Interoperability of Security-Enabled Internet of Things

Abstract The future Internet will embrace the intelligence of Web 3.0 and the omnipres- ence of every day connected objects. The later was envisioned as the Internet of Things. Security and interoperability concerns are hindering the service innovations using the Inter- net of Things. This paper addresses secure access provision to Internet of Things-enabled services and interoperability of security attributes between different administrative domains. In this paper we proposed a layered architecture of Internet of Things framework where a semantically enhanced overlay interlink the other layers and facilitate secure access provi- sion to Internet of Things-enabled services. The main element of semantic overlay is security reasoning through ontologies and semantic rules. Finally the interoperability of security aspect is addressed through ontology and a machine-to-machine platform. This paper pro- vides implementation details of security reasoning and the interoperability aspects and dis- cusses crucial challenges in these areas.

Keywords Internet of Things · Ontology · Security · Semantics · Reasoning

Introduction

The Web 2.0 facilitates user-centric collaboration. In Web 3.0, Internet becomes intelligent as the Web itself understands the meaning of its contents. However, the future Internet is no longer limited to connecting people and services, it envisioned to connect every things that were not historically connected. Within this vision Internet of Things (IoT) creates a new paradigm of Internet that is intelligent and omnipresent.

Through IoT new digital ecosystem creates new business opportunities for retail, logis- tics, food, health, energy, smart home, and transportation sectors. For instance, IBM utilized the IoT for Norwegian Sea oil platforms by implementing a service, which gathers real-time information from the bottom of Sea so that a better decision can be made in order to drill down to the Sea. The miniaturization of devices, increase of computational power, and reduction of energy consumption support this new ecosystem driven by IoT. However, coupling of intelligence with omnipresence is not a trivial job. Objects ranging from powerful nodes to tiny sensors constitute the lsquo;Thingsrsquo; in Internet of Things.

Offering innovative services using intelligent and omnipresent IoT is hindered due to sev- eral technical and non-technical challenges such as reliable integration of scores of lsquo;Thingsrsquo;; scalability of systems; security, privacy and interoperability concerns. In this paper, we are going to limit our focus on security and interoperability concerns. Among the security chal- lenges such as ensuring confidentiality, integrity, availability and access control, we only focus secure access provision to IoT-enabled services. Within the scope of interoperability of security, this paper will address how different security attributes and constraints lying in different administrative domains will work together to secure an integrated operation. The concepts and results presented in this are the outcome of the research conducted in an ongoing European project, pSHIELD .

In this regard we propose a functional architecture of the IoT framework that incorporates secure access provision. We implemented several components of the functional architecture using the semantic technologies. As a whole, the paper makes the following key contributions:

• A functional architecture of IoT framework is going to be introduced.
• In the architecture, a semantic overlay (on top of lsquo;Thingsrsquo;) is proposed to facilitate the intelligence in IoT.
• Ontologies are designed to contrive partly the semantic overlay.
• A rule-based service access mechanism is proposed.
• Interoperability of security is going to be addressed through ontology and machine-to- machine (M2M) technology.

The rest of the paper is structured as follows: Sect. 2 provides motivation of includ- ing semantic overlay layer into the IoT framework, Sect. 3 presents the Interoperable Rail Information System (IRIS) scenario that introduces the secure access and interoperability of security aspects, Sect. 4 explains the detailed security requirements of an IoT environ- ment, Sect. 5 introduces the conceptual view and functional architecture of the proposed IoT framework, the implementation details of part of the proposed architecture and the interop- erability of security aspect will be presented in Sect. 6, the next section will discuss several related works, and introduce the challenges and future works in relation to the the areas presented in this paper. The paper will conclude with a summary of the key contributions of the research.

Motivation

This section provides a brief discussion on the motivation of incorporating an overlay layer and semantic enhancement of such layer in the IoT framework.

• 1. Overlay

Sensors sensing the environments constitute one of the key elements of the Internet of Things. In most cases sensors are resource constrained devices having no or limited processing capa- bility. Most of them are only capable of retrieving information from the environment. In order to provide services, we need to derive some decisions based on these retrieved information and pre-defined logics. For example, In case of secure access we need to compute access authorization decisions based on complex constraints. Instead of hardcoded decisions, we need dynamic update of decisions. Nowadays human i

剩余内容已隐藏，支付完成后下载完整资料

具有安全功能的物联网的互操作性

Web 2.0（信息共建）促进了以用户为中心的协同工作。在Web 3.0中，随着Web本身被理解的内容的含义，网络变得智能化。然而，未来的互联网将不再局限于连接人和服务，它设想连接所有历史上没有连接过的东西。在这个愿景下，物联网(IoT)创造了一个智能的、无所不在的互联网新范式。

