Les réseaux Ad hoc sont des réseaux sans fil sans infrastructure fixe. Les noeuds doivent donc collaborer pour organiser l'échange d'informations de contrôle et permettre l'acheminement du trafic. Ces réseaux doivent posséder la capacité de s'auto-configurer, sans intervention humaine. Suivant la définition de groupe MANET (Mobile Ad hoc NETwork) de l'IETF (Internet Engineering Task Force) [4], un réseau Ad hoc mobile, est un système autonome de noeuds mobiles reliés par des liens sans fil dont l'union forme un graphe arbitraire.
Un réseau MANET possède des exigences spécifiques en terme de sécurité, du fait de ses particularités : liens sans fil, contraintes d'énergie, limitation de la bande passante et de la puissance de calcul, connectivité non permanente d'un noeud avec les autres noeuds. Ces caractéristiques rendent les réseaux Ad hoc mobiles sophistiqués et capables d'opérer dans des conditions difficiles, mais aussi vulnérables aux différents problèmes de sécurité, comme la gestion des clés de chiffrage, distribution des certificats, gestion de confiance entre les noeuds, la coopération, etc. Dans ces réseaux, le problème principal ne se situe pas au niveau du support physique, mais principalement dans le fait que tous les noeuds sont équivalents et potentiellement indispensables (fonction de routage) au fonctionnement du réseau. Les possibilités de La question de la confiance s'est appliquée dans le monde des télécommunications avec des modèles reposant sur la connaissance au préalable des identités. Si aucune information n'est transmise au préalable, la confiance ne s'établit pas, elle n'est pas adaptative [6]. C'est bien cette condition qui rend ces modèles contraignants et binaires, imposant aux entités communicantes qu'elles soient d'abord connues puis reconnaissables (identifiées et authentifiées) tout au long de l'échange (maintien de la confiance). Si la connaissance préalable des identités est possible pour des réseaux maîtrisés, elle ne peut pas naturellement s'imposer à des réseaux dont les caractéristiques sont tout le contraire : topologie réseaux fortement dynamique, passage à l'échelle incontrôlé et population anonyme.
Dans ce papier, nous allons concentrer sur notre architecture de sécurité proposée dans [13], pour développer les systèmes dynamiques de gestion de clés adaptés aux caractéristiques du réseau Ad hoc. Nous proposons un modèle de confiance probabiliste basé sur le principe de la réputation pour définir la connectivité entre les noeuds de confiance, afin de mettre en place un bon modèle de gestion de la confiance a pour objectif d'évaluer la robustesse de notre nouvelle architecture dans le but de sécuriser les réseaux MANETs.
Le présent papier est organisé comme suit : nous décrivons dans la section 2, les solutions proposées dans la littérature, qui traitent de la distribution et de la gestion des clés dans l'environnement des réseaux MANETs. Dans la section 3, nous présentons notre architecture de sécurité en expliquant les objectifs de notre modèle de confiance et les modules de surveillance et gestion de groupe. Enfin, et avant de conclure, nous discutons et commentons dans la section 4, les résultats obtenus par simulation de la solution proposée.
Un cadre de gestion de la confiance doit permettre à une entité de prendre une décision en fonction de son expérience et d'une analyse des risques encourus. L'idée principale est d'évaluer le trait prévisible d'une autre entité et d'établir le niveau de confiance qu'il lui est porté, c'est-à-dire paraît-il digne de confiance ? Est-il honnête dans les réponses aux requêtes? Dans [1] les auteurs montrent qu'un tel cadre de gestion de la confiance peut revêtir trois formes :
Les systèmes de Credentials (à base de certificats). Les systèmes de réputation et de recommandation. Et les systèmes développés à partir du réseau social de l'utilisateur.
Les deux premiers systèmes reposent en général sur une infrastructure à clefs publiques et sont aujourd'hui les plus répandus. Ils garantissent l'identité de chaque entité par l'émission d'un certificat. L'autorité peut se répartir suivant deux modèles : centralisé ou distribué. Le modèle distribué offre une meilleure disponibilité du service du fait de la décentralisation des informations de confiance mais se heurte cependant à la difficulté de répartir la clef privée avec cohérence entre chaque membre. Dans le modèle distribué, l'autorité est distribuée en plusieurs entités de certification, La cryptographie à seuil est en charge de la problématique de la distribution des clefs privées.
