Về phần nội dung các thơng điệp trong cả hai giai đoạn của CurveCP. Ký hiệu như sau: Client sở hữu khĩa chính cơng khai C(P), khĩa chính mật C(S), khĩa phiên cơng khai C’(P) và khĩa phiên mật C’(S); Server sở hữu khĩa chính cơng khai S(P), khĩa chính mật S(S), khĩa phiên cơng khai S’(P) và khĩa phiên mật S’(S); Nonce sẽ được ký hiện là N(x) trong đĩ x là khĩa cần xác thực; B(x) là bản mật của bản rõ x được mã hĩa đối xứng bằng Box B. Nếu x quá dài và đã được đề cập thì cĩ thể ký hiệu tắt là B(…) trong đĩ B là tên của Box; s(x) là bản mật của bản
rõ x được mã hĩa phi đối xứng bằng khĩa siêu mật của Server. Nếu x quá dài và đã được đề cập thì cĩ thể ký hiệu tắt là s(…); 0 là các bit 0 và Data là dữ liệu.
Bảng 3.6 sẽ chỉ ra thành phần thơng điệp trong giai đoạn 1: Khởi tạo.
Bảng 3.6. Thành phần thơng điệp trong của giao thức CurveCP
Thơng điệp Bên gửi Bên nhận Nội dung
Hello Client Server Hello(0), C’(P), N(C’(P))
Cookies Server Client Cookies(s(C’(P), N(C’(P)), S’(S), N(S’(S))), S’(P)), N(S’(P))
Initiate Client Server s(C’(P),N(C’(P)), S’(S), N(S’(S)),
Initiate(Vouch(C’(P), S’(P)), C(P)), N(C’(P)) Ở giai đoạn 2: Trao đổi dữ liệu, cho dù là Server gửi Client hay Client gửi Server, thơng điệp hai bên sẽ như sau: Client gửi Server: CMessage(Data), N(C’(P)), Server gửi Client: SMessage(Data), N(S’(P)). Bảng 3.7 sẽ chỉ rõ hoạt động của từng Box trong giao thức CurveCP.
Bảng 3.7. Hoạt động của Box trong giao thức CurveCP
Box Vị trí Mã hĩa Giải mã Nội dung bản rõ
Hello Client C’(S) S(P) 0
Cookies Server S’(S) C’(P) s(…), S’(S), N(S’(P)
Vouch Client C(S) S’(P) C’(P), S’(P)
Initiate Client C’(P) S’(S) V(…), C(P)
CMessage Client C’(P) S’(S) Data
SMessage Server S’(P) C’(S) Data
Mã hĩa CurveCP sử dụng nguyên tắc: “Khĩa mã hĩa và khĩa giải mã khơng đến từ cùng một bên cung cấp”. Cĩ nghĩa là Box chỉ được mã hĩa bằng khĩa của bên gửi và giải mã bằng khĩa của bên nhận. Ưu điểm của phương pháp này là cho phép phục vụ mục đích xác thực và bảo mật thơng tin. Bởi vì Box chỉ được giải mã bằng khĩa phiên mật của bên nhận nên sự an tồn được đảm bảo trong khi, trong giao thức phân phối khĩa, chỉ cĩ bên nhận cĩ được khĩa phiên cơng khai của bên gửi nên sẽ đảm bảo chỉ cĩ bên nhận mới mã hĩa được thơng điệp đĩ.
mã hĩa dữ liệu nhằm tiết kiệm cơng suất tính tốn cho mạng IoT nhưng vẫn đảm bảo mục đích chính là giúp mạng IoT nâng cao khả năng phịng chống các cuộc tấn cơng nghe lén và giả mạo dữ liệu nâng cao sự an tồn trong tính tồn vẹn và tính bảo mật của dữ liệu.
b. Điều chỉnh giao thức CurveCP
Các điều chỉnh này sẽ diễn ra trên cả ba loại thơng điệp bao gồm Thơng điệp Hello, Thơng điệp Cookies và thơng điệp Initiate. Cụ thể, tất cả 8 khĩa (mỗi nút 4 loại khĩa) bao gồm các khĩa như đã ký hiệu trên Bảng 3.3 bao gồm C(P), C(S), C’(P), C’(S) ở Client và S(P), S(S), S’(P) S’(S) ở Sever đều cĩ độ dài là 32 bit, sẽ được giảm xuống cịn 16 bits.
