(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things

(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things(Luận án tiến sĩ) Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

NGUYỄN VĂN TÁNH

NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP NÂNG CAO AN TOÀN

TRONG MẠNG "INTERNET OF THINGS"

LUẬN ÁN TIẾN SĨ KỸ THUẬT MÁY TÍNH

Hà Nội - 2022

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

NGUYỄN VĂN TÁNH

NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP NÂNG CAO AN TOÀN

TRONG MẠNG "INTERNET OF THINGS"

Ngành: Kỹ thuật máy tính

Mã số: 9480106

LUẬN ÁN TIẾN SĨ KỸ THUẬT MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC:

1 PGS.TS Nguyễn Linh Giang

2 PGS.TS Đặng Văn Chuyết

Hà Nội – 2022

LỜI CAM ĐOAN

Tôi là Nguyễn Văn Tánh, tác giả của luận án tiến sĩ công nghệ thông tin với

đề tài: Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng "Internet of Things" Bằng danh dự và trách nhiệm của bản thân, tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi với sự hướng dẫn của PGS.TS Nguyễn Linh Giang và PGS.TS Đặng Văn Chuyết cùng với sự hợp tác của các cộng sự tại phòng Lab Trung tâm An toàn, an ninh thông tin Bách Khoa (BKCS), các kết quả nghiên cứu được trình bày trong luận án là trung thực, khách quan, không có phần nội dung nào được sao chép bất hợp pháp từ một công trình nghiên cứu của tác giả nào khác, kết quả nghiên cứu cũng chưa từng dùng để bảo vệ ở bất kỳ học vị nào

Tôi xin cam đoan rằng mọi sự giúp đỡ cho việc thực hiện luận án đã được cảm

ơn, các thông tin trích dẫn trong luận án này đều được chỉ rõ nguồn gốc

Hà Nội, ngày 10 tháng 01 năm 2022

Tập thể giáo viên hướng dẫn

PGS.TS Nguyễn Linh Giang PGS.TS Đặng Văn Chuyết

Tác giả luận án

Nguyễn Văn Tánh

tỏ lòng cảm ơn chân thành về sự giúp đỡ đó

Tôi xin bày tỏ lòng biết ơn sâu sắc tới PGS.TS Nguyễn Linh Giang, PGS.TS Đặng Văn Chuyết, PGS.TS Trương Diệu Linh, PGS.TS Ngô Quỳnh Thu, PGS.TS Ngô Hồng Sơn, PGS.TS Trần Quang Đức của trường Đại học Bách Khoa Hà Nội và

TS Lê Quang Minh, Đại học Quốc gia Hà Nội – những thầy cô giáo trực tiếp hướng dẫn và chỉ bảo cho tôi hoàn thành luận án này

Tôi xin chân thành cảm ơn bạn bè, đồng nghiệp đang công tác tại trường Đại học Bách Khoa Hà Nội, Đại học Quốc gia Hà Nội đã động viên, khích lệ, tạo điều kiện và giúp đỡ tôi trong suốt quá trình thực hiện và hoàn thành luận án này

TÁC GIẢ LUẬN ÁN

NCS Nguyễn Văn Tánh

I

MỤC LỤC

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IV DANH MỤC HÌNH VẼ VI DANH MỤC BẢNG VII

