Ver discussões, estatísticas e perfis de autor para esta publicação em: https://www.researchgate.

net/publication/281275810

Rede de Nível de Segurança e Controle de privacidade para Smart-Início da Internet das coisas Devices

Papel Conference · Outubro 2015

DOI: 10,1109 / WiMOB.2015.7347956

CITAÇÕES LÊ

65 3.979

5 autores , Incluindo:

Gharakheili Arun Vishwanath

UNSW Sydney IBM

50 PUBLICAÇÕES     371 CITAÇÕES     64 PUBLICAÇÕES     720 CITAÇÕES    

Ver Perfil Ver Perfil

Alguns dos autores desta publicação também estão trabalhando nesses projetos relacionados:

Inteligentes (er) redes eléctricas Ver projeto

Networking Software Defined Ver projeto Hassan Habibi

Todo o conteúdo seguinte desta página foi carregado por Hassan Habibi Gharakheili em 02 de Junho de 2016.

O usuário solicitou a valorização do arquivo baixado.

 Rede de Nível de Segurança e Controle de Privacidade
para Smart-Início da Internet das coisas Devices

Vijay Sivaraman †, Hassan Habibi Gharakheili †, Arun Vishwanath *, Roksana Boreli ⋆, Olivier Mehani ⋆
† Universidade de New South Wales, * IBM Research-Austrália, ⋆ NICTA, Austrália

Emails: {Vijay, h.habibi}@unsw.edu.au, arunv@ieee.org , {roksana.boreli, olivier.mehani}@nicta.com.au

Abstrato -O aumento da captação de eletrodomésticos inteligentes,
tais como luzes, fumaça de alarmes, interruptores, monitores de bebês e balanças, levanta
preocupações de segurança e privacidade em escala sem precedentes, permitindo que as
entidades legítimas e ilegítimas para bisbilhotar e invadir as atividades da família. Neste
artigo, primeiro ilustram estas ameaças usando dispositivos reais atualmente disponíveis no
mercado. Em seguida, argumentam que, como mais desses dispositivos surgir, os vetores
de ataque aumento, e assegurando a privacidade / segurança da casa torna-se mais
desafiador. Por isso, defendemos que as proteções de nível de dispositivo ser aumentada
com soluções de segurança em nível de rede, que podem monitorar a atividade da rede
para detectar comportamento suspeito. Propomos ainda que a tecnologia de rede NED
software de fi ser usado para bloquear dinamicamente dispositivos / quarentena, com base
em sua atividade de rede e do contexto dentro da casa, como a hora do dia ou de nível de
ocupação. Acreditamos que a nossa abordagem centrada em rede pode aumentar a
segurança do dispositivo-centric para o smart-casa emergente.
Neste artigo, primeiro considerar alguns aparelhos smart-casa disponíveis no
mercado hoje, e estudar a sua operação para revelar várias preocupações de
segurança e privacidade. Em seguida, argumentam que a implementação de
segurança e na prática vai ser altamente variável entre os dispositivos, dependendo
de fatores tais como as capacidades do dispositivo, modo de operação e fabricante.
Estes mo- tivate-nos a propor uma abordagem que implementa medidas de
segurança adicionais na rede - para este fim, propomos o uso de software de fi redes
NED (SDN) para implementar regras de segurança dinâmica que pode evoluir com
base no contexto, como tempo-de- dia ou ocupação da casa. Acreditamos que a
nossa abordagem pode aumentar as soluções de segurança existentes
implementados pelos fabricantes de dispositivos, e, adicionalmente, fornecer
recursos de privacidade que necessariamente não podem ser suportados pelo
fabricante.

O restante deste artigo está organizado da seguinte forma: na § II estudamos alguns

I. I NTRODUÇÃO
dispositivos da Internet das coisas para expor suas vulnerabilidades de segurança e

A casa está se tornando cada vez mais “inteligente”, impulsionado pelo surgimento de privacidade. Em § III discutimos o nosso mecanismo de defesa que recon dinamicamente fi

aparelhos conectados à Internet que fazem parte da raça emergente de dispositivos guras da rede para fornecer maior privacidade / segurança com base no contexto e descrever

