An ninh mạng trong mạng internet của vạn vật

An ninh mạng trong mạng internet của vạn vật An ninh mạng trong mạng internet của vạn vật An ninh mạng trong mạng internet của vạn vật luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

Ngành Kỹ thuật Viễn Thông

Giảng viên hướng dẫn: PGS TS Trương Thu Hương

HÀ NỘI, 11/2020

Chữ ký của GVHD

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN

THẠC SĨ

Họ và tên tác giả luận văn : Hà Minh Vũ

Đề tài luận văn: An ninh mạng trong mạng Internet của vạn vật

Chuyên ngành: Kỹ Thuật Viễn Thông

Mã số SV: CB180176

Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày30/10/2020 với các nội dung sau:

- Bổ sung và sắp xếp các thuật ngữ viết tắt theo thứ tự A-B-C

- Hiệu chỉnh lỗi soạn thảo và in ấn

- Việt hóa và vẽ lại hình vẽ bị mờ

- Bổ sung tỉ lệ phát hiện gói tin đúng/sai

Ngà 15 tháng 11 năm 2020

LỜI CẢM ƠN Trước tiên học viên xin gửi lời cảm ơn tới Trường Đại Học Bách Khoa Hà Nội, Viện Điện Tử Viễn Thông, đã tạo điều kiện và cơ hội cho tôi được học tập

và nghiên cứu cũng như hỗ trợ các thủ tục khác để tôi có thể hoàn thành chương trình bậc Thạc sỹ Lời cảm ơn sâu sắc nhất học viên xin được gửi tới PGS TS Trương Thu Hương đã tận tình hướng dẫn và giúp đỡ trong việc định hướng đề tài thực hiện luận văn, cho tới việc giải quyết các khó khăn vướng mắc trong quá trình thực hiện, củng cố thêm cơ sở lý thuyết cho luận văn Bên cạnh đó cũng xin được gửi lời cảm tới các bạn sinh viên của nhóm nghiên cứu về an ninh mạng và IoT của phòng nghiên cứu Future Internet Lab, đã nhiệt tình hỗ trợ và giúp đỡ trong quá trình xây dựng mô hình giả lập trong thực tế, tạo điều kiện cho tôi được

sử dụng cơ sở vật chất nghiên cứu của phòng Lab, để có thể hoàn thành luận văn này như ngày hôm nay

Xin chân thành cảm ơn!

Hà Nội, ngày 15 tháng 11 năm 2020

Học viên

Hà Minh Vũ

LỜI CAM ĐOAN

Tôi là Hà Minh Vũ, mã học viên CB180176, học viên lớp cao học 18BKTVT.KH Đại học Bách Khoa Hà Nội Người hướng dẫn là PGS TS Trương Thu Hương Tôi xin cam đoan toàn bộ nội dung của tôi được trình bày trong luận văn “An ninh mạng trong mạng Internet của vạn vật” là kết quả của quá trình tìm hiểu và nghiên cứu của tôi, dưới sự hướng dẫn của PGS TS Trương Thu Hương, cùng với sự hỗ trợ và giúp đỡ của các thành viên của nhóm nghiên cứu về an ninh mạng và IoT trong phòng nghiên cứu Future Internet Lab , Viện Điện Tử - Viễn Thông, Đại học Bách Khoa Hà Nội Các số liệu và kết quả trong luận văn hoàn toàn là trung thực, phản ánh đúng kết quả thực tế Mọi thông tin trích dẫn đều tuân thủ quy định về sở hữu trí tuệ, các tài liệu tham khảo được liệt

kê rõ nguồn gốc

Tôi xin chịu hoàn toàn trách nhiệm với những nội dung được viết trong luận văn này

Hà Nội, ngày 15 tháng 11 năm 2020

Người cam đoan

Hà Minh Vũ

TÓM TẮT LUẬN VĂN

Internet of Things (IoT) và các ứng dụng của nó đang là xu hướng phát triển của thời đại công nghệ ngày nay trên một quy mô rộng lớn với nhiều lĩnh vực khác nhau như giao thông, y tế, giáo dục, nông nghiệp… nhờ những ưu điểm vượt trội mà nó mang lại Bên cạnh đó với sự lớn mạnh không ngừng, số lượng thiết bị IoT ngày càng tăng, điều này gây ra nhiều khó khăn trong việc áp dụng

và quản lý trong mạng IoT Hơn nữa những ứng dụng này có thể bị tấn công do tính chất truyền tin không dây, trong các môi trường có tính bảo mật kém Vì vậy, cần phải có những cơ chế cũng như phương pháp phát hiện và phòng chống các cuộc tấn công, kiểm soát truy nhập ở lớp ứng dụng cùng với đó là cần có một

mô hình để có thể áp dụng và triển khai các giải pháp trong nghiên cứu chính Luận văn đưa ra những lý thuyết tổng quan về kiến trúc mạng IoT, thành phần cơ bản của nó, ưu điểm vượt trội mà nó đem lại trong các lĩnh vực cuộc sống Những thách thức về bảo mật, đặc biệt là vấn đề tấn công mạng trong lớp ứng dụng Với những kết quả đạt được trong việc triển khai xây dựng một mô hình giả lập tấn công mạng trong mạng IoT, dựa vào đó để triển khai một hình thức tấn công mạng phổ biến nhất vào lớp ứng dụng đó là HTTP Flood Đưa ra

cơ chế của loại tấn công này, thực hiện phân tích dữ liệu để đưa ra các logic trong việc phát hiện tấn công và các biện pháp giảm thiểu tấn công Triển khai được kịch bản với tấn công HTTP Flood, đánh giá mức độ tiêu tốn tài nguyên của hệ thống với một số thông số cơ bản như CPU, RAM Các kết quả đạt được cho thấy rằng các giải pháp và nội dung trong luận văn này khả thi trong việc áp dụng vào trong thực tế

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

TÓM TẮT LUẬN VĂN iii

DANH MỤC BẢNG BIỂU vi

DANH MỤC HÌNH VẼ vii

DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT ix

PHẦN MỞ ĐẦU x

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG IOT 1

1.1 Xu hướng, tính chất và những thách thức của IoT 1

1.1.1 Chăm sóc sức khỏe 2

1.1.2 Nông nghiệp 2

1.1.3 Giao thông 3

1.1.4 An ninh 4

1.2 Kiến trúc và thành phần của hệ thống IoT 5

1.2.1 Kiến trúc tham chiếu 5

1.2.2 Thiết bị 10

1.2.3 Giao thức kết nối 12

1.2.4 Cloud và các dịch vụ trên cloud 17

1.3 Hiện trạng tình hình an ninh mạng trong IoT hiện nay 18

1.4 Yêu cầu đặt ra trên thực tế 20

1.5 Kết luận 20

CHƯƠNG 2 PHÒNG CHỐNG TẤN CÔNG VÀO LỚP ỨNG DỤNG TRONG MẠNG IOT 22

2.1 Hình thức tấn công vào lớp ứng dụng 22

2.1.1 Cơ chế giao thức HTTP 24

2.1.2 Cơ chế tấn công HTTP Flood 25

2.2 Phương pháp phát hiện và phòng chống tấn công 27

2.2.1 Phương pháp phân tích đặc thù của lưu lượng 28

2.2.2 Phát hiện và giảm thiểu tấn công 33

2.3 Kết luận 33

CHƯƠNG 3 XÂY DỰNG MÔ HÌNH THỰC NGHIỆM VÀ ĐÁNH GIÁ 34

3.1 Đề xuất mô hình thực nghiệm 34

3.1.1 Mô hình đề xuất 34

3.1.2 Cấu hình cho các thiết bị 37

3.1.3 Công cụ sử dụng xây dựng giả lập nguồn phát tấn công 42

3.2 Xây dựng kịch bản giả lập tấn công vào lớp ứng dụng 46

3.2.1 Kịch bản 46

3.2.2 Nguồn dữ liệu 47

3.3 Kết quả thực nghiệm và đánh giá hệ thống 48

3.3.1 Đánh giá hiệu năng của hệ thống 48

3.3.2 Độ chính xác của giải pháp phát hiện và giảm thiểu 53

3.4 Kết luận 54

KẾT LUẬN 55

Kết luận chung 55

Hướng phát triển 55

TÀI LIỆU THAM KHẢO 57

DANH MỤC BẢNG BIỂU

Bảng 1.1 Luồng kết nối với QoS = 0 [11] 16

Bảng 1.2 Luồng kết nối với QoS = 1 [11] 16

Bảng 1.3 Luồng kết nối với QoS = 2 [11] 17

Bảng 3.1 Thống kê lưu lượng tấn công DDoS - HTTP Flood[17] 47

Bảng 3.2 Số lượng gói tin thuộc từng loại lưu lượng tại các điểm của hệ thống 54 Bảng 3.3 Tỉ lệ phát hiện chính xác các loại lưu lượng 54

