Nghiên ứu an ninh mạng trên đường truyền vô tuyến trong một mạng iot dân dụng

viỂDANH MỤC HÌNH V .... 40 Trang 10 viii DANH M C ỤKÝ HIỆU VÀ CH VIỮ ẾT TẮT Kí hiệu và chữ viế ắtt tThuật ngữ ếng AnhtiThuật ngữ ếng ViệttiCoAP Constrained Application Protocol Giao thứ

TRƯỜ NG Đ Ạ I H C BÁCH KHOA HÀ N I Ọ Ộ

LUẬN VĂN THẠC SĨ

Ngành K thu ỹ ậ t Viễ n Thông

Giả ng viên hư ng d n: ớ ẫ PGS TS Trương Thu Hương

Viện: Điện T - ử Viễn Thông

HÀ NỘI, 10 20 /20

Chữ ký c a GVHD ủ

Tai ngay!!! Ban co the xoa dong chu nay!!! 17061132225771000000

C NG HÒA XÃ H I CH Ộ Ộ Ủ NGHĨA VIỆT NAM

Độ ậ – ực l p T do H nh phúc – ạ

B N XÁC NH N CH NH S A LU Ả Ậ Ỉ Ử ẬN VĂN

THẠC SĨ

H và tên tác gi ọ ả luận văn: Vũ Việt Đức

tài luĐề ận văn: Nghiên c u an ninh mứ ạng trên đường truy n vô tuy n ề ếtrong m t m ng IOT dân d ngộ ạ ụ

Chuyên ngành: K Thuỹ ật Viễn Thông

Mã số SV: CA190151

Tác giả, Người hướng d n khoa h c và Hẫ ọ ội đồng ch m luấ ận văn xác nhận tác gi ả đã sửa ch a, b sung luữ ổ ận văn theo biên bản h p Họ ội đồng ngày 30/10/2020 v i các n i dung sau: ớ ộ

- B sung và s p x p các thuổ ắ ế ật ngữ ế ắ vi t t t theo th t A-B-C ứ ự

- Hiệu ch nh lỉ ỗi soạn th o và in n ả ấ

- Việt hóa và v l i các hình v m ẽ ạ ẽ ờ

- B ổsung số liệ u v ề lưu lượng t n công ấ

- Đưa ra cơ chế phát hi n t n công ệ ấ

Ngày 16 tháng 11 năm 2020

PGS TS Trương Thu Hương Vũ Vi t Đ c ệ ứ

CHỦ ỊCH HỘ T I Đ ỒNG

PGS TS Nguyễn Tài Hưng

i

LỜ I CẢM ƠN

Lời đầu tiên, tôi xin được g lửi ời cảm ơn tới Viện Điệ ử Viễn thông, Đại n t -

h c Bách Khoa Hà N iọ ộ , nơi đã tạo điều ki n ệ và cơ hội cho tôi được tham gia học

tập để hoàn thành chương trình cao học b c Th c Sậ ạ ỹ Xin được ử ờ ảm ơn g i l i cchân thành và sâu s c nh t t i ắ ấ ớ PGS TS Trương Thu Hương, ngườ đã tậi n tình định hướng, giúp đỡ và hướng d n tôi trong quá trình th c hi n luẫ ự ệ ận văn này

C ng c thêm các ki n thủ ố ế ức chuyên ngành cũng như phương pháp làm việc và nghiên c u Bên cứ ạnh đó cũng xin gử ờ ảm ơn tới l i c i nhóm các b n sinh viên c a ạ ủphòng nghiên c u Future Internet Lab, Viứ ện Điện t - ử Viễn thông đã tạo điều

ki u cho tôi ệ được sử ụng cơ sở ật chấ ủa Lab để phục vụ d v t c trong quá trình hoàn thiện luận văn, và những h ợỗ tr và giúp đỡ trong quán trình xây d ng mô hình ự

gi lả ập để ấ l y các k t qu ế ả đánh giá thự ếc t Nhờ có nh ng s ữ ự giúp đỡ này đã giúp tôi hoàn thiện luận văn như ngày hôm nay

Xin chân thành cảm ơn!

Hà Nộ i, ngày 16 tháng 11 năm 2020

Học viên

Vũ Việt Đức

ii

Tôi là Vũ Việt Đức, mã h c viên CA190151, h c viên l p cao h c ọ ọ ớ ọCH2019A Đai học Bách Khoa Hà Nội Người hướng dẫn là PGS TS Trương Thu Hương Tôi xin cam đoan toàn bộ ộ n i dung của tôi được trình bày trong lu n ậvăn “Nghiên c u an ninh m ng trêứ ạ n đường truy n vô tuy n trong m t m ng IOT ề ế ộ ạdân dụng” là k t qu c a quá trình tìm hi u và nghiên c u cế ả ủ ể ứ ủa tôi, dướ ự hưới s ng

d n cẫ ủa PGS TS Trương Thu Hương, cùng vớ ự ỗi s h trợ và giúp đỡ ủ c a các thành viên của nhóm nghiên c u v an ninh m ng và IoT trong phòng nghiên c u ứ ề ạ ứFuture Internet Lab , Viện Điện T - ử Viễn Thông, Đạ ọi h c Bách Khoa Hà N i ộCác s u và k t qu trong luố liệ ế ả ận văn hoàn toàn là trung thực, phản ánh đúng kết

qu ảthự ếc t M i thông tin trích dọ ẫn đều tuân th ủ quy định v s h u trí tu , các ề ở ữ ệ

tài liệu tham khảo được liệt kê rõ nguồn gốc

Tôi xin chịu hoàn toàn trách nhi m vệ ới nh ng n i dung đư c viết trong ận ữ ộ ợ luvăn này

Hà Nộ i, ngày 16 tháng 11 năm 2020

Người cam đoan

Vũ Việt Đức

iii

TÓM T T Ắ LUẬN VĂN

IoT là m ng k t n i hàng t ạ ế ố ỷthiế ị ớ ề ảt b , v i n n t ng là s liên k t ch t ch , cự ế ặ ẽ ốt lõi và giá tr c a h ị ủ ệthống là t p d u kh ng l Có th ậ ữ liệ ổ ồ ể thấ ằy r ng, h sinh thái ệIoT ngày càng da d ng và phát tri n không ngạ ể ừng Trong tương lai, tấ ảt c các s ự

v t, thi t b s ậ ế ị ẽ được k t n i v i nhau và tr thành IoE (Internet of Everything) ế ố ớ ởIoT thúc đẩy vi c s hóa thông minh c a các ngành, các t ng l p xã h i, tr ệ ố ủ ầ ớ ộ ởthành động lực thúc đẩy s chuyự ển đổ ối s trên kh p th gi i, mang l i giá tr kinh ắ ế ớ ạ ị

t rế ất lớn

Bên cạnh đó, nó v n luôn tiẫ ềm ẩn những đ ểi m yếu và nguy cơ về ấn đề v

b o m t và an ninh m ng M t trong các nguyên nhân l n nh t cả ậ ạ ộ ớ ấ ủa điểm y u này ế

đế ừn t nh ng hành vi kém b o m t cữ ả ậ ủa người dùng trong môi trường m ng IoT, ạ

vô hình chung tạo ra cơ hội cho các k t n công ẻ ấ thực hiện ý đồ và có th bi n ể ếmình thành m t n n nhân ong cu c tộ ạ ở tr ộ ấn công đó Do đó, mộ ệt h thống IoT đòi

h i phỏ ải có cơ chế phát hi n các cu c t n công m t cách chính xác, nhanh chóng ệ ộ ấ ộ

và k p th i B i vị ờ ở ầy để nghiên c u ti p c n vứ ế ậ ấn đề này, luận văn đưa ra hướng tiếp c n xây d ng m t mô hình gi l p h sinh thái IoT vậ ự ộ ả ậ ệ ới đầy đủ các thành

phần cơ bản nh t, ph c v ấ ụ ụ cho quá trình đánh giá và khảo sát các vấn đề ả b o mật

c a h ủ ệ thống IoT Cùng với đó là vi c th c hi n gi l p l i m t s k ch b n t n ệ ự ệ ả ậ ạ ộ ố ị ả ấcông cũng như nhận di n t n công trên mô hình ệ ấ đã xây sựng đượ đềc xu t, ph m ấ ạ

vi luận văn tập trung vào lo i t n công TCP SYN ạ ấ Flood Các k t qu ế ả đạt được cho th y các gi i pháp và logic ấ ả đưa ra hoàn toàn phù hợp v i lý thuy t và th ớ ế ửnghi m t t trên mô hình xây dệ ố ựng được

iv

MỤ C LỤC

LỜ I CẢM ƠN i

LỜI CAM ĐOAN ii

TÓM TẮ T LUẬN VĂN iii

DANH M C BỤ ẢNG BI U viỂ DANH MỤC HÌNH V viiẼ DANH MỤC KÝ HIỆU VÀ CH VIỮ ẾT TẮT viii

PHẦN MỞ ĐẦU ix

CHƯƠNG 1 HÀNH VI NGƯỜI DÙNG VÀ VẤN ĐỀ AN NINH B O M T Ả Ậ TRONG M NG IOT 1Ạ 1.1 Giới thiệu chung 1

1.2 Vấn đề an ninh b o mả ật trong mạng IoT 3

1.2.1 T ng quan v t n công t ổ ề ấ ừchối dịch vụ phân tán 6

1.2.2 Cơ chế hình thức tấn công TCP SYN Flood 9

1.3 Kết luận 12

CHƯƠNG 2 XÂY DỰNG GI L P M T H SINH THÁI IOT 13Ả Ậ Ộ Ệ 2.1 Thành phần cơ bản c a mủ ột hệ sinh thái IoT 13

