Loại mạng PDR
(%) Latency (ms/m) Energy Consumption (mJ)
Khơng cài CurveCP 98.67 543.98 119.21
Cài CurveCP nguyên bản 92.13 893.24 287.90
Cài CurveCP điều chỉnh 95.04 700.13 219.81
Từ dữ liệu thu thập được ở Bảng 3.8, ta cĩ một số nhận xét như dưới đây. - Thứ nhất, Giao thức CurveCP nguyên bản đã tiêu thụ nhiều tài nguyên mạng IoT, khiến hiệu năng mạng khơng đạt yêu cầu về cả ba tiêu chí. Cụ thể PDR đã ở dưới ngưỡng cho phép là 95% [44] trong khi Độ trễ đã ở vượt mức cho phép là 800 ms [47]. Về năng lượng, mặc dù tiêu thụ năng lượng chưa vượt ngưỡng cho phép nhưng năng lượng tiêu thụ cũng gần gấp đơi khi mạng khơng cài giao thức CurveCP.
- Thứ hai, Giao thức CurveCP khi đã được điều chỉnh giảm độ dài mã hĩa, vẫn tiêu thụ tài nguyên nhưng ít hơn và vì thế hiệu năng mạng vẫn đảm bảo ngưỡng cho phép. Năng lượng tiêu thụ cũng tăng lên so với mạng khơng cài đặt nhưng khơng quá
99 nhiều.
Tổng kết lại, giao thức CurveCP sau khi điều chỉnh hồn tồn cĩ thể được triển khai trên mạng IoT và đảm bảo tiêu thụ năng lượng khơng ảnh hưởng xấu đến hoạt động của mạng, đảm bảo được tính bí mật của thơng tin sau khi đã mã hĩa.
Mục tiêu, phù hợp với điều kiện các thiết bị tài nguyên yếu. Với các điều chỉnh đề xuất đáp ứng được 2 nội dung:
• Triển khai được trên thiết bị tài nguyên yếu • Đảm bảo hiệu năng tồn hệ thống mạng IoT
Kết quả của giải pháp được trình bày trong “Hội nghị quốc tế lần thứ ba về các mơ hình tính tốn và truyền thơng nâng cao (ICACCP 2021)” xuất bản trên Springer, và bài báo [9] tại tuyển tập các cơng trình cơng bố của luận án.
3.5. Giới thiệu hàm băm xác thực hạng nhẹ Quark
Như đã trình bày, điểm yếu của mơi trường cảm biến trong WSN là tài nguyên bị giới hạn, khơng thể đảm bảo WSN hoạt động ổn định khi phải chia sẻ tài nguyên với các giao thức an tồn bảo mật vốn dành cho mạng Internet khơng bị giới hạn tài nguyên, đặc biệt là các giao thức mã hĩa. Chính vì vậy, phương hướng khi tích hợp các giao thức an ninh và an tồn thơng tin là tận dụng các lý thuyết an ninh của các giao thức bảo mật an ninh hiện cĩ mà đã được minh chứng tính tin cậy và sau đĩ, nghiên cứu giảm khả năng tiêu thụ tài nguyên để cĩ thể tích hợp các giao thức mới vào WSN mà khơng làm ảnh hưởng tới hoạt động các giao thức này. Bản thân giao thức DTLS cũng được kế thừa từ giao thức TLS với sự giản lược một số chức năng và việc cải tiến giao thức DTLS để cĩ thể tích hợp được cơ chế Overhearing cũng theo cách tiếp cận giảm tiêu thụ tài nguyên thơng qua giảm độ dài khĩa. Hiện nay, cĩ rất nhiều cơ chế mã hĩa nhẹ đã và đang được nghiên cứu phát triển dựa trên từng yêu cầu bài tốn khác nhau. Trong số đĩ, cơ chế băm Quark là được nghiên cứu và phát triển Jean-Philippe Aumasson sử dụng cho WSN cỡ nhỏ. Chính vì băm Quark được phát triển chuyên biệt cho WSN cỡ nhỏ như hệ thống RFID nên độ tiêu thụ tài ngun nhỏ và vì thế được xem xét tích hợp vào giải pháp an ninh tổng thể [78]. Quark hoạt động theo cơ chế nổi bọt chồng (padded sponge construction) được giới thiệu bởi Guido Bertoni [79], với các hàm băm chồng lên nhau mà đầu ra của hàm băm này sẽ là đầu vào của hàm băm sau. Mục đích của cơ chế nổi bọt chồng là tăng độ khĩ trong
100
băm dữ liệu nhưng vẫn tái sử dụng các hàm băm và dữ liệu cũ, tránh sản sinh thêm dữ liệu làm tăng tiêu thụ tài nguyên WSN. Cơ chế nổi bọt chồng của Quark được mơ tả như Hình 3.8:
Hình 3.8. Sơ đồ hoạt động của thuật tốn băm Quark
Trong khi đĩ, Hình 3.9 mơ tả cơ chế nổi bọt chồng trong từng hàm băm của thuật tốn băm Quark:
Hình 3.9. Kiến trúc cơ chế nổi bọt chồng của thuật tốn băm Quark
Trong Hình 3.9, m0, m1, m2, m3 là các bit điều khiển, z0, z1, z2 là các bit kết quả đầu ra, c là khối dữ liệu đầu, r khối dữ liệu điều khiển vào cịn P là các thành phần xử lý mã hĩa trong một hàm băm. Cơ chế nổi bọt chồng trong thuật tốn băm Quark bao gồm nhiều thành phần giống nhau nhưng thứ tự thực hiện khác nhau, đảm bảo tính đơn giản về giải thuật nhưng duy trì độ phức tạp trong băm dữ liệu.