Les modèles partagés ne gèrent pas l'identité des entités, et sont statiques. Le secret, distribué au préalable, identifie le groupe et se partage entre l'ensemble des membres. L'authentification s'effectue sur la connaissance du secret partagé. La compromission d'un seul membre met en danger l'ensemble du groupe.
Les modèles coopératifs ne nécessitent pas la présence du tiers de confiance. Chaque entité contribue au calcul du secret du groupe.
Ce cadre repose sur la mise en place d'une ou plusieurs politiques de sécurité et d'un système de certificats : les noeuds utilisent la vérification des certificats pour établir un lien de confiance avec les autre noeuds [2]. Le principal but de tels systèmes est de permettre le contrôle d'accès. En conséquence, leur concept de gestion de la confiance se limite aux règles de politiques définies par chaque application [3].
Un noeud rendra accessible à un autre noeud un service dont l'accès est normalement restreint seulement si ce dernier peut lui prouver la validité d'un certificat.
Dans ce cadre, la gestion de la confiance repose sur un modèle de réputation et/ou de recommandation. La réputation peut-être vue comme l'espérance portée dans la réalisation d'un objectif fictif. La recommandation serait la qualité supposée d'un noeud qu'il détiendrait d'un tiers et qu'il présenterait à un autre noeud. De tels systèmes fournissent un mécanisme pour lequel un noeud demandant une ressource peut évaluer la confiance qu'il porte au fournisseur à la lui fournir, Chaque noeud établit ainsi des relations de confiance avec les autres noeuds et assigne des valeurs de confiance à ses relations [14]. La valeur assignée à la relation de confiance est fonction d'une combinaison entre la réputation globale du noeud et l'évaluation de la perception du noeud, c'est-à-dire basée sur son expérience propre.
Enfin dans ce cadre, le réseau social sous-jacent conditionne le cadre de gestion de la confiance. Les relations sociales sont utilisées pour calculer les valeurs de réputation et de recommandation entre chaque noeud. De tels systèmes analysent le réseau social qui représente les relations existantes dans chaque communauté dans le but de tirer des conclusions sur les niveaux de confiance à accorder aux autres noeuds, Ils reposent sur des mécanismes de réputation, de crédibilité, d'honnêteté et également des procédés de recommandations. Les exemples de tels systèmes de gestion inclus Regret [11] qui identifie les différents groupes en utilisant directement le réseau social et NodeRanking [10] qui tente d'identifier des experts par le biais du réseau social.
Pour sécuriser les réseaux Ad hoc, nous envisageons une architecture hiérarchique [13] pour distribuer le rôle de l'autorité de certification (CA) sur les noeuds qui bénéficient d'un certain niveau de confiance pour la sécurité et d'une certaine stabilité pour optimiser la charge du réseau et augmenter la durée de vie du réseau. Cette architecture est composée d'un modèle de confiance sur lequel la sélection des chefs du groupe (leaders) est basée. Pour atteindre cet objectif nous proposons un algorithme d'élection distribué (AED) [13] qui consiste à diviser le réseau sous forme de groupes, avec un noeud chef de groupe pour chaque Cluster (groupe). Le rôle de l'autorité de certification est affecté au noeud chef de groupe qui doit disposer d'un certain niveau de confiance et une meilleure stabilité par rapport à ses noeuds voisins.
Le concept de sécurité proposé dans cette architecture repose sur les idées suivantes : Définir une architecture Ad hoc basée sur la division du réseau avec un seul chef par groupe (Cluster). Crée une atmosphère de confiance entre toutes les entités du groupe, en utilisant un modèle de confiance hybride, distribué et coopératif fondé sur des éléments que nous suggérons, et qui sont nourris par les interactions de l'entité communicante avec son environnement. Dans chaque groupe, élire un noeud chef (Cluster Head), parmi les noeuds qui disposent d'un niveau de confiance plus élevé. Mettre en ouvre la cryptographie à seuil pour sécuriser les interactions inter groupes. Maintenir l'architecture de sécurité le plus longtemps possible.