2.1.1 Kiến trúc m ng IoT 13ạ 2.1.2 Cơ sở ạ ầ h t ng 18

2.1.3 Giao thức truy n thông 20ề 2.1.4 Cloud và các dịch vụ 26

2.2 Đề xu t xây d ng mô hình gi l p 27ấ ự ả ậ 2.2.1 T ng quan mô hình gi l p h ổ ả ậ ệthống IoT 27

2.2.2 Các thành vật lý của mô hình 29

2.2.3 Các giao thức kết nối 31

2.3 Kết luận 32

v

DÙNG TRONG MẠNG IOT 33

3.1 Giả ậ l p ngu n tồ ấn công trong môi trường m ng IoT 33ạ 3.2 Công cụ ử ụ s d ng xây d ng gi l p ngu n phát t n công 35ự ả ậ ồ ấ 3.2.1 TCPrewrite 35

3.2.2 TCPreplay 36

3.2.3 Resmon 37

3.2.4 Wireshark 38

3.3 Kết luận 38

CHƯƠNG 4 GIẢI PHÁP PHÁT HI N VÀ GI M THI U T N CÔNG 39Ệ Ả Ể Ấ 4.1 Phương pháp xây dựng giải pháp 39

4.1.1 Phân tích các tracefile d u m ng IoT 40ữliệ ạ 4.1.2 Cơ chế ảm thiể gi u lu ng t n công 46ồ ấ 4.2 Kết quả triển khai các kịch bản và đánh giá 46

4.2.1 Đánh giá hiệu năng của h ệthống 48

4.2.2 Đánh giá độ chính xác của phương pháp phát hiện và gi m thiả ểu t n công 51ấ 4.3 Kết luận 53

KẾ T LUẬN 54

Kết luận chung 54 Hướng phát tri n 54ể

TÀI LIỆU THAM KH O 56Ả

B ng 4.1 Thả ống kê lưu lượng t n công TCP SYN Flood 42ấ

B ng 4.2 S ả ố lượng gói tin v i các c ớ ờ tương ứng 43

B ng 4.3 T l ả ỉ ệ các cặp quan h SYN/FIN, ACK/SYN 44ệ

B ng 4.4 B ng th ng kê s ả ả ố ố lượng gói tin v i các c SYN, FIN 52ớ ờ

B ng 4.5 S ả ố lượng gói tin thuộc từng loại lưu lượng tại các điểm c a h ủ ệthống 52

B ng 4.6 T l phát hi n chính xác các loả ỉ ệ ệ ại lưu lượng 53

vii

DANH M C Ụ HÌNH V Ẽ

Hình 1.1 Các thành phần chính trong ki n trúc IoT[2] 2ế Hình 1.2 Kiến trúc c a m ng Botnet[3] 4ủ ạ

Hình 1.3 Phân loại tấn công DDoS 8

Hình 1.4 Cấu trúc TCP header 9

Hình 1.5 Quá trình bắt tay 3 bước của TCP 10

Hình 1.6 Kịch bả ấn t n công TCP SYN Flood 11

Hình 2.1 Kiến trúc tham chi u WSO2[6] 14ế Hình 2.2 Kiến trúc Microsoft Azure[7] 17

Hình 2.3 Raspberry Pi 3 19

Hình 2.4 Mô hình Master/Slave[13] 21

Hình 2.5 Giao thức CoAP[8] 22

Hình 2.6 Mô hình giao thức MQTT[9] 23

Hình 2.7 Mô hình hệ ố th ng 28

Hình 2.8 Raspberry Pi 3 Model B+[11] 30

Hình 2.9 Thi t b IoT v i №deMCU, c m bi n b i m n, nhiế ị ớ ả ế ụ ị ệt độ, độ ẩ m và áp suất 31

Hình 2.10 Mosquitto trên Server 32

Hình 3.1 Mô hình hệ ố th ng gi l p t n công 34ả ậ ấ Hình 3.2 Giao diện Wireshark 38

Hình 4.1 Phân bố ờ th i gian t n t i c a các lu ng (trồ ạ ủ ồ ạng thái bình thường) 40

Hình 4.2 Phân bố ờ th i gian t n t i c a các lu ng (tr ng thái t n công) 41ồ ạ ủ ồ ạ ấ Hình 4.3 Số ợ lư ng các lu ng trong tr ng thái t n công 42ồ ạ ấ Hình 4.4 Sơ đồ nh n bi t t n công 45ậ ế ấ Hình 4.5 Hệ ố th ng tri n khai th c tế 47ể ự Hình 4.6 Số ợ lư ng luồng đi qua Gateway trong hai trường h p 49ợ Hình 4.7 Tài nguyên chi m dế ụng trên Raspberry Pi trường hợp chưa có module 50 Hình 4.8 Tài nguyên chiếm dụng trên Pi 3 trong trường h p có module 51ợ

viii

DANH M C Ụ KÝ HIỆU VÀ CH VIỮ ẾT TẮT

Kí hiệu và

CoAP Constrained Application

Protocol

Giao thứ ứng dụng ràng c buộc

DoS Denial of Services Tấn công từ ố ịch vụch i d

DDoS Distributed Denial of Services Tấn công từ ố ịch vụ ch i d

phân tán HTTP HyperText Transfer Protocol

IoT Internet of Things Mạng kế ố ạn vậtt n i v

MQTT Message Queuing Telemetry

Transport

Truyền bản tin dùng cơ chế hàng đợi

QoS Quality of Service Chất lượng dịch vụ

TCP Transmission Control Protocol

UDP User Datagram Protocol

Broker (MQTT) Máy chủ dịch vụ MQTT

Publisher (MQTT) Thiế ị vớt b i nhi m vệ ụ gử ản i b

tin lên tới server Subscriber (MQTT) Thiế ị nhận bản tin đượt b c

gử ừ i t server

b o m t và an ninh m ng trong m ng IoT Chính vì v y c n ph i có nh ng h ả ậ ạ ạ ậ ầ ả ữ ệ

thống với cơ chế phát hi n tệ ấn công đảm b o an toàn cho h ống trướ ựả ệ th c s xâm

nh p t các lu ng t n công nguy h i khác nhau Xu t phát t nh ng vậ ừ ồ ấ ạ ấ ừ ữ ấn đề này,

luận văn đã thực hiện đề xu t m t mô hình có th ểấ ộ ểtri nn khai gi l p các cu c tấn ả ậ ộcông trong môi trường m ng IoT, gi i quy t vạ ả ế ấn đề năng lức x lý khi tri n khai ử ểtrên các thiế ịt b T Io

M c tiêu và phụ ạm vi đềtài

Luận văn cung cấp cho người đọc m t cái nhìn c th t ng quan v IoT, ộ ụ ể ổ ề

nh ng l i ích mà nó mang l i bên cữ ợ ạ ạnh đó là những khó khăn và thách thức đang

phả ối đ i mặ ặt đ c bi t là vệ ấn đề an ninh m ng trong m ng IoT xu t phát t hành vi ạ ạ ấ ừ

của người dùng Trong luận văn này, đề xuất xây d ng m t mô hình gi l p cho ự ộ ả ậ

h ệthống m ng IoT và ti n hành gi l p l i cu c t n công TCP SYN Cùng vạ ế ả ậ ạ ộ ấ ới đó

là phương pháp phát hi n và gi m thi u t n công tri n khai ngay chính trên mô ệ ả ể ấ ểhình này

B cố ụ c của luận văn

B cố ục của bài báo cáo s g m các phẽ ồ ần chính như sau:

− Phầ n M ở đầ u: Đặt vấn đề đưa ra mục tiêu và phạm vi của nghiên cứu của

đề tài

− Chương 1: Hành vi người dùng và vấn đề an ninh mạng trong mạng IoT

− Chương 2: Xây dựng giả lập một hệ sinh thái IoT

− Chương 3: Giả lập hình thứ ấn công từ đầu cuốc t i người dùng

− Chương 4: Gi ải pháp phát hiện và giảm thiể tấn công u

− Kết luận: Tổng kết kết quả đạt được của luận văn và định hướng phát triển trong tương lai