DANH MỤC HÌNH VẼ

Hình 1.1 Kiến trúc tham chiếu WSO2 [4] 6

Hình 1.2 Kiến trúc Microsoft Azure[5] 9

Hình 1.3 Raspberry Pi 3[7] 11

Hình 1.4 Mô hình Master/Slave[9] 13

Hình 1.5 Giao thức CoAP[10] 14

Hình 1.6 Mô hình hoạt động của MQTT [11] 15

Hình 2.1 Biểu đồ mô tả công cụ tấn công DDoS 23

Hình 2.2 Mô hình Client – Server 24

Hình 2.3 Cơ chế tấn công HTTP Flood[15] 26

Hình 2.4 Một cuộc tấn công DDoS với phương thức HTTP Flood (GET/POST) 27

Hình 2.6 Phân bố số lượng gói tin của các luồng của lưu lượng bình thường 30

Hình 2.7 Số lượng gói tin của mỗi luồng với lưu lượng tấn công 30

Hình 2.8 Thời gian đến giữa các luồng trong trạng thái bình thường 31

Hình 2.9 Thời gian đến giữa các luồng trong trạng thái tấn công 32

Hình 3.1 Mô hình thực nghiệm 35

Hình 3.2 Các module triển khai trên Smart Gateway 36

Hình 3.3 Khởi chạy Mosquitto 38

Hình 3.4 Raspberry Pi 3 Model B+ 39

Hình 3.5 Thiết bị IoT với NodeMCU, cảm biến bụi mịn, nhiệt độ, độ ẩm và áp suất 42

Hình 3.6 Giao diện Wireshark 46

Hình 3.7 Phân bố lưu lượng tấn công HTTP Flood 48

Hình 3.8 Lưu lượng đi qua Gateway, khi chưa sử dụng giải pháp 50Hình 3.9 Mức độ sử dụng tài nguyên trên Pi 3 khi triển khai module phát hiện 52

DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT

Kí hiệu và

chữ viết tắt Thuật ngữ tiếng Anh Thuật ngữ tiếng Việt

CoAP Constrained Application

Protocol

Giao thức ứng dụng ràng buộc

DoS Denial of Services Tấn công từ chối dịch vụ

DDoS Distributed Denial of Services Tấn công từ chối dịch vụ

phân tán HTTP Hypertext Transfer Protocol

IoT Internet of Things Mạng kết nối vạn vật

MQTT Message Queuing Telemetry

Transport

Truyền bản tin dùng cơ chế hàng đợi

TCP Transmission Control Protocol

UDP User Datagram Protocol

Publisher (MQTT) Thiết bị với nhiệm vụ gửi bản

tin lên tới server Subscriber (MQTT) Thiết bị nhận bản tin được

gửi từ server

PHẦN MỞ ĐẦU

Đặt vấn đề và lý do chọn đề tài

Internet of Things sẽ trở thành xu hướng cho tất cả các ứng dụng trong tương lai, với sự phát triển không ngừng của mình, nó mang lại một số lượng lớn các ứng dụng trong nhiều lĩnh vực khác nhau Đó cũng là một mối nguy hại tiềm

ẩn về những vấn đề bảo mật và an ninh mạng trong mạng IoT nói chung cũng như là với lớp ứng dụng nói riêng Chính vì vậy cần phải có những cơ chế và giải pháp trong việc phát hiện và giảm thiểu tấn công, đảm bảo an toàn cho các ứng dụng trước sự xâm nhập từ các luồng tấn công nguy hại khác nhau Xuất phát từ những vấn đề này, luận văn đã thực hiện nghiên cứu tổng quan về mạng IoT, hình thức tấn công vào lớp ứng dụng, cùng với đó là đề xuất mô hình hệ thống IoT trong việc giả lập tấn công vào lớp ứng dụng, triển khai các kịch bản và giải pháp và thực hiện đánh giá hiệu năng của hệ thống

Mục tiêu và phạm vi đề tài

Luận văn cung cấp cho người đọc một cái nhìn cụ thể tổng quan về hệ sinh thái IoT, những ứng dụng thực tiễn của nó trong thực tế cùng với đó là những thách thức về vấn đề an ninh bảo mật, đặc biệt là hình thức tấn công vào lớp ứng dụng Trong luận văn này tập trung vào việc xây dựng mô hình để giả lập cuộc tấn công vào lớp ứng dụng, đưa ra những giải pháp cơ bản trong việc phát hiện

tấn công cũng như những cơ sở trong việc giảm thiểu tấn công

Bố cục của đồ án

Bố cục của bài báo cáo sẽ gồm các phần chính như sau:

− Phần Mở Đầu: Đặt vấn đề đưa ra mục tiêu và phạm vi của nghiên cứu

của đề tài

− Chương 1: Tổng quan về mạng IoT

− Chương 2: Phòng chống tấn công vào lớp ứng dụng

− Chương 3: Xây dựng mô hình thực nghiệm và đánh giá

− Kết luận: Tổng kết kết quả đạt được của luận văn và định hướng phát

triển trong tương lai

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG IOT

Trong chương này sẽ trình bày một cách tổng quan nhất về Internet of Things (IoT) các khái niệm, thuộc tính và công nghệ kỹ thuật của IoT được áp dụng trong cuộc sống hiện đại ngày nay, cùng với đó là những thách thức về vấn

đề an ninh và bảo mật trong mạng IoT

1.1 Xu hướng, tính chất và những thách thức của IoT

“Internet of Thing” [1] như cấu trúc được đưa ra theo tên của nó bao gồm 2 thành phần "Internet" và "Things" Trong đó IoT sử dụng Internet như là nền móng xây dựng cho mọi dịch vụ, thành phần thứ hai là “Things” có thể hiểu là các thực thể được nâng cao khả năng tính toán và truyền thông, do đó có tính chất thông minh và khả năng tương tác với những đối tượng khác trong mạng Internet IoT mang lại khả năng thu thập, xử lý và hành động trên thông tin cho mọi thực thể, làm cho chúng trở nên thông minh hơn, liên kết thế giới của máy tính và thế giới vật chất bằng cách kết nối tất cả mọi thứ “thông minh” với mạng Internet Sự tương tác trực quan giữa con người và công nghệ sẽ hỗ trợ con người trong việc thực hiện đơn giản hơn từ những công việc hàng ngày cho tới quy mô những dây chuyền sản xuất và theo dõi trong công nghiệp Ta có thể điểm qua

một số tính chất đặc trưng của IoT như tính thông minh - Internet of Things

hướng đến một hệ sinh thái mà các thực thể tự chúng đưa ra quyết định tùy theo tình huống, môi trường, đồng thời chúng cũngcó thể liên lạc với nhau để trao đổi thông tin, dữ liệu Việc tích hợp trí thông minh vào IoT còn có thể giúp các thiết

bị, máy móc, phần mềm thu thập và phân tích các dấu vết điện tử của con người khi chúng ta tương tác với những thứ thông minh, từ đó phát hiện ra các tri thức mới liên quan tới cuộc sống, môi trường, các mối tương tác xã hội cũng như hành

vi con người Quy mô rộng lớn - dễ dàng mở rộng quy mô với ước tính có thể đạt

50 đến 100 tỉ đối tượng trong tương lai [2] Kiến trúc dựa trên sự kiện – các thực

thể trong IoT sẽ phản hồi dựa theo các sự kiện diễn ra trong lúc chúng hoạt động thời gian thực, chính vì vậy có thể đáp ứng được nhu cầu cập nhật ngay tức thì trong việc giám sát và các ứng dụng khác

