Xem mẫu
- Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XI về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 09-10/8/2018
DOI: 10.15625/vap.2018.00039
MỘT HƯỚNG PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT
THEO KIẾN TRÚC MẠNG MỚI
Dương Thị Vân, Trần Đức Thắng, Nguyễn Hoàng Trung, Đỗ Mạnh Quân, Nguyễn Như Sơn
Viện Công nghệ Thông tin, Viện Hàn lâm Khoa học và Công nghệ Việt Nam
TÓM TẮT: IoT (Internet of things) là lĩnh vực công nghệ nổi bật của thế kỷ, đang làm thay đổi cuộc sống, cách thức làm việc của
cá nhân, doanh nghiệp. Việc đảm bảo an ninh an toàn cho các thành phần tham gia kết nối trong môi trường IoT là một nhu cầu
cấp bách và là thách thức to lớn đặt ra cho các nhà nghiên cứu và phát triển. Mạng định nghĩa bởi phần mềm (SDN) là kiến trúc
mạng mới, với tính năng cung cấp khả năng giải quyết linh hoạt các vấn đề liên quan đến nhu cầu gia tăng của IoT. Nhiều nghiên
cứu được thực hiện, đề xuất xây dựng kiến trúc IoT dựa trên SDN nhằm nâng cao chính sách an ninh an toàn trong IoT, nhưng kiến
trúc tích hợp này vẫn tiềm ẩn những rủi ro đáng lo ngại. Trong bài báo này, chúng tôi đề xuất hướng phân tích an ninh cho hệ
thống IoT theo kiến trúc mạng mới SDN (IoT-SDN) sử dụng công cụ TMT của Microsoft, nhằm xác định các mối đe dọa tiềm ẩn và
đưa ra các kiến nghị phòng ngừa, giảm thiểu các nguy cơ đe dọa an ninh mạng. Kết quả thực nghiệm đã chứng minh được sự tồn tại
khách quan các mối nguy hiểm trong các hệ thống thực tế. Việc phát hiện sớm các nguy cơ và có biện pháp giảm thiểu kịp thời sẽ
góp phần cải thiện an toàn bảo mật cho lĩnh vực công nghệ mới này.
Từ khóa: Architecture IoT, Model STRIDE, Architecture SDN, Security in IOT, Countermeasures.
I. GIỚI THIỆU
IoT (Internet of things) [1] là công nghệ nổi bật, đang thu hút sự quan tâm của cá nhân, doanh nghiệp, các nhà
nghiên cứu với khả năng kết nối lẫn nhau giữa các thành phần trong mạng với Internet, việc đảm bảo an ninh an toàn
cho các thành phần tham gia kết nối trong mạng là một nhu cầu cấp bách và là thách thức to lớn. Trong bối cảnh bùng
nổ Internet vạn vật như hiện nay, từ các thiết bị cảm biến, thiết bị y tế, xe tự lái [2] cho đến nhà thông minh, thành phố
thông minh, môi trường thông minh, công nghiệp thông minh,… đều được kết nối với nhau, thì vấn đề đảm bảo an
ninh càng là vấn đề cấp thiết và cần được đặt lên quan tâm hàng đầu. Thiếu an toàn trong hệ thống IoT có thể là nguy
cơ trực tiếp ảnh hưởng đến cuộc sống của con người.
Trong khi đó, hệ thống IoT bao gồm nhiều thiết bị không đồng nhất sử dụng đa giao thức, mỗi giao thức có cơ
chế truy cập và các biện pháp an ninh khác nhau. Nhưng chưa có một cơ chế an ninh hợp nhất trong IoT. Các tiêu chí
tiếp cận bảo mật thông thường như phát hiện xâm phạm và hệ thống phòng ngừa (IPS/IDS), tường lửa, được triển khai
tại các thiết bị trong mạng để bảo vệ trước các cuộc tấn công từ bên ngoài hệ thống. Nhưng trong trường hợp của IoT,
nơi mà sự truy cập mạng là không giới hạn và không biên giới, việc kiểm soát hệ thống càng trở nên khó khăn hơn.
Hơn nữa, với sự gia tăng số lượng lớn các thiết bị IoT, số lượng dữ liệu được thu thập và tạo ra là rất lớn làm
cản trở việc giám sát, quản lý, kiểm soát và bảo mật các thiết bị IoT trong mạng, việc xây dựng các giải pháp đảm bảo
an ninh an toàn cho các thiết bị này trở thành một vấn đề thách thức đối với các nhà nghiên cứu và phát triển.
