Vraag

Reset security context

  • 21 juni 2018
  • 7 reacties
  • 388 keer bekeken

Hallo,

In de device manager op https://www.kpn-lora.com/deviceManager/ is er de knop te vinden genaamd 'Reset security context'. Deze is te vinden in het settings menu onder Debug als men klikt op een node.


Er is ooit het advies geweest om op deze knop te drukken wanneer de data van de node niet doorgestuurd wordt naar het netwerk. Dit zou te maken hebben met een blokkade waarbij de data van een node geblokkeerd wordt vanwege een mogelijke replay attack. Van een aantal van deze nodes wordt sindsdien ook weer data ontvangen en functioneren deze naar behoren (in ieder geval zoals te zien is aan de applicatie server kant).

Echter ben ik er recent achter gekomen dat deze knop meer reset dan volgens de LoRaWAN 1.0.2 specificatie zou mogen. Na het analyseren wat er gebeurd in de wLogger als deze knop wordt ingedrukt bleek dat de downlinkcounter gereset wordt en opnieuw vanaf 0 begint. Er staat echter in de specificatie dat de counter alleen gereset mag worden na een JoinReq - JoinAccept procedure en bij een reset van een gepersonaliseerde node. Hieruit blijkt dat de downlinkcounter alleen gereset mag worden doordat de node zich als nieuw aanmeld op het netwerk. Het netwerk mag dus niet de downlinkcounter resetten.


Het resetten van de downlinkcounter zie ik ook problemen veroorzaken; de node accepteert na het resetten van de secuirity context namelijk geen downlinks meer omdat deze een hogere counter verwacht. Een reset van de downlinkcounter wordt namelijk geïnterpreteerd als een overflow van het 16 bit FCnt veld voor de ondersteuning van een 32 bit frame counter.

Na het resetten van de security context is het dus niet meer mogelijk voor de node om downlinks te accepteren. Dit betekent dat de ADR functionaliteiten niet meer werken en dat de applicatieserver ook geen downlinks meer kan sturen om de node anders te kunnen configureren. Wanneer de nieuwe downlinkcounter de oude waarde voor de reset passeert blijken de downlinks weer te werken.


Ik weet verder niet wat deze knop nog meer reset maar het resetten van de downlinkcounter lijkt zover ik kan vinden niet volgens de LoRaWAN specificatie.

7 reacties

Reputatie 6
Badge +6
Goedemiddag @Xkottelaar,

Welkom terug!
Allereerst wil ik u bedanken voor het signaal en het meedenken in dit topic, maar ook in het topic RxParamSetupReq-Ans gaat fout bij KNP en zorgt voor problemen.
Door drukte bij ons op de afdeling kom ik eerlijk gezegd nu pas aan uw topics toe.
Daarnaast moet ik eerlijk bekennen dat dit mijn pet te boven gaat. Wij hebben natuurlijk vooral de focus op de Developer portal en hebben tot op zekere hoogte kennis van het 'live' netwerk.

Ik ga daarom allereerst in gesprek met specialisten van de servicedesk om te bepalen hoe we dit het beste op kunnen pakken en mee kunnen nemen. Ik kan mij voorstellen dat één van de specialisten wellicht ook nog wat vragen aan u heeft. Ik wil daarom (alvast een beetje vooruit kijkend) graag wat contactgegevens van u, zodat wij u gemakkelijk kunnen bereiken. Deze gegevens kunt u sturen in een privébericht.
Reputatie 6
Badge +6
Goedemiddag @Xkottelaar,

Ik heb nog geen volledige terugkoppeling van de specialisten gekregen.
Er is wat informatie verstrekt, maar de specialisten zijn onderling aan het sparren om tot een sluitend antwoord komen. Ik verwacht na het weekend meer duidelijkheid te hebben.
Reputatie 6
Badge +6
Goedemiddag @Xkottelaar,

Daar ben ik weer!
Ik heb zojuist een terugkoppeling gekrijgen. Er is een verzoek bij de specialisten neergelegd om contact met u op te nemen. Ik zoek nog even uit wanneer u contact kunt verwachten, maar ik verwacht dat dit op korte termijn is!
Reputatie 6
Badge +6
Goedemiddag @Xkottelaar,

Ik heb nog geen terugkoppeling gekregen over het feit wanneer er contact opgenomen wordt.
Wel heb ik wat meer informatie gekregen over de 'Reset security context'. Mede dankzij uw melding is dit probleem aan het licht gekomen en aanstaande maandag komt er een nieuwe release. Hierbij wordt de gehele reset-knop verwijderd. Overigens zijn we wel benieuwd van wie u het advies kreeg om de reset te doen. Weet u dat nog?
Hallo @Rick S.,

Bedankt voor uw reactie! Ik ben benieuwd of de specialist mij meer over deze problemen kan uitleggen.

Ik heb mijn contact gegevens in het privébericht verzonden.
Hey @Rick S.,

Heeft u misschien al een update voor mijn topics?
Hey @Rick S.,

Bedankt voor de update, ik heb inderdaad nog niks gehoord van de specialisten. Top dat de knop verwijderd wordt. Aangezien daarmee een van mijn topics opgelost is, kan ik er dan vanuit gaan dat het contact met de specialist zal gaan over mijn andere topic: 'RxParamSetupReq - Ans gaat fout bij KNP en zorgt voor problemen'?

De suggestie om op de knop te drukken kwam van iotservicedesk@kpn.com dat gericht was naar een klant van ons. De reden om op de knop te drukken was naar aanleiding van het verdwijnen van een aantal nodes op een specifieke locatie en tijd. Dit zou te maken hebben gehad met een replay attack counter mechanisme. Na het drukken op de knop zijn een aantal nodes weer gaan werken. Maar zoals ik nu achter ben gekomen zullen deze nodes niet meer in staat zijn geweest om downlinks te ontvangen (afhankelijk van de counter).

Reageer