关键字 |
| CoAP、迪泰通用头压缩,然后头压缩。 |
介绍 |
| ip连接的智能设备正在成为互联网的一部分,因此形成了物联网(物联网)。在无线网络TCP性能是效率低下的,由于其拥塞控制算法和不工作的低功率无线电和损耗在传感器网络的链接。因此,UDP主要是物联网中使用。此外,HTTP,主要是设计运行在TCP,低效率的损耗和受限的环境中。CoAP等设计用于满足特定需求简单,开销小,在资源受限多播支持环境。安全是特别重要的东西不可信网络连接。可以使用压缩IPsec保护通信节点之间在6 lowpan网络和主机在互联网[4]。下一个头压缩(NHC)编码定义压缩认证头(啊)和封装安全载荷(ESP)扩展报头。 |
| 豪尔赫等。[5]扩展我们的解决方案,包括IPsec隧道模式。他们在TinyOS实施和评估他们的建议。IPsec安全服务在一个特定的机器上运行的所有应用程序之间共享。即使我们6 lowpan压缩IPsec可用于提供轻量级的E2E安全网络层,它主要不是为网络协议(如HTTP或CoAP而设计的。对于web协议TLS或迪泰是常见的安全解决方案。TLS作品通过TCP,而在6 lowpan UDP网络者优先。Brachmann等。[6]提出TLS-DTLS映射到安全物联网。然而,这需要信任的存在6 br和E2E安全休息6 br。Kothmayr等。[7]调查使用迪泰6 lowpans与可信平台模块(TPM) RSA算法的硬件支持。然而,他们利用迪泰是不使用任何压缩方法从而缩短整个网络的生命周期将在迪泰冗余比特信息。 Granjal et al. [8] evaluate the use of DTLS as it is with CoAP for secure communication. They note that payload space scarcity would be problematic with applications that require larger payloads. As an alternative, they suggest to employ security at other layers such as compressed form of IPsec. In a recent work, Keoh et al. [9] have discussed the implications of securing the IP-connected IoT with DTLS and propose an architecture for secure network access and management of unicast and multicast keys with extended DTLS. |
| CoAP提出使用数据报传输层安全性(迪泰)作为自动密钥管理的安全协议和数据加密和完整性保护,以及认证[1]。CoAP迪泰支持称为安全CoAP (CoAPs)。迪泰是一个健谈的协议,需要大量的信息交流,建立一个安全会话。迪泰最初是专为网络场景消息长度并不是一个关键的设计准则。因此,它是低效使用迪泰协议,作为约束,物联网设备。与约束匹配资源和IEEE 802.15.4-based网络的大小限制,6 lowpan头压缩机制的定义。6 lowpan标准已经定义了标题为IP报头压缩格式,IP扩展标题,和UDP报头。尤其有利于应用6 lowpan头压缩迪泰报头压缩机制。在本文中,我们提供一个安全的CoAP通过压缩迪泰协议6 lowpan头压缩机制。这种机制有两个目的首先实现能源效率通过减少消息大小因为沟通需要更多的能量比计算。 Second, avoiding 6LoWPAN fragmentation that is applied when the size of a datagram is larger than the link layer MTU. Avoiding fragmentation, whenever possible, is also important from the security point of view as the 6LoWPAN protocol is vulnerable to fragmentation attacks [4]. |
背景 |
| 在本节中,我们突出了协议和技术参与安全CoAPs的发展,物联网的HTTPs变体。 |
CoAP |
| CoAP是一个web协议运行在可靠UDP协议的主要目的,是物联网。使用得最多的一种变体是CoAP同步web协议,HTTP,为受限的设备和machine-tomachine沟通。然而,尽管CoAP提供了一个REST接口类似于HTTP,它关注更轻量级的和成本效益比今天的互联网的变体。为了保护CoAP传输,数据报TLS(迪泰)已被建议作为主要的安全协议[2]。类似于TLS保护HTTP (HTTPs) DTLS-secured CoAP协议称为CoAPs。与HTTP CoAP,统一资源标识符(URI)用于访问给定主机上的资源。CoAP是一个相对简单的请求和响应协议提供可靠的和不可靠的形式的沟通。CoAP协议,将使用“CoAP”URI方案。web资源的物联网设备可以通过CoAPs安全地访问协议: |
| / MyResource coaps: / / myIPv6Address:港口 |
