NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC THIẾT BỊ IoT LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

KIẾN TRÚC IoT Các khu nhà của IoT là các thiết bị cảm biến, dịch vụ gọi từ xa, các mạng truyền thông và xử lý sự kiện theo ngữ cảnh; Những điều này đã được xây dựng và nghiên cứu trong

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA -

ĐẶNG VĂN NGHĨA

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT

CHO CÁC THIẾT BỊ IoT

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Đà Nẵng – Năm 2017

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA -

ĐẶNG VĂN NGHĨA

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT

CHO CÁC THIẾT BỊ IoT

Chuyên ngành: Khoa học Máy tính

Mã số: 60.48.01.01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN TẤN KHÔI

Đà Nẵng - Năm 2017

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả luận văn

(Ký và ghi rõ họ tên)

Đặng Văn Nghĩa

MỤC LỤC

Trang

Chương 1 - TỔNG QUAN VỀ IoT 4

GIỚI THIỆU 4

KIẾN TRÚC IoT 5

1.2.1 Kiến trúc dựa trên SOA 6

1.2.2 Kiến trúc hướng API 7

CÁC MÔ HÌNH TRUYỀN THÔNG IoT 8

1.3.1 Mô hình truyền thông thiết bị với thiết bị 8

1.3.2 Mô hình truyền thông thiết bị với đám mây 9

1.3.3 Mô hình truyền thông thiết bị với cổng giao tiếp 10

1.3.4 Mô hình chia sẻ dữ liệu đầu cuối 11

KẾT CHƯƠNG 12

Chương 2 - CƠ SỞ LÝ THUYẾT 13

MÔ HÌNH KẾT NỐI IoT 13

2.1.1 Giới thiệu 13

2.1.2 Cơ chế hoạt động 14

2.1.3 Thiết bị cảm biến 14

2.1.4 Mạng cảm biến không dây 14

2.1.5 Cổng giao tiếp IoT 15

PHÂN LỚP THIẾT BỊ IoT 15

CÁC ỨNG DỤNG IoT 17

BẢO MẬT TRONG MÔI TRƯỜNG IoT 18

CÁC NGUY CƠ VỚI IoT TRONG NHÀ THÔNG MINH 18

QUẢN LÝ NHẬN DIỆN VÀ CHỨNG THỰC TRONG IoT 20

CÁC CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN 21

2.7.1 IoT Guardian của ZingBox 21

2.7.2 Bảo mật thiết bị và cổng giao tiếp của IBM 23

KẾT CHƯƠNG 27

Chương 3 - THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT 28

MÔ HÌNH 28

3.2.1 Mô hình chức năng 28

3.2.2 Mô hình triển khai 30

TRIỂN KHAI CÁC KHỐI CHỨC NĂNG 31

3.3.1 Thiết bị định tuyến (Router biên) 31

3.3.2 Thiết bị chuyển mạch (Switch) 31

3.3.3 Khu vực người dùng (Users) 31

3.3.4 Khu vực DMZ 31

3.3.5 Khu vực IoT 31

3.3.6 Hệ thống phát hiện xâm nhập (IDS) 32

3.3.7 Giải thuật xử lý 32

KẾT QUẢ TRIỂN KHAI THỰC NGHIỆM 34

3.4.1 Môi trường thực nghiệm 34

3.4.2 Kịch bản 1 – Xây dựng và cách ly hệ thống mạng 34

Kiểm soát quá trình truy cập hệ thống mạng 34

Nhận xét đánh giá 36

3.4.3 Kịch bản 2 – Triển khai hệ thống mạng IoT và định tuyến Ipv6 36

Xây dựng hệ thống mạng IoT 36

Đánh giá kết quả thực nghiệm 38

3.4.4 Kịch bản 3 – Triển khai hệ thống phát hiện xâm nhập (IDS) 38

Triển khai giải pháp IDS cho mạng IoT mô phỏng 38

Nhận xét đánh giá 44

NHẬN XÉT ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 45

KẾT CHƯƠNG 45

TÓM TẮT LUẬN VĂN

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC

THIẾT BỊ IoT

Học viên: Đặng Văn Nghĩa Chuyên ngành: Khoa học máy tính

Mã số: 60.48.01 Khóa: 31 Trường Đại học Bách khoa – ĐHĐN

Tóm tắt - Với sự ra đời và tốc độ phát triển của IoT như hiện nay, tương lai sẽ có

hàng tỷ thiết bị thông minh kết nối internet và tương tác với nhau Do đó bảo mật cho thiết bị IoT là một thách thức lớn đối với các cá nhân, tổ chức, doanh nghiệp triển khai IoT Hiện nay nhiều giải pháp bảo mật cho IoT đã được triển khai như ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass của HP, ISA của Cisco, SDN, … Tuy nhiên mỗi giải pháp bảo mật có ưu nhược điểm riêng Vì vậy tác giả đề xuất giải pháp bảo mật tổng thể cho thiết bị IoT kết hợp nhận diện, xác thực thiết bị, cách ly luồng dữ liệu, ẩn thông tin thiết bị khi kết nối internet, theo dõi, giám sát luồng dữ liệu trao đổi trong mạng và đưa ra cảnh báo khi có dấu hiệu bất thường xảy ra Giải pháp đề xuất được thực hiện thông qua việc chia VLAN, thiết lập ACL, NAT, lọc địa chỉ MAC, chứng thực sử dụng tên đăng nhập kết hợp mật khẩu và triển khai hệ thống phát hiện xâm nhập (IDS) để giám sát, cảnh báo

Từ khóa - bảo mật IoT; bảo mật thiết bị IoT; giám sát; phát hiện xâm nhập; lọc địa

chỉ MAC

RESEARCH IN BUILDING SECURITY SOLUTION FOR IOT

DEVICES

Abstract - With the growing up and development of IoT today, the future will be

billions of smart devices connected to the internet and interact with each other Hence the security of IoT device is a big challenge for individuals, organizations and enterprises deploying IoT Currently, many security solutions for IoT have been deployed such as ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass

of HP, ISA of Cisco, SDN, etc However, each security solution has its advantages and disadvantages So the author proposes a comprehensive security solution for IoT devices that combines authentication, device authentication, data isolation, device information concealment on the Internet, data stream monitoring and monitoring Exchange within the network and issue alerts when abnormalities occur The proposed solution is implemented through VLAN splitting, ACLs, NATs, MAC address filtering, authentication using password-matching logins and deployment of intrusion detection systems (IDS) for monitoring, warning

Key words – IoT security; IoT device security; monitoring; intrusion detection;

MAC address filtering

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

6LBR 6LoWPAN Border Router

6LoWPAN IPv6 over Low-power Wireless Personal Area Networks ALG Application Layer Gateway

API Application Programming Interface

BLE Bluetooth Low Energy

DMZ De-Militarised Zone

IAB Internet Architecture Board

IDS Intrusion Detection System

IEEE Institute of Electrical and Electronics Engineers

IoT Internet of Things

IP Internet Protocol

ITU International Telecommunication Union

JSON JavaScript Object Notation

M2M Machine to Machine

MAC Media Access Control

NAC Network Access Control

NAT Network Address Translation

OAuth Open Authorization

PAN Personal Area Network

REST Representational State Transfer

RFID Radio Frequency Identification

RMI Remote Method Invocation

RTOS Real Time Operating System

SOA Service Oriented Architecture

SOAP Simple Object Access Protocol

SSDP Simple Sevice Discovery Protocol

URI Uniform Resource Identifier

VLAN Virtual Local Area Network

WAN Wide Area Network

WPA2-PSK Wi-Fi Protected Access 2 - Pre-Shared Key WSN Wireless Sensor Network

XML eXtensible Markup Language

DANH MỤC CÁC BẢNG

3.1 Danh sách thiết bị được phép truy cập vào hệ thống mạng 35 3.2 Danh sách thiết bị được phép truy cập vào khu vực IoT 36

1.2 Mô hình truyền thông thiết bị với thiết bị 8 1.3 Mô hình truyền thông thiết bị với đám mây 9 1.4 Mô hình truyền thông thiết bị với cổng giao tiếp 11 1.5 Mô hình chia sẻ dữ liệu đầu cuối 12

2.4 Sơ đồ mô tả chứng thực OAuth 2.0 24 2.5 Mô hình xác thực ID ứng dụng 25

3.3 Mô hình chi tiết triển khai hệ thống phát hiện xâm nhập (IDS) 32

3.4 Mô hình thực nghiệm kiểm soát truy cập giữa các khu vực trong hệ

3.5 Mô hình mô phỏng hệ thống IoT 36 3.6 Bảng định tuyến tại nút 1 – Router biên (6LBR) 37

3.11 IDS Suricata kết nối với Prelude hiển thị kết quả thông qua giao

3.13 Di chuyển đến thư mục chứa mã nguồn SVELTE 40 3.14 Mô phỏng 8 nút, trong đó có 1 nút bị kẻ tấn công điều khiển 40 3.15 Mô phỏng 16 nút, trong đó có 2 nút bị kẻ tấn công điều khiển 41 3.16 Mô phỏng 32 nút, trong đó có 4 nút bị kẻ tấn công điều khiển 41 3.17 Tỉ lệ dương tính sai với kịch bản 8 nút của SVELTE 42 3.18 Tỉ lệ dương tính sai với kịch bản 16 nút của SVELTE 42 3.19 Tỉ lệ dương tính sai với kịch bản 32 nút của SVELTE 43 3.20 Tỉ lệ dương tính đúng với kịch bản 8 nút của SVELTE 43 3.21 Tỉ lệ dương tính đúng với kịch bản 16 nút của SVELTE 44 3.22 Tỉ lệ dương tính đúng với kịch bản 32 nút của SVELTE 44

