ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẶNG VĂN NGHĨA NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC THIẾT BỊ IoT LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Đà Nẵng – Năm 2017 ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẶNG VĂN NGHĨA NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC THIẾT BỊ IoT Chuyên ngành: Khoa học Máy tính Mã số: 60.48.01.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN TẤN KHÔI Đà Nẵng - Năm 2017 LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn (Ký ghi rõ họ tên) Đặng Văn Nghĩa MỤC LỤC Trang Chương - TỔNG QUAN VỀ IoT GIỚI THIỆU KIẾN TRÚC IoT 1.2.1 Kiến trúc dựa SOA .6 1.2.2 Kiến trúc hướng API CÁC MƠ HÌNH TRUYỀN THÔNG IoT 1.3.1 Mơ hình truyền thơng thiết bị với thiết bị 1.3.2 Mơ hình truyền thông thiết bị với đám mây .9 1.3.3 Mơ hình truyền thơng thiết bị với cổng giao tiếp 10 1.3.4 Mơ hình chia sẻ liệu đầu cuối 11 KẾT CHƯƠNG 12 Chương - CƠ SỞ LÝ THUYẾT 13 MƠ HÌNH KẾT NỐI IoT 13 2.1.1 Giới thiệu 13 2.1.2 Cơ chế hoạt động 14 2.1.3 Thiết bị cảm biến 14 2.1.4 Mạng cảm biến không dây 14 2.1.5 Cổng giao tiếp IoT 15 PHÂN LỚP THIẾT BỊ IoT 15 CÁC ỨNG DỤNG IoT 17 BẢO MẬT TRONG MÔI TRƯỜNG IoT 18 CÁC NGUY CƠ VỚI IoT TRONG NHÀ THÔNG MINH 18 QUẢN LÝ NHẬN DIỆN VÀ CHỨNG THỰC TRONG IoT 20 CÁC CƠNG TRÌNH NGHIÊN CỨU LIÊN QUAN 21 2.7.1 IoT Guardian ZingBox 21 2.7.2 Bảo mật thiết bị cổng giao tiếp IBM 23 KẾT CHƯƠNG 27 Chương - THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT 28 GIỚI THIỆU 28 MƠ HÌNH .28 3.2.1 Mơ hình chức 28 3.2.2 Mơ hình triển khai 30 TRIỂN KHAI CÁC KHỐI CHỨC NĂNG 31 3.3.1 Thiết bị định tuyến (Router biên) 31 3.3.2 Thiết bị chuyển mạch (Switch) 31 3.3.3 Khu vực người dùng (Users) 31 3.3.4 Khu vực DMZ 31 3.3.5 Khu vực IoT 31 3.3.6 Hệ thống phát xâm nhập (IDS) 32 3.3.7 Giải thuật xử lý 32 KẾT QUẢ TRIỂN KHAI THỰC NGHIỆM .34 3.4.1 Môi trường thực nghiệm 34 3.4.2 Kịch – Xây dựng cách ly hệ thống mạng 34 Kiểm sốt q trình truy cập hệ thống mạng 34 Nhận xét đánh giá 36 3.4.3 Kịch – Triển khai hệ thống mạng IoT định tuyến Ipv6 36 Xây dựng hệ thống mạng IoT 36 Đánh giá kết thực nghiệm 38 3.4.4 Kịch – Triển khai hệ thống phát xâm nhập (IDS) 38 Triển khai giải pháp IDS cho mạng IoT mô 38 Nhận xét đánh giá 44 NHẬN XÉT ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 45 KẾT CHƯƠNG 45 TÓM TẮT LUẬN VĂN NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC THIẾT BỊ IoT Học viên: Đặng Văn Nghĩa Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 Trường Đại học Bách khoa – ĐHĐN Khóa: 31 Tóm tắt - Với đời tốc độ phát triển IoT nay, tương lai có hàng tỷ thiết bị thông minh kết nối internet tương tác với Do bảo mật cho thiết bị IoT thách thức lớn cá nhân, tổ chức, doanh nghiệp triển khai IoT Hiện nhiều giải pháp bảo mật cho IoT triển khai ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass HP, ISA Cisco, SDN, … Tuy nhiên giải pháp bảo mật có ưu nhược điểm riêng Vì tác giả đề xuất giải pháp bảo mật tổng thể cho thiết bị IoT kết hợp nhận diện, xác thực thiết bị, cách ly luồng liệu, ẩn thông tin thiết bị kết nối internet, theo dõi, giám sát luồng liệu trao đổi mạng đưa cảnh báo có dấu hiệu bất thường xảy Giải pháp đề xuất thực thông qua việc chia VLAN, thiết lập ACL, NAT, lọc địa MAC, chứng thực sử dụng tên đăng nhập kết hợp mật triển khai hệ thống phát xâm nhập (IDS) để giám sát, cảnh báo Từ khóa - bảo mật IoT; bảo mật thiết bị IoT; giám sát; phát xâm nhập; lọc địa MAC RESEARCH IN BUILDING SECURITY SOLUTION FOR IOT DEVICES Abstract - With the growing up and development of IoT today, the future will be billions of smart devices connected to the internet and interact with each other Hence the security of IoT device is a big challenge for individuals, organizations and enterprises deploying IoT Currently, many security solutions for IoT have been deployed such as ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass of HP, ISA of Cisco, SDN, etc However, each security solution has its advantages and disadvantages So the author proposes a comprehensive security solution for IoT devices that combines authentication, device authentication, data isolation, device information concealment on the Internet, data stream monitoring and monitoring Exchange within the network and issue alerts when abnormalities occur The proposed solution is implemented through VLAN splitting, ACLs, NATs, MAC address filtering, authentication using password-matching logins and deployment of intrusion detection systems (IDS) for monitoring, warning Key words – IoT security; IoT device security; monitoring; intrusion detection; MAC address filtering DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 6LBR 6LoWPAN Border Router 6LoWPAN IPv6 over Low-power Wireless Personal Area Networks ALG Application Layer Gateway API Application Programming Interface BLE Bluetooth Low Energy DMZ De-Militarised Zone IAB Internet Architecture Board IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IoT Internet of Things IP Internet Protocol ITU International Telecommunication Union JSON JavaScript Object Notation M2M Machine to Machine MAC Media Access Control NAC Network Access Control NAT Network Address Translation OAuth Open Authorization PAN Personal Area Network REST Representational State Transfer RFID Radio Frequency Identification RMI Remote Method Invocation RTOS Real Time Operating System SOA Service Oriented Architecture SOAP Simple Object Access Protocol SSDP Simple Sevice Discovery Protocol URI Uniform Resource Identifier VLAN Virtual Local Area Network VTP VLAN Trunking Protocol WAN Wide Area Network WPA2-PSK Wi-Fi Protected Access - Pre-Shared Key WSN Wireless Sensor Network XML eXtensible Markup Language DANH MỤC CÁC BẢNG Số hiệu bảng Tên bảng Trang 3.1 Danh sách thiết bị phép truy cập vào hệ thống mạng 35 3.2 Danh sách thiết bị phép truy cập vào khu vực IoT 36 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Số hiệu hình vẽ Tên hình vẽ Trang 1.1 Kiến trúc tham chiếu cho IoT 1.2 Mơ hình truyền thơng thiết bị với thiết bị 1.3 Mơ hình truyền thơng thiết bị với đám mây 1.4 Mơ hình truyền thơng thiết bị với cổng giao tiếp 11 1.5 Mơ hình chia sẻ liệu đầu cuối 12 2.1 Topology chung cho IoT [12] 13 2.2 Phân lớp thiết bị IoT 16 2.3 Mô hình triển khai ZingBox 21 2.4 Sơ đồ mơ tả chứng thực OAuth 2.0 24 2.5 Mơ hình xác thực ID ứng dụng 25 3.1 Sơ đồ khối chức 29 3.2 Mơ hình triển khai 30 3.3 Mơ hình chi tiết triển khai hệ thống phát xâm nhập (IDS) 32 3.4 Mơ hình thực nghiệm kiểm sốt truy cập khu vực hệ thống mạng 35 3.5 Mơ hình mơ hệ thống IoT 36 3.6 Bảng định tuyến nút – Router biên (6LBR) 37 3.7 Thông tin nút 37 3.8 Thông tin nút 37 3.9 Thông tin nút 38 3.10 Thông tin nút 38 3.11 IDS Suricata kết nối với Prelude hiển thị kết thông qua giao diện Web 39 3.12 Giao diện phần mềm Cooja 39 46 KẾT LUẬN VÀ KIẾN NGHỊ Kết đạt Với mục đích xây dựng giải pháp bảo mật cho thiết bị IoT gia đình (SmartHome), luận văn đạt số kết bước đầu sau:  Xác thực người dùng thiết bị IoT thông qua kết nối không dây sử dụng SSID mật WPA2-PSK  Quản lý thiết bị IoT tập trung thông qua giao diện Web  Nhận diện thiết bị IoT thông qua chế lọc địa MAC  Cách ly luồng