Internet-de-Things (Internet das coisas). Isso permite que os consumidores para monitorar a nossa implementação do protótipo em § IV. trabalho anterior relevante é resumida em

e gerenciar remotamente o seu ambiente doméstico [1]

sistemas de iluminação pode ser controlada § V, e o papel em conclui § VI.
remotamente, alarmes de fumaça pode alertar o nosso telefone celular quando um incêndio for
II. T HREATS PARA Eu O T NO S MART- H OME
detectado, podemos monitorar nossos filhos de longe, e nossos dados aptidão saúde / fi podem

ser enviados instantaneamente a partir de casa para a nuvem para análise. Pesquisas nos EUA eletrodomésticos inteligentes de todas as variedades estão surgindo no mercado, e

[2] indicam a segurança pessoal ou familiar, a proteção da propriedade, iluminação / Cisco VNI prevê que as conexões de Internet-of-Things (Internet das coisas) vai crescer

gerenciamento de energia, monitoramento animal de estimação como principais motivações para em 43% a cada ano, passando de 341 milhões em todo o mundo em 2013 para 2 bilhões

o uso de tais dispositivos, com 51% dos entrevistados dispostos a pagar inexcess de US $ 500 até 2018. Nós adquiridos vários tais dispositivos e estudou o seu comportamento em

para uma totalmente equipada lar inteligente. nosso laboratório - já anteriormente revelado vulnerabilidades de alguns destes
dispositivos em nosso trabalho anterior [4]. Nós brevemente y elaborar sobre estes, a fim
de fornecer o contexto para as técnicas de defesa que serão apresentados mais tarde.
Com o aumento da implantação de tais dispositivos conectados à Internet em casa vêm
aumentando os riscos para a privacidade e segurança: um intruso pode ilegitimamente
bisbilhotar em atividades familiares, até mesmo uma entidade legítima (como o fabricante
do dispositivo) pode ser a recolha de dados sobre os usuários que são não tem
o Philips Hue lâmpada Connected permite que o usuário Wire lessly controlar o

conhecimento de, e, claro, uma entidade maliciosa pode remotamente assumir o controle
sistema de iluminação em casa, e consiste de uma ponte habilitado Ethernet que

dos dispositivos da Internet das coisas, usando-o para tanto prejudicar a família ou para
aceita comandos do aplicativo do usuário e comunica-los para as lâmpadas usando

usá-lo como uma plataforma de lançamento para atacar outros domínios. De fato, no início
o protocolo de enlace de ZigBee-Light. A troca de dados entre a aplicação e a ponte

de 2014, foi revelado que houve um ataque em grande escala sobre os dispositivos da
é através de comandos de HTTP e não é criptografado, de modo que um intruso

Internet das coisas, incluindo TVs e geladeiras [3], em que se acreditava que hackers
pode facilmente deduzir as operações do utilizador executa no bulbo. Além disso,

invadiram mais de 100.000 dispositivos de consumo corrente.

mesmo que o dispositivo implementa controle de acesso na forma de um conjunto
branco-listado de usuários, esta lista pode ser extraído por qualquer atacante, que
pode, então, passar por um usuário legítimo, ganhando assim o controle sobre a
lâmpada.

