外文翻译Lithe物联网中的轻量级安全CoAP协议

Lithe:物联网中的轻量级安全CoAP协议

摘要：物联网支持广泛的包含潜在驱动和传感任务的应用场景，例如，在电子健康领域。为了在应用层通信，资源受限的设备要能够使用资源受限的应用协议（CoAP），目前互联网工程组正在使这项协议标准化。为了保护感知信息的传送，安全的资源受限协议授权使用数据报传输层安全协议（DTLS）作为底层安全协议来进行身份认证和保密通信。然而，数据包传输层安全协议最初是用在比较强大的设备上的，这些设备通过可靠的高带宽的链路来进行通信。在这篇论文中我们提出了Lithe——物联网中数据报传输层安全协议和资源受限的应用协议的集成协议。通过Lithe，另外我们利用低功率无线个人区域网络IPV6协议（6 LoWPAN），提出了一个新颖的DTLS头压缩计划，旨在显著降低能源消耗。最重要的是我们提出的DTLS头压缩方案不威协DTLS提供的端到端的安全属性。同时，它在保持DTLS标准性的情况下，大大降低了传播的数量字节。我们在Contiki操作系统下基于DTLS来评估了我们的方法。评估结果表明该方案在包的大小，能量消耗，处理时间方面有了显著改善，而且能够在压缩DTLS时得到全网响应。

索引词：CoAP，DTLS，CoAPs，6LoWPAN， security， IoT

一、简介

低功率无线个人区域网络IPV6协议（6 LowPAN）允许使用低功耗的IP网络和有损耗的无线传感器网络，例如无线传感网（WSNs）。这样的IP连接的智能设备正成为互联网的一部分，因此形成了物联网或者严格来说形成了IP连接的物联网。然而由于TCP的拥塞控制算法，使得它在无线网络中的性能很差，低功率无线电和传感网络中的损耗进一步恶化了它的性能。因此物联网中主要使用无连接的UDP。此外。HTTP主要是在TCP基础上运行，它在损耗和受限环境下效率低下。IETF工作在无连接的轻量级的CoAP上，CoAP是物联网中新提出的协议。它是为了满足特定需求，如在资源受限下支持简单，低开销，多播传输。当物体连接到不可信的网络时，安全就尤其重要了。例如，医疗监测代表一个典型的对安全敏感的应用场景。这里，一种智能装置，例如，如胰岛素，可能被附加到病人的身体并向后端服务互联网定期报告病人的情况。在紧急情况下，医生还可以向病人的身体即时注射治疗药物。

为了实现自动键管理、数据加密、完整性保护和身份验证，CoAP提出使用数据报传输层安全(DTLS)作为安全协议。DPLS支持的CoAP被称为安全CoAP（CoAPs）。DTLS是一个健壮的协议，它需要大量的信息交流来建立一个安全的会话。虽然DTLS支持多种对等认证的加密原语和负载保护，但它最初用于长度不是一个关键因素的网络场景。因此，它限制物联网设备，使用DTLS协议就会很低效。为应对资源约束和基于网络的IEEE 802.15.4的大小限制，定义了6 LoWPAN头压缩机制。6 LoWPAN标准已经定义了IP报头的标题压缩格式，IP扩展报头和UDP报头。我们相信把6 LoWPAN报头压缩机制应用于压缩其他有明确的头字段的协议非常有益。

在这篇文章中我们通过用6 LoWPAN报头压缩机制来压缩底层DTLS协议并提出了轻量级 CoAPs。我们命名轻量级6 LoWPAN为压缩的CoAPs Lithe。DTLS头的目的是双重压缩。

1

首先，由于通信比计算需要更多的能量，所以可以通过减少消息大小来提高能源效率。第二，当数据报大小大于链路层MTU时，避免应用6 LoWPAN碎片。从安全角度来看，由于6 LoWPAN禁不住碎片攻击，所以只要有可能，避免碎片是非常重要的。压缩的DTLS保证了Lithe中的6 LoWPAN主机和典型的应用未压缩的CoAPs网络主机之间的端到端安全。图1显示了一个典型的物联网设备，包含了应用CoAPs的节点的6 LoWPAN网络通过6LowPAN边界路由器(6BR)与互联网连接。

据我们所知，我们是第一个提出用6LowPAN机制压缩DTLS并使轻量级CoAPs应用于物联网的。我们在Contiki操作系统中实现了DTLS头压缩机制。这篇论文的主要贡献有：

