ی الیه کاربردی با قابلیت همکاری جهت احراز هویت برای‌پروتکل امن و مقرون به صرفهاینترنت اشیاء

چکیده: های آینده است که به طور کلی افزایش و ارتقای کیفیت زندگی روزمره ما را با‌اینترنت اشیاء یکی از گرایش

شود که این وسایل از پروتکل کاربرد محدود )‌دهد. فرض می‌استفاده از اشیاء و حسگرهای هوشمند اطمینان میCoAPکنند. امنیت ارتباطات در واقع جزء اصلی‌ی کاربردی استفاده می‌( برای برقراری ارتباط در سطح الیه های با منابع محدود است. ارتباطات محرمانه در میان وسایل با منابع محدود با استفاده از پروتکل امن‌محیط

CoAP یعنی( CoAPs انجام خواهد شد که از پروتکل )DTLSهای‌کند. برای کنار آمدن با دستگاه‌ استفاده می کنیم.‌ استفاده می6LoWPAN فشرده بر اساس استانداردهای DTLS و CoAPبا منابع محدود، ما از ادغام

DTLSبندی احتمالی بسته‌ها را به حداقل رسانده و بدین ترتیب از تکه تکه شدن و قطعه‌ی بسته‌ فشرده اندازه جهت احراز هویت وسایلی با منابعDTLSکند. عالوه براین، ما از مفهوم کلید عمومی خام بر روی ‌پیشگیری می

دهد که‌های فروشندگان مختلف هستند. نتایج ارزیابی نشان می‌کنیم که محصول شرکت‌محدود استفاده میCoAPsهایی‌ با کلید عمومی خام امنیت ارتباطات و احراز هویت سبکی را با مصرف حداقل انرژی در محیط

با کلید عمومی خام قابلیتCoAPsکنند. ‌کند که از محصوالت فروشندگان مختلف استفاده می‌فراهم میدهد. ‌همکاری و همچنین طول عمر شبکه را نیز بهبود می

سازی سرآیند بعدی،‌ عمومی، فشرده1سازی سرآیند‌، فشردهCoAP، DTLS، CoAPs کلمات کلیدی:6LoWPANاینترنت اشیاء ،

. مقدمه1 ( را استاندارد نمود تاLoWPAN )2سیم کم-توان‌ بر روی شبکه شخصی بیIPv6 پروتکل IEFTگروه

سیم با توان کم و با اتالف زیاد را فراهم نماید. در اینترنت اشیاء وسایل‌های حسگر بی‌مسیریابی در شبکه شوند. با توجه به الگوریتم کنترل ازدحام و پیوندهای‌ به هم متصل میIPv6هوشمند از طریق چنین پروتکل باشد.‌سیم ناکارآمد می‌های حسگر بی‌ اثبات کرده است که در شبکهTCPکم توان و با اتالف زیاد، عملکرد

گیرد. عالوه بر این‌ مورد استفاده قرار میUDPاز این رو در اینترنت اشیاء ترجیحا پروتکل بدون اتصال 1 header2 Low-power Wireless Personal Area Network (6LoWPAN)

1

کند،‌ به عنوان پروتکل زیرساخت خود برای اجرا استفاده میTCP نیز از پروتکل HTTPی کاربرد ‌پروتکل الیه پروتکل بدون اتصال وIEFTباشد. گروه ‌هایی با منابع محدود ناکارآمد می‌ نیز در محیطHTTPپس پروتکل

ی کابرد به عنوان استاندارد جدید برای اینترنت‌( را برای الیهCoAP )1هایی با منابع محدود‌سازگار با محیط به ویژه برای رفع نیازهایی از قبیل سربار کم، سادگی و پشتیبانی ازCoAP[. 1اشیاء پیشنهاد داده است ]

هایی با منابع محدود طراحی شده است. ‌ در محیط2ارتباط چندپخشی CoAP استفاده از DTLSها، احراز هویت،‌ را به عنوان پروتکل امنیتی زیرساخت برای رمزنگاری داده

CoAP تحت عنوان DTLS با CoAP[. 2دهد ]‌حفاظت از یکپارچگی و برای مدیریت خودکار کلید پیشنهاد می

به تعدادی تبادل پیام برای برقراریDTLSشود. ‌ شناخته میCoAPsامن نامیده شده و به صورت خالصه با نام های رمزنگاری را فراهم‌ طیف وسیعی از سرویسDTLSهای ارتباطی نیاز دارد. اگر چه ‌اتصال امن میان گره