1

TRONG M NG IOT Ạ

M ng Internet v n vạ ạ ật đang trở thành xu th t t y u trong cu c s ng, cùng ế ấ ế ộ ố

v i nhớ ững ưu điểm và ti n ích c a nó mang l i trong r t nhiệ ủ ạ ấ ều lĩnh vực, thì bên

cạnh đó cũng có những thách th c mà chúng phứ ải đối m t V i s phát tri n ặ ớ ự ểkhông ng ng c v s ừ ả ề ố lượng các thi t b và quy mô c a mế ị ủ ạng IoT, điều này d n ẫ

t i nh ng khó ớ ữ khăn trong việc quản lý Đặc bi t là vệ ấn đề ể ki m soát an ninh và

b o m t cho mả ậ ạng IoT trước nh ng lu ng xâm nh p gây h i cho h ữ ồ ậ ạ ệ thống Những m i nguy h i này ph n l n b t ngu n t nh ng hành vi, thao tác thi u b o ố ạ ầ ớ ắ ồ ừ ữ ế ả

m t cậ ủa người dùng khi đóng vai trò là một th c th trong m ng IoT Trong ự ể ạchương 1 này sẽ trình bày t ng quan v m t s ổ ề ộ ố nguy cơ và hậu qu xu t phát t ả ấ ừngười dung trong vấn đề an ninh và b o m t trong các h th ng m ng IoT, cùng ả ậ ệ ố ạ

với đó là tính cấp thi t trong vi c gi i quy t vế ệ ả ế ấn đề nghiên c u và áp d ng nh ng ứ ụ ữ

cơ chế giám sát và phát hi n t n công trong m ng IoT ệ ấ ạ

1.1 Giới thiệu chung

Theo d báo t International Data Corporation (IDC) [1] c tính r ng s ự ừ ướ ằ ẽ

có 41,6 t ỷthiế ị IoT đượ ết nt b c k ối, và t o ra 79,4 zettabyte (ZB) d ệu vào năm ạ ữli

2025 Điều này cho th y rấ ằng IoT ngày càng đóng vai trò quan trọng trong tương lai, xu t hi n trên nhiấ ệ ều lĩnh vực và là xu th t t yế ấ ếu c a th giủ ế ới trong tương lai

V i vi c áp d ng IoT, nhiớ ệ ụ ều lĩnh vực trong cu c sộ ống được c i thiả ện đánh kể và

đạt nhi u thành t u, s ti n l i v không gian và th i gian, c i thiề ự ự ệ ợ ề ờ ả ện được độchính xác, tăng hiệu qu kinh t và gi m thi u s can thi p tr c ti p c a con ả ế ả ể ự ệ ự ế ủngười Các ng d ng c a IoT trong th c t có th chia thành nhi u nhóm khác ứ ụ ủ ự ế ể ềnhau như nhà thông minh, thiế ị đeo thông minh, thành phốt b thông minh, quan trắc môi trường hay doanh nghiệp thông minh…Nổ ật trong đó là mộ ố lĩnh i b t s

vực về giáo d c, giao thông, nông nghiụ ệp

M t h ộ ệ thống IoT cơ bản bao g m 3 thành phồ ần như được th ể hiện như trong Hình 1.1 đó là khối thu th p d ậ ữ ệli u collect data, kh i t p h p và chuy n ố ậ ợ ể

tiếp d ệữ li u (collate and tranfer data), kh i phân tích x ố ử lý và đưa ra quyết định/hành động (analyze data, make decision or take action)

2

Hình 1.1 Các thành ph n chính trong ki n trúc IoT[2] ầ ế

Internet of Things làm cho các thi t b xung quanh chúng ta thông minh ế ị ởhơn và phả ứng nhanh hơn, cho phép chúng giao tiến p và chia s d li u thu th p ẻ ữ ệ ậđược thông qua các c ng k t n i IoT (IoT Gateway) ho c các thi t b biên khác, ổ ế ố ặ ế ịnơi dữ ệu đượ li c gửi lên đám mây (cloud) để được phân tích ho c phân tích c c ặ ụ

b t ộ ừ đó đưa ra các quyết định và hành động d a trên thông tin mà chúng nhự ận đượ ừc t nhau mà không liên quan đến con người

Ngày nay, khi càng nhi u k t nề ế ối đượ ạc t o ra bởi con người trong h ệ sinh thái IoT, d ữliệu càng được chia s rẻ ộng rãi, hơn thế ữ n a khi s ố lượng người dùng tăng, hành vi người dùng đa dạng và ph c t p d n t i khó qu n lý và ki m soát ứ ạ ẫ ớ ả ểcho nên IoT tr thành m c tiêu tở ụ ấn công hàng đầu c a t i ph m m ng Ta có th ủ ộ ạ ạ ể

k t i m t s ể ớ ộ ố điểm y u b o mế ả ật xuất phát từ hành vi người dùng như:

• M t kh u yếu: ngườậ ẩ i dùng không chú tr ng t i viọ ớ ệc đặt nh ng mậữ t kh u ẩ

mạnh để ả b o v thi t b cệ ế ị ủa mình, đa số ẫ v n còn gi nguyên các m t kh u ữ ậ ẩ

mặc định, khi n cho k t n công d ế ẻ ấ ễ dàng đoán được và chi m quy n kiế ề ểm soát thiết bị

3

• Tùy ý truy c p các k t n i m rậ ế ố ở ộng không an toàn: điều này vô hình m ra ở

m t k t n i có th ộ ế ố ể là nguy cơ cho sự xâm nh p t bên ngoài vào h ậ ừ ệthống IoT

• S d ng các thành phử ụ ần, thư viện ph n m m không an toàn ho c l i th i: ầ ề ặ ỗ ờcác thành ph n này ch a nhi u l h ng b o mầ ứ ề ỗ ổ ả ật, do đã lỗi th i nên không ờđược nhà phát tri n vá lể ỗi, khi người dùng l m d ng s d ng chúng vào h ạ ụ ử ụ ệ

thống IoT gây nên s m t an toàn, có th b t n công b t c ự ấ ể ị ấ ấ ứlúc nào

• Quyền riêng tư không đầy đủ: m i nguy h i này có th xu t phát t nh ng ố ạ ể ấ ừ ữđiểm truy c p d ch v công c ng, khi mà các k t nậ ị ụ ộ ế ối được m ở ra, người dùng có th b ể ị đánh cắp thông tin ho c b theo dõi b i m t bên th ba mà ặ ị ở ộ ứkhông h hay bi t, do không có cề ế ơ chế đảm bảo trong các dịch vụ này

V i b t k m t h ớ ấ ỳ ộ ệthống m ng nào, an ninh và quyạ ền riêng tư luôn là vấn

đề được đặt lên hàng đầu V i m ng IoT nói riêng, vớ ạ ấn đề ả b o m t an ninh m ng ậ ạcòn được coi trọng hơn nữa do tính đặc thù v d li u trong m ng, ch y u là d ề ữ ệ ạ ủ ế ữliệu riêng tư và quan trọng của người dùng Khi s lưố ợng người dùng tăng, hành

vi người dùng đa dạng và ph c t p d n t i khó qu n lý và ki m soát cho nên IoT ứ ạ ẫ ớ ả ểtrở thành m c tiêu tụ ấn công hàng đầu c a tộủ i ph m m ng ạ ạ

Trên đây là mộ ốt s nh ng lí do tiêu bi u nh t xu t phát t ữ ể ấ ấ ừ hành vi người dùng có thể gây ra những điểm y u v an toàn mà b o m t trong IoT, vô hình ế ề ả ậchung t o ra m t l hạ ộ ỗ ổng và cơ hội cho nh ng k t n công th c hi n các cu c tữ ẻ ấ ự ệ ộ ấn công với mục đích xấu, nh m phá hoằ ại các cơ quan tổ ứch c và doanh nghi p ệ1.2 Vấ n đ ề an ninh b o m t trong mả ậ ạng IoT

Vấn đề ả b o m t an ninh mậ ạng trong IoT được coi như ộ m t trong nh ng vữ ấn

đề ớ l n nh t v i IoT Nh ng c m bi n trong m ng IoT ấ ớ ữ ả ế ạ đang ự th c hi n thu th p d ệ ậ ữ

liệu và trong s có nh ng lo i thông tin d ệố đó ữ ạ ữ li u r t nh y c m - ví d ấ ạ ả ụ như

nh ng gì chúng ta nói và làm trong nhà cữ ủa mình hoặc trong cơ quan Đả m b o ả

an toàn và b o m t thông tin ả ậ là điều quan trọng đối v i ni m tin cớ ề ủa người ửs

d ng các ng d ng IoTụ ứ ụ , nhưng cho đến nay vi c giám sát b o m t c a các h ệ ả ậ ủ ệthống IoT v n còn nhi u l hẫ ề ỗ ổng và điểm y u có th d b t n công b i nh ng tin ế ể ễ ị ấ ở ữ

t c ho c t ặ ặ ổ chức đen với mục đích xấu Các b nh tuyộ đị ến và webcam đang trởthành m c tiêu t n công c a các tin t c vì s ụ ấ ủ ặ ự thiếu b o m t v n có c a chúng ả ậ ố ủkhi n chúng d dàng ế ễ được ti p c n và ng u nhiên tr thành m t thành ph n trong ế ậ ẫ ở ộ ầ

4

m ng botnet kh ng l Botnet[3], hay thu t ng ạ ổ ồ ậ ữ đầy đủ là “Bots network” dùng