Với những tính chất này IoT được phát triển rất đa dạng về nhiều lĩnh vực, nền tảng công nghệ, độ lớn cũng như mục đích như chăm sóc sức khỏe, giao

thông, năng lượng, bảo mật Luận văn xin được trình bày một số ứng dụng tiêu biểu của IoT

1.1.1 Chăm sóc sức khỏe

Sự phát triển của IoT cho phép con người dễ dàng theo dõi các thông số sức khỏe quan trọng như: huyết áp, nhịp tim, chỉ số men gan, nồng độ cholesterol, lượng đường huyết… trong khi vẫn duy trì sự thoải mái cho bệnh nhân Các cảm biến theo dõi các chỉ số của bệnh nhân và có thể thông báo cho các bác sĩ khi có trường hợp khẩn cấp xảy ra

Với sự hỗ trợ của các thiết bị thông minh và các robot chuyên dụng thì các

y bác sỹ có thể thamn gia chuẩn đoán bệnh và thực hiện phẫu thuật mà không cần

có mặt tạo địa điểm đó Đẩy mạnh vai trò tham gia của người bệnh tốt hơn, bệnh nhân có thể sử dụng các ứng dụng và phần mềm để truy cập dữ liệu sức khỏe của chính mình, tích cực và chủ động tham gia các hoạt động chăm sóc sức khỏe của bệnh viện Nhờ có IoT, chúng ta có thể giảm chi phí cho sức khỏe nhờ vào tính khả dụng của dữ liệu thời gian thực thông qua các thiết bị đeo giúp cho khả năng giám sát bệnh nhân tốt hơn, bác sỹ và người quản lý không chỉ chăm sóc tốt hơn cho bệnh nhân mà còn giúp giảm chi phí chăm sóc và kiểm tra sức khỏe tổng thể định kỳ, đẩy nhanh việc cung cấp các dịch vụ chăm sóc

1.1.2 Nông nghiệp

IoT đã và đang làm thay đổi nền nông nghiệp của nhiều quốc gia trên thế giới cũng như ở Việt Nam Với một khái niệm rộng lớn và trải dài nhiều ngành nghề nhỏ như chăn nuôi, trồng trọt… và hầu hết như trước đây ngành nông nghiệp đều dựa vào kinh nghiệm của người nông dân thì giờ đây với sự phát triển của IoT ta có thể áp dụng khoa học công nghệ như điện tử, viễn thông, công nghệ thông tin… vào toàn bộ quá trình sản xuất, giúp cho ngành nông nghiệp có được tính chuẩn xác, dần tự động hóa, loại bỏ tính định tính, định lượng của con người Nhu cầu về số lượng cũng như yêu cầu về chất lượng của sản phẩm nông nghiệp ngày càng tăng, việc áp dụng IoT vào nông nghiệp giúp con người hoàn toàn có thể kiểm soát được những thông tin cần thiết trong quá trình phát triển của cây trồng hay vật nuôi Ví dụ mô hình Nhà kính hiện đang được sử dụng phổ biến nhiều nơi ở nước ta, với những cảm biến của hệ thống kiểm soát thực hiện thu thập những dữ liệu về độ ẩm, nhiệt độ, ánh sáng bên trong hay hàm lượng

phân bón, chất dinh dưỡng của đất…sẽ được giám sát thường xuyên Mục đích của việc này là để duy trì môi trường phát triển của các sản phẩm nông nghiệp ở một điều kiện mong muốn, con người có thể bổ sung, điều chỉnh cần thiết để cây trồng có thể phát triển một cách hiệu quả nhất, cho được chất lượng, sản lượng tốt Hay gắn những cảm biến vào cơ thể của vật nuôi có thể giám sát được tình trạng sức khỏe, tình trạng dinh dưỡng của cơ thể vật chủ Từ đó cũng có những điều chỉnh cần thiết cho ra những sản phẩm vật nuôi có chất lượng cao, đảm bảo

Với các sản phẩm IoT việc liên lạc, kiểm soát và xử lý thông tin qua nhiều

hệ thống giao thông vận tải sẽ được hỗ trợ và cải tiến hơn so với hệ thống giao thông trước đó chủ yếu phụ thuộc vào sự điều khiển trực tiếp của con người Ví

dụ hệ thống quản lý bãi đỗ xe ở các thành phố lớn, ở các bãi đậu xe có lắp đặt các

cảm biến tại từng điểm đỗ xe để có thể thông tin đến trung tâm quản lí biết bãi đậu xe đó còn bao nhiêu chỗ trống Thông tin này được cập nhật liên tục theo thời gian thực Đối với những chiếc xe đang di chuyển muốn tìm cho mình một ô đậu xe có thể dựa vào thông tin này mà có thể tìm kiếm được một chỗ để xe gần mình nhất mà không cần phải đến trực tiếp mới biết bãi đậu xe đó còn chỗ hay không

1.1.4 An ninh

Trong lĩnh vực bảo mật, thuật ngữ "giám sát thông minh" đề cập đến mức

độ tự chủ cao của các ứng dụng giám sát Các máy quay và các cảm biến an ninh truyền dữ liệu về một hệ thống và toàn bộ các quá trình giám sát diễn ra một cách

tự động, không cần sự góp mặt của nhân viên an ninh

Đó là những lĩnh vực điển hình trong việc ứng dụng IoT vào cuộc sống, mang lại nhiều lợi ích và sự cải tiến cho xã hội Bênh cạnh sự phát triển này thì quá trình triển khai IoT cũng gặp phải những thách thức không hề nhỏ mà ta có thể kể đến như sự hạn chế của thiết bị phần cứng, vấn đề về tiêu thụ năng lượng, chi phí triển khai và hơn cả là vấn đề bảo mật cho các hệ thống IoT Với một quy

mô ngày càng rộng lớn, số lượng thiết bị ngày càng nhiều, chúng ta cần đảm bảo các thiết bị sẽ có kích thước vật lý đủ nhỏ để khó bị nhận thấy hoặc ít nhất không gây ảnh hưởng xấu Ví dụ, trong các ứng dụng chăm sóc sức khỏe, cảm biến cơ thể nên càng nhỏ càng tốt để không can thiệp vào các hoạt động hàng ngày của bệnh nhân, tích hợp được nhiều cảm biến trên cùng một thiết bị để hỗ trợ đa chức năng Chính vì vậy cần phải tối ưu hóa về linh kiện, đảm bảo về tiêu chuẩn và độ chính xác Sự đồng nhất trong hệ giao thức giao tiếp giữa các thiết bị vẫn đang là khó khăn trong việc triển khai Một hệ quả trực tiếp của việc giảm kích thước vật

lý đó là cấu hình phần cứng bị hạn chế Các thiết bị IoT thường có phần cứng rất hạn chế, do vậy đòi hỏi mức độ tối ưu hóa và đơn giản hóa các chương trình chạy trên chúng Hơn nữa tiết kiệm năng lượng là vấn đề tối quan trọng cho các thiết

bị IoT, vì chúng thường đưuọc sản xuất với giá thành rẻ và triển khai với số lượng lớn vào môi trường, dự kiến sẽ hoạt động trong thời gian dài, làm cho thay thế nguồn năng lượng cho mỗi thiết bị IoT vô cùng khó khăn

