Extension du système DNS à l'IoT

par Antoine Bernard

Projet de thèse en Réseaux, information et communications

Sous la direction de Michel Marot.

Thèses en préparation à Paris Saclay , dans le cadre de École doctorale Sciences et technologies de l'information et de la communication (Orsay, Essonne ; 2015-....) , en partenariat avec Télécom SudParis (France) (laboratoire) , R3S (equipe de recherche) et de Institut national des télécommunications (Evry) (établissement de préparation de la thèse) depuis le 01-12-2018 .


  • Résumé

    Contexte : Les technologies d'identification, et en particulier de nommage pour l'Internet des Objets (IoT), sont essentielles pour un grand nombre d'applications. Entre autres exemples de champs d'application, on peut mentionner la ville intelligente, la chaîne logistique, la défense, l'industrie automobile, le transport de passagers, etc., cette liste étant loin d'être exhaustive. Toutefois, différents contextes d'applications requièrent différentes types d'identifiants selon leurs besoins. Les conventions de nommage de ces identifiants IoT existent déjà selon les champs d'application. Elles sont nombreuses et vont des codes EUI-48, EUI-64 [1] pour les adresses MAC aux identifiants numériques d'objets (ou DOI pour ‘Digital Object Identifier' [2]) pour le contenu électronique comme les articles ou les livres par exemple en passant par les codes produits électroniques (ou EPC pour ‘Electronic Product Code' [3]) pour les étiquettes RFID (identification radio-fréquence). Chaque secteur a sa propre convention de nommage. Une solution possible pour résoudre le problème de l'hétérogénéité des conventions de nommage serait qu'un organisme de standardisation développe une convention unique et universelle et demande à toutes les acteurs du monde de l'IoT, qu'ils soient nouveaux entrants ou qu'ils existent déjà depuis longtemps, de s'y conformer. Grâce à la standardisation de protocoles comme l'IPv6 et à son très grand espace d'adressage, c'est une possibilité. Des groupes de travail à l'IETF comme le 6LoWPAN [6], ROLL [7], CORE [8], ACE [9], DICE [10], travaillent à adapter l'IPv6 aux environnements contraints de l'IoT. Cependant, imposer un schéma d'identifiant unique et universel comme l'IPv6 pour l'IoT n'est pas réaliste, surtout pour les entreprises bien établies qui travaillent depuis de nombreuses années avec leurs propres mécanismes d'identification. Cela impacterait trop leurs infrastructures. La solution est donc d'imaginer un système qui permette d'intégrer les conventions de nommage existantes dans les différents secteurs industriels. Pour un scénario donné, un mécanisme de découverte est indispensable à un objet connecté pour repérer le service en lien avec son identifiant. Il en existe déjà, notamment l'ONS (Object Naming Service' [4]) et l'ODS (‘Object Directory Service' [5]), qui utilisent l'infrastructure traditionnelle (en utilisant l'infrastructure DNS) pour résoudre les identifiants IoT en utilisant les conventions de nommage existantes. Remarquons que les approches alternatives (donc celles qui n'utilisent pas le DNS) comme DINAS (cf. [17]) ont montré que l'approche traditionnelle présentent de mauvaises performances. Ces services de découvertes, qu'ils soient traditionnels ou fassent table rase de l'existant, existent comme standards mais n'ont été testées que sur de petits scénarios expérimentaux. Ils n'ont pas passé le test des conditions opérationnelles. De plus, les applications IoT qui utiliseront ces mécanismes de découvertes ont leurs propres contraintes qui ne correspondent pas à celles observées dans l'Internet d'aujourd'hui. Par exemple, un capteur qui envoie une requête JOIN au réseau en mode OTAA (‘Over the Air Activation') dans un réseau LPWAN (Low Power Wide Area Network) comme LoRa nécessite une résolution DNS au niveau de la passerelle Internet pour faire traiter la requête au niveau du bon serveur. Or une requête DNS peut être résolue sur une durée allant de quelques millisecondes à quelques secondes voire plus. Si le capteurs retourne dans un mode « endormi » pendant la période de résolution DNS, il lui faut alors attendre un temps correspondant à son cycle de réveil pour relancer sa requête JOIN, lequel temps peut durer plusieurs heures. Une autre problématique concernant l'IoT est celle de l'authentification des objets. Aujourd'hui, les clés cryptographiques sont pré-provisionnées dans l'objet lors de sa fabrication. Les clés sont ensuite partagées avec un serveur dans l'Internet (ex. le “Join Server” dans le cas de LoRaWAN). Ce pré-provisionnement pose un certain nombre de problèmes. Par exemple, si le propriétaire de l'objet (celui qui utilise l'objet pour un service et non le fabricant d'objet) veut changer les clés ou changer d'opérateur de service IoT, cela lui est impossible à cause du fait que les clés sont inscrites « en dur » par le fabriquant. Des travaux ont été menés (cf. [11]) pour utiliser le DNS comme infrastructure de clé publique (PKI, « Public Key Infrastructure ») pour l'Internet utilisant le DNSSEC ([12]) et DANE ([13]). Il est maintenant possible grâce aux enregistrements TLSA (Transport Layer Security Authentication) du DNS d'identifier la clé publique à partir du nom de l'objet. On investiguera dans la thèse la faisabilité d'un tel scénario dans