Trong bài viết này sẽ chỉ ra nhưng nguy cơ xâm phạm thông tin, chiếm quyền điều khiển và tấn công hệ thống mạng đồng thời cũng gợi ý một số cơ chế bảo mật thông tin. Từ đó, các nhà thiết kế thiết bị và hoạch định mạng sẽ tìm ra các giải pháp bảo mật thông tin và đảm bảo an toàn cho hệ thống IoT.
HỘI NGHỊ KHOA HỌC TỒN QUỐC VỀ CƠ KHÍ – ĐIỆN – TỰ ĐỘNG HÓA (MEAE2021) Bàn chế bảo mật mạng IoT Cung Quang Khang1, 1) Khoa Cơ điện, Trường Đại học Mỏ Địa chất, Việt Nam, THƠNG TIN BÀI BÁO Q trình: Nhận 15/04/2021 Chấp nhận 16/8/2021 Đăng online 19/12/2021 Từ khóa: Bảo mật , IoT (Internet of Things), API (Application Programming Interface), MUD (Manufacturer Usage Description) email: cungquangkhang@humg.edu.vn TÓM TẮT Trong trào lưu chuyển đổi số, thiết bị đời sống nói chung thiết bị cơng nghiệp nói riêng có xu hướng trở thành thiết bị IoT (Intrenet of Things) Mạng liên kết thiết bị IoT dựa tảng Internet, nhu cầu bảo mật thông tin cần đặc biệt quan tâm Trong báo cáo nguy xâm phạm thông tin, chiếm quyền điều khiển công hệ thống mạng đồng thời gợi ý số chế bảo mật thơng tin Từ đó, nhà thiết kế thiết bị hoạch định mạng tìm giải pháp bảo mật thơng tin đảm bảo an tồn cho hệ thống IoT © 2021 Trường Đại học Mỏ - Địa chất Tất quyền bảo đảm khí đốt) Trong cơng nghiệp, IoT sử dụng rộng rãi kiểm soát, điều hành nhà máy dây chuyền sản xuất Tương lai gần, IoT thành phần thiết yếu hệ sinh thái công nghiệp 4.0 với trí tuệ nhân tạo (AI) mang lại lợi ích to lớn Tuy nhiên, với lợi ích mà thiết bị IoT đem lại, ứng dụng IoT chứa đựng nhiều nguy bảo mật thông tin, liệu chiếm quyền điều khiển Đơn giản lộ thơng tin người dùng thông qua camera giám sát Nguy lớn nhiều kiểm sốt dây chuyền cơng nghiệp, an tồn, an ninh dẫn đến hậu nghiêm trọng Ví dụ, hệ thống điều hành giao thông hay cung cấp lượng bị tin tặc cơng làm tê liệt thị lớn Do đó, cần phải có chế để đảm bảo độ tin cậy cho ứng dụng IoT, bảo mật thông tin mạng IoT Báo cáo có mục đích đề cập đến nguy công vào mạng IoT xây dựng chế bảo mật thông tin cho mạng IoT Mở đầu Sự đời phát triển công nghệ Internet vạn vật (IoT - Internet of Things) với mạng dịch vụ kết nối tốc độ cao 5G, cơng nghệ điện tốn đám mây (Cloud Computer) mơ hình xử lý liệu lớn (Big Data) mở kỷ nguyên chuyển đổi số mang lại lợi ích lớn cho doanh nghiệp người dùng Theo dự báo IDC (International Data Corporation - Tập đoàn Dữ liệu Quốc tế), đến năm 2025 có 40 tỷ thiết bị IoT triển khai toàn giới với lượng liệu cực lớn, đạt tới 79 zetabytes (ZB) [1] Cùng với việc triển khai công nghệ 5G, thiết bị IoT có mặt lúc, nơi đời sống xã hội Thiết bị IoT ngày đa dạng, từ thiết bị phục vụ sống thường nhật (camera giám sát, thiết bị điều khiển nhà thông minh) thiết bị ứng dụng hoạt động xã hội thiết yếu (điều hành giao thơng, an ninh, an tồn, giám sát nhiễm môi trường, phương tiện công cộng, xử lý rác thải, cung cấp nước, điện, 148 HỘI NGHỊ KHOA HỌC TỒN QUỐC VỀ CƠ KHÍ – ĐIỆN – TỰ ĐỘNG HÓA (MEAE2021) Mạng IoT nguy bị