Le modèle de confiance proposé consiste à fournir les mécanismes nécessaires pour associer un niveau de confiance à chaque noeud du système via sa table de routage. Un mécanisme basé sur la notion de réputation est mis en place. Toutefois, si un noeud réussi très régulièrement à acheminer un paquet de données avec un même noeud, sa réputation peut devenir importante et donc autoriser des accès à des services plus évolués dans le groupe (notamment le service d'authentification). Dans le type de ces réseaux la notion de réputation est limitée à des interactions de type un à un, et donc n'aura que très peu d'impact sur le réseau. Pour augmenter la portée dans notre modèle, nous proposons d'introduire un autre mécanisme basé sur le principe de recommandation. La confiance locale pour une entité (noeud ou participant) peut donc être transmise, l'acceptation d'une recommandation étant assujettie également au degré de confiance accordé à l'entité qui propose cette recommandation.
Cependant, la question qui se pose ici, est comment publier la confiance dans notre modèle tout en garantissant sa validité ? Pour cela, on va définir quelques paramètres qui peuvent assurer le déroulement de notre modèle :
Nous supposons qu'il existe une relation sociale entre les noeuds dans le but d'établir des relations de confiance. Aussi chaque noeud possède une paire de clés privées/publiques. Initialement, les noeuds de confiance se connaissent entre eux (climat de confiance) (l'identité et la clé publique) et ils sont considérés comme des noeuds honnêtes qui ne doivent pas générer des faux certificats.
Un seuil de confiance Sc (Sc : valeur continue dans l'intervalle : ]0, 1]), et une valeur de réputation (Vr) (Vr : valeur continue dans l'intervalle : [0, 1]). Un noeud (i) possède un seuil de confiance plus élevé (Sc (i) = 1), s'il est connu par d'autres noeuds de confiance et a échangé les clés via un canal sécurisé (rencontre physique par exemple) [13] avec un ou plusieurs noeuds de confiance. Un seuil de confiance très élevé, existe aussi si le noeud a prouvé sa totale coopération et son bon comportement (Vr = 1) (principe de réputation). Si un nouveau noeud est ajouté à la liste des noeuds de confiance par un ou plusieurs noeuds de confiance, les autres noeuds doivent mettre à jour leurs listes des noeuds de confiance. Chaque noeud dispose dans sa table de routage de deux tables (une table de confiance et une table de réputation), qui seront actualisées à chaque changement de Sc et/ou de Vr. Chaque noeud inconnu commence avec le plus bas seuil de confiance (Sc = 0.1) et le plus bas niveau de réputation (Vr = 0). L'idée de ce principe consiste à obliger les noeuds inconnus à coopérer et bien se comporter [8]. Pour estimer le chemin de confiance entre deux noeuds, on propose de prendre la valeur minimum entre leurs deux seuils de confiance.
Lorsque deux éléments d'un groupe veulent communiquer sans connaissance préalable, ils s'échangent leur liste de certificats et vont essayer de créer une chaîne de confiance entre eux (Figure 1). Supposons qu'un élément x veuille communiquer avec un autre élément (noeud) z, si x fait confiance en un troisième élément y, et z fait aussi confiance en y, alors une chaîne de confiance entre x et z pourra être établie via y (le principe de recommandation). Dans ce cas, x peut donner physiquement sa clé publique à y (main à main ou par téléphone, etc.) l'élément y connaît x et donc signe sa clé publique. Puis il redonne la clé signée et en garde une copie. Quand x veut communiquer avec z, il lui envoie une copie de la clé que y a signée. Le noeud z, qui a déjà la clé publique de y (il l'a eu à un autre moment) et qui fait confiance à y pour certifier les clefs d'autre noeuds, vérifie sa signature sur la clé de x et l'accepte. De ce fait y a recommandé x à z. Notre modèle de confiance commence par instaurer à la place d'une autorité centrale de certification un climat de confiance entre toutes les entités du groupe. Ensuite le modèle va donner à chaque noeud connecté les deux valeurs (Sc, Vr) selon son état dans le réseau (noeud de confiance, noeud de réputation, noeud visiteur, noeud inconnu, etc.), et qui à partir de ces valeurs, le noeud peut authentifier ou s'authentifier au sein de notre groupe.
Le réseau dans notre architecture est divisé en plusieurs Clusters afin d'éviter le trafic à longue portée et d'augmenter la disponibilité en fournissant les services locaux, ainsi que d'assurer une tolérance aux pannes. Si une tentative d'intrusion est détectée suffisamment tôt, les réponses de notre peuvent permettre de limiter localement les conséquences d'une attaque. La formation des Clusters est faite automatiquement. Tout Cluster se voit affecté un chef (Cluster-head "CH"). Le noeud CH émet périodiquement la liste des noeuds et des passerelles appartenant au Cluster.
Les caractéristiques principales de notre architecture sont énumérées comme suit :
Le système n'a besoin d'aucun tiers de confiance central. Ce système est dynamiquement adapté à tout changement de topologie. La fonction d'authentification est distribuée à chaque groupe. Les noeuds ayant un degré de confiance élevé contrôleront le comportement de chaque noeud ayant un degré de confiance faible au sein du groupe. La stabilité de la gestion des clés publiques dépend de la stabilité du groupe. La couche réseau : les noeuds chargés du contrôle surveillent les activités de transmission de paquets de leurs noeuds voisins, qui ont un degré de confiance faible. Cette idée est basée sur le paramètre de coopération des noeuds dans le réseau. La définition de ce paramètre consiste à calculer pour chaque noeud la proportion de paquets bien retransmis par rapport au nombre total de paquets devant être transmis sur une certaine période. Cette période est la période qui consiste à collecter les informations données par les noeuds pour calculer le niveau de réputation. Soient deux noeuds X et Y avec Sc(X) > Sc(Y), dans ce cas, le noeud X peut contrôler le noeud Y. Le noeud X envoie un certain nombre de paquets de données au noeud Y avec un autre noeud comme destination, et après une période de temps limitée, le noeud X peut calculer le niveau de réputation :
Comme nous avons déjà expliqué précédemment, chaque noeud inconnu commence avec une valeur de réputation la plus faible (Vr = 0) et ce degré augmente au fur et à mesure que le noeud prouve sa coopération et son bon comportement. Les niveaux de réputation générés par les noeuds sont liés aux degrés de confiance correspondant à chaque noeud. Telle est la tâche du chef de groupe. Le rapport final R(X, Y) concernant la valeur de réputation Vr fourni au noeud Y généré par chaque noeud chargé du contrôle X, est : B) Gestionnaire du groupe : est constitué de l'autorité de certification du groupe (le noeud CA) et d'un ensemble de noeuds ayant des degrés de confiance élevés (les noeuds qui constituer le climat de confiance). Le rôle de gestionnaire du groupe est d'assurer la sécurité du groupe là où le noeud CA génèrera un certificat pour les membres du groupe.
(2)
Le module gestionnaire du groupe collecte le rapport de réputation des membres du groupe. Les noeuds chargés du contrôle génèrent des rapports évaluant la réputation de leurs voisins sur demande. Le noeud CA exige que les noeuds chargés du contrôle génèrent le rapport de réputation des noeuds. Lorsque le CA reçoit le rapport d'évaluation de réputation envoyé par les noeuds chargés du contrôle, le calcule du rapport de réputation finale de chaque noeud est effectué comme indiquer dans l'équation ci-dessous. Si le CA reçoit k rapports de la part des noeuds chargés du contrôle, pour évaluer le noeud y, alors :
Lorsque le noeud CA possède les rapports de réputation, la classification des comportements est effectuée pour classer les noeuds. Si le rapport de réputation dépasse un certain seuil, le degré de confiance augmente, sinon, le degré de confiance ne change pas. Cependant, si le rapport est en dessous d'un certain seuil, le degré de confiance diminue et les noeuds se comportant mal seront punis. Dans le cas où les noeuds ont un rapport négatif plusieurs fois (récidivistes), les noeuds se comportant mal seront rejetés du groupe et le CA informe les autres CA de groupes adjacentes de la récidive des noeuds se comportant mal.