l'environnement contraint de l'IoT, ce qui permettrait le cas échéant de résoudre le problème pratique posé par l'échange des clés dans l'IoT. Objectif: L'objectif de la thèse est d'évaluer la possibilité de l'intégration dans l'Internet d'identifiant IoT conventionnels ou nouveaux résolus par le DNS. Nous étudierons la question du maping des identifiants IoT dans l'Internet, et plus précisément : Investiguer l'utilisation de l'infrastructure traditionnelle DNS ainsi que des approches « tables rase » (« clean slate ») pour la résolution des identifiants IoT (utilisant les conventions de nommage existantes) dans l'Internet ; Concevoir, implémenter, modéliser et mesurer l'impact des objets connectés sur les infrastructures DNS ou « clean slate » ; Etudier comment les clés pour l'authentification peuvent être échangées au sein de l'infrastructure IoT avec DNS. In fine, proposer des évolutions aux standards DNS ou dans l'utilisation de l'Infrastructure DNS qui seraient à apprécier dans le contexte du déploiement de millions/milliards d'équipements connectés sur l'Infrastructure Internet mondiale. Méthode: Les technologies IoT LPWAN sont émergentes. Les données de mesures sont donc soient inexistantes soit difficiles à obtenir pour des études scientifiques. La thèse commencera donc par une modélisation de l'écosystème LPWAN. Ceci se fera par combinaison de modèles analytiques, de simulation et d'émulation. Parallèlement, on développera une plate-forme expérimentale incluant tous les composants du LoRaWAN. Elle sera basée sur les spécifications existantes du LoRaWAN ([14] et [15]). Ensuite on combinera la modélisation et l'approche expérimentale pour étudier: Si le temps de résolution DNS est compatible avec les contraintes de réseaux comme celles du LoRaWAN (dans lequel il y a des restrictions de liaison descendante.) ; Comment le DNS peut être utilisé pour stocker des règles de compressions et décompressions (cf. [16]) dans les communications LPWAN ; La question de savoir si l'infrastructure DNS avec ses extensions DNSSEC/DANE peuvent être utilisées comme infrastructure de clef (PKI) ; Etc. La plate-forme d'expérimentation de Télécom SudParis (TSP) constituée d'une vingtaine de commutateurs SDN et de serveurs virtualisables permettra de générer du trafic et de réaliser des scénarios d'émulation/simulation. L'accès de l'AFNIC au réseau LoRa permettra de mesurer les performances nominales en environnement non contraint. Le comportement nominal des équipements du réseau sera ensuite injecté dans l'environnement de simulation/émulation pour étudier le passage à l'échelle. Résultats attendus: Les résultats de la thèse feront l'objet de publications dans les conférences et journaux internationaux. Des contributions aux organismes de standardisation (LoRaWAN, IETF, 3GPP, … ) sont attendues (algorithmes permettant d'améliorer les performances de la résolution d'identifiant en environnement contraint comme l'IoT, …). Les simulateurs et générateurs de trafic seront proposés en open sources sous license BSD-2 à la communauté du domaine. Des données de mesures utilisables dans le cadre d'études en lien avec le DNS et l'industrie de l'IoT seront mises en accès libre. Précision sur l'encadrement : Le thésard sera en convention CIFRE avec l'AFNIC. Objectifs de valorisation des travaux de recherche du doctorant : diffusion, publication et confidentialité, droit à la propriété intellectuelle,... Bien que des publications de niveau national/international sont attendues, cette thèse mettra l'accent sur la contribution aux normes et appliquera les résultats au profit de l'industrie. Toutes les contributions de la thèse seront de forme open source (license internationale Creative Commons Attribution 4.0 pour la documentation et licence BSD-2 pour les logiciels). Références bibliographiques: [1] http://standards.ieee.org/develop/regauth/tut/eui.pdf [2] http://www.doi.org/ISO_Standard/sc9n475.pdf [3] https://www.gs1.org/sites/default/files/docs/epc/GS1_EPC_TDS_i1_10.pdf [4] https://www.gs1.org/sites/default/files/docs/epc/ons_2_0_1-standard-20130131.pdf [5] https://standards.ieee.org/develop/regauth/tut/oid.pdf [6] https://datatracker.ietf.org/wg/6lowpan/about/ [7] https://datatracker.ietf.org/wg/roll/about/ [8] https://datatracker.ietf.org/wg/core/about/ [9] https://datatracker.ietf.org/wg/dice/about/ [10] https://datatracker.ietf.org/wg/ace/about/ [11] http://library.isical.ac.in:8080/xmlui/bitstream/handle/123456789/6822/DISS-363.pdf?sequence=1&isAllowed=y [12] https://www.ietf.org/rfc/rfc4033.txt [13] https://tools.ietf.org/html/rfc6698 [14] https://lora-alliance.org/sites/default/files/2018-04/lorawantm_specification_-v1.1.pdf [15] https://lora-alliance.org/resource-hub/lorawantm-back-end-interfaces [16] https://datatracker.ietf.org/doc/draft-ietf-lpwan-ipv6-static-context-hc/?include_text=1 [17] DINAS: A distributed naming service for all-IP wireless sensor networks; M Amoretti, O Alphand, G Ferrari, F Rousseau, A Duda Wireless Communications and Networking Conference (WCNC), 2014 IEEE, 2781-2786

  • Titre traduit

    Extension of DNS to IoT


  • Résumé

    The aim of the thesis is to adapt DNS to IoT. A measurement testbed will be set up. A model will be designed by combining analytical and emulation/simulation models. The scalability will be studied.