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Thuật ngữ IoT ra đời từ năm 1999, trên thế giới người ta đã nghiên cứu, triển khai và ứng dụng nó trong các hoạt động của đời sống cụ thể như: Smart home, Smart watch, Smart city, Smart phone, Smart TV,…Tuy nhiên ở Việt Nam chúng ta thuật ngữ IoT thực sự được nhiều người biết đến và sử dụng khoảng vài năm gần đây [5,12] Năm 2014 Công ty HP yêu cầu kiểm tra các ứng dụng bảo mật trên 10 thiết bị IoT phổ biến nhất được sử dụng và các ứng dụng di động bao gồm: TV, ổ cắm điện, webcam, hub thông minh, điều hòa nhiệt độ trong nhà, điều khiển phun nước, chuông báo, mở cửa nhà để xe và khóa cửa [14-16]

Theo báo cáo của HP thông qua kiểm tra phát hiện tổng cộng 250 lỗ hổng bảo mật trong các thiết bị IoT, như vậy trung bình có khoảng 25 lỗ hổng bảo mật cho mỗi thiết bị Những vấn đề liên quan đến sự riêng tư, không có đủ quyền truy cập, dữ liệu không được mã hóa trước khi truyền, bảo vệ phần mềm không đầy đủ và giao diện web không an toàn [14-16]

Nghiên cứu chỉ ra rằng 80% các thiết bị được kiểm tra gồm các ứng dụng di động

và cloud tương ứng, mối quan tâm lớn nhất liên quan đến việc thu thập dữ liệu riêng tư của người dùng như tên, địa chỉ mail, địa chỉ vật lý, ngày sinh, tài chính và thông tin sức khỏe [14-16]

Khi nói đến sự cho phép, nhiều sản phẩm không thực thi chính sách mật khẩu mạnh, cho phép người dùng thiết lập mật khẩu đơn giản không chỉ trên thiết bị của họ

mà trên cả web và các ứng dụng di động

HP cho biết 70% các thiết bị IoT được kiểm tra không mã hóa khi truyền thông trên internet và trên mạng cục bộ, với nửa số ứng dụng của họ thiếu cơ chế mã hóa khi truyền dữ liệu Khoảng 60% thiết bị của các nhà sản xuất không đảm bảo rằng các bản cập nhật phần mềm được tải về một cách an toàn, trong một số trường hợp cho phép

kẻ tấn công ngăn chặn chúng [14-16]

Theo như giao diện web có liên quan, sáu trong số 10 sản phẩm tồn tại các lỗ hổng XSS, thông tin mặc định dễ đoán và quản lý phiên không chặt chẽ Sai sót trong các ứng dụng đám mây và di động của 70% thiết bị có thể bị khai thác để xác định tài khoản người dùng hợp lệ thông qua tính năng khôi phục mật khẩu hoặc liệt kê tài khoản [16]

Gartner dự đoán rằng đến năm 2020 sẽ có khoảng 26 tỷ thiết bị IoT, với các công

ty cung cấp sản phẩm và dịch vụ tạo doanh thu tăng vượt quá 300 tỷ $ HP tin rằng nhiều nhà sản xuất thiết bị cố gắng khởi động các sản phẩm của mình càng nhanh càng

tốt trong nỗ lực để chiếm được thị phần, nhưng lại bỏ qua các vấn đề về an ninh 16]

[14-Xuất phát từ những lý do nêu trên, tôi chọn thực hiện đề tài: “Nghiên cứu xây

dựng giải pháp bảo mật cho các thiết bị IoT”

2 Mục đích nghiên cứu

Mục đích chính của luận văn nhằm xây dựng giải pháp bảo mật cho các thiết bị IoT trong gia đình (SmartHome) Giải pháp đề xuất nhằm đáp ứng các yêu cầu như sau:

 Quản lý và nhận diện được toàn bộ thiết bị IoT trong gia đình,

 Cách ly người dùng kết nối Wifi với các thiết bị IoT trong gia đình,

 Chỉ định thiết bị cụ thể được phép kết nối và quản lý toàn bộ hệ thống trong gia đình,

 Giám sát truy cập và lưu lượng vào/ra mạng đồng thời đưa ra cảnh báo

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của đề tài:

 Các giải pháp bảo mật cho thiết bị IoT,

 Kiến trúc hệ thống IoT,

 Các công cụ hỗ trợ bảo mật cho thiết bị IoT

Phạm vi nghiên cứu của đề tài:

 Nghiên cứu bảo mật cho thiết bị IoT trong gia đình (SmartHome),

 Nghiên cứu các mô hình kết nối IoT trong gia đình

4 Phương pháp nghiên cứu

Đề tài sẽ sử dụng các phương pháp nghiên cứu:

a Phương pháp nghiên cứu lý thuyết

 Cơ sở lý thuyết về IoT,

 Cơ sở lý thuyết về các mô hình bảo mật cho IoT,

 Cơ sở lý thuyết bảo mật cho IoT

b Phương pháp thực nghiệm

 Triển khai các chính sách bảo mật cho thiết bị IoT trong gia đình,

 Xây dựng mô hình kết nối và thử nghiệm

5 Cấu trúc của luận văn

Cấu trúc của luận văn gồm các phần chính như sau:

Mở đầu: Trình bày tính cần thiết của đề tài, mục đích, phạm vi nghiên cứu của đề

tài, phương pháp nghiên cứu và bố cục của luận văn

Chương 1 Tổng quan về IoT Trình bày lý thuyết ngắn gọn, khảo sát các công

trình đã đăng tải liên quan đến đề tài luận văn, nêu những vấn đề còn tồn tại, chỉ ra những vấn đề mà đề tài luận văn quan tâm

Chương 2 Cơ sở lý thuyết Tổng hợp, thu thập, phân tích, đánh giá các số liệu

trên cơ sở lý thuyết, giả thiết khoa học để giải quyết vấn đề mà đề tài quan tâm

Chương 3 Thiết kế và triển khai giải pháp bảo mật Trình bày phần tính toán, mô

phỏng hay kết quả thực nghiệm để minh chứng cho các kết quả trong các chương trước; Phần bàn luận phải căn cứ vào các dẫn liệu khoa học thu được trong quá trình nghiên cứu của đề tài luận văn hoặc đối chiếu so sánh kết quả nghiên cứu của các tác giả khác thông qua các tài liệu tham khảo

Kết luận và hướng phát triển Đánh giá kết quả đã đạt được, xác định những ưu

nhược điểm và hướng phát triển trong tương lai

Chương 1 - TỔNG QUAN VỀ IoT

GIỚI THIỆU

Thuật ngữ “Internet of Things” (IoT) được sử dụng đầu tiên vào năm 1999 bởi nhà tiên phong về công nghệ người Anh có tên Kevin Ashton nhằm mô tả một hệ thống trong đó các đối tượng trong thế giới thực có thể kết nối Internet bằng cảm biến Ashton đưa ra thuật ngữ để minh họa sức mạnh của việc kết nối các thẻ RFID được sử dụng trong các chuỗi cung ứng của công ty với Internet để kiểm tra và theo dõi hàng hóa mà không cần sự can thiệp của con người Ngày nay, IoT đã trở thành một thuật ngữ phổ biến để mô tả các viễn cảnh trong đó khả năng kết nối Internet và mở rộng tính toán đến nhiều đối tượng, thiết bị, cảm biến và đồ vật hằng ngày [5,12]

Trong khi thuật ngữ “Internet of Things” tương đối mới, khái niệm kết hợp máy tính và mạng để theo dõi và điều khiển các thiết bị đã xuất hiện trong nhiều thập kỷ qua Ví dụ, vào cuối những năm 1970, các hệ thống giám sát từ xa công tơ điện trên lưới điện thông qua đường dây điện thoại đã được sử dụng cho mục đích thương mại Vào những năm 1990, các tiến bộ trong công nghệ không dây cho phép doanh nghiệp M2M và các giải pháp công nghiệp cho thiết bị giám sát và vận hành trở nên phổ biến Tuy nhiên, nhiều giải pháp M2M ban đầu được xây dựng dựa trên các mạng với mục đích khép kín và độc quyền hoặc các tiêu chuẩn theo lĩnh vực riêng hơn là các mạng dựa trên giao thức và các chuẩn Internet [5,12]