để ch m t mỉ ộ ạng lưới các máy tính ho c thi t b chi ph i b i mặ ế ị ố ở ột ai đó và được điều khi n b i m t máy ch t xa, chi m quyể ở ộ ủ ừ ế ền và điều hành hoạt động c a máy ủtính đang bị nhiễm, mà người dùng không th biể ết được mình đang là một bot trong mạng botnet này Điều này có th làm c n tr hoể ả ở ạt độ , gián đoạng n, gây

m t nhi u th i gian x lý, chi m d ng và tiêu tấ ề ờ ử ế ụ ốn tài nguyên máy người dùng, làm giảm năng suất làm việc Đặc bi t nệ ếu như các máy tính của các cơ quan, tổchức, doanh nghiệp được k t n i ra m ng ngoài b nhiế ố ạ ị ễm mã độc và tr thành ởbotnet, nguy cơ có thể ị đánh cắ b p d u và các thông tin quan tr ng khác C u ữliệ ọ ấtrúc của m t mạng botnet được thể ện như trongộ hi Hình 1.2

m t lúc, t o ra m t luộ ạ ộ ồng lưu lượng l n quá t i s c ph c v c a weớ ả ứ ụ ụ ủ bsite đó và gây ra tình tr ng ngh n m ng, m t k t n i v i server th m chí là d ng hoạ ẽ ạ ấ ế ố ớ ậ ừ ạt động

của dịch vụ

5

Xét trong b i c nh m ng IoT, khi các h ố ả ạ ệ thống IoT ngày càng lớn hơn sốlượng thi t b IoT ngày càng nhi u, mang l i nhiế ị ề ạ ều lưu lượng hơn cùng với đó là

b n chả ất phân tán và không đồng nh t c a mình nó d dàng tr thành m c tiêu và ấ ủ ễ ở ụ

b t n công t các hacker Theo báo cáo c a HP [5] cho bi t 70% các thi t b ị ấ ừ ủ ế ế ịIoT ph i ch u các cu c t n công m ng khác nhau khai thác l h ng khác nhau ả ị ộ ấ ạ ỗ ổ

Có th tìm th y 100.000 webcam có th b hack m t cách d dàng, trong khi ể ấ ể ị ộ ễ đó

nh ng thi t b ữ ế ị IoT như đồng h thông minh kồ ết nối internet dành cho tr em ẻ được tìm th ấy có ch a các l h ng b o m t cho phép tin t c theo dõi v trí cứ ỗ ổ ả ậ ặ ị ủa người đeo nó, nghe lén các cu c h i tho i ho c th m chí giao ti p vộ ộ ạ ặ ậ ế ới người dùng IoT thu giúp h p kho ng cách gi a th gi i s và th gi i th cẹ ả ữ ế ớ ố ế ớ ự , điều đó có nghĩa là

việc xâm nh p vào các thi t b này có th ậ ế ị ể gây ra h u qu nguy hi m trong th ậ ả ể ế

gi i thớ ực Ví d ụ như mộ ụt v xâm nh p và chi m quyậ ế ền điều khi n vào các cể ảm

bi n ki m soát nhiế ể ệt độ trong nhà máy điện có th khi n h ể ế ệthống máy ch ủ đưa ra quyết định sai l m d n t i các h u qu nghiêm tr ng c v k ầ ẫ ớ ậ ả ọ ả ề ỹ thuật và kinh tế;

m t chiộ ếc xe không người lái khi b m t quy n ki m soát ị ấ ề ể cũng có thể gây ra nhiều hành động không như mong muốn, th m chí có th gây tai nậ ể ạn cho người tham gia giao thông Do đó, các cuộ ấc t n công m ng xu t hiạ ấ ện như một rào c n ảchính đố ới v i vi c triểệ n khai và áp d ng r ng rãi các d ch vụụ ộ ị IoT trong th c tế ựTrong m ng IoT ta có th thu th p m i thông tin t nh ng c m biạ ể ậ ọ ừ ữ ả ến, đó có thể là những thông tin riêng tư và yêu cầu tính b o m t cao và vả ậ ấn đề ể ki m soát người dùng trong m ng là m t vạ ộ ấn đề ph c t p, ta không th lưứ ạ ể ờng trước được

nh ng nguy h i khi mà m i th c th c ữ ạ ỗ ự ể ụ thể là con người tham gia vào m ng Do ạ

đó, an ninh bảo m t và quyậ ền riêng tư là một vấn đề nan gi i trong m ng IoT ả ạCác thi t b ế ị IoT thường d b t n công ễ ị ấ hoặc d b ki m soát và tr thành công c ễ ị ể ở ụ

để ự th c hi n t n công ệ ấ do chúng thường s d ng các k t n i không dây g i các d ử ụ ế ố ử ữliệu thu thập được v b x lý trung tâm b ng các giao th c có tính b o m t kém ề ộ ử ằ ứ ả ậKhả năng giao tiế ự độp t ng c a các thi t b IoT làm cho viủ ế ị ệc đảm b o s ả ự riêng tư khó khăn hơn rất nhi u ề Khi một ph n t trong m ng b t n công, các thông tin ầ ử ạ ị ấthu th p t ph n t u b khai thác và ki m soát b i m t bên th ba vậ ừ ầ ử đó đề ị ể ở ộ ứ ới

nh ng mữ ục đích không chính đáng nào đó, điều này có th gây ra nh ng thi t hể ữ ệ ại cho h ệ thống và t ổ chức Chính vì v y an ninh m ng trong m ng IoT luôn là v n ậ ạ ạ ấ

đề ấ c p thi t và cế ần được đảm b o cho m i h th ng ả ỗ ệ ố

6

1.2.1 Tổng quan về tấn công từ chối dịch vụ phân tán

T n công t ấ ừchố ịi d ch v ụ (Denial of Service – DoS) là d ng t n công nhạ ấ ằm

ngăn chặn người dùng h p pháp truy nh p tài nguyên m ng DoS có th làm ợ ậ ạ ểngưng hoạt động c a m t máy tính, m t m ng n i b th m chí c m t h th ng ủ ộ ộ ạ ộ ộ ậ ả ộ ệ ố

m ng r t l n V b n ch t th c s c a DoS, k t n công s ạ ấ ớ ề ả ấ ự ự ủ ẻ ấ ẽ chiếm d ng mụ ột lượng l n tài nguyên mớ ạng như băng thông, b nh và làm m t kh ộ ớ ấ ả năng xử lý các yêu c u d ch v t các khách hàng khác T n công t ầ ị ụ ừ ấ ừ chố ịi d ch v phân tán ụ(Distributed Denial of Service – DDoS)[4] là dạng phát tri n mể ở ức độ cao c a ủ

t n công DoS v i ph m vi t n công r t lấ ớ ạ ấ ấ ớn, được phát sinh cùng m t lúc t rộ ừ ất nhi u máy tính n m d i rác trên m ng Internet Các cu c t n công DDoS ngày ề ằ ả ạ ộ ấcàng tinh vi và rất khó phát hi n v i các mệ ớ ục đích chính:

 T n công khai thác l h ng an ninh c a các giao th c ho c d ch v ấ ỗ ổ ủ ứ ặ ị ụ trên máy n n nhân ạ

 Gây ng t quãng k t n i cắ ế ố ủa người dùng đến máy ch d ch v b ng cách ủ ị ụ ằlàm ng p lậ ụt đường truy n m ng, c n kiề ạ ạ ệt băng thông hoặc tài nguyên

tấn công được gửi đến Chính vì th k t n công s r t khó b phát hiế ẻ ấ ẽ ấ ị ện và ngăn

chặn Hơn nữa, lưu lượng t n công trong DDoS nhiấ ều hơn rất nhi u so v i DoS ề ớ

vì nó t i t ớ ừ hàng trăm tới hàng tri u thi t b cùng m t lúc V i tính ch t phân tán ệ ế ị ộ ớ ấ

c a mình m ng IoT v i vô s ủ ạ ớ ố thiế ị ẽ ạt b s t o thành m t mộ ạng lưới kh ng l và ổ ồ

7

nguy cơ cao để ẻ ấ k t n công có th ti n hành các cu c t n công DDoS trên di n ể ế ộ ấ ệ

r ng ộ

T n công DDoS v i mấ ớ ục đích ngăn chặn các k t n i an toàn vào h ế ố ệ thống

m ng hay n l c chiạ ỗ ự ếm băng thông mạng và làm cho m c tiêu b ng p b i nh ng ụ ị ậ ở ữ

kết nối nguy h i có nhạ ững đặc tính dưới đây

• Đư c phát t n côợ ấ ng đi từ ộ ệ ố m t h th ng m ng c c l n v i các máy tính trên ạ ự ớ ớ

m ng Internet ạ

• Là d ng t n công r t khó phát hi n và không th ạ ấ ấ ệ ể ngăn chặn hoàn toàn do

m t m ng Botnet bao gộ ạ ồm rất nhiều các địa ch IP, có th ỉ ểlên tới vài trăm nghìn nên việc ngăn chặn hoàn toàn vô cùng khó khăn

Nhìn chung để ổ t chức các đợ ất t n công DDoS có nhiều giai đoạn nhưng chủ ếu là ba giai đoạ y n chính:

• Giai đoạn chu n b ẩ ị

Giai đoạn chu n b là vô cùng quan tr ng, c n chu n b công c phát ẩ ị ọ ầ ẩ ị ụ để

