Next-generation network control and security for the internet of things

Abstract

Undoubtedly, one of the primary enablers of the 5G networks is the Internet of Things (IoT), i.e., low-cost and heterogeneous sensors, actuators, objects, and constrained devices, scattered across extensive urban or rural areas. All those devices, while facing all kind of problems from constrained resources, wireless coverage, heterogeneity of operating systems, applications, and protocols, among others, are struggling to efficiently and securely communicate, with the ultimate goal of measuring and interacting with the surrounding environment, transforming the analog readings to digital information, for the first time in human history.Those IoT networks do not usually communicate with the ``traditional'' wireless protocols (e.g., IEEE 802.11x) because of restrictions such as memory, energy, complexity, etc. Also, those devices, when in the wild, could be rapidly and dynamically changing their topology (e.g., mobile sensors). The above reveals the need for new adapted protocols and communication techniques that will try to solve new exciting problems and overcome arising restrictions. All such proposals should also be compatible with the IPv6 and existing well-established already protocols (e.g., IEEE 802.15.4). Those existing protocols address some of the above issues, but yet, there is an open space for more accurate and innovative solutions. For example, the well-established RPL protocol faces limitations and problems, basically due to the distributed view inherited by the very nature of IoT networks.The current dissertation focuses on problems arising within those protocols when an extreme or unusual condition or demand occurs. There are cases where the protocol's priorities need to be temporarily altered, to favor for example, an ad hoc emerged point-to-point communication need or when mobile nodes need to efficiently utilize the low bandwidth available, all under the everlasting need for security and safety.Some of the above issues can be benefited from the application of the Software Defined Networks (SDNs) paradigm in the IoT. SDN brings central management, a catholic view of the network, centralized decision making, better response to changes, dangers, etc., but also entails increased network traffic because of this extra information. Under the IoT prism, SDN needs to be selectively used, only where the trade-off between possible gain and control overhead is clearly in favor of the first. The dissertation also cites a thorough investigation of IoT security, and in particular, the security issues arising under the RPL protocol. As a result of this bibliographic overview, a state-of-the-art Intrusion Detection System named ASSET inspired by the network softwarization paradigm was constructed, able to confront most of the existing attacks against the RPL protocol.More specifically, the dissertation examines:(i) creating and applying point-to-point routing algorithms and solutions for the RPL protocol, focusing on point-to-multipoint communications and routing from the network nodes to the sink node.(ii) the functionality of IoT and RPL protocol under harsh and difficult circumstances, and how to improve this functionality by ad hoc parameterization of the nodes and confront the problems arising from the heterogeneity of the nodes in manufacturer level, nodes functionalities, etc. Within the same context, possibilities of cooperation between different network layers and adaptable data transfer are examined.(iii) the effectiveness brought by the centralized management and real-time network monitoring to successfully confronting multiple intruders and many different attacks. Under the same scope, the usability and effectiveness of tools and techniques from other scientific areas to identify and exclude those intruders are thoroughly examined.Experimental results of this dissertation, among others, have shown the following:(i) Even though the RPL protocol holds a dominant position in IoT, it has severe issues and flows regarding point-to-point and mobile nodes routing.(ii) there are many open issues in IoT regarding the devices, especially towards processing, storing, and networking, along with the duration and optimization of batteries in the intra-functional capabilities and problems between different network layers, but also between manufacturers, device capabilities, and offered solutions.(iii) The IoT has many open security issues, especially regarding the monitoring and detection of attacks exploiting structural weaknesses of popular protocols such as RPL, since some of them cannot be confronted even with cryptography. In this area, IDSs remain a trustworthy solution needing more bibliographical and experimental research.

