Simple Science

Hochmoderne Wissenschaft einfach erklärt

# Computerwissenschaften# Kryptographie und Sicherheit

Optimiertes IoT-Zugangsmanagement für Nutzer

Ein neuer Ansatz für sicheren Zugriff für mehrere Nutzer auf IoT-Geräte.

― 8 min Lesedauer

Sichere IoT-Zugänge fürSichere IoT-Zugänge fürNutzerGeräte.Effiziente Benutzeranmeldung für smarte
Inhaltsverzeichnis

Mit der steigenden Anzahl an Internet of Things (IoT) Geräten wird es immer wichtiger, sicheren Zugriff für mehrere Nutzer zu gewährleisten. Viele moderne Häuser und Büros nutzen mittlerweile smarte Geräte, die von verschiedenen Personen gesteuert werden müssen, wie zum Beispiel smarte Thermostate oder Lichter. Diese Situation erfordert eine zuverlässige Methode, um sicherzustellen, dass die Geräte erkennen können, wer darauf zugreifen möchte.

Kerberos ist ein etabliertes System zur Authentifizierung von Nutzern in verteilten Netzwerken. Es ermöglicht Nutzern, sich einmal anzumelden und auf verschiedene Ressourcen zuzugreifen, ohne sich für jeden Dienst erneut einloggen zu müssen. Allerdings sind die Protokolle, die von Kerberos verwendet werden, für viele IoT-Geräte zu komplex, da diese oft über begrenzte Rechenleistung und Speicher verfügen. In diesem Artikel wird ein neuer Ansatz vorgestellt, der es einfacher macht, dass mehrere Nutzer sicher auf IoT-Geräte zugreifen können, ohne diese Geräte zu überlasten.

IoT Geräte und ihre Bedürfnisse

IoT Geräte können kleine Dinge wie smarte Glühbirnen oder grössere Systeme wie smarte Kühlschränke sein. Sie benötigen oft eine Art Zugriffskontrolle, um unbefugte Nutzung zu verhindern. Im Gegensatz zu normalen Computern sind viele IoT Geräte kleiner und laufen mit weniger Energie, was ihre Sicherheitsfunktionen einschränkt. Dadurch sind sie anfälliger für Angriffe. Zum Beispiel können einige Geräte aus der Ferne übernommen werden, was zu ernsthaften Sicherheitsrisiken führt.

Die meisten Leute nutzen mehrere smarte Geräte zu Hause oder bei der Arbeit, was bedeutet, dass jeder im Haushalt oder Büro Zugriff benötigt. Diese gemeinsame Nutzung macht die Sache komplizierter. Eine einfache Idee wäre es, dass sich jeder Nutzer bei jedem Gerät registriert, aber das erfordert viel Speicher auf dem Gerät, was nicht praktikabel ist. Stattdessen ist es entscheidend, ein System zu verwenden, das mehrere Nutzer verwalten kann, ohne die Geräte zu belasten.

Die Rolle von Kommunikations-Proxys

Einige frühere Lösungen haben die Idee eingeführt, Kommunikations-Proxys zu nutzen. Diese Proxys fungieren als Vermittler zwischen Nutzern und IoT Geräten. Allerdings hat diese Methode Nachteile, da sie zusätzliche Schritte im Kommunikationsprozess hinzufügt, was die Dinge verlangsamen kann. Ausserdem erforderte der Versuch, Kerberos für IoT anzupassen, bedeutende Änderungen an bestehenden Protokollen, was sie weniger geeignet für viele Geräte macht.

Ein weiteres Problem früherer Ansätze ist, dass sie die Nutzer nicht über die Sicherheit der Software des Geräts informieren. Nutzer könnten nicht wissen, ob ein Gerät kompromittiert wurde, was eine wichtige Information für den sicheren Betrieb von IoT Geräten ist.

Ein neuer Ansatz

Um diese Probleme zu lösen, wurde ein neues System entwickelt, das sicheren und effizienten Zugriff für mehrere Nutzer auf IoT Geräten ermöglicht. Dieses System verwendet Kerberos, ohne die Protokolle ändern zu müssen. Eine spezielle Komponente, genannt IoT Server, verwaltet den Nutzerzugriff auf die Geräte.

Diese Lösung teilt IoT Geräte in zwei Kategorien ein: allgemeine Geräte, die immer eingeschaltet sind, und energieeingeschränkte Geräte, die hauptsächlich im Energiesparmodus bleiben. Jede Art von Gerät hat ihre eigenen Kommunikationsprotokolle, um sicherzustellen, dass sie auch ohne zu viel Energie oder Speicher funktionieren können.

