Security enhanced lightweight messaging protocol

Abstract

Nesnelerin interneti, işlem yeteneği düşük, kısıtlı güç tüketimine sahip cihazların kablolu, kablosuz ağ, radyo frekansı gibi çeşitli haberleşme teknolojileri kullanarak birbirleriyle veri iletimi gerçekleştirmesine olanak sağlar. Nesnelerin interneti uygulamalarında çok sayıda kısıtlı kaynağa sahip cihazın bağlı bulunulduğu düşünüldüğünde, bu hassas verilerin gizliliğini, bütünlüğünü, ulaşılabilirliğini sağlamak güvenliğin önemini artırmaktadır. Buna ek olarak, çeşitli özellikte cihazın bulunması ve çeşitli haberleşme teknolojileri ile bağlantı kurulabilmesi standart bir güvenlik mekanizması sağlamanın güçlüğünü göstermektedir.Cihazın güç ve işlem yeteneği gibi özellikleri göz önünde bulundurulduğunda mesaj kuyruk telemetri taşıma (MQTT) en uygun hafif haberleşme protokolü olarak belirlenmiştir. MQTT güvenlik mekanizması tanımlanıp, verinin gizliliği, kimlik doğrulama, erişim kontrolü gibi temel güvenlik konularına yönelik yapılmış çalışmalar incelenmiştir.Bu çalışma, yetkilendirme için önerilen açık yetkilendirme (OAuth 2.0) protokolünü kullanarak yetkilendirme mekanizması sağlamaktadır. Kimlik doğrulama belirtecine ek olarak, kısa ömürlü olmasıyla HMAC tabanlı tek kullanımlık şifre (HOTP) kullanılarak iki adımda kimlik doğrulama uygulanmıştır. Taşıma katmanı güvenliği (TLS) kullanımı dışında çift yönlü doğrulamaya sahip olmayan MQTT protokolü için, OTP'yi karma zincir ile kullanarak karşılıklı kimlik doğrulama sağlanmıştır. Olası güvenlik açıklarına karşı gizlilik, gelişmiş şifreleme standardı (AES) ile sağlanmıştır. Uygulamanın güvenlik analizi, belirlenen saldırılara karşı bu yöntemleri kullanarak alternatif bir çözüm sunarak tartışılmıştır. Çeşitli güvenlik açıklarının ve zorluklarının başarılı bir şekilde çözüldüğü gözlenmiştir.

Internet of things (IoT) allows devices especially with low process capability and power consumption, to transmit data to each other using various communication technologies such as wired, wireless network and radio frequency. When huge number of devices with limited resources are connected to IoT application, provided security gains significant importance to ensure the integrity, confidentiality, accessibility of these sensitive data. In addition, the availability of a variety of specialized devices and communication technologies demonstrate the hassle of providing a standard security mechanism.When device features such as power and process capability are taken into account, message queue telemetry transport (MQTT) is the most appropriate lightweight communication protocol. In this study, the MQTT security is defined, and preliminary work related to MQTT on the basic security issues such as privacy, authentication and access control is examined. This study provides authorization mechanism by using open authorization (OAuth 2.0) protocol, which is recommended to gain authorization. In addition to the authenticator token, authentication is performed in two steps using a HMAC-based one-time password (HOTP) due to its short life span. Since MQTT protocol does not have bidirectional authentication other than using transport layer security (TLS), mutual authentication is provided by using OTP with hash chain. Advanced encryption standard (AES) is used for providing confidentiality to prevent against potential security vulnerabilities. Security analysis of the implementation has been discussed by giving an alternative solution by using these methods against selected attacks. It has been observed that various security vulnerabilities and difficulties have been successfully resolved.