Cụ thể, tất cả 8 khĩa (mỗi nút 4 loại khĩa) bao gồm các khĩa như đã ký hiệu trên Bảng 3.4 bao gồm C(P), C(S), C’(P), C’(S) ở Client và S(P), S(S), S’(P) S’(S) ở Sever đều cĩ độ dài là 32 bits, sẽ được giảm cịn 16 bit. Với việc giảm như vậy, thời gian tính tốn của từng lần mã hĩa trong thuật tốn sẽ ít hơn, mặc dù vậy các điều chỉnh này cũng làm độ bảo mật của giao thức CurveCP bị giảm đi do độ dài khĩa ngắn sẽ khiến cho nguy cơ bị tấn cơng vét cạn thành cơng trở nên lớn hơn. Mặc dù vậy rõ ràng là mục tiêu của giao thức bảo mật như CurveCP, ngồi bảo vệ an tồn dữ liệu, cịn phải đảm bảo hiệu năng hoạt động của mạng IoT và vai trị của giao thức bảo mật sẽ là vơ nghĩa nếu hoạt động của giao thức đĩ làm mạng bị ngưng trệ và khơng đạt yêu cầu hiệu năng. Chính vì lý do đĩ, việc đánh đổi giữa độ mạnh trong tính bảo mật của giao thức CurveCP với độ tiêu thụ tài nguyên của giao thức này trong tồn hoạt động mạng IoT là cần thiết.
3.4.2.Thử nghiệm triển khai CurveCP với các điều chỉnh
Hệ điều hành Contiki cĩ những ưu điểm nổi trội, đã được triển khai với nhiều nghiên cứu khoa học khác nhau nên cĩ đầy đủ cơ sở hạ tầng, tài nguyên để thực hiện, do đĩ để đảm bảo tính tối ưu, do vậy luận án tiếp tục sử dụng hệ điều hành này để mơ phỏng giải pháp CurveCP.
Thư viện mã nguồn “curvecp” về giao thức CurveCP trên hệ điều hành Contiki OS được viết bởi Jan Mojzis trong dự án phát triển cơ chế Tiny SSH cho mạng IoT với việc kế thừa các giao thức bảo mật trong Networking and Cryptography library (NaCl) cũng do nhĩm nghiên cứu của Daniel J. Bernstein thiết
kế. Do giao thức này sử dụng thư viện MUSL được phát triển bởi Rich Felker vào năm 2011 [84], nên việc cần làm đầu tiên là cài đặt thư viện MUSL cũng như tồn bộ tham chiếu đến thư viện này trong Hệ điều hành Contiki OS sẽ mơ phỏng mạng IoT. Việc cài thư viện MUSL bao gồm 2 bước là tải thư viện mã nguồn “musl” về và cấu hình trên hệ điều hành Contiki OS.
Giao thức này chỉ hoạt động bên trong mơi trường mơ phỏng mạng IoT nên phải tiếp tục tải thư mục “contiki-master” chứa các mã nguồn mơ phỏng hoạt động nút mạng IoT trong thực tế cũng như mơi trường thí nghiệm Cooja. Mã nguồn “curvecp” sẽ được cài đặt trong thư mục “apps” của “contiki” vì đây là thư mục lưu trữ các giao thức bên ngồi bổ trợ cho mạng IoT. Ngồi ra, vì cĩ hai kịch bản là kịch bản CurveCP cĩ điều chỉnh giảm độ dài mã, và kịch bản CurveCP thơng thường khơng cĩ tùy biến, nên cần sao lưu thành hai thư mục giống nhau là “curvecp” và “improved-curvecp”. Với những kịch bản điều chỉnh trên giao thức CurveCP thì việc giảm độ dài mã khĩa sẽ được diễn ra trên file cấu hình “crypto-
block.IoT” trong thư mục “src” ở thư mục “improved-curvecp” (mã lệnh được mơ tả
trong Phụ lục Hình 10 (PL)).
Sau khi đã cài đặt xong thì việc cuối cùng là cài đặt tham chiếu lên kịch bản mơ phỏng nằm ở file “project-conf.IoT” trong thư mục “rpl-udp” cĩ đường dẫn “contiki-master/examples/ipv6/” bằng cách thêm vào tham chiếu sau:
Với CurveCP nguyên bản: APPS += curvecp
Với CurveCP cĩ điều chỉnh: APPS += improved-curvecp
Ngồi ra, cũng cần lưu ý rằng giao thức CurveCP cĩ hai phiên bản riêng biệt: một dành cho Server và một dành cho Client. Trước các tệp cấu hình thơng số nút mạng phải thêm dịng mã nguồn tham chiếu đến phiên bản của giao thức CurveCP.
Cụ thể, ở file “sink-node.c” nút Server thêm dịng: initiate_server_curvecp(); File “sensor-node.c”, nút Client thêm dịng: initiate_server_curvecp().
Sau quá trình cấu hình thì cấu hình tồn bộ phục vụ giao thức CurveCP đã hồn thành. Cơng việc tiếp theo là xây dựng mơ hình và kịch bản thí nghiệm.
Mục tiêu của thí nghiệm là cho thấy sự khả thi trong triển khai giao thức CurveCP vào mạng IoT mơ phỏng, cho thấy hoạt động của giao thức CurveCP khơng gây ảnh hưởng lớn về tốc độ, hiệu năng thơng thường và mạng IoT vẫn hoạt
động bình thường. Sẽ cĩ 3 tình huống trên cùng mơ hình mạng IoT là kịch bản cĩ cài giao thức CurveCP điều chỉnh và kịch bản khơng cài giao thức CurveCP, cài đặt CurveCP nguyên bản, từ đĩ sẽ dễ dàng so sánh và đối chiếu giữa các trường hợp với nhau, thời gian là mỗi tình huống là 60 phút.
3.4.3.Kết quả thí nghiệm mơ phỏng với giải pháp điều chỉnh CurveCP
Trên tồn bộ WSNs, trên từng kịch bản cả ba thơng số đo đạc, giá trị từng thơng số đo đạc sẽ lấy trung bình của tất cả các nút mạng, khơng phân biệt vị trí của nút mạng. Với thiết bị Tmote Sky thì các hằng số tính năng lượng từ Cơng thức (3) phần 2.3, sẽ cĩ giá trị như sau dựa trên thơng số kỹ thuật của hãng Moteiv [55]: Et =
19.5; Er = 21.8; Eo = 1.8; EI = 0.545 và τ = Kết quả sẽ được biểu thị trong Bảng 3.9:
Bảng 3.8. Kết quả đo thơng số mạng IoT với CurveCP
Loại mạng PDR
(%) Latency(ms/m) Energy Consumption(mJ)
Khơng cài CurveCP 98.67 543.98 119.21
Cài CurveCP nguyên bản 92.13 893.24 287.90
Cài CurveCP điều chỉnh 95.04 700.13 219.81
Từ dữ liệu thu thập được ở Bảng 3.8, ta cĩ một số nhận xét như dưới đây. - Thứ nhất, Giao thức CurveCP nguyên bản đã tiêu thụ nhiều tài nguyên mạng IoT, khiến hiệu năng mạng khơng đạt yêu cầu về cả ba tiêu chí. Cụ thể PDR đã ở dưới ngưỡng cho phép là 95% [44] trong khi Độ trễ đã ở vượt mức cho phép là 800 ms [47]. Về năng lượng, mặc dù tiêu thụ năng lượng chưa vượt ngưỡng cho phép nhưng năng lượng tiêu thụ cũng gần gấp đơi khi mạng khơng cài giao thức CurveCP.
- Thứ hai, Giao thức CurveCP khi đã được điều chỉnh giảm độ dài mã hĩa, vẫn tiêu thụ tài ngun nhưng ít hơn và vì thế hiệu năng mạng vẫn đảm bảo ngưỡng cho phép. Năng lượng tiêu thụ cũng tăng lên so với mạng khơng cài đặt nhưng khơng quá nhiều.