Αναμφίβολα, ένας από τους τομείς με τη μεγαλύτερη συμβολή στα δίκτυα 5G είναι το Διαδίκτυο των Πραγμάτων (ΔτΠ), δηλαδή ετερογενείς και χαμηλού κόστους αισθητήρες, ενεργοποιητές, αντικείμενα, καθώς και συσκευές περιορισμένων πόρων, διασκορπισμένες σε μεγάλες αστικές και αγροτικές εκτάσεις. Όλες αυτές οι συσκευές, ενώ αντιμετωπίζουν κάθε λογής προβλήματα όπως περιορισμένους πόρους, ασύρματη κάλυψη, ετερογένεια των λειτουργικών συστημάτων, προβλήματα λογισμικού και πρωτοκόλλων μεταξύ άλλων, προσπαθούν να επικοινωνήσουν ασφαλώς και αποτελεσματικά, με τελικό στόχο να πάρουν μετρήσεις και να αλληλοεπιδράσουν με το περιβάλλον, μετατρέποντας τις αναλογικές μετρήσεις σε ψηφιακή πληροφορία, για πρώτη φορά στην ανθρώπινη ιστορία.Επιπλέον, τα ΔτΠ δεν επικοινωνούν απαραίτητα με τα "παραδοσιακά ασύρματα πρωτόκολλα" (π.χ. 802.11x) λόγω περιορισμών στη διαθέσιμη μνήμη, ενέργεια, επεξεργαστική ισχύ, κτλ. Επίσης αυτές οι συσκευές ευρισκόμενες εντός πεδίου, συνήθως αλλάζουν γρήγορα και δυναμικά την τοπολογία τους (π.χ. κινούμενοι κόμβοι). Τα παραπάνω αποκαλύπτουν την ανάγκη για νέα προσαρμοζόμενα πρωτόκολλα και τεχνικές επικοινωνίας που θα μπορούν να επιλύσουν τέτοια ενδιαφέροντα προβλήματα και να υπερβούν τους υφιστάμενους περιορισμούς και δυσκολίες. Αυτές οι λύσεις θα πρέπει αναγκαστικά να είναι συμβατές με το καθολικά χρησιμοποιούμενο πρωτόκολλο IPv6 όπως και υπάρχοντα πρωτόκολλα που ήδη κατέχουν δεσπόζουσα θέση (όπως π.χ., το ΙΕΕΕ 802.15.4). Αυτά τα πρωτόκολλα επιλύουν κάποια από αυτά τα προβλήματα, αλλά υπάρχει χώρος για πιο ακριβείς και καινοτόμες λύσεις. Για παράδειγμα, το αρκετά δημοφιλές πρωτόκολλο RPL αντιμετωπίζει περιορισμούς και προβλήματα, ειδικά επειδή βασίζεται στην κατανεμημένη εικόνα που απορρέει από την ίδια τη φύση των ΔτΠ δικτύων.Η διατριβή αυτή εστιάζει σε προβλήματα που αναδύονται σε αυτά τα πρωτόκολλα όταν εμφανίζονται ακραίες ή ασυνήθεις συνθήκες. Υπάρχουν περιπτώσεις όπου οι προτεραιότητες του πρωτοκόλλου πρέπει να διαφοροποιηθούν προσωρινά, ώστε να εξυπηρετήσουν μία ανακύπτουσα ανάγκη για επικοινωνία σημείου-προς-σημείο μεταξύ των κόμβων, ή όταν κινούμενοι κόμβοι χρειάζεται να χρησιμοποιήσουν αποδοτικά το χαμηλό εύρος ζώνης που υπάρχει διαθέσιμο, και όλα αυτά κάτω από τη διαρκή ανάγκη για ασφάλεια.Κάποια από αυτά τα θέματα μπορούν να αντιμετωπιστούν μέσω της εφαρμογής του παραδείγματος των Δικτύων Καθοριζόμενων απο το Λογισμικό (ΔΚΛ), (Software Defined Networks, SDN) στα ΔτΠ. Η εφαρμογή των ΔΚΛ επιφέρει κεντρική διαχείριση, καθολική κατόπτευση του δικτύου, κεντρική λήψη αποφάσεων, καλύτερη απόκριση σε αλλαγές, κινδύνους, κτλ., αλλά ακριβώς λόγω της καθολικής εικόνας επιφέρει και περισσότερη κίνηση στο δίκτυο λόγω της αποστολής της επιπλέον πληροφορίας. Κάτω από το πρίσμα του ΔτΠ, τα ΔΚΛ πρέπει να χρησιμοποιηθούν επιλεκτικά, μόνον εκεί όπου η ισορροπία μεταξύ του όποιου κέρδους και της πλεονάζουσας πληροφορίας, είναι σαφώς υπέρ του πρώτου.