động t n công Mô hình client-ấ server thường được s d ng trong các công c ử ụ ụnày Các ph n mầ ềm được s d ng cho mử ụ ục đích tấn công thường do Hacker tạo

ra hay được downloas m t cách mi n phí t trên m ng Internet ộ ễ ừ ạ

Tiếp theo đó, Hacker sử ụng các kĩ thuật khác nhau để d chi m quy n ki m ế ề ểsoát c a m t s host, th c hiủ ộ ố ự ện cài đặt hay c u hình mấ ộ ốt s ph n mầ ềm độc h i ạvào các máy tính để ki m soát M t mể ộ ạng lướ ấn công DDoS đượ ại t c t o ra v i ớnhi u host b nhiề ị ễm độc và khi đó máy của hacker và m t s ộ ố máy khác đóng vai trò phát động cu c t n công ộ ấ

• Giai đoạn xác định m c tiêu và thụ ời điểm

Khi đã xác định được m c tiêu t n công cu i cùng, Hacker th c hiụ ấ ố ự ện điều chình h ệ thống các host chuyển hướng t n công v phía m c tiêu Cùng vấ ề ụ ới đó, thời điểm phát động cu c t n công s quyộ ấ ẽ ết định thi t h i mà m c tiêu ph i gánh ệ ạ ụ ảchịu

• Phát độ ng t n công và xóa d u v t ấ ấ ế

Khi đã xác định được thời điểm, hacker s ẽ phát động cu c t n công L nh ộ ấ ệđược phát đi trong toàn bộ ạng lướ ớ m i v i các cấp khác nhau Khi đó mục tiêu b ị

Hình 1.3 Phân lo i t n công DDoS ạ ấ

Trong ki u t n công ể ấ tràn băng thông, một lượng l n các gói tin gớ ửi đến mục tiêu đã được xác định sẵn Khi đó ụm c tiêu b h t tài nguyên v ị ế ề băng thông, quá trình ph c v ụ ụ chậm, h ệ thống có th b treo hay th m chí ng ng hoể ị ậ ừ ạt động, các host kết nối an toàn không có cơ hội được ph c v Các lo i tụ ụ ạ ấn công thường g p ặthuộc kiểu này có th k ể ể đến như UDP Flood, ICMP Flood, Ping of Death …

V i t n công nh m vào tài nguyên, s gói tin gớ ấ ằ ố ửi đến m c tiêu không quá ụ ồ

ạ như ạt lo i trên, nhưng đó là các yêu c u gầ ửi đến h th ng mà vi c x lý các yêu ệ ố ệ ử

c u này s tiêu t n r t nhi u tài nguyên h ầ ẽ ố ấ ề ệthống và s làm h ẽ ệthống rơi vào trạng thái t ừ chố ịi d ch v khi s yêu c u quá l n Tiêu bi u cho lo i t n công này có ụ ố ầ ớ ể ạ ấthể ể đến TCP SYN Flood, ACK Flood… k

9

1.2.2 Cơ chế hình thức tấn công TCP SYN Flood

V i r t nhi u các lo i hình t n công khác nhau, trong ph m vi ớ ấ ề ạ ấ ạ luận văn này

h c viên t p trung vào ki u t n công v i mọ ậ ể ấ ớ ục đích nhằm vào tài nguyên và nhằm vào băng thông hệ ố th ng v i đ i di n là t n công TCP SYN Flood ớ ạ ệ ấ

TCP SYN Flood là phương thức DDoS r t ph bi n hi n nay nh m m c ấ ổ ế ệ ằ ụtiêu s d ng h t tài nguyên h ử ụ ế ệthống d a trên giao th c TCP TCP (Transmission ự ứControl Protocol) C u trúc c a mấ ủ ột gói tin bao gồm hai phần là TCP header (như được th hi n trên Hình 1.4) và ph n payload ể ệ ầ

Hình 1.4 C u trúc TCP header ấ

Phần header c a gói tin s là ph n ch a nh ng thông tin nh n biủ ẽ ầ ứ ữ ậ ết và định danh cho nó, với các trường c ụthể như:

 Source port (16bits): S c ng c a ti n trình g i ố ổ ủ ế ử

 Destination port (16bits): Số ổ c ng c a ti n trình nh n ủ ế ậ

 Sequence number (32bits): s ố thứ ự t , giá tr ị và ý nghĩa của s ố thứ ự t

ph ụthuộc và giá tr c a bit SYN ị ủ

 Các trường Flags (6 trường, mỗi trường 1bit):

+ bits ACK dùng để xác nh n tính chính xác c a giá tr trư ng ậ ủ ị ờacknowledgement

+ bit RST, SYN, FIN dùng đểthiết lập và h y kủ ết nối

+ bit PSH ch nh máy nh n ph i chuy n d u lên t ng trên ngay l p ỉ đị ậ ả ể ữliệ ầ ậ

tức

+ bit URG ch nh r ng có vùng d ỉ đị ằ ữliệu được đánh dấu là “urgent” (dữliệu kh n) ẩ

 Checksum (16bits): s dử ụng để ểm tra lỗi ki

 Window size (16bits): kích thước cửa sổ dùng trong kiểm soát luồng

 Reserved (3bits): luôn chứa giá trị 000 để dành s dử ụng trong tương lai

Đây là giao thức hướng k t n i ph bi n nh t, tế ố ổ ế ấ ức là trước khi truy n b t c ề ấ ứ

m t d u gì, 2 bên giao ti p c n thi t l p kênh truyộ ữliệ ế ầ ế ậ ền trước tiên Quá trình này

gọi là quá trình bắt tay 3 bước Hình ( 1.5 )

In the Network Send SYN seq = x

Receive SYN Send SYN seq = y ACK x+1 , Receive SYN + ACK

Send ACK y +1

Receive ACK

Time

Hình 1.5 Quá trình bắt tay 3 bước c a TCP ủ

• Bư c 1: Các Client (máy khách) s g i gói tin (packet có SYN = 1) t i ớ ẽ ử ớmáy ch yêu c u k t nủ để ầ ế ối với số thứ ự t seq = x;

• Bư c 2: Server (máy chớ ủ) đáp ứng b ng cách g i m t thông báo nh n ằ ử ộ ậ(SYN / ACK) v i s ớ ố thứ ự ủ t c a SYN seq = y, và s nh n ACK seq = x + 1 ố ậServer s giành m t ph n tài nguyên h ẽ ộ ầ ệthống như bộ nhớ đệm để nh n và truyậ ền

11

nhận SYN_RECEIVED đồng th i trên máy ch c n dành mờ ủ ầ ột lượng tài nguyên (RAM, CPU) để ph c v cho k t nụ ụ ế ối này Sau đó, máy chủ ch ờ đợi để nh n gói ậtin TCP ti p theo vế ới trường c ờ ACK được bật Khi đó, kết nối ở chế độ chờ (half-open) K thúc quá trình bết ắt tay ba bước, trên máy ch chuy n sang trủ ể ại thái thi t l p ESTABLISHED T nguyên lý kh i t o k t n i c a giao th c TCP ế ậ ừ ở ạ ế ố ủ ứ

ở trên, cho th y giao th c TCP có mấ ứ ột điểm y u nghiêm tr ng là c khi nh n ế ọ ứ ậđược m t gói tin SYN, nộ ếu còn đủ tài nguyên thì máy ch dành s n ph n tài ủ ẵ ầnguyên b nh c n thiộ ớ ầ ết đểchuẩn b ph c v cho k t nị ụ ụ ế ối sau này mà không có cơ chế ểm tra gói tin SYN đó có là gói tin thự ki c hay không

Hình 1.6 K ch b n t n công TCP SYN Flood ị ả ấ

L i dợ ụng điểm y u này, v i t n công TCP SYN Flood k t n công s gế ớ ấ ẻ ấ ẽ ửi các yêu cầu SYN vĩnh viễn mà không g i l i b n tin ACK, dử ạ ả ẫn đến ph i m t mả ấ ột kho ng th i gian máy ch mả ờ ủ ới xóa k t nế ối này đi được Như vậy, khi có nhi u ề

k t n i gi mế ố ả ạo đến cùng lúc thì máy ch ủphả ầ ấi c n r t nhiều tài nguyên để phục

v ụ và khi lượng tài nguyên c n ki t thì máy ch không còn kh ạ ệ ủ ả năng đáp ứng lại

và k t n i không th c hiế ố ự ện được, hình thức này để ăn cắp tài nguyên máy ch ủhay chính là t o ra tr ng thái ạ ạ ở chế độ half-open nhi u nh t có thề ấ ể Địa ch IP gỉ ửi yêu c u có th ầ ể là địa ch IP gi Lúc này, các máy khách k t nỉ ả ế ối an toàn trước đó

kh u yẩ ếu, tùy ý truy c p các k t n i m r ng không an toàn, s d ng các ph n ậ ế ố ở ộ ử ụ ầ

m m l i th i ch a l h ng b o mề ỗ ờ ứ ỗ ổ ả ật… Điều này tạo cơ hội cho k x u thâm nhẻ ấ ập vào m ng và t o ra các cu c t n công DoS, DDoS thông qua mạ ạ ộ ấ ạng lưới botnet, không ch t n công vào máy ch c a m ng mà có th còn vào các m ng khác ỉ ấ ủ ủ ạ ể ạTrong chương tiếp theo, luận văn ẽ đi vào phân tích để s có m t cái nhìn ộ