Đối với giải pháp này, luận án khơng đề xuất thực hiện cải tiến mà đề xuất sử dụng mơ hình tổng thể của cấu trúc an tồn bảo mật IoT tích hợp cùng với một số các giải pháp, tác giả sẽ trình bày phần điều chỉnh và kết hợp đầy đủ, chi tiết hơn hơn trong chương tiếp theo của luận án.
3.6. Đánh giá về giải pháp, hướng nghiên cứu phát triển
Đối với các hệ thống thiết bị IoT tài nguyên yếu, rõ ràng khơng thể áp dụng các phương thức mã hĩa, bảo mật an ninh truyền thống do những đặc thù cơ bản,
101
ngồi việc tiêu tốn năng lượng thì những hạn chế về tài nguyên tính tốn cũng khơng cho phép các thiết bị và giao thức truyền thơng năng lượng thấp cĩ thể sử dụng các cơ chế an ninh bảo mật truyền thống, việc nghiên cứu cải tiến, giới thiệu các phương thức mã hĩa, xác thực hạng nhẹ, cĩ thể làm việc được trên các thiết bị tài nguyên hạn chế này được xem là khả thi và cần thiết. Qua những kết quả đo lường đánh giá, so sánh các tiêu chí qua các kịch bản mơ phỏng khác nhau cho thấy tính đúng đắn của giải pháp sử dụng các phương thức mã hĩa hạng nhẹ, mặc dù vẫn cịn những hạn chế, ảnh hưởng nhất định đến độ trễ, tiêu hao nhiều tài nguyên hơn so với mạng khơng cài đặt nhưng đã hạn chế được các tổn thất trong các đợt tấn cơng bị động (Passive attack), hiệu suất hơn các phiên bản gốc chưa qua cải tiến. Mặt khác, các giải pháp đã phần nào giải quyết được các vấn đề tồn tại, hạn chế mà các nghiên cứu cùng hướng trước đĩ để lại. Các kết quả của thí nghiệm đã phần nào minh chứng cho các luận giải và cơ sở lý thuyết mà luận án đã đề cập.
Trong bối cảnh chung về sự phát triển cơng nghệ và xu hướng cần giảm tải chi phí thiết bị nâng cao hiệu suất, tiết kiệm tài nguyên, mở rộng kết nối mạng lưới IoT đến tất cả mọi lĩnh vực đời sống, tương lai các thiết bị tài nguyên yếu là khơng thể phủ nhận, để đề xuất các phương án an tồn bảo mật thơng tin kết nối IoT thì các giải pháp mã hĩa nhẹ là đề xuất phù hợp, hiệu quả và khả thi tại thời điểm hiện tại.
Trong giai đoạn tiếp theo, luận án tiếp tục thực hiện các kịch bản mơ phỏng đa dạng hơn với các kiểu tấn cơng, tiếp tục nghiên cứu, cải tiến và tích hợp thêm các giải pháp trên các tầng của hệ thống IoT nhằm đảm bảo sự an tồn cao nhất cĩ thể, xây dựng hệ thống an ninh mạnh cho mạng IoT với các hướng nghiên cứu tích hợp cải tiến, cài đặt tổng thể trên các thành phần hệ thống IoT, mục tiêu là đảm bảo được tính cân đối giữa các yếu tố: An tồn, hiệu quả, chi phí và tính khả thi của giải pháp trong tồn hệ thống mạng IoT.
Chiến lược thực hiện của giải pháp là xây dựng các phương án trên các thành phần nhạy cảm của hệ thống IoT, giản lược một số bước tại các giải pháp để đảm bảo tính khả thi, hiệu quả trên bức tranh tổng thể chung, giải pháp được thực hiện theo các giai đoạn tích hợp lần lượt các giải pháp độc lập, cài đặt mơ phỏng thử nghiệm nhiều lần với các kịch bản khác nhau, sau đĩ tiến hành thống kê, so sánh đánh giá kết quả trên cơ sở các yếu tố đảm bảo hệ thống an tồn an ninh thơng tin IoT.
