Endüstriyel nesnelerin interneti için güvenli ağ geçidi

Abstract

Nesnelerin interneti cihazları, endüstriyel gömülü sistemler, otomobilller, akıllı ev aygıtları, endüstriyel kablolu ya da kablosuz sensörler gibi birbirine bağlı cihazlardan meydana gelmektedir. İnternete bağlanma imkanı olmayan cihazlar, ağ geçitleri sayesinde nesnelerin interneti sisteminin bir parçası olabilirler. Cihazların internete bağlı hale gelmesi ile sistemlerin etkinlikleri artıyor olsa da aynı derecede güvenlik riskleri de artmaktadır. Buna göre, daha önce erişilemedikleri için saldırganların hedefi olmayan cihazlar, artık doğrudan DDoS ataklarının hedefi haline gelmekte ve ağ içerisindeki bu cihazlar aracılığı ile sistemlere zarar verilebilmektedir. Cihazların sisteme bağlanırken, kimliklerinin doğrulanması ve cihazların sistemdeki diğer cihazlar ile güvenli bir şekilde iletişim kurması bu tezin temel amaçlarıdır. Nesnelerin interneti sistemlerinde aracı sunucular (Broker), verilerin anonimleşmesi, protokol (MQTT, AMQP ve COAP) bağımsız sistemlerin kurulabilmesi ve yüksek performans ihtiyaçları nedeni ile sıklıkla tercih edilmektedir. İletişim güvenliğinde her ne kadar TLS protokolü kullanılabiliyor olsa da kısıtlı cihazların, asimetrik şifreleme algoritmalarının ihtiyacı olan açık anahtarları ve algoritma kodlarını kalıcı bellekte saklaması problem oluşturabilmektedir. Güvenli iletişim ve kimlik doğrulamada, TÜBİTAK TEYDEB 1505 projesi kapsamında değiştirilen bir broker ile birlikte güvenli anahtar depolama, gerçek rastgele sayı üreteci ve 128-bit AES şifreleme algoritması gibi özelliklere sahip olan ATAES132A modülünü baz alan bir yaklaşım kullanılmıştır. Çalışma kapsamında, bir test kartının (ARM Cortex-M3 içerir) yanı sıra geliştirilen yeni bir ağ geçidi (ARM Cortex-M0 içerir) kartı test ve uygulama çalışmalarında kullanılmıştır. Tez çalışmasında ayrıca ARM Cortex-M3'ün fiziksel I2C özelliğinin kullanımıyla, eş zamanlı şifreleme ve MQTT tabanlı iletişim sağlayan yeni bir yöntem önerilmiştir. Son olarak iletişimde mesajların bütünlüğünün denetlenmesi için kriptografik karma (MD5, SHA-1 ve SHA-2 gibi) veya Döngüsel Artıklık Denetimi (CRC32/64) algoritmalarının performans açısından değerlendirilmesi yapılmıştır.

Internet of Things devices consists of interconnected devices such as industrial embedded systems, automobiles, smart home devices, industrial wired, or wireless sensors. The devices that cannot connect to the Internet can be part of the Internet of things system through gateways. When the devices connected to the Internet, the efficiency of the systems increases, but also the security risks increase. Previously unreachable devices are now becoming the target of direct DDoS attacks and can be utilized to damage systems within the network. The main objectives of this thesis are to verify the identity of the devices when connecting to the system and to ensure that devices communicate securely with other devices in the system. A broker is often preferred in the Internet of Things systems due to the anonymization of data, the establishment of protocol-independent systems (MQTT, AMQP, and COAP) and high-performance requirements. Although TLS protocol can be used in communication security, it can be problematic that limited devices store public keys and algorithm codes required by asymmetric encryption algorithms in non-volatile memory. In the secure communication and authentication, an approach based on ATAES132A module which has features such as secure key storage, real random number generator, and 128-bit AES encryption algorithm was used with a broker we changed within the scope of a TÜBİTAK TEYDEB 1505 project. In the scope of the study, a test card (includes ARM Cortex-M3) as well as a new gateway card (which includes ARM Cortex-M0) was used in test and application studies. In this thesis, a new method which provides simultaneous encryption and MQTT based communication is proposed by using the physical I2C feature of ARM Cortex-M3. Finally, cryptographic hash (such as MD5, SHA-1 and SHA-2) or Cyclic Redundancy Check (CRC32 / 64) algorithms are evaluated for performance in order to check the integrity of messages in communication.