Het IoT met LoRaWAN afsluiten

Onvoldoende beveiligde IoT-apparaten leiden tot verschillende kwetsbaarheden in het netwerk. Als bijvoorbeeld apparaten zoals camera's en printers kunnen worden gehackt, dan kan de besturing daarvan worden overgenomen om informatie over het bedrijf te verzamelen. In bepaalde gevallen kunnen hackers via onbeveiligde apparaten zelfs toegang tot het hele netwerk krijgen, waardoor alle apparaten die online staan, gevaar lopen.

Ontwerpers moeten beveiliging zowel in hardware als in software inbouwen om dergelijke aanvallen te voorkomen. Dir is extra relevant als er draadloze communicatie wordt gebruikt, omdat de overgedragen gegevens door iedereen met een radio-ontvanger kunnen worden opgevangen.

De uitdaging van het afsluiten van IoT-apparatuur is daarom zo groot omdat de apparaten met sensoren meestal een erg laag energieverbruik hebben en de batterijen vaak jaren moeten meegaan. Elke beveiliging moet daarom zo min mogelijk energie verbruiken.

LoRaWAN

Ontwikkelaars hebben tegenwoordig de keus uit verschillende standaards voor beveiligde draadloze communicatie zodat ze zich kunnen richten op het rijker maken van hun toepassing en zich niet over het veilig overdragen van informatie hoeven te bekommeren. LoRaWAN is bijvoorbeeld een WAN-protocol dat weinig energie verbruikt en dat kan worden gebruikt om apparaten onderling te verbinden zonder ingewikkelde installatieprocedures. Met zijn getrapte stertopologie werkt het als een transparante brug die berichten uitwisselt tussen eindknooppunten en een backend server waar de verwerking plaatsvindt. Het is bedoeld voor knooppunten met laag energieverbruik (d.w.z. met batterijen) en biedt een alternatief met gunstige prijs en laag energieverbruik voor draadloze technologieën die een uitgebreidere infrastructuur nodig hebben.

LoRaWAN ondersteunt communicatie in twee richtingen. De mogelijkheid om beveiligd berichten naar individuele knooppunten te verzenden is nodig voor geavanceerde sensorfuncties die meer zijn dan alleen het streamen van gegevens vanaf een knooppunt. Met communicatie in twee richtingen kunnen ontwikkelaars bijvoorbeeld updates draadloos verzenden (OTA). OTA kan worden gebruikt om firmware te updaten zodat apparaten kunnen worden bijgewerkt zonder er fysiek naar toe te moeten gaan. Dit is belangrijk bij toepassingen waar de knooppunten na installatie niet meer toegankelijk zijn, omdat ze op een afgelegen locatie staan of omdat ze diep in een complex systeem zijn weggestopt.

LoRaWAN vereenvoudigt de ontwikkeling van beveiligde IoT-apparaten doordat er binnen de standaard een geavanceerd beveiligingsplan is gedefinieerd. LoRaWAN is voor een laag energieverbruik ontworpen en zorgt voor beveiliging bij een minimaal energieverbruik zonder de integriteit, authenticiteit of betrouwbaarheid van knooppunten met laag energieverbruik aan te tasten. Systemen op basis van LoRaWAN kunnen hierdoor niet alleen de integriteit van de gegevens beschermen, maar ondersteunen ook beveiligde OTA-updates, indien vereist.

LoRaWAN heeft twee onafhankelijke beveiligingslagen, een op de netwerksessielaag en de andere op de toepassingslaag, om te voorkomen dat de communicatie wordt gehackt. De beveiliging op de netwerklaag controleert de authenticiteit van een knooppunt binnen het netwerk. Deze eerste laag houdt daarmee ongewenste apparaten buiten het netwerk. Zonder deze laag zouden kwaadwillende apparaten beveiligde conversaties met andere knooppunten kunnen starten door zich als geauthentiseerde apparaten voor te doen. Omdat kwaadwillende apparaten niet op het netwerk kunnen komen, kunnen ze geen communicatiekanaal met beveiligde apparaten opstarten.

Een apparaat moet authenticatiegegevens hebben om op het netwerk te komen. Als het betreffende LoRaWAN-netwerk tijdens fabricage bekend is, dan kan het apparaat af fabriek met de authenticatiegegevens worden gebouwd die het nodig heeft om op het netwerk te komen.

Maar in de meeste gevallen moet het apparaat beveiligd aan het netwerk worden toegevoegd. Hiervoor wordt draadloze authenticatie (OTAA) gebruikt. Binnen OTAA worden naar behoefte sessiesleutels voor netwerk en toepassing gegenereerd. Hierdoor krijgen gebruikers de flexibiliteit om een apparaat op een netwerk aan te sluiten zonder vooraf te moeten weten welk netwerk dat is.

Voor beveiliging op de toepassingslaag wordt een sessiesleutel gebruikt om de gegevens tijdens het transport via het kanaal te versleutelen en te ontcijferen. Dit zorgt ervoor dat de gegevens alleen beschikbaar zijn voor het knooppunt dat ze heeft gegeneerd en de toepassing waar ze voor bestemd zijn.