công b) Các quan hệ ứng dụng di động phần mềm điều khiển lệnh 2.1 Mạng IoT c) Các quan hệ API (Application Programming Interface) đám mây dịch vụ mạng liên quan Các nhà phát triển sử dụng API đám mây để mã hóa API có dịch vụ nhà cung cấp đám mây Các thiết bị IoT gắn kết với tạo thành mạng IoT hệ sinh thái, tùy thuộc vào mục tiêu cụ thể người dùng Các thành phần hệ mơ tả hình sau d) Các giao thức truyền thơng mạng có liên quan sử dụng, chẳng hạn Ethernet, giao thức mạng không dây 802.11 giao thức truyền thông liên thành phần (Zigbee, Z-Wave Bluetooth) 2.2 Các nguy công vào mạng IoT Với cấu trúc nêu trên, mạng IoT bị cơng từ nhiều hướng khác Có thể liệt kê đường mà tin tặc cơng vào hệ, là: Hình Những thành phần mạng IoT a) Tin tặc chiếm quyền điều khiển thiết bị IoT triển khai thực địa: công truy nhập trực tiếp vào thiết bị IoT Xét mạng IoT hình 1, ta thấy thiết bị IoT (IoT Device) camera giám sát, trạm đo, cấu điều khiển triển khai thực địa gọi chung thiết bị trường, thông qua cảm biến (sensor/actuator) đảm nhận thu thập liệu (Sense Data acquisition) truyền tới cổng mạng (gateway) đóng vai trò tổng hợp liệu (Data Aggregation) truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng truyền (Data Transmission) dẫn lõi (core network) Từ đây, thông tin tới phận xử lý lưu trữ liệu (Data Store & Event Processing) máy chủ (Servers/Cloud) mơi trường điện tốn đám mây Những liệu khai thác ứng dụng (application) hệ thống nhúng, thiết bị di động hay máy tính (Embedded/Mobile/Destop): ứng dụng cung cấp hay nhiều dịch vụ giá trị gia tăng Những dịch vụ tính hóa đơn (điện, nước, ga), giám sát điều khiển (giao thông, ô nhiễm môi trường), can thiệp chỗ (camera giám sát) Những ứng dụng dùng mạng truyền thông để gửi mệnh lệnh điều khiển xuống thiết bị IoT Quan hệ mạng IoT phức tạp là: b) Tin tặc tập trung cơng vào máy chủ mơi trường điện tốn đám mây c) Thơng qua hệ sinh thái IoT bị tin tặc chiếm lợi dụng để công hệ thống thông tin khác (ví dụ cơng từ chối truy cập thông qua hệ thống đèn giao thông) Những nguy an tồn thơng tin đáng lo ngại bảo mật thường trọng q trình phát triển ứng dụng IoT Thống kê công ty chuyên ngành cho thấy, phần lớn thiết bị IoT có lỗ hổng bảo mật phần mềm nghiêm trọng như: • Cấu hình khơng an tồn (không thay đổi mật ngầm định cài đặt, khơng đóng giao diện sốt lỗi (debug)); • Yếu quản trị thiết bị cho phép tin tặc truy cập chiếm điều khiển từ xa; • Sử dụng giải thuật mã hóa yếu dẫn tới thơng tin quan trọng dễ dàng truy nhập sửa đổi; a) Các quan hệ thiết bị nhúng cảm biến, máy thu thập liệu cấu chấp hành có liên quan • Mất kiểm sốt q trình cập nhật phần mềm: thiết bị IoT cần thiết cập nhật 149 HỘI NGHỊ KHOA HỌC TỒN QUỐC VỀ CƠ KHÍ – ĐIỆN – TỰ ĐỘNG HÓA (MEAE2021) thường xuyên (firmware update) để cải thiện chức sửa lỗi Tin tặc triển khai mã độc tất cá thiết bị bước khai thác lỗ hổng - Cơ quan kiểm định phải có đủ lực kỹ thuật chất lượng (cụ thể đạt chuẩn ISO/IEC 17025); - Quy trình