Tổng kết lại, giao thức CurveCP sau khi điều chỉnh hồn tồn cĩ thể được triển khai trên mạng IoT và đảm bảo tiêu thụ năng lượng khơng ảnh hưởng xấu đến
hoạt động của mạng, đảm bảo được tính bí mật của thơng tin sau khi đã mã hĩa. Mục tiêu, phù hợp với điều kiện các thiết bị tài nguyên yếu. Với các điều chỉnh đề xuất đáp ứng được 2 nội dung:
• Triển khai được trên thiết bị tài nguyên yếu • Đảm bảo hiệu năng tồn hệ thống mạng IoT
Kết quả của giải pháp được trình bày trong “Hội nghị quốc tế lần thứ ba về các mơ hình tính tốn và truyền thơng nâng cao (ICACCP 2021)” xuất bản trên Springer, và bài báo [9] tại tuyển tập các cơng trình cơng bố của luận án.
3.5. Giới thiệu hàm băm xác thực hạng nhẹ Quark
Như đã trình bày, điểm yếu của mơi trường cảm biến trong WSN là tài nguyên bị giới hạn, khơng thể đảm bảo WSN hoạt động ổn định khi phải chia sẻ tài nguyên với các giao thức an tồn bảo mật vốn dành cho mạng Internet khơng bị giới hạn tài nguyên, đặc biệt là các giao thức mã hĩa. Chính vì vậy, phương hướng khi tích hợp các giao thức an ninh và an tồn thơng tin là tận dụng các lý thuyết an ninh của các giao thức bảo mật an ninh hiện cĩ mà đã được minh chứng tính tin cậy và sau đĩ, nghiên cứu giảm khả năng tiêu thụ tài nguyên để cĩ thể tích hợp các giao thức mới vào WSN mà khơng làm ảnh hưởng tới hoạt động các giao thức này. Bản thân giao thức DTLS cũng được kế thừa từ giao thức TLS với sự giản lược một số chức năng và việc cải tiến giao thức DTLS để cĩ thể tích hợp được cơ chế Overhearing cũng theo cách tiếp cận giảm tiêu thụ tài nguyên thơng qua giảm độ dài khĩa. Hiện nay, cĩ rất nhiều cơ chế mã hĩa nhẹ đã và đang được nghiên cứu phát triển dựa trên từng yêu cầu bài tốn khác nhau. Trong số đĩ, cơ chế băm Quark là được nghiên cứu và phát triển Jean-Philippe Aumasson sử dụng cho WSN cỡ nhỏ. Chính vì băm Quark được phát triển chuyên biệt cho WSN cỡ nhỏ như hệ thống RFID nên độ tiêu thụ tài ngun nhỏ và vì thế được xem xét tích hợp vào giải pháp an ninh tổng thể [78]. Quark hoạt động theo cơ chế nổi bọt chồng (padded sponge construction) được giới thiệu bởi Guido Bertoni [79], với các hàm băm chồng lên nhau mà đầu ra của hàm băm này sẽ là đầu vào của hàm băm sau. Mục đích của cơ chế nổi bọt chồng là tăng độ khĩ trong băm dữ liệu nhưng vẫn tái sử dụng các hàm băm và dữ liệu cũ, tránh sản sinh thêm dữ liệu làm tăng tiêu thụ tài nguyên WSN. Cơ chế nổi bọt chồng của Quark được mơ tả như Hình 3.8:
Hình 3.8. Sơ đồ hoạt động của thuật tốn băm Quark
Trong khi đĩ, Hình 3.9 mơ tả cơ chế nổi bọt chồng trong từng hàm băm của thuật tốn băm Quark:
Hình 3.9. Kiến trúc cơ chế nổi bọt chồng của thuật tốn băm Quark
Trong Hình 3.9, m0, m1, m2, m3 là các bit điều khiển, z0, z1, z2 là các bit kết quả đầu ra, c là khối dữ liệu đầu, r khối dữ liệu điều khiển vào cịn P là các thành phần xử lý mã hĩa trong một hàm băm. Cơ chế nổi bọt chồng trong thuật tốn băm Quark bao gồm nhiều thành phần giống nhau nhưng thứ tự thực hiện khác nhau, đảm bảo tính đơn giản về giải thuật nhưng duy trì độ phức tạp trong băm dữ liệu.