O financiamento para este projeto foi fornecido pelo Conselho de Pesquisa Australiano (ARC)
Descoberta Grant DP150100564.
 o Belkin Wemo sensor de movimento e kit interruptor conectar-se à Internet via
Wi-Fi e permitir que o usuário controle o soquete de energia para qualquer aparelho em
casa elétricos, como lâmpada de mesa, máquina de café, ou aquecedor de ambiente.
Nós estávamos facilmente capaz de atacar este dispositivo pela primeira realização de
uma descoberta SSDP para obter o endereço IP dos dispositivos Wemo e as portas
que estão escutando, e para aprender os comandos SOAP e seus argumentos
suportados por esses dispositivos. O atacante pode então permitir acesso remoto no
dispositivo por registrar como um usuário legítimo, enviando um comando POST
formatado para SOAP apropriado - este, em seguida, dá o acesso remoto atacante para
o dispositivo a partir de qualquer lugar do mundo, o que é realmente assustador.
o Nest fumo alarme envia relatórios e alertas para aplicativo móvel do utilizador,
dando-lhes a paz de espírito que sua casa é segura, não importa onde eles estão. No
entanto, ele vem equipado com sensores que detectam movimento e luz - isto pode
potencialmente deixá-lo detectar quando o usuário está na mesma sala ou se ele / ela tem
ligado / desligado as luzes. Este tipo de capacidades imediatamente levantar uma
preocupação de privacidade para o usuário que pode sentir que eles estão sendo
monitorados e acompanhados dentro de sua casa. Fazemos notar que todos os
intercâmbios de dados com o ninho de fumaça de alarme são criptografados, então
eavesdroppers não pode ler nas comunicações.
o WiThings Baby Monitor inteligente vem com uma câmera IP que permite ao
usuário monitorar seu bebê em casa através de uma App em seu telefone. Nós
capturados e analisados ​pacotes WiFi de / para o monitor do bebê, e encontrada a
troca de dados a ser em texto simples; no entanto, o acesso à câmera requer a
obtenção de um token de acesso de uma só vez a partir do servidor. Criamos um
“man-in-the-middle” ataque em que nós permitimos aplicativo da vítima para
autenticar-se ao servidor e obter o ID da sessão, mas depois seqüestrar a conexão
usando o envenenamento ARP, permitindo que o invasor para substituir o endereço IP
de origem à sua própria para ter acesso à alimentação da câmera.
o WiThings inteligente Analyzer corpo é uma balança que também pode medir a
gordura corporal, freqüência cardíaca e IMC. Ele pode se conectar à Internet ou usando
Wi-Fi ou por emparelhamento Bluetooth com o companheiro WiThings Saúde App. Mais
uma vez, descobrimos que as informações pessoais do usuário (nome, peso, altura,
idade, sexo) é enviada sem criptografia em texto simples sobre o canal WiFi.
Encontramos também, através da captura de pacotes Bluetooth, que as escalas
transmite seu endereço MAC e uma chave secreta, que estão juntos usada para gerar
um resumo MD5 usado pelo servidor para autenticação; capturando essas informações,
que são facilmente capazes de recriar o resumo, o que nos permite mascarar como o
dispositivo sem o conhecimento do servidor.
Os cinco representativas dispositivos smart-casa discutidos acima têm má
implementação da segurança, e são suscetíveis não só para bisbilhoteiros passiva
ganhando informações privadas, mas também atacantes ativos que podem capturar
informações que lhes permite mascarar como usuários legítimos ou lançar man-in-the - um
ataque pelo meio. Acreditamos que essas questões de privacidade / segurança são
susceptíveis de ser amplamente prevalente entre a maioria dos dispositivos da Internet das
coisas no mercado, e, portanto, necessitam de soluções que podem funcionar em toda a
gama de dispositivos smart-casa, como discutido a seguir.
Provedores de
conteúdo SMP
ISP
link de acesso em banda larga
espiando ligação
Rede
doméstica
Fig. 1. arquitectura de alto nível
III. N ETWORK- eu EVEL D EFENCE
Os usuários que compram dispositivos da Internet das coisas para o seu smart-casa
assumir que o fabricante tenha incorporado privacidade / salvaguardas gurança se-
apropriados nos dispositivos. Como temos mostrado na seção anterior, este não é o
caso - na verdade, muitos destes dispositivos pode ser comprometida com muito pouco
esforço por parte do atacante. Propomos, portanto, uma abordagem radicalmente
diferente, onde os problemas de segurança são detectados e resolvidos no nível da
rede. Há muitas razões acreditamos que a nossa abordagem tem mérito:
• segurança em nível de rede pode ser implementado em toda a gama de dispositivos da
Internet das coisas, em vez de segurança em nível de dispositivo que é especi fi c para um
dispositivo em particular;
• Ao contrário de segurança ao nível do dispositivo que está incorporado em
dispositivos e é, portanto, difícil de atualizar, a segurança em nível de rede pode ser
implementado na nuvem, e pode ser reforçada numa base contínua;
• segurança em nível de rede pode ser oferecido por um terceiro que tenha
experiência nesta área fi c específico, em vez de pelo fabricante do dispositivo que
não podem ter a unidade ou as habilidades para implementar a segurança
adequada;
• segurança de nível de rede adiciona uma camada extra de proteção que pode
aumentar qualquer segurança no nível do dispositivo implementado pelo fabricante.
Na verdade, a segurança no nível da rede é rotineiramente utilizada em redes corporativas de
hoje (por exemplo, produtos como HP de rede Protector [5]), como um complemento para o
software de proteção (como vírus damas) instalado em clientes. Acreditamos que a segurança
no nível da rede será ainda mais relevante para a Internet das coisas, uma vez que a
heterogeneidade em dispositivos é muito maior do que para computadores desktop / laptop que
normalmente executam um pequeno punhado de sistemas operacionais (Windows, MacOS ou
Linux).
A fim de detectar e resolver problemas de segurança / privacidade para a Internet das
coisas, propomos uma entidade externa, o chamado “Security Provider Man- agement” ou
SMP, que desenvolve, customiza e entrega das garantias extras de usuários no nível de
rede para a Internet das coisas dispositivos em sua casa. Um exemplo simples pode
envolver a SMP adicionando as regras de controle de acesso apropriadas que protejam a
fi específica c dispositivo de Internet das coisas, enquanto um exemplo mais complexo
pode envolver políticas dinâmicas que mudam de controle de acesso, dependendo do
contexto (por exemplo, os membros da família estarem presentes ou ausentes da casa) .
ofertas de segurança sofisticados como esses que exigem uma combinação de dados de
análise e controle de rede estão faltando hoje, e pode ser fi ful encheram pela arquitetura
propomos seguinte.