| CoAP-enabled设备可能在客户端代理的角色,一个服务器的角色,或者两者兼有,或发送非一致的消息没有回应。新协议定义的原因限制IP网络,而不是简单地重复使用HTTP,是在实现复杂性大大降低开销(代码大小)和减少带宽需求。这些数据也有助于减少增加可靠性(通过减少链路层碎片)和减少延迟在典型的低功耗无线网络损耗,如内部IEEE 802.15.4。提供服务 |
迪泰 |
| 迪泰可以说是最适合单一安全协议提供通道安全,主要是因为它是一个相当完整的安全协议,它可以执行身份验证、密钥交换和保护应用程序数据与谈判键控材料和算法。使用迪泰作为唯一的物联网安全套件,可以实现以下安全保护。 |
| •网络访问:-DTLS作为认证协议可以用于验证新设备加入网络使用相移键控模式下,原始公钥或公钥证书。迪泰握手成功的结果创建一个新设备之间的安全通道和授权的实体(例如,6 lbr)。这个安全通道使授权实体分配L2关键安全加入设备基于规则已经被网络配置所有者。如果这个新设备和授权实体单在MAC层,然后迪泰握手消息不是下降了MAC层。然而,如果新设备和授权的实体是在MAC层多次反射,迪泰消息被丢弃在MAC层,因为他们还没有保护L2的关键。 |
| •安全通信通道:——迪泰两个通信设备之间可以建立端到端会话,一个6 lowpan内,另一外,安全地传输应用程序数据(CoAP消息)。 |
| 迪泰保护应用程序数据的记录层,即。,authenticated and encrypted with a fresh and unique session key. DTLS consists of two layers: the lower layer contains the Record protocol and the upper layer contains either of the three protocols namely Handshake, Alert, and ChangeCipherSpec, or application data. The Record protocol is a carrier for the upper layer protocols. The Record header contains among others content type and fragment fields. Based on the value in the content type, the fragment field contains either the Handshake protocol, Alert protocol, ChangeCipherSpec protocol, or application data. The Record header is primarily responsible to cryptographically protect the upper layer protocols or application data once the handshake process is completed. The Record protocols protection includes confidentiality, integrity protection and authenticity. Handshake protocol is a complex chatty process and contains numerous message exchanges in an asynchronous fashion. The handshake messages, usually organized in flights, are used to negotiate security keys, cipher suites and compression methods. The full handshake process is shown in figure 1. |
| •关键管理:——迪泰有能力更新会话密钥,这种机制可以用来支持6 lowpan网络中的密钥管理。在网络访问阶段,L2 6 lbr分配一个键作为网络访问身份验证过程的一部分。因此可以重用相同的通道,便于密钥管理,从而使L2密钥更新的6 lbr时必要的。 |
6 lowpan |
| 6 lowpan标准定义了头压缩和分裂机制在IPv6-connected IPv6数据报的网络,也称6 lowpan网络。压缩机制包括IP报头压缩(IPHC)和下一头压缩(NHC)。IPHC编码可以压缩IPv6报头长度为2个字节为一个跳网络和7字节在一种情况下(字节IPHC、字节发送字节跳限制,2字节的源地址,和2字节目的地地址)。其他的编码比特IPHC NH位,当设置,显示下一个头是使用NHC压缩。国家飓风中心用于编码IPv6扩展报头和UDP报头。NHC编码是八位字节的倍数的大小(主要是一个八位字节)含有可变长度标识位和编码位为一个特定的头。因此值得推广的6 lowpan头压缩这些协议报头压缩机制。6 lowpan standard-defined NHC编码可用于UDP报头压缩,但不是上层。需要一个新的NHC因为没有NH在NHC UDP也表明UDP负载压缩。在第四部分,我们提供6 lowpandtls集成和6 lowpan nhc压缩迪泰。 |
系统概述 |