Như chúng ta đã biết các thực thể - “Things” trong mạng thể hiện sự thông minh của mình dựa vào khả năng tương tác giữa chúng, bởi vậy điều này cần

được đồng bộ và chuẩn hóa, đây cũng là một vấn đề lớn nhất của IoT Khi mà các thiết bị muốn giao tiếp với nhau luôn cần sử dụng giao thức chung Trong khi

đó, hiện trạng có quá nhiều chuẩn sẽ gây cản trở tới khả năng kết nối và tương tác của các thiết bị IoT trong một quy mô rộng lớn

Trong mạng IoT các thiết bị liên tục thu thập thông tin mọi thông tin từ những cảm biến, đó có thể là những thông tin riêng tư và yêu cầu tính bảo mật cao rồi gửi về máy chủ qua Internet Các kết nối không dây luôn dễ bị tấn công trong khi các cơ chế bảo mật dữ liệu hiện tại tồn nhiều tài nguyên phần cứng hạn chế trên các thiết bị IoT Do đó, an ninh bảo mật và quyền riêng tư là một vấn đề nan giải trong mạng IoT Khả năng giao tiếp tự động của các thiết bị IoT làm cho việc đảm bảo sự riêng tư khó khăn hơn rất nhiều Khi một phần tử trong mạng bị tấn công, các thông tin thu thập từ phần tử đó đều bị khai thác và kiểm soát bởi một bên thứ ba với những mục đích không chính đáng nào đó, điều này có thể gây ra những thiệt hại cho hệ thống và tổ chức Chính vì vậy an ninh mạng trong mạng IoT luôn là vấn đề cấp thiết và cần được đảm bảo cho mỗi hệ thống

1.2 Kiến trúc và thành phần của hệ thống IoT

1.2.1 Kiến trúc tham chiếu

Một trong những khó khăn lớn nhất của IoT là việc chưa có một chuẩn thống nhất về kiến trúc và giao thức cho tới thời điểm hiện tại, chúng chưa được chuẩn hóa gây ra rắc rối cho việc tìm hiểu và phát triển các ứng dụng IoT Chúng

ta cần đưa ra một kiến trúc tham chiếu chuẩn bởi các thiết bị IoT phải luôn được kết nối và tương tác qua hạ tầng mạng với các hệ thống tường lửa đòi hỏi sự nhất quán và đồng bộ Khi số lượng thiết bị ngày một nhiều thì số lượng kết nối cũng tăng một cách chóng mặt, bởi vậy chúng ta cần có một kiến trúc có khả năng mở rộng linh hoạt, dễ dàng, sẵn sàng đáp ứng nhu cầu tương tác mọi thời điểm của các thiết bị với các trung tâm dữ liệu có thể trên phạm vi toàn thế giới và đặc biệt

là tính năng dự phòng khi có xảy ra lỗi

Các thiết bị IoT phần lớn có cấu hình phần cứng thấp và kích thước nhỏ gọn

để phục vụ mục đích tiết kiệm năng lượng Do đó chúng ta cần hỗ trợ cập nhật tự động và quản lý từ xa tất cả các thiết bị này, chúng thường được sử dụng để thu thập hoặc phân tích dữ liệu các nhân từ người dùng, vì thế cần phải có một mô hình quản lý nhận dạng và kiểm soát truy cập giữa các thiết bị IoT và dữ liệu liên

quan là một vấn đề quan trọng Trong phạm vi luận văn này, tôi xin trình bày 2 kiến trúc tham chiếu phổ biến nhất hiện tại đó là WSO2[4] và Microsoft Azure[5]

1.2.1.1 Kiến trúc tham chiếu WSO2 [4]

Hình 1.1 Kiến trúc tham chiếu WSO2 [4]

Như được thể hiện trong Hình 1.1 thì kiến trúc này bao gồm hai lớp ngang

và 5 lớp dọc bao gồm:

1 Devices management – Lớp quản lý thiết bị

Trong lớp Quản lý thiết bị, hệ thống phía máy chủ quản lý thiết bị giao tiếp với các thiết bị thông qua các giao thức khác nhau và điều khiển một hoặc một nhóm thiết bị (có thể khóa hoặc xóa dữ liệu trên các thiết bị khi cần), quản lý định danh của các thiết bị và ánh xạ từng thiết bị với chủ sở hữu tương ứng Máy chủ quản lý thiết bị phải phối hợp với lớp Quản lý Định danh và Truy nhập để quản lý việc điều khiển truynhập vào thiết bị (những người có quyền truy nhập vào thiết bị và quyền hạn tương ứng, quyền của người quản trị hệ thống…)

2 Identity and Acess management – Lớp định danh và truy cập

Lớp này cần cung cấp các dịch vụ: Phát hành và thẩm định token định danh Oauth2; dịch vụ định danh khác gồm SAML2 SSO và OpenID Connect;

XACMLPDP; danh bạ cho người dùng (ví dụ: LDAP); quản lý chính sách điều khiển truy nhập (PCP)

3 Client/External communications - Lớp giao tiếp người dùng đầu cuối

Lớp này tạo ra giao diện giúp quản lý các thiết bị IoT như web/portal, dashboard và hệ thống quản lý API Với web/portal, kiến trúc cần hỗ trợ các công nghệ Web phía máy chủ như Java Servlets/JSP, PHP, Python, Ruby Dashboard là hệ thống tập trung vào việc trình bày đồ thị, mô tả dữ liệu đến từ các thiết bị và lớp Xử lý sự kiện Lớp quản lý API có 3 chức năng: cung cấp portal tập trung vào việc hỗ trợ lập trình viên, đóng vai trò Gateway quản lý truy nhập các API; kiểm tra việc điều khiển truy nhập (đối với yêu cầu từ bên ngoài) dựa trên chính sách, định tuyến và cân bằng tải; thực hiện chức năng Gateway đẩy dữ liệu vào lớp phân tích để lưu trữ và xử lý

4 Event Processing and Analytics - Lớp xử lý và phân tích

Lớp này xử lý các sự kiện sau khi dữ liệu từ lớp Hợp nhất chuyển lên Chức năng chính của lớp là khả năng lưu trữ dữ liệu vào cơ sở dữ liệu Với các mô hình truyền thống, một ứng dụng server-side sẽ thực hiện chức năng trên, tuy nhiên hiện nay có một số cách tiếp cận khác linh hoạt hơn Cách thứ nhất là sử dụng các Platform dành cho phân tích dữ liệu lớn (Big data Platform): nền tảng dựa trên điện toán đám mây có khả mở rộng hỗ trợ các công nghệ phân tích dữ liệu với kích thước lớn Cách tiếp cận thứ hai là sử dụng phương thức Xử lý sự kiện phức tạp (Complex Processing Event) để thực hiện các hoạt động theo thời gian thực và ra quyết định hành động dựa theokết quả phân tích dữ liệu từ các thiết bị chuyển đến

5 Aggregation/Bus - Lớp hợp nhất

Là một lớp đóng vai trò quan trọng để hợp nhất và chuyển đổi các loại bản tin truyền thông với các chức năng chính như: hỗ trợ máy chủ HTTP và chuyển đổi MQTT/CoAP để giao tiếp với các thiết bị Hợp nhất nội dung truyền từ các thiết bị khác nhau và định tuyến tới một thiết bị cụ thể, chuyển đổi giao thức khác nhau

6 Communications – Lớp truyền thông

Lớp truyền thông thực hiện kết nối các thiết bị thông qua các giao thức phổ biến hay được sử dụng như HTTP, MQTT, CoAP [6]