هایی طراحی شده است که طول پیام در آنها معیار مهم و اصلی‌ در اصل برای شبکهDTLSکند، با این حال ‌می هایی با منابع محدود ناکارآمد است. برای رفع نیازهای‌ در محیطDTLSنبود. به همین دلیل است که استفاده از

درDTLSشود. ‌ تعریف می6LoWPANسازی سرآیند ‌های فشرده‌هایی با منابع محدود، روش‌وسایل و شبکه های‌ کارخانهPSKکند، در حالت ‌ از قابلیت همکاری جزئی میان وسایل اینترنت اشیاء پشتیبانی میPSKحالت

سازنده برای فراهم نمودن ارتباطات امن باید کلیدها را از قبل با هم به اشتراک بگذارند. کسب چنین اعتمادی در محیطی با وجود سازندگان متعدد بسیار دشوار است. از سوی دیگر، پشتیبانی از زیرساخت کلید عمومی

برانگیز است.‌های اینترنت اشیاء چالش‌ نیز در محیطX.509 (PKIX)مبتنی بر کنیم. این‌ استفاده میCoAP [3] فشرده در DTLS ما در این مقاله از مفهوم کلیدهای عمومی خام با

ی‌شود. دوم اینکه، وقتی اندازه‌جویی می‌ها در انرژی صرفه‌ی پیام‌ادغام سه مزیت دارد. اول اینکه، با کاهش اندازه کند.‌ی پیوند جلوگیری می‌ الیهMTU در 6LoWPANبندی ‌شود، از تکه تکه شدن و قطعه‌دیتاگرام بزرگتر می

)وسایل محدود شده( را از ذخیره و انتقال3سوم اینکه، بار موجود بر روی وسایل با منابع محدوددهد. ‌ کاهش میDTLS 4دهی‌ در حین اجرای دستX.509های ‌گواهینامه

. مروری بر ادبیات موضوع2

1 connectionless and compact Constrained Application Protocol (CoAP)2 multicast communication3 constrained devices4 handshake

2

های محدود را‌هایی برای محیط‌حل‌ی راه‌دهیم که قصد ارائه‌ما در این بخش، رویکردهایی را مورد بحث قرار می فشرده محافظتIPsec و اینترنت معمولی با استفاده از 6LoWPANهای ‌ها در شبکه‌دارند. ارتباطات بین گره

( با استفادهAH )2( و سرآیند احراز هویتESP )1بندی بار امنیتی‌[. سرآیندهای اضافی برای کپسول4شود ]‌می در حالت تونل توسعهIPsecسازی ‌حل فوق با پیاده‌شوند. راه‌( فشرده میNHC )3سازی سرآیند بعدی‌از فشرده را با استفاده ازRSAافزاری برای الگوریتم ‌( پشتیبانی سختTPM )4[. ماژول بستر مورد اعتماد5شود ]‌داده میDTLS 6 درLoWPAN[. از آنجایی که در این ماژول از 6دهد ]‌ ارائه میDTLSاستفاده شده است، ناکارآمد

[ یک7 و همکارانش ]Keohکند. ‌های اضافی در پیام ایجاد می‌کند، زیرا بیت‌بودن این روش را اثبات می توسعه یافته راDTLS با 6 و چندپخشی5پخشی‌اند تا دسترسی امن، و مدیریت کلید تک‌معماری را پیشنهاد داده

سازی‌شود، این رمزنگاری پیاده‌سازی می‌فراهم نمایند. رمزنگاری منحنی بیضوی بر روی وسایل محدود پیاده[. 8گیرد ]‌ی کاربردی را در نظر نمی‌ و کد برنامهshimی ‌ الیهDTLS، 6LoWPANپروتکل،

زمینه‌. پس3 های با منابع محدود دشوار است.‌های اینترنت اشیاء، اتصال امن و قابل اعتماد دستگاه‌به علت ناهمگنی در شبکه

ادغام شده با کلید عمومی خامCoAPsهای استفاده شده در طراحی ‌ما در این بخش معرفی کوتاهی از فناوریدهیم. ‌را ارائه می

3-1 .CoAP

CoAPباشد که به صورت ویژه برای وسایلی با منابع محدود )وسایل محدود‌ی کاربردی می‌ یک پروتکل الیه واسطی از نوعCoAPکند. ‌ به عنوان پروتکل زیرساخت استفاده میUDP از CoAPشده( طراحی شده است.