通过物联网，新的数字生态系统为零售业、逻辑学、食品、卫生、能源、智能家居和交通运输业创造了新的商机。例如，IBM（美国国际商用机器公司）通过实现一项服务，将物联网应用于挪威海上石油平台，该服务从海底收集实时信息，以便更好地进行海底钻探决策。设备的小型化、计算能力的提高和能源消耗的减少支持了物联网驱动的这个新生态系统。然而，将智能变得无处不在并不是一件简单的工作。从强大的节点到微小的传感器，各种各样的物体构成了物联网中的“物”。

使用智能的和无所不在的物联网提供创新服务受到若干很多的技术性和非技术性挑战的阻碍，例如大量“事物”的可靠的集成一体化;系统的可扩展性;安全、隐私和互操作性问题。在本文中，我们将减少对安全性和互操作性问题的关注。比如说在确保机密性、完整性、可用性和访问控制等安全性方面，我们只重点关注对支持物联网的服务提供安全访问。在安全互操作性的范围内，本文将讨论在不同管理域中的不同安全属性和限制条件如何协同工作来确保集成操作的安全性。本文提出的概念和结果是正在进行的欧洲项目pSHIELD中进行的研究的结果。

在这方面，对于物联网框架我们提出了包含安全访问的功能体系结构。我们使用语义技术实现了功能体系结构的几个组件。总体而言，本文的主要贡献如下:

-介绍物联网框架的功能架构。

-在体系结构中，提出了一种语义覆盖(将问题克服)，来促进物联网的智能性。

-本体论是为了设计语义覆盖。

-提出了一种基于规则的服务访问机制。

-将通过本体和机器对机器(M2M)技术解决安全互操作性问题。

动机

本节简要讨论了在物联网框架中合并覆盖层的动机和对该层的语义增强。

感知环境的传感器是物联网的关键要素之一。在大多数情况下，传感器是资源受限的设备，没有或只有有限的处理能力。它们中的大多数只能够从环境中检索信息。为了提供服务，我们需要基于这些检索到的信息和预定义的逻辑得出一些决策。例如，对于安全访问，我们需要基于复杂的约束条件来推断访问授权的决策。我们需要动态的更新决策，而不是一成不变。如今，这些决策过程不需要人为干预。它需要自动推理，自动推理被定义为根据预定义的知识产生新事实的过程。这种推理过程涉及广泛的信息处理和数据、逻辑的计算。因此，推理需要有关设备和传感器、传感器网络和传感器数据的结构化知识。

意识到了这些，为了完美的实现好的物联网环境，我们需要一个包含描述这些结构化知识和推理过程的模型的覆盖层。

语义增强

从技术的角度来看，语义是对领域知识的直接明确的解释，使机器加工更加智能化、自适应和高效化。数据以及他们的解释对于决策和规划是至关重要的。在这方面，包含标准、方法和工具的语义技术起着推动者的作用。Berners-Lee等人首先设想了语义Web技术的前景，来使数据的意义变得有用。语义技术利用数据和信息的表面意义从已知事实中获取新知识。语义技术可以通过以下功能满足上一部分描述的需求:

-机器可理解的知识描述

-机器可理解的逻辑描述

-自动推理

处理物联网中的安全性

本节概述物联网环境的常规安全需求以及如何将安全操作外部化。安全性的互操作性成为集成操作的一个关键需求，这个问题已经在前一节中进行了解释。

物联网的常规安全要求

我们预计物联网的安全性将很快成为一项具有挑战性的任务，因为物联网范例将连接现实世界和未来的互联网。系统的复杂性不断增加，将增加安全挑战的数量。所有的物联网服务都需要满足一些基本的安全属性。然而，特定物联网服务的额外安全需求可能取决于特定的应用程序和情况。

机密性

物联网服务可能包含敏感数据，因此，物联网连接的对象数据应该保持信心。机密性可以通过加密来实现。可以利用现有的不同对称和非对称加密方案来确保机密性。然而，选择一种特定类型的加密是很好的应用和设备能力的决定因素。比如，一个智能家居环境，保护着家中所有相关者活动的信息。房主永远不会允许任何人来到他家之后仅仅通过查看活动监控设备就能读取数据。

完整性

物联网服务不仅与其他服务进行关键数据的交换，还与第三方(如权威机构、服务提供商、控制中心等)进行关键数据的交换，这些第三方对感知、存储和传输的数据提出了严格的要求，要求检测、存储和传输的数据不得被恶意或意外篡改。传感器数据的完整性保护是设计可靠的物联网应用的关键。使用单向散列函数的消息身份验证代码(MAC)确保了这一点。MAC技术的选择同样取决于应用程序和设备的能力。以连接智能电网的智能家居为例。智能电网供应商部署了电能消耗监控服务，来生成电费账单。供应商绝不希望在传输过程中篡改消费数据。