| 我们压缩迪泰保持真正的端到端(E2E)安全柔软启用主机之间6 lowpan典型网络和互联网使用未压缩的CoAPs的主机。图2显示了一个典型的物联网安装,6 lowpan CoAPs启用节点组成的网络连接通过一个6 lowpan边界路由器和互联网(6 br)。如图2所示,头压缩在6 lowpan网络应用,即。,约束节点之间和6 lowpan边界路由器(6 br)。6 br 6 lowpan网络和互联网之间使用压缩/解压缩或/和片段重组消息之前两个领域之间的转发。在这个物联网设置,CoAPs启用设备可以安全通信与互联网主机,例如标准电脑、智能手机等,支持CoAPs协议。为了适应的安全协议,如迪泰、资源受限的物联网设备,有利于应用6 lowpan头压缩机制,这些协议。 |
迪泰压缩 |
| 在本节中,除了描述6 lowpan头压缩迪泰,我们如何压缩迪泰可以链接到6 lowpan兼容。 |
DTLS-6LoWPAN集成 |
| 本文提出的方案是一个扩展6 lowpan标准;一个类似的方法是适应区分NHC GHC。UDP的ID 11110位NHC 6 lowpan中定义的标准,表明UDP载荷不压缩。我们定义ID 11011位表明UDP载荷与6 lowpan-nhc压缩。ID比特11011年6 lowpan目前未赋值的标准。图3显示了我们提出了UDP NHC允许UDP的压缩载荷;在我们的例子中,UDP载荷包含6 lowpan-nhc压缩迪泰标头。 |
6 lowpan-nhc备案和握手头 |
| 记录协议增加了13个字节长的头字段要每个数据包发送装置,利用迪泰的整个一生。握手协议,另一方面,增加了12个字节的头握手消息。我们建议6 lowpannhc压缩记录和握手标头,并减少头长度为5和3个字节,分别。在第一种情况下,记录头片段字段包含握手消息,我们压缩记录头和握手头使用单一编码字节和我们定义6 lowpannhc备案+握手(6 lowpan-nhc-rhs)。在第二种情况下,我们定义6 lowpan-nhc记录头(6 lowpan-nhc-r)中的片段字段记录头是应用程序数据而不是握手消息。图4显示了6 lowpannhc编码备案+握手头和记录头。编码位有以下功能:前4位代表的ID字段是用来区分6 lowpan-nhc-rhs其他编码,并遵守6 lowpan-nhc编码方案。6 lowpan-nhc-rhs我们将ID位设置为1000,如果6 lowpan-nhc-r我们碎片ID设置为1001。 |
| 版本(V):如果0,版本是迪泰最新版本是1.2,和字段是省略了。如果1版本字段进行内联。 |
| 时代(EC):如果0,使用一个8位的时代和最左侧8位是省略了。如果1,所有16位的时代进行内联。 |
| 在大多数情况下,实际的时代是0或1。因此,使用一个8位时代大部分时间,允许更高的空间。 |
| 序列号(SN):的序号由48位有些前导零。如果设置为0 SN,使用16位序列号和最左侧32位都省略了。如果1,所有48位的序列号进行内联。6 lowpan-nhc-r,如图4所示,我们使用两位SN,可以更有效地压缩序列号字段。如果设置了SN 00,使用16位序列号和最左侧32位都省略了。如果01,使用32位序列号和最左侧16位是省略了。如果10,使用24位序列号和最左侧24位是省略了。如果11,所有48位的序列号进行内联。 |
| 片段(F):如果0,握手消息不是支离破碎的,田野分段偏移和片段长度是省略了。这是常见的情况,发生在握手消息并不比记录的最大大小。如果1,字段分段偏移和片段长度进行内联。 |
6 lowpan-nhc ClientHello |
| 在握手过程中ClientHello消息发送两次,第一次没有饼干饼干和第二次服务器。图5显示了ClientHello 6 lowpan-nhc编码信息。 |
| 第一个四位6 lowpan-nhc-ch代表的ID字段设置为1010。 |
| 会话ID (SI):如果会话id 0,不可用和这一领域的8位前缀长度字段的省略。(D)的TLS协议,会话id是空的,如果没有会话可用,或者如果客户希望生成新的安全参数。ClientHello消息使用会话id只有迪泰客户机想要恢复旧的会话。实际的会话id字段ClientHello包含0到32个字节。然而,它总是以一个8位字段,其中包含会话id的大小。如果如果设置1,会话id字段进行内联。 |
| 饼干(C):如果0,饼干字段不可用和这一领域及其前缀8位长度字段都省略了。实际ClientHello饼干字段包含0到255字节。然而,它总是一个8位长度字段,其中包含饼干的大小。如果C组1,饼干字段进行排队。 |
| 密码套件(CS):如果0,默认密码套件(强制性)CoAP支持自动使用密钥管理和这个领域和16位前缀长度字段是省略了。在当前CoAP草案TLS-ECDHE-ECDSAWITH - aes - 128 - ccm - 8是一个强制性的密码套件。实际的密码套件字段包含2到216 - 1字节,总是以一个16位字段包含密码套件的大小。如果CS设置1,密码组合字段进行内联。 |
| 压缩方法(厘米):如果0,默认的压缩方法,即。,COMPRESSION NULL is used and this field and the prefixed 8 bits length field are omitted. The actual compression methods field contains 1 to 28-1 bytes. It is always prefixed with an 8 bits field that contains the size of the compression methods. If CM is set 1, the compression methods field is carried inline. |