MỞ ĐẦU 1

1 IOT VÀ CÁC VẤN ĐỀ THÁCH THỨC 7

1.1 Tổng quan về Internet of Things 7

1.1.1 Khái niệm về Internet of Things 7

1.1.2 Công nghệ IoT 7

1.1.3 Nền tảng IoT 8

1.1.4 Các đặc tính cơ bản của IoT 8

1.2 Kiến trúc hệ thống an toàn bảo mật IoT 9

1.2.1 Kiến trúc IoT 9

1.2.2 Kiến trúc an toàn bảo mật an ninh trong IoT 10

1.3 Các cơ chế an toàn bảo mật thông tin trong IoT hiện nay 11

1.3.1 Phương pháp mã hóa 11

1.3.2 An toàn bảo mật thông tin lớp truyền thông 12

1.3.3 An toàn bảo mật thông tin dữ liệu cảm biến 14

1.3.4 An toàn bảo mật tại lớp hỗ trợ, hạ tầng mạng, điện toán đám mây 15

1.3.5 An toàn bảo mật thông tin lớp ứng dụng 15

1.3.6 Mạng cảm biến không dây và các vấn đề an toàn bảo mật 16

1.4 Thiết bị IoT tài nguyên yếu và các vấn đề an toàn bảo mật 17

1.5 Tình hình nghiên cứu an ninh IoT trên thế giới và tại Việt Nam 20

1.5.1 Tình hình nghiên cứu trên thế giới 21

1.5.2 An toàn bảo mật thông tin IoT tại Việt Nam 22

1.5.3 Một số công trình nghiên cứu liên quan về an toàn IoT 23

1.5.4 Hạn chế tồn tại 28

1.6 Mục tiêu xây dựng bài toán an toàn IoT tài nguyên yếu 29

2 GIẢI PHÁP OVERHEARING PHÒNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 32

2.1 An toàn bảo mật trên mạng cảm biến không dây (WSN) 32

II

2.1.1 Giao thức Định tuyến RPL trong mạng cảm biến không dây 32

2.1.2 Tấn công từ chối dịch vụ (DoS) trên mạng cảm biến không dây 34

2.1.3 Các giải pháp chống tấn công DoS vào mạng WSN 36

2.2 Các tiêu chí đo đạc và đánh giá hiệu năng mạng 40

2.2.1 Tỉ lệ truyền nhận thành công (PDR) 41

2.2.2 Độ trễ trung bình (Latency) 42

2.2.3 Năng lượng tiêu thụ (E) 42

2.3 Giải pháp Overhearing phòng chống tấn công DoS 44

2.3.1 Cơ chế Overhearing nguyên bản 44

2.3.2 Ý tưởng cải tiến cơ chế Overhearing 46

2.3.3 Cơ chế Overhearing cải tiến trong phòng chống tấn công DoS 47

2.4 Thí nghiệm mô phỏng giải pháp Overhearing 54

2.4.1 Giới thiệu các kịch bản mô phỏng thử nghiệm giải pháp 54

2.4.2 Xây dựng các mô hình và tình huống thử nghiệm 55

2.4.3 Kết quả mô phỏng tấn công, so sánh đánh giá 66

2.5 Kết luận 71

3 SỬ DỤNG MÃ HÓA NHẸ CHO CÁC THIẾT BỊ IOT TÀI NGUYÊN YẾU 73 3.1 Hạn chế của IoT tài nguyên yếu trong an toàn bảo mật 73

3.2 Giải pháp an toàn bảo mật cho các thiết bị IoT tài nguyên yếu 74

3.2.1 Giao thức bảo mật nhẹ Lightweight cho IoT 74

3.2.2 Các yêu cầu thiết kế và mật mã hạng nhẹ cần 76

3.2.3 Các công trình tích hợp mã hóa hạng nhẹ 78

3.3 Giải pháp DTLS xác thực và bảo mật cho các thiết bị tài nguyên yếu 82

3.3.1 Triển khai giải pháp DTLS trên nền tảng Om2M 82

3.3.2 Mô hình đề xuất 83

3.3.3 Thử nghiệm và đánh giá mô hình an ninh DTLS 87

3.3.4 Kết luận 91

3.4 Triển khai CurveCP trên mạng WSN 92

3.4.1 Tổng quan về CurveCP 92

3.4.2 Thử nghiệm triển khai CurveCP với các điều chỉnh 96

3.4.3 Kết quả thí nghiệm mô phỏng với giải pháp điều chỉnh CurveCP 98

III

3.5 Giới thiệu hàm băm xác thực hạng nhẹ Quark 99

3.6 Đánh giá về giải pháp, hướng nghiên cứu phát triển 100

4 MÔ HÌNH TÍCH HỢP NÂNG CAO AN TOÀN MẠNG IOT 102

4.1 Giải pháp tích hợp giao thức DTLS và cơ chế Overhearing 102

4.1.1 Triển khai giải pháp tích hợp DTLS và Overhearing cải tiến 103

4.1.2 Mô phỏng giải pháp tích hợp DTLS & Overhearing 106

4.1.3 Kết quả thí nghiệm mô phỏng, so sánh đánh giá 112

4.1.4 Một số hạn chế tồn tại trong các giải pháp đã triển khai 115

4.2 Tích hợp Quark vào DTLS với Overhearing 116

4.2.1 Giải pháp tích hợp Overhearing, Quark và DTLS 116

4.2.2 Cải tiến về DTLS và Quark 117

4.2.3 Mô phỏng giải pháp tích hợp an toàn IoT thiết bị tài nguyên yếu 118

4.2.4 Kết quả thí nghiệm mô phỏng 119

4.2.5 Đánh giá về giải pháp 120

KẾT LUẬN 123

1 Kết luận 123

2 Hạn chế của luận án 124

3 Đề xuất, hướng nghiên cứu tiếp theo 124

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN 126

TÀI LIỆU THAM KHẢO 128

PHỤ LỤC 136

IV

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

Từ viết tắt Ý nghĩa tiếng Anh Ý nghĩa tiếng Việt

6LoWPAN IPv6 over Low power Wireless

Personal Area Networks

IPv6 qua Mạng cá nhân không dây công suất thấp

ACL Access Control Lists Danh sách điều khiển truy cập

AES Advanced Encryption Standard Tiêu chuẩn mã hóa nâng cao

AH Authentication Header Tiêu đề xác thực

ASN Absolute Slot Number Số khe tuyệt đối

BLE Bluetooth Low Energy Bluetooth Năng lượng thấp

CA Certification Authority Tổ chức cấp chứng chỉ số

CBC Cypher Block Chaining Mã hóa Khối chuỗi nối tiếp

CC Consistency Check Kiểm tra tính nhất quán

CoAP The Constrained Application

DAG Direct Acyclic Graph Đồ thị có hướng không chu kỳ

DAO Destination Advertisement

DAO-ACK DAO Acknowledgment Bản tin Phản hồi Bản tin DAO DIO DODAG Information Object Bản tin chứa thông tin Đồ thị

