《外文翻译Lithe物联网中的轻量级安全CoAP协议》由会员分享,可在线阅读,更多相关《外文翻译Lithe物联网中的轻量级安全CoAP协议(15页珍藏版)》请在金锄头文库上搜索。
1、Lithe:物联网中的轻量级安全CoAP协议摘要:物联网支持广泛的包含潜在驱动和传感任务的应用场景,例如,在电 子健康领域。为了在应用层通信,资源受限的设备要能够使用资源受限的应用协 议(CoAP),目前互联网工程组正在使这项协议标准化。为了保护感知信息的传 送,安全的资源受限协议授权使用数据报传输层安全协议(DTLS)作为底层安 全协议来进行身份认证和保密通信。然而,数据包传输层安全协议最初是用在比 较强大的设备上的,这些设备通过可靠的高带宽的链路来进行通信。在这篇论文 中我们提出了 Lithe物联网中数据报传输层安全协议和资源受限的应用协议 的集成协议。通过Lithe,另外我们利用低功率无
2、线个人区域网络IPV6协议(6 LoWPAN),提出了一个新颖的DTLS头压缩计划,旨在显著降低能源消耗。最 重要的是我们提出的DTLS头压缩方案不威协DTLS提供的端到端的安全属性。 同时,它在保持 DTLS 标准性的情况下,大大降低了传播的数量字节。我们在 Contiki 操作系统下基于 DTLS 来评估了我们的方法。评估结果表明该方案在包 的大小,能量消耗,处理时间方面有了显著改善,而且能够在压缩DTLS时得到 全网响应。索引词:CoAP,DTLS,CoAPs,6L0WPAN, security, IoT一、简介低功率无线个人区域网络IPV6协议(6 LowPAN)允许使用低功耗的IP网
3、 络和有损耗的无线传感器网络,例如无线传感网(WSNs)。这样的IP连接的智 能设备正成为互联网的一部分,因此形成了物联网或者严格来说形成了 IP连接 的物联网。然而由于TCP的拥塞控制算法,使得它在无线网络中的性能很差, 低功率无线电和传感网络中的损耗进一步恶化了它的性能。因此物联网中主要使 用无连接的UDP。此外。HTTP主要是在TCP基础上运行,它在损耗和受限环 境下效率低下。IETF工作在无连接的轻量级的CoAP 上, CoAP是物联网中新提 出的协议。它是为了满足特定需求,如在资源受限下支持简单,低开销,多播传 输。当物体连接到不可信的网络时,安全就尤其重要了。例如,医疗监测代表一
4、个典型的对安全敏感的应用场景。这里,一种智能装置,例如,如胰岛素,可能 被附加到病人的身体并向后端服务互联网定期报告病人的情况。在紧急情况下, 医生还可以向病人的身体即时注射治疗药物。为了实现自动键管理、数据加密、完整性保护和身份验证,CoAP提出使用 数据报传输层安全(DTLS)作为安全协议。DPLS支持的CoAP被称为安全CoAP (CoAPs)。DTLS是一个健壮的协议,它需要大量的信息交流来建立一个安全的 会话。虽然 DTLS 支持多种对等认证的加密原语和负载保护,但它最初用于长度 不是一个关键因素的网络场景。因此,它限制物联网设备,使用DTLS协议就会 很低效。为应对资源约束和基于网
5、络的 IEEE 802.15.4 的大小限制,定义了 6 LoWPAN头压缩机制。6 LoWPAN标准已经定义了 IP报头的标题压缩格式,IP 扩展报头和UDP报头。我们相信把6 LoWPAN报头压缩机制应用于压缩其他有 明确的头字段的协议非常有益。在这篇文章中我们通过用6 LoWPAN报头压缩机制来压缩底层DTLS协议 并提出了轻量级CoAPs。我们命名轻量级6 LoWPAN为压缩的CoAPs Lithe。 DTLS 头的目的是双重压缩。首先,由于通信比计算需要更多的能量,所以可以通过减少消息大小来提高 能源效率。第二,当数据报大小大于链路层MTU时,避免应用6 LoWPAN碎片。 从安全角