t ng quát v các thành ph n c a m t h sinh thái IoT, t ổ ề ầ ủ ộ ệ ừ đó đề xu t m t mô hình ấ ộ

gi lả ập để tri n khai các thu t toán tính toán tể ậ ại lớ ạp c nh

13

CHƯƠNG 2 XÂY D NG GI L P M T H SINH THÁI IOT Ự Ả Ậ Ộ Ệ

Chương này sẽ đưa ra cái nhìn tổng quát v các thành ph n c a m t h sinh ề ầ ủ ộ ệthái IoT, các công nghệ ph biổ ến thường đượ ử ục s d ng cùng với đó là so sánh các công ngh này vệ ới nhau Đây là tiền đề để đưa ra đượ c mô hình gi l p h ả ậ ệthống,

s ẽ được trình bày ở phần sau

2.1 Thành phần cơ bả n của mộ t hệ sinh thái IoT

2.1.1 Kiến trúc mạng IoT

M t trong nhộ ững khó khăn lớn nh t c a IoT là viấ ủ ệc chưa có một chu n ẩthống nh t v ki n trúc và giao th c cho t i thấ ề ế ứ ớ ời điểm hi n tệ ại, chúng chưa được chuẩn hóa gây ra r c r i cho vi c tìm hi u và phát tri n các ng d ng IoT Chúng ắ ố ệ ể ể ứ ụ

ta cần đưa ra m t ki n trúc tham chi u chu n b i các thi t b IoT phộ ế ế ẩ ở ế ị ải luôn được

k t nế ối và tương tác qua hạ ầ t ng m ng v i các h ạ ớ ệthống tường lửa đòi hỏ ựi s nhất quán và đồng b Khi s lư ng thi t b ngày m t nhi u thì s lư ng k t nộ ố ợ ế ị ộ ề ố ợ ế ối cũng tăng một cách chóng m t, b i v y chúng ta c n có m t ki n trúc có kh ặ ở ậ ầ ộ ế ả năng mở

r ng linh ho t, d dàng, sộ ạ ễ ẵn sàng đáp ứng nhu cầu tương tác mọi thời điểm c a ủcác thi t b v i các trung tâm d u có th trên ph m vi toàn th giế ị ớ ữliệ ể ạ ế ới và đặc biệt

là tính năng dự phòng khi có x y ra l i ả ỗ

Các thiết bị IoT phầ ớn l n có c u hình ph n c ng thấ ầ ứ ấp và kích thước nh g n ỏ ọ

để ph c v mụ ụ ục đích tiết kiệm năng lượng Do đó chúng ta cần h tr c p nh t t ỗ ợ ậ ậ ự

động và qu n lý t xa t t c các thi t b ả ừ ấ ả ế ị này, chúng thường được s dử ụng để thu

thập ho c phân tích d ệặ ữ li u các nhân t ừ người dùng, vì th c n ph i có m t mô ế ầ ả ộhình qu n lý nh n d ng và ki m soát truy c p gi a các thiả ậ ạ ể ậ ữ ết bị IoT và d u liên ữliệquan là m t vộ ấn đề quan tr ng Trong ph m vi luọ ạ ận văn này, xin trình bày 2 kiến trúc tham chiếu ph bi n nhổ ế ất hi n tệ ại đó là WSO2 và Microsoft Azure

14

Kiến trúc tham chiếu WSO2 [6]

2.1.1.1

Hình 2.1 Kiế n trúc tham chi u WSO2[6] ế

Như được th hi n trong Hình 2.1 thì ki n trúc này bao g m hai l p ngang ể ệ ế ồ ớ

và 5 l p d c bao gớ ọ ồm:

1 Devices management – ớ L p qu n lý thi t b ả ế ị

Trong l p Qu n lý thi t b , h ớ ả ế ị ệthống phía máy ch qu n lý thi t b giao tiủ ả ế ị ếp

v icác thi t b thông qua các giao thớ ế ị ức khác nhau và điều khi n m t ho c mể ộ ặ ột nhóm thi t b (có th khóa ho c xóa d u trên các thi t b khi c n), qu n lý ế ị ể ặ ữ liệ ế ị ầ ả

định danh c a các thi t b và ánh x t ng thi t b v i ch s hủ ế ị ạ ừ ế ị ớ ủ ở ữu tương ứng Máy chủ qu n lý thi t b ph i ph i h p v i l p Quả ế ị ả ố ợ ớ ớ ản lý Định danh và Truy nhập để

qu n lý viả ệc điều khi n truy nh p vào thi t b ể ậ ế ị (những người có quy n truy nh p ề ậvào thiết bị và quy n hề ạn tương ứ ng, quy n cề ủa người quản tr h ị ệthố …ng )

2 Identity and Access management L– ớp định danh và truy c p ậ

L p này c n cung c p các d ch v : Phát hành và thớ ầ ấ ị ụ ẩm định token định danh Oauth2; dịch v nh danh khác g m SAML2 SSO và OpenID Connect; ụ đị ồXACMLPDP; danh b ạ cho người dùng (ví d : LDAP); qu n lý chụ ả ính sách điều khi n truy nh p (PCP) ể ậ

15

3 Client/External communications - L p giao tiớ ếp người dùng đầu cu i ố

L p này t o ra giao di n giúp qu n lý các thi t b ớ ạ ệ ả ế ị IoT như web/portal, dashboard và h ệ thống qu n lý API V i web/portal, ki n trúc c n h ả ớ ế ầ ỗ trợ các công ngh Web phía máy ch ệ ủ như Java Servlets/JSP, PHP, Python, Ruby Dashboard là hệ ố th ng t p trung vào viậ ệc trình bày đồ , mô t d thị ả ữ liệu đế ừn t các thi t b và l p X lý s ki n L p qu n lý API có 3 chế ị ớ ử ự ệ ớ ả ức năng: cung cấp portal t p trung vào vi c h l p ậ ệ ỗ trợ ậ trình viên, đóng vai trò Gateway quản lý truy

nh p các API; ki m tra viậ ể ệc điều khi n truy nhể ập (đố ới v i yêu c u t bên ngoài) ầ ừ

dựa trên chính sách, định tuy n và cân b ng t i; th c hi n chế ằ ả ự ệ ức năng Gateway

đẩy d li u vào lữ ệ ớp phân tích để lưu trữ và x lý ử

4 Event Processing and Analytics ớ- L p x lý và phân tích ử

L p này x lý các s ớ ử ựkiện sau khi d u t l p H p nh t chuy n lên Chữliệ ừ ớ ợ ấ ể ức năng chính c a l p là kh ủ ớ ả năng lưu trữ ữ ệu vào cơ sở ữ ệ d li d li u V i các mô ớhình truy n ề thống, một ứng d ng server-side s ụ ẽ thực hi n chệ ức năng trên, tuy nhiên hi n nay có mệ ộ ốt s cách ti p c n khác linh hoế ậ ạt hơn Cách thứ nh t là s ấ ử

d ng các Platform dành cho phân tích d u l n (Big data Platform): n n t ng ụ ữ liệ ớ ề ả

dựa trên điện toán đám mây có kh m r ng h ả ở ộ ỗ trợ các công ngh phân tích d ệ ữ

liệu với kích thướ ớc l n Cách ti p c n ứế ậ th hai là s dử ụng phương thức X lý s ử ự

ki n ph c t p (Complex Processing Event) ệ ứ ạ để thực hi n các hoệ ạt động theo thời gian th c và ra quyự ết định hành động d a theo k t qu phân tích d u t ự ế ả ữ liệ ừ các thi t bế ị chuyển đến

5 Aggregation/Bus ớ- L p h p nh ợ ất

Là m t lộ ớp đóng vai trò quan trọng để ợ h p nh t và chuyấ ển đổi các lo i b n ạ ảtin truy n thông v i các chề ớ ức năng chính như: hỗ máy ch HTTP và chuytrợ ủ ển đổi MQTT/CoAP để giao ti p v i các thi t b H p nh t n i dung truy n t các ế ớ ế ị ợ ấ ộ ề ừthiết b ị khác nhau và định tuy n t i m t thi t b c ểế ớ ộ ế ị ụ th , chuyển đổi giao th c ứkhác nhau

6 Communications L p truy n thông – ớ ề

L p truy n thông th c hi n k t n i các thi t b thông qua các giao th c ph ớ ề ự ệ ế ố ế ị ứ ổ

biến hay đượ ử ụng như HTTP, MQTT, CoAP.c s d [10]