Hướng đích đến không chu kỳ

Solicitation

Bản tin đề nghị gửi Bản tin chứa thông tin DODAG

DODAG Destination Oriented Directed

Acyclic Graph Đồ thị Hướng đích đến không chu kỳ

DoS Denial of Service Tấn công Từ chối dịch vụ

DTLS Datagram Transport Layer

Security An ninh Tầng Giao vận với Truyền thông dòng

ECC Elliptic Curve Cryptography Mã hóa Đường cong Elliptic

ECDHE Elliptic Curve Diffie-Hellman

Algorithm with Ephemeral keys

Đường cong Elliptic bằng thuật toán Diffie-Hellman với Khóa ngắn

ECDSA Elliptic Curve Digital

Algorithm Thuật toán kỹ thuật số đường cong elip

ESP Encapsulating Security Payload Cơ chế An ninh Đóng gói dữ liệu

V

IEEE Institute of Electrical and

Electronics Engineers

Viện Kỹ Sư Điện Và Điện Tử

IETF Internet Engineering Task

Force

Lực lượng đặc nhiệm kỹ thuật Internet

IoT Internet of Things Mạng Internet vạn vật

IPSec Internet Protocol Security Giao thức internet bảo mật

LoWPAN Low Power Wireless Personal

Area Networks

Mạng Cá nhân Không dây năng lượng thấp

M2M Machine-to-Machine Tương tác giữa máy và máy

MAC Message Authentication Code Mã Xác thực Thông điệp

MIC Message Integrity Code Mã kiểm tra tính toàn vẹn thông

MTU Max Transmission Unit Đơn vị truyền tải tối đa

NFC Near Field Communications Truyền thông tầm gần

OSPF Open Shortest Path First Giao thức định tuyến link – state,

tìm đường đi ngắn nhất đầu tiên

OWASP Open Web Application

Security Project

Dự án An toàn bảo mật cho Ứng dụng Website mở

RFID Radio Frequency Identification Nhận dạng qua tần số vô tuyến

RIP Routing Information Protocol Giao thức định tuyến vector

RPL Routing Protocol for Low

power and Lossy Networks Giao thức định tuyến cho Mạng năng lượng thấp và giảm hao tổn

TSCH Time Slotted Channel Hopping Giao thức Phân khe thời gian và

Nhảy kênh

WSN Wireless Sensors Networks Mạng Cảm biến Không dây

VI

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình kiến trúc IoT tham khảo 9

Hình 1.2 Mô hình kiến trúc an toàn bảo mật trong IoT 10

Hình 1.3 Những thách thức an toàn bảo mật IoT 11

Hình 1.4 Các thành phần của Node mạng cảm biến 16

Hình 1.5 Mô hình mạng cảm biến không dây đơn giản 17

Hình 1.6 Những đặc điểm thiết bị tài nguyên yếu trong hệ thống IoT 18

Hình 2.1 Mô hình đồ thị DAG của giao thức RPL 33

Hình 2.2 Cơ chế bảo mật của một thông điệp kiểm soát trên RPL 34

Hình 2.3 Tấn công DoS và giải pháp Overhearing trên WSN 59

Hình 2.4 Mô hình tương tác với thiết bị Zolertia 61

Hình 2.5 Kết nối mô phỏng giải pháp với thiết bị thực 63

Hình 2.6 Sơ đồ kết nối các thiết bị mô phỏng 63

Hình 3.1 Kiến trúc mô hình chuẩn và giao thức OneM2M 83

Hình 3.2 Kiến trúc bảo mật cho hệ thống IoT theo chuẩn oneM2M 86

Hình 3.3 Xây dựng Plugin để làm việc với giao thức DTLS 86

Hình 3.4 Các thành phần trong hệ thống thử nghiệm 88

Hình 3.5 Các pha làm việc của DTLS 90

Hình 3.6 Vị trí cài đặt của Giao thức CurveCP 93

Hình 3.7 Cơ chế trao đổi khóa trong giao thức CurveCP 94

Hình 3.8 Sơ đồ hoạt động của thuật toán băm Quark 100

Hình 3.9 Kiến trúc cơ chế nổi bọt chồng của thuật toán băm Quark 100

Hình 4.1 Mô hình an toàn bảo mật CIA 104

Hình 4.2 Sơ đồ vị trí cài đặt Overhearing và DTLS trong hệ thống mạng IoT 105

Hình 4.3 Kiến trúc mạng IoT trong các kịch bản mô phỏng 112

Hình 4.4 Sự xuất hiện của các bản tin MDNS trong mạng cài DTLS 113 Hình 4.5 Mô hình giải pháp an toàn IoT tích hợp Overhearing, DTLS và Quark 116

VII

DANH MỤC BẢNG

Bảng 1.1 Phân loại các thiết bị tài nguyên yếu 18

Bảng 1.2 Một số các thiết bị tài nguyên yếu phổ biến 19

Bảng 1.3 Một số cơ chế kỹ thuật an ninh bảo mật IoT hiện nay 29

Bảng 2.1 Sự khác biệt giữa kiến trúc và cơ chế của tấn công DOS 38

Bảng 2.2 Thống kê số nút bị gán nhãn Bot 53

Bảng 2.3 Thống kê số gói tin gửi nhận trung bình trong mỗi nút mạng 66

Bảng 2.4 Kết quả thông số thí nghiệm kịch bản thí nghiệm mô phỏng 69

Bảng 2.5 Kết quả thí nghiệm với các thiết bị thực tế 71

Bảng 3.1 Đặc điểm của Mã hóa hạng nhẹ (LWC) 75

Bảng 3.2 Một số cấu trúc thuật toán mã hóa hạng nhẹ 75

Bảng 3.3 Một số hệ mật mã khối hạng nhẹ phổ biến hiện nay 77

Bảng 3.4 Quá trình bắt tay của DTLS tại thiết bị 89

Bảng 3.5 Bộ nhớ thiết bị sử dụng DTLS với hai thư viện tinyDTLS và tinyECC 89 Bảng 3.6 Thành phần thông điệp trong của giao thức CurveCP 95