• HTTP là giao thức lâu đời và phổ biến nhất với nhiều thư viện hỗ trợ HTTP là giao thức dựa trên hệ ký tự đơn giản nên nhiều thiết bị nhỏ với

bộ điều khiển 8 bit có thể hỗ trợ HTTP, các thiết bị mạnh hơn có thể sử dụng các thư viện HTTP đầy đủ Phiên bản HTTP2 được phát triển nhằm giải quyết vấn đề năng lượng và kết nối cho các thiết bị nhỏ

• CoAP (Constrained Application Protocol): Cũng giống như MQTT, CoAP

là một giao thức được tối ưu cho môi trường IoT do IETF phát triển dựa trên HTTP nhưng sử dụng mã nhị phân thay cho ký tự nên có kích thước nhỏ gọn hơn HTTP

• MQTT (Message Queuing Telemetry Transport) ra đời năm 1999 nhằm giải quyết các vấn đề trong hệ thống nhúng và được chuẩn hóa bởi OASIS MQTT hoạt động theo mô hình hệ phân tán với hai lệnh cơ bản là

"publish" và "sub-scribe" Các client sẽ kết nối tới máy chủ MQTT (MQTT Broker), mỗi client sẽ đăng ký theo dõi (subscribe) các kênh (topic) và tất cả các node đăng ký kênh sẽ nhận được dữ liệu trên kênh khi

có bất kì node nào gửi dữ liệu (publish) lên kênh Được tối ưu hóa việc gửi nhận các bản tin có kích thước nhỏ cho môi trường IoT, có thể đánh giá MQTT cao hơn so với HTTPS cho mục đích kết nối các thiết bị IoT Trong môi trường không ổn định, băng thông thấp, trễ lớn nhưng MQTT vẫn cho kết quả có độ tin cậy cao và tiết kiệm năng lượng

7 Devices – Lớp thiết bị

Lớp thiết bị nằm dưới cùng trong kiến trúc tham chiếu này Các thiết bị IoT rất phong phú và đa dạng nhưng thường được chia làm 3 loại dựa theo phần cứng bao gồm cấu hình thấp nhất dùng chip 8 bit nhúng và không có hệ điều hành, ở mức cao hơn với chip 32 bit rút gọn là các loại thiết bị như Arduino có thể chạy

hệ điều hành Linux rút gọn hoặc hệ điều hành nhúng Loại thứ ba là các thiết bị

sử dụng nền tảng 32 bit đầy đủ hoặc 64 bit như Rasberry Pi, Beagle, Intel Galileo… và cả điện thoại di động Các loại thiết bị này cần phải có kết nối với Internet để có thể trở thành là một thực thể trong mạng IoT Có hai kiểu kết nối là trực tiếp và gián tiếp trong đó kiết nối trực tiếp mà khi các thiết bị này thường

đóng vai trò là Gateway như Arduino, Raspberry Pi… kết nối trực tiếp với Internet qua Wifi hoặc Ethernet., bên cạnh đó là kết nối gián tiếp như qua Zigbee hoặc Bluetooth

Ngoài ra mỗi thiết bị này còn được định danh, và định danh này là duy nhất

để quản lý tài nguyên và truy cập dễ dàng Một số loại định danh được sử dụng như UUID (định danh duy nhất) được lưu trong phần cứng của thiết bị hoặc module kết nối như địa chỉ MAC trong Bluetooth, Zigbee, Wi-Fi…Định danh lưu trong bộ nhớ EEPROM

1.2.1.2 Kiến trúc tham chiếu Microsoft Azure[5]

Kiến trúc này được Microsoft đưa ra vào năm 2016 với mục đích phục vụ cho việc xây dựng các hệ thống IoT cho môi trường doanh nghiệp, các giải pháp thiết bị với khả năng mở rộng và tích hợp với các thiết bị hệ thống back-end

Hình 1.2 Kiến trúc Microsoft Azure[5]

Như được thể hiện trên Hình 1.2 ta có thể thấy trong kiến trúc này bao gồm

3 khối chính: Device connectivity, Data processing – Analytics - Management, Presentation and business connectivity Trong đó khối Device connectivity giúp các thiết bị có thể được kết nối trực tiếp hoặc gián tiếp thông qua Gateway với Internet Cloud Gateway là thiết bị đầu cuối kết nối với các Smart Device và cung cấp kết nối hai chiều với hệ thống back-end gồm thành phần cung cấp các chức năng quản lý thiết bị; lưu trữ, phân tích và xử lý dữ liệu; ảo hóa…thực hiện việc xử lý, phân tích và quản lý dữ liệu ở khối Data processing – Analytics – Management Lớp còn lại thực hiện tích hợp các chức năng IoT vào các hoạt động kinh doanh của doanh nghiệp Người dùng đầu cuối sẽ tương tác với các giải pháp và các thiết bị IoT thông qua lớp này

Các tính chất tiêu biểu của kiến trúc:

• Tính không đồng nhất: Mô hình của hệ thống phải đáp ứng được yêu cầu của nhiều loại kịch bản, môi trường, thiết bị và các chuẩn khác nhau

• Tính bảo mật (Security): cho phép triển khai các dịch vụ bảo mật cho tất

cả các vùng, bao gồm quản lý định danh, xác thực và quyền hạn, bảo mật

dữ liệu

• Khả năng mở rộng (Hyper-scale deployments): hệ thống IoT phải đảm bảo khả năng hỗ trợ đến quy mô hàng triệu thiết bị kết nối Kiến trúc của hệ thống phải cho phép hệ thống bắt đầu triển khai với một quy mô nhỏ nhưng sẵn sàng mở rộng

• Tính linh hoạt (Flexibility): do nhu cầu rất đa đạng của thị trường IoT đòi hỏi hệ thống phải có khả năng mở rộng thêm chức năng và cho phép sử dụng nhiều công nghệ của bên thứ 3 cho mỗi thành phần

Ta có thể thấy rằng với mỗi loại kiến trúc tham chiếu khác nhau đều có những tính chất riêng của nó và không đồng nhất, chính vì vậy khi triển khai các

hệ thống trên thực tế cần phải lựa chọn một kiến trúc phù hợp với loại hình dịch

vụ, công nghệ và nhiều yếu tố khác nhau, đây là một khó khăn lớn vẫn còn tồn tại của hệ thống IoT cho tới bây giờ

1.2.2 Thiết bị

Một hệ thống IoT gồm rất nhiều các thiết bị phần cứng, đối với các công ty hay tổ chức lớn, việc tự xây dựng được những thiết bị phần cứng không phải là khó khăn quá lớn thì họ có thể tự chế tạo những vi mạch đáp ứng theo yêu cầu riêng của mình Tuy nhiên việc tự xây dựng phần cứng thiết bị cần mức độ hiểu biết sâu về phần cứng cũng như cũng như tốn nhiều thời gian và chi phí, vì vậy trong luận văn này sử dụng và giới thiệu ở đây các sản phẩm đã được thương mại, khả năng lập trình không quá khó khăn nhưng vẫn đáp ứng được các yêu cầu đề ra để thực hiện đề tài

Có thể chia thiết bị IoT ra làm các nhóm: Thiết bị IoT (IoT device, smart device, hay IoT node), Bộ tập trung (Gateway), Máy chủ dữ liệu (Server)

Thiết bị IoT có cấu trúc cơ bản gồm: vi điều khiển, nguồn (thường là pin),

bộ truyền nhận tín hiệu qua sóng vô tuyến, các cảm biến thu thập dữ liệu Gateway thường là một board mạch sử dụng vi xử lý đủ mạnh, có đủ bộ nhớ và

năng lực xử lý cũng như có khả năng kết nối đến Internet, là trung gian kết nối các node tới Server Gateway có thể được triển khai thêm các module phục vụ mục đích đảm bảo an toàn thông tin Gateway trong mạng IoT thường sử dụng các loại board phổ biến, cấu hình cao đi kèm với khả năng lập trình và tùy biến cao, có thể kể đến như Raspberry Pi, Intel Galileo… Bo mạch thường được dùng cho Gateway là Raspberry Pi như thể hiện trong Hình 1.3