A Fig. 1 mostra que o SMP interage, por um lado com a rede do ISP (ou equipamento
router) por meio de APIs dinâmico, e por outro lado com os utilizadores domésticos
através de interfaces gráficas de usuário de fácil utilização. O trabalho do SMP é exercer
(limitado) controle de con fi guração através da rede ISP e / ou home-router em nome do
consumidor, sem ser diretamente no caminho de dados. A partir de um ISP de
ponto-de-vista, as APIs de nível de rede “voltados para o usuário”, desenvolvido neste
trabalho (direita) complementam o “Provedor do Content” voltado para aqueles que
propostas anteriores [6] (esquerda).
SMP papel / bene fi ts: O SMP fornece personalização inter- faces (portais /
apps) para os usuários, traduzindo-as em operações de nível Rede- invocados
via APIs. Nós intencionalmente disso- ple do SMP a partir do operador de
infra-estrutura / fornecedor para que várias entidades podem competir para
este papel - um fornecedor ISP ou em casa router pode, naturalmente,
desenvolver as capacidades SMP in- casa, agrupando-a com as suas ofertas
para aumentar a retenção e receita ; um provedor de conteúdo (por exemplo,
Google, fl ix Net) ou o operador de serviços de nuvem (por exemplo, Amazon,
Apple) também podem ter interesse neste papel para que ele possa melhorar
a prestação dos seus próprios serviços; ou um novo operador pode assumir
este papel, com vista para uma maior visibilidade e análise de uso de rede
doméstica. Acreditamos que, trazendo à tona o papel do SMP,
ISP papel / Home-router-vendor / bene fi ts: roteadores de hoje home- (muito como
roteadores comerciais) são verticalmente inte- gradas, com diversos conjuntos de
recursos e gerenciamento de interfaces de pacote para o dispositivo no momento da
produção. Nossa arquitetura incentiva tais fornecedores de renunciar
desenvolvimento de interface do usuário, e se concentrar em apoiar APIs que
permitem que uma entidade externa (SMP) para con fi comportamento rede figura (o
nosso protótipo utiliza plataformas de código aberto como o OpenWRT e OVS). Isso
reduz a carga de desenvolvimento de fornecedores, permitindo-lhes focar sua
vantagem competitiva, enquanto o modelo de controle baseado em nuvem pode
dar-lhes um melhor retorno sobre o uso em funcionalidades em seus aparelhos. Um
argumento similar aplica-se ao ISP, que hoje fornece pouco mais de conectividade
com a Internet, que é reconhecido como um negócio de baixa margem, com pouco
crescimento da receita. Nossa arquitetura dá ISPs uma forma de rentabilizar no
mercado de massa personalização de serviços de Internet residencial, sem ocupar o
fardo de gestão de clientes, expondo as capacidades de nível de rede via APIs
adequadas para uma entidade externa (SMP). Por último, as rede con fi gurações
subjacentes das APIs pode ser automatizado usando tecnologia SDN (como descrito
na secção seguinte), e o ISP pode, portanto, apoiar-los a um baixo custo.
papel Consumidor / bene fi ts: necessidade do consumidor para garantir o seu
smart-casa é mais provável de ser encontrado por um SMP especial- izado na tarefa, do
que por um ISP ou roteador fornecedor generalista vendendo um produto empacotado.
preferências do usuário podem ser aprendidas, armazenados na nuvem, e restaurado,
mesmo que o assinante muda ISP ou a casa-roteador. Características e look-and-feel
pode ser personalizado a partir da nuvem, e as opções de con fi guração atualizados
como tecnologias e casos de uso evoluir. Na próxima seção, ilustramos nosso protótipo
que usou a tecnologia SDN para oferecer
SMP
Rede Repousante
serviço Orchestrator
doméstica QoE PrntBolck
dinâmica / Política on-demand
usgCtrl IoTsecure
via interface do App
interface web
