Veilige OCF-over-Thread is de sleutel tot schaalbaar IP-gebaseerd smart building IoT

Twee gebieden van het internet der dingen (IoT) zijn vrij goed bediscussieerd voor slimme huizen en gebouwautomatisering:het ene is de veelheid aan normen die interoperabiliteitsproblemen veroorzaken en het onvermogen om gemakkelijk te schalen; de andere is beveiliging.

Beide problemen zijn wat OCF-over-Thread wil aanpakken. OCF-over-Thread, ontwikkeld door Cascoda, een fabrikant van IoT-halfgeleideroplossingen, is een certificeerbare oplossing die de ontwikkeling van end-to-end-producten voor slimme woningen en slimme commerciële gebouwen vereenvoudigt. Het biedt ingebouwde interoperabiliteit en schaalbare beveiligingscontroles voor zowel grote als kleine IoT-toepassingen. De OCF biedt de veilige applicatielaag en Thread biedt het energiezuinige en schaalbare IPv6-gebaseerde netwerklaagprotocol. Thread is gebouwd op open standaarden om IEEE 802.15.4 mesh-netwerken te creëren die gemakkelijk en veilig duizenden apparaten kunnen verbinden.

OCF en Thread zijn beide gericht op beveiliging en interoperabiliteit binnen het IoT, waardoor naadloze communicatie mogelijk is voor zowel apparaat-naar-apparaat als apparaat-naar-cloud. De mesh-netwerken van Thread zijn betrouwbaar, hebben geen enkel storingspunt, bieden immuniteit voor interferentie en herstellen zichzelf en worden opnieuw geconfigureerd wanneer een apparaat wordt toegevoegd of verwijderd. Bovendien zijn alle apparaten in een Thread-netwerk geverifieerd en is alle communicatie versleuteld. Met deze basis ondersteunt de OCF-over-Thread-oplossing versleutelde communicatie tussen apparaten met behulp van openbare-sleutelinfrastructuur (PKI) voor authenticatie en heeft het inherente continue kwetsbaarheidsbeheersystemen voor snelle reactie.

Gecertificeerd IoT-platform voor veilige, op IP gebaseerde mesh-netwerken met groot oppervlak

De OCF-over-Thread-oplossing werd twee jaar geleden aangekondigd en Cascoda had OCF en Thread met succes geconfigureerd om samen te werken via een thread-borderrouter (een IP-gateway op basis van OpenThread) en op ultra-low-power beperkte IoT-apparaten. De hardware van Cascoda omvat een vertrouwde uitvoeringsomgeving (TEE), die veilige opslag voor de OCF PKI-sleutel biedt en alleen ondertekende applicaties op het apparaat laat draaien. Dit is een belangrijke vereiste voor het maken van veilige IoT-hardware.

Als resultaat van dit werk heeft Cascoda nu de naar eigen zeggen eerste OCF-gecertificeerde, op standaarden gebaseerde IoT-module met laag vermogen uitgebracht die zowel IP (met Thread) PKI-beveiliging (met OCF) ondersteunt. Het gecertificeerde platform is gebaseerd op een open-source softwareontwikkelingskit (SDK) en omvat de Chili2D-module, de eerste die het veilige IP-framework en de applicatielaag van OCF biedt, en het energiezuinige en schaalbare IPv6-gebaseerde netwerklaagprotocol van Thread; de vereiste Thread IP-router; en OCF cloud-connectiviteitsfunctionaliteit.

De combinatie van platformfuncties, waaronder een root of trust (RoT), cryptografische versnelling en hardware-sabotagebeveiligingsfuncties, gecombineerd met de beveiligingsfuncties van OCF en Thread, hebben het ook mogelijk gemaakt om zowel Europese als Britse IoT-beveiligingsattesten te verkrijgen via de IASME ' IoT Security Assured-regeling'. Als gevolg hiervan sluit het aan bij de missie van OCF door veilige end-to-end IoT-implementaties mogelijk te maken die device-to-device, device-to-cloud en cloud-to-cloud omvatten zonder de privacyzorgen van consumentgestuurde cloud-verbonden systemen.

Deze ontwikkeling ondersteunt een ander belangrijk doel van OCF, namelijk het stimuleren van energie-efficiëntie aan de vraagzijde in commerciële gebouwautomatiseringssystemen (BAS) en slimme stadsinfrastructuur door middel van migratie naar veilige IP-oplossingen.

Het vertegenwoordigt ook een belangrijke stap in de richting van het bereiken van de visie van IP-BLIS - een marktbelangengroep, die standaardorganisaties, waaronder OCF, KNX, DALI, BACnet, Thread Group en Connectivity Standards Alliance, samenbrengt om de adoptie van een veilig, multifunctioneel -standaard IP-gebaseerde infrastructuur.