Sử dụng IP để kết nối các thiết bị không phải máy tính với Internet là ý tưởng đã

có từ trước Thiết bị internet sử dụng IP đầu tiên là một máy nướng bánh mỳ nó có thể bật và tắt thông qua internet được trưng bày tại hội nghị internet năm 1990 Trong những năm sau đó, nhiều thứ khác sử dụng IP ra đời như máy nước ngọt tại Đại học Carnegie Mellon của Mỹ và nồi nấu cà phê trong phòng tại Đại học Cambridge của Anh (vẫn duy trì kết nối internet cho đến 2001) Từ những khởi đầu tuyệt vời này, cho

ra đời một lĩnh vực nghiên cứu và phát triển mạnh mẽ thành mạng lưới các đối tượng thông minh tạo nền tảng cho IoT ngày nay [5,12]

Theo hội đồng kiến trúc Internet (IAB): IoT cho thấy ở đó một lượng lớn thiết bị nhúng sử dụng dịch vụ thông tin liên lạc được cung cấp bởi các giao thức Internet Hầu hết trong số đó được gọi là các đối tượng thông minh không được điều khiển trực tiếp bởi con người, nhưng chúng tồn tại như là thành phần trong các tòa nhà hoặc xe

cộ hoặc ngoài môi trường [5,12]

Theo liên minh viễn thông quốc tế (ITU): IoT là hạ tầng toàn cầu cho xã hội thông tin, cho phép nâng cao các dịch vụ bằng cách kết nối mọi thứ dựa trên công nghệ thông tin và truyền thông hiện có với việc phát triển các công nghệ thông tin và truyền thông tương thích [5,12]

Theo tạp chí thông tin IEEE: IoT là một khuôn dạng trong đó tất cả mọi thứ phải hiện diện trên Internet và phải có một đại diện Cụ thể hơn, IoT nhằm mục đích cung cấp các ứng dụng mới và dịch vụ cầu nối giữa thế giới thực và ảo, trong đó truyền thông từ máy đến máy đại diện cho thông tin liên lạc cơ bản nó cho phép tương tác giữa mọi thứ và các ứng dụng trong đám mây [5,12]

Theo từ điển Oxford: IoT là sự kết nối thông qua Internet của các thiết bị điện toán được tích hợp trong các vật dụng hằng ngày cho phép chúng gửi và nhận dữ liệu [5,12]

KIẾN TRÚC IoT

Các khu nhà của IoT là các thiết bị cảm biến, dịch vụ gọi từ xa, các mạng truyền thông và xử lý sự kiện theo ngữ cảnh; Những điều này đã được xây dựng và nghiên cứu trong nhiều năm Tuy nhiên, những gì IoT cố gắng để minh họa là một mạng lưới thống nhất các đối tượng thông minh và con người chịu trách nhiệm điều hành chúng [2]

Hình 1.1 Kiến trúc tham chiếu cho IoT Khi nói đến một môi trường phân tán, sự liên kết giữa các thực thể là một yêu cầu thiết yếu, và IoT là một ví dụ điển hình Một kiến trúc hệ thống toàn diện cho IoT cần đảm bảo các thành phần của nó hoạt động hoàn hảo (độ tin cậy được coi là yếu tố quan trọng nhất trong IoT) và liên kết giữa thế giới ảo với thế giới thật Để đạt được điều này, cần phải xem xét cẩn thận trong việc thiết kế khả năng khôi phục lỗi và mở rộng Ngoài ra, vì tính di động và sự thay đổi vị trí một cách tự động trở thành một

phần không thể tách rời của các hệ thống IoT thông qua việc điện thoại thông minh được sử dụng phổ biến, các kiến trúc hiện đại cần phải có khả năng thích nghi nhất định nhằm xử lý đúng đắn các tương tác động trong toàn bộ hệ thống [2]

Các mô hình và kiến trúc tham chiếu biểu diễn tổng quan về hệ thống, ưu thế của chúng so với kiến trúc khác dựa trên việc cung cấp mức độ trừu tượng tốt hơn và cao hơn, vì vậy ẩn đi các ràng buộc cụ thể và chi tiết thực hiện [2]

Nhiều nhóm nghiên cứu đã đề xuất các kiến trúc tham chiếu cho IoT IoT-A tập trung vào việc phát triển và xác nhận hợp nhất kiến trúc mạng IoT và hỗ trợ xây dựng các khu nhà IoT Dự án IoT-i liên quan đến dự án IoT-A đã đề cập trước đó, tập trung vào việc thúc đẩy các giải pháp IoT, bắt kịp các yêu cầu và sở thích IoT-i nhằm đạt được các mục tiêu chiến lược, như: tạo ra một tầm nhìn chung về chiến lược và kỹ thuật cho IoT ở Châu Âu và góp phần tạo ra môi trường bền vững về mặt kinh tế, xã hội ở Châu Âu về công nghệ IoT [2]

Một mô tả phác thảo phiên bản mở rộng của kiến trúc tham chiếu cho IoT Lớp dịch vụ và lớp trình bày được hiển thị trong kiến trúc này Lớp dịch vụ bao gồm xử lý

sự kiện, phân tích, quản lý tài nguyên và phát hiện dịch vụ, cũng như các dịch vụ tích hợp tin nhắn được xây dựng nằm trên lớp truyền thông và lớp vật lý Kiến trúc mới bổ sung chức năng quản lý API, nó cần thiết cho việc xác định và chia sẻ các dịch vụ hệ thống dựa vào bảng điều khiển chạy trên web (hoặc các ứng dụng điện thoại thông minh tương ứng) để quản lý và truy cập đến những API này Do tầm quan trọng của việc quản lý thiết bị, bảo mật và thực thi quyền riêng tư trong các lớp khác nhau, khả năng nhận diện các đối tượng và kiểm soát mức độ truy cập của chúng, những thành phần này được thể hiện một cách độc lập trong kiến trúc mới [2]

1.2.1 Kiến trúc dựa trên SOA

Trong IoT, kiến trúc hướng dịch vụ có thể là điều bắt buộc đối với các nhà cung cấp dịch vụ và người dùng SOA đảm bảo khả năng tương tác giữa các thiết bị không đồng nhất Để làm rõ điều này chúng ta hãy xem xét một kiến trúc hướng dịch vụ chung bao gồm bốn lớp, với chức năng phân biệt như sau [2]:

 Lớp cảm biến được tích hợp với các đối tượng phần cứng có sẵn để nhận biết trạng thái của sự vật

 Lớp mạng là cơ sở hạ tầng để hỗ trợ các vật thông qua kết nối có dây hoặc không dây

 Lớp dịch vụ thực hiện việc khởi tạo và quản lý dịch vụ theo yêu cầu của người dùng hoặc ứng dụng

 Lớp giao tiếp bao gồm các phương thức giao tiếp với người hoặc ứng dụng

SOA được sử dụng rộng rãi trong mạng cảm biến không dây (WSN) do mức độ trừu tượng và các ưu điểm phù hợp với mô đun thiết kế của nó Với việc mang lại những lợi ích cho IoT như nêu ở trên, SOA có tiềm năng làm tăng mức độ tương thích

và khả năng mở rộng giữa các đối tượng trong IoT Hơn nữa, từ quan điểm của người dùng, tất cả dịch vụ được gom vào bộ dùng chung, loại bỏ các thành phần mở rộng phức tạp đối với người dùng liên quan đến nhiều lớp và giao thức khác nhau Ngoài ra, bằng cách tạo nên những chức năng khác nhau của hệ thống thông qua các thành phần dịch vụ phù hợp với bản chất không đồng nhất của IoT để có khả năng xây dựng đa dạng dịch vụ và các dịch vụ phức tạp, ở đó hoàn thành mỗi nhiệm vụ yêu cầu một chuỗi các phiên gọi dịch vụ trên tất cả thực thể khác nhau được lan truyền thông qua nhiều vị trí [2]

Nói chung trong kiến trúc như vậy, một hệ thống phức tạp được chia thành nhiều

hệ thống con được ghép lỏng lẻo và có thể sử dụng lại sau này, do đó dễ dàng để duy trì toàn bộ hệ thống bằng việc quản lý từng thành phần riêng Điều này có thể đảm bảo rằng một thành phần lỗi thì phần còn lại của hệ thống vẫn có thể hoạt động bình thường Nó có giá trị rất lớn cho việc thiết kế một kiến trúc ứng dụng IoT hiệu quả, ở

đó độ tin cậy là tham số quan trọng nhất [2]

1.2.2 Kiến trúc hướng API

Phương pháp tiếp cận thông thường để phát triển các giải pháp hướng dịch vụ sử dụng SOAP và RMI như một phương tiện để mô tả, phát hiện và gọi các dịch vụ; Tuy nhiên, do chi phí và sự phức tạp của những kỹ thuật này, nên lập trình giao tiếp ứng dụng web và REST được giới thiệu như là giải pháp thay thế đầy hứa hẹn Các nguồn lực bắt buộc bao gồm từ băng thông mạng cho đến khả năng tính toán và lưu trữ được kích hoạt bởi dữ liệu phản hồi yêu cầu xảy ra thường xuyên trong suốt các phiên gọi dịch vụ Các dạng trao đổi dữ liệu giống như JSON có thể làm giảm chi phí nói trên, đặc biệt các thiết bị thông minh và cảm biến với nguồn tài nguyên giới hạn, bằng cách thay thế các tệp XML lớn được sử dụng để mô tả các dịch vụ Điều này giúp sử dụng kênh truyền thông và năng lực xử lý của thiết bị một cách hiệu quả hơn [2]