6、度来看,由于6 LoWPAN禁不住碎片攻击,所以只要有可能,避免碎 片是非常重要的。压缩的DTLS保证了 Lithe中的6 LoWPAN主机和典型的应用 未压缩的 CoAPs 网络主机之间的端到端安全。图1 显示了一个典型的物联网设 备,包含了应用CoAPs的节点的6 LoWPAN网络通过6LowPAN边界路由器(6BR) 与互联网连接。据我们所知,我们是第一个提出用 6LowPAN 机制压缩 DTLS 并使轻量级 CoAPs应用于物联网的。我们在Contiki操作系统中实现了 DTLS头压缩机制。 这篇论文的主要贡献有:为了增加DTLS的适用性,我们提出了新颖的标准的DTLS压缩机制,在此
7、基础上可以将CoAPs应用于受限的设备。我们在一个应用于物联网的操作系统上实现压缩的 DTLS 并且在硬件上进 行了评估。结果定量的表明,与未压缩的CoAP/DTLS相比,Lithe在很多方面都 很高效。文章的余下部分是这样安排的。我们首先在第二章总结了相关工作。第三章 对所用到的技术做了简要的概述。第四章,我们介绍了 DTLS头压缩机制。第五 章,我们给出了实现。第六章,论述了网络设置并讨论评估结果。最后在第七章 做出总结。二、相关工作在传统互联网中提供端到端的安全通信是一个广泛的研究领域。然而,相对 来说,在端到端安全研究中很少考虑到了 6LoWPANs。设备的资源约束和无线链 接的自然损
8、耗是阻碍把端到端安全应用到 6LoWPANs 的主要原因。最近,有组 织在分析基于 IP 的物联网的安全性挑战,为满足资源有限的设备的需求,该组 织还提出了改善或修改标准IP安全协议的方案。在相关工作的讨论中,我们专 注于旨在实现物联网端到端安全的方案。先前,我们提出了一个头压缩方法,它通过用IPsec来保证6LowPAN中的 节点与因特网中的主机之间的通信安全。我们定义下一个头压缩(NHC)编码来压 缩认证头(AH)和封装安全有效载荷(ESP)的扩展报头。Jorge扩展了我们的解决方 案,其中包括IPsec隧道模式。他们在微型操作系统上实施和评估了他们的建议。 IPsec 安全服务在特定的机
9、器上运行的所有应用程序之间共享。尽管我们用6LowPAN压缩的IPsec可以用来在网络层提供轻量级的E2E安全,但它最初不 是为像HTTP和CoAP这样的网络协议设计的。TLS或DTLS web协议是常见的 安全解决方案。TLS运行在TCP上,而在UDP基础上6LowPAN网络优先。Brachmann提出了 TLS-DTLS映射来保障物联网安全。然而,这需要有可 靠的6BR和在6BR间歇时的端到端安全。Kothmayr调查了在可信平台模块上 用DTLS来获得对RSA算法的硬件支持。然而,他们利用了 DTLS,而没有用 任何压缩方法,这会造成 DTLS 消息中的冗余位缩短整个网络的生命周期。 G
10、ranjal评估了带有CoAP的DTLS在安全通信中的性能。他们注意到稀缺性负 载空间在需要更大的有效载荷的应用程序中会有问题。作为一种替代方法,他们 建议在其他层使用像 IPsec 这样的压缩形式来保证安全。在最近的研究中, Keoh 讨论了保护以IP连接并使用DTLS协议的物联网的安全的意义,并提出了一个 安全的网络架构,用延长的DTLS对单播和多播密钥进行访问和管理。上述解决方案要么对物联网中的 TLS 或 DTLS 的使用进行了评估,要么对 破坏端到端安全的当前架构进行评估。本文通过使用6LowPAN头压缩机制来减 少物联网中DTLS的开销。我们提出了设计思想以减少双向的基于证书的DT
11、LS握手的能源消费。我们 提出的建议如下:1、预先验证可靠的 6BR 中的证书。 2、全面恢复会话以避免 重新握手。 3、资源有限的设备的所有者来承担握手任务。在物联网中验证基于 证书的可行性的工作与这一工作是互补的。为使基于证书的相互握手更高效,我 们计划把DTLS报头压缩与这些想法集合起来。最近,类似于NHC的通用头压 缩(GHC)也被定义成可以允许上层头压缩。6LowPANGHC对于所有的头和类 似于头的结构是一个通用的压缩方案,但是一个低效的方法。它是我们的解决方 案的替代方法,在 将来的工作中 , 我们计划把我们的 6LowPAN-NHC 与 6LowPAN-GHC 做一个比较。三、