Hình 1.3 Raspberry Pi 3[7]

Raspberry Pi là lựa chọn hợp lý cho nhiệm vụ làm Gateway Hiện nay, Raspberry Pi có nhiều phiên bản nhưng hai phiên bản nổi tiếng nhất là Raspberry

Pi 3 và Raspberry Pi Zero Raspberry Pi 3 vừa được đưa ra thị trường vào tháng

2 năm 2016 với vi xử lý mạnh mẽ lên đến 1.2 GHz kiến trúc 64-bit ARM Ngoài

ra Pi 3 còn có một số nâng cấp quan trọng so với phiên bản tiền nhiệm: được tích hợp module WiFi, Bluetooth 4.1 cũng như Bluetooth Low Energy Pi Zero có cấu hình không cao nhưng giá lại rẻ hơn Pi 3 rất nhiều (giá 5$) cũng là một lựa chọn tốt cho các nhà phát triển

Thành phần máy chủ dữ liệu thường là những trung tâm xử lý và lưu trữ tập trung có năng lực tính toán lớn để nhận và xử lý dữ liệu từ nhiều vùng khác nhau gửi về

Phần mềm trong mạng IoT là nói tới chương trình (cho thiết bị IoT), hệ điều hành (cho Gateway) và dịch vụ (cho server) Các thiết bị IoT hoạt động theo một chương trình được cài đặt sẵn, thông thường rất nhẹ do bị hạn chế về tài

nguyên, chương trình mô tả cách thức gửi/nhận dữ liệu giữa vi xử lý và các cảm biến, gửi/nhận dữ liệu giữa các thiết bị với Gateway và với Server

Các thiết bị Gateway, thường được cài đặt hệ điều hành để phục vụ cho việc triển khai các module mở rộng trên đó Các hệ điều hành này thường hoạt động theo hướng đa luồng (multi-threading), sử dụng các luồng song song giải quyết các tiến trình khác nhau và lưu lại các trạng thái xử lý Đối với hệ thống IoT thì

hệ điều hành dành cho các Smart Device có hai hướng thiết kế khác nhau: driven và multi-threading Event-driven là mô hình mà hệ điều hành sẽ thực hiện câu lệnh dựa vào sự kiện, có thể hiểu là hệ điều hành hướng sựkiện Ngược lại multi-threading là mô hình mà sử dụng các luồng tiến hành các tác vụ khác nhau, khi chuyển từ luồng này sang luồng khác thì trạng thái hiện tại được lưu lại Các dịch vụ trên Server là các phần mềm ứng dụng, hỗ trợ xử lý dữ liệu tập trung hoặc cung cấp các tính năng cho người sử dụng

event-1.2.3 Giao thức kết nối

Bao gồm hai loại chính là giao thức vô tuyến để truyền dẫn dữ liệu từ các thiết bị IoT với thiết bị Gateway tập trung của từng cụm và ngược lại, cùng với

đó là giao thức mạng

1.2.3.3 Giao thức truyền thông vô tuyến

Sóng vô tuyến (radio) ở đây nói đến được sử dụng để truyền dẫn dữ liệu từ các bộ cảm biến và bộ thừa hành tới bộ tập trung và theo chiều ngược lại Hiện tại một số công nghệ chính được sử dụng trong hầu hết hệ thống là: Bluetooth, ZigBee, WiFi và Bluetooth Low Energy

a) WiFi – IEEE 802.11[8]

WiFi (hay Wi-Fi) được định nghĩa là một mạng nội bộ không dây WLAN (Wireless Local Area Network) và được chuẩn hoá với tên IEEE 802.11 Hiện nay chuẩn kết nối này được tiếp tục phát triển bởi tổ chức Wi-Fi Alliance WiFi

sử dụng cơ chế đa truy cập cảm nhận sóng mang và tránh xung đột (CSMA/CA:Carrier Sense Multiple Access with Collision Avoidance) ở lớp MAC để đảm bảo mỗi thiết bị sử dụng WiFi sẽ phải lắng nghe kênh truyền trước khi gửi dữ liệu, chỉ khi nào được kênh truyền rảnh thì thiết bị mới gửi dữ liệu đi.Chuẩn WiFi sử dụng trên băng tần 2.4 GHz chia làm 14 băng tần, mỗi băng

tần có độ rộng là 22 MHz Chuẩn này sử dụng phương pháp trải phổ trực tiếp (DSSS) hoặc trải phổ nhảy tần (FHSS), ngoài ra còn dùng đa truy nhập phân chia theo tần số trực giao (OFDM)

b) Bluetooth[9]

Bluetooth là một giao thức truyền thông tin tầm gần rất phổ biến trên thế giới được phát triển bởi Ericsson sau đó được chuẩn hoá bởi tổ chức SIG (Blue-tooth Special Interest Group) và được gọi với tên mã IEEE 802.15.1 Bluetooth ban đầu sử dụng tần số 2402-2480 MHz được chia làm 79 kênh, mỗi kênh có độ rộng là 1 MHz Khả năng truyền xa của Bluetooth cũng phụ thuộc vào công suất phát và được chia thành các lớp: lớp 1 sử dụng công suất phát là 100 mW có thể truyền xa tối đa là 100 mét, tương ứng với lớp 2 là 2.5 mW và 10 mét Phiên bản mới nhất hiện nay là Bluetooth 5.0

Với phiên bản đầu tiên, Bluetooth có tốc độ truyền tối đa là 1 Mbps, sử dụng mã hoá GFSK Từ phiên bản 2.0, các nhà phát triển đã sử dụng mã hoá π/4-DQPSK và QPSK nên tốc độ truyền tối đa dần cải thiện từ 2-3 Mbps

Hình 1.4 Mô hình Master/Slave[9]

Bluetooth xây dựng trên mô hình master/slave (Hình 1.4) Thiết bị master

có thể truyền/nhận tín hiệu với tối đa 7 thiết bị slave cùng lúc, trong khi đó thiết

bị slave chỉ có khả năng truyền/nhận với duy nhất một thiết bị master

1.2.3.4 Giao thức mạng

Về giao thức mạng sử dụng trong IoT, hiện nay có 2 giao thức mạng nổi bật được sử dụng trong IoT đó là CoAP và MQTT như đã được nêu ở phần trên

a) CoAP[6]

Hình 1.5 Giao thức CoAP[10]

CoAP (Hình 1.5) là một giao thức được phát triển và chuẩn hoá bởi IETF, giao thức này dựa theo mô hình của giao thức HTTP nhưng chú trọng đến vấn đề tiết kiệm năng lượng CoAP phù hợp với những thiết bị nhúng mà đối với những thiết bị này thì năng lượng là một vấn đề lớn (ví dụ như các thiết bị cảm biến…) Ngoài ra, để làm cho giao thức tránh được phần header của gói tin quá lớn, người

ta lựa chọn xây dựng giao thức này trên nền của giao thức UDP (UDP có phần header nhỏ hơn nhiều so với TCP)

Mặc dù xây dựng trên nền UDP, tuy nhiên giao thức CoAP lại tự xây dựng cho mình cơ chế đảm bảo tin cậy và chống tắc nghẽn Để làm được điều này, các bản tin của CoAP được đánh nhãn theo những loại khác nhau Nếu một bản tin được đánh nhãn Confirmable (CON), nó sẽ được truyền lại một số lần nhất định bằng cơ chế tính thời gian timeout và cơ chế đặt lịch truyền lại, chỉ khi nhận lại được bản tin Acknowledgement (ACK) hoặc Non Confirmable (NON) thì mới kết thúc quá trình này