RESTدهد. برای محافظت از ارتباطات ‌ را برای فراهم نمودن ارتباطی کارآمد میان وسایل ارائه میCoAP، DTLS .به عنوان پروتکل امنیتی پایه انتخاب شده است CoAP ایی که ازDTLSکند، با نام‌ امنیتی استفاده می CoAP( امن CoAPsخوانده می )‌ شود، مانندHTTP ایی که باTLS امن شده است و به صورت HTTPsخوانده

1 Encapsulating Security Payload (ESP)2 Authentication Header (AH)3 Next Header Compression (NHC)4 Trusted Platform Module (TPM)5 unicast6 multicast

3

( برای دسترسی به منابع موجود بر روی دستگاه مقصد استفادهURI )1ی جهانی منابع‌ از شناسهCoAPشود. ‌می ی امنی به منابع وب موجود بر‌ به شیوهCoAPکند. ‌ استفاده میcoap” URI از روش “CoAPکند. پروتکل ‌می

کند: ‌روی دستگاه مقصد به صورت زیر دسترسی پیدا میIPv6//: coapsمنبع/شماره پورت:آدرس _نام

CoAPدر واقع یک پروتکل از نوع درخواست-پاسخ است و هر دو نوع ارتباط، یعنی ارتباط قابل کنند، ممکن است به عنوان‌ استفاده میCoAPهایی که از ‌کند. دستگاه‌اطمینان و غیرقابل اطمینان را فراهم می

، یک پروتکل جدیدHTTPکالینت، یا سرور، و یا در هر دو نقش عمل نمایند. از دالیل اینکه به جای استفاده از سازی و کاهش‌ با منابع محدود تعریف شده است، کاهش زیاد سربار در پیچیدگی پیادهIPهای ‌برای شبکه

کند و‌ها همچنین به افزایش قابلیت اطمینان نیز کمک می‌باشد. چنین کاهشی در داده‌باند می‌نیازهای پهنای سیم معمولی با قدرت کم و‌های بی‌ی پیوند و کاهش تاخیر در شبکه‌بندی در الیه‌قطعهاین کار را با کاهش

دهد. ‌ انجام میIEEE 802.15.4اتالف زیاد مانند

3-2 .DTLS

DTLSی‌های برنامه‌ پروتکل امنیتی کاملی است که عملیات تبادل کلید، احراز هویت و امن نمودن داده شامل دو الیهDTLSدهد. ‌ها و مواد مذاکره شده در حین کلیدگذاری انجام می‌کاربردی را با استفاده از الگوریتم

ی باالیی‌ی پایینی شامل پروتکل رکورد )ثبت( بوده و الیه‌[. الیه2ی باالیی است ]‌ی پایینی و الیه‌به صورت الیه( و تغییر مشخصات رمز )Alert(، هشدار )Handshakeدهی )‌نیز شامل یکی از این سه پروتکل است: دست

ChangeCipherSpecکند تا برای پروتکل‌دهی از تغییر مشخصات رمز استفاده می‌ها است. فرآیند دست‌( یا داده ی رمز محافظت کند. پروتکل هشدار برای‌های بعدی با استفاده از رشته‌رکورد مشخص نماید که باید از پیام

گیرد. سرآیند رکورد شامل قسمت قطعه و نوع محتوا است.‌ها مورد استفاده قرار می‌تبادل پیام خطا بین گره هایی‌دهی، پروتکل هشدار، پروتکل تغییر مشخصات رمز بوده و داده‌قسمت قطعه شامل یکی از سه پروتکل دست

ی‌های الیه‌اند. پروتکل سرآیند رکورد مسئولیت محافظت از پروتکل‌بر اساس مقدار نیز در نوع محتوا قرار گرفته ها به صورت ناهمزمان‌ است و شامل تعداد مبادالت پیام2 گویاDTLSدهی ‌باالیی را برعهده دارد. پروتکل دست

1 Universal Resource Identifier (URI)2 chatty

4

های رمز،‌شوند و برای تبادل اطالعاتی مانند رشته‌دهی در هنگام انتقال سازماندهی می‌های دست‌باشد. پیام‌میگیرند. ‌سازی مورد استفاده قرار می‌های فشرده‌کلیدهای امنیتی و روش

3-3 .6LoWPAN

های‌ را برای شبکهIPv6های ‌بندی دیتاگرام‌سازی سرآیند و روش قطعه‌ فشرده6LoWPANاستاندارد 6LoWPAN[ این استاندارد در واقع دو روش یعنی فشرده9 پیشنهاد داده است .]‌( سازی سرآیند بعدیNHC)