Internet
frontend
Repousante
OpenFlow
Gateway
Controlador
Troca de JSON RPC
doméstico y y y y y y
acesso
de rede ISP
Fig. 2. Visão de design de protótipo
security-as-a-service Internet das coisas para os consumidores residenciais.
IV. P ROTOTYPE E E AVALIAÇÃO
Temos implementado um protótipo do nosso sistema que usa nossa
arquitetura de três partidos proposto e APIs para nos fornecer as quatro
capacidades de personalização acima para os assinantes. Nosso sistema
inclui a opção de acesso melhorias (OVS) e controlador de módulos (holofote)
para a rede ISP, eo orquestrador de segurança (Ruby on Rails) e web-GUI
(JavaScript / HTML) operados pela SMP. Para enfatizar sua distinção, nosso
controlador ISP opera em nossos dados-centro universitário, enquanto o SMP
é executado na nuvem Amazon. Nossa implementação foi testado em duas
configurações: (a) uma rede campus SDN- habilitado (emulando uma rede
ISP) abrangendo mais de 3000 pontos de acesso Wi-Fi, e (b) um pequeno
número de casas onde trabalha over-the-top (OTT ) ISP rede de legado (não
SDN).
Nosso projeto implementado é representado na figura 2, e http:. //Api.sdnho.me/
mostra a nossa interface de usuário ao vivo. Assumimos que switches de acesso do
ISP são SDN-habilitado, e ainda assumir que o ISP tem visibilidade de dispositivos
domésticos do assinante. Este ponto de partida é escolhida por conveniência desde:
controladores de SDN (a) existentes têm um melhor suporte para camada de 2
protocolos, (b) os endereços MAC são estáticos ao contrário de endereços IP que são
geralmente dinâmico, e (c) há uma tendência para ISPs fornecendo gerenciados
gateways domésticos, quer dando ao assinante uma gateway doméstico física ou
uma instância virtual na nuvem (por exemplo vCPE). Esta hipótese será relaxado
mais tarde e a solução será mostrado para trabalhar over-the-top de ISPs legados
com de hoje home gateways NAT habilitados.
ISP Acesso mudar: Nossa chave de acesso é executado Abrir vSwitch 1.9.0
( OVS), e expõe APIs OpenFlow padrão. Cada casa é associada a uma porta
física neste switch, e para cada casa, criar uma instância de uma ponte virtual
dentro do OVS que mantém os OW-regras e filas fl para essa casa.
controlador de ISP de rede: Utilizou-se o (v0.9) controlador OpenFlow Projector para
o funcionamento da rede ISP, e desen- volvido Módulos Java para implementar as
APIs RESTful expostos ao PMS, conforme mostrado na Fig. 2). chamadas de API de
sucesso resultar em regras de tabela de fluxo apropriadas sendo adicionados /
removidos no respectivo ponte OVS servir este assinante. Nós adicionamos um novo
módulo para holofote para implementar a API para acesso de controle, que fornece um
wrapper para o módulo de fi rewall holofote tão
 (A) dispositivos de rede doméstica
Fig. 3. interface de Web que mostra (A) os dispositivos, (b) a largura de banda, (c) fi lters, e (d) o uso.
que as políticas de controle de acesso (com base em IP remoto) pode ser empurrado pela entidade
SMP externo para um dispositivo de fi c doméstico específico.
SMP Segurança Orchestrator: Nós implementamos um orquestrador de segurança
em Ruby-on-Rails que mantém o estado e a lógica necessária para o SMP para
gerenciar a segurança para o assinante. Ele interage, de um lado com o ISP através
das APIs acima mencionadas, e por outro lado com o portal de utilizador e aplicações
front-end (descritos a seguir), através de APIs RESTful, como mostrado na Fig. 2. Ele
usa um banco de dados com tabelas de assinantes, dispositivos, políticas,
preferências do usuário e estatísticas. Ele atua sobre os comandos RESTO a partir
do portal do usuário / apps (descritos a seguir) por recuperar as informações de