Tương tự như vậy, việc xây dựng các API cho những ứng dụng IoT giúp nhà cung cấp dịch vụ thu hút được nhiều khách hàng hơn là tập trung vào trình bày chức năng sản phẩm của họ Ngoài ra, tính năng bảo mật của các API web hiện đại như OAuth nó dễ dàng kích hoạt hơn, các API thực sự có khả năng thúc đẩy thương mại hóa và dịch vụ triển lãm của tổ chức, nó cung cấp nhiều công cụ theo dõi và dịch vụ định giá hiệu quả hơn những phương pháp tiếp cận theo hướng dịch vụ trước đây [2]

Để kết thúc việc này, trong các nghiên cứu đã đề xuất trước đây, việc sử dụng ký hiệu web API và ngôn ngữ định nghĩa API để mô tả thiết bị, cảm biến, con người và dịch vụ hiện có Hơn nữa, một phương pháp tiếp cận phát hiện hai giai đoạn được đề

xuất nhằm tìm kiếm các cảm biến cung cấp dịch vụ mong muốn và phù hợp với những tính năng nhất định giống như xác định vị trí Đề xuất một lớp dịch vụ trung gian đó là đưa ra một tập hợp API cho phép chia sẻ quyền truy cập đến lõi Các phương pháp tiếp cận giả định nhằm xác định và chia sẻ các dịch vụ trong môi trường phân tán và đa tác nhân giống như IoT có thể làm tăng tính thực tế trong chu kỳ phát triển ứng dụng và giảm thiểu chi phí gọi dịch vụ trong thời gian chạy [2]

Chuyển từ các nền tảng dịch vụ phân phối sang nền tảng dựa trên web Các nhà phát triển và quản lý kinh doanh nên tập trung phát triển, chia sẻ các API từ giai đoạn đầu của vòng đời phát triển ứng dụng của họ, để cuối cùng dữ liệu đến với các nhà phát triển khác và người dùng cuối, một môi trường dữ liệu mở sẽ tạo ra khả năng cộng tác trong việc thu thập, chia sẻ và cập nhật thông tin [2]

CÁC MÔ HÌNH TRUYỀN THÔNG IoT

1.3.1 Mô hình truyền thông thiết bị với thiết bị

Mô hình truyền thông thiết bị với thiết bị (Device – to – Device) đại diện cho hai

hoặc nhiều thiết bị kết nối trực tiếp và truyền thông giữa thiết bị này với thiết bị khác

mà không thông qua máy chủ ứng dụng trung gian được thể hiện trong Hình 1.2 Những thiết bị này liên lạc thông qua nhiều kiểu mạng, bao gồm các mạng IP hoặc Internet Tuy nhiên, những thiết bị này thường sử dụng các giao thức như Bluetooth, Z-Wave, ZigBee để thiết lập liên lạc trực tiếp giữa thiết bị với nhau [5,17]

Hình 1.2 Mô hình truyền thông thiết bị với thiết bị Những mạng kết nối kiểu này cho phép các thiết bị tuân thủ một giao thức truyền thông cụ thể để giao tiếp và trao đổi thông điệp nhằm đạt được chức năng của chúng

Mô hình này thường được sử dụng trong các ứng dụng giống như hệ thống tự động hóa trong nhà, thường sử dụng các gói dữ liệu nhỏ để thông tin giữa các thiết bị yêu cầu tốc độ dữ liệu tương đối thấp Các thiết bị IoT trong nhà như bóng đèn, các công tắc đèn, máy điều hòa nhiệt độ, khóa cửa thường gửi một lượng nhỏ thông tin cho nhau trong kịch bản nhà tự động [5,17]

Cách tiếp cận truyền thông giữa các thiết bị kiểu này minh họa nhiều thách thức

về khả năng tương tác Những thiết bị này thường có mối quan hệ trực tiếp, chúng thường có cơ chế bảo mật và tin cậy, nhưng hầu như chúng sử dụng các mô hình dữ liệu cụ thể cho thiết bị đòi hỏi nỗ lực phát triển dự phòng bởi các nhà sản xuất thiết bị Điều này có nghĩa rằng các nhà sản xuất thiết bị cần đầu tư vào phát triển nhằm triển khai các định dạng dữ liệu cụ thể cho thiết bị hơn là mở ra các phương pháp tiếp cận cho phép sử dụng các định dạng dữ liệu chuẩn [5,17]

Theo quan điểm của người dùng, điều này có nghĩa rằng các giao thức truyền thông giữa các thiết bị không tương thích, buộc người dùng lựa chọn nhóm thiết bị sử dụng một giao thức chung Ví dụ, các thiết bị sử dụng giao thức Z-Wave không tương thích với các thiết bị sử dụng giao thức ZigBee Mặc dù việc không tương thích này hạn chế người dùng phải lựa chọn thiết bị là thành viên của họ hàng giao thức cụ thể, tuy nhiên lợi ích mang lại cho người dùng đó là những thiết bị thuộc cùng họ hàng cụ thể có xu hướng giao tiếp tốt [5,17]

1.3.2 Mô hình truyền thông thiết bị với đám mây

Mô hình truyền thông thiết bị với đám mây (Device – to – Cloud) trong đó thiết

bị IoT kết nối trực tiếp với dịch vụ đám mây Internet, dịch vụ đám mây Internet đóng vai trò là nhà cung cấp dịch vụ ứng dụng để trao đổi dữ liệu và điều khiển luồng thông điệp Cách tiếp cận này thường tận dụng các cơ chế truyền thông hiện có như kết nối Ethernet hoặc Wifi để thiết lập kết nối giữa thiết bị và mạng IP, sau đó kết nối đến dịch vụ đám mây như hiển thị trong Hình 1.3 [5,17]

Hình 1.3 Mô hình truyền thông thiết bị với đám mây

Mô hình truyền thông này được sử dụng bởi một số thiết bị IoT phổ biến như máy điều hòa nhiệt độ và tivi thông minh của Samsung Trong trường hợp của máy

điều hòa nhiệt độ, thiết bị truyền dữ liệu đến cơ sở dữ liệu điện toán đám mây, nơi dữ liệu có thể được sử dụng để phân tích năng lượng tiêu thụ trong gia đình Hơn nữa kết nối đám mây cho phép người dùng truy cập từ xa đến máy điều hòa nhiệt độ thông qua điện thoại thông minh hoặc giao diện web, và hỗ trợ cập nhật phần mềm cho máy điều hòa nhiệt độ Tương tự như công nghệ tivi thông minh của Samsung, tivi sử dụng kết nối internet để truyền thông tin người dùng đến Samsung nhằm phân tích và cho phép tương tác với tính năng nhận dạng giọng nói của tivi Trong trường hợp này, mô hình truyền thông thiết bị với đám mây làm tăng lợi ích của người dùng cuối bằng cách mở rộng khả năng của thiết bị vượt qua các đặc trưng vốn có của nó [5,17]

Tuy nhiên, các thách thức về khả năng tương tác có thể xuất hiện khi cố gắng kết hợp thiết bị của các nhà sản xuất khác nhau Thông thường, thiết bị và dịch vụ đám mây xuất phát từ cùng một nhà cung cấp Nếu các giao thức dữ liệu độc quyền được sử dụng giữa thiết bị và dịch vụ đám mây, chủ sở hữu thiết bị hoặc người dùng có thể bị ràng buộc bởi một dịch vụ đám mây cụ thể dẫn đến hạn chế hoặc cản trở việc sử dụng nhà cung cấp dịch vụ thay thế Điều này thường được gọi là “nhà cung cấp khóa trong”, một thuật ngữ bao gồm các khía cạnh khác của mối quan hệ với nhà cung cấp như quyền sở hữu và truy cập vào dữ liệu Đồng thời, người dùng có thể tin rằng thiết

bị được thiết kế cho nền tảng cụ thể có thể được tích hợp [5,17]

1.3.3 Mô hình truyền thông thiết bị với cổng giao tiếp

Mô hình truyền thông thiết bị với cổng giao tiếp (Device – to – Gateway) hay còn

gọi là mô hình truyền thông thiết bị với cổng giao tiếp lớp ứng dụng (ALG) được thể hiện trong Hình 1.4 Trong mô hình này thiết bị IoT kết nối thông qua dịch vụ ALG như một ống dẫn để tiếp cận với dịch vụ đám mây Điều này có nghĩa rằng ở đó có một phần mềm ứng dụng hoạt động tại thiết bị cổng giao tiếp cục bộ Nó đóng vai trò trung gian giữa thiết bị và dịch vụ đám mây, cung cấp cơ chế bảo mật cùng với các chức năng khác như chuyển đổi dữ liệu hoặc giao thức [5,17]

