Controlchain : blockchain as a central enabler for access control authorizations in the IOT

Abstract

Resumo: A IoT está alterando a forma como interagimos com o mundo. Logo, quase todas as nossas tarefas diárias serão realizadas através sistemas inteligentes embarcados em dispositivos espalhados por toda parte. A missão deles é tornar nossas cidades, sistemas de transporte, construções, residências e corpos em ambientes inteligentes. Estes ambientes trarão mais conforto, melhorarão nossos desempenhos, aumentarão nossos lucros e removerão tarefas consumidoras de tempo. No entanto, junto com esses ótimos benefícios, a IoT também é uma grande fonte de preocupações, principalmente porque uma boa parte dos seus dispositivos manusearão informações privadas e confidenciais. Casos recentes de invasões de IoT bem sucedidos (com possibilidade de comprometimento de privacidade e confidencialidade) somente pioram este cenário e mostram a nós que os sistemas de controle de acesso adotados atualmente precisam ser substituídos por sistemas mais eficientes e seguros. Essas falhas de controle de acesso dificultam a adoção ampla da IoT, principalmente em ambientes que lidam com informações pessoais ou outras informações confidenciais. Infelizmente, características da IoT, como diversidade de dispositivos, quantidade e dispersão geográfica, inserem um alto grau de complexidade em projetos de controle de acesso. Apesar dos diversos estudos científicos na área, existem lacunas que precisam ser preenchidas. Alguns trabalhos usam soluções centralizadas que prejudicam a escalabilidade e a disponibilidade da IoT. Outros trabalhos proveem arquiteturas decentralizadas, no entanto, suas soluções não permitem à IoT atingir seu potencial total. Para sobrepor essas e outras barreiras, neste trabalho, nós fizemos um levantamento de requisitos para o controle de acesso na IoT e, então, projetamos o ControlChain, uma arquitetura de autorização de controle de acesso que é fortemente baseada na tecnologia Blockchain. Ela agrupa todos os requerimentos de tendencia fundamentais levantados em uma solução. Nós demonstramos a viabilidade do ControlChain através do E-ControlChain, uma prova de conceito desenvolvida para executar sobre a rede Ethereum. Nós também demonstramos a sua viabilidade através de uma análise de custo e de desempenho utilizando um Raspberry Pi como um dispositivo IoT. Finalmente, nós avaliamos E-ControlChain sob uma ampla variedade de ataques e discutimos como eles podem ameaçar ele e como mitigá-los. Palavras-chave: Internet das coisas, Controle de Acesso, Autorização, Blockchain

Abstract: The IoT is changing the way we interact with the world. Very soon, almost all of our daily tasks will be made through self intelligent systems embedded in devices scattered all around us. Their mission is to turn our cities, transportation systems, buildings, homes and bodies in smart environments. These environments will bring us more comfort, improve our performance, increase our profits, and take away time-consuming tasks. However, besides its great benefits, the IoT is also a big source of concerns, mainly because a good part of its devices will handle private and confidential information. Recently cases of successful IoT invasions (with possible privacy and confidentiality compromising) only worse this scenario and show us that the today's adopted access control systems need to be replaced by more efficiently and secure ones. These access control faults hinders the broadly adoption of the IoT, mostly in environments that deal with personal or other confidential information. Unfortunately, Features of the IoT such as device diversity, quantity and geographic dispersion place high degree of complexity in access control projects. Despite the many scientific studies in the area, there are gaps that need to be filled. Some of the works use centralized solutions that harm the scalability and availability of the IoT. Other works provide decentralized architectures, however their solution does not allow the IoT to achieve all of its potential. To overcome these and other barriers, in this work, we made an requirement gathering for the access control in the IoT and, then, we designed the ControlChain, an access control authorization architecture that is heavily based on the Blockchain technology. It groups all the main fundamental tendency requirements gathered in one solution. We demonstrate the viability of the ControlChain through the E-ControlChain, a proof-of-concept developed to run over the Ethereum network. We also demonstrated its viability through a cost and a performance analysis of E-ControlChain using a Raspberry Pi as an IoT device. Finally, we evaluate E-ControlChain under a wide variety of attacks and discuss how they can threat it and how to mitigate them. Keywords: Internet of Things, Access Control, Authorization, Blockchain