LoRaWAN gebruikt als basis een AES 128-bit versleuteling, de industriestandaard voor beveiligde communicatie. De sessiesleutel is nodig om de gegevens te ontcijferen om er toegang toe te krijgen. Alle tussenliggende apparaten in het communicatiekanaal kunnen daarom alleen de gegevens doorgeven, maar ze niet bekijken of wijzigen. Omdat de beveiliging een integraal onderdeel van LoRaWAN is, kunnen ontwikkelaars snel een beveiligd systeem ontwerpen zonder complexe beveiligingsalgoritmes te hoeven implementeren.

IoT-ontwerp versnellen

Een van de grote voordelen bij het gebruik van een standaard als LoRaWAN is dat het de ontwerptijd enorm kan verkorten, vooral omdat de beveiliging in het protocol geïntegreerd is. Er zijn veel hulpmiddelen beschikbaar om direct de toepassing te ontwerpen, zodat ontwikkelaars beveiligde draadloze communicatie kunnen gebruiken zonder eerst expertise in een nieuwe technologie op te bouwen.

Afbeelding 1: Het STM32 LoRa Discovery board is een ontwikkelhulpmiddel voor een kant-en-klare open module. Met het board kunnen tests met de LoRaWAN standaard snel en eenvoudig worden uitgevoerd. (Afbeelding: STMicroelectronics)

Het STM32 LoRaWAN Discovery board biedt ontwikkelaars een snelle methode om LoRaWAN te leren kennen en te evalueren hoe dit in een bepaalde toepassing zou kunnen worden gebruikt (zie Afbeelding 1). Deze kant-en-klare open module is rond een STM32 processor van ST gebouwd en is een van de kleinste en goedkoopste draadloze modules die LoRaWAN ondersteunt. Het Discovery board komt inclusief I-CUBE-LRWAN embedded software waarmee een volledig volgens LoRaWAN Klasse A gecertificeerd knooppunt kan worden gebouwd. De module beschikt tevens over Arduino-connectoren voor uitbreidingsboards. Het ontwerpen wordt erg eenvoudig dankzij de ingebouwde STM32 processor waarop zowel de toepassingscode als de in intern flash-geheugen opgeslagen LoRaWAN stack kan worden uitgevoerd. Hierdoor is geen externe MCU nodig, wat wel het geval is bij andere LoRaWAN modules die alleen de draadloze radio bevatten.

Afbeelding 2: De volgens FCC, ISED en RED gecertificeerde SAM R34 Xplained Pro evaluatiekit van Microchip Technology is een hardwareplatform dat kan worden gebruikt om de ATSAMR34 LoRa sub-GHz SiP met laag energieverbruik te evalueren. Hij kan ook dienst doen als referentieontwerp voor het ontwikkelen van toepassingen voor LoRa-eindknooppunten op basis van de SAM R34. (Afbeelding: Microchip Technology)

Een andere mogelijkheid voor ontwikkelaars is de SAM R34 Xplained Pro evaluatiekit van Microchip (zie Afbeelding 2). De Xplained Pro is een hardwareplatform voor het evalueren van de ATSAMR34 LoRa sub-GHz SiP met laag energieverbruik van Microchip. Ontwikkelaars kunnen de kit programmeren met het Atmel Studio geïntegreerde ontwikkelplatform, waarbij zij alle functies van de ATSAMR34 kunnen gebruiken. De SAM R34 Xplained Pro evaluatiekit bevat tevens een complete handleiding voor het bouwen van speciale ontwerpen.

De bij deze hulpmiddelen meegeleverde voorbeeldtoepassingen bevatten een blauwdruk voor complexere toepassingen. Hiermee kunnen ontwikkelaars een elementair IoT-systeem actief krijgen om zo het vertrouwen te krijgen dat de connectiviteit in hun systeem werkend en robuust is. Zonder zulk vertrouwen kan het debuggen van een IoT-systeem bijzonder complex zijn omdat de ontwikkelaar geen idee heeft of het probleem in de toepassing of in het communicatiekanaal zit.

Afbeelding 3: De prototyping kit van Renesas is een handig platform voor het ontwikkelen van IoT-toepassingen op het S3A7 MCU board. Met deze kit kunnen zowel het board als de randapparatuur eenvoudig worden geëvalueerd. (Afbeelding: Renesas Electronics)

Naast het vereenvoudigen van de connectiviteit tussen knooppunten en centrale systemen bieden leveranciers van LoRaWAN-producten ook hulpmiddelen voor eenvoudige toegang tot de cloud. Het maken van een cloud toepassing van scratch kan een forse uitdaging zijn. Er moet aan allerlei cloud services worden gedacht en elke service kent veel opties. Bovendien moeten ontwikkelaars bedenken hoe apparaten te authentiseren, nieuwe apparaten en services te activeren, inkomende en uitgaande gegevensstromen te beheren, gegevens op te slaan, verwerkingscapaciteit toe te kennen en nog veel meer. En alsof dat allemaal nog niet genoeg is, moeten ze ook altijd aan de beveiliging denken. De IoT Sandbox van Renesas, in combinatie met de IoT Fast Prototyping kit, helpt om dit allemaal te vereenvoudigen met zijn uitgebreide ontwikkelplatform voor het ontwerpen van IoT-systemen die toegang tot de cloud kunnen hebben (zie Afbeelding 3).

Samenvatting

LoRaWAN is een interessante technologie voor IoT-toepassingen met laag energieverbruik zoals knooppunten met sensoren. Hij biedt noodzakelijke technologieën, zoals WAN-connectiviteit en beveiliging, om de ontwikkeling van IoT-systemen te versnellen en het beheer ervan te vereenvoudigen.