De OCF beschouwt de beschikbaarheid van de gecertificeerde module als een mijlpaal voor OCF en voor alle IoT-belanghebbenden die willen profiteren van de hoogste beveiligingsniveaus op IP-gebaseerde mesh-netwerken met een laag vermogen. De voorzitter van OCF, Mark Trayer, merkte op:"Tot nu toe was dit niet mogelijk. Nu is er echter een kans ontgrendeld voor apparaten met een laag stroomverbruik op mesh-netwerken en de services en applicaties die ze uitvoeren, om gebruik te maken van een vertrouwensketen die is gebouwd op OCF's openbare sleutelinfrastructuur (PKI) om veilige end-to-end-codering over IP.”

Hij voegde eraan toe:"Dit ontketent veel potentieel voor organisaties die implementaties onbeperkt willen schalen, terwijl ze eenvoudig en veilig netwerkbeheer willen behouden. Een netwerk dat oorspronkelijk is gebouwd als onderdeel van een smart city-schema om straatverlichting te regelen, kan bijvoorbeeld in de loop van de tijd veilig worden opgeschaald om andere realtime openbare diensten toe te voegen, zoals luchtkwaliteit of verkeersmonitoring. Op machtigingen gebaseerde toegang kan worden verleend aan verschillende belanghebbenden, zodat ze alleen gegevens van hun eigen applicaties kunnen zien. We zijn enthousiast over de mogelijkheden die dit platform biedt en juichen Cascoda toe om het voortouw te nemen met deze ontwikkeling.”

Bruno Johnson, CEO van Cascoda en OCF-lid, voegde toe:"Door de unieke voordelen van OCF en Thread's low-power draadloze netwerkprotocol te combineren in dit nu gecertificeerde IoT-platform, hebben we de mogelijkheid geopend voor batterij- en energie-oogster-aangedreven apparaten uniek adresseerbaar via internet, terwijl ze kunnen profiteren van het meest geavanceerde niveau van IoT-beveiliging. Als gevolg hiervan hebben we de kosten en complexiteit van de gateway geëlimineerd. Dit biedt aanzienlijke kansen voor degenen die slimme gebouwen en slimme stadsinfrastructuur plannen, waar zeer veilige diensten nu kunnen worden geleverd via op IP gebaseerde mesh-netwerken met een laag stroomverbruik, die grote gebieden bestrijken.”

In een interview met embedded.com benadrukte Johnson het belang. “Hacks komen relatief veel voor in IoT-apparaten als de apparaten niet vanaf het begin met beveiliging zijn ontworpen. Wat we hebben gedaan, is X 509 PKI-beveiliging mogelijk maken in een extreem kleine, energiezuinige M23-microcontroller, met behulp van open standaarden. Het biedt in feite dezelfde mate van beveiliging als bij bankieren, maar dan voor IoT-apparaten. Het IoT-apparaat communiceert veilig, op basis van open standaarden, met behulp van een batterij. Dat betekent dat fabrikanten heel snel en gemakkelijk een end-to-end cloudgebaseerd gebouwbeheersysteem kunnen samenstellen – en dat ze het hele end-to-end-systeem kunnen bezitten.”

De Cascoda-module

De Chili2D-modulefamilie van Cascoda is een volledig uitgeruste draadloze oplossing op basis van threads, met behulp van een Arm Cortex-M23-microcontroller. De microcontroller beschikt over 512 kB applicatieflash en 96 kB on-chip SRAM en werkt met een klokfrequentie van 48 MHz. Het hebben van slechts 96 kB RAM is een buitengewoon strikte beperking voor de OCF-toepassingslagenstapel.

Thread is een draadloos IPv6 mesh-netwerklaagprotocol met laag vermogen. Het belangrijkste voordeel van het gebruik van Thread in tegenstelling tot wifi is dat het goedkope, batterijgevoede apparaten mogelijk maakt. Bovendien zorgt het zelfvormende, zelfherstellende mesh-netwerk voor een robuuste implementatie van netwerken die honderden apparaten bevatten.

Omdat Thread niet applicatielaag-agnostisch is, is de Chili2D in staat om meerdere applicatielagen tegelijkertijd over Thread te draaien, in dit geval een Domain Name System (DNS) en een Simple Network Time Protocol (SNTP), naast OCF. Het OCF-toepassingsframework bestaat uit de volgende lagenstapel, zoals hieronder weergegeven:

OCF gebruikt het Constrained Application Protocol (CoAP), een internettoepassingsprotocol voor beperkte apparaten. CoAP stelt beperkte apparaten in staat om te communiceren met het bredere internet door middel van een REpresentational State Transfer (REST)-interface die gebruikelijk is voor de meeste op internet aangesloten applicaties.

Deze communicatie is beveiligd met Datagram Transport Layer Security (DTLS), een internetcommunicatieprotocol dat beveiliging biedt voor berichten op applicatieniveau. DTLS faciliteert public key infrastructure (PKI) voor authenticatie, waarbij certificaten worden gebruikt in plaats van een ID en wachtwoord. Nadat een DTLS-verbinding tot stand is gebracht, wordt alle verdere communicatie zowel geverifieerd als versleuteld met behulp van de geavanceerde geavanceerde versleutelingsstandaard (AES).

Aangezien zowel Thread als OCF gebaseerd zijn op IPv6 en User Datagram Protocol (UDP), is het gebruik van OCF als toepassingsprotocol bovenop Thread een goede match.