liệu khu vực người dùng (có dây, khơng dây), DMZ IoT thông qua việc chia VLAN thiết lập sách điều khiển truy cập  Luồng liệu vào/ra khu vực IoT kiểm soát có chế cảnh báo có dấu hiệu bất thường xảy  Bảo vệ hệ thống mạng nội trước nguy công từ bên bên Kiến nghị hướng phát triển Tuy bước đầu đạt mục tiêu đặt ra, luận văn đề xuất số kiến nghị sau để tiếp tục hoàn thiện:  Tập trung cách ly luồng liệu khu vực hệ thống quản lý, nhận diện, xác thực thiết bị IoT  Xây dựng chế bảo mật liệu truyền thiết bị IoT  Hệ thống phát xâm nhập chưa bao qt hết loại hình cơng Luận văn đề xuất hướng nghiên cứu phát triển sau:  Xây dựng chế quản lý, nhận diện thiết bị IoT thông qua giao diện web (kết hợp RESTful SDN)  Xây dựng hệ thống IDS (phần cứng phần mềm)  Xây dựng chế mã hóa liệu trao đổi thiết bị IoT (kết hợp giao thức ứng dụng hỗ trợ bảo mật IoT: MQTT, CoAP) 47 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Đặng Xuân Đích, Phát xâm nhập theo thời gian thực mạng Internet vạn vật, Hà Nội, 2016 Tiếng Anh [2] Rajkumar Buyya, Amir Vahid Dastjerdi, Internet of Things Principles and Paradigms, Todd Green, 2016 [3] Brian Russell, Drew Van Duren, Practical Internet of Things Security, Packt, 2016 [4] Raluca Ciungu, Improving Internet of Things Security with Software Defined Networking Master in Science in Telecommunication Engineering & Management, 2016 [5] Karen Rose, Scott Eldridge, Lyman Chapin, The internet of things: An overview, ISOC, 2015 [6] Vijay Sivaraman, Hassan Habibi Gharakheili, Arun Vishwanath, Roksana Boreli, Olivier Mehani, “Network-level security and privacy control for smart-home IoT devices,” in Proc of the 11th Int.Conf on Wireless and Mobile Computing, Networking and Communications (WiMob), 19-21 Oct 2015, Abu Dhabi, United Arab Emirates [Online] Available: IEEE Xplore, http://www.ieee.org [Accessed: 07 December 2015] [7] Shahid Raza, Linus Wallgren, Thiemo Voigt, “SVELTE: Real-time Intrusion Detection in the Internet of Things,” Ad Hoc Networks, vol.11, issue 8, pp 26612674, November 2013 [8] Fei Hu, Security and Privacy in Internet of Things (IoTs): Models, Algorithms, and Implementations, Taylor & Francis Group, 2016 [Online] Available: www.allitebooks.com Internet [9] Dave West, “Simplifying Security for IoT Device Engineers and Manufacturers,” May 3, 2016 [Online] Available: http://www.hometoys.com/article/2016/04/simplifying-security-for-iot-deviceengineers-and-manufacturers/33968/ [Accessed May 3, 2016] 48 [10] Mayuresh Ektare, “The IoT Security Solution for Protecting IoT Deployments,” November 4, 2016 [Online] Available: https://www.zingbox.com/blog/the-iotsecurity-solution-for-protecting-iot-deployments/ [Accessed Nov 4, 2016] [11] Amitranjan Gantait, Joy Patra, Ayan Mukherjee, “Securing IoT devices and gateways,” May 16, 2016 [Online] Available: https://www.ibm.com/developerworks/library/iot-trs-secure-iotsolutions1/index.html [Accessed May 16, 2016] [12] “Security in the Internet of Things,” White Paper, WIND, An Intel Company [Online] Available: https://www.windriver.com/whitepapers/security-in-theinternet-of-things/wr_security-in-the-internet-of-things.pdf [13] “Internet of things IoT gì,” Tháng hai 19, 2016 [Online] Xem tại: https://iotvietnam.com/internet-of-things-la-gi/ [Ngày truy cập: Tháng hai 19, 2016] [14] Dan Kobialka, “HP: 70% of IoT Devices Vulnerable to Attack,” Aug 5, 2014 [Online] Available: http://talkincloud.com/cloud-computingresearch/080514/hp-70-iot-devices-vulnerable-attack [Accessed Aug 5, 2014] [15] David Roe, “Top Internet of Things Security Concerns,” Jul 