Được xây dựng dựa trên kiến trúc kiểu RESTful, có sự tương đồng với HTTP theo cơ chế request/response nhưng CoAP cũng có khả năng hoạt động theo mô hình publish/subscribe Khi có sự thay đổi ở phía máy chủ CoAP, các máy khách đã theo dõi các máy chủ sẽ nhận được bản tin thông báo về sự thay đổi này Một chức năng đặc biệt của giao thức này là khả năng cung cấp cơ chế

kỹ thuật để phát hiện cũng như quảng bá tài nguyên của hệ thống cho toàn mạng

b) MQTT[11]

MQTT là một giao thức được phát triển bởi IBM vào năm 1999 và được chuẩn hoá bởi tổ chức OASIS Mô hình hoạt động của MQTT là publish/subscribe, tuy nhiên mô hình hoạt động của MQTT khác với mô hình publish/subscribe của CoAP ở trên Các client tạo kết nối đến máy chủ MQTT Broker, theo dõi (subscribe) một hay nhiều kênh (topic) Mỗi khi có một client gửi bản tin (publish) lên topic đó thì tất cả các client đang theo dõi topic sẽ nhận được dữ liệu này Khi một client muốn tham gia vào mạng MQTT, trước tiên nó cần gửi một bản tin kết nối tới broker (CONNECT) và đợi nhận lại bản tin phản hồi (CONACK).Sau đó, client có thể gửi bản tin đẩy dữ liệu lên (PUBLISH) hoặc bản tin xin theo dõi topic (SUBSCRIBE)

Hình 1.6 Mô hình hoạt động của MQTT [11]

MQTT được xây dựng trên nền tảng của giao thức truyền thông TCP, điều này đem tới cả mặt lợi và hại cho giao thức MQTT Với tính chất tin cậy của TCP, MQTT có thể để xây dựng được khả năng quản lý chất lượng dịch vụ Theo

đó, MQTT cung cấp 3 mức độ chất lượng dịch vụ là QoS 0, 1 và 2 Với bản tin gửi đi có QoS 0, các subscriber sẽ nhận được bản tin nhiều nhất một lần Bản tin được nhận ít nhất một lần với QoS 1 Với cấp độ tin cậy và tiêu tốn nhiều tài nguyên nhất QoS 2, bản tin được gửi tới đích chính xác một lần

• QoS 0: Nhận được nhiều nhất một lần

Với QoS = 0, bản tin được gửi dựa trên các giao thức tầng mạng của TCP/IP Publisher sẽ gửi một bản tin PUBLISH tới broker đã thiết lập kết nối từ trưóc

Bảng 1.1 Luồng kết nối với QoS = 0 [11]

Client Bản tin và đích đến Server

QoS = 0 PUBLISH  Gửi bản tin đến các client đã đăng ký

• QoS 1: Nhận được ít nhất 1 lần

Với QoS = 1, client gửi bản tin PUBLISH và đợi xác nhận bằng bản tin PUB-ACK Nếu có lỗi trong quá trình publish hoặc không nhận được xác nhận khi đã hết timeout, client sẽ gửi lại bản tin PUBLISH với cờ DUP = 1 Bản tin sẽ được gửi đến Server ít nhất 1 lần Cụ thể:

Bảng 1.2 Luồng kết nối với QoS = 1 [11]

Client Bản tin và đích đến Server

Xóa bản tin Xóa bản tin PUB-ACK 

• QoS 2: Nhận được chính xác 1 lần

Đối với một luồng dữ liệu sử dụng mức QoS = 1 như trên có một tỷ lệ bản tin bị gửi lặp lại nhiều hơn một lần Vì vậy để đảm bảo mỗi client chỉ nhận được bản tin chính xác một lần, MQTT đã đưa ra cơ chế QoS = 2 Với cơ chế này lưu lượng mạng sẽ tăng lên do sẽ dùng nhiều bản tin hệ thống hơn Tuy nhiên có thể chấp nhận vì mức độ quan trọng của nội dung bản tin cần gửi Chi tiết luồng kết nối như sau:

Bảng 1.3 Luồng kết nối với QoS = 2 [11]

Client Bản tin và đích đến Server

Hủy bản tin PUB-COMP

 Message ID = x

Về mô hình tổ chức thông tin, MQTT sử dụng mô hình cây thông tin theo từng cấp độ tương tự như việc lưu trữ các tệp trong Linux, như vậy là vô cùng rõ ràng và thuận tiện trong việc quản lý

MQTT cũng cung cấp các tính năng đặc trưng như tính năng giữ kết nối giữa broker và client bằng việc client muốn giữ kết nối tới broker phải gửi một bản tin Keep Alive trong một khung thời gian nhất định, nếu không kết nối sẽ bị hủy bỏ; tính năng retain giúp client nhận được các bản tin quan trọng của kênh; hay tính năng will message đăng ký cho các publisher tham gia topic, khi publisher ngắt kết nối, các client sẽ được broker thông báo về việc này

1.2.4 Cloud và các dịch vụ trên cloud

Công nghệ điện toán đám mây đã được phát triển mạnh trong những năm gần đây, càng ngày gần gũi và đơn giản hơn cho người dùng Có thể coi Internet

of Things là sự kết hợp hoàn hảo theo chiều dọc của Wireless Sensor Network, Big Data, Cloud Computing Hiện nay với các mô hình vừa và nhỏ thường có 2 phương án lựa chọn:

• Sử dụng các IoT Platform có sẵn để triển khai các dịch vụ đám mây Cách triển khai này có lợi thế cài đặt và sử dụng đơn giản, tuy nhiên không thể can thiệp vào sâu cấu trúc của hệ thống và tùy biến các dịch vụ

• Sử dụng các dịch vụ máy chủ được các nhà cung cấp hạ tầng đám mây đưa ra như Google Cloud, IBM BlueMix, Amazon Cloud Service… Với cách triển khai này ta có thể dễ dàng nâng cấp cấu hình khi cần mở rộng quy mô, chủ động cài đặt và tùy biến hệ thống các dịch vụ phục vụ cho hệ thống IoT

Hệ thống đám mây là hạ tầng để triển khai các dịch vụ quan trọng như cơ

sở dữ liệu, các tiến trình xử lý và các dịch vụ server-side cho các ứng dụng IoT

1.3 Hiện trạng tình hình an ninh mạng trong IoT hiện nay

Vấn đề bảo mật an ninh mạng được coi như một trong những vấn đề lớn nhất với IoT Những cảm biến trong mạng IoT đang thực hiện thu thập dữ liệu và trong số đó có những loại thông tin dữ liệu rất nhạy cảm - ví dụ như những gì chúng ta nói và làm trong nhà của mình hoặc trong cơ quan Đảm bảo an toàn và bảo mật thông tin là điều quan trọng đối với niềm tin của người sử dụng các ứng dụng IoT, nhưng cho đến nay việc giám sát bảo mật của các hệ thống IoT vẫn còn nhiều lỗ hổng và điểm yếu có thể dễ bị tấn công bởi những tin tặc hoặc tổ chức đen với mục đích xấu Các bộ định tuyến và webcam đang trở thành mục tiêu tấn công của các tin tặc vì sự thiếu bảo mật vốn có của chúng khiến chúng dễ dàng được tiếp cận và ngẫu nhiên trở thành một thành phần trong mạng Botnet[12] khổng lồ là một công cụ hỗ trợ tấn công đắc lực cho tin tặc khi nhắm vào những hệ thống của công ty, tổ chức và doanh nghiệp Tới thời điểm hiện tại đây vẫn là một hình thức có mối nguy hại cao trong vấn đề an ninh mạng