Nhiều dạng của mô hình này được tìm thấy trong các thiết bị của khách hàng Trong nhiều trường hợp thiết bị cổng giao tiếp cục bộ là điện thoại thông minh chạy ứng dụng để giao tiếp với một thiết bị khác và chuyển dữ liệu đến dịch vụ đám mây

Ví dụ thiết bị theo dõi tình trạng sức khỏe cá nhân Thiết bị này không có khả năng kết nối trực tiếp với dịch vụ đám mây, chúng thường dựa vào phần mềm ứng dụng chạy trên điện thoại thông minh, phần mềm này đóng vai trò như cổng giao tiếp trung gian giúp thiết bị này có thể kết nối với đám mây [5,17]

Hình 1.4 Mô hình truyền thông thiết bị với cổng giao tiếp

1.3.4 Mô hình chia sẻ dữ liệu đầu cuối

Mô hình chia sẻ dữ liệu đầu cuối (Backend Data Sharing) đề cập đến kiến trúc

truyền thông cho phép người dùng trích xuất và phân tích dữ liệu của những đối tượng thông minh từ dịch vụ đám mây kết hợp với dữ liệu từ những nguồn khác Kiến trúc này hỗ trợ người dùng truy cập đến dữ liệu cảm biến được tải lên cho bên thứ ba Cách tiếp cận này là mở rộng của mô hình truyền thông giữa thiết bị với đám mây, có thể trở thành kho chứa dữ liệu, ở đó các thiết bị IoT chỉ tải dữ liệu đến một nhà cung cấp dịch

vụ ứng dụng đơn Kiến trúc chia sẻ đầu cuối cho phép dữ liệu thu thập từ các luồng dữ liệu của thiết bị IoT đơn được tổng hợp và phân tích [5,17]

Thông thường trong mô hình thiết bị kết nối với đám mây đơn, dữ liệu của mỗi cảm biến IoT hoặc thiết bị hệ thống nằm trong kho chứa dữ liệu độc lập Hiệu quả của kiến trúc chia sẻ dữ liệu đầu cuối, cho phép công ty dễ dàng truy cập và phân tích dữ liệu trong đám mây được tạo ra bởi toàn bộ thiết bị trong tòa nhà Mặt khác cho phép người dùng di chuyển dữ liệu của mình khi chuyển đổi giữa các dịch vụ IoT, phá vỡ các rào cản dữ liệu truyền thống [5,17]

Hình 1.5 Mô hình chia sẻ dữ liệu đầu cuối

Mô hình chia sẻ dữ liệu đầu cuối cho thấy một phương pháp tiếp cận dịch vụ đám mây liên kết hoặc lập trình các ứng dụng giao tiếp đám mây là cần thiết nhằm đạt được khả năng tương tác của dữ liệu thiết bị thông minh lưu trữ trong đám mây Hình 1.5 thể hiện cho kiểu kiến trúc này [5,17]

Tóm lại: bốn mô hình truyền thông căn bản cho thấy các chiến lược thiết kế ban đầu nhằm cho phép các thiết bị IoT giao tiếp với nhau Bên cạnh một vài yếu tố kỹ thuật cần phải xem xét, việc sử dụng các mô hình này chịu ảnh hưởng chủ yếu bởi tính

mở so với sự độc quyền của các thiết bị IoT nối mạng Và trong trường hợp của mô hình thiết bị kết nối với cổng giao tiếp, tính năng chính của nó là khả năng vượt qua rào cản thiết bị độc quyền trong việc kết nối thiết bị IoT Điều này có nghĩa rằng khả năng tương tác thiết bị và các chuẩn mở là yếu tố chính cần phải xem xét trong việc thiết kế và phát triển các hệ thống IoT [5,17]

Chương 2 - CƠ SỞ LÝ THUYẾT

Thuật ngữ IoT được hình thành từ năm 1999 và phát triển cho đến ngày nay Trong vòng một thập kỷ qua nhiều công ty, tổ chức, cá nhân đã không ngừng nghiên cứu và cho ra đời nhiều tiêu chuẩn, giao thức truyền thông cùng với đó là sản xuất thiết bị IoT Tuy nhiên người dùng vẫn quen với kiến trúc và hạ tầng mạng truyền thống, cho nên thông tin và hiểu biết về IoT còn nhiều hạn chế, đặc biệt kiến thức bảo mật cho IoT là vấn đề mà người dùng cá nhân lẫn doanh nghiệp chưa được tiếp cận rõ ràng và đầy đủ Vì vậy trong chương 2 sẽ tập trung làm rõ các nội dung lý thuyết liên quan đến cách thức làm việc, trao đổi dữ liệu,… đồng thời tìm hiểu một số cơ chế, giải pháp bảo mật cho IoT được các tổ chức, cá nhân đề xuất và đã triển khai trong thực tế

MÔ HÌNH KẾT NỐI IoT

Hình 2.1 Topology chung cho IoT [12]

 Cổng giao tiếp là nơi tập hợp dữ liệu và mọi dữ liệu đều được gửi qua đây,

 Thiết bị IoT là nơi thu thập dữ liệu

2.1.2 Cơ chế hoạt động

Dữ liệu được thu thập thông qua các cảm biến và mọi dữ liệu được truyền đến cổng giao tiếp, sau đó dữ liệu được gửi lên đám mây, tại đây dữ liệu được lưu trữ, phân tích, xử lý nhằm phục vụ cho các mục đích khác nhau, hoặc dữ liệu được xử lý

và ra quyết định điều khiển thiết bị hoặc thực hiện một chức năng cụ thể

2.1.3 Thiết bị cảm biến

Mục đích chính của thiết bị cảm biến dùng để phát hiện và đo các sự kiện hoặc

sự thay đổi của môi trường, cung cấp thông tin đầu ra tương ứng Thông thường cảm biến được so sánh với thiết bị dò vì thực tế nó chuyển năng lượng từ dạng này sang dạng khác Các cảm biến có thể cung cấp nhiều kiểu đầu ra, nhưng thường là các tín hiệu điện (tín hiệu tương tự hoặc tín hiệu số) hoặc tín hiệu quang [2,4]

Cảm biến được sử dụng trong các ứng dụng hoặc dịch vụ, thông qua việc triển khai các thiết bị như các nút tiếp xúc của thang máy (cảm biến xúc giác), cảm biến bãi

đỗ xe, cảm biến ánh sáng, cảm biến máy công nghiệp, Cảm biến được ứng dụng trong các lĩnh vực như chế tạo, sản xuất máy móc, máy bay và hàng không vũ trụ, xe hơi, thuốc men, người máy và cuộc sống hằng ngày của chúng ta [2,4]

Với những tiến bộ trong nền tảng điều khiển vi mô, việc sử dụng các cảm biến đã vượt ra ngoài các lĩnh vực truyền thống như về nhiệt độ, chất lượng không khí, phát hiện bóng tối và áp suất hoặc đo lưu lượng [2,4]

2.1.4 Mạng cảm biến không dây

Mạng cảm biến không dây là mạng máy tính bao gồm các thiết bị tự động sử dụng cảm biến để theo dõi điều kiện môi trường hoặc vật chất như độ rung, nhiệt độ,

âm thanh, áp suất hoặc chuyển động ở những vị trí khác nhau Mạng cảm biến không dây hiện đang được ứng dụng trong nhiều lĩnh vực (ví dụ các thành phố thông minh, Công nghiệp 4.0, chăm sóc sức khỏe điện tử), bao gồm giám sát môi trường và thói quen sống, ứng dụng chăm sóc y tế, tự động hóa nhà ở, bãi đậu xe, quản lý chất thải, chất lượng không khí, đo lường tiếng ồn, điều tiết giao thông và các ứng dụng hữu ích khác [2,4]

Mạng cảm biến không dây được xây dựng từ vài trăm hoặc thậm chí vài nghìn nút, trong đó mỗi nút được kết nối với một hoặc vài cảm biến Mỗi nút cảm biến trong mạng thường gồm nhiều phần: một máy thu phát vô tuyến với một ăng-ten bên trong hoặc kết nối với ăng-ten bên ngoài, một vi điều khiển, một mạch điện tử để liên lạc với các cảm biến và một nguồn năng lượng, thường là pin hoặc một dạng thiết bị đi kèm

có khả năng thu nhận năng lượng Các ràng buộc về kích thước và chi phí trên những nút cảm biến dẫn đến các ràng buộc tương ứng về các nguồn lực như năng lượng, bộ nhớ, tốc độ tính toán và băng thông Mô hình của các mạng cảm biến không dây có thể thay đổi từ dạng hình sao đơn giản thành mạng không dây dạng mắc lưới nâng cao đa điểm [2,4]