Η διατριβή επίσης παρουσιάζει μία λεπτομερή καταγραφή των προβλημάτων ασφάλειας των δικτύων ΔτΠ. Ως αποτέλεσμα αυτής της βιβλιογραφικής μελέτης, κατασκευάστηκε ένα σύγχρονο λογισμικό Σύστημα Ανίχνευσης Εισβολών ( Intrusion Detection System, IDS), ονόματι \emph{ASSET}, εμπνευσμένο από το παράδειγμα των Δικτύων Καθοριζόμενων απο το Λογισμικό (ΔΚΛ), (Software Defined networks, SDN). Το σύστημα μπορεί να αντιμετωπίσει τις περισσότερες επιθέσεις ενάντια στο RPL πρωτόκολλο. Πιο συγκεκριμένα, η διατριβή εξετάζει: (i) Τη δημιουργία και εφαρμογή λύσεων δρομολόγησης σημείου προς σημείου (point-to-point) μέσα στο πρωτόκολλο RPL, το οποίο είναι προσανατολισμένο σε δικτύωση ενός-προς-πολλούς (point-to-multipoint), με αφετηρία τους κόμβους του δικτύου, και κατάληξη στον κεντρικό κόμβο-δρομολογητή, (sink-node), (ii) Τη λειτουργία των ΔτΠ, αλλά και του RPL , κάτω από ιδιαίτερες και ακραίες συνθήκες, και πως αυτή η λειτουργία μπορεί να βελτιωθεί, τόσο από την παραμετροποίηση των κόμβων ανά περίπτωση (ad-hoc) αλλά και τα προβλήματα που ανακύπτουν από την ετερογένεια των κόμβων αυτών, σε επίπεδο κατασκευαστή, δυνατοτήτων επεξεργαστικής και αποθηκευτικής ισχύος, κτλ. Επίσης στο ίδιο πλαίσιο εξετάζονται οι δυνατότητες συνεργασίας μεταξύ διαφορετικών επιπέδων δικτύου και η μεταφορά δεδομένων κατά περίπτωση, και (iii) Την αποτελεσματικότητα που επιφέρει η κεντρική διαχείριση και η κατόπτευση του δικτύου στην αποτελεσματική αντιμετώπιση κόμβων-εισβολέων, και πολλών διαφορετικών επιθέσεων. Στο ίδιο πλαίσιο εξετάζεται αναλυτικά η αποτελεσματικότητα χρήσης εργαλείων από άλλους κλάδους στην υπόδειξη και αποκλεισμό των εισβολέων-κόμβων.Τα πειραματικά αποτελέσματα της διατριβής δείχνουν τα εξής: (i) το πρωτόκολλο RPL, αν και αυτή την στιγμή έχει δεσπόζουσα θέση στο ΔτΠ, παρά ταύτα, έχει σοβαρές δυσλειτουργίες στη δρομολόγηση σημείου-προς-σημείο, και στη δρομολόγηση και διαχείριση κινούμενων κόμβων. Σε αυτόν τον τομέα, η βιβλιογραφία χρειάζεται εμπλουτισμό με καινούριες, καινοτόμες λύσεις και ιδέες, (ii) υπάρχουν πολλά ανοιχτά ζητήματα στο ΔτΠ όσον αφορά στις συσκευές, και πιο συγκεκριμένα στις δυνατότητες επεξεργασίας, αποθήκευσης και δικτύωσης, στη διάρκεια και στη διαχείριση της ενέργειας και της μπαταρίας, καθώς και στις διαλειτουργικές δυνατότητες και προβλήματα μεταξύ των διαφόρων επιπέδων δικτύου ( network layers), καθώς και μεταξύ διαφόρων κατασκευαστών, δυνατοτήτων των συσκευών, και επιμέρους προσφερόμενων λύσεων, (iii) τα ΔτΠ, έχουν πολλά ανοιχτά θέματα ασφαλείας, ειδικότερα όσον αφορά την παρακολούθηση και αναγνώριση επιθέσεων, ειδικά αυτών που εκμεταλλεύονται δομικές αδυναμίες σε δημοφιλή πρωτόκολλα όπως το RPL, και κάποιες από αυτές δεν αντιμετωπίζονται ακόμη και με τη χρήση κρυπτογραφίας. Σε αυτό το πεδίο, τα Συστήματα Αναγνώρισης Εισβολής (ΣΑΕ), (Intrusion Detection System, IDS), παραμένουν μία αξιόπιστη λύση που χρειάζεται πολύ περισσότερη βιβλιογραφική και πειραματική έρευνα.