estado adequado correspondente ao comando do assinante, e chamando a
seqüência apropriada de APIs ISP para atingir essa funcionalidade.
portal baseado na Web: fornece o front-end para os usuários personalizarem os seus
serviços, e é implementado em JavaScript e HTML. Snapshots são mostrados na Fig. 3, e
nós incentivar o leitor a vê-lo ao vivo em http://api.sdnho.me/. Após a assinatura, o usuário
vê os seus dispositivos domésticos listados no painel esquerdo, enquanto o painel direito
mostra serviços, incluindo um guia para configurações de segurança. A Fig. 3 (a) mostra 7
dispositivos para este utilizador, compreendendo computadores portáteis, computadores
desktop dispositivos iPad, TV, e IdC. o
IoTProtect . Guia, mostrado na figura 3 (b), permite ao utilizador delegar segurança /
privacidade de qualquer um dos seus dispositivos IdC para o SMP; o SMP mantém a base de
conhecimentos sobre os métodos adequados para proteger esse dispositivo c especi fi, e pode
inserir regras de controle de acesso apropriados por meio da API de rede, potencialmente
usando informações de contexto a partir da casa.
Avaliação: Nós demonstrar a utilidade de ter o SMP fornecendo proteção a Internet das
coisas como um serviço de valor agregado usando dois
(B) IdC Dispositivo Con fi g
dispositivos específicos: a Philips Hue ampola e a Nest fumo alarme. A luz-bulbo em
nosso laboratório se conecta à Internet através de uma ponte WiFi, para o qual já
existentes aplicativos Android / iOS enviar comandos desejado para ajustar as
configurações bulbo. Mesmo que a ponte mantém uma lista branca de clientes
autenticados, esta lista é enviada over-the-air em texto simples quando consultado. Nós
escrevemos um script Python que utiliza as informações de lista branca capturada para
construir pacotes de ataque que podem ser jogados a partir da Internet para se
mascarar como um dispositivo legítimo e assumir o controle da lâmpada (o ataque é
documentado em [4]). Um usuário hoje seria provavelmente desconhecem este ataque,
e muito menos saber como bloqueá-lo. Em nossa arquitetura, a proteção delegados
usuário deste dispositivo para o SMP. O SMP invoca a API de rede para inserir regras
de controle de acesso apropriadas que permitem que clientes só conhecidos
(pertencente a moradores da casa) para acessar a lâmpada. Para suportar roaming, que
escreveu um aplicativo móvel, instalado no telefone do usuário, que envia mensagens
de pulsação para o SMP com o seu endereço IP público, que é então programado
dinamicamente em ACL o home / da borda-router. Este método assegura que o acesso
à lâmpada no nível de rede, e pode ser aplicado a uma variedade de dispositivos IdC
com carga mínima no utilizador.
Nós também aplicado o nosso método para aumentar a privacidade do Ninho de
fumaça de alarme instalado em nosso laboratório. Este dispositivo se conecta através da
rede Wi-Fi para servidores baseados em nuvem para fornecer alertas de emergência em
tempo real para o aplicativo usuário. Uma vez que o dispositivo contém movimento e
sensores de luz, há uma preocupação legítima de que ele pode rastrear usuários dentro
de sua casa e reportá-las ao ninho. Nós capturamos tráfego fi c de nosso fumo de alarme
ao longo de vários dias, e descobriu que (criptografados) TRAF fi c foi trocado com
autenticação ( frontdoor.nest.com),
alarme noti fi cação ( transporte-
04.rts08.iad01.production.nest.com),
exploração madeireira( log-rts08-iad01.devices.nest.com)
servidores. Nós, então, construiu uma capacidade pelo qual o usuário pode
solicitar a SMP para proteger sua privacidade ao usar este dispositivo. Isso leva a
SMP para fazer API rede chama para bloquear o dispositivo de acessar o
