Autentificarea dispozitivelor, stabilirea sigură a cheilor și protecția mesajelor la nivel de obiect în rețele IoT cu resurse limitate

Abstract

Dezvoltarea rapidă a Internetului obiectelor a dus la conectarea unui număr mare de dis pozitive cu resurse limitate (memorie, putere de calcul, energie), expuse amenințărilor precum interceptarea, modificarea mesajelor, suplantarea identității și accesul neautorizat. În acest context, mecanismele clasice de securitate pot fi costisitoare, iar proiectarea autentificării și protecției datelor trebuie adaptată constrângerilor hardware și cerințelor de interoperabilitate. Scopul tezei este analiza și aplicarea unor mecanisme ușoare pentru autentificarea dis pozitivelor și stabilirea sigură a cheilor, urmate de protecția criptografică a mesajelor la nivel de obiect. Sunt prezentate EDHOC (stabilire autenticată a cheilor) și OSCORE (protecție capăt-la capăt pentru mesaje CoAP), împreună cu criterii de selecție privind latența, volumul de date și impactul asupra resurselor. Sunt abordate comisionarea, managementul identității, derivarea cheilor, crearea contextului OSCORE și protecția câmpurilor relevante din mesajele aplicației. Partea aplicativă descrie o arhitectură nod–poartă–servicii, cu noduri ESP32 pentru telem etrie și o poartă Raspberry Pi pentru colectare și integrare cu aplicații. Implementarea urmărește asocierea sigură între nod și aplicație și asigurarea confidențialității, integrității și autenticității datelor. Sunt definite scenarii de testare și criterii orientative (latență, supraîncărcare de protocol, robustețe la erori) pentru validare și evidențierea compromisului securitate–consum de resurse. Rezultatele sintetizate indică fezabilitatea EDHOC și OSCORE în IoT cu resurse limitate și for mulează pași practici pentru integrare reproductibilă, inclusiv direcții de extindere spre scenarii industriale cu mai multe noduri și politici de acces diferențiat.

The rapid growth of the Internet of Things has enabled large-scale deployment of con nected devices with tight constraints on memory, computation, and energy. These constraints, combined with an exposed communication medium, increase the risk of eavesdropping, message tampering, identity spoofing, and unauthorized access. Therefore, security mechanisms must be selected and engineered with careful attention to overhead and interoperability. This thesis studies and applies lightweight mechanisms for device authentication and se cure key establishment, followed by cryptographic protection of application messages at the object level. The work presents EDHOC as an authenticated key exchange suitable for constrained envi ronments and OSCORE as an capăt-la-capăt protection mechanism for CoAP messages. Selection criteria are discussed in relation to latency, payload overhead, and impact on device resources. The thesis also addresses onboarding aspects, identity handling, key derivation, OSCORE context setup, and protection of relevant fields in application exchanges. The practical part describes a node–gateway–services architecture with ESP32 nodes for telemetry and a Raspberry Pi gateway for data collection and application integration. The imple mentation targets a secure association between the node and the application, ensuring confidenti ality, integrity, and authenticity of transmitted data. Test scenarios and evaluation criteria (latency, protocol overhead, and robustness to errors) are defined to validate the workflow and to highlight the trade-offs between security and resource consumption. The synthesized results support the feasibility of using EDHOC and OSCORE in resource constrained IoT settings and outline practical steps for integrating them into a reproducible imple mentation flow. The conclusions provide design recommendations for secure communication, key management, and extension toward multi-node scenarios with differentiated access policies.