La formation des Cluster dans l'architecture proposée se fait par l'élection des Clusterheads et par la ré-affiliation des noeuds à ces Cluster-heads. Contrairement à beaucoup d'algorithmes dans la littérature, le mécanisme d'élection des Cluster-heads n'est pas synchronisé entre tous les noeuds du réseau. Il n'implique pas que tous les noeuds exécutent en même temps la procédure d'élection. La décision d'être Cluster-head est effectuée par chaque noeud ne détectant pas dans le k-voisinage un Cluster-head à qui s'affilier. Il diffuse alors un message "MES" dans son k-voisinage tout en indiquant son seuil de confiance. Chaque noeud qui reçoit un message "MES" compare le seuil de confiance de son Cluster-head avec le seuil de confiance reçu dans ce message. Si le seuil reçu est supérieur, il peut se joindre à ce nouveau Cluster-head sous certaines conditions. Notons qu'une ré-affiliation peut se produire lorsque : Un noeud membre se déplace d'un Cluster à un autre. Un noeud membre devient un Cluster-head.
Nous avons opté pour une élection du noeud CH "CA" selon un algorithme de Clustering distribué AED (Algorithme d'Election Distribué). Cet algorithme sera implémenté selon les critères suivants :
1. Pour chaque Cluster, il existe un seul CH. 2. Seulement les noeuds de confiance qui peuvent être candidats au statut CH "CA". 3. Chaque chef de groupe est le CA d'un seul groupe. 4. Les noeuds qui appartiennent au groupe doivent être à (k) sauts du noeud CA tels que (k) est la taille du groupe à définir.
Le noeud passerelle Np, sera sélectionné parmi les noeuds de confiance voisins au CA. 6. Les noeuds membres Nm, ce sont les noeuds qui appartiennent au groupe.
Notre algorithme est basé sur l'émission périodique des paquets balise par les noeuds de confiance vers leurs voisins à chaque période de temps prédéfinie. Chaque paquet balise contient les informations nécessaires pour l'élection d'un noeud CA. La sélection d'un noeud CA est basée sur deux critères principaux : la sécurité et la stabilité.
Le paramètre de la sécurité dépend de la valeur de confiance, uniquement les noeuds (i) avec (Sc (i) = 1) et au moins un noeud de confiance comme voisin direct qui peuvent se présenter comme candidats pour devenir un CA dans un groupe. Cette condition est nécessaire pour la formation des groupes. Pour renforcer la sécurité, l'algorithme sélectionne le candidat avec un nombre maximum de voisins de confiance, cela indique aussi le degré de confiance dans le groupe.
Le paramètre de la stabilité est très important pour la formation des groupes, ce paramètre est défini comme la durée de vie d'un groupe. Plusieurs stratégies sont utilisées par des algorithmes proposés dans la littérature, comme Lowest-ID [5] Mobic [9], l'idée consiste à sélectionner le noeud dont l'identité est la plus petite. Dans notre algorithme, nous avons adopté la métrique de mobilité comme paramètre de stabilité.
La métrique de mobilité est basée sur le niveau de puissance du signal à la réception sur chaque noeud, c'est un indicatif de distance relative entre les noeuds émetteurs et récepteurs.
Le ratio Rα entre les transmissions de deux paquets successifs, donne une connaissance sur la mobilité relative entre deux noeuds voisins X et Y [8].
Le calcul de la mobilité relative d'un noeud Y par rapport à ses n voisins, consiste à calculer la variance de l'ensemble de mobilité relative Rm y de ses voisins X i : Une faible valeur de Rm y indique que Y est moins mobile par rapport à ses voisins. Par contre, une grande valeur de Rm y montre que le noeud Y est très mobile par rapport à ses voisins.
Nous avons mené une série de simulations afin d'évaluer les performances du mécanisme de Clustering proposé. Nous avons utilisé pour cela le simulateur NS-2 [12], dans lequel nous avons implémenté notre algorithme décrit précédemment. L'utilitaire « setdest » de NS-2 a été utilisé pour générer les scénarios de mobilité des noeuds selon le modèle de mobilité «Random Waypoint ». Nous avons fait varier la vitesse des noeuds en maintenant les temps de pause constants.