های چند گامی طول سرآیند را تا‌ در شبکهIPHCدهد. رمزگذاری ‌ را ارائه میIP (IPHC)سازی سرآیند ‌و فشرده شوند. با استفاده از‌ فشرده میNHC با استفاده از UDP و سرآیند IPv6کند. سرآیند اضافی ‌ بایت فشرده می7

NHتوانند فشرده شوند. به دلیل عدم وجود بیت ‌ میUDPهای ‌ تنها سرآیندNHC برای 6LoWPANاستاندارد

باید تعریف شود. NHCشود، یک روش جدید ‌ فشرده نامیده میUDP که UDP برای NHCدر

DTLS [3]سازی ‌. فشرده3-4

کند، دستگاهی‌ی در حال خروج از دستگاه اضافه می‌ بایتی به هر بسته13پروتکل رکورد همیشه یک سرآیند بایتی به هر پیام12دهی نیز سرآیند ‌کند. به طور مشابه، پروتکل دست‌ استفاده میDTLSکه از پروتکل

بایت3 و 5دهی را به ترتیب تا ‌ طول سرآیند رکورد و دست6LoWPAN NHCکند. ‌دهی اضافه می‌دستدهی تازه قابل اجرا است. ‌[. این امر تنها برای دست3دهد ]‌کاهش می

دهد. شکل‌ را نشان میDTLS را برای سرآیندهای 6LoWPAN_NHC مختلف 1های‌ کدگذاری1 شکل و کدگذاریLoWPAN_NHC_RHSدهی را به صورت ‌( کدگذاری برای سرآیندهای رکورد و دستa قسمت )1

های نسخه، تکرار، شماره‌دهد. قسمت‌ نشان میLoWPAN_NHCرا برای تنها سرآیند رکورد به صورت تواند صفر یا یک باشد، به‌ میECتوانند بر اساس مقدار آنها فشرده شوند. مقدار ‌ترتیب و قطعه می

در کدگذاریSNگیرد. دو بیت از ‌ مورد استفاده قرار میEC بیت برای 8همین دلیل است که در اکثر موارد LoWPAN_NHC_Rبیت شماره ترتیب بتواند مورد استفاده قرار48 یا 32، 24، 16دهد تا ‌ اجازه می

بندی شود )تکه تکه شود( و‌دهی نباید قطعه‌ برابر با صفر باشد، آنگاه پیام دستFگیرد. اگر مقدار باشد،1 برابر با Fبدین ترتیب قسمت طول قطعه و آفست قطعه از سرآیند حذف خواهد شد. اگر مقدار

آنگاه هر دو قسمت در داخل سرآیند حضور خواهند داشت. 1 encodings

5

برای سرآیند رکوردLoWPAN_NHC کدگذاری DTLS [3]. (a) برای سرآیندهای مختلف LoWPANگذاری . کد1شکل کدگذاریClientHello. (c) برای پیام LoWPAN_NHC( کدگذاری bدهی و تنها سرآیند رکورد. )‌به همراه دست

LoWPAN_NHC برای پیام ServerHello. ( نشانLoWPAN_NHC_C را به صورت )ClientHello کدگذاری برای پیام 1( از شکل b قسمت )

دهی جدیدی آغاز خواهد شد، سپس تنها نیاز است که‌ برابر با صفر باشد، آنگاه دستSIدهد. اگر قسمت ‌میرمز )‌سازی و مجموعه‌های دیگر حذف خواهند شد. روش فشرده‌های تصادفی ارسال شوند و تمام قسمت‌قسمت

CipherSuiteای صورت‌فرض خود را دارند و بنابراین الزم نیست که در مورد این مقادیر مذاکره‌( مقادیر پیش همیشه در داخل سرآیند وجود دارد، در حالی که قسمت نسخهClientHelloگیرد. قسمت تصادفی در پیام

را به صورتServerHello( نیز کدگذاری برای پیام c قسمت )1شود. شکل ‌همیشه حذف میLoWPAN_NHC_SHدهد و مشابه پیام ‌ نشان میClientHelloدهی نیز به‌های دست‌ است. تمام دیگر پیام

شوند. ‌ترتیب ارسال می. سیستم پیشنهادی4

6LoWPANی ‌دهد که در آن، شبکه‌اندازی معمولی شبکه برای اینترنت اشیاء را نشان می‌ یک راه2شکل