Mạng định nghĩa bởi phần mềm (SDN) [3] là kiến trúc mạng mới, với tính năng cung cấp khả năng giải quyết
linh hoạt cho các vấn đề liên quan đến nhu cầu gia tăng của IoT. Với việc áp dụng kiến trúc SDN, vấn đề cấu hình và
quản lý các thiết bị trong hệ thống IoT được đơn giản hóa đáng kể. Ngoài ra, SDN cung cấp khả năng phản ứng nhanh
với các mối đe dọa an ninh, lọc lưu lượng truy cập cụ thể và triển khai chính sách an ninh. Vì thế, kiến trúc tích hợp
IoT dựa trên SDN được nhiều nhóm nghiên cứu quan tâm, mở ra một hướng đi mới trong việc đảm bảo an ninh an toàn
trong hệ thống IoT.
Kiến trúc tích hợp IoT dựa trên SDN (IoT-SDN) là kiến trúc được khuyến cáo là khá tối ưu trong việc cải tiến
an ninh an toàn cho hệ thống IoT nhưng vẫn tiềm ẩn nhiều rủi ro đáng lo ngại. Trong bài báo này, chúng tôi thảo luận
những thách thức an ninh còn tồn tại, đồng thời đề xuất phương pháp phân tích an ninh cho kiến trúc IoT-SDN thông
qua công cụ TMT của microsoft, tìm ra các mối nguy hiểm tiềm ẩn trong hệ thống, từ đó đề xuất biện pháp phòng ngừa
và ngăn chặn đe dọa an ninh phù hợp, góp phần cải tiến an toàn bảo mật cho công nghệ mới này.
II. TỔNG QUAN
2.1. Kiến trúc IoT
IoT là hệ thống gồm các đối tượng được tích hợp liền mạch vào mạng thông tin. Các đối tượng tham gia có thể
là thiết bị vật lý hoặc ảo được xác định là duy nhất trên mạng, kết nối với nhau thông qua Internet [1]. Các thiết bị sử
dụng đa giao thức không đồng nhất, mỗi giao thức có cơ chế truy cập và các biện pháp an ninh khác nhau. IoT liên kết
nhiều dịch vụ mạng như mạng dây, không dây, ad-hoc,…
Kiến trúc IoT điển hình gồm 3 lớp:
Lớp cảm nhận (Perception layer): Chịu trách nhiệm về gửi và thu thập dữ liệu từ thiết bị và con người đưa
vào IoT. Chức năng này tạo thành lớp lõi của kiến trúc IoT.
- 290 MỘT HƯỚNG PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT THEO KIẾN TRÚC MẠNG MỚI
Lớp mạng (Network layer): Chịu trách nhiệm về trao đổi thông tin và truyền dữ liệu.
Lớp ứng dụng (Application layer): Cung cấp giao diện người - máy và xử lý thông tin.
2.2. Mạng định nghĩa bởi phần mềm (Software defined networking - SDN)
Công nghệ luôn thay đổi, kiến trúc mạng cũng thay đổi liên tục theo thời gian và được cập nhật thường xuyên
để phù hợp với nhu cầu của khách hàng. Nhà quản trị mạng và các nhà vận hành cần điều chỉnh cấu hình phù hợp và
linh hoạt. Kiến trúc mạng truyền thống có thành phần điều khiển (quản lý lưu lượng) và thành phần chuyển tiếp
(chuyển tiếp gói tin) tập trung trong một thiết bị. Vì thế, thiết bị thường chậm hơn, đắt tiền không linh hoạt và khó mở
rộng. Các nhà vận hành sử dụng các công cụ bên ngoài, các kịch bản để tự động cấu hình lại thiết bị, dẫn đến cấu hình
bị sai. Mạng định nghĩa bởi phần mềm (SDN) [3] được đề xuất để giải quyết các vấn đề mà trong khuôn khổ an ninh
thường gặp phải. SDN là mô hình mạng mới với kiến trúc tách riêng hai thành phần: thành phần điều khiển (Control
Plane) và thành phần chuyển tiếp (Data Plane), tạo sự linh hoạt trong quản lý, cấu hình, bảo mật và tối ưu hóa tài
nguyên. Do đó, SDN có chính sách an ninh chủ động thông minh.
SDN bao gồm ba lớp:
Lớp cơ sở hạ tầng (intrastructure layer): nhiệm vụ chuyển tiếp dữ liệu, các gói tin được xử lý dựa trên các
hướng dẫn từ tầng điều khiển;
Lớp điều khiển (control layer): chịu trách nhiệm về việc kiểm soát và ra quyết định về cách chuyển tiếp các
gói tin trên một hoặc nhiều hơn các thiết bị mạng. Công việc chính của tầng điều khiển là tinh chỉnh các bảng chuyển
tiếp trong các thiết bị mạng dựa trên topo mạng hoặc yêu cầu từ các dịch vụ;
Lớp ứng dụng (application layer): lớp ứng dụng.