servidor de registro (para o qual o dispositivo envia 250 KB de dados por dia);
importante, isso não desativar seu core-funcionalidade, ou seja, o usuário ainda
recebe fi cações noti em seu aplicativo quando o dispositivo detecta fumaça. Este
princípio pode ser estendido a outros dispositivos - por exemplo, temos
desenvolvido funcionalidade que bloqueia Dropcam de upload de vídeo para a
nuvem quando o usuário está em casa, algo que de outra forma teria de ser feito
manualmente de cada vez pelo usuário privacidade-consciente.
Para resumir, temos construído e demonstrou o valor de um provedor especializado que
oferece segurança IOT / privacidade como um serviço, e dinamicamente administra as regras fi
firewall para o usuário (ou no interruptor de acesso ISP ou no gateway doméstico do usuário)
que monitoram e operações de rede de controlo para cada dispositivo IdC. Nós avaliamos isso
com um pequeno punhado de dispositivos da Internet das coisas, mas o princípio geral pode
ser aplicado de forma mais ampla a qualquer dispositivo de Internet das coisas, proporcionando
melhores garantias de segurança / privacidade do que o previsto pelos fabricantes de
dispositivos hoje.
V. P RIOR W ORK
A investigação sobre segurança e privacidade da Internet das coisas está ainda na
sua infância, e muito do trabalho anterior centrou-se na compreensão e identificação de
ameaças potenciais e adaptando técnicas de segurança existentes para o ambiente
Internet das coisas - ver um artigo recente pesquisa [7]. A maioria do trabalho defende
a incorporação arquitecturas de segurança dentro do dispositivo IdC, incluindo a
protecção dos protocolos de comunicação. Por exemplo, [8] propõe op- timizing o
protocolo de comunicação DLTS para assegurar o intercâmbio de dados IdC, [9] avises
implementação do IEEE 802.15.4 procedimentos de segurança da camada de ligação
compatíveis, e [10] apresenta um método de codificação / descodificação para
identificação leve authentica - ção entre nós sensores. Conceitos de Arti fi cial Immune
System (AIS) foram importados para detectar ataques a Internet das coisas, e um
sistema de detecção de intrusão Internet das coisas com a defesa dinâmico foi
desenvolvido em [11], [12]. VIRTUS [13], uma solução de middleware para gestão de
aplicações em ambientes da Internet das coisas adota padrões abertos, como XMPP e
OSGi. mecanismos de controlo Access-baseadas numa aplicação optimizada de
assinaturas digitais elíptico-curva (ECDSA) e acesso com base em token aos recursos
Coap foram desenvolvidos em [14].
Ao contrário destes trabalhos anteriores, o nosso trabalho não incorporar segurança no
dispositivo Internet das coisas, mas em vez disso se move-lo à rede, administrado sob
controle externo usando princípios SDN. Outros trabalhos também propuseram mechanims
baseados em SDN para controle de segurança, predominantemente no contexto da rede da
empresa: Jin- GLING [15] recursos de rede fora fontes empresariais para provedores
externos, a HP oferece aplicativos SDN para a segurança na empresa NETWORKS [5] ,
VeloCloud [16] oferece WAN baseada em nuvem gesta~o mento para ramo de escritórios,
e LinkSys introduziu recentemente um smart router WiFi conseguiu-cloud [17]. Estes
esforços paralelos
Ver publicação
estatísticas de publicação
Estatísticas Ver as
corroborar que a segurança no nível da rede para a Internet das coisas usando SDN é provável
e a ganhar força nos próximos anos, e nosso trabalho facilita a adaptação de modelos
empresariais / WAN para o ambiente doméstico.
VI. C ONCLUSÕES E F FUTURO W ORK
A captação crescente de dispositivos da Internet das coisas de consumo coloca
preocupações de segurança e privacidade em um nível sem precedentes. Ao contrário de