kiểm định phải hồn tồn độc lập: nhà sản xuất khơng thể tác động đến kết kiểm định; Trong điểm yếu trên, việc quản trị, kiểm soát giám sát thiết bị xem yếu tố then chốt có tính định đến an tồn thơng tin tổ chức Sở dĩ việc kiếm soát giám sát thiết bị quan trọng số lượng công từ chối dịch vụ kiểu phân tán DDoS (Distributed Denial of Service) ngày nhiều, mà nguyên nhân xuất phát từ việc khơng kiểm sốt giám sát chặt chẽ thiết bị, khiến thiết bị vô tình trở thành mạng lưới botnet cho công từ chối dịch vụ, nhằm vào mục tiêu hệ thống thông tin quan trọng quốc gia Theo thống kê APNIC (Asia Pacific Network Information Centre), tỉ lệ công liên quan đến DDoS cao, chiếm 87% Do vấn đề đặt phải giám sát thiết bị IoT này, ba yếu tố cần quan tâm là: truy cập thiết bị; sau truy cập, đối tượng thao tác thiết bị; tác vụ thực thiết bị ảnh hưởng hoạt động hệ thống mạng - Sản phẩm lưu hành kết kiểm định thỏa mãn tiêu an tồn 3.2 Kiểm sốt thường xun tình trạng an ninh mạng hạn chế tối đa quyền truy nhập, kết nối thiết bị IoT Khi triển khai IoT, việc cài đặt chốt chặn rủi ro cần thiết không đủ để bảo mật liệu Các rủi ro mạng luôn biến đổi gia tăng, cần thường xuyên theo dõi cập nhật sách bảo mật Do đó, thiết bị IoT ln cập nhập firmware mới, vá lỗ hổng bảo mật Các thành phần kết nối mạng IoT cần thường xuyên tuân thủ tiêu chuẩn an ninh mạng Từ đó, cần thực thay đổi thường xuyên mật truy nhập thiết bị IoT Thêm nữa, giải pháp bảo mật khơng có thiết bị có tồn quyền kết nối với mơi trường IoT doanh nghiệp Mỗi thiết bị cần ngăn chặn khỏi tin tặc cách sử dụng địa IP bảo mật nhận diện từ mạng Internet công cộng Trong trường hợp thiết bị bị công, giải pháp đảm bảo tin tặc xâm nhập tồn hệ thống thơng qua thiết bị Từ nguy trên, cần xây dưng chế, giải pháp bảo an tồn thơng tin mạng IoT Các chế nhằm bảo mật thông tin, nâng cao độ tin cậy cho mạng IoT Từ mối quan hệ mạng IoT, xây dựng chế đảm bảo bảo mật cho hệ Đó là, 3.3 Sử dụng mã hóa bảo mật 3.1 Đảm bảo thiết bị IoT đưa vào hệ có khả bảo mật Các thiết bị môi trường IoT thường có hạn chế lượng, khả xử lý có nhớ thấp (thường từ vài KB RAM đến hàng chục KB EEPROM) Một giải pháp cung cấp cho thiết bị IoT mã định danh chép, cách lấy mã từ khác biệt vật lý cực nhỏ chip silic tạo đa dạng quy trình sản xuất wafer Một mã định danh thay cho khóa mã hóa cần lưu trữ, nên tiết kiệm nhớ Khi triển khai hệ thống mạng IoT, thiết bị IoT phải kiểm định đảm bảo an toản bảo mật Do đó, cần xây dựng triển khai phương pháp kiểm định an tồn thơng tin độc lập giải pháp lâu dài để nâng cao độ tin cậy ứng dụng IoT Cách tiếp cận dựa nguyên tắc sau: - Nhà sản xuất cung cấp sản phẩm mẫu thông tin cần thiết cho quan kiểm định; Các thiết bị IoT với định danh giao tiếp an tồn với máy chủ dựa đám 150 HỘI NGHỊ KHOA HỌC TOÀN QUỐC VỀ CƠ KHÍ – ĐIỆN – TỰ ĐỘNG HĨA (MEAE2021) mây thực phân tích liệu định hệ sinh thái IoT Tuy nhiên, điều quan trọng thiết bị máy chủ xác thực chúng giao tiếp với thành viên hợp lệ hệ sinh thái chúng Điều thường xử lý cách sử dụng chữ ký số sở hạ tầng khóa cơng khai API khiến liệu dịch vụ nhạy cảm gặp rủi ro Điều có nghĩa nhà cung cấp ứng dụng IoT phải xác định mức độ ưu tiên bảo mật API đám mây Khi đó, việc lựa chọn dịch vụ điện tốn đám mây an tồn chế đảm bảo bảo mật thơng tin hệ sinh thái IoT 3.5 Giải pháp MUD bảo mật thơng tin mạng IoT Do đó, giao thức trao đổi khóa cần sử dụng chế hạng nhẹ bao gồm: khóa mật mã đối xứng sơ đồ dẫn xuất khóa dựa hàm băm (Hash key derivation function - HKDF) MUD viết tắt Manufacturer Usage Descriptions, giải pháp sử dụng để giúp quản trị hệ thống mạng phân loại thiết bị IoT, từ xác định sách hay quyền (policies) quản lý truy cập thiết bị Nguyên lý hoạt động giải pháp mô tả hình sau: Trong cấu hình bảo mật IoT đề xuất giao thức trao đổi khóa hạng nhẹ, gồm khóa chia sẻ thiết bị IoT Gateway, sử dụng khóa chủ đối xứng dài hạn, ký hiệu Km, khóa chia sẻ ngắn hạn (khóa phiên) ký hiệu Ks Khóa phiên khởi tạo ký hiệu Kiks Cả khóa chủ khóa phiên khởi tạo nhập thủ cơng lần vào nhớ EEPROM thiết bị IoT Gateway (cổng kết nối mạng) Mỗi Gateway xác thực thiết bị IoT thông qua Message (bản tin) trao đổi hai bên, Message mã hóa khóa chủ Km băm nhờ khóa Kiks Giao thức đảm bảo hai bên có khóa chia sẻ Ks, dùng để mã hóa tính giá trị băm cho Message phiên Vấn đề sâu báo cáo khác giao thức trao đổi khóa bảo mật thiết bị IoT Hình Sơ đồ luồng liệu MUD Đầu tiên thiết bị IoT gửi định vị tài nguyên thống MUD-URL (MUD-Uniform Resource Locator) đến thiết bị mạng MUD-URL đường dẫn nhà sản xuất lập trình để nhúng vào thiết bị, xem chuỗi định danh thiết bị Ba phương thức sử dụng để gửi MUD-URL từ thiết bị IoT đến thiết bị mạng LLDP (Link Layer Discovery Protocol), DHCP (Dynamic Host Configuration Protocol) giao tiếp chuẩn 802.1x 3.4 Lựa chọn nhà cung cấp dịch vụ điện tốn đám mây an tồn Khi thiết bị IoT liên kết thàng mạng hệ sinh thái IoT, lưu trữ đám mây thành phần quan trọng Việc lựa chọn nhà cung cấp dịch vụ ảnh hưởng lớn đến bảo mật thông tin hệ IoT Các thiết bị mạng sau nhận MUD-URL chuyển tiếp thông tin đến MUD Controller (được xem xử lý trung tâm) Sau đó, dựa MUD URL, MUD controller kết nối đến MUD file server nhà sản xuất thiết bị IoT qua giao thức https Sau xác thực thành công, file MUD tương ứng tải từ MUD File Server ( đám mây lưu trữ) Thiết bị mạng sau nhận file MUD chuyển tiếp từ MUD Controller đến thực thi sách quản lý danh sách truy cập (access-list) tương ứng thiết bị IoT kết nối Mạng IoT thường sử dụng dịch vụ mạng khác để điều khiển từ xa, thu thập liệu quản lý sản phẩm Nói chung, dịch vụ mạng API(Application Programming Interface) đám mây phần yếu hệ sinh thái IoT Các nhà phát triển sử dụng API đám mây để mã hóa API có dịch vụ nhà cung cấp đám mây Trong đó, API đám mây mang lại rủi ro bảo mật cho ứng dụng đám mây, tác nhân đe dọa dễ dàng cơng 151 HỘI NGHỊ KHOA HỌC TỒN QUỐC VỀ CƠ KHÍ – ĐIỆN – TỰ ĐỘNG HĨA (MEAE2021) Dựa sơ đồ đường luồng liệu, thấy