IoT Content Object Security with OSCORE and NDN: A First Experimental Comparison

The emerging Internet of Things (IoT) challenges the end-to-end transport of the Internet by low power lossy links and gateways that perform protocol translations. Protocols such as CoAP or MQTT-SN are degraded by the overhead of DTLS sessions, which in common deployment protect content transfer only up to the gateway. To preserve content security end-to-end via gateways and proxies, the IETF recently developed Object Security for Constrained RESTful Environments (OSCORE), which extends CoAP with content object security features commonly known from Information Centric Networks (ICN). This paper presents a comparative analysis of protocol stacks that protect request-response transactions. We measure protocol performances of CoAP over DTLS, OSCORE, and the information-centric Named Data Networking (NDN) protocol on a large-scale IoT testbed in single- and multi-hop scenarios. Our findings indicate that (a) OSCORE improves on CoAP over DTLS in error-prone wireless regimes due to omitting the overhead of maintaining security sessions at endpoints, and (b) NDN attains superior robustness and reliability due to its intrinsic network caches and hop-wise retransmissions

Link-layer Security in TSCH Networks: Effect on Slot Duration

International audienceThe IEEE802.15.4e-2012 standard is widely used in multi-hop wireless Industrial Internet of Things (IIoT)applications. In the Time-Slotted Channel Hopping (TSCH) mode, nodes are synchronized, and time iscut into timeslots. A schedule orchestrates all communications, resulting in high reliability and low poweroperations. A timeslot must be long enough for a node to send a data frame to its neighbor, and for thatneighbor to send back an acknowledgment. Shorter timeslots enable higher bandwidth and lower latency, yetthe minimal timeslot duration is limited by how long link-layer security operations take. We evaluate theoverhead of link-layer security in TSCH networks in terms of minimal timeslot length, memory footprint,and energy consumption. We implement full link-layer security on a range of hardware platforms, exploringdierent hardware/software implementation strategies. Through an extensive measurement campaign, wequantify the advantage of hardware accelerations for link-layer security, and show how the minimal durationof a timeslot varies between 9 ms and 88 ms for the most common conguration, depending on hardwaresupport. Furthermore, we also highlighted the impact that the timeslot duration has on both high-levelapplication design and energy consumption

A monitoring-based approach for WSN security using IEEE-802.15.4/6LowPAN and DTLS communication

International audienceIn this paper, we present a monitoring based approach for securing upper layer communications of WSN (Wireless Sensor Networks), the latter using IEEE802.15.4/6LoWPAN stacks and tinyDTLS. The monitoring techniques have been integrated as an extension to the industrial tool MMT (Montimage Monitoring Tool). The MMT-extension verifies that the network is working following a set of security rules that have been defined by ETSI. The security rules check if the protocol stack is working properly. If MMT detects a security rule that was not respected, then it sends an alarm to the system manager so that he can take properly reactive adjustments. We tested each of the security rules in MMT's extension using point-to-point configuration. After all these tests were verified, we tested our MMT-extension using real data gathered from the FIT IoT-LAB platform. The results of these tests shown that our MMT's extension for WSN using IEEE-802.15.4/6LowPAN and DTLS communication is feasible

Resilience to cyber-attacks in critical infrastructures of Portugal

As infraestruturas críticas são sempre um potencial alvo para ciberataques, uma vez que a repercussão de um ataque bem-sucedido pode ser catastrófica, visto que esses sistemas controlam e permitem o acesso aos principais serviços do país. Um dos sistemas que fazem parte deste grupo de infraestruturas críticas de um país são os Sistemas de Controlo Industrial (ICSs), utilizados para automatizar e controlar os processos das várias infraestruturas industriais. No passado, os ICSs eram utilizados em ambiente isolado, no entanto, com o passar do tempo e para satisfazer as exigências do mercado moderno, começaram a estar ligados com o ambiente externo. Isto trouxe muitos benefícios, mas também aumentou o nível de exposição e vulnerabilidade dos mesmos. Embora estes sistemas sejam vitais para o bom funcionamento de um país, não há nenhum trabalho público que avalie o estado de segurança destes sistemas em Portugal. Este trabalho teve como maior objetivo, identificar os ICSs expostos na Internet em Portugal e investigar o nível de risco dos mesmos em termos de segurança. Com base nisso, foi desenvolvido uma metodologia que implicou a identificação dos ICSs, o cálculo do risco dos mesmos de acordo com as características que apresentam, e o desenvolvimento de uma data warehouse para juntar e organizar os dados, e permitir uma análise de forma fácil. Ao analisar os resultados verificamos que existem muitos ICSs expostos e facilmente encontrados na Internet em Portugal. A maioria deles estão localizados em Lisboa e têm pelo menos uma característica que apresenta um risco elevado à segurança do sistema. A maioria dos sistemas não têm disponível um algoritmo de encriptação para assegurar a segurança da ligação. Dos que têm, uma enorme percentagem utiliza algoritmos que não são considerados seguros. A maioria dos sistemas identificados têm pelo menos uma porta a correr o protocolo HTTP, uma ligação que há muito tempo já não é considerada segura. Dos sistemas que estão a correr portas com risco elevado, a maioria está a correr o protocolo FTP, um protocolo não construído para ser seguro. Muitas das organizações não possuem infraestruturas próprias para gerir as políticas de rede dos seus sistemas. Nesta situação, não é possível identificar as organizações porque escondem atrás dos ISPs. Isto pode ser vantajoso porque as organizações não são facilmente identificadas pelos hackers, no entanto, ficam dependentes dos ISPs, no sentido de que, se este sofrer um ataque, todas as organizações ligadas a ela podem ser severamente afetadas. Os resultados encontrados neste trabalho permitem à Dognædis ter uma base de conhecimento sobre o estado dos ICSs expostos na Internet em Portugal, tornando possível sugerir melhorias de segurança. Também permite que a indústria e todas as organizações que têm ICSs estejam conscientes de quão expostos e vulneráveis estão os seus sistemas, de forma a dedicarem mais atenção aos sistemas que possam estar em risco de um ataque cibernético

DTLS Performance in Duty-Cycled Networks

International audienceThe Datagram Transport Layer Security (DTLS) protocol is the IETF standard for securing the Internet of Things. The Constrained Application Protocol, ZigBee IP, and Lightweight Machine-to-Machine (LWM2M) mandate its use for securing application traffic. There has been much debate in both the standardization and research communities on the applicability of DTLS to constrained environments. The main concerns are the communication overhead and latency of the DTLS handshake, and the memory footprint of a DTLS implementation. This paper provides a thorough performance evaluation of DTLS in different duty-cycled networks through real-world experimentation, emulation and analysis. In particular, we measure the duration of the DTLS handshake when using three duty cycling link-layer protocols: preamble-sampling, the IEEE 802.15.4 beacon-enabled mode and the IEEE 802.15.4e Time Slotted Channel Hopping mode. The reported results demonstrate surprisingly poor performance of DTLS in radio duty-cycled networks. Because a DTLS client and a server exchange more than 10 signaling packets, the DTLS handshake takes between a handful of seconds and several tens of seconds, with similar results for different duty cycling protocols. Moreover, because of their limited memory, typical constrained nodes can only maintain 3-5 simultaneous DTLS sessions, which highlights the need for using DTLS parsimoniously