Bảng 3.7 Hoạt động của Box trong giao thức CurveCP 95

Bảng 3.8 Kết quả đo thông số mạng IoT với CurveCP 98

Bảng 4.1 Các đặc tính DTLS và cơ chế Overhearing 109

Bảng 4.2 Kết quả đo thông số mạng IoT với DTLS & Overhearing 114

Bảng 4.3 Kết quả đo thông số mạng IoT với giải pháp an ninh tích hợp 119

1

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Sự phát triển mạnh mẽ của Internet vạn vật hay Internet of Things (IoT) đã và đang góp phần định hình xã hội thông tin tương lai Ngày nay, các thiết bị IoT được

sử dụng phổ biến tại các tổ chức, doanh nghiệp thuộc nhiều quốc gia trên thế giới Số lượng thiết bị IoT ngày càng tăng, theo số liệu cập nhật cuối năm 2019, con số này

đã lên đến 4,8 tỷ thiết bị, tăng 21.5% so với cuối năm 2018 Hiện tại, qua khảo sát trên hệ thống mạng của các doanh nghiệp có quy mô vừa, khoảng 30% các thiết bị kết nối trong hệ thống là thiết bị IoT [1][2] Kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những thay đổi lớn cho các doanh nghiệp và người tiêu dùng Ngày nay, các thiết bị IoT đã và đang được sử dụng phổ biến tại các tổ chức, doanh nghiệp ở nhiều quốc gia trên thế giới Số lượng thiết bị IoT ngày càng gia tăng và theo dự đoán của tổ chức IoT Analytics, số lượng thiết bị IoT sẽ vượt mốc

12 tỷ thiết bị trong năm 2021 Theo dự báo của IDC, đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới Các thiết bị này sẽ thu thập một lượng

dữ liệu kỷ lục - 79 Zettabytes Theo kết quả nghiên cứu của IHS Markit, số thiết bị kết nối IoT sẽ tăng trung bình 12% mỗi năm và dự kiến lên tới 125 tỷ năm 2030 Với

sự phát triển nhanh chóng này, IoT cũng đã trở thành mục tiêu hấp dẫn cho tin tặc

Số vụ tấn công vào các thiết bị này gia tăng làm dấy lên những mối lo ngại về rủi ro,

an ninh an toàn dữ liệu Do đó, các quốc gia trên thế giới đều đặt vấn đề an toàn thông tin trong IoT là ưu tiên hàng đầu trong kỷ nguyên cuộc Cách mạng công nghiệp 4.0

IoT thay đổi cách tiếp cận và ứng dụng của công nghệ nhưng đồng thời cũng tạo điều kiện phát sinh các nguy cơ mới về an toàn bảo mật Tuy có nhiều ưu điểm

về tính linh hoạt, dễ dàng quản lý, loại thiết bị này cũng tồn tại nhiều vấn đề liên quan đến an toàn bảo mật thông tin của chính nó và của các thiết bị thuộc cùng hệ thống kết nối Gần đây, báo cáo an toàn bảo mật từ hãng công nghệ Palo Alto đã liệt kê ra các mối đe dọa hàng đầu trên thiết bị IoT Theo số liệu từ hãng, 98% dữ liệu IoT không được mã hóa Thông qua hình thức nghe lén, hacker có thể dễ dàng thu thập

và đọc được các dữ liệu mật được trao đổi giữa các thiết bị trên hệ thống với nhau hoặc giữa chúng với hệ thống quản lý, giám sát; 57% các thiết bị IoT trong hệ thống

2

được xem là các rủi ro an toàn thông tin và khởi nguồn cho các cuộc tấn công mạng quy mô vừa và lớn; 83% các thiết bị IoT khoa phục vụ công tác chẩn đoán bằng hình ảnh đang sử dụng các hệ điều hành đã ngừng hỗ trợ từ hãng Số liệu có sự tăng vọt

so với năm 2018, với 56% [3]

Với một hệ sinh thái phức tạp, IoT tồn tại hàng loạt lỗ hổng an ninh có thể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng Một nghiên cứu gần đây của OWASP đã chỉ ra rằng 75% thiết bị IoT bao gồm cả các thiết

bị được tích hợp trong giao thông tự hành, các hệ thống giám sát, nhà thông minh có nguy cơ bị tin tặc tấn công và xâm hại Các phương pháp bảo mật truyền thống như IPSec, PKI, cơ chế trao đổi khóa Diffie-Hellman đòi hỏi khối lượng tính toán lớn và không phù hợp để tích hợp trong các thiết bị IoT vốn bị hạn chế về tài nguyên và hiệu năng Nhờ chức năng điều khiển từ xa không dây, truyền dữ liệu ổn định và tiêu thụ năng lượng cực thấp, ZigBee ngày càng trở nên phổ biến và được dùng trong nhiều ứng dụng khác nhau, đặc biệt là các ứng dụng nhà thông minh

Nhiều giao thức mới cũng được nghiên cứu để đáp ứng nhu cầu truyền tải, bảo mật thông tin trong hệ thống IoT như RPL, UDP và CoAP CoAP là giao thức ở lớp ứng dụng cho phép các thiết bị IoT có thể giao tiếp với nhau thông qua mạng Internet

Để đảm bảo việc truyền tải dữ liệu an toàn, CoAP sử dụng gói tin bảo mật DTLS, hỗ trợ các phương pháp mã hóa nguyên thủy với khối lượng tính toán lớn Hơn nữa, nó được thiết kế để dùng cho những giao thức mạng với kích thước của thông điệp không phải là tiêu chí quan trọng Vì thế khi áp dụng kết hợp với 6LoWPAN, phần tiêu đề của DTLS cần được nén bằng các cơ chế phù hợp để đảm bảo hiệu năng của hệ thống IoT như đề xuất

Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt

cả một đô thị lớn Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay

Sự khác biệt giữa mạng Internet truyền thống và mạng cảm biến không dây trong cơ sở hạ tầng IoT về giao thức cũng như cơ chế truyền nhận dữ liệu khiến cho

3

các giải pháp đảm bảo an toàn thông tin trên mạng truyền thống không thể triển khai được bên trong WSN và đòi hỏi phải phát triển các cơ chế an ninh và an toàn thông tin phù hợp hơn với mạng WSN Trong các vấn đề về an ninh và an toàn thông tin trong IoT, vấn đề về tính sẵn sàng là điểm yếu lớn nhất của cơ sở hạ tầng IoT, do nguồn tài nguyên và năng lượng giới hạn, dễ tê liệt trước các cuộc tấn công từ chối dịch vụ.Từ nhu cầu thực tiễn về an toàn bảo mật thông tin trên IoT và những tiềm năng chưa khai thác hết của các cơ chế bảo mật trên các giao thức mới, tôi quyết định

lựa chọn đề tài và thực hiện luận án “Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet of Things” nhằm đề xuất các giải pháp cải tiến trên các tầng

riêng biệt rồi sau đó tích hợp vào cùng một hệ thống mạng IoT tạo tính đồng bộ, khả thi, hiệu quả cao và có thể triển khai thực tế trong tương lai gần nhằm nâng cao an toàn an ninh thông tin cho hệ thống mạng IoT

2 Mục tiêu và nhiệm vụ nghiên cứu của luận án

Trong phạm vi luận án, tác giả sẽ nêu ra một cái nhìn tổng quan về môi trường IoT, các vấn đề liên quan đến giải pháp an toàn, an ninh thông tin hiện thời, những thách thức và khó khăn trong lĩnh vực này và các hướng giải quyết

Mục tiêu 1: Đề xuất giải pháp phòng chống tấn công từ chối dịch vụ cho mạng IoT với cơ chế Overhearing nhằm hạn chế những thiệt hại từ các cuộc tấn công DoS

Mục tiêu 2: Xây dựng các giải pháp an toàn bảo mật phòng chống tấn công chủ động và thụ động lên mạng IoT thiết bị có tài nguyên yếu

Mục tiêu 3: Kết hợp các giải pháp để cấu thành một hệ thống bảo mật mạnh, tạo cơ chế an ninh thông tin nhiều lớp hiệu quả nâng cao an toàn cho mạng IoT

Luận án đặt mục tiêu xây dựng mô hình tích hợp các cơ chế cải tiến đã đề cập trên vào cùng một hệ thống IoT tài nguyên yếu, nhằm nâng cao an toàn bảo mật, đảm bảo tính khả thi, nhiều lớp, hiệu quả, tiết kiệm Tiến hành xây dựng thí nghiệm mô

phỏng thử nghiệm cho thấy kết quả thực hiện

3 Đối tượng và phạm vi nghiên cứu của luận án

Trong khuôn khổ của luận án, tác giả tập trung nghiên cứu đến đối tượng là các giao thức bảo mật trên tầng cảm quan, các cổng kết nối và giao thức truyền thông trong mạng cảm biến không dây Không giải quyết các bài toán bảo mật trên các tầng

4

ứng dụng, tầng điện toán đám mây, giao thức truyền thông và các tầng mạng truyền thống khác vì không có gì khác biệt so với các giải pháp an ninh truyền thống hiện thời đang sử dụng đã khá hiệu quả như tường lửa, IDS, TLS/SSL, VPN, Antivirus

Phạm vi nghiên cứu giới hạn trong các mạng IoT thông thường có các thiết bị

có tài nguyên hạn chế, với các nền tảng tương thích tiêu chuẩn IEEE 802.15.4 & Zigbee, tốc độ lên đến khoảng 32 MHz với dung lượng bộ nhớ 512KB flash có thể lập trình, khoảng 32 KB bộ nhớ RAM, với bộ thu phát RF CC1200 868/915 MHz cho phép hoạt động băng tần kép, được hỗ trợ trong hệ thống nguồn mở như Contiki, RIoT và OpenWSN, OM2M

4 Phương pháp luận và phương pháp nghiên cứu của luận án

Luận án “Nghiên cứu phát triển giải pháp nâng cao an toàn trong mạng Internet

of Things” bao gồm các giải pháp an ninh nhằm ngăn chặn và giảm thiểu thiệt hại của tấn công khai thác bảo mật vào mạng IoT

Luận án sử dụng phương pháp tìm hiểu, nghiên cứu lý thuyết, xây dựng giải pháp rồi đi đến thực nghiệm Trước hết, tác giả tìm kiếm tài liệu và xem xét tất cả các vấn đề lý thuyết trên thế giới có liên quan đến luận án, xây dựng mô hình giải thuật rồi sau đó thiết lập thí nghiệm, tiến hành đo đạc kết quả, so sánh và đánh giá rút ra kết luận, nêu các vấn đề tiếp tục xử lý trong tương lai

5 Đóng góp mới về khoa học của luận án

Luận án này có một số đặc điểm và kết quả như sau:

- Đóng góp 1: Đề xuất giải pháp phát hiện sớm tấn công từ chối dịch vụ (DOS),

qua đó xử lý cách ly các nút nhiễm mã độc nhằm giảm thiệt hại cho mạng IoT với cơ

chế Overhearing

- Đóng góp 2: Đề xuất giải pháp DTLS tích hợp cơ chế Overhearing có thay đổi

cấu hình cài đặt phòng chống tấn công chủ động và tấn công từ chối dịch vụ cho các

thiết bị IoT tài nguyên yếu

- Đóng góp 3: Đề xuất mô hình nâng cao an toàn trong mạng IoT với phương

thức kết hợp các giải pháp mã hóa xác thực nhẹ cho nhóm thiết bị tài nguyên yếu, bảo mật đa lớp, đánh giá thử nghiệm

6 Ý nghĩa lý luận và thực tiễn của luận án

25

Một trong số các công trình đó là “Lithe: Lightweight Secure CoAP for the Internet

of Things” của Shahid Raza cùng các cộng sự đề cập tích hợp DTLS vào giao thức

CoAP và cải tiến các thuật toán mã hóa thành mã hóa nhẹ [28] Tác giả cũng đã chỉ

ra nhược điểm của mạng IoT là tài nguyên và năng lượng bị hạn chế nên mạng IoT buộc phải sử dụng những thuật toán và giải pháp tiêu thụ tài nguyên thấp như các giao thức UDP Giao thức CoAP được thiết kế với mục đích cung cấp các cơ chế tiêu thụ năng lượng thấp cho mạng IoT CoAP cũng có những hạn chế nhất định về mặt

an ninh, khi mà cơ chế bảo mật duy nhất là giao thức DTLS chỉ tương thích với giao thức UDP vốn không có nhiều ràng buộc về mặt dữ liệu, điều này khiến cho một số

cơ chế có sự ràng buộc chặt chẽ về dữ liệu trên mạng IoT không thể được bảo vệ bởi DTLS Tác giả và các cộng sự đã tận dụng cơ chế nén tiêu đề địa chỉ IP của giao thức 6LoWPAN để xây dựng một thuật toán mã hóa hạng nhẹ là Lithe Do sử dụng cơ chế nén trong đánh địa chỉ IP vốn có ràng buộc dữ liệu chặt chẽ, thuật toán mã hóa Lithe

có thể tương thích với các cơ chế, giao thức có ràng buộc dữ liệu chặt chẽ, nhưng vẫn đảm bảo tính bảo mật và tiết kiệm năng lượng Ưu điểm của công trình này là tận dụng các cơ chế sẵn có là cơ chế nén 6LoWPAN nhằm đánh địa chỉ IP để xây dựng thuật toán xử lý vấn đề chưa có trong giao thức CoAP là giao thức an ninh và an toàn thông tin Ưu điểm nữa của công trình này chính là tác giả đã xây dựng thuật toán cụ thể có thí nghiệm mô phỏng hoạt động của giao thức Lithe đối với giả lập giao thức bắt tay ba bước trong TCP, một giao thức đòi hỏi ràng buộc dữ liệu rất chặt chẽ trong

Hệ điều hành Contiki mô phỏng hoạt động của nút WiSmote Tác giả và các cộng sự

đã làm rõ sơ đồ gửi và nhận của các nút mạng trong quá trình bắt tay ba bước của giao thức TCP mô phỏng so sánh quá trình đó khi có và chưa có các cơ chế mã hóa, qua đó chứng tỏ độ an toàn của giao thức bảo mật Lithe trong quá trình bắt tay ba bước điển hình Mặc dù vậy, điểm yếu của giải pháp này là chưa có một thí nghiệm

đo đạc hiệu năng của mạng khi chạy giao thức này, mặc dù tác giả đã đề cập là cơ chế bắt tay ba bước đã hoạt động thành công, tuy nhiên, trong toàn bộ hệ thống mạng, các cơ chế ràng buộc dữ liệu không chiếm toàn bộ hoạt động mạng, mà đó là các cơ chế truyền dữ liệu, định tuyến, đánh địa chỉ Xét trên lý thuyết, tất cả các giao thức phụ trợ như giao thức bảo mật, mã hóa đều tiêu thụ tài nguyên của mạng IoT Vì lý

do đó, ngay cả thuật toán Lithe chỉ được cài đặt ở các giao thức ràng buộc dữ liệu,

26

hoạt động của thuật toán này vẫn tiêu thụ năng lượng và có khả năng làm cho các hoạt động khác của mạng IoT bị suy yếu Vì vậy, việc thiếu các thí nghiệm và đo đạc thông số chứng minh sự ổn định trong hoạt động mạng IoT sau khi cài đặt thuật toán Lithe là một thiếu sót khá lớn trong công trình của tác giả Mặc dù vậy, ý tưởng về xây dựng và cải tiến giải pháp mã hóa hạng nhẹ trên IoT của công trình này cũng như công trình trên là tiền đề để luận án nghiên cứu tích hợp CurveCP và Quark vào mạng IoT trong các công trình sau này

Công trình: “Towards the Integration of Security Aspects into System Development Using Collaboration-Oriented Models” của tác giả Linda Ariani

Gunawan và các cộng sự [29] xây dựng mô hình phát triền hướng tương tác để tạo một công cụ và giải pháp cải tiến các giải pháp thành viên và tích hợp thành giải pháp toàn diện nhằm mục đích tăng hiệu quả trong việc vận hành các giải pháp tích hợp

- Hướng thứ ba: Các vấn đề tập trung vào Mạng Cảm biến không dây (WSN)