16

• HTTP là giao thức lâu đời và ph bi n nh t v i nhiổ ế ấ ớ ều thư viện h tr ỗ ợHTTP là giao th c d a trên h ký t ứ ự ệ ự đơn giản nên nhi u thi t b nh về ế ị ỏ ới

b ộ điều khi n 8bit có th h ể ể ỗ trợ HTTP, các thi t b mế ị ạnh hơn có thể ử s

dụng các thư viện HTTP đầy đủ Phiên bản HTTP2 được phát tri n nhể ằm

gi i quy t vả ế ấn đề năng lượng và kết nối cho các thiết bị nhỏ

• CoAP (Constrained Application Protocol): Cũng giống như MQTT, CoAP

là m t giao thộ ức đượ ối ưu cho môi trườc t ng IoT do IETF phát tri n dể ựa trên HTTP nhưng sử ụ d ng mã nh phân thay cho ký t ị ự nên có kích thước

nh gỏ ọn hơn HTTP

• MQTT (Message Queuing Telemetry Transport) ra đời năm 1999 nhằm

gi i quy t các vả ế ấn đề trong h ệ thống nhúng và được chu n hóa bẩ ởi OASIS MQTT hoạt động theo mô hình h phân tán v i hai lệ ớ ệnh cơ bản là

"publish" và "sub-scribe" Các client s k t n i t i máy ch MQTT ẽ ế ố ớ ủ(MQTT Broker), m i client s ỗ ẽ đăng ký theo dõi (subscribe) các kênh (topic) và tấ ảt c các node đăng ký kênh sẽ nhận được d li u trên kênh khi ữ ệ

có b t kì node nào g i d u (publish) lên kênh ấ ử ữ liệ Đượ ối ưu hóa việc c t

g i nh n các bử ậ ản tin có kích thước nh ỏ cho môi trường IoT,có th ể đánh giá MQTT cao hơn so với HTTPS cho mục đích kết n i các thi t b IoT ố ế ịTrong môi trường không ổn định, băng thông thấp, tr lễ ớn nhưng MQTT

v n ẫ cho kết qu ả có độ tin c y cao và tiậ ết kiệm năng lượng

7 Devices – ớ L p thiết bị

L p thi t b nớ ế ị ằm dưới cùng trong ki n trúc tham chi u này Các thi t b IoT ế ế ế ị

rất phong phú và đa dạng nhưng thường được chia làm 3 lo i d a theo ph n c ng ạ ự ầ ứbao g m c u hình th p nh t dùng chip 8bit nhúng và không có h ồ ấ ấ ấ ệ điều hành, ở

mức cao hơn với chip 32 bit rút g n là các lo i thi t b ọ ạ ế ị như Arduino có thể chạy

h ệ điều hành Linux rút g n ho c h ọ ặ ệ điều hành nhúng Lo i th ba là các thi t b ạ ứ ế ị

s d ng n n tử ụ ề ảng 32bit đầy đủ hoặc 64bit như Rasberry Pi, Beagle, Intel Galileo… và cả điện thoại di động Các lo i thi t b này c n ph i có k t n i v i ạ ế ị ầ ả ế ố ớInternet để có th tr thành là m t th c th trong m ng IoT Có hai ki u k t n i là ể ở ộ ự ể ạ ể ế ốtrực ti p và gián ti p, ế ế trong đó kiế ốt n i tr c ti p mà khi các thi t b ự ế ế ị này thường đóng vai trò là Gateway như Arduino, raspberry pi… kết n i tr c ti p v i ố ự ế ớ

17

Internet qua Wifi hoặc Ethernet., bên cạnh đó là kế ốt n i gián tiếp như qua Zigbee

ho c Bluetooth ặ

Ngoài ra m i thi t b ỗ ế ị này còn được định danh, và định danh này là duy nhất

để qu n lý tài nguyên và truy c p d dàng M t s ả ậ ễ ộ ốloại định danh đượ ử ục s d ng như UUID (định danh duy nhất) được lưu trong phần c ng c a thi t b ho c ứ ủ ế ị ặmodule k t n i nế ố hư địa ch MAC trong Bluetooth, Zigbee, Wi-ỉ Fi… Đị nh danh lưu trong bộ nh EEPROM ớ

Kiến trúc tham chiếu Microsoft Azure[7]

2.1.1.2

Kiến trúc này được Microsoft đưa ra vào năm 2016 v i mớ ục đích phục v ụcho vi c xây d ng các h ệ ự ệ thống IoT cho môi trường doanh nghi p, các gi i pháp ệ ảthi t bế ị ớ v i khả năng mở ộ r ng và tích h p v i các thiợ ớ ết bị ệ h ống back-th end

Hình 2.2 Kiế n trúc Microsoft Azure[7]

Như được th hi n trên ể ệ Hình 2.2 ta có thể ấ th y trong ki n trúc này bao g m ế ồ

3 kh i chính: Device connectivity, Data processing Analytics - Management, ố –Presentation and business connectivity Trong đó khối Device connectivity giúp các thi t b có th ế ị ể được k t n i tr c ti p ho c gián ti p thông qua Gateway vế ố ự ế ặ ế ới Internet Cloud Gateway là thiế ị đầt b u cu i k t n i v i các SmartDevice và cung ố ế ố ớ

c p k t n i hai chi u v i h ấ ế ố ề ớ ệ thống back-end gồm thành ph n cung c p các chầ ấ ức năng quản lý thi tbế ị; lưu trữ, phân tích và x lý d li u; o hóaử ữ ệ ả …thực hi n vi c ệ ệ

x lý, phân tích và qu n lý d u kh i Data processing Analytics ử ả ữ liệ ở ố – –Management L p còn l i th c hi n tích h p các chớ ạ ự ệ ợ ức năng IoT vào các hoạt

động kinh doanh c a doanh nghiủ ệp Người dùng đầu cu i s ố ẽ tương tác với các

giải pháp và các thiế ịt b IoT thông qua l p này ớ

18

Các tính chất tiêu biể ủa kiếu c n trúc:

• Tính không đồng nh t: Mô hình c a h th ng phấ ủ ệ ố ải đáp ứng được yêu c u ầ

của nhiều loại kịch bản, môi trường, thiết bị và các chu n khác nhau ẩ

• Tính b o m t (Security): cho phép tri n khai các d ch v b o m t cho tả ậ ể ị ụ ả ậ ất

c các vùng, bao g m quả ồ ản lý định danh, xác th c và quy n h n, b o mự ề ạ ả ật

d u ữliệ

• Khả năng mở ộ r ng (Hyper-scale deployments): h th ng IoT ph i đ m b o ệ ố ả ả ả

kh ả năng hỗ trợ đế n quy mô hàng tri u thi t b kệ ế ị ếtnối Ki n trúc c a h ế ủ ệ

thống ph i cho phép h ốả ệ th ng bắt đầu tri n khai v i mộể ớ tquy mô nh ỏnhưng sẵn sàng m r ng ở ộ

• Tính linh ho t (Flexibility): do nhu c u rạ ầ ất đa đạng c a th ủ ị trường IoT đòi

h i h ỏ ệ thống ph i có kh ả ả năng mở r ng thêm chộ ức năng và cho phép sử

d ng nhi u công ngh cụ ề ệ ủa bên thứ 3 cho m i thành ph n ỗ ầ

Có th ểthấ ằy r ng v i m i lo i ki n trúc tham chiớ ỗ ạ ế ếu khác nhau đều có nh ng ữtính ch t riêng cấ ủa nó và không đồng nh t, chính vì v y khi tri n khai các h ấ ậ ể ệthống trên th c t c n ph i l a ch n m t ki n trúc phù h p v i lo i hình d ch v , ự ế ầ ả ự ọ ộ ế ợ ớ ạ ị ụcông ngh và nhi u yệ ề ếu t ố khác nhau, đây là một khó khan l n v n còn t n t i ớ ẫ ồ ạ

của hệ thống IoT cho t i bây gi ớ ờ

• Máy ch d u (Server) ủ ữliệ

Thiế ịt b IoT có cấu trúc cơ bản gồm: vi điều khi n, nguể ồn (thường là pin),

b truy n nh n tín hi u qua sóng vô tuy n, các c m bi n thu th p d u ộ ề ậ ệ ế ả ế ậ ữ liệGateway thường là m t board m ch s d ng vi x ộ ạ ử ụ ử lý đủ ạnh, có đủ ộ m b nh và ớnăng lực x ử lý cũng như có khả năng kế ối đết n n Internet, là trung gian k t n i ế ốcác node t i Server Gateway có th ớ ể được tri n khai thêm các module ph c v ể ụ ụ

mục đích đảm b o an toàn thông tin Gateway trong mả ạng IoT thường s d ng ử ụ

19

các loại board ph bi n, cổ ế ấu hình cao đi kèm với kh ả năng lập trình và tùy biến cao, có th k ể ể đến như Raspberry Pi, Intel Galileo… Bo mạch thường được dùng cho Gateway là Raspberry Pi như thể ệ hi n trong Hình 2.3

Hình 2.3 Raspberry Pi 3

Raspberry Pi là l a ch n h p lý cho nhi m v làm Gateway Hi n nay, ự ọ ợ ệ ụ ệRaspberry Pi có nhi u phiên bề ản nhưng hai phiên bản nổi t ếi ng nh t là Raspberry ấ

Pi 3 và Raspberry Pi Zero Raspberry Pi 3 vừa được đưa ra thị trường vào tháng

2 năm 2016 với vi x lý m nh m ử ạ ẽ lên đến 1.2 GHz ki n trúc 64-bit ARM Ngoài ế

ra Pi 3 còn có một số nâng c p quan tr ng so v i phiên b n ti n nhiấ ọ ớ ả ề ệm: được tích

hợp module WiFi, Bluetooth 4.1 cũng như Bluetooth Low Energy Pi Zero có

cấu hình không cao nhưng giá lạ ẻ hơn Pi 3 rấi r t nhiều (giá 5$) cũng là mộ ựa t lchọ ốn t t cho các nhà phát tri n ể