12、背景由于物联网的异质性,将有资源限制的设备安全而有效的连接起来是一项很 有挑战性的工作。目前,互联网工程任务组正在标准化不同的协议,如 CoAP, 6LowPAN,低电力有损网络中的IPv6路由协议,以使这些协议可以应用在物联 网中。本文的重点是让用CoAP协议的物联网设备之间进行安全有效的沟通。在 本章中我们突出了在轻量级CoAP发展中使用的技术,即物联网的HTTP变体。A、CoAP 和 DTLSCoAP是运行在不可靠UDP协议上的网络协议,它最初是为物联网设计的。 CoAP是最常用的同步Web协议的变种,如HTTP,是专为受限制的设备和机器 与机器之间的沟通设计的。然而,尽管CoAP提供了
13、与HTTP类似的REST接口,但与现在物联网中它 的变体相比,CoAP更注重轻量级和成本效益。为了保护CoAP传输,建议数据 报TLS(DTLS)作为主要的安全协议,类似于TLS保护HTTP(HTTPs),安全的 DTLS CoAP协议称为CoAPs。然后就可以通过如下的CoAPs协议安全地访问物 联网设备中的 web 资源:coaps:/myIPv6Address:port/MyResource我们给出了 DTLS协议的简要概述来作为DTLS压缩机制的基础。 通过对传输层和应用层的操作, DTLS 保证了单个机器上不同程序之间的 E2E的安全。DTLS包含两层:底层包含记录协议,上层要么包含
14、握手,警告和ChangeCIPherSpec,要么包含应用数据。ChangeCIPherSpec在握手过程中使用, 这仅仅表明,记录协议应该通过新密码套件和安全协商钥匙来保护后续信息。DTLS 使用警报协议来实现不同 DTLS 之间错误消息的传送。图 2 显示了在 IP/UDP 数据报中 DTLS 的消息结构。记录协议是上层协议的载体。记录头包含其他内容类型和片段字段。基于 内容类型的值,片段字段要么包含握手协议,警告协议和 ChangeCIPherSpec 协 议,要么包含应用数据。一旦握手过程完成,记录头主要是负责用密码保护上层协议或应用数据。记 录协议的保护包括机密性、完整性和真实性的保
15、护。 DTLS 记录是一个相当简单 的协议而握手协议是一个复杂的过程,它包含以异步的方式大量交换的消息。图 3给出了完整的握手过程。握手消息,通常在航班、谈判安全密钥、密码套件和 压缩方法中使用。本文的范围只限于报头压缩,而不包括处理密码记录和握手协 议。详细的握手消息我们参考TLS和DTLS消息。ClicniServerHiht IFlight 3I血nlH创oClientHelJnFlight 5.轉匕rHclli叫 匚urtifi伪杠二(ertifjcaliRcqiJ如咋 XrrvcfK/cy問thia呻c . &T|yurHeiloDciiH,CertiJkul电.EILEiHKeyE
16、hai昭业 OrtitkMkTify . Zhai口星护Gphtr甘peel, FlnisJiied 丄 |C?h;jgClpiit?MpecL FlnkhwiFlight 2Fliclif 4Flight 6Fig. 3,Fi【DTLS handshake protocol. Messages marked with a * arcoptional.B、6LoWPAN6L0WPAN标准定义了与IPv6相关的WSNs中的IPv6数据报的标题压缩和分 化机制的,也称为6LowPAN网络。压缩机制包括IP头压缩(IPHC)和下一个头压 缩(NHC)。IPHC加密可以在单跳网络中将IPv6头长度压缩至2字节,在多跳网络 中压缩至7字节(1字节IPHC、1字节发送、1字节跳限制,2字节源地址,2字节 目的地地址)