| 图6显示了一个包含一个未压缩的IP / UDP数据报ClientHello。6 lowpan压缩IP / UDP数据报,我们建议的压缩迪泰,包含ClientHello消息如图7所示。应用IPHC和6 lowpan-nhc报头压缩后,数据报大小是显著降低。 |
6 lowpan-nhc ServerHello |
| ServerHello非常类似于ClientHello除了密码套件和压缩方法字段的长度是固定的16岁和8位,分别。图5 c显示了ServerHello 6 lowpan-nhc编码信息。每个压缩报头字段的功能描述如下:第一个四位6 lowpannhcsh代表ID字段设置为1011。 |
| 版本(V):为了避免谈判在初始版本的握手,迪泰1.2标准表明服务器实现应该使用迪泰1.0版。如果设置为0 V,迪泰1.0版本和版本字段被忽略。然而迪泰1.2客户端不能假定服务器不支持更高版本或最终谈判迪泰1.0而不是1.2迪泰。如果V设置为1时,版本字段进行内联。 |
| 会话ID (SI),密码套件(CS),压缩方法(CM)进行编码以类似的方式正如上面所讨论的。为了不妥协的随机场安全ServerHello总是进行内联。 |
6 lowpan-nhc其他握手消息 |
| 剩下的强制性握手消息ServerHelloDone ClientKeyExchange,完成没有字段,可以压缩,因此所有字段进行内联。可选的握手消息证书包含证书和证书验证链包含握手消息的数字签名是进行内联。 |
增强 |
| 除了拟议的系统,我们正在添加新特性来提高端到端通过使用原始公钥认证。相移键控的操作模式在迪泰只支持部分物联网设备之间的互操作性,因为设备制造商需要彼此preshare一些键控材料以使他们的设备安全地相互通信。多厂商环境中建立这种信任是很困难的。另一方面是X.509-based公钥基础设施(PKIX),使物联网设备进行身份验证。使用原始公钥与迪泰已经标准化,以减轻负担的物联网设备存储和传输证书当执行迪泰握手协议。这使得设备预配置(在生产期间)的专用服务器公钥设备需要沟通,以及设备本身的公钥。 |
| 当设备执行迪泰握手协议使用原始公钥的新定义的TLS扩展客户端证书必须使用类型和服务器证书类型。原始公钥都封装在一个SubjectPublicKeyInfo结构只包含原始密钥和算法标识符。物联网设备作为迪泰客户端发起迪泰握手协议,表明它有能力处理原始公钥发送ClientHello消息时RawPublicKey扩展。服务器满足客户请求,表明这种通过RawPublicKey服务器证书的价值负载,并提供一个原始证书的公钥负载回客户机。需要客户端身份验证,服务器可以发送CertificateRequest消息到客户端,要求客户端发送的原始公钥认证。客户端,有原始公钥preprovisioned,在证书有效负载返回给服务器。 |
结论和未来的工作 |
| 安全的基本需要是CoAP资源受限设备在实际物联网环境。迪泰是标准的协议,使安全CoAP (CoAPs)。这个系统,提出了减少的可能性的开销迪泰通过6 lowpan头压缩,和现在的第一个6 lowpan迪泰报头压缩机制。压缩迪泰能源消耗CoAPs是有效的节点,内存需求和网络响应。作为一个未来的工作这个系统可以部署包含智能传感器在现实世界物联网环境中,约束设备和智能手机等实时应用程序。这样的部署有助于深入研究和评估这个系统的意义与保密程序。 |
|
数据乍一看 |
|
|
|
|
|
|
引用 |
- z谢尔比,k Hartke、c·鲍曼和弗兰克。5月(2013)。限制应用协议(CoAP)。Internet-Draft draft-ietf-corecoap-16[网络]。可用:http://datatracker.ietf.org/drafts/current/。
- 数据报传输层安全1.2版本,RFC标准6347年1月。2012年。
- 邓克尔,b . Gronvall, t·沃伊特“Contiki-A轻量级、灵活的操作系统微小的网络化传感器,“inProc。29日为基础。IEEE Int。相依当地第一版。Netw。,Nov. 2004, pp. 455–462.
- s . Raza s Duquennoy涌,d . Yazar t·沃伊特和Roedig,“确保通信在6 lowpan压缩IPsec,“在Proc。7日Int。相依DCOSS,巴塞罗那,西班牙,2011年6月,页1 - 8。
- j . Granjal e .蒙泰罗和j·s·席尔瓦,“物联网的网络层安全使用TinyOS和波动,“Int。j . Commun。系统。,2012,doi: 10.1002/dac.2444.
- m . Brachmann s . l . Keoh o . g . Morchon和s . s . Kumar“End-toend基于ip的物联网传输安全,“inProc。21 sticccn, 2012年8月,页1 - 5。
- t . Kothmayr c·施密特w·胡m . Brunig g·卡尔,“一个基于迪泰的端到端安全物联网架构两个wayauthentication,”在当地Proc, IEEE第37相依。第一版。Netw。车间,2012年10月,页956 - 963。
- j . Granjal e .蒙泰罗和j·s·席尔瓦,“网络安全应用程序层通信的可行性,“在Proc。IEEE第37相依LCN, 2012年10月,页228 - 231。
- s . Keoh Kumar和o . Garcia-Morchon。(2013年2月)。确保迪泰的基于ip的物联网,[网络]。
|
菜单