Thành ph n máy ch d ầ ủ ữliệu thường là nh ng trung tâm x ữ ử lý và lưu trữ ập ttrung có năng lực tính toán lớn để nh n và x lý d li u t nhi u vùng khác nhau ậ ử ữ ệ ừ ề

gửi về

Các thi t b ph n c ng này hoàn toàn có th tri n khai b ng cách t nghiên ế ị ầ ứ ể ể ằ ự

c u ch t o ho c s d ng các s n phứ ế ạ ặ ử ụ ả ẩm thương mại có kh ả năng tùy biến theo

Các thi t b ế ị Gateway, Smart Gateway thường được cài đặ ệ điều hành đểt h

ph c v cho vi c tri n khai các module m rụ ụ ệ ể ở ộng trên đó Các h ệ điều hành này thường hoạt động theo hướng đa luồng (multi-threading), s d ng các lu ng song ử ụ ồsong giải quy t các tiế ến trình khác nhau và lưu lại các trạng thái x lý ử

Các d ch v trên Server là các ph n mị ụ ầ ềm ứng d ng, h x lý d u t p ụ ỗtrợ ử ữliệ ậtrung ho c cung cặ ấp các tính năng cho ngườ ử ụi s d ng (xem 2.1.4 )

2.1.3 Giao thức truyền thông

Giao thức vô tuyến

2.1.3.1

Các giao th c vô tuyứ ến được s dử ụng để truyền d n d u t các thi t b ẫ ữliệ ừ ế ịIoT v i thi t b Gateway t p trung c a t ng cớ ế ị ậ ủ ừ ụm và ngượ ạc l i Hi n nay m t s ệ ộ ốcông nghệ chính được sử ụ d ng có th k ể ể đến như Bluetooth, WiFi, ZigBee…a) WiFi IEEE 802.11[12] –

WiFi là m t giao th c truy n tin không dây trong m ng n i bộ ứ ề ạ ộ ộ, được chu n ẩhóa v i tên IEEE 802.11 Hi n nay WiFi ti p tớ ệ ế ục được phát tri n b i Hi p hể ở ệ ội WiFi WiFi s dử ụng cơ chế đa truy nhập c m nh n sóng mnag và tránh xunả ậ g đột (CSMA/CA) lở ớp MAC để đảm đảm b o m i thi t b s d ng WiFi s ph i l ng ả ỗ ế ị ử ụ ẽ ả ắnghe kênh truyền trước khi g i d u, ch ử ữ liệ ỉ khi nào được kênh truy n r nh thì ề ảthiế ị ớ ử ữt b m i g i d ệu đi Chuẩli n WiFi s dử ụng trên băng tần 2.4 GHz chia làm

14 băng tần, mỗi băng tần có độ ộ r ng là 22 MHz Chu n này s dẩ ử ụng phương pháp tr i ph c ti p (DSSS) ho c tr i ph ả ổtrự ế ặ ả ổnhả ầy t n (FHSS), ngoài ra còn dùng

đa truy nhập phân chia theo t n s trầ ố ực giao (OFDM) Đây được coi là chu n ẩtruy n d n vô tuy n ph bi n nh t hi n nay ề ẫ ế ổ ế ấ ệ

b) Bluetooth và Bluetooth Low Energy[13]

Bluetooth là m t giao th c truy n thông tin t m g n r t ph bi n trên th ộ ứ ề ầ ầ ấ ổ ế ế

giới được phát tri n bể ởi Ericsson sau đó được chu n hoá b i t ẩ ở ổ chức SIG (Bluetooth Special Interest Group) và được g i v i tên mã IEEE 802.15.1 ọ ớBluetooth ban đầu s d ng t n s 2402-ử ụ ầ ố 2480 MHz được chia làm 79 kênh, m i ỗ

Bluetooth xây d ng trên mô hình master/slave (ự Hình 2.4) Thi t b master ế ị

có th truy n/nh n tín hi u v i tể ề ậ ệ ớ ối đa 7 thiế ị slave cùng lúc, trong khi đó thiết t b

b ịslave chỉ có kh ả năng truyền/nh n v i duy nh t m t thiậ ớ ấ ộ ết bị master

Bluetooth Low Energy (BLE) là m t phiên b n khác c a Bluetooth s d ng ộ ả ủ ử ụbăng tần truy n thề ống 2.4 GHz được chia thành 40 kênh, mỗi kênh có độ ộ r ng 2 MHz và s dử ụng cơ chế phân chia theo t n s (FDMA) Trong s 40 kênh, 3 ầ ố ốkênh đượ ử ục s d ng v i mớ ục đích điều khi n và 37 kênh còn lể ại để truy n d li u ề ữ ệKhoảng các truy n tề ối đa của BLE được gi i thiớ ệu là hơn 100 mét và tiêu thụcông su t th p kho ng t 10 mW, tấ ấ ả ừ ốc độ ữ d u truy n có th liệ ề ể đạt đượ ối đa 24 c tMbps

c) Zigbee – IEEE 802.15.4

ZigBee, hay với tên g i chu n là IEEE 802.15.4, là m t giao th c truy n ọ ẩ ộ ứ ề

d n không dây tiêu th ẫ ụ năng lượng thấp ZigBee được phát triển theo phương châm tối ưu hoá về năng lượng và tr thành chu n k t n i cho h ở ẩ ế ố ệ thống m ng ạkhông dây t m g n trên toàn th gi i ZigBee th c hi n các chầ ầ ế ớ ự ệ ức năng ở ớ l p vật

lý và lớp điều khi n truy nh p Phiên bể ậ ản đầu tiên của ZigBee cũng sử ụng băng d

22

tần 2.4 GHz nhưng khác với WiFi thì ZigBee ch chia thành 16 kênh, m i kênh ỉ ỗ

r ng 2 MHz Mô hình m ng c a ZigBee theo ki u dộ ạ ủ ể ạng lưới và có th h ể ỗ trợ đến hơn 65000 node Ở ớ l p MAC, ZigBee s d ng thu t toán CSMA/CA t n s ử ụ ậ Ở ầ ố2.4 GHz, ZigBee ch s dỉ ử ụng phương pháp trải ph ổ trực ti p (DSSS), các dế ở ải

t n khác có s d ng m t s ầ ử ụ ộ ố phương pháp trải ph khác ZigBee yêu c u công ổ ầsuất phát th p kho ng 30 mW và có th truyấ ả ể ền được trong kho ng cách tả ối đa từ

10 đến 100 mét tu thuỳ ộc vào địa hình Tốc độ truy n c a 802.15.4 ph thu c ề ủ ụ ộvào t n s : 250Kbps t n s 2.4 GHz (16 kênh), 40 Kbps 915 MHz (10 kênh) ầ ố ở ầ ố ở

CoAP t xây dự ựng cho mình cơ chế đả m b o tin c y và ch ng t c ngh n do ả ậ ố ắ ẽUDP không h ỗ trợ cơ chế này Các b n tin cả ủa CoAP được đánh nhãn theo

23

nh ng lo i khác nhau N u m t bữ ạ ế ộ ản tin được đánh nhãn Confirmable (CON), nó

s ẽ được truy n l i m t s l n nhề ạ ộ ố ầ ất định bằng cơ chế tính thời gian timeout và cơ chế đặ ị t l ch truy n l i, ch khi nh n lề ạ ỉ ậ ại được b n tin xác nh n Acknowledgement ả ậ(ACK) hoặc №n Confirmable (NON) thì m i k t thúc quá trình này ớ ế

Hoạt động c a CoAP có s ủ ự tương đồng với HTTP theo cơ chếrequest/response nhưng CoAP cũng có khả năng hoạt động theo mô hình publish/subscribe Khi có s ự thay đổ ởi phía máy ch ủ CoAP, các máy khách đã theo dõi các máy ch s nhủ ẽ ận được b n tin thông báo v s ả ề ự thay đổi này Một chức năng đặc bi t c a giao th c này là kh ệ ủ ứ ả năng cung cấp cơ chế ỹ thu k ật đểphát hiện cũng như quảng bá tài nguyên của hệ thống cho toàn m ng ạ

d a trên TCP và r t ít tiêu tự ấ ốn tài nguyên cũng như năng lượng, v n là vố ấn đề ất r

c n quan tâm trên các thiầ ết bị IoT

Hình 2.6 Mô hình giao th c MQTT[9] ứ

MQTT được xây d ng trên n n t ng giao th c truyự ề ả ứ ền thông TCP, điều này đem tớ ải c mặ ợt l i và h i V i tính ch t tin c y c a TCP, MQTT cung c p kh ạ ớ ấ ậ ủ ấ ảnăng quản lý chất lượng d ch v v i 3 mị ụ ớ ức độ chất lượng d ch v là QoS 0, 1 và ị ụ

2 V i b n tin gớ ả ửi đi có QoS 0, các subscriber sẽ nhận được b n tin nhi u nhả ề ất