Gestión de Acceso IoT Simplificada para Usuarios
Un nuevo enfoque para asegurar el acceso de múltiples usuarios en dispositivos IoT.
― 8 minilectura
Tabla de contenidos
A medida que crece el número de dispositivos de Internet de las Cosas (IoT), ofrecer acceso seguro para varios usuarios se convierte en un gran desafío. Muchos hogares y oficinas modernas ahora utilizan dispositivos inteligentes que diferentes personas pueden necesitar controlar, como termostatos inteligentes o luces. Esta situación requiere una forma confiable para garantizar que estos dispositivos puedan identificar quién está tratando de acceder a ellos.
Kerberos es un sistema bien establecido utilizado para autenticar a los usuarios en redes distribuidas. Permite a los usuarios iniciar sesión una vez y acceder a varios recursos sin tener que iniciar sesión nuevamente para cada servicio. Sin embargo, los protocolos utilizados por Kerberos son demasiado complejos para muchos dispositivos IoT, que a menudo tienen un poder de procesamiento y memoria limitados. Este artículo habla sobre un nuevo enfoque diseñado para facilitar que muchos usuarios accedan de forma segura a dispositivos IoT sin sobrecargar estos dispositivos.
Dispositivos IoT y sus Necesidades
Los dispositivos IoT pueden ser cosas pequeñas como bombillas inteligentes o sistemas más grandes como refrigeradores inteligentes. A menudo necesitan algún tipo de control de acceso para protegerse contra el uso no autorizado. A diferencia de las computadoras comunes, muchos dispositivos IoT son más pequeños y funcionan con menos energía, lo que limita sus características de seguridad. Por eso, pueden ser vulnerables a ataques. Por ejemplo, algunos dispositivos pueden ser tomados de control de forma remota, lo que lleva a riesgos de seguridad graves.
La mayoría de la gente usa varios dispositivos inteligentes en casa o en el trabajo, lo que significa que todos en el hogar o la oficina podrían necesitar acceso. Este uso compartido complica las cosas. Una idea sencilla sería que cada usuario se registrara con cada dispositivo, pero esto requiere mucha memoria en el dispositivo, lo cual no es práctico. En cambio, usar un sistema que pueda gestionar múltiples usuarios sin poner una carga en los dispositivos es crucial.
El Rol de los Proxies de Comunicación
Algunas soluciones anteriores han introducido la idea de usar proxies de comunicación. Estos proxies actúan como intermediarios entre los usuarios y los dispositivos IoT. Sin embargo, este método tiene desventajas porque añade pasos adicionales al proceso de comunicación, lo que puede ralentizar las cosas. Además, algunos intentos de adaptar Kerberos para IoT han requerido cambios significativos a los protocolos existentes, haciéndolos menos adecuados para muchos dispositivos.
Otro problema con enfoques anteriores es que no informan a los usuarios sobre la seguridad del software del dispositivo. Los usuarios podrían no saber si un dispositivo ha sido comprometido, lo que es información esencial para operar dispositivos IoT de forma segura.
Un Nuevo Enfoque
Para abordar estos problemas, se ha desarrollado un nuevo sistema que permite un acceso seguro y eficiente para múltiples usuarios en dispositivos IoT. Este sistema utiliza Kerberos sin necesidad de cambiar sus protocolos. Un componente especial llamado IoT Server gestiona el acceso de los usuarios a los dispositivos.
Esta solución divide los dispositivos IoT en dos categorías: dispositivos generales que están siempre encendidos y dispositivos limitados en energía que principalmente permanecen en estados de bajo consumo. Cada tipo de dispositivo tiene sus propios protocolos de comunicación para asegurar que puedan seguir funcionando adecuadamente sin requerir demasiada energía o memoria.
Características Clave del Nuevo Sistema
El nuevo sistema permite la Autenticación de usuarios sin agobiar los recursos limitados de los dispositivos IoT. Así es como funciona:
Autenticación de Usuarios: Cuando un usuario quiere acceder a un dispositivo, primero debe iniciar sesión usando Kerberos para obtener un ticket de servicio. Este ticket les permite solicitar acceso a los dispositivos IoT.
Gestión de Acceso: El IoT Server se encarga de gestionar las políticas de acceso. Asegura que solo los usuarios autorizados puedan acceder a dispositivos específicos, según las reglas establecidas por el propietario del dispositivo.
Sincronización de Tiempo: Para dispositivos sin relojes en tiempo real, el sistema utiliza un temporizador para llevar un registro del tiempo. Este método permite que los dispositivos funcionen de manera efectiva sin necesidad de recursos extensos.
Comunicación Eficiente: Los nuevos protocolos evitan tareas de cifrado pesadas, optando en su lugar por operaciones criptográficas más simples. Esto asegura que los dispositivos no se vean sobrecargados con demandas de memoria o procesamiento.
Verificación de Integridad del Software: Los usuarios pueden solicitar un informe sobre el estado del software del dispositivo para confirmar que está funcionando correctamente antes de usarlo. Esta característica añade una capa extra de seguridad, informando a los usuarios si un dispositivo podría estar comprometido.
Tipos de dispositivos
El sistema propuesto identifica dos tipos de dispositivos IoT:
Dispositivos Generales: Estos dispositivos están siempre despiertos y pueden responder rápidamente a las solicitudes. Por lo general, tienen un suministro de energía constante. Ejemplos incluyen cámaras inteligentes o termostatos que pueden escuchar comandos todo el tiempo.