Đối với giải pháp này, luận án khơng đề xuất thực hiện cải tiến mà đề xuất sử dụng mơ hình tổng thể của cấu trúc an tồn bảo mật IoT tích hợp cùng với một số các giải pháp, tác giả sẽ trình bày phần điều chỉnh và kết hợp đầy đủ, chi tiết hơn hơn trong chương tiếp theo của luận án.
3.6. Đánh giá về giải pháp, hướng nghiên cứu phát triển
Đối với các hệ thống thiết bị IoT tài nguyên yếu, rõ ràng khơng thể áp dụng các phương thức mã hĩa, bảo mật an ninh truyền thống do những đặc thù cơ bản, ngồi việc tiêu tốn năng lượng thì những hạn chế về tài ngun tính tốn cũng khơng cho phép các thiết bị và giao thức truyền thơng năng lượng thấp cĩ thể sử dụng các cơ chế an ninh bảo mật truyền thống, việc nghiên cứu cải tiến, giới thiệu
các phương thức mã hĩa, xác thực hạng nhẹ, cĩ thể làm việc được trên các thiết bị tài nguyên hạn chế này được xem là khả thi và cần thiết. Qua những kết quả đo lường đánh giá, so sánh các tiêu chí qua các kịch bản mơ phỏng khác nhau cho thấy tính đúng đắn của giải pháp sử dụng các phương thức mã hĩa hạng nhẹ, mặc dù vẫn cịn những hạn chế, ảnh hưởng nhất định đến độ trễ, tiêu hao nhiều tài nguyên hơn so với mạng khơng cài đặt nhưng đã hạn chế được các tổn thất trong các đợt tấn cơng bị động (Passive attack), hiệu suất hơn các phiên bản gốc chưa qua cải tiến. Mặt khác, các giải pháp đã phần nào giải quyết được các vấn đề tồn tại, hạn chế mà các nghiên cứu cùng hướng trước đĩ để lại. Các kết quả của thí nghiệm đã phần nào minh chứng cho các luận giải và cơ sở lý thuyết mà luận án đã đề cập.
Trong bối cảnh chung về sự phát triển cơng nghệ và xu hướng cần giảm tải chi phí thiết bị nâng cao hiệu suất, tiết kiệm tài nguyên, mở rộng kết nối mạng lưới IoT đến tất cả mọi lĩnh vực đời sống, tương lai các thiết bị tài nguyên yếu là khơng thể phủ nhận, để đề xuất các phương án an tồn bảo mật thơng tin kết nối IoT thì các giải pháp mã hĩa nhẹ là đề xuất phù hợp, hiệu quả và khả thi tại thời điểm hiện tại.
Trong giai đoạn tiếp theo, luận án tiếp tục thực hiện các kịch bản mơ phỏng đa dạng hơn với các kiểu tấn cơng, tiếp tục nghiên cứu, cải tiến và tích hợp thêm các giải pháp trên các tầng của hệ thống IoT nhằm đảm bảo sự an tồn cao nhất cĩ thể, xây dựng hệ thống an ninh mạnh cho mạng IoT với các hướng nghiên cứu tích hợp cải tiến, cài đặt tổng thể trên các thành phần hệ thống IoT, mục tiêu là đảm bảo được tính cân đối giữa các yếu tố: An tồn, hiệu quả, chi phí và tính khả thi của giải pháp trong tồn hệ thống mạng IoT.
Chiến lược thực hiện của giải pháp là xây dựng các phương án trên các thành phần nhạy cảm của hệ thống IoT, giản lược một số bước tại các giải pháp để đảm bảo tính khả thi, hiệu quả trên bức tranh tổng thể chung, giải pháp được thực hiện theo các giai đoạn tích hợp lần lượt các giải pháp độc lập, cài đặt mơ phỏng thử nghiệm nhiều lần với các kịch bản khác nhau, sau đĩ tiến hành thống kê, so sánh đánh giá kết quả trên cơ sở các yếu tố đảm bảo hệ thống an tồn an ninh thơng tin IoT.
4. MƠ HÌNH TÍCH HỢP NÂNG CAO AN TỒN MẠNG IOT
Ở phần 2 và phần 3, luận án đã trình bày về giải pháp an ninh với phương