BOT là từ được viết tắt từ roBOT, hay tức là các chương trình tự động hóa

mà thường xuyên được sử dụng trong mạng Internet Trong luận văn này chúng

ta quan tâm tới một loại robot là IRC bot IRCbot hay còn được gọi là các zombie, được viết tắt của cụm từ Internet Relay Chat, được định nghĩa là một kiểu truyền thời gian thực trên mạng Internet dựa trên nền tảng TCP (một giao thức truyền thông tin cậy) Trong cùng một mạng, các Server IRC được kết nối với nhau IRC được thiết kế sao cho một người có thể truyền dữ liệu cho một nhóm người và khi đó người điều hành là người được thiết lập một kênh giao tiếp

riêng để có thể truyền và giao tiếp với người dùng thông thường khác Có hai quyền cơ bản được thiết lập khi truy nhập vào kênh IRC: mức điều hành (operator) và mức người dùng (user) Các IRC bot trong mạng được coi như là một người dùng thông thường Chúng được điều khiển chạy một cách tự động bởi các hacker bằng việc gửi các lệnh thiết lập kênh liên lạc với mục đích xấu Quá trình tạo ra mạng Botnet từ BOT theo các bước: Đầu tiên BOT kết nối các kênh IRC với IRC Server và chờ đợi kết nối giữa các người dùng với nhau Kẻ tấn công thực hiện điều khiển mạng BOT và sau đó sử dụng vào mục đích nào đó

ví dụ như phá hoại, tấn công một máy chủ nào đó Nhiều mạng BOT kết nối với nhau thì tạo ra mạng BOTNET - botnet

Điều này có thể làm cản trở hoạt động, gián đoạn, gây mất nhiều thời gian

xử lý, chiếm dụng và tiêu tốn tài nguyên máy người dùng, làm giảm năng suất làm việc Đặc biệt nếu như các máy tính của các cơ quan, tổ chức, doanh nghiệp được kết nối ra mạng ngoài bị nhiễm mã độc và trở thành botnet, nguy cơ có thể

bị đánh cắp dữ liệu và các thông tin quan trọng khác Cấu trúc của một mạng botnet được thể hiện như trong Hình 1.2

Hình 1.2 Kiến trúc của mạng Botnet [12]

Quy mô của một hệ thống botnet thường có từ một nghìn tới vài chục nghìn máy tính và nhiều hơn thế, chính vì vậy botnet trở thành một công cụ thực hiện

tấn công của các hacker, ví dụ như các cuộc tấn công từ chối dịch vụ-DoS, từ chối dịch vụ phân tán-DDoS [13]…Hacker có thể điều khiểu cùng lúc tất cả các máy tính trong mạng botnet này cùng truy cập vào một website chỉ định trong cùng một lúc, tạo ra một luồng lưu lượng lớn quá tải sức phục vụ của website đó

và gây ra tình trạng nghẽn mạng, mất kết nối với server thậm chí là dừng hoạt động của dịch vụ

Một trong những điểm yếu của hệ thống IoT đó là tính phân tán và bảo mật kém, khi các hệ thống IoT ngày càng lớn hơn số lượng thiết bị IoT ngày càng nhiều, mang lại nhiều lưu lượng hơn cùng với đó là bản chất phân tán và không đồng nhất của mình nó dễ dàng trở thành mục tiêu và bị tấn công từ các hacker Theo báo cáo của HP [14] cho biết 70% các thiết bị IoT phải chịu các cuộc tấn công mạng khác nhau khai thác lỗ hổng khác nhau Chính vì vậy kẻ tấn công dễ dàng tiếp cận và thực hiện botnet hóa, người quản lý khó kiểm soát hết toàn bộ mạng

1.4 Yêu cầu đặt ra trên thực tế

Với bất kỳ một hệ thống mạng nào, an ninh và quyền riêng tư luôn là vấn

đề được đặt lên hàng đầu Với mạng IoT nói riêng, vấn đề bảo mật an ninh mạng còn được coi trọng hơn nữa do tính đặc thù về dữ liệu trong mạng, chủ yếu là dữ liệu riêng tư và quan trọng của người dùng Khi số lượng người dùng tăng, hành

vi người dùng đa dạng và phức tạp dẫn tới khó quản lý và kiểm soát cho nên IoT trở thành mục tiêu tấn công hàng đầu của tội phạm mạng Các nguy cơ mất an toàn bảo mật xuất phát từ lỗ hổng bảo mật của hệ thống, từ hành vi của người dùng trong mạng IoT tạo cơ hội cho kẻ xấu thâm nhập vào mạng và tạo ra các cuộc tấn công từ chối dịch vụ thông qua mạng lưới botnet, không chỉ tấn công vào máy chủ của mạng mà có thể còn vào các mạng khác

Từ những mối nguy hại đã được chỉ ra, có thể thấy rằng vấn đề an ninh mạng cho mạng IoT vẫn còn nhiều điểm khó khăn cần phải nghiên cứu thêm, đòi hỏi những công nghệ và cơ chế mới để đáp ứng được yêu cầu trong thực tế

1.5 Kết luận

IoT là mạng kết nối hàng tỷ thiết bị, với nền tảng là sự liên kết chặt chẽ, cốt lõi và giá trị của hệ thống là tập dữ liệu khổng lồ Có thể thấy rằng, hệ sinh thái IoT ngày càng da dạng và phát triển không ngừng Trong tương lai, tất cả các sự

vật, thiết bị sẽ được kết nối với nhau và trở thành IoE (Internet of Everything) IoT thúc đẩy việc số hóa thông minh của các ngành, các tầng lớp xã hội, trở thành động lực thúc đẩy sự chuyển đổi số trên khắp thế giới, mang lại giá trị kinh

tế rất lớn

Lợi ích mà IoT đem lại là không thể phủ nhận, nhưng nguy cơ và thách thức mà IoT đặt ra cũng không hề nhỏ Trong chương này, những lợi ích mà mạng IoT mang lại cho cuộc sống trên nhiều mặt đã được trình bày như sức khỏe, nông nghiệp, an ninh, giao thông… Ngoài ra, luận văn cũng đã trình bày các thành phần của một hệ thống IoT, đi cùng với đó là những công nghệ đang được sử dụng trong các hệ thống này Bên cạnh những lợi ích mà IoT mang lại cho chúng ta thì cùng với đó là những khó khăn vẫn còn tồn tại, đặc biệt là vấn

đề bảo mật và an ninh mạng trong mạng IoT… Trong các chương tiếp theo, cơ chế tấn công vào lớp ứng dụng trong mạng IoT và phương pháp phát hiện cũng như phòng chống tấn công ở vùng biên của hệ thống sẽ được trình bày cụ thể

CHƯƠNG 2 PHÒNG CHỐNG TẤN CÔNG VÀO LỚP ỨNG DỤNG

TRONG MẠNG IOT

Chương này sẽ trình bày về lý thuyết và cơ chế của loại tấn công DDoS - HTTP Flood từ đó thấy được mối nguy hại mà loại tấn công này gây ra Thêm vào đó, là một số giải pháp hiện nay nhằm phát hiện cũng như giúp kiểm soát truy cập và bảo đảm phòng chống xâm nhập giảm thiểu tấn công HTTP Flood

2.1 Hình thức tấn công vào lớp ứng dụng

Bắt nguồn từ loại tấn công từ chối dịch vụ (Denial of Service – DoS) [13] là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một hệ thống mạng rất lớn Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ và làm mất khả năng xử lý các yêu cầu dịch vụ từ các khách hàng khác Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là dạng phát triển ở mức độ cao của tấn công DoS với phạm vi tấn công rất lớn, được phát sinh cùng một lúc từ rất nhiều máy tính nằm rải rác trên mạng Internet

Các cuộc tấn công DDoS được thể hiện như ở Hình 2.1 ngày càng tinh vi và rất khó phát hiện với các mục đích chính:

• Tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân

• Gây ngắt quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng

• Làm cạn kiệt các tài nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, cơ sở dữ liệu

• Khi xảy ra tấn công DDoS, các kết nối an toàn rất khó truy cập được vào

hệ thống mạng với những biểu hiện như: tắt mạng, hệ thống mạng không hoạt động…