2.1.5 Cổng giao tiếp IoT

Cổng giao tiếp IoT (IoT Gateway) là điểm mạng hoạt động giống như một lối

vào của mạng khác Ví dụ về cổng giao tiếp có thể xem như các máy tính điều khiển lưu lượng bên trong mạng công ty hoặc tại nhà cung cấp dịch vụ internet cục bộ [2,4] Cổng giao tiếp giúp đơn giản hóa các mạng IoT bằng việc hỗ trợ kết nối, hợp nhất và giảm thiểu sự đa dạng của dữ liệu đến từ nhiều thiết bị mạng khác nhau [2,4]

Có nhiều cách để thực hiện một cổng giao tiếp IoT dựa vào ứng dụng Hai cách tiếp cận phổ biến gồm cổng giao tiếp đơn giản và cổng giao tiếp điều khiển nhúng Cả hai cung cấp kết nối vững chắc bằng cách tập hợp dữ liệu từ nhiều điểm cuối Nói chung, một cổng giao tiếp đơn giản tổ chức và chuyển gói tin thông qua internet Nó chịu trách nhiệm cho việc phân phối dữ liệu trở lại các điểm cuối trong các ứng dụng nơi truyền thông hai chiều là thuận lợi hoặc bắt buộc [2,4]

Điều quan trọng là phân biệt được một cổng giao tiếp khác với thiết bị định tuyến Bộ định tuyến quản lý dữ liệu giống nhau và kết nối các thiết bị chia sẻ một giao tiếp chung Ví dụ tất cả thiết bị kết nối đến bộ định tuyến gia đình sử dụng IP [2,4]

Một cổng giao tiếp hoạt động như một cầu nối, do đó có thể định tuyến các loại lưu lượng khác nhau và chuyển đổi những luồng này sang một giao thức chung để truy cập qua mạng WAN Một số thiết bị có thể sử dụng IP trong khi những thiết bị khác có thể sử dụng các giao thức dựa trên PAN như Bluetooth, Zigbee hoặc 6LoWPAN Các nút là các cảm biến đơn giản cần phải kết nối đến một bộ chuyển đổi tín hiệu tương tự thành tín hiệu số để chuyển đổi điện áp thành giá trị số trước khi vận chuyển [2,4]

PHÂN LỚP THIẾT BỊ IoT

Ý tưởng cung cấp an ninh mạng cho các hệ thống nhúng và các thiết bị IoT mới nhất nhanh chóng thu hút được sự chú ý của thị trường Thật không may, có rất ít giải pháp bảo mật được kiểm tra và hoàn thiện từ các nhà cung cấp phần mềm Hầu hết các nhà cung cấp một thành phần đơn giống như khởi động an toàn hoặc mã hóa kết nối

mà không giải quyết nhiều hướng tấn công thông thường khác Việc thiếu chiều sâu từ sản phẩm giữa các nhà cung cấp phần mềm buộc các kỹ sư phải tích hợp một chuỗi

các thành phần từ nhiều nguồn cho thấy rằng chúng không làm việc tốt cùng với nhau hoặc khó áp đặt yêu cầu dựa trên hệ thống có nguồn tài nguyên hạn chế [9,18]

Mỗi thiết bị IoT yêu cầu cách tiếp cận bảo mật khác nhau Ta cần xác định đúng mức độ bảo mật cho thiết bị của mình Thiết bị IoT được chia thành 4 lớp như sau [9,18]:

Lớp 1: gồm các thiết bị rất nhỏ như các cảm biến hoặc bóng đèn, chúng sử dụng các vi điều khiển 8 hoặc 16 bít và truyền thông ở khoảng cách gần sử dụng Zigbee hoặc Bluetooth

Hình 2.2 Phân lớp thiết bị IoT Lớp 2: gồm các thiết bị nhỏ, giá thành thấp nhưng sử dụng năng lượng ở mức vừa phải như các thiết bị y tế, bưu chính viễn thông, chúng sử dụng các vi điều khiển

32 bít và truyền thông sử dụng WiFi, cellular, Ethernet, Bluetooth

Lớp 3: gồm các thiết bị đắt tiền, nguồn cung cấp năng lượng tốt hơn như các thiết

bị tự động trong công nghiệp, rô bốt, xe ô tô, thiết bị y tế, chúng sử dụng các vi xử lý

32 bít và truyền thông sử dụng Ethernet hoặc WiFi

Lớp 4: gồm các thiết bị như cổng giao tiếp, thiết bị y tế, thiết bị quân sự thường chạy trên các vi xử lý đơn hoặc đa nhân 32 hoặc 64 bít và các tiện ích được nhúng trong Linux, Android hoặc hệ điều hành thời gian thực (RTOS) đầy đủ tính năng hỗ trợ nhiều giao thức mạng bao gồm Ethernet, Zigbee, WiFi, BLE, Bluetooth [9,18] Khi di chuyển từ dưới lên thông qua bốn lớp thiết bị, sự tinh tế của các tính năng này tăng lên Các tính năng tường lửa được thực hiện tại thiết bị lớp 1 thường là tập con của các khả năng được thực hiện tại thiết bị lớp 2 hoặc 3 [9,18]

Các tính năng khác cần phải xem xét bao gồm phát hiện xâm nhập, quản lý bảo mật, tích hợp với các tính năng bảo mật phần cứng và quản lý khóa bảo mật hoặc lưu trữ khóa [9,18]

CÁC ỨNG DỤNG IoT

Cùng với sự tăng trưởng của IoT, thị trường công nghệ đang bắt đầu phát triển các dịch vụ là những giải pháp chính cho những thách thức của xã hội Dưới đây trình bày một số ứng dụng được xây dựng dựa trên IoT [2,4]:

 Thành phố thông minh (Smart Cities)

 Bãi đậu xe thông minh (Smart Parking)

 Tắc nghẽn giao thông (Traffic Congestion)

 Các tuyến đường thông minh (Smart Roads)

 Sức khỏe kết cấu (Structural Health)

 Môi trường thông minh (Smart Environment)

 Phát hiện cháy rừng (Forest Fire Detection)

 Ô nhiễm không khí (Air Pollution)

 Phát hiện sớm động đất (Earthquake Early Detection)

 Nước thông minh (Smart Water)

 Ngập lụt (River Floods)

 Mức độ ô nhiễm ở biển (Pollution levels in the sea)

 Phát hiện rò rỉ hóa chất tại các dòng sông (Chemical leakage detection in rivers)

Công nghệ IoT hình thành và nhiều ứng dụng của các cảm biến đang bắt đầu được triển khai thông qua các thành phố Tuy nhiên, các ứng dụng này cần phải có một

lớp bảo vệ do hiện nay các cuộc tấn công phần mềm độc hại đang là mối đe dọa cho các chủ sở hữu dữ liệu [2,4]

BẢO MẬT TRONG MÔI TRƯỜNG IoT

Khi việc sử dụng các thiết bị IoT tiếp tục phát triển và mở rộng về số lượng lẫn quy mô, những kẻ xấu đang chuyển mục tiêu của chúng từ máy chủ sang thiết bị dùng cuối Việc này có nhiều nguyên nhân Thứ nhất, khả năng tiếp cận vật lý của các thiết

bị thông minh và cảm biến ít được bảo vệ hơn so với máy chủ Thứ hai, số lượng thiết

bị có thể bị ảnh hưởng là nhiều hơn so với máy chủ Hơn nữa các thiết bị thông minh gần gũi với người dùng, vấn đề an ninh dẫn đến rò rỉ thông tin có giá trị sẽ gây hậu quả rất nghiêm trọng Cuối cùng, do tính không đồng nhất và bản chất phân tán của thiết bị IoT, nên quá trình vá lỗi nhiều hơn từ đó mở ra cảnh cửa cho những kẻ tấn công [2,3,8]

Trong môi trường IoT, các ràng buộc nguồn lực là rào cản chính để thực hiện cơ chế bảo mật chuẩn trong các thiết bị nhúng Hơn nữa, truyền thông không dây là phương thức truyền thông chính được sử dụng trong các mạng cảm biến cho nên dễ bị nghe lén và tấn công giả mạo [2,3,8]

Các thuật toán mã hóa cần băng thông và năng lượng đáng kể nhằm cung cấp sự bảo vệ đầu cuối chống lại các tấn công vào tính bí mật và tính xác thực Các giải pháp được đề xuất trong ngữ cảnh RFID và WSN nhằm khắc phục những vấn đề đã được đề cập bởi việc xem xét kỹ thuật mã hóa ánh sáng Đối với các thiết bị bị ràng buộc, mã hóa đối xứng thường được áp dụng, vì nó yêu cầu ít tài nguyên hơn; Tuy nhiên mã hóa khóa công khai trong bối cảnh RFID cũng đã được xem xét [2,3,8]

Mạng cảm biến không dây với các thẻ RFID và các độc giả tương ứng là cơ sở hạ tầng đầu tiên cho việc xây dựng các môi trường IoT và ngay cả bây giờ nhiều ứng dụng IoT trong vận tải, quản lý hạm đội, điều khiển nông nghiệp và thành phố thông minh đều dựa vào những công nghệ này Tuy nhiên, những hệ thống này không đảm bảo an toàn và dễ bị tổn thương trước các cuộc tấn công xuất phát từ nhiều lớp khác nhau Điều tra các cuộc tấn công kiểu này ít được quan tâm hơn là đưa ra giải pháp thực tế và thực hiện phản công [2,3,8]

