Gestione dell'accesso IoT semplificata per gli utenti
Un nuovo modo per garantire l'accesso sicuro a più utenti sui dispositivi IoT.
― 7 leggere min
Indice
Con l'aumento dei dispositivi IoT, garantire un accesso sicuro per più utenti diventa una sfida fondamentale. Oggi in molte case e uffici si usano dispositivi smart che diverse persone devono controllare, come termostati intelligenti o luci. Questa situazione richiede un modo affidabile per assicurarsi che questi dispositivi possano identificare chi sta cercando di accedervi.
Kerberos è un sistema ben consolidato usato per autenticare gli utenti nelle reti distribuite. Permette agli utenti di accedere una volta sola e poi di avere accesso a varie risorse senza dover effettuare nuovamente il login per ogni servizio. Tuttavia, i protocolli usati da Kerberos sono troppo complessi per molti dispositivi IoT, che spesso hanno potenza di elaborazione e memoria limitate. Questo articolo parla di un nuovo approccio progettato per rendere più facile l'accesso sicuro ai dispositivi IoT senza sovraccaricare questi dispositivi.
Dispositivi IoT e le Loro Esigenze
I dispositivi IoT possono essere cose piccole come lampadine smart o sistemi più grandi come frigoriferi intelligenti. Di solito hanno bisogno di qualche forma di controllo di accesso per proteggersi dall'uso non autorizzato. A differenza dei computer normali, molti dispositivi IoT sono più piccoli e consumano meno energia, il che limita le loro caratteristiche di sicurezza. Per questo motivo, possono essere vulnerabili ad attacchi. Ad esempio, alcuni dispositivi possono essere presi di mira da remoto, portando a seri rischi per la sicurezza.
La maggior parte delle persone usa più dispositivi smart a casa o al lavoro, il che significa che tutti in famiglia o in ufficio potrebbero aver bisogno di accesso. Questo uso condiviso complica le cose. Un'idea semplice sarebbe quella di far registrare ogni utente con ogni dispositivo, ma questo richiede molta memoria sul dispositivo, il che non è pratico. Invece, è fondamentale utilizzare un sistema che può gestire più utenti senza mettere a dura prova i dispositivi.
Il Ruolo dei Proxy di Comunicazione
Alcune soluzioni precedenti hanno introdotto l'idea di usare proxy di comunicazione. Questi proxy fungono da intermediari tra gli utenti e i dispositivi IoT. Tuttavia, questo metodo ha degli svantaggi, poiché aggiunge passaggi extra al processo di comunicazione, rallentando le cose. Inoltre, alcuni tentativi di adattare Kerberos per l'IoT hanno richiesto cambiamenti significativi ai protocolli esistenti, rendendoli meno adatti per molti dispositivi.
Un altro problema degli approcci passati è che non informano gli utenti sulla sicurezza del software del dispositivo. Gli utenti potrebbero non sapere se un dispositivo è stato compromesso, il che è un'informazione essenziale per operare in sicurezza con i dispositivi IoT.
Un Nuovo Approccio
Per affrontare questi problemi, è stato sviluppato un nuovo sistema che consente un accesso sicuro ed efficiente per più utenti sui dispositivi IoT. Questo sistema utilizza Kerberos senza dover cambiare i suoi protocolli. Un componente speciale chiamato IoT Server gestisce l'accesso degli utenti ai dispositivi.
Questa soluzione divide i dispositivi IoT in due categorie: dispositivi generali che sono sempre accesi e dispositivi a bassa potenza che rimangono principalmente in stati a basso consumo. Ogni tipo di dispositivo ha i suoi protocolli di comunicazione per garantire che possa comunque funzionare correttamente senza richiedere troppa energia o memoria.
Caratteristiche Chiave del Nuovo Sistema
Il nuovo sistema consente l'Autenticazione degli utenti senza sovraccaricare le risorse limitate dei dispositivi IoT. Ecco come funziona:
Autenticazione Utente: Quando un utente vuole accedere a un dispositivo, deve prima effettuare il login tramite Kerberos per ottenere un biglietto di servizio. Questo biglietto gli consente di richiedere accesso ai dispositivi IoT.
Gestione dell'Accesso: L'IOT Server si occupa di gestire le politiche di accesso. Garantisce che solo gli utenti autorizzati possano accedere a dispositivi specifici, in base alle regole stabilite dal proprietario del dispositivo.
Sincronizzazione del Tempo: Per i dispositivi senza orologi in tempo reale, il sistema utilizza un timer per tenere traccia del tempo. Questo metodo consente ai dispositivi di funzionare in modo efficace senza bisogno di risorse estensive.
Comunicazione Efficiente: I nuovi protocolli evitano compiti di crittografia pesante, optando invece per operazioni crittografiche più semplici. Questo assicura che i dispositivi non vengano appesantiti con richieste di memoria o elaborazione.
Verifica dell'Integrità del Software: Gli utenti possono richiedere un rapporto sullo stato del software del dispositivo per confermare che funzioni correttamente prima dell'uso. Questa caratteristica aggiunge un ulteriore livello di sicurezza, informando gli utenti se un dispositivo potrebbe essere compromesso.
Tipi di dispositivo
Il sistema proposto identifica due tipi di dispositivi IoT:
Dispositivi Generali: Questi dispositivi sono sempre attivi e possono rispondere rapidamente alle richieste. Di solito hanno una fornitura di energia costante. Esempi includono telecamere smart o termostati che possono sempre ascoltare i comandi.
Dispositivi a Bassa Potenza: Questi dispositivi trascorrono la maggior parte del loro tempo in uno stato a bassa potenza per risparmiare energia. Si attivano periodicamente per eseguire compiti e potrebbero rispondere alle richieste solo durante questi periodi attivi. Esempi includono stazioni meteorologiche a bassa energia o sensori.
Entrambi i tipi di dispositivo seguono gli stessi protocolli di base, ma hanno requisiti operativi diversi adattati alle loro capacità.
Panoramica dei Protocolli
Il sistema opera in tre fasi principali:
Fase di Emissione del Biglietto: Dopo aver effettuato il login tramite Kerberos, gli utenti possono richiedere un biglietto per un dispositivo. Questo biglietto consente l'accesso alle risorse necessarie.
Fase di Sincronizzazione: Quando un dispositivo si attiva, comunica con l'IOT Server per ottenere l'ora corrente. Questo garantisce che il dispositivo e il server siano sincronizzati per la fase di servizio.
Fase di Servizio: In questa fase finale, gli utenti possono richiedere servizi dai dispositivi IoT. Il sistema verifica la validità dei biglietti e assicura che l'utente sia autorizzato a compiere l'azione richiesta.
Misure di Sicurezza
Per mantenere il sistema sicuro, devono essere soddisfatti diversi requisiti chiave:
- Controllo degli Accessi Sicuro: Assicurarsi che gli utenti abbiano il diritto di accedere a dispositivi specifici.
- Assicurazione dell'Integrità: Confermare che il software del dispositivo non sia stato manomesso.
- Prevenzione dell'Impersonificazione: Assicurarsi che gli utenti non autorizzati non possano accedere spacciandosi per utenti legittimi.
Queste misure di sicurezza sono essenziali per garantire che i dispositivi IoT rimangano protetti dall'accesso non autorizzato e da potenziali hackeraggi.
Implementazione
Il sistema è stato implementato come progetto open-source. Il software dell'IOT Server gira su un server ordinario e gestisce tutte le comunicazioni con i dispositivi e gli utenti. I dispositivi stessi eseguono una versione leggera del software, che consente loro di connettersi e rispondere alle richieste senza necessitare di risorse significative.
Per fare un esempio pratico, una lampadina smart potrebbe consentire agli utenti di accenderla o spegnerla e controllarne lo stato. La lampadina comunica con l'IOT Server, che gestisce i diritti di accesso per diversi utenti. Se un utente vuole accendere la luce, deve prima autenticarsi tramite il server, che verifica il suo accesso prima di consentire l'azione.
Valutazione delle Prestazioni
Le valutazioni delle prestazioni hanno mostrato che il nuovo sistema funziona in modo efficiente su vari dispositivi. Il tempo impiegato per verificare i biglietti e comunicare è significativamente inferiore rispetto ai tradizionali sistemi Kerberos.
Per i dispositivi generali, il tempo medio di verifica è stato trovato a poco meno di 9 millisecondi, mentre i dispositivi a bassa potenza hanno registrato una media di circa 3,5 millisecondi, rendendoli adatti per applicazioni in tempo reale.
L'uso della memoria sui dispositivi è stato minimo, aggiungendo solo un lieve incremento alla loro impronta complessiva, rendendo questa soluzione pratica per molti ambienti IoT.
Conclusione
L'ascesa dei dispositivi smart porta sia convenienza che sfide. Man mano che case e luoghi di lavoro diventano più connessi, la necessità di un accesso sicuro ed efficiente a questi dispositivi è essenziale. Il nuovo sistema trova un equilibrio utilizzando metodi di autenticazione esistenti mentre li adatta per l'uso nell'ambiente a risorse limitate dei dispositivi IoT.
Dividendo i dispositivi in categorie e personalizzando i protocolli di accesso, questo approccio consente a più utenti di interagire in modo sicuro con vari dispositivi smart senza compromettere la sicurezza o le prestazioni. Con la sua implementazione open-source prontamente disponibile, questa soluzione potrebbe aprire la strada a un uso più sicuro ed efficiente della tecnologia IoT in molti settori.
In un mondo sempre più pieno di tecnologia smart, garantire la sicurezza di questi dispositivi sarà fondamentale. Questo nuovo metodo potrebbe rappresentare un passo significativo verso un accesso all'IoT più semplice e sicuro per tutti.
Titolo: KESIC: Kerberos Extensions for Smart, IoT and CPS Devices
Estratto: Secure and efficient multi-user access mechanisms are increasingly important for the growing number of Internet of Things (IoT) devices being used today. Kerberos is a well-known and time-tried security authentication and access control system for distributed systems wherein many users securely access various distributed services. Traditionally, these services are software applications or devices, such as printers. However, Kerberos is not directly suitable for IoT devices due to its relatively heavy-weight protocols and the resource-constrained nature of the devices. This paper presents KESIC, a system that enables efficient and secure multi-user access for IoT devices. KESIC aims to facilitate mutual authentication of IoT devices and users via Kerberos without modifying the latter's protocols. To facilitate that, KESIC includes a special Kerberized service, called IoT Server, that manages access to IoT devices. KESIC presents two protocols for secure and comprehensive multi-user access system for two types of IoT devices: general and severely power constrained. In terms of performance, KESIC onsumes $\approx~47$ times less memory, and incurs $\approx~135$ times lower run-time overhead than Kerberos.
Autori: Renascence Tarafder Prapty, Sashidhar Jakkamsetti, Gene Tsudik
Ultimo aggiornamento: 2024-07-17 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2407.04880
Fonte PDF: https://arxiv.org/pdf/2407.04880
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.