A Data-centric security architecture for the Integration of constrained devices into IoT scenarios

espanolLa expansion del IoT esta siendo impulsada con la llegada de recientes tecnologias de comunicacion, como el 5G, que posibilitan el intercambio masivo de informacion entre un elevado numero de dispositivos heterogeneos interconectados. Esta evolucion de Internet esta alentando la aparicion de nuevos escenarios, los cuales representan ecosistemas donde diferentes dispositivos fisicos desplegados detectan y comparten datos sobre su entorno con el proposito de transformar y mejorar servicios cotidianos, como los sistemas de transporte o sanidad. Sin embargo, la realizacion de este paradigma de sociedad basada en datos presenta importantes desafios de seguridad relacionados con el tratamiento de informacion de caracter personal, pudiendose vulnerar la privacidad de los participantes. Asi, la proteccion de los datos es considerada como un aspecto clave para incrementar la confianza de las personas y lograr el desarrollo de los escenarios del IoT a gran escala. En esta direccion, importantes cuerpos de estandarizacion, como el IETF y el ETSI, han ofrecido diferentes propuestas destinadas abordar los desafios de seguridad y privacidad en escenarios del IoT. Este hecho pone de manifiesto que la seguridad y la privacidad en el IoT es actualmente uno de los principales temas de investigacion en el ambito academico e industrial. Sin embargo, la aplicacion de estas propuestas no es trivial debido a las particularidades inherentes a estos escenarios, como la heterogeneidad tecnologica, las limitaciones de recursos de los dispositivos, la presencia de entidades intermedias y las comunicaciones en grupo. Por lo tanto, garantizar la proteccion de datos de extremo a extremo continua aun siendo un desafio en escenarios del IoT. En consecuencia, esta tesis tiene como principal objetivo el desarrollo una arquitectura de seguridad centrada en datos para la integracion de dispositivos restringidos en escenarios del IoT. En este sentido, se ha seguido una metodologia evolutiva tipica de los proyectos de investigacion. Asi, se comenzo realizando un analisis de requisitos de seguridad y privacidad en diferentes escenarios del IoT, el cual permitio identificar la necesidad de soluciones de proteccion de datos eficientes y efectivas para estos entornos de comparticion de datos. Ademas, se constato que muchos de los estandares y propuestas existentes no se ajustaban adecuadamente a las particularidades inherentes anteriormente mencionadas. Este hecho derivo en la necesidad de disenar una arquitectura destinada a garantizar la seguridad de la informacion durante todo su ciclo de vida en el contexto IoT. Para ello, se diseno y desarrollo un enfoque criptografico ligero, flexible y escalable basado en el esquema de cifrado CP-ABE, para habilitar la comparticion segura de informacion en grupo. Adicionalmente, dicho enfoque fue extendido con un mecanismo de intercambio de claves basado en un reciente esfuerzo de estandarizacion del IETF conocido como EDHOC, que permite el establecimiento de asociaciones de seguridad en estos escenarios restringidos. Cabe resaltar que este mecanismo considera la realizacion de una fase previa de bootstrapping, en la que las entidades obtienen sus correspondientes credenciales y claves para unirse a la red de manera segura. En particular, se ha considerado el servicio de boostrapping LO-CoAP-EA debido a que fue especificamente disenado para el contexto IoT. Finalmente, se propuso la realizacion de un analisis de rendimiento de las diferentes soluciones integradas en la arquitectura, para demostrar su viabilidad y ventajas frente a otros enfoques planteados actualmente para escenarios del IoT. En conclusion, la arquitectura de seguridad propuesta representa un excelente punto de partida para abordar las principales preocupaciones de seguridad y privacidad en el contexto IoT, especialmente para la integracion de dispositivos con recursos limitados. Ademas, debe considerarse que esta arquitectura podria ser ampliada con enfoques complementarios, como OSCORE, logrando asi escenarios IoT seguros, flexibles y eficientes. EnglishThe expansion of the IoT is being driven with the arrival of recent communication technologies, such as 5G, which enable the massive exchange of information among a large number of interconnected heterogeneous devices. This evolution of the Internet is encouraging the emergence of new scenarios, which represent ecosystems where different deployed physical devices detect and share data about their environment. This fact enables to transform and improve daily services, such as transportation or healthcare systems. However, the realisation of this data-driven society paradigm presents important security challenges related to the treatment of personal information, which may violate the privacy of the participants. Consequently, data protection is considered a key aspect to increase people's trust and to achieve the development of IoT scenarios on a large scale. In this direction, important standardization bodies, such as the IETF and ETSI, have offered different proposals to overcome security and privacy concerns in IoT scenarios. This fact proves that security and privacy in the IoT context are currently one of the main hot research topics getting rising attention from the academia and the industry. Nevertheless, the application of these proposals is not trivial due to the particularities inherent to these scenarios, such as technological heterogeneity, devices' resource constraints, presence of intermediate entities and group communications. Therefore, ensuring end-to-end data protection in IoT scenarios is still challenging. Consequently, the main objective of this thesis is to develop a data-centric security architecture for the integration of resource-constrained devices in IoT scenarios. In this sense, a typical evolutionary methodology of research projects has been followed. Thus, an analysis of security and privacy requirements in different IoT scenarios was performed, which allowed to identify the need for efficient and effective data protection solutions for these data sharing environments. Furthermore, it was found that many of existing standards and proposals did not adequately fit with the particularities inherent to these scenarios previously mentioned. This fact drove the need for designing an architecture intended to guarantee the security of information during its entire lifecycle in the IoT context. Towards this end, a lightweight, flexible and scalable cryptographic approach based on the CP-ABE scheme was designed and implemented, in order to enable secure group data sharing. Additionally, this approach was extended with a key exchange mechanism based on a recent IETF standardization effort known as EDHOC, which enables the establishment of security associations in these constrained scenarios. It should be noted that this mechanism considers the realisation of a previous bootstrapping phase, where entities obtain their corresponding credentials and keys to securely join the network. Particularly, the LO-CoAP-EAP boostrapping service was considered due to it was specifically designed for the IoT context. Eventually, a performance analysis of the different security mechanisms integrated in the architecture was performed, with the aim of demonstrating their feasibility and advantages compared to other solutions currently proposed for IoT scenarios. All in all, the proposed security architecture represents an excellent starting point to address the main security and privacy concerns in the IoT context, especially for the integration of resource-constrained devices. Eventually, it should be pointed out that this architecture could be still extended by integrating complementary approaches, such as OSCORE, thus achieving secure, flexible and efficient IoT scenarios.