为了增加DTLS的适用性，我们提出了新颖的标准的DTLS压缩机制，在此基础上可以将CoAPs应用于受限的设备。

我们在一个应用于物联网的操作系统上实现压缩的DTLS并且在硬件上进行了评估。结果定量的表明，与未压缩的CoAP/DTLS相比，Lithe在很多方面都很高效。

文章的余下部分是这样安排的。我们首先在第二章总结了相关工作。第三章对所用到的技术做了简要的概述。第四章，我们介绍了DTLS头压缩机制。第五章，我们给出了实现。第六章，论述了网络设置并讨论评估结果。最后在第七章做出总结。

二、相关工作

在传统互联网中提供端到端的安全通信是一个广泛的研究领域。然而，相对来说，在端到端安全研究中很少考虑到了6LoWPANs。设备的资源约束和无线链接的自然损耗是阻碍把端到端安全应用到6LoWPANs的主要原因。最近，有组织在分析基于IP的物联网的安全性挑战，为满足资源有限的设备的需求，该组织还提出了改善或修改标准IP安全协议的方案。在相关工作的讨论中，我们专注于旨在实现物联网端到端安全的方案。

先前，我们提出了一个头压缩方法，它通过用IPsec来保证6LowPAN中的节点与因特网中的主机之间的通信安全。我们定义下一个头压缩(NHC)编码来压缩认证头(AH)和封装安全有效载荷(ESP)的扩展报头。Jorge扩展了我们的解决方案，其中包括IPsec隧道模式。他们在微型操作系统上实施和评估了他们的建议。IPsec安全服务在特定的机器上运行的所有应用程序之间共享。尽管我们用

2

6LowPAN压缩的IPsec可以用来在网络层提供轻量级的E2E安全，但它最初不是为像HTTP和CoAP这样的网络协议设计的。TLS或DTLS web协议是常见的安全解决方案。TLS运行在TCP上，而在UDP基础上 6LowPAN网络优先。

Brachmann提出了TLS-DTLS映射来保障物联网安全。然而，这需要有可靠的6BR和在6BR间歇时的端到端安全。 Kothmayr调查了在可信平台模块上用DTLS来获得对RSA算法的硬件支持。然而，他们利用了DTLS，而没有用任何压缩方法，这会造成DTLS消息中的冗余位缩短整个网络的生命周期。 Granjal评估了带有CoAP的DTLS在安全通信中的性能。他们注意到稀缺性负载空间在需要更大的有效载荷的应用程序中会有问题。作为一种替代方法，他们建议在其他层使用像IPsec这样的压缩形式来保证安全。在最近的研究中， Keoh 讨论了保护以IP连接并使用DTLS协议的物联网的安全的意义，并提出了一个安全的网络架构，用延长的DTLS对单播和多播密钥进行访问和管理。

上述解决方案要么对物联网中的TLS或DTLS的使用进行了评估，要么对破坏端到端安全的当前架构进行评估。本文通过使用6LowPAN头压缩机制来减少物联网中DTLS的开销。

我们提出了设计思想以减少双向的基于证书的DTLS握手的能源消费。我们提出的建议如下：1、预先验证可靠的6BR中的证书。2、全面恢复会话以避免重新握手。3、资源有限的设备的所有者来承担握手任务。在物联网中验证基于证书的可行性的工作与这一工作是互补的。为使基于证书的相互握手更高效，我们计划把DTLS报头压缩与这些想法集合起来。最近，类似于NHC的通用头压缩（GHC）也被定义成可以允许上层头压缩。6LowPANGHC对于所有的头和类似于头的结构是一个通用的压缩方案，但是一个低效的方法。它是我们的解决方案的替代方法，在将来的工作中，我们计划把我们的6LowPAN-NHC与6LowPAN-GHC做一个比较。

三、背景

由于物联网的异质性，将有资源限制的设备安全而有效的连接起来是一项很有挑战性的工作。目前，互联网工程任务组正在标准化不同的协议，如CoAP，6LowPAN，低电力有损网络中的IPv6路由协议，以使这些协议可以应用在物联网中。本文的重点是让用CoAP协议的物联网设备之间进行安全有效的沟通。在本章中我们突出了在轻量级CoAP发展中使用的技术，即物联网的HTTP变体。

A、CoAP和DTLS

CoAP是运行在不可靠UDP协议上的网络协议，它最初是为物联网设计的。CoAP是最常用的同步Web协议的变种，如HTTP，是专为受限制的设备和机器与机器之间的沟通设计的。