Hauptmerkmale des neuen Systems

Das neue System ermöglicht die Nutzer-Authentifizierung, ohne die begrenzten Ressourcen der IoT Geräte zu belasten. So funktioniert es:

  1. Nutzer-Authentifizierung: Wenn ein Nutzer auf ein Gerät zugreifen möchte, muss er sich zuerst über Kerberos anmelden, um ein Serviceticket zu erhalten. Mit diesem Ticket kann er den Zugriff auf IoT Geräte anfordern.

  2. Zugriffsmanagement: Der IoT Server kümmert sich um die Verwaltung der Zugriffsrichtlinien. Er stellt sicher, dass nur autorisierte Nutzer auf bestimmte Geräte zugreifen können, basierend auf Regeln, die vom Gerätebesitzer festgelegt werden.

  3. Zeit-Synchronisierung: Für Geräte ohne Echtzeituhr verwendet das System einen Timer, um die Uhrzeit zu verfolgen. Diese Methode ermöglicht es den Geräten, effektiv zu arbeiten, ohne umfangreiche Ressourcen zu benötigen.

  4. Effiziente Kommunikation: Die neuen Protokolle vermeiden aufwendige Verschlüsselungsaufgaben und setzen stattdessen auf einfachere kryptografische Operationen. Das stellt sicher, dass die Geräte nicht durch Speicher- oder Verarbeitungsanforderungen belastet werden.

  5. Integritätsprüfung der Software: Nutzer können einen Bericht über den Softwarezustand des Geräts anfordern, um zu bestätigen, dass es ordnungsgemäss funktioniert, bevor sie es nutzen. Dieses Feature fügt eine zusätzliche Sicherheitsebene hinzu und informiert die Nutzer darüber, ob ein Gerät möglicherweise kompromittiert wurde.

Gerätetypen

Das vorgeschlagene System identifiziert zwei Arten von IoT Geräten:

  • Allgemeine Geräte: Diese Geräte sind immer wach und können schnell auf Anfragen reagieren. Sie haben in der Regel eine konstante Stromversorgung. Beispiele sind smarte Kameras oder Thermostate, die ständig auf Befehle hören können.

  • Energieeingeschränkte Geräte: Diese Geräte verbringen die meiste Zeit im Energiesparmodus, um Energie zu sparen. Sie wachen sporadisch auf, um Aufgaben zu erledigen, und reagieren möglicherweise nur während dieser aktiven Phasen auf Anfragen. Beispiele sind energieeffiziente Wetterstationen oder Sensoren.

Beide Gerätetypen folgen denselben grundlegenden Protokollen, haben jedoch unterschiedliche betriebliche Anforderungen, die auf ihre Fähigkeiten zugeschnitten sind.

Protokollübersicht

Das System arbeitet in drei Hauptphasen:

  1. Ticketausgabe-Phase: Nach der Anmeldung über Kerberos können Nutzer ein Ticket für ein Gerät anfordern. Dieses Ticket erlaubt den Zugriff auf die notwendigen Ressourcen.

  2. Synchronisations-Phase: Wenn ein Gerät aufwacht, kommuniziert es mit dem IoT Server, um die aktuelle Uhrzeit zu erhalten. Dadurch wird sichergestellt, dass das Gerät und der Server für die Dienstphase synchron sind.

  3. Dienst-Phase: In dieser letzten Phase können Nutzer Dienstleistungen von den IoT Geräten anfordern. Das System überprüft die Gültigkeit der Tickets und stellt sicher, dass der Nutzer autorisiert ist, die angeforderte Aktion auszuführen.

Sicherheitsmassnahmen

Um das System sicher zu halten, müssen mehrere wichtige Anforderungen erfüllt sein:

  • Sichere Zugriffskontrolle: Sicherstellen, dass Nutzer das Recht haben, auf bestimmte Geräte zuzugreifen.
  • Integritätssicherung: Bestätigen, dass die Software des Geräts nicht manipuliert wurde.
  • Verhinderung von Identitätsdiebstahl: Sicherstellen, dass unbefugte Nutzer keinen Zugang erhalten, indem sie sich als legitime Nutzer ausgeben.

Diese Sicherheitsmassnahmen sind entscheidend, um zu gewährleisten, dass IoT Geräte vor unbefugtem Zugriff und möglichen Hacks geschützt bleiben.