Trong IoT, mạng cảm biến không dây là thành phần quan trọng thu thập dữ liệu từ môi trường cũng như thực hiện các tác vụ người dùng yêu cầu Mạng cảm biến không dây cũng được xem là vị trí yếu nhất của hệ thống IoT về an ninh và an toàn thông tin, do các cảm biến nằm phân tán, bị hạn chế về tài nguyên và không được bảo

vệ vật lý như máy chủ hay máy tính cá nhân Ngoải ra, tần suất trao đổi dữ liệu giữa các nút cảm biến cũng lớn và điều đó khiến cho các cuộc tấn công vào mạng cảm biến không dây gây ra thiệt hại lớn cho toàn hệ thống IoT Trước tình hình đó, một

số công trình đã ra đời để phân tích ưu nhược điểm của IoT cũng như tìm ra giải pháp

bảo mật trên IoT Tiêu biểu có công trình: “Practical Secure Communication for Integrating Wireless Sensor Networks into the Internet of Things” của tác giả Fagen

Li [30] cùng các cộng sự nói đến thiết lập an toàn giao tiếp giữa các thiết bị cảm biến Trong công trình này, tác giả đã chỉ ra WSN là một phần quan trong trong mạng IoT cũng như nhắc lại các giao thức tích hợp WSN vào trong một hệ thống mạng IoT hoàn chỉnh Ưu điểm của các giao thức là cho phép tích hợp nhanh chóng WSN với rất nhiều nút Cảm biến vào trong mạng IoT mà không tiêu tốn quá nhiều tài nguyên, nhưng vì thế mà các giao thức phải loại bỏ các chức năng bảo mật đáng tin cậy, tạo

ra một số lỗ hổng về an ninh và an toàn thông tin Trước thực trạng như vậy, tác giả

đã xây dựng một mô hình an ninh tiết kiệm năng lượng, tích hợp cơ chế mã hóa bất

27

đối xứng dựa trên định danh như một giải pháp bảo mật cho toàn hệ thống IoT Ưu điểm của công trình là tác giả đã đề xuất khái niệm về giải pháp tích hợp các cơ chế khác nhau để các cơ chế có thể bổ trợ điểm yếu cho nhau, từ đó nâng cao khả năng bảo mật của toàn giải pháp Ngoài ra, trong công trình này, tác giả cũng có sự so sánh giải pháp an ninh tích hợp của mình với các cơ chế mã hóa khác có đặc điểm tương

tự, chứng tỏ giải pháp tích hợp có độ tiêu thụ năng lượng thấp, phù hợp với đặc điểm trong WSN là tài nguyên giới hạn Điểm yếu của công trình là chỉ dừng ở mức độ đề xuất lý thuyết, không có thí nghiệm triển khai và kiểm thử thông qua mạng IoT giả lập hoặc thực tế nên tính khả thi và thực tiễn của việc xây dựng giải pháp còn chưa

rõ ràng Đây cũng là cơ sở tiền đề để luận án xây dựng giải pháp tích hợp các cơ chế

an ninh bảo mật thông tin đa lớp sau này

Công trình “Security in wireless sensor networks: issues and challenges” của

A.S.K Pathan và các cộng sự [31] đã tiến hành liệt kê các mối đe dọa liện quan đến mạng cảm biến không dây, và các vấn đề và thách thức trong việc phòng chống các mối đe dọa này trên đặc thù của mạng cảm biến không dây

Hướng nghiên cứu thứ tư: Phòng chống tấn công từ chối dịch vụ

Tấn công Từ chối dịch vụ luôn luôn gây áp lực lớn lên việc duy trì hoạt động của hệ thống IoT Trong thời gian gần đây, số vụ tấn công DoS đang gia tăng cả về

số lượng và ngày càng trở nên tinh vi hơn Thiệt hại của các bên liên quan đến các hệ thống bị tấn công DoS ngày càng lớn hơn Nhiều công trình ra đời nhằm phân tích các cuộc tấn công DoS, phòng chống và giảm thiểu hậu quả từ các cuộc tấn công này

Tiêu biểu có công trình: “Comparative analysis of the Prevention Techniques of Denial of Service Attacks in Wireless Sensor Network” của tác giả Ashish Patil và các

cộng sự [32] đã đề xuất kỹ thuật Overhearing dựa trên tầng MAC của mạng cảm biến không dây để phát hiện các nút bất thường Cụ thể, trong quá trình duy trì kết nối giữa các nút mạng với nhau, các nút sẽ gửi các bản tin tầng MAC Dựa trên bất thường trong việc gửi và nhận các bản tin tầng MAC giữa các nút mạng, giải pháp Overhearing sẽ phát hiện ra nút Bots Điểm yếu của công trình là đề xuất về mặt lý thuyết và vẫn chưa đề xuất một biện pháp ngăn chặn cụ thể để tận dụng kết quả từ giải pháp Overhearing nhằm phòng chống tấn công DoS Rõ ràng là việc phát hiện ra nút Bots là chưa đủ để bắt buộc phải có biện pháp cụ thể nhằm ngăn chặn và giảm

28

thiểu thiệt hại cho các cuộc tấn công DoS Vì vậy, tác giả và cộng sự cũng chưa thể xây dựng thí nghiệm triển khai và kiểm thử thông qua mạng IoT giả lập hoặc thực tế nên tính khả thi và thực tiễn của việc xây dựng giải pháp còn chưa rõ ràng Đây cũng

là tiền đề để luận án có những biện pháp tận dụng thành quả từ giải pháp Overhearing nhằm ngăn chặn và giảm thiệt hại từ tấn công DoS Các phần nghiên cứu liên quan đến an ninh trên RFC 6282 [33] tập trung vào các vấn đề an ninh gây ra bởi việc sử dụng một cơ chế kế thừa từ RFC 4944, trong đó cho phép nén phạm vi cụ thể của số