然而，尽管CoAP提供了与HTTP类似的REST接口，但与现在物联网中它的变体相比，CoAP更注重轻量级和成本效益。为了保护CoAP传输，建议数据报TLS(DTLS)作为主要的安全协议，类似于TLS保护HTTP(HTTPs)，安全的DTLS CoAP协议称为CoAPs。然后就可以通过如下的CoAPs协议安全地访问物联网设备中的web资源：

coaps://myIPv6Address:port/MyResource

我们给出了DTLS协议的简要概述来作为DTLS压缩机制的基础。

通过对传输层和应用层的操作，DTLS保证了单个机器上不同程序之间的E2E的安全。DTLS包含两层：底层包含记录协议，上层要么包含握手，警告和

3

ChangeCIPherSpec，要么包含应用数据。ChangeCIPherSpec在握手过程中使用，这仅仅表明，记录协议应该通过新密码套件和安全协商钥匙来保护后续信息。DTLS使用警报协议来实现不同DTLS之间错误消息的传送。图2显示了在IP/UDP数据报中DTLS的消息结构。

记录协议是上层协议的载体。记录头包含其他内容类型和片段字段。基于内容类型的值，片段字段要么包含握手协议，警告协议和ChangeCIPherSpec协议，要么包含应用数据。

一旦握手过程完成，记录头主要是负责用密码保护上层协议或应用数据。记录协议的保护包括机密性、完整性和真实性的保护。DTLS记录是一个相当简单的协议而握手协议是一个复杂的过程，它包含以异步的方式大量交换的消息。图3给出了完整的握手过程。握手消息，通常在航班、谈判安全密钥、密码套件和压缩方法中使用。本文的范围只限于报头压缩，而不包括处理密码记录和握手协议。详细的握手消息我们参考TLS和DTLS消息。

4

B、6LoWPAN

6LoWPAN标准定义了与IPv6相关的WSNs中的IPv6数据报的标题压缩和分化机制的，也称为6LowPAN网络。压缩机制包括IP头压缩(IPHC)和下一个头压缩(NHC)。IPHC加密可以在单跳网络中将IPv6头长度压缩至2字节，在多跳网络中压缩至7字节（1字节IPHC、1字节发送、1字节跳限制，2字节源地址，2字节目的地地址）。在IPHC中的其他加密比特是NH比特，它在设置时显示下一个头是用NHC压缩。NHC是用来加密IPv6的扩展头和UDP头。

NHC的大小是一个多重的八位字节（主要是一个八位字节），它包含可变长度ID比特和一个特定的头编码比特。有些协议是UDP负载的一部分，有着类似于IP和UDP 的头结构。例如DTLS，IKE。因此，值得推广6LowPAN头压缩机制来压缩这些协议头。6LowPAN标准的定义了NHC编码，可用于UDP头压缩，但不能用于上层。需要一个新的NHC，因为在NHC中没有给UDP的NH位，这表明UDP负载也压缩了。在第四部分，我们提供了6LowPAN-DTLS的集合和6LowPAN NHCs来压缩DTLS。

如图1所示是头压缩在6LowPAN网络中应用。例如，在有限的节点和6LowPAN边界路由器之间的应用。6BR是用在网络和英特网之间转发消息前，来压缩/解压缩或者片段化/重新组装它们之间的消息。在这种物联网设备中，CoAP使得设备可以与网络主机之间安全通信，例如标准的电脑和智能电话等，它支持CoAPs协议。为了适应安全协议，例如在资源受限的物联网中的DTLS，把6LowPAN头压缩机制应用到这些协议中也是非常有益的。第四节里我们提出了DTLS的6LowPAN头压缩机制。以DTLS标准来设计这些报头压缩是非常重要的，要能够在传统的互联网上与现有的和新的DTLS主机之间互操作。

四、DTLS压缩

DTLS头压缩类似于IPHC，仅在6LowPAN网络中应用，如在传感器节点和6BR中使用。这是因为DTLS报头是UDP负载的一部分，而且路由所需的所有信息已经在IP层提取。在本章中除了描述DTLS的6LowPAN头压缩，我们详细介绍了如何以符合标准的方式将压缩的DTLS连接到6 LowPAN。

A、DTLS-6LowPAN

为了将6LowPAN头压缩机制应用于压缩UDP负载中的头，我们要么需要在6LowPAN协议中修改当前UDP中的NHC编码 ，要么需要给UDP定义一个不同于ID位的新的NHC。第一个解决方案需在当前标准中修改，因此不是一个有

5

本文来源：https://www.bwwdw.com/article/1po2.html