Ein Sicherheitskonzept für IoT-Plattformen

Abstract

IoT-Plattformen stellen eine Schnittstelle zwischen IoT-Geräten und Anwendungen dar, die mit IoT-Geräten interagieren. Gleichzeitig bieten IoT-Plattformen grafische Benutzeroberflächen für eine intuitive Bedienbarkeit. Daraus resultieren mehrere Angriffsflächen, die eine solche Plattform offenbart. In dieser Masterarbeit wird in einem ersten Schritt eine abstrakte Architektur für IoT-Plattformen definiert. Anhand dieser Architektur werden mögliche Angriffsflächen sowie darauf abzielende, konkrete Attacken herausgearbeitet. Ziel dieser Arbeit ist es, ein Framework zu schaffen, welcher als Leitfaden für eine sichere Konfiguration der unterschiedlichen Ebenen einer IoT-Plattform dient und dabei unterschiedliche Einschränkungen des IoT berücksichtigt, wie zum Beispiel die beschränkte Hardware von IoT-Geräten. Der Leitfaden umfasst dabei die sichere Implementierung einer Webanwendung sowie die Absicherung von APIs. Dafür werden Einstellungen für die sichere Verwaltung von Benutzerdaten und eine sichere Authentifizierung von Benutzern vorgestellt. Außerdem werden Konzepte für eine sichere Konfiguration von MQTT-Brokern dargestellt. Für die Authentifizierung sowie Autorisierung von IoT-Geräten werden die Konzepte OAuth2 und X.509-Zertifikate vorgestellt. Weiter werden sichere Implementierungen von Transportprotokollen vorgestellt, welche an die Beschränkungen von IoT-Geräten angepasst sind. Diese umfassen TLS mit TCP, CoAP mit UDP, DTLS als Erweiterung für UDP, um eine Transportverschlüsselung zu ermöglichen und AugMQTT als zusätzliches Sicherheitsprotokoll für MQTT. Zuletzt werden Empfehlungen für die Konfiguration von IoT-Geräten genannt. Eine konkrete Anwendung wird anhand der Multipurpose- Binding-and-Provisioning-Platform (MBP) für IoT-Geräte vorgestellt. Für die MBP wird das OAuth2-Framework angepasst, um eine Authentifizierung und Autorisierung von IoT-Geräten zu ermöglichen. Außerdem wird eine Komponente zur Konfiguration der Anonymität von Gerätedaten vorgestellt.