Dispositivos Limitados en Energía: Estos dispositivos pasan la mayor parte del tiempo en un estado de bajo consumo para ahorrar energía. Se despiertan periódicamente para realizar tareas y solo podrían responder a las solicitudes durante estos períodos activos. Ejemplos incluyen estaciones meteorológicas de bajo consumo o sensores.
Ambos tipos de dispositivos siguen los mismos protocolos básicos pero tienen diferentes requisitos operativos adaptados a sus capacidades.
Resumen de Protocolos
El sistema opera en tres fases principales:
Fase de Emisión de Tickets: Después de iniciar sesión a través de Kerberos, los usuarios pueden solicitar un ticket para un dispositivo. Este ticket permite el acceso a los recursos necesarios.
Fase de Sincronización: Cuando un dispositivo se despierta, se comunica con el IoT Server para obtener la hora actual. Esto asegura que el dispositivo y el servidor estén sincronizados para la fase de servicio.
Fase de Servicio: En esta fase final, los usuarios pueden solicitar servicios de los dispositivos IoT. El sistema verifica la validez de los tickets y asegura que el usuario esté autorizado para realizar la acción solicitada.
Medidas de Seguridad
Para mantener el sistema seguro, se deben cumplir varios requisitos clave:
- Control de Acceso Seguro: Asegurarse de que los usuarios tengan derecho a acceder a dispositivos específicos.
- Aseguramiento de Integridad: Confirmar que el software del dispositivo no ha sido manipulado.
- Prevención de Suplantación: Asegurar que usuarios no autorizados no puedan acceder haciéndose pasar por usuarios legítimos.
Estas medidas de seguridad son esenciales para garantizar que los dispositivos IoT permanezcan protegidos contra accesos no autorizados y posibles hackeos.
Implementación
El sistema se ha implementado como un proyecto de código abierto. El software del IoT Server se ejecuta en un servidor ordinario y maneja todas las comunicaciones con los dispositivos y usuarios. Los dispositivos mismos ejecutan una versión ligera del software, lo que les permite conectarse y responder a solicitudes sin necesidad de recursos significativos.
Para dar un ejemplo práctico, una bombilla inteligente podría permitir a los usuarios encenderla o apagarla y verificar su estado. La bombilla se comunica con el IoT Server, que gestiona los derechos de acceso para diferentes usuarios. Si un usuario quiere encender la luz, primero necesita autenticar a través del servidor, que verifica su acceso antes de permitir la acción.
Evaluación del Rendimiento
Las evaluaciones de rendimiento han mostrado que el nuevo sistema funciona eficientemente en varios dispositivos. El tiempo tomado para verificar los tickets y comunicarse es significativamente menor que el de los sistemas Kerberos tradicionales.
Para dispositivos generales, el tiempo promedio de verificación fue algo menos de 9 milisegundos, mientras que los dispositivos limitados en energía promediaron alrededor de 3.5 milisegundos, haciéndolos adecuados para aplicaciones en tiempo real.
El uso de memoria en los dispositivos fue mínimo, aumentando solo ligeramente su huella general, haciendo que esta solución sea práctica para muchos entornos IoT.
Conclusión
El auge de los dispositivos inteligentes trae tanto conveniencia como desafíos. A medida que los hogares y lugares de trabajo se vuelven más conectados, la necesidad de acceso seguro y eficiente a estos dispositivos es esencial. El nuevo sistema encuentra un equilibrio al utilizar métodos de autenticación existentes mientras los adapta para su uso en el entorno de recursos limitados de los dispositivos IoT.
Al dividir los dispositivos en categorías y personalizar los protocolos de acceso, este enfoque permite que múltiples usuarios interactúen de forma segura con varios dispositivos inteligentes sin comprometer la seguridad o el rendimiento. Con su implementación de código abierto disponible, esta solución podría allanar el camino para un uso más seguro y eficiente de la tecnología IoT en muchos sectores.
En un mundo cada vez más lleno de tecnología inteligente, garantizar la seguridad de estos dispositivos será fundamental. Este nuevo método podría representar un avance significativo en hacer que el acceso a IoT sea más simple y seguro para todos.
Título: KESIC: Kerberos Extensions for Smart, IoT and CPS Devices
Resumen: Secure and efficient multi-user access mechanisms are increasingly important for the growing number of Internet of Things (IoT) devices being used today. Kerberos is a well-known and time-tried security authentication and access control system for distributed systems wherein many users securely access various distributed services. Traditionally, these services are software applications or devices, such as printers. However, Kerberos is not directly suitable for IoT devices due to its relatively heavy-weight protocols and the resource-constrained nature of the devices. This paper presents KESIC, a system that enables efficient and secure multi-user access for IoT devices. KESIC aims to facilitate mutual authentication of IoT devices and users via Kerberos without modifying the latter's protocols. To facilitate that, KESIC includes a special Kerberized service, called IoT Server, that manages access to IoT devices. KESIC presents two protocols for secure and comprehensive multi-user access system for two types of IoT devices: general and severely power constrained. In terms of performance, KESIC onsumes $\approx~47$ times less memory, and incurs $\approx~135$ times lower run-time overhead than Kerberos.
Autores: Renascence Tarafder Prapty, Sashidhar Jakkamsetti, Gene Tsudik
Última actualización: 2024-07-17 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2407.04880
Fuente PDF: https://arxiv.org/pdf/2407.04880
Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.