CÁC NGUY CƠ VỚI IoT TRONG NHÀ THÔNG MINH

Việc gia tăng số lượng thiết bị thông minh sử dụng trong nhà như đèn, chuông báo khói, công tắc điện, màn hình theo dõi trẻ em và cân nặng làm tăng mối quan tâm

về tính riêng tư và bảo mật ở quy mô chưa từng thấy, cho phép các đối tượng hợp pháp

và bất hợp pháp theo dõi, xâm nhập vào các hoạt động của gia đình [3,6]

Hầu hết thiết bị gia dụng thông minh là những sản phẩm mới nổi trên thị trường

và Cisco dự đoán rằng việc kết nối IoT sẽ tăng 43% mỗi năm trên phạm vi toàn cầu, tăng từ 341 triệu trong năm 2013 lên 2 tỷ vào năm 2018 [3,6]

Bóng đèn màu của Philips được kết nối cho phép người dùng điều khiển không dây hoặc có dây đến toàn bộ hệ thống chiếu sáng trong nhà và chấp nhận các yêu cầu

từ ứng dụng người dùng cũng như truyền thông giữa ứng dụng với bóng đèn sử dụng giao thức ZigBee Dữ liệu trao đổi giữa ứng dụng và cầu nối (bridge) thông qua các lệnh http và không được mã hóa, vì vậy kẻ xấu có thể dễ dàng đoán được các hoạt động của người dùng thực hiện trên bóng đèn Mặc dù thiết bị được kiểm soát truy cập dưới một danh sách người dùng, nhưng danh sách này có thể được trích xuất bởi kẻ tấn công bất kỳ, sau đó giả mạo như người dùng hợp pháp, qua đó kiểm soát bóng đèn [3,6]

Bộ cảm biến chuyển động Belkin WeMo và bộ chuyển đổi kết nối internet thông qua wifi cho phép người dùng điều khiển nguồn cung cấp điện cho bất kỳ thiết bị điện

tử trong nhà như đèn để bàn, máy pha cà phê hoặc lò sưởi Những thiết bị này có thể

dễ dàng bị tấn công bằng cách tiến hành giao thức tìm kiếm dịch vụ đơn giản (SSDP)

để có được địa chỉ IP của thiết bị WeMo và cổng mà chúng đang lắng nghe đồng thời học các lệnh SOAP cùng với đối số được hỗ trợ bởi chúng Kẻ tấn công sau đó có thể truy cập từ xa đến thiết bị thông qua việc đăng ký như người dùng hợp pháp bằng cách gửi lệnh POST dưới định dạng SOAP thích hợp, điều này cho phép kẻ tấn công truy cập từ xa đến thiết bị từ vị trí bất kỳ trên thế giới, điều này thực sự nguy hiểm [3,6] Báo động khói của Nest gửi thông tin và cảnh báo đến ứng dụng trên thiết bị di động của người dùng giúp họ yên tâm rằng ngôi nhà của mình được an toàn cho dù họ đang ở bất kỳ nơi đâu Tuy nhiên, nó được trang bị cảm biến phát hiện chuyển động và ánh sáng, điều này tiềm ẩn nguy cơ nó phát hiện khi người dùng ở chung phòng hoặc những người này bật/tắt đèn Những khả năng này làm tăng sự lo ngại về tính riêng tư đối với người dùng, họ cảm thấy rằng đang bị giám sát và theo dõi trong chính nhà của mình Lưu ý rằng tất cả trao đổi dữ liệu với hệ thống báo động khói của Nest được mã hóa, do đó những kẻ nghe lắng không thể đọc được thông tin liên lạc [3,6]

Thiết bị giám sát trẻ em thông minh withings đi kèm với một camera IP cho phép người dùng theo dõi con của mình ở nhà thông qua ứng dụng trên điện thoại di động Thực hiện bắt và phân tích các gói wifi truyền đến và truyền đi từ thiết bị theo dõi trẻ

em thấy rằng tất cả dữ liệu trao đổi không được mã hóa, tuy nhiên truy cập đến camera yêu cầu chứng thực một lần từ máy chủ Ở đây tạo một tấn công giả mạo cho phép ứng dụng của nạn nhân chứng thực chính nó với máy chủ và chiếm được phiên id, nhưng sau đó chiếm quyền điều khiển kết nối bằng cách sử dụng tấn công nghe lén (ARP

poisoning) cho phép kẻ tấn công thay thế địa chỉ IP nguồn bằng địa chỉ riêng của mình

để có quyền truy cập đến camera [3,6]

Thiết bị phân tích cơ thể thông minh withings có khả năng đo mức độ béo phì, nhịp tim, có thể kết nối với internet thông qua wifi hoặc bluetooth Thông tin cá nhân của người dùng như tên, cân nặng, chiều cao, tuổi, giới tính gửi đi không được mã hóa thông qua kết nối wifi Thực hiện bắt các gói gửi qua kết nối bluetooth thấy rằng địa chỉ MAC và khóa bí mật được truyền đi, nó kết hợp với nhau tạo ra chuỗi số MD5 sử dụng để chứng thực bởi máy chủ, với việc lấy được thông tin này, người dùng dễ dàng tạo lại chuỗi MD5 cho phép họ giả mạo như thiết bị mới đối với máy chủ [3,6]

Năm thiết bị gia dụng thông minh đã thảo luận ở trên hầu như thực thi bảo mật ở mức thấp và những kẻ tấn công không chỉ có được thông tin cá nhân bởi nghe lén mà hầu như chúng thực hiện tấn công chủ động bằng cách bắt gói tin và giả mạo người dùng hợp pháp hoặc tấn công điều hướng luồng dữ liệu Qua đây chúng ta tin rằng các vấn đề về tính riêng tư và bảo mật có thể tồn tại phổ biến trong hầu hết thiết bị IoT trên thị trường, vì vậy đòi hỏi các phải pháp tổng thể có thể làm việc thông qua toàn bộ thiết bị thông minh trong gia đình [3,6]

QUẢN LÝ NHẬN DIỆN VÀ CHỨNG THỰC TRONG IoT

Khi nói về hàng tỷ thiết bị kết nối, các phương pháp nhằm xác định các đối tượng

và thiết lập mức độ truy cập của chúng đóng một vai trò quan trọng trong toàn bộ hệ thống Người dùng, nguồn dữ liệu và nhà cung cấp dịch vụ là những phần thiết yếu của IoT; Quản lý nhận dạng và các phương pháp chứng thực được áp dụng để kết nối

an toàn các thực thể này ảnh hưởng đến cả số lượng và thời gian cần thiết nhằm thiết lập mức độ tin cậy Các tính năng vốn có của IoT, chẳng hạn như sự năng động và không đồng nhất đòi hỏi việc xem xét cụ thể khi xác định các cơ chế bảo mật Ví dụ trong các mạng xe cộ, ô tô thường xuyên đi vào và ra khỏi mạng do tốc độ di chuyển;

Do đó, không chỉ ô tô cần tương tác và trao đổi dữ liệu với các điểm truy cập và cảm biến dọc đường mà chúng cần phải liên lạc với nhau và tạo thành mạng lưới cộng tác [2,8]

Các thiết bị hoặc đối tượng trong IoT phải được nhận dạng duy nhất Có nhiều cơ chế chẳng hạn như ucode tạo mã 128 bít và có thể sử dụng trong các thẻ RFID ở dạng chủ động hoặc bị động và mã sản phẩm điện, nó tạo ra các mã nhận diện duy nhất sử dụng mã URI Việc có thể xác định vị trí của các đối tượng một cách duy nhất và toàn cầu làm giảm tính phức tạp của việc mở rộng môi trường cục bộ và liên kết nó với thị trường toàn cầu [2,8]

Thông thường các thiết bị thông minh và cảm biến chia sẻ cùng tọa độ địa lý và thậm chí rơi vào cùng loại hoặc nhóm, do đó quản lý nhận dạng có thể được ủy thác

cho các hệ thống quản lý nhận dạng cục bộ Trong những môi trường như vậy, quản lý nhận dạng cục bộ có thể thực hiện và giám sát các chính sách điều khiển truy cập và thiết lập đàm phán tin tưởng với các đối tác bên ngoài Điều tra các yêu cầu bảo mật cho ứng dụng đa phương tiện trong IoT và đề xuất một kiến trúc ở đó hỗ trợ phân tích

dữ liệu và lập lịch, quản lý khóa, đánh dấu và chứng thực Kết nối cặp thiết bị và chứng thực tự động là một yêu cầu quan trọng khác đối với các môi trường năng động như IoT Các giải pháp thực hiện cách tiếp cận không tương tác để tạo các thủ tục đơn giản và an toàn hơn nhằm tạo ra một mạng lưới thiết bị được kết nối phổ biến có thể ảnh hưởng đáng kể đến IoT và việc áp dụng nó [2,8]

