Secure OCF-over-Thread est la clé de l'IoT de bâtiment intelligent évolutif basé sur IP

Deux domaines de l'Internet des objets (IoT) sont assez débattus pour les maisons intelligentes et l'automatisation des bâtiments :l'un est la multitude de normes créant des problèmes d'interopérabilité et une incapacité à évoluer facilement ; l'autre est la sécurité.

OCF-over-Thread vise à résoudre ces deux problèmes. Développé par Cascoda, un fabricant de solutions de semi-conducteurs IoT, OCF-over-Thread est une solution certifiable qui simplifie le développement de produits de bout en bout pour la maison intelligente et les bâtiments commerciaux intelligents. Il offre une interopérabilité intégrée et des contrôles de sécurité évolutifs pour les grandes et petites applications IoT. L'OCF fournit la couche d'application sécurisée et Thread fournit le protocole de couche réseau faible consommation et évolutif basé sur IPv6. Thread est construit sur des normes ouvertes pour créer des réseaux maillés IEEE 802.15.4 qui peuvent connecter facilement et en toute sécurité des milliers d'appareils.

OCF et Thread traitent tous deux de la sécurité et de l'interopérabilité au sein de l'IoT, permettant des communications transparentes pour les appareils à appareils et les appareils à cloud. Les réseaux maillés de Thread sont fiables, sans point de défaillance unique, offrent une immunité aux interférences et s'auto-guérissent et se reconfigurent lorsqu'un périphérique est ajouté ou supprimé. De plus, tous les appareils d'un réseau Thread sont authentifiés et toutes les communications sont cryptées. Avec cette base, la solution OCF-over-Thread prend en charge les communications cryptées entre les appareils utilisant une infrastructure à clé publique (PKI) pour l'authentification et dispose de systèmes de gestion des vulnérabilités continus inhérents pour une réactivité rapide.

Plateforme IoT certifiée pour les réseaux maillés IP sécurisés à grande surface

La solution OCF-over-Thread a été annoncée il y a deux ans, et Cascoda avait configuré avec succès OCF et Thread pour qu'ils fonctionnent ensemble via un routeur de bordure de thread (une passerelle IP basée sur OpenThread) et sur des appareils IoT contraints à très faible consommation d'énergie. Le matériel de Cascoda comprend un environnement d'exécution de confiance (TEE), fournissant un stockage sécurisé pour la clé OCF PKI et permettant uniquement aux applications signées de s'exécuter sur l'appareil. Il s'agit d'une exigence clé pour la création de matériel IoT sécurisé.

À la suite de ce travail, Cascoda a maintenant publié ce qu'il dit être le premier module IoT basse consommation basé sur les normes et certifié OCF pour prendre en charge à la fois la sécurité PKI IP (avec Thread) (avec OCF). Sa plateforme certifiée est basée sur un kit de développement logiciel (SDK) open source et comprend le module Chili2D, le premier à offrir le framework IP sécurisé et la couche d'application d'OCF, et le protocole de couche réseau IPv6 basse consommation et évolutif de Thread; le routeur Thread IP requis ; et la fonctionnalité de connectivité cloud OCF.

La combinaison des fonctionnalités de la plate-forme, y compris une racine de confiance (RoT), des fonctionnalités d'accélération cryptographique et de protection contre les falsifications matérielles, combinées aux fonctionnalités de sécurité d'OCF et de Thread, lui ont également permis d'obtenir une attestation de sécurité IoT européenne et britannique via l'IASME ' IoT Security Assured Scheme'. En conséquence, il s'aligne sur la mission d'OCF en permettant des déploiements IoT sécurisés de bout en bout qui englobent appareil à appareil, appareil à cloud et cloud à cloud sans les problèmes de confidentialité des consommateurs connectés au cloud. systèmes.

Ce développement soutient un autre objectif clé d'OCF, qui est de stimuler l'efficacité énergétique du côté de la demande dans les systèmes d'automatisation des bâtiments commerciaux (BAS) et les infrastructures de ville intelligente grâce à la migration vers des solutions IP sécurisées.

Il représente également une étape importante vers la réalisation de la vision d'IP-BLIS - un groupe d'intérêt du marché, qui rassemble des organisations de normalisation, notamment OCF, KNX, DALI, BACnet, Thread Group et Connectivity Standards Alliance pour soutenir l'adoption d'un système multi-sécurisé. -infrastructure IP standard.

L'OCF considère la disponibilité du module certifié comme une étape importante pour l'OCF et pour tous les acteurs de l'IoT qui souhaitent profiter des niveaux de sécurité les plus élevés sur les réseaux maillés IP basse consommation. Le président de l'OCF, Mark Trayer, a commenté :« Jusqu'à présent, cela n'a pas été possible. Maintenant, cependant, une opportunité a été ouverte pour les appareils à faible consommation sur les réseaux maillés, et les services et applications qu'ils exécutent, pour tirer parti d'une chaîne de confiance construite sur l'infrastructure à clé publique (PKI) d'OCF pour assurer un cryptage sécurisé de bout en bout sur IP."