Implementierung

Das System wurde als Open-Source-Projekt implementiert. Die IoT Server-Software läuft auf einem normalen Server und kümmert sich um alle Kommunikationen mit den Geräten und Nutzern. Die Geräte selbst führen eine leichtgewichtige Version der Software aus, die es ihnen ermöglicht, sich zu verbinden und auf Anfragen zu reagieren, ohne bedeutende Ressourcen zu benötigen.

Als praktisches Beispiel könnte eine smarte Glühbirne den Nutzern erlauben, sie ein- oder auszuschalten und ihren Status zu überprüfen. Die Glühbirne kommuniziert mit dem IoT Server, der die Zugriffsrechte für verschiedene Nutzer verwaltet. Wenn ein Nutzer das Licht einschalten möchte, muss er sich zuerst über den Server authentifizieren, der seinen Zugriff überprüft, bevor die Aktion genehmigt wird.

Leistungsevaluation

Leistungsbewertungen haben gezeigt, dass das neue System effizient über verschiedene Geräte hinweg funktioniert. Die Zeit, die benötigt wird, um Tickets zu verifizieren und zu kommunizieren, ist erheblich geringer als die von traditionellen Kerberos-Systemen.

  • Bei allgemeinen Geräten wurde die durchschnittliche Verifizierungszeit mit etwas unter 9 Millisekunden festgestellt, während energieeingeschränkte Geräte im Durchschnitt etwa 3,5 Millisekunden benötigten, was sie für Echtzeitanwendungen geeignet macht.

  • Der Speicherverbrauch auf den Geräten war minimal und erhöhte nur geringfügig deren Gesamtnutzung, was diese Lösung praktikabel für viele IoT-Umgebungen macht.

Fazit

Der Anstieg smarter Geräte bringt sowohl Bequemlichkeit als auch Herausforderungen mit sich. Da Haushalte und Arbeitsplätze zunehmend vernetzt werden, ist der Bedarf an sicherem, effizientem Zugriff auf diese Geräte essenziell. Das neue System findet ein Gleichgewicht, indem es vorhandene Authentifizierungsmethoden nutzt und sie für die Ressourcen begrenzte Umgebung von IoT Geräten anpasst.

Durch die Einteilung der Geräte in Kategorien und die Anpassung der Zugriffsprotokolle ermöglicht dieser Ansatz mehreren Nutzern eine sichere Interaktion mit verschiedenen smarten Geräten, ohne die Sicherheit oder Leistung zu gefährden. Mit seiner Open-Source-Implementierung, die leicht verfügbar ist, könnte diese Lösung den Weg für eine sicherere und effizientere Nutzung von IoT-Technologie in vielen Sektoren ebnen.

In einer Welt, die zunehmend mit smarter Technologie gefüllt ist, wird es entscheidend sein, die Sicherheit dieser Geräte zu gewährleisten. Diese neue Methode könnte einen bedeutenden Fortschritt darstellen, um den Zugang zu IoT einfacher und sicherer für alle zu gestalten.

Originalquelle

Titel: KESIC: Kerberos Extensions for Smart, IoT and CPS Devices

Zusammenfassung: Secure and efficient multi-user access mechanisms are increasingly important for the growing number of Internet of Things (IoT) devices being used today. Kerberos is a well-known and time-tried security authentication and access control system for distributed systems wherein many users securely access various distributed services. Traditionally, these services are software applications or devices, such as printers. However, Kerberos is not directly suitable for IoT devices due to its relatively heavy-weight protocols and the resource-constrained nature of the devices. This paper presents KESIC, a system that enables efficient and secure multi-user access for IoT devices. KESIC aims to facilitate mutual authentication of IoT devices and users via Kerberos without modifying the latter's protocols. To facilitate that, KESIC includes a special Kerberized service, called IoT Server, that manages access to IoT devices. KESIC presents two protocols for secure and comprehensive multi-user access system for two types of IoT devices: general and severely power constrained. In terms of performance, KESIC onsumes $\approx~47$ times less memory, and incurs $\approx~135$ times lower run-time overhead than Kerberos.

Autoren: Renascence Tarafder Prapty, Sashidhar Jakkamsetti, Gene Tsudik

Letzte Aktualisierung: 2024-07-17 00:00:00

Sprache: English

Quell-URL: https://arxiv.org/abs/2407.04880

Quell-PDF: https://arxiv.org/pdf/2407.04880

Lizenz: https://creativecommons.org/licenses/by-nc-sa/4.0/

Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.

Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.

Referenzierte Themen

Mehr von den Autoren

Ähnliche Artikel