16 cổng UDP xuống 4 bit Điều này gây nên tình trạng quá tải của các cổng nằm trong khoảng này nếu làm việc với các ứng dụng không thực hiện đúng thiết lập dành riêng cho việc nén cổng, có thể làm tăng nguy cơ của một ứng dụng lấy và sử dụng không đúng loại dữ liệu của payload hoặc một ứng dụng hiểu sai các nội dung của thông điệp Kết quả là, RFC 6282 [34] khuyến cáo rằng việc sử dụng các cổng liên kết với một cơ chế an ninh sử dụng mã MIC

Một số công trình khác tập trung vào các khía cạnh an ninh và các vấn đề đặc

trưng của IoT, chẳng hạn công trình “A Novel Algorithm for DoS and DDoS attack detection in Internet Of Things” của tác giả Shruti Kajwadkar và các cộng sự đã xây

dựng giải thuật Novel để phát hiện các cuộc tấn công DoS và DDoS trên mạng IoT [35] Các công trình này vẫn còn tồn tại một số hạn chế, do yêu cầu cân đối giữa các yếu tố “Năng lượng - Chi phí - Hiệu quả - An toàn”, hầu hết chưa triển khai trên các thiết bị tài nguyên yếu và trong các mô hình thiết bị thực

1.5.4 Hạn chế tồn tại

Trong vài năm qua, nhiều thuật toán, công trình nghiên cứu trong và ngoài nước đã được giới thiệu để cải thiện chất lượng mạng hệ thống IoT và khả năng an toàn bảo mật Các phương pháp chủ yếu là dựa vào các thành phần, đối tượng và phạm vi nghiên cứu, từ đặc điểm mạng đến các thiết bị cảm biến Các giải pháp này

có thể được chia thành ba nhóm chính, bao gồm: nhóm mã hóa đường truyền, nhóm phát hiện xâm nhập, nhóm phòng chống tấn công

Các công trình nghiên cứu đều đạt được những kết quả tích cực, tuy nhiên các giải pháp đề xuất vẫn còn những hạn chế cần tiếp tục được nghiên cứu bổ sung để khắc phục Đặc biệt đó là vấn đề triển khai trên các thiết bị IoT tài nguyên yếu do các ràng buộc về tài nguyên, khả năng tính toán và cơ chế tương thích Và trên cơ sở đó,

29

để nâng cao an toàn cho hệ thống mạng IoT, luận án tập trung đề xuất các giải pháp

cơ chế an toàn bảo mật hạng nhẹ trên các thiết bị tài nguyên yếu Phương pháp chủ yếu là cải tiến, tùy chỉnh các thuật toán mã hóa trên các tầng độc lập Xây dựng mô hình tổng thể kết hợp các phương pháp, cài đặt thử nghiệm, so sánh kết quả với các cấu trúc an ninh hiện tại, đánh giá hiệu quả, sự khả thi và tính mới của giải pháp

1.6 Mục tiêu xây dựng bài toán an toàn IoT tài nguyên yếu

Qua quá trình phân tích bối cảnh hiện tại với các công trình nghiên cứu, ứng dụng các kỹ thuật, giải pháp an ninh cơ bản xây dựng trên các thành phần của hệ thống bảo mật IoT theo kiến trúc phân tầng như đã phân tích, các giải pháp đã và đang được triển khai trên thế giới, những đặc tính kỹ thuật, đối tượng, phạm vi và bối cảnh ứng dụng của các giải pháp này được mô tả trong bảng tổng hợp sau

Bảng 1.3 Một số cơ chế kỹ thuật an ninh bảo mật IoT hiện nay

An ninh đầu cuối bên trong Tầng mạng

Tiêu đề an ninh nén tĩnh của AH

và ESP trong 6LoWPAN; an ninh trong kênh kín Tầng Giao vận; Khóa được cài đặt trước với các kích thước khác nhau

Tầng hỗ trợ

6LoWPAN

Bảo vệ tính bảo mật, tính toàn vẹn, tính xác thực và tính chống chối bỏ

An ninh đầu cuối bên trong Tầng mạng

Tiêu đề an ninh nén IPHC của

AH và ESP; Khóa được cài đặt trước với các kích thước 128 bit

Tầng hỗ trợ

6LoWPAN Phòng chống tấn công phân mảnh

Giao tiếp giữa các thiết bị 6LoWPAN sử dụng cơ chế phân mảnh

Bổ sung nhãn thời gian trong tiêu đề phân mảnh 6LoWPAN

để phòng chống tấn công phát lại phân mảnh một hướng hoặc hai hướng

Tầng hỗ trợ

6LoWPAN

Phòng chống tấn công phân mảnh

Giao tiếp 6LoWPAN giữa các thiết bị cảm biến hoặc giữa thiết bị đầu cuối với các thiết bị ngoại vi

Sử dụng cơ chế xác thực bên gửi sử dụng chuỗi mã băm và loại bỏ các đối tượng khả nghi dựa trên hành vi

Tầng giao

vận

Bảo vệ tính bảo mật, tính toàn vẹn

và phòng chống tấn công phát lại

An ninh cho truyền thông đa điểm CoAP

Hỗ trợ lớp lưu trữ DTLS để hỗ trợ truyền thông nhiều bên gửi với thông điệp chia sẻ khóa chung trong CoAP