A propos du projet DiNS
Ce projet, issu de notre réponse à l’Appel à projets générique 2019 de l’Agence Nationale de la recherche, rassemble des acteurs industriels et académiques : le Laboratoire d’Informatique de Grenoble (coordinateur du projet), ACKLIO, Bouygues Telecom, IMT Atlantique et l’Afnic. Son ambition est de casser les silos des réseaux IoT et de favoriser l’interopérabilité en s’appuyant sur l’infrastructure du DNS et de ses récentes évolutions.
Pour ce faire, le consortium a identifié et segmenté ses travaux autour des 4 chantiers suivants :
- Utiliser le DNS comme une fonctionnalité de base pour identifier et nommer les objets
- Concevoir un mécanisme d’authentification sécurisé, résilient et mondialement distribué pour l’Internet des objets
- Définir des noms sémantiques pour les objets
- Réaliser des expérimentations sur des infrastructures réelles
Ce billet constitue un point d’étape quant à l’avancement de ces différents chantiers et détaille les contributions de l’Afnic en association avec les membres du consortium.
Une architecture d’identification et de nommage au service de la connectivité des objets sur des réseaux IoT hétérogènes
La couverture offerte par les réseaux LoRaWAN est fragmentée, elle est constituée de réseaux avec de larges couvertures, comme un pays entier par exemple, et de réseaux privés, dont la couverture est plus souvent limitée. L’Afnic, membre de la LoRa Alliance, a contribué à la définition de l’architecture permettant l’itinérance des réseaux. Le principal challenge étant de prendre en compte les identifiants des dispositifs IdO et de permettre une résolution uniforme des noms quel que soit le type de réseau.
IoTRoam : une infrastructure d’itinérance fédérée et ouverte pour l’IdO
Les thématiques phares sur lesquelles l’Afnic travaille dans le cadre de l’internet des objets sont : la fédération, l’interopérabilité et la sécurité. On les retrouve naturellement dans le projet DiNS. Une contribution majeure des chercheurs et ingénieurs de l’Afnic a ainsi été la conception, la mise en œuvre, le test et l’analyse des performances d’une infrastructure fédérée d’itinérance IdO basée sur le DNS.
Nommée « IoTRoam », l’infrastructure permet de fournir un service d’itinérance transparent et sécurisé entre différents réseaux IdO. L’infrastructure conçue repose sur le DNS et ses extensions de sécurité. Nous avons ainsi pu montrer que le DNS permet d’accéder de manière sûre et efficace aux paramètres qui permettent à un objet de se connecter dans le réseau visité. Nous avons réussi à démontrer que le DNS, par nature distribué et robuste, et qui a déjà fait ses preuves quant à sa capacité à passer à l’échelle, était un service tout à fait adapté pour cette médiation
Le roaming repose sur des certificats qui authentifient mutuellement les parties. Actuellement, nous travaillons activement sur l’intégration de DANE avec DNSSEC dans la plateforme IoTRoam. L’objectif est de pouvoir stocker dans le DNS les données associées à un certificat (empreinte) par une entité utilisant IoTRoam. Cela permet à chaque réseau IdO de communiquer en toute sécurité avec d’autres réseaux en utilisant des certificats auto-signés. Nous avons également présenté ces travaux à la communauté technique lors du dernier IETF et réalisé une mise en œuvre à l’occasion d’un hackathon.
Nous pensons que cette évolution est une contribution utile et nécessaire pour une approche interopérée et sécurisée des réseaux IoT. Les projections de déploiement au niveau mondial des réseaux et objets de l’IdO (le « massive IoT ») nous incitent à penser qu’il est nécessaire de mettre en œuvre des solutions adaptées, afin d’être en capacité de faire communiquer sur plusieurs milliers de réseaux différents (publics, privés) qui ne se connaissent pas à priori (comme c’est le cas aujourd’hui sur Internet) des objets connectés.
Ainsi, l’Afnic a conçu, développé et mis à disposition un projet ouvert qui contient tous les éléments de base nécessaires à son exécution : un logiciel, une interface utilisateur, une documentation et enfin un tutoriel vidéo. Ces ressources sont disponibles ici : https://github.com/AFNIC/IoTRoam-Tutorial
Démarrage d’une expérimentation d’architecture technique basée sur les identifiants d’objets pour simplifier la récupération de données issues d’objets sur des réseaux publics
Les travaux précédents reposaient sur des solutions standardisées à l’IETF ou à la LoRa Alliance. Une meilleure intégration de l’itinérance impose d’anticiper les évolutions de ces standards afin d’offrir de nouvelles fonctionnalités. En particulier, il faut prendre en compte les cycles de vie et de configuration des objets contraints. Par exemple, un objet peut changer de propriétaire et le reconfigurer peut s’avérer complexe. Une zone DNS peut être utilisée pour identifier le propriétaire et un changement de propriétaire conduit à le changer de zone.
Sur la base de nos travaux, une architecture modifiée d’IoTRoam a été définie par IMT Atlantique. Elle minimise l’impact protocolaire et redéfinit 2 rôles :
- Les propriétaires d’objets qui intègrent dans leur DNS avec les paramètres de leur objet
- Les opérateurs réseaux :
- qui peuvent interroger, sous réserve de droit, les DNS des propriétaires d’objet pour autoriser les objets à se connecter à leur réseau.
- qui jouent un rôle tiers d’intermédiaire, en regroupant les informations des propriétaires et en gérant les certificats d’authentification.
Les échanges reposent sur l’utilisation intensive du DNS et du protocole DoH (DNS over HTTPS). Le concept d’un DNS privé a été également introduit pour assurer des contrôles de sécurité permettant de bloquer les échanges (résolution DNS). Enfin, d’un point de vue performance, l’utilisation d’un DNS privé a montré une réduction de la latence dans les échanges entre l’objet et le réseau auquel il est connecté, tout en limitant le nombre de requêtes DNS sur le réseau.
Une expérimentation commune avec IMT démarre actuellement pour étudier plusieurs cas d’usages et réaliser des mesures complémentaires sur une quantité de ressources plus significative.
Retrouvez l’ensemble des publications de DiNS sur le site du projet : dins.fr