可用性

我们设想的物联网环境可能包括传感器节点托管服务。因此，这些物联网服务在任何时间、任何地点都能被使用来持续不间断的提供信息(如测量数据、传感器报警等)。没有单一的安全协议可以满足此属性。但是，可以采取不同的实际措施来确保可用性。例如，在前面提到的智能家居中，如果攻击者知道消费监控服务，他可以通过尝试发送虚假的服务请求来启动拒绝服务(DoS)攻击，而传感器节点由于资源的限制，无法处理大量的请求。由于任何传输(即接收或发送)消耗电力，节点最终将耗尽它的电池。

除了这些传统的安全属性之外，我们还确定了任何物联网环境都需要解决的下列属性。

身份验证

它指的是用来验证一个人的身份的方法。在物联网环境中，需要相互认证，因为物联网数据用于不同的决策和执行过程。因此，服务提供者和服务使用者都需要确保服务是由真实的用户访问的，服务是由真实的源提供的。此外，需要部署强大的身份验证机制来防止模拟。实施任何身份验证机制都需要注册用户身份，而物联网对象的资源限制对使用任何身份验证技术都有严格的要求。

授权

它指的是表达访问策略的方法，该访问策略明确地向主体分配某些权限。物联网环境需要提供详细的、可重用的、动态的、易于使用的策略定义和更新机制。因此，必须将物联网服务的政策定义和实施机制外部化。此外，物联网传感器节点的资源限制也制约了该机制的应用。

访问控制

这是一种强制机制，只允许授权用户访问资源。它的执行通常基于访问控制决策。随着物联网的普及，隐私问题已成为人们普遍关注的问题。例如，考虑具有智能电力计量作为物联网服务并且没有适当的访问控制机制的智能家居的示例，它不仅可以导致电力使用模式的公开，而且还可以帮助对手推断用户相关信息，例如用户什么时候在家，在办公室或旅行。甚至可以推断出关于用户活动的信息(如看电视、睡觉等)和家电的现状。因此，仅向授权方透露用户数据是极其重要的。

可信赖性

许多本质上敏感的应用，如安全关键服务、卫生保健服务，需要评估涉及的几个实体的可信性。从物联网应用的角度出发，评估传感器和传感器数据的可靠性是非常重要的。恶意的传感器节点和错误或不可信的传感器数据在安全危急的情况下会导致灾难。不受信任的传感器数据可能来自受信任的传感器节点。不值得信任的行为可能有两个原因:故意的不当行为和无意的错误。与通过物理措施加强节点和数据的安全性相比，加入可信度评估功能可能更容易保证物联网的可靠性。

审计

跟踪审计用户与系统的相互作用。物联网环境需要知道什么时候访问它们的服务、谁发出服务请求、什么时候发生请求。这些信息不仅有助于安全管理，而且有助于评估安全风险。在发生安全漏洞时，这些信息有助于识别系统中存在的安全漏洞。在物联网服务中保持跟踪与审计是一项具有挑战性的任务。

从概念到架构

结合本文的场景和安全重点，本节将提出一个物联网框架的概念视图。对这些概念的理解将有助于引入物联网的功能体系结构。

该层提供了一个具有底层物联网云的接口。它意味着一种面向适配器的方法来处理节点和通信机制的技术多样性。该层提供不同的适配器来与不同类型的节点通信，例如Sun SPOT适配器来与Sun SPOT节点通信。该层执行大量任务，如发现节点、从节点接收事件并将其发送到上层，以便理解事件并将其发送到订阅服务器，以及调用驻留在节点上的服务。

语义覆盖层

语义覆盖层既是集成层又是不同层之间的接口。通过维护物联网本体、传感器本体、事件本体和服务访问政策，提供底层物联网云的语义模型。该层还执行许多任务，如促进语义模型上的创建、读取、更新和删除(CRUD)操作，以及将SensorML描述转换为OWL描述。

服务虚拟化层

服务虚拟化层为物联网云中的节点的功能方面提供网络服务接口。该层执行各种任务，如将虚拟服务转换为网络服务定义、生成可用网络服务的微格式、在服务注册中心和社交网站中发布服务以及通知订阅者有关物联网云事件。

