Σχεδίαση και υλοποίηση μηχανισμού αυθεντικοποίησης και εξουσιοδότησης IoT συσκευών χρησιμοποιώντας την τεχνική του μονού πακέτου (Single Packet Authorization)
Design and Implementation of a mechanism for Authentication and Authorization of IoT devices using the Single Packet Authorization (SPA) technique (Αγγλική)
Διαδίκτυο των Πραγμάτων | Internet of Things | Ασφάλεια | Security | Αυθεντικοποίηση και Εξουσιοδότηση | Authentication and Authorization | Software Defined Perimeter (SDP) Δίκτυα | Software Defined Perimeter (SDP) Networks | Σχεδίαση και υλοποίηση συστήματος Μονού Πακέτου | Design and implementation of an SPA system | Δυναμικός έλεγχος του Τείχους Προστασίας | Firewall Dynamic Control
2
26
Περιέχει : πίνακες, διαγράμματα, εικόνες, φωτογραφίες, screenshots
Η ανάπτυξη νέων τεχνολογιών όπως αυτές που σχετίζονται με το Διαδίκτυο των Πραγμάτων και τις υποδομές νέφους, έχουν αυξήσει τους κινδύνους για κυβερνοεπιθέσεις. Συνήθης πρακτική πριν από μία τέτοια επίθεση είναι η αναγνώριση του στόχου, χρησιμοποιώντας λογισμικό που μπορεί να εντοπίσει ανοιχτές θύρες σε τείχη προστασίας και εξυπηρετητές.
Μία λύση για την αντιμετώπιση τέτοιων πρακτικών, είναι η απομόνωση μίας ολόκληρης υποδομής πίσω από μία Πύλη, η οποία αναλαμβάνει τον φόρτο για τις υπηρεσίες αυθεντικοποίησης και εξουσιοδότησης. Όταν μία συσκευή (πελάτης) πιστοποιηθεί ότι μπορεί να χρησιμοποιήσει τις υπηρεσίες που παρέχει η προστατευμένη υποδομή, τότε η Πύλη δημιουργεί κατάλληλη πρόσβαση-διαδρομή (μέσω του τείχους προστασίας) προς την υπηρεσία την οποία επιθυμεί να χρησιμοποιήσει η συγκεκριμένη συσκευή.
Η παρούσα εργασία έχει ως θέμα τη σχεδίαση και υλοποίηση ενός μηχανισμού αυθεντικοποίησης και εξουσιοδότησης IoT συσκευών χρησιμοποιώντας την τεχνική του Μονού Πακέτου (Single Packet Authorization : SPA). Η τεχνική SPA χρησιμοποιείται από το λογισμικό fwknop και τα Cloud Security Alliance's SDP δίκτυα για τον έλεγχο της ταυτότητας των συσκευών.
Η ιδέα γύρω από το SPA, είναι ότι η ΙοΤ συσκευή μας παράγει και αποστέλλει στην Πύλη ένα μόνο UDP κρυπτογραφημένο πακέτο στο οποίο τα “διαπιστευτήρια” είναι μέρος του φορτίου του πακέτου. Με βάση αυτό το πακέτο πραγματοποιείται ο έλεγχος ταυτότητας του αποστολέα. Εάν το πακέτο SPA πιστοποιηθεί επιτυχώς, η Πύλη θα ανοίξει μια θύρα στο τείχος προστασίας του εξυπηρετητή, έτσι ώστε ο πελάτης να μπορεί να δημιουργήσει μια ασφαλή και κρυπτογραφημένη σύνδεση με την ζητούμενη υπηρεσία.
Για την υλοποίηση επιλέχτηκαν συσκευές TI Launchpad-CC2650 και λειτουργικό σύστημα Contiki-NG. Το λογισμικό Πύλης – Ελεγκτή στην πλευρά του εξυπηρετητή υλοποιήθηκε σε γλώσσα C, σε περιβάλλον Linux.
Στη σχεδίαση και την υλοποίηση του πακέτου λήφθηκαν υπόψη οι περιορισμοί σε επεξεργαστική ισχύ, μνήμη και κατανάλωση ενέργειας που εισάγει το Διαδίκτυο των Πραγμάτων. Η πιστοποίηση, η ακεραιότητα και η εμπιστευτικότητα του SPA πακέτου εξασφαλίστηκε με την χρήση του αλγορίθμου κρυπτογράφησης AES-CCM.
The development of New Technologies as the ones related to the Internet of Things and Cloud Infrastructure, has raised the danger of cyber attacks. Target identification using software able to trace open ports in firewalls and servers is common practice before such an attack.
A solution to confront such practices, is the isolation of the entire infrastructure behind a Gateway, which undertakes the load of authentication and authorization services. When a device (client) has qualified for using the services provided by the protected infrastructure, then the Gateway creates a suitable access-route (through the firewall) to the service the particular device wishes to use.
The present thesis has as a subject the designing and implementation of an authentication and authorization mechanism of IoT devices using the Single Packet Authorization (SPA) technique. The SPA technique is used for device identity authentication by fwknop software and Cloud Security Alliance's SDP networks.
The idea around SPA, is that the IoT device produces and sends to the gateway a single UDP encrypted packet, the credentials to which are part of the packet payload. The sender’s identity check is done based on this packet. If the SPA packet is successfully authenticated, the Gateway will open a port in the server’s firewall, so that the client can create a safe and encrypted connection to the service demanded.
For the implementation TI LaunchPad-CC2650 devices and Contiki-NG operating system were chosen. The Gateway_Controller software on the server side was implemented in C language at Linux environment.
During the design and implementation of the packet, contractions in processing speed, memory and energy consumption the Internet of Things introduces were taken into consideration. The use of an encryption algorithm AES-CCM ensured Authentication, Integrity and Confidentiality of the SPA packet.
Σχεδίαση και υλοποίηση μηχανισμού αυθεντικοποίησης και εξουσιοδότησης IoT συσκευών χρησιμοποιώντας την τεχνική του μονού πακέτου (Single Packet Authorization) Περιγραφή: 138556_ΠΑΡΜΑΚΗ_ΓΕΩΡΓΙΑ.pdf (pdf)
Book Reader Άδεια: Attribution-NonCommercial-NoDerivatives 4.0 Διεθνές Πληροφορίες: Κυρίως σώμα διπλωματικής Μέγεθος: 5.5 MB
Σχεδίαση και υλοποίηση μηχανισμού αυθεντικοποίησης και εξουσιοδότησης IoT συσκευών χρησιμοποιώντας την τεχνική του μονού πακέτου (Single Packet Authorization) - Identifier: 169793
Internal display of the 169793 entity interconnections (Node labels correspond to identifiers)