Development of a security and privacy framework for the internet of things = Desarrollo de un framework de seguridad y privacidad aplicado al internet de las cosas

Abstract

El Internet de las Cosas representa la extensión de la tecnología a todos los ámbitos de nuestra vida cotidiana. En los últimos años, numerosas iniciativas a nivel mundial han sido lanzadas con el fin de explotar el potencial derivado de un mundo hiperconectado. De hecho, la adecuación de tecnologías y protocolos ha posibilitado que dispositivos físicos sean habilitados con cierto grado de autonomía para procesar e intercambiar información, convirtiéndose en objetos inteligentes. Sin embargo, a pesar de estos avances, su materialización todavía exige la necesidad de consensuar un entendimiento común sobre las implicaciones que son derivadas de este paradigma emergente. En particular, las necesidades de seguridad y privacidad adquieren una mayor dimensión que plantea no solamente obstáculos tecnológicos, sino cuestiones sociales, legales y éticas, que necesitan ser abordados mediante enfoques multidisciplinares y holísticos. En esta tesis doctoral, estos desafíos han sido abordados mediante el diseño de un framework arquitectónico con el fin de ofrecer una visión unificada de las necesidades de seguridad y privacidad a ser afrontadas durante el ciclo de vida de los objetos inteligentes. Este diseño es el resultado del análisis y estudio de tales necesidades en entornos del Internet de las Cosas, y representa una instanciación de un modelo de referencia arquitectónico, con un fuerte énfasis en los aspectos de seguridad y privacidad. El framework propuesto ha sido, a su vez, instanciado, mediante el diseño y desarrollo de diferentes mecanismos, que han sido aplicados y desplegados en diversos escenarios y casos de uso derivados de dos proyectos de investigación abordando aspectos de seguridad y privacidad en tales entornos. En particular, el modelo de control de acceso propuesto, así como el conjunto de extensiones diseñado, representan diferentes enfoques para hacer frente a los requisitos de escalabilidad y flexibilidad de estos escenarios, y han sido complementados para ofrecer una visión integradora y hacer frente a estas necesidades.

Asimismo, el diseño e implementación de las soluciones propuestas, así como su despliegue en el ámbito de dos iniciativas europeas, demuestra la viabilidad y aplicabilidad de los enfoques desarrollados. Los resultados derivados de estos mecanismos demuestra, a su vez, la consecución de los objetivos que fueron inicialmente planteados al comienzo de esta tesis. Finalmente, la instanciación del framework propuesto representa un punto de partida prometedor para el diseño y desarrollo de mecanismos que hagan hincapié en diferentes aspectos de seguridad y privacidad del ciclo de vida de los objetos inteligentes. En particular, la aplicación de mecanismos escalables y flexibles de revocación de credenciales representa un aspecto desafiante para cubrir todo el rango de necesidades de seguridad y privacidad durante todo el ciclo de vida. Adicionalmente, la adecuación de las soluciones propuestas en escenarios con severas restricciones de recursos representa un tema candente de investigación en la actualidad a ser fuertemente considerada.

The Internet of Things represents the extension of technology to all aspects of our daily life. In recent years, several world-wide initiatives have been launched in order to exploit the potential that is derived from a hyper-connected world. Indeed, the adaptation of technologies and communications protocols has empowered physical devices to be enabled with some degree of autonomy to process and exchange information, becoming smart objects. However, in spite of these advances, its realization still requires the need to agree a common understanding of the implications that arise from this emerging paradigm. In particular, security and privacy needs take a broader dimension not only because of technological obstacles, but social, legal and ethical issues, which need to be addressed through multidisciplinary and holistic approaches.

In the scope of this thesis, these challenges have been tackled through the design of an architectural framework, in order to provide a unified view of security and privacy needs to be addressed during the lifecycle of smart objects. This design is the result of the analysis and study of such needs in Internet of Things environments, and it represents an instantiation of an architectural reference model, with a strong emphasis on security and privacy issues. The proposed framework has been instantiated, in turn, through the design and development of different mechanisms that have been implemented and deployed in diverse scenarios and use cases, derived from two research projects addressing security and privacy aspects in such environments. In particular, the proposed access control model, as well as the set of extensions, represent different approaches to meet the requirements of scalability and flexibility of these scenarios, and they have been complemented among each other to provide an integrated approach coping with such needs.

Furthermore, the design and implementation of the proposed solutions, as well as their deployment under the umbrella of two European initiatives, demonstrates the feasibility and applicability of the different approaches. The results obtained from these mechanisms states the achievement of the different objectives that were set at the beginning of this thesis. Finally, the instantiation of the proposed framework represents a promising starting point for the design and development of mechanisms that emphasize different aspects of security and privacy during the lifecycle of smart objects. In particular, the implementation of scalable and flexible credentials revocations mechanisms represents a challenging aspect to cover the whole range of security and privacy needs throughout all the stages of the lifecycle. In addition, the adaptation of the proposed solutions to scenarios with severe resource constraints, represents nowadays a research hot topic to be strongly considered.