In-network validation of digital certificates for IoT secure communications

Abstract

[English] This project provides a design and implementation of a certificate validation system for Internet of Things (IoT) scenarios. During the establishment of a secure communication, a significant step to carry out by an endpoint is to authenticate the remote communication peer, which usually involves validating the digital certificate of that peer. Unfortunately, this leads to a significant computing cost; thus, validation becomes difficult for IoT devices to perform. Therefore, this project proposes a solution whose scope is to delegate certificate validation actions to another intermediate device in the network in a totally transparent way for the remote peers. In this case, a programmable switch is going to check the authenticity of the endpoint an IoT device is going to communicate with. In particular, it will verify the signature of the certificate and check whether it is revoked. This system will be implemented on the basis of Software Defined Networking (SDN) and In-Network Computing (INC) as they are particularly well-suited to IoT scenarios. In order to make the switch carry out validation operations, both its control and data plane will be programmed. Finally, the impact that this solution has on network performance will be evaluated.

[Basque] Proiektu honek Internet of Things-en (IoT) inguruneetan ziurtagiriak balioztatzen dituen sistema baten diseinua eta inplementazioa aurkezten ditu. Komunikazio seguru bat ezarri arte ematen den prozesuan ezinbestekoa da komunikazio amaierako entitateak beste muturra balioztatzea, honek dakarren ziurtagiri digitalaren balioztapenarekin batera. Zoritxarrez, honek balio konputazional handia du, eta beraz, zaila da IoT gailuetan balioztapena egitea. Horregatik, proiektu honek hurrengo helburua duen soluzio bat proposatzen du: ziurtagiria balioztatzeko ekintzak sareko bitarteko beste gailu baten esku uztea, modu guztiz gardenean. Kasu honetan, IoT gailuarekin komunikatuko den urruneko muturreko baliozkotasuna switch programagarri baten bidez frogatuko da. Bereziki, ziurtagiriaren sinadura baieztatuko du eta baliogabetua dagoen frogatuko du. Sistema hau software bidez definitutako sareetan (SDN) eta sareko konputazioan (INC) oinarrituko da. Izan ere, IoT inguruneetara bereziki ongi egokitzen dira. Switch-ak balioztatze ekintzak aurrera eramateko, bere kontrol planoa zein datuen planoa programatuko dira. Azkenik, soluzio honek sarearen errendimenduan duen eragina ebaluatuko da.

[Spanish] Este proyecto proporciona un diseño e implementación de un sistema de validación de certificados para escenarios de Internet of Things (IoT). En el transcurso del establecimiento de una conexión segura, una acción importante que debe llevar a cabo una entidad final de la comunicación es autenticar el otro extremo, lo que normalmente implica validar el certificado digital de dicho extremo. Desafortunadamente, esto conlleva un coste computacional importante, por lo que la validación resulta difícil de realizar para los dispositivos IoT. Por ello, este proyecto propone una solución cuyo objetivo es delegar las acciones de validación del certificado a otro dispositivo intermedio de la red de forma totalmente transparente para los extremos. En este caso, un switch programable va a comprobar la autenticidad del extremo remoto con el que se va a comunicar un dispositivo IoT. En particular, verificará la firma del certificado y comprobará si este está revocado. Este sistema se implementará basándose en las redes definidas por software (SDN) y la computación en red (INC), ya que se adaptan especialmente bien a escenarios IoT. Para que el switch realice las operaciones de validación, se programará tanto su plano de control como el de datos. Por último, se evaluará el impacto que esta solución tiene sobre el rendimiento de la red.