검색 상세

FACT: Functionality-centric Access Control System for IoT Programming Frameworks

사물인터넷 프레임워크를 위한 기능 중심의 접근 제어 시스템

이상학 (Sanghak Lee, 포항공과대학교)

원문보기

  • 주제(키워드) least privilege , denial-of-serivce
  • 발행기관 포항공과대학교 대학원
  • 지도교수김종
  • 발행년도2017
  • 학위수여년월2017. 8
  • 학위명석사
  • 학과 및 전공일반대학원 컴퓨터공학과
  • 세부전공사이버 보안
  • 원문페이지61
  • 본문언어영어
  • 저작권포항공과대학교 논문은 저작권에 의해 보호받습니다.
초록 moremore
Improvement in the security and availability is important for the success of the Internet of Things (IoT). Given that recent IoT devices are likely to have multiple functionalities and support third-party applications, this goal becomes challenging to achieve. Through an in-depth investigation of ex...
Improvement in the security and availability is important for the success of the Internet of Things (IoT). Given that recent IoT devices are likely to have multiple functionalities and support third-party applications, this goal becomes challenging to achieve. Through an in-depth investigation of existing IoT frameworks, we focused on two inherent security flaws in their design caused by their device-centric approaches: (1) coarse-grained access control and (2) lack of resource isolation. Because of the coarse-grained access control, IoT devices suffer from over-privileged applications. Furthermore, the lack of resource isolation allows the possibility of Denial-of-Service attacks. In this thesis, we propose a functionality-centric approach to manage IoT devices, called FACT, which has two design goals, namely, the principle of least privilege and the availability in terms of device functionalities. FACT isolates each functionality of the device using Linux Containers and grants a subject the privilege to access for each required functionality. We provide the overall framework and detailed working procedures between components that constitute FACT. We built a prototype of FACT on IoTivity and show that it accomplishes secure and efficient linkages between applications and functionalities of IoT devices through analysis and experiments.
초록 moremore
IoT의 보안성(security)과 가용성(availability)을 증진시키는 것은 그의 성공을 위해서 필수적인 일이다. 그러나, IoT 기기들이 가진 기능이 점점 많아지고 써드파티 앱들을 지원하게 되면서 이와 같은 목표를 충족시키는 것은 어려운 일이 되어가고 있다. 우리는 현존하는 IoT 프레임워크들을 조사했고, 그들의 기기 중심 접근(device-centric approach)에서 기인한 두 가지 보안적 결점에 주목했다. 첫 번째는 ‘세분화되지 못한 접근제어(coarse-grained access control)’, 두 번째는...
IoT의 보안성(security)과 가용성(availability)을 증진시키는 것은 그의 성공을 위해서 필수적인 일이다. 그러나, IoT 기기들이 가진 기능이 점점 많아지고 써드파티 앱들을 지원하게 되면서 이와 같은 목표를 충족시키는 것은 어려운 일이 되어가고 있다. 우리는 현존하는 IoT 프레임워크들을 조사했고, 그들의 기기 중심 접근(device-centric approach)에서 기인한 두 가지 보안적 결점에 주목했다. 첫 번째는 ‘세분화되지 못한 접근제어(coarse-grained access control)’, 두 번째는 ‘자원 고립 부재(lack of resource isolation)’이다. 첫 결점을 통해 직권 남용 문제가, 두 번째 결점을 통해 Denial-of-Service (DoS) 공격의 가능성이 발생한다. 이 논문에서 우리는 기능 중심의 접근 (functionality-centric approach), FACT를 제안한다. FACT는 기기의 기능 단위로 최소 권리의 원칙 (the principle of least privilege)을 충족시키며, 기능의 가용성을 지킨다. FACT는 기기의 각 기능들을 Linux Containers로 고립시키고, 각 주체(subject)들에게 각 기능들에 대한 접근 권한을 부여한다. 우리는 FACT의 prototype을 IoTivity에 적용시켰고, FACT가 앱과 기기의 기능 사이에 안전하고 효율적인 연결을 달성한다는 것을 보였다.
목차 moremore
I. Introduction 1
II. Existing IoT Frameworks 4
2.1 SmartThings . . . . . . . . . . . . . . . . . . . . . . . . . . 4
...
I. Introduction 1
II. Existing IoT Frameworks 4
2.1 SmartThings . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2 IoTivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.3 Problems in Frameworks . . . . . . . . . . . . . . . . . . . 9
III. Design Flaws and Goals 10
3.1 Design Flaws . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.1.1 Coarse-grained Access Control . . . . . . . . . . . 10
3.1.2 Lack of Resource Isolation . . . . . . . . . . . . . 12
3.2 Threat Models and Design Goals . . . . . . . . . . . . . . 13
3.2.1 Threat Models . . . . . . . . . . . . . . . . . . . . . 13
3.2.2 Design Goals . . . . . . . . . . . . . . . . . . . . . . 14
IV. FACT 15
4.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.2 Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.2.1 Requesting Functionalities . . . . . . . . . . . . . 17
4.2.2 Examples . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3 Management of Functionalities . . . . . . . . . . . . . . . 21
4.3.1 Functionality Isolation . . . . . . . . . . . . . . . . 21
4.3.2 Managing Thing Functionalities . . . . . . . . . . 21
4.3.3 Managing Application Functionalities . . . . . . . 23
4.3.4 Processing Functionality Requests . . . . . . . . . 25
II
V. Implementation and Evaluation 28
5.1 Implementation Details . . . . . . . . . . . . . . . . . . . . 28
5.2 Security Evaluation . . . . . . . . . . . . . . . . . . . . . . 29
5.3 Performance Evaluation . . . . . . . . . . . . . . . . . . . 31
VI. Discussion 36
VII. Related Works 37
VIII. Conlusion and Future Works 40
Summary (in Korean) 41
References 42