با اینترنت معمولی به6LoWPAN (6LBR1) است که از طریق مسیریاب مرزی CoAPsشامل وسایل مجهز به 6LoWPANی ‌سازی سرآیند در شبکه‌اند. همانطور که در شکل نشان داده شده است، فشرده‌هم متصل شده

استفاده شده است. 6LBRتنها بین وسایل با منابع محدود و

1 6LoWPAN Border Router (6LBR)

6

با کلید عمومی خامCoAPsاندازی اینترنت اشیاء شامل وسایل با منابع محدود با استفاده از ‌. راه2شکل

برای اینکه به وسایلی از سازندگان متفاوت این اجازه را بدهیم که یکدیگر را احراز هویت کنند، استفاده باTLS معرفی شده است. دستگاه کالینت X.509های ‌از مفهوم کلید عمومی خام به جای استفاده از گواهینامه

شود و همچنین این دستگاه قادر است تا کلید عمومی خامی را پردازش کند که‌کلید عمومی خام پیکربندی می اندازی‌ به سرور راهClient_Hello را با ارسال پیام 1دهی‌از سرور پذیرفته است. کالینت یک فرآیند دست

دهد.‌ به کالینت پاسخ میHello_Verify_Reqپردازد و با ارسال پیام ‌کند. سرور به ارزیابی کالینت می‌می S_Helloکند، سرور نیز با پیام ‌ را به سرور ارسال میC_Helloکند و پیام ‌کالینت سرور را ارزیابی می

دهد. پس از فرآیند تبادل کلید، اگر سرور نیاز به احراز هویت کالینت داشته باشد،‌به کالینت پاسخ می ( را به کالینت ارسال کرده و از کالینتCertificateRequestتواند پیام درخواست گواهینامه )‌سرور می

کلید عمومی را درخواست کند. کالینت که با کلید عمومی خام پیکربندی شده است، به پیام درخواست دهد. همچنین سرور کلید عمومی خام‌ پیام پاسخ میpayloadاش در قسمت ‌سرور با قرار دادن گواهینامه

گرداند. ‌ گواهینامه را به کالینت باز میpayloadموجود در قسمت

1 handshake process

7

با استفاده از کلید عمومی خامCoAPs. 3شکل . ارزیابی5

ها در شبکه‌ما این سیستم پیشنهادی را در سناریوهای متفاوتی با در نظر گرفتن تعداد متغیری از گره CoAP و CoAPsدهد. ما ‌( متوسط مصرف انرژی در شبکه را نشان میa قسمت )4ایم. شکل ‌سازی نموده‌پیاده

دهد که متوسط مصرف انرژی‌ایم، نتایج نشان می‌( را مقایسه نمودهCoAPs+RPKبا کلید عمومی خام )یعنی تاثیری برCoAPsسازی کلیدهای عمومی خام بر روی ‌در هر دو مورد تفاوت زیادی نداشته است. بنابراین پیاده

دهد که‌ی توان عملیاتی را برای هر دو مورد نشان می‌( مقایسهb قسمت )4عملکرد آن نداشته است. شکل کند، ولی‌ مصرف نمیCoAPs انرژی بیشتری از CoAPs+RPKتفاوت زیادی نداشته است. با اینکه

CoAPs+RPKها‌کند، همچنین قابلیت همکاری میان گره‌های شبکه فراهم می‌ بیشترین طول عمر را برای گره دهد. ‌را نیز ارتقا می

8

گیری‌. نتیجه6

9

CoAP1 امن( CoAPsیکی از نیازهای اساسی دستگاه )های با منابع محدود در محیط واقعی اینترنت اشیاء‌ امنCoAP( در واقع پروتکل استانداردی برای فراهم نمودن DTLS )2ی انتقال دیتاگرام‌است. امنیت الیه

دهند. همچنین‌ را کاهش میDTLS، سربار پروتکل 6LoWPANسازی سرآیند ‌های جدید فشرده‌باشد. روش‌می ، امکان انجام احراز هویت سبکی را در سطح دستگاه و بدون مصرفDTLSاستفاده از کلید عمومی خام توسط

فشرده به همراه کلید عمومی خام، روش کارآمدی ازDTLS با استفاده از CoAPsنماید. ‌انرژی زیاد فراهم میها، نیاز به حافظه، پاسخ شبکه و توانایی احراز هویت است. ‌نظر مصرف انرژی در گره

1 Secure CoAP (CoAPs)2 Datagram Transport Layer Security (DTLS)

10