MUD controller có vai trị quan trọng nhất, làm nhiệm vụ chuyển đổi tập tin (file) MUD nhận từ File Server thành quyền (policy) tương ứng Khi đó, dựa quyền này, hệ thống mở số cổng dịch vụ định cho phép số địa IP phép truy cập thiết bị Trong trường hợp tin tặc muốn công, chiếm quyền điều khiển thiết bị IoT không thể, địa IP tin tặc bị chặn tập quyền quản lý truy cập tạo MUD Điều phần giới hạn lại rủi ro kiểm soát luồng liệu truy cập vào thiết bị Kết luận Cùng với chuyển đổi số thời đại công nghiệp 4.0, phát triển mạnh mẽ đa dạng ứng dụng IoT xu hướng công nghệ tất yếu Ở Việt Nam q trình khơng quan tâm mức dễ dàng rơi vào bẫy giới tin tặc quốc tế Các thiết bị IoT loại thiết bị có nhiều điểm yếu dễ bị thỏa hiệp tin tặc Do để nâng cao tính an toàn cho hệ thống, người dùng, tổ chức doanh nghiệp cần có hiểu biết xây dựng sách bảo mật thông tin loại thiết bị Thực chế bảo mật trình bày đảm bảo hệ sinh thái mạng IoT an tồn, mang lại hiệu đích thực triển khai ứng dụng IoT cho doanh nghiệp người dùng Với báo cáo hy vọng nhà phát triển ứng dụng IoT, doanh nghiệp người dùng quan tâm mực tới vai trò bảo mật mạng IoT nhằm tránh rủi ro cho hoạt động hệ thống Hãng cung cấp giải pháp mạng Cisco đơn vị tiên phong nghiên cứu đề xuất giải pháp MUD, nhằm gia tăng độ an toàn cho thiết bị IoT Tuy nhiên giải pháp MUD không mang tính độc quyền dịng sản phẩm hãng mà sử dụng tiêu chuẩn mở an tồn thơng tin thiết bị IoT Đối với công ty chuyên sản xuất thiết bị IoT, việc cần làm lập trình để nhúng MUD-URL vào phần mềm firmware (điều khiển) thiết bị, đồng thời thiết lập máy chủ mạng (đám mây) đóng vai trò MUD File Server mạng Internet Điều phần giúp gia tăng tính cạnh tranh thiết bị IoT doanh nghiệp, tính an tồn trọng Đối với doanh nghiệp mua sắm thiết bị IoT cần ý đến khả hỗ trợ MUD thiết bị Việc sử dụng thiết bị IoT có hỗ trợ MUD giúp doanh nghiệp hạn chế nguy tin tặc (hacker) chiếm quyền điều khiển thiết bị sử dụng thiết bị IoT doanh nghiệp cho mạng lưới botnet công DDoS Tài liệu tham khảo 1.https://www.idc.com/getdoc.jsp?containerId= prUS45213219 Bin Rabiah, Ramakrishnan, Elizabeth Liri, Koushik Kar, “A lightweight Authentication and Key Exchange Protocol for IoT”, 2018, Sandiego, USA Rafael Alvarez, Candido Caballero-Gil, “Algorithms for Lightweight Key Exchange”, 2017 https://blogs.cisco.com/developer/mud-iotendpoint-security 152 ... bảo mật thông tin, nâng cao độ tin cậy cho mạng IoT Từ mối quan hệ mạng IoT, xây dựng chế đảm bảo bảo mật cho hệ Đó là, 3.3 Sử dụng mã hóa bảo mật 3.1 Đảm bảo thiết bị IoT đưa vào hệ có khả bảo. .. đám mây an tồn chế đảm bảo bảo mật thông tin hệ sinh thái IoT 3.5 Giải pháp MUD bảo mật thông tin mạng IoT Do đó, giao thức trao đổi khóa cần sử dụng chế hạng nhẹ bao gồm: khóa mật mã đối xứng... bảo mật Do đó, thiết bị IoT cập nhập firmware mới, vá lỗ hổng bảo mật Các thành phần kết nối mạng IoT cần thường xuyên tuân thủ tiêu chuẩn an ninh mạng Từ đó, cần thực thay đổi thường xuyên mật