30, 2014 [Online] Available: http://www.cmswire.com/cms/internet-of-things/top-5-internet-ofthings-security-concerns-026043.php [Accessed Jul 30, 2014] [16] Eduard Kovacs, “70 Percent of IoT Devices Vulnerable to Cyberattacks: HP,” July 29, 2014 [Online] Available: http://www.securityweek.com/70-iot-devicesvulnerable-cyberattacks-hp [Accessed July 29, 2014] [17] Mahendra Bhatia, “Internet of Things Part-2,” March 15, 2016 [Online] Available: https://www.linkedin.com/pulse/internet-things-part-2-mahendrabhatia [Accessed March 15, 2016] [18] “Security Fundamental for IoT Devices; Creating the Internet of Secure Things,” Sep 24, 2015 [Online] Available: https://www.slideshare.net/DesignWorldOnline/security-fundamental-for-iotdevices-creating-the-internet-of-secure-things [Accessed Sep 24, 2015] PHỤ LỤC Phân hoạch địa IP Địa mạng STT Mặt nạ mạng VLAN Ghi 192.168.10.0 255.255.255.0 10 Kết nối người dùng có dây 192.168.20.0 255.255.255.0 20 Kết nối người dùng không dây 192.168.30.0 255.255.255.248 30 Khu vực dmz 192.168.40.128 255.255.255.248 40 Khu vực IoT có dây 192.168.40.0 Khu vực IoT không dây 255.255.255.128 Gán địa IP cho thiết bị STT Thiết bị Cổng giao tiếp Địa IP Mặt nạ mạng Default Gateway Home Server FastEthernet 192.168.30.2 255.255.255.248 192.168.30.1 manager FastEthernet 192.168.40.131 255.255.255.248 192.168.40.129 GigabitEthernet 0/0.10 192.168.10.1 255.255.255.0 N/A GigabitEthernet 0/0.20 192.168.20.1 255.255.255.0 N/A GigabitEthernet 0/0.30 192.168.30.1 255.255.255.248 N/A GigabitEthernet 0/0.40 192.168.40.129 255.255.255.248 N/A GigabitEthernet 0/1 192.168.1.2 255.255.255.252 N/A Internet 192.168.40.130 255.255.255.248 192.168.40.129 LAN 192.168.40.1 255.255.255.128 N/A Edge iot Tại máy chủ (Home Server):  Cấu hình dịch vụ DNS No Name Type Detail info NS Root ns-internal.internal.com A Record 192.168.30.2 ns-internal.internal.com SOA root A Record ServerName: ns-internal MailBox: internal Expiry: Refresh: 30 Retry: MinTTL: 20 8.8.8.8 www.smarthome.com A Record 192.168.30.2 Quản lý, điều khiển thiết bị IoT tập trung thông qua giao diện web chạy giao thức https: Hai thiết bị gồm máy (manager) Smartphone2 phép truy cập đến máy chủ (Home Server) đồng thời quản lý, điều khiển toàn thiết bị IoT nhà, thiết bị khác không phép Xuất dịch vụ web (https) máy chủ (Home Server) ngồi internet: Cấu hình NAT tĩnh router biên (Edge) cách ánh xạ địa riêng máy chủ (192.168.10.130) thành địa cơng cộng (209.165.100.2) truy cập ngồi internet Cấu hình NAT tĩnh giúp ẩn giấu bảo vệ máy chủ nội Tất thiết bị nhà truy cập internet bảo vệ thông qua NAT động, nghĩa địa IP riêng tất thiết bị nhà thay địa IP công cộng (209.165.100.14) Quản lý, nhận diện kết nối không dây đến router linksys (iot): Bảo mật kết nối không dây mạng IoT thông qua tên đăng nhập kèm với mật (mã hóa theo WPA2) tương ứng địa MAC thiết bị kết nối phải thuộc danh sách địa khai báo router linksys kết nối đến router linksys Ngược lại kết nối thất bại ... nghiên cứu Đối tượng nghiên cứu đề tài:  Các giải pháp bảo mật cho thiết bị IoT,  Kiến trúc hệ thống IoT,  Các công cụ hỗ trợ bảo mật cho thiết bị IoT Phạm vi nghiên cứu đề tài:  Nghiên cứu. .. thiết bị IoT? ?? Mục đích nghiên cứu Mục đích luận văn nhằm xây dựng giải pháp bảo mật cho thiết bị IoT gia đình (SmartHome) Giải pháp đề xuất nhằm đáp ứng yêu cầu sau:  Quản lý nhận diện tồn thiết. .. Nghiên cứu bảo mật cho thiết bị IoT gia đình (SmartHome),  Nghiên cứu mơ hình kết nối IoT gia đình Phương pháp nghiên cứu Đề tài sử dụng phương pháp nghiên cứu: a Phương pháp nghiên cứu lý thuyết