieren, zum Beispiel ein Erhöhen einer nicht-Linearität durch
Einführen
von Konstanten oder weiterer Exponenten.
-
Knoten
können
ausgebildet sein, Bakensignale zu übertragen, die den Warnpegel
von dem Signal spezifisch weglassen, sondern stattdessen die Emissionshäufigkeit
des Bakensignals modifizieren. In anderen Worten, wenn die Häufigkeit
einer Bakensignalemission steigt, steigt der Warnpegel. Andere Mittel
zum Kommunizieren derselben Daten, wie in dem Bakensignal enthalten,
sind für
Fachleute offensichtlich.
-
Es
ist für
Fachleute offensichtlich, dass die Vorrichtung, welche die Erfindung
beinhaltet, eine Universalvorrichtung sein kann mit Software, die
ausgebildet ist, ein Ausführungsbeispiel
der Erfindung vorzusehen. Die Vorrichtung kann eine einzelne Vorrichtung
sein oder eine Gruppe von Vorrichtungen und die Software kann ein
einzelnes Programm oder ein Satz von Programmen sein. Ferner kann
ein Teil oder die gesamte Software, die verwendet wird, um die Erfindung
zu implementieren, auf verschiedenen Übertragungs- und/oder Speichermitteln
enthalten sein, wie eine Floppy-Disk, CD-ROM oder ein magnetisches
Band, so dass das Programm auf eine oder mehrere Universalvorrichtungen
geladen werden kann oder über
ein Netzwerk heruntergeladen werden kann unter Verwendung eines
geeigneten Übertragungsmittels.
-
Außer der
Kontext erfordert es offensichtlich anders, sollen in der Beschreibung
und den Ansprüchen
die Wörter „aufweisen", „aufweisend" und dergleichen
in einem inklusiven statt einem exklusiven oder ausschließenden Sinn
interpretiert werden; das heißt,
in dem Sinn von „einschließlich, aber
nicht darauf beschränkt".