Với cấu trúc này SDN tăng khả năng truyền dữ liệu, tạo khả năng thay đổi cấu hình mạng qua một giao diện mở
duy nhất.
Hình 1. Kiến trúc SDN
2.3. Mô hình STRIDE
STRIDE [13] là công cụ cho phép xây dựng mô hình đe dọa cho hệ thống (SDL Threat Modeling Tool) được
Microsoft đề xuất, việc mô hình hóa các mối đe dọa cho phép xác định và giảm thiểu có lỗ hổng bảo mật tiềm năng
sớm nhất giúp tiết kiệm công sức và chi phí. STRIDE là viết tắt của Spoofing (Giả danh), Tampering (Can thiệp/sửa
đổi), Repudiation (xóa dấu vết), Information Disclosure (Đánh cắp thông tin), Denial of Service (Từ chối dịch vụ) và
Elevation of Privilege (Giả quyền). Đây là các phương thức tấn công an ninh mạng phổ biến. Mô hình STRIDE được
dùng để xây dựng sơ đồ luồng dữ liệu (DFD - Data Flow Diagram) của hệ thống bị tấn công.
Bảng 1. Bảng các mối đe dọa tác động đến các thành phần của mô hình STRIDE
Attack Type Data flows Data tores Processes Interactors
Spoofing
Tampering
Repudiation
Information Disclosure
Denial of Sevice
Elevation of Privilege
- Dương Thị Vân, Trần Đức Thắng, Nguyễn Hoàng Trung, Đỗ Mạnh Quân, Nguyễn Như Sơn 291
2.4. Kiến trúc IoT dựa trên SDN (IoT-SDN)
SDN có thể sử dụng như một lớp phủ nhằm đảm bảo cho việc thích ứng của các thiết bị IoT trong ứng dụng
thực tế. Bất kì thành phần nào trong IoT đều có thể kết nối được với các đối tượng khác thông qua kiến trúc IoT- SDN.
Kiến trúc IoT-SDN điển hình như hình 2 [17] bao gồm 4 lớp. Lớp thấp nhất là lớp thiết bị, gồm các thiết bị cảm biến,
dùng để thu thập một lượng lớn dữ liệu từ các ứng dụng khác nhau trong IoT. Lớp giao vận gồm Gateways, thiết bị
định tuyến và chuyển mạch SDN, Data Storage. Lớp này chịu trách nhiệm chuyển tiếp dữ liệu trong mạng, lưu trữ hoặc
xử lý dữ liệu tạm thời theo chỉ dẫn của bộ điều khiển SDN ở lớp phía trên. Lớp computing chứa bộ điều khiển SDN
thực hiện kiểm soát các cơ chế truyền dữ liệu, thực hiện kiểm soát việc chuyển tiếp dữ liệu theo yêu cầu của ứng dụng,
dịch vụ các nhà phát triển và các nhà khai thác xây dựng các dịch vụ IoT.
Hình 2. Kiến trúc IoT dựa trên SDN
Trong kiến trúc IoT- SDN, bộ điều khiển SDN không chỉ quản lý các thiết bị không đồng nhất trong hệ thống
IoT mà còn giám sát, theo dõi lưu lượng. Bộ điều khiển SDN góp phần đảm bảo an toàn hiệu quả cho hệ thống IoT
khỏi các cuộc tấn công từ bên trong và bên ngoài hệ thống. Để thực hiện được điều này, bộ điều khiển trung tâm được
thiết lập để kết nối với thiết bị chuyển mạch qua giao thức OpenFlow [12]. Giao thức OpenFlow được bổ sung vào các
thiết bị mạng như bộ chuyển mạch (switch), bộ định tuyến (router) và các điểm truy cập không dây (AP) nhằm cung
cấp một một giao thức mạng để người quản trị mạng có thể thiết kế, lập trình việc quản lý lưu lượng truy cập trực tiếp
giữa các thiết bị định tuyến và các thiết bị chuyển mạch trong mạng đang hoạt động.
2.5. Vấn đề an ninh trong IoT
Hệ thống IoT bao gồm nhiều thiết bị được kết nối với nhau và kết nối với mạng Internet. Chính điều này tiềm ẩn
những nguy cơ về mất an toàn bảo mật thông tin, chẳng hạn như bí mật thông tