Regisztráció és bejelentkezés

Az Internet of Things biztonságának növelése: biztonsági mechanizmusok tervezése és implementációja beágyazott környezetben

Az Internet of Things, röviden IoT, lényegében több millió beágyazott eszköz internethez való csatlakoztatását foglalja magába. A legtöbb ilyen eszköz korlátozott erőforrásokkal rendelkezik, ami gyakran átlagon aluli biztonságot eredményez. Azonban az ilyen rendszerek elleni kibertámadások gyakran jelentős fizikai, vagy pénzügyi károkat okozhatnak. Ezért napjaink egyik legnagyobb kihívása, ami hátráltatja az IoT technológia elterjedését bizonyos területeken, a biztonsági garanciák hiánya.

A tipikus alkalmazási környezetükben, az IoT eszközök nem közvetlenül kapcsolódnak az internethez, hanem egy átjárón keresztül. Ezen átjárók általában több erőforrással rendelkeznek és fizikailag is jobban védhetőek, így elláthatnak biztonsági funkciókat saját maguk és az általuk kiszolgált IoT eszközök számára. Ebből kifolyólag, ezen rendszerek biztonságának növeléséhez a legjobb hozzáállásnak az tűnik, ha az IoT eszközöket átjárók mögé helyezzük, és magát az átjárót védjük meg kibertámadások ellen.

Ebben a dolgozatban olyan biztonsági mechanizmusokat javaslunk, melyek együttesen egy biztonsági architektúrát alkotnak IoT átjárók számára. Megoldásunk erősen támaszkodik egy Trusted Execution Environment (TEE) alkalmazására az átjárón, mely elkülönített végrehajtási környezetet biztosít, amiben jobban meg lehet bízni, hogy helyesen működik és megvédi a titkainkat, mint a fő firmware vagy operációs rendszer. Egy ilyen környezetet biztosíthat egy dedikált biztonsági processzor aminek delegálhatunk érzékeny feladatokat, viszont ez a megközelítés a gyakorlatban sok esetben túl költséges. Ezért mi egy költséghatékonyabb, szoftver alapú TEE-t választottunk, mely az ARM TrustZone hardveres technológiára támaszkodik. A megoldásaink az OP-TEE nyílt forráskódú TEE implenetációt használják.

Dolgozatunkban, megoldást nyújtunk a rendszerindítási és -frissítési folyamat biztonságossá tételére, illetve alkalmazunk különböző hardening technikákat. Az OP-TEE használatával növeljük a bizalmat az eszköz állapotában futásidejű integritás ellenőrzéssel és ennek távoli igazolhatóságával. Továbbá módot adunk rá, hogy az OP-TEE-ban biztonságosan tárolt titkokat távoli elérésre használjuk.

szerzők

  • Dömötör Szilárd
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)
  • Juhász Márton
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)
  • Székely Gábor
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)
  • Telek István
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)

konzulens

  • Dr. Buttyán Levente
    docens, Hálózati Rendszerek és Szolgáltatások Tanszék