Authorized authentication evaluation framework for constrained environments

Abstract

Internetin kasvu ei perustu tällä hetkellä vain uusien solmujen määrään, vaan Internet on levittäytymässä aivan uusille alueille. Viimeaikoina erilaiset tavat kerätä tietoa ja ohjata laitteita uusin tavoin ovat yleistyneet esimerkiksi teollisuudessa, kaupunkiympäristöjen melun ja saasteiden seurannassa. Lisäksi käsitteet älykoti tai -kaupunki alkavat olla yleisesti tunnettuja. Nykyinen kasvu näiden teknologioiden käytössä perustuu pitkälti laitteiden koon pienenemiseen ja hintojen laskuun. Jotta Esineiden Internet pystyy kasvamaan merkittävällä tavalla, laitteiden fyysisten kokojen ja hintojen tulisi pysyä matalalla tasolla tai laskea edelleen. Pieni koko ja hinta tarkoittaa kuitenkin usein rajoituksia laitteiden ominaisuuksille. Vaihtoehtoina tuleekin luultavasti aina olemaan rajoittuneempien laitteiden laajempi käyttö tai kyvykkäämpien laitteiden kapeampi käyttöönotto. Langattomat yhteydet ovat usein edullisin tapa toteuttaa verkkoominaisuuksia erilaisille laitteille. Tästä syystä langattomia sensoriverkkoja on käytetty teollisuudessa jo pidemmän aikaa. Samat verkkoteknologiat sopivat myös käytettäväksi Esineiden Internetin laitteille. Suuri osa nykyisistä langattomista sensoriverkoista käyttää kuitenkin kaupallisia verkkostandardeja, jotka eivät ole yhteensopivia Internet teknologioiden kanssa. Tästä syystä tämän tyyppisillä järjestelmillä ei saavuteta päästä-päähän yhteyttä Internetissä ja rajoitetussa ympäristössä sijaitsevien laitteiden välille. Tämä tarkoittaa myös sitä, että viestinnän turvaamista ei voida toteuttaa päästä-päähän, vaan viestit puretaan ja suojataan uudelleen, kun ne poistuvat tai tulevat rajoitettuun verkkoon. Ratkaisuiksi näihin yhteensopivuus ongelmiin on kehitetty IP-pohjaisia protokollia, jotka ovat tarpeeksi kevyitä rajoitetuille laitteille. Yhteyden luomiseen kahden rajoitetun laitteen välille dynaamisesti standardoitua ratkaisua ei kuitenkaan vielä ole. Dynaaminen ratkaisu rajoitettujen laitteden välisen liikenteen turvaamiseen tekisi järjestelmistä entistä paremmin integroitavia ja helpommin ylläpidettäviä. Tämä tutkielma käsitteleekin juuri niitä ongelmia, jotka tulisi ratkaista, jotta rajoitettujen laitteiden dynaamiseen autorisointiin voitaisiin löytää yleisesti hyväksytty menetelmä. Tutkielman artefakti on arviointikehys, joka tunnistaa laitteiden rajoitteet ja turvallisuustavoitteet tällaiselle ratkaisulle.

The Internet today is growing not only by size, but it is spreading to new areas. New ways to gather more data and control devices are developed in many application areas from smart homes and cities, surrounding environments in cities as well as agricultural settings to industrial settings. This growth is due to miniaturization and the dropping costs. In order to deploy IoT applications in truly pervasive manner the physical size and cost of the devices should remain small. This means especially that in order to keep the cost low some of the device capabilities will be having constraints even when technologies evolve and the price might drop. The compromise is always going to be between narrower deployments with more capable devices and wider deployments with less capable devices. Wireless communication is in many cases the most economic way and for this reason Wireless Sensor Networks (WSN's) have been used in industrial settings for some time now. The same networking technologies can be used in constrained IoT devices. Many of the current WSN deployments are based on proprietary technologies and do not offer a secure end-to-end communication. Instead they provide the data for the Internet through gateways translating the WSN communication. The communication security is based on settings provided in the time of provisioning the devices. End-to-end connectivity and security can be realized by using IP-based protocols developed for constrained devices. But dynamic access control for these environments is still more or less an open question. A dynamic authorized authentication mechanism would make the systems even more integratable and easily maintainable. This paper deals with the problem field of conducting dynamic authorized authentication in constrained environments. The main artifact of this study is a framework that identifies both the constraints and security objectives for realizing authorized authentication in constrained environments.