102
4. MƠ HÌNH TÍCH HỢP NÂNG CAO AN TỒN MẠNG IOT
Ở phần 2 và phần 3, luận án đã trình bày về giải pháp an ninh với phương thức cải tiến DTLS và Overhearing cũng như các giải pháp an tồn bảo mật với các thuật tốn mã hĩa hạng nhẹ, các giải pháp độc lập đã thực hiện thành cơng, đạt được kết quả nhất định. Tuy nhiên, qua quá trình nghiên cứu tác giả nhận thấy các giải pháp độc lập này vẫn cịn nhiều vấn đề tồn tại và hạn chế, ví dụ như các giải pháp chỉ thực hiện chức năng tại một thành phần nhất định của hệ thống, chưa thể bảo vệ tồn bộ tính bí mật và tính tồn vẹn trên mơi trường cảm biến và các vị trí nhạy cảm khác trong mạng IoT, đặc biệt là đối với các mạng IoT cĩ thiết bị tài nguyên yếu. Từ đĩ, luận án tiếp tục nghiên cứu để phát triển giải pháp tích hợp các phương pháp độc lập đã được thử nghiệm trên cùng một hệ thống tại một thời điểm trên các thiết bị IoT tài nguyên yếu, cùng với đĩ tác giả nghiên cứu cải tiến bổ sung thêm một số giải pháp xác thực nhẹ với các phương thức mã hĩa nhẹ như hàm Quark vào giải pháp an ninh kết hợp. Việc tích hợp gặp những khĩ khăn trong cân đối giữa các vấn đề an tồn, hiệu năng và chi phí và tài nguyên. Sau nhiều lần thử nghiệm, thay đổi thơng số, cấu hình, điều chỉnh một số cải tiến, giải pháp được đề xuất là một mơ hình kết hợp nhiều lớp an tồn bảo mật thơng tin trên các tầng nhạy cảm của hệ thống IoT với các thiết bị tài nguyên yếu. Giải pháp thực hiện trên các tầng riêng biệt, tiến hành cài đặt kết hợp lần lượt từng giải pháp theo chiến lược đa lớp, tổng thể, mơ phỏng thử nghiệm, phân tích, thống kê, so sánh đánh giá lần lượt trên từng cơng đoạn và cân đối để giải quyết được các vấn đề tồn tại, thách thức trong mơi trường IoT hạn chế tài nguyên.
4.1. Giải pháp tích hợp giao thức DTLS và cơ chế Overhearing
Căn cứ trên những phân tích giải pháp độc lập trong các phần trước đĩ, luận án tiếp tục đề xuất một phương án để xây dựng giải pháp nâng cao an tồn trên mạng IoT với phương thức cải tiến giao thức DTLS tích hợp cơ chế Overhearing.
Đã cĩ nhiều nghiên cứu về các giao thức bảo mật cho hệ thống IoT, tuy nhiên, các giải pháp được đưa ra chưa cĩ giải pháp nào thực sự tồn diện do nhiều ràng buộc phải cân đối giữa các vấn đề an tồn bảo mật, hiệu năng và chi phí. Rất khĩ để cĩ thể xây dựng một giao thức an ninh đảm bảo được tất cả các yếu tố do sự phức tạp về cấu trúc, đa dạng về hình thái, biến động về năng lượng mà lại cần đảm bảo về chi phí, hiệu năng. Để giải quyết các vấn đề này trên cùng một giao thức an ninh duy nhất là
103
một thách thức lớn. Nhận thức được vấn đề này, nhĩm tác giả đã nghiên cứu và đề xuất một giải pháp kết hợp cả hai cơ chế an ninh hiệu quả trên hai thành phần cơ bản của hệ thống IoT, đĩ là bảo mật trên lớp cảm biến với cơ chế Overhearing và bảo mật trên lớp truyền thơng IoT với sự cải tiến giao thức DTLS. Với sự kết hợp này, hệ thống IoT cĩ thể vận hành 1 cách an tồn hơn, hiệu quả, đảm bảo tính tin cậy và sẵn sàng trước các cuộc tấn cơng vào mạng IoT. Giải pháp này khơng đề cập nhiều đến các lớp mạng thơng thường và cơ chế bảo mật truyền thống mà tập trung phân tích, xử lý, mơ phỏng, thử nghiệm đánh giá các cơ chế, giao thức mới trên các hệ thống mạng IoT và WSN. Nghiên cứu này sẽ giới thiệu những cải tiến của các cơ chế an ninh để tích hợp trên cùng một hệ thống nhằm nâng cao an tồn mạng IoT.