muitos dos trabalhos anteriores que investigaram soluções de segurança incorporados no
dispositivo, propusemos uma solução que identi fi es e bloqueia essas ameaças no nível da
rede. Temos defendido um architeture três partes em que um fornecedor especializado oferece
segurança-como-um-serviço, protótipo lo usando open-source SDN plataformas, e avaliada a
sua e fi cácia na proteção de múltiplos dispositivos smart-casa. Acreditamos que o nosso
trabalho é um primeiro passo para a segurança da Internet das coisas que se aplica a uma
ampla gama de dispositivos da Internet das coisas; nosso trabalho futuro vai aplicar a nossa
solução para vários outros dispositivos smart-casa para os quais temos fi cados
vulnerabilidades de segurança / privacidade identi.
R EFERÊNCIAS
[1] C. WAN e D. baixa “Capturing Next Generation Smart Home Usuários
com Digital Home “, Huawei, Livro Branco, Jun. 2013. [2] iControl. (2014) 2014 State of the
Smart Home. http: //www.icontrol.
com / docs / pdf / 2014 State of the Smart Home - Final.pdf. [3]
Business-Insider. (2014) Geladeira
Hackeado. http://www.businessinsider.com.au/
hackers-use-a-frigorífico-to-ataque-empresas-2014-1? op = 1. [4] S. Notra, M. Siddiqi, HH
Gharakheili, V. Sivaraman, e R. Boreli,
“Um Estudo Experimental de Segurança e Privacidade Riscos com Emergentes
Eletrodomésticos,” em Proc. Primeiro Workshop Internacional sobre Se- gurança e privacidade
nas comunicações Machine-to-Machine (M2MSec),
Outubro 2014.
[5] A Hewlett-Packard. (2014) Series de aplicativos HP de rede Protector SDN.
http://h17007.www1.hp.com/docs/sdn/4AA5-1462ENW.pdf. [6] V. Sivaraman, T. amarra, HH
Gharakheili, D. Ong, J. Matthews, e
C. Russell, “A virtualização de rede de acesso via APIs Abertas”, em Proc. ACM CoNEXT, Dezembro
2013.
[7] H. Suo, J. Wan, C. Zou, e J. Liu, “Segurança na Internet das coisas:
Uma revisão “, em Proc. de Ciência da Computação e Engenharia Eletrônica (ICCSEE), Março de
2012.
[8] S. Keoh, S. Kumar, e H. Tschofenig, “Protegendo a internet das coisas:
A perspectiva de padronização “, Internet das coisas Journal, IEEE, vol. 1, n. 3, pp. 265-275,
junho de 2014.
[9] D. Altolini, V. Lakkundi, N. Bui, C. Tapparello, e M. Rossi “, Baixo
Segurança do link poder camada de IOT: Implementação e análise de desempenho “, em Proc.
de comunicações sem fio e Conferência Computação Móvel (IWCMC), Julho de 2013.
[10] P. Wen, X. Dong, e R. Zhang, “Aplicação de variável dinâmica
cifra certi fi cado de segurança na internet das coisas “, em Proc. de Cloud Computing e
Sistemas Inteligentes (ICC), Outubro de 2012. [11] C. Liu, J. Yang, Y. Zhang, R. Chen, e J. Zeng,
“Investigação sobre imunidade
tecnologia de detecção de intrusão baseada para a internet das coisas “, em Proc. de Computação
Natural (ICNC), Julho de 2011. [12] C. Liu, Y. Zhang, e H. Zhang, “Uma nova abordagem à segurança
baseado iot
em imunologia “, em Proc. of Computational Intelligence and Security (CIS), Dezembro 2013.
[13] D. Conzon, T. Bolognesi, P. Brizzi, A. Lotito, R. Tomasi, M. e Spirito,
“O middleware virtus: Uma arquitetura baseada em XMPP para comunicações da Internet das coisas
seguras”, em Proc. das Comunicações e Redes de Computadores (ICCCN), Julho de 2012.
[14] A. Skarmeta, J. Hernandez-Ramos, e M. Moreno, “Uma descentralizada
abordagem de desafios de segurança e privacidade na internet das coisas “, em Proc. de
Internet das Coisas (WF-IoT), Março de 2014. [15] G. Gibb, H. Zeng, e N. McKeown,
“funcional-rede Terceirização
dade “, em Proc. oficina de ACM SIGCOMM HotSDN, Agosto de 2012. [16] VeloCloud.
Cloud-Entregue WAN. http://www.velocloud.com. [17] Linksys. Smart Wi-Fi Router.
http://www.linksys.com/en-us/smartwi fi.