Il a ajouté : « Cela libère un grand potentiel pour les organisations souhaitant faire évoluer les déploiements sans limitation, tout en maintenant un contrôle réseau simple et sécurisé. Par exemple, un réseau initialement construit dans le cadre d'un programme de ville intelligente pour contrôler l'éclairage public peut être étendu de manière sécurisée au fil du temps pour ajouter d'autres services publics en temps réel, tels que la qualité de l'air ou la surveillance du trafic. Un accès basé sur les autorisations peut être accordé à différentes parties prenantes, garantissant qu'elles ne peuvent voir que les données de leurs propres applications. Nous sommes enthousiasmés par les possibilités offertes par cette plate-forme et félicitons Cascoda d'avoir ouvert la voie à ce développement. »

Bruno Johnson, PDG de Cascoda et membre d'OCF, a ajouté :« En combinant les avantages uniques d'OCF et du protocole de réseau sans fil à faible consommation d'énergie de Thread dans cette plate-forme IoT désormais certifiée, nous avons ouvert la possibilité aux appareils alimentés par batterie et récupérateur d'énergie d'être adressables de manière unique sur Internet, tout en leur permettant de bénéficier du niveau de sécurité IoT le plus avancé. En conséquence, nous avons éliminé le coût et la complexité de la passerelle. Cela ouvre des opportunités importantes pour ceux qui planifient des infrastructures de bâtiments intelligents et de villes intelligentes, où des services hautement sécurisés peuvent désormais être fournis via des réseaux maillés IP à faible consommation, couvrant de vastes zones."

Dans une interview avec Embedded.com, Johnson a souligné l'importance. « Les piratages sont relativement courants dans les appareils IoT si les appareils ne sont pas conçus avec une sécurité à partir de la base. Ce que nous avons fait, c'est activer la sécurité PKI X 509 dans un microcontrôleur M23 extrêmement petit et à faible consommation, en utilisant des normes ouvertes. Il offre effectivement le même niveau de sécurité que celui que vous obtenez dans le secteur bancaire, mais pour les appareils IoT. L'appareil IoT communique en toute sécurité, sur la base de normes ouvertes, à l'aide d'une batterie. Cela signifie que les fabricants peuvent mettre en place un système de gestion de bâtiment basé sur le cloud de bout en bout très rapidement et facilement - et ils peuvent posséder l'ensemble du système de bout en bout. »

Le module Cascoda

La famille de modules Chili2D de Cascoda est une solution sans fil complète basée sur Thread, utilisant un microcontrôleur Arm Cortex-M23. Le microcontrôleur dispose de 512 Ko de mémoire flash d'application et de 96 Ko de SRAM sur puce, et fonctionne à une fréquence d'horloge de 48 MHz. Avoir seulement 96 Ko de RAM est une contrainte extrêmement stricte pour la pile de couche d'application OCF.

Thread est un protocole de couche réseau maillé IPv6 sans fil à faible consommation. Le principal avantage de l'utilisation de Thread par rapport au Wi-Fi est qu'il permet d'utiliser des appareils à faible coût alimentés par batterie. De plus, le réseau maillé auto-formant et auto-réparateur permet un déploiement robuste de réseaux contenant des centaines d'appareils.

Étant donné que Thread est indépendant de la couche d'application, le Chili2D est capable d'exécuter simultanément plusieurs couches d'application sur Thread, dans ce cas un système de nom de domaine (DNS) et un protocole SNTP (Simple Network Time Protocol), aux côtés d'OCF. Le cadre d'application OCF se compose de la pile de couches suivante, comme indiqué ci-dessous :

OCF utilise le Constrained Application Protocol (CoAP), un protocole d'application Internet pour les appareils contraints. CoAP permet aux appareils contraints de communiquer avec l'Internet au sens large au moyen d'une interface de transfert d'état de représentation (REST) ​​commune à la plupart des applications connectées à Internet.

Cette communication est sécurisée avec Datagram Transport Layer Security (DTLS), un protocole de communication Internet assurant la sécurité des messages au niveau de l'application. DTLS facilite l'infrastructure à clé publique (PKI) pour l'authentification, qui utilise des certificats plutôt qu'un identifiant et un mot de passe. Une fois la connexion DTLS établie, toutes les autres communications sont à la fois authentifiées et cryptées à l'aide de la norme de cryptage avancée (AES) de pointe.

Étant donné que Thread et OCF sont tous deux basés sur IPv6 et UDP (User Datagram Protocol), l'utilisation d'OCF en tant que protocole d'application au-dessus de Thread est une bonne correspondance.