Dans cette simulation, notre modèle est établi selon les paramètres suivants : Nous remarquons une grande différence au niveau de la portée de transmission à 50 m, cela est dû à notre condition de formation de groupes (Clusters), un noeud de confiance tout seul ne peut pas former son propre groupe, il doit avoir au moins un noeud voisin de confiance. Dans cette simulation, le nombre de groupes formés ne doit pas dépasser 25 groupes. Cependant, avec la portée de transmission entre 50 et 125 m, le nombre de groupes diminue et lorsque la porte de transmission dépasse les 150 m, le réseau devient plus stable et le nombre de groupes devient plus ou moins stable. Avec des groupes de taille égale à 2 sauts (k=2), nous obtenons moins de groupes que dans le cas de Mobic et Lowest-ID. participer à l'élection du noeud CA. Seuls les noeuds de confiance peuvent être candidats au rôle de CA. Si un noeud malicieux tente de s'introduire dans le processus d'élection, cela soit par l'annonce de sa candidature, soit par la manipulation non autorisée de l'information des paquets balises d'élection, les noeuds de confiance le détectent au niveau de la phase d'authentification dans l'algorithme AED. Supposons que les noeuds malicieux ont réussi à former leurs groupes et qu'ils tentent de communiquer avec d'autres groupes, les noeuds CAs des groupes de destination authentifient le noeud CA du groupe source, enfin, selon le résultat de l'authentification et après l'évaluation du seuil de confiance de chaque noeud, les noeuds CAs décident d'accepter ou de rejeter la communication.
L'approche de notre modèle de gestion de la confiance oblige les noeuds à collaborer et à adopter un bon comportement pour l'obtention d'un niveau de confiance plus élevé.
Dans notre modèle de gestion de la confiance :
Toutes les communications venant des noeuds ou des groupes malicieux sont ignorées.
Les attaques de type déni de service (DoS) sont évitées par les noeuds de confiance qui filtrent toutes les requêtes venant des noeuds inconnus.
Les noeuds malicieux peuvent utiliser l'identité des noeuds légitimes uniquement si leur clé privée est divulguée. Si un attaquant tente de compromettre tout le réseau, il doit compromettre tous les noeuds de confiance. La taille du groupe doit être adaptée au nombre de noeuds de confiance pour bien sécuriser le noeud CA (un compromis entre les noeuds de confiance et les noeuds inconnus doit être trouvé). La présence de deux noeuds de confiance est une configuration minimale pour former un groupe.
Dans cet article, nous avons proposé un modèle de connectivité de confiance pour étudier la robustesse de la sécurité au sein des groupes. Nous avons proposé une nouvelle architecture distribuée basée sur un modèle de confiance et un algorithme d'élection et de formation de groupes, dans le but de distribuer l'autorité de certification (CA). L'algorithme d'élection de formation des groupes et d'élection de CA est basé sur deux paramètres : la sécurité et la stabilité. La sécurité est un paramètre lié au modèle de confiance proposé, seuls les noeuds de confiance qui peuvent jouer le rôle de CAs. La stabilité est un facteur basé sur la métrique de mobilité pour assurer la stabilité des groupes. Nous avons aussi présenté les différents modules de l'architecture : le modèle de confiance, le processus d'élection, le gestionnaire de groupe et le module chargé du contrôle basé sur le principe de réputation. L'architecture proposée capable d'offrir un niveau de sécurité adapté à l'enjeu de la communication dans un environnement hostile, et dont le niveau pourra évoluer dans le temps en fonction du contexte. Cette architecture est adaptée au changement dynamique de topologie du réseau. Les résultats de la simulation montrent que l'algorithme que nous avons proposé pour la formation des groupes est mieux que les algorithmes proposés dans Mobic et Lowest-ID. Nous avons aussi remarqué que la disponibilité, la robustesse et la stabilité des groupes permet de conserver l'énergie et d'augmenter la durée de vie du réseau.
Finalement, on peut dire que la conception d'une solution efficace pour sécuriser les réseaux MANETs doit être adaptée aux caractéristiques et spécificités d'un tel environnement, telles que la mobilité et la dynamicité des membres, les ressources limitées en termes d'énergie, de bande passante et de capacités de stockage et de calcul, ainsi que l'absence d'infrastructure fixe au sein du réseau. Les services de sécurité offerts par un protocole de sécurité de groupe dans un réseau Ad hoc, sont également étroitement liés à la nature de l'application à sécuriser et ainsi au niveau de sécurité requis pour les données envoyées par la source pour faire face aux attaques malicieuses qui peuvent le cibler.