CÁC CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN

2.7.1 IoT Guardian của ZingBox

ZingBox có một giải pháp để bảo vệ các triển khai IoT gọi IoT Guardian, được thiết kế để phát hiện các thiết bị IoT trong một tổ chức bị xâm nhập trái phép và giúp ngăn chặn chúng khỏi các cuộc tấn công chiếm quyền điều khiển thiết bị [10]

Kiến trúc triển khai ZingBox IoT Guardian gồm hai thành phần chính: ZingBox Inspector và ZingBox Cloud [10]

Hình 2.3 Mô hình triển khai ZingBox ZingBox Inspector là một thiết bị mạng phân tích thụ động luồng dữ liệu từ tất cả thiết bị IoT đang được theo dõi và trích xuất tín hiệu cho thuật toán học máy để phát hiện độ lệch [10]

ZingBox Cloud là một nền tảng phân tích dữ liệu lớn nó tổng hợp thông tin từ nhiều Inspector trên mạng Nó thực hiện phân tích hành vi để phát hiện các mối đe dọa bảo mật và thiết bị bất thường thông qua công nghệ học máy và phát hiện dị thường [10]

IoT Guardian sử dụng một quy trình ba bước để tự động phát hiện, đánh giá và giảm thiểu tấn công Mirai và các cuộc tấn công tương tự dựa trên phần mềm độc hại ở

đó tận dụng botnet [10]

Bước 1 – Phát hiện

ZingBox bắt đầu bằng việc tự động phát hiện, nhận diện và phân loại thiết bị IoT dựa trên công nghệ học máy Trong một vài giờ, IoT Guardian có thể nhận diện và xác định tất cả thiết bị IoT được kết nối bên trong tổ chức một cách tự động như camera giám sát, bảng báo cháy, bộ điều khiển năng lượng, hệ thống sưởi ấm, thông gió và điều hòa không khí, các loại đầu ghi hình Mỗi thiết bị IoT được kết nối làm tăng bề mặt tấn công (là tổng các lổ hổng trong một thiết bị hoặc mạng có thể truy cập bởi hacker) của tổ chức và việc nhận biết những thứ đang tồn tại trên mạng là bước đầu tiên để bảo vệ nó [10]

Bước 2 – Đánh giá và phát hiện các mối đe dọa

Các giải pháp bảo mật truyền thống dựa vào việc nhận dạng mẫu phần mềm độc hại cụ thể nhưng công nghệ học máy của ZingBox dựa vào các hành vi thông thường của mọi thiết bị IoT trên mạng để đánh giá rủi ro và xác định các thiết bị nguy hiểm một cách tự động Tất cả thiết bị IoT là các hệ thống được xây dựng có mục đích, chúng có xu hướng để lộ ra các hành vi mà có thể dự đoán tại lớp mạng và lớp ứng dụng Công nghệ học máy và mô hình toán học là cơ sở tốt nhất để xây dựng và phát hiện sự sai lệch [10]

Bước 3 – Sự giảm thiểu

IoT Guardian có thể tích hợp với cơ sở hạ tầng mạng hiện có của tổ chức (tường lửa, Switch, NAC) và cung cấp ngữ cảnh thiết bị để họ nhận biết IoT Giải pháp ZingBox có thể thực hiện tuân theo các chính sách được bổ sung một cách tự động trên hạ tầng thiết bị mạng nhằm ngăn chặn giao tiếp nghi ngờ và kiểm soát được các thiết bị bị ảnh hưởng Các thiết bị IoT hoạt động lệch khỏi những chức năng thông thường của chúng có thể được cách ly trong thời gian thực để những thiết bị này không trở thành một phần của botnet được điều khiển bởi hacker [10]

Tóm lại, ZingBox IoT Guardian cung cấp một nền tảng mới để phát hiện các thiết bị IoT ẩn hoặc che giấu và bảo vệ chúng bằng cách sử dụng công nghệ học máy

mà không triển khai thêm bất kỳ tác nhân nào khác trên những thiết bị này ZingBox IoT Guardian đặc biệt có hiệu quả trong việc phát hiện thiết bị IoT và xác định các điểm thiết bị IoT trong mạng có rủi ro cao Nếu triển khai giải pháp ZingBox chắc chắn rằng các thiết bị IoT sẽ không bị ảnh hưởng bởi tấn công mã độc Mirai hoặc chạy các cuộc tấn công DDoS từ bên ngoài [10]

2.7.2 Bảo mật thiết bị và cổng giao tiếp của IBM

Bảo mật thiết bị: Giải pháp tập trung vào việc đảm bảo rằng độ tin cậy của thiết

bị được thiết lập và các thiết bị đó có thể tin tưởng vào thiết bị trung gian hoặc ứng dụng đang gửi các lệnh điều khiển Bài viết này thảo luận nhiều loại cơ chế bảo mật được dùng để thiết lập sự tin cậy đó [11]

Chứng thực thiết bị là một phần của bảo mật tại mức vận chuyển và ứng dụng

trong MQTT Tại mức vận chuyển, TLS có thể đảm bảo xác thực thiết bị khách với máy chủ bằng cách sử dụng chứng chỉ của thiết bị khách và của máy chủ để xác nhận thiết bị khách thông qua việc xác nhận chứng chỉ máy chủ Tại mức ứng dụng, giao thức MQTT cung cấp tài khoản và mật khẩu để chứng thực [11]

Những nhà phát triển có thể sử dụng nhiều cách tiếp cận để đảm bảo thiết bị thích hợp được đăng ký với thiết bị trung gian Lựa chọn cách tiếp cận đúng tùy thuộc vào nhu cầu bảo mật của giải pháp và khả năng của thiết bị Một vài cách chứng thực theo kiểu này được liệt kê như bên dưới [11]:

 sử dụng tài khoản và mật khẩu,

 sử dụng thẻ truy cập,

 mật khẩu đăng nhập một lần,

 dựa trên chứng chỉ,

 chứng chỉ của thiết bị khách

Cho phép thiết bị: Cơ chế cho phép đảm bảo rằng không có rò rỉ dữ liệu giữa hai

thiết bị MQTT dựa trên giao thức xuất bản/đăng ký Mỗi thông điệp được xuất bản dựa trên chủ đề được đặt tên và mỗi đăng ký có một bộ lọc chủ đề có thể bao gồm các

ký tự đại diện Vì vậy, sự cho phép là một thuật ngữ bao gồm xuất bản/đăng ký và tên chủ đề Hầu hết máy chủ MQTT có một vài cách cấp quyền để xuất bản và đăng ký dựa trên các chủ đề [11]

Trong nền tảng IoT Watson của IBM, việc cấp phép được thực thi bởi các mẫu thông điệp bảo mật Sau khi các thiết bị được chứng thực, chúng chỉ được phép xuất bản và đăng ký đối với một không gian chủ đề xác định [11]

Tất cả thiết bị làm việc trên cùng không gian chủ đề Cấu hình này giúp ngăn chặn các thiết bị không thể giả mạo thiết bị khác Cách duy nhất để giả mạo thiết bị khác bằng cách lấy được chứng chỉ bảo mật thiết bị [11]

Cấp phép ứng dụng với OAuth 2.0: Trong trường hợp doanh nghiệp muốn sử

dụng cơ chế ủy quyền tập trung cho các thiết bị MQTT, một nền tảng dựa trên OAuth

có thể được sử dụng OAuth 2.0 cho phép tách máy chủ ủy quyền ra khỏi máy chủ

cung cấp tài nguyên, chẳng hạn như máy chủ MQTT Khi sử dụng OAuth 2.0, máy con gửi thông tin của mình đến máy chủ ủy quyền, sau đó thực hiện việc chứng thực

và trả về một thẻ truy cập thông báo cho phép truy cập tài nguyên [11]

Thẻ truy cập này được dùng để kết nối đến máy chủ MQTT Máy chủ MQTT xác nhận tính hợp lệ của thẻ truy cập bằng cách liên lạc với máy chủ ủy quyền, sau đó cho phép truy cập đến tài nguyên [11]

Hình 2.4 Sơ đồ mô tả chứng thực OAuth 2.0

Xác nhận ID ứng dụng là mức bảo mật bổ sung giữa ứng dụng và thiết bị IoT

nhằm đảm bảo rằng ứng dụng giả mạo không thể gửi lệnh đến thiết bị Cơ chế này có thể dùng cho bảo mật khởi động và truyền thông Bằng cách sử dụng mô hình này, thiết bị lưu trữ ID duy nhất của ứng dụng IoT và xác nhận nó khi xử lý các lệnh xuất phát từ ứng dụng IoT [11]

Nếu ứng dụng IoT gửi một lệnh đi kèm với ID không hợp lệ, lệnh này sẽ bị từ chối bởi thiết bị Nếu thiết bị có khả năng lưu trữ, ID duy nhất của ứng dụng IoT có thể được mã hóa và lưu trữ Trong trường hợp đó, yêu cầu ID duy nhất là không cần thiết sau mỗi lần khởi động lại [11]