Các cuộc tấn cơng gây ra nhiều thiệt hại cho các bên sử dụng cũng như các nhà quản trị IoT, địi hỏi sự cấp thiết phải cĩ các biện pháp phát hiện, ngăn chặn hiệu quả để bảo vệ được nguồn tài nguyên và an ninh, an tồn của hệ thống IoT.
Để phịng ngừa các cuộc tấn cơng giả mạo và nghe lén trên mạng IoT, kế thừa hiệu quả của TLS/SSL, giao thức DTLS được phát triển phù hợp với mơi trường IoT bị giới hạn về tài nguyên, tuy nhiên để áp dụng được giao thức này cũng cần tùy biến một số thuật tốn mã hĩa. Mặt khác, cơ chế Overhearing được cải tiến nhằm phát hiện sớm nguy cơ tấn cơng DoS trong tầng mạng WSN thơng qua theo dõi sự bất thường trong trao đổi dữ liệu mạng IoT. Để bảo vệ an tồn hệ thống trướng hai kiểu tấn cơng này, luận án đề xuất cài đặt hai giải pháp trên thành một mơ hình tổng thể. Tuy nhiên, việc kết hợp giải pháp cài đặt và hoạt động trên các hệ thống mạng IoT địi hỏi q trình phân tích, cải tiến (đặc biệt với giao thức DTLS tiêu tốn rất nhiều tài nguyên) thí nghiệm, kiểm tra thẩm định. Sự hiệu quả và khả thi của 2 giải pháp này cũng được tác giả trình bày trong 2 cơng bố khoa học [5][7] tại danh mục các cơng trình cơng bố của luận án.
4.1.1. Triển khai giải pháp tích hợp DTLS và Overhearing cải tiến
Mục tiêu của giải pháp:
- Phát hiện Botnet, chống tấn cơng từ chối dịch vụ với Overhearing - Bảo mật, xác thức kênh truyền DTLS
- Tích hợp các giải pháp độc lập với các thơng số điều chỉnh trên 1 hệ thống IoT cĩ thiết bị tài nguyên yếu nhằm nâng cao an tồn bảo mật mà vẫn đảm bảo được
104 hiệu năng cho mạng.
a. Giải pháp an ninh kết hợp DTLS & Overhearing cải tiến
Ba tính chất cơ bản nhất của an ninh và an tồn thơng tin theo tam giác CIA [85] là Tính tồn vẹn, Tính chính xác và Tính sẵn sàng. Ngồi ra, mơ hình ngơi sao 6 cạnh CIA mở rộng [88] được trình bày trong Hình 4.1 với việc bổ sung thêm 3 tính chất khác, mỗi tính chất là sự giao thoa giữa hai tính chất cơ bản trong tam giác CIA. Lưu ý trong Hình 4.1, ba đỉnh tam giác màu trắng ở trên là ba tính chất cơ bản (theo tam giác CIA) cịn ba đỉnh tam giác màu đen ở dưới là ba tính chất bổ trợ, chịu ảnh hưởng của hai tính chất cơ bản hai bên của tam giác.
Hình 4.1. Mơ hình an tồn bảo mật CIA
Chỉ khi ba tính chất cơ bản này được đảm bảo, các tính chất bổ trợ mới được xem là an tồn và kết quả là hệ thống IoT mới được nhìn nhận là an tồn. Vì thế, sự kết hợp giữa giao thức DTLS tập trung vào bảo đảm tính bí mật và tính tồn vẹn của thơng tin với cơ chế Overhearing tập trung vào bảo vệ tính sẵn sàng, sẽ đảm bảo cả ba tính chất cơ bản trong an ninh và an tồn thơng tin đều được bảo vệ. Ngồi ra, cả hai giải pháp đều tập trung vào các nguy cơ mất an tồn phổ biến hiện nay như tấn cơng nghe lén, mạo danh cũng như tấn cơng DoS bằng Botnet và UDP Flood, đặc biệt với mạng IoT dễ bị tấn cơng DoS. Cài đặt hai giải pháp an ninh trên cĩ thể bảo vệ IoT trước các tấn cơng phổ biến hiện nay.
b. Vị trí cài đặt các giao thức trong hệ thống mạng IoT
105
gồm 4 thành phần cơ bản như Lớp ứng dụng, Lớp hỗ trợ, Lớp truyền thơng và Lớp cảm biến [11]. Giao thức DTLS được cài đặt trong lớp truyền thơng trong khi Cơ chế Overhearing được cài đặt ở lớp cảm biến. Hình 4.2 nêu cụ thể hơn vị trí cài đặt hai giải pháp bảo mật trên trong một sơ đồ IoT hồn chỉnh.
Hình 4.2. Sơ đồ vị trí cài đặt Overhearing và DTLS trong hệ thống mạng IoT
Từ Hình 4.2, ta thấy Overhearing và DTLS được cài đặt ở các phần thành phần