应用程序层

应用层包含使用数据、数据语义和应用程序逻辑创建的实际应用程序。解决不同服务提供者平台之间的互操作性问题是这一层的功能。

执行

安全推理功能源于对支持物联网的服务的访问授权政策。它需要包含传感器、传感器数据、用户和角色等用户属性的整个领域的正式知识库。语义规则指定访问授权约束，规则的执行将生成授权政策。

正规的知识基础

知识库是关于特定兴趣领域的信息存储库。在人类可读知识库和机器可读知识库这两种不同类型的知识库中，由于其机器可理解性，本研究使用了后者。例如，传感器节点描述(例如标识符、功能)以及提取的数据和相关语义将在知识库中正式表示。典型的知识库由概念、属性和实例组成。我们使用本体对知识库进行编码，更具体地说，我们使用网络本体语言(OWL)。本体是由C类型、P属性和i实例组成。域的关键概念是通过类定义的。在本体中，属性建立两个实例之间的关系。属性属于一个域并具有一个范围。从语法上讲，域将属性链接到类，而范围将属性链接到类或数据范围。从实例的角度来看，属性将域中的实例与范围中的实例关联起来。实际用例场景的实际参与者(例如个人)是通过实例定义的，它们属于类。

语义规则

该政策规定明确的行动方针，以确定当前和未来的决定。中间层通过政策为决策提供推理支持。推理过程基于在预定义事实（知识库）之上定义的约束条件来导出新事实（决策）。中间层的政策由控制决策过程中操作过程的约束条件组成。有时这样的过程只处理传感器和传感器数据的组合。然后，该政策将只负责发现正确的传感器和传感器数据。上层的应用程序和应用程序的需求控制政策的设计和规范。政策是在每个应用程序或多个应用程序的保护伞下手动指定的。政策和知识库紧密协作，因此约束的元素可以来自知识库，并且可以在政策中同时添加多个约束。我们使用语义网络规则语言(SWRL)和语义网络查询增强的网络规则语言(SQWRL)来实现这些政策。

我们希望创建一个语义规则，在实践中，该规则只允许服务提供者管理域中的特定角色组成员访问应用程序，例如监控。监控应用的基本特征包括与传感器建立通信、跨多个域检索和传输数据等。这种应用的完整细节超出了本文的范围。但是，在本文第6.2节中已经证实了与传感器建立通信的实现。

在实现的初始阶段，我们关心的是确保对经过身份验证的服务提供访问授权。生成访问授权提供决策的规则的逻辑解释如下:

用户标识符属于特定的组织(例如JBV)

用户标识符属于特定角色组，

角色组具有一定的安全级别，

监视应用程序需要相同的安全级别，

然后，允许该特定用户访问监视应用程序。

规则的执行环境

在本文中，政策是约束条件的形式化描述。约束通过一组规则表示。规则的评估将产生决策。在这方面，实现了使用了一个规则执行引擎。政策使用Jess规则引擎执行，结果表示决策。由于规则构建在OWL知识库之上，因此SWRLJess bridge (java类语言)允许规则引擎与知识库和SWRL-SQWRL规则进行交互。

传感器集成到M2M平台

我们仍处于将所提出的安全推理跟原型样品融合的早期阶段，这需要对现有的M2M平台进行显著增强。本文仅演示使用遗留的M2M平台的传感器集成。本节详细介绍如何将太阳黑子传感器集成到Telenor对象的M2M平台中。

传感器节点分类

在实现原型样品的过程中，我们根据能力的增长顺序将不同的节点(物联网中的“物”)分为纳米节点、微节点和个人节点。许多这样的节点可以像传感器一样工作。下面给出了每种类型的节点的概述以及我们在原型中使用的特定节点的描述。

纳米节点:是一种性能最低的传感器。它感知周围环境并将数据发送到其他节点。它没有处理能力。纳米节点的一个典型例子是GPS传感器。

微节点:在能力方面，微节点比纳米节点更强大。它具有有限的处理能力来执行一些基本任务，如比较两个值。这种类型的传感器节点是可编程的。但是与微节点的通信只能通过网关进行。

在提出的原型中，我们使用太阳黑子传感器作为微节点。其主要部件是带有嵌入式传感器和基站的SPOT设备。每个太阳黑子都有一个带电池的eSPOT，而基站没有配备电池，必须通过USB线从主机上连接。SPOT传感器平台的主要硬件组成如下:

- 180mhz, 32位ARM920T核心处理器，512K RAM, 4M Flash，运行在Squawk虚拟机(VM)上

- 2,4 GHz，基于ieee802.15.4无线电，集成在天线中

-集成传感器:温度传感器、加速度传感器、光传感器

-I /O引脚

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[609476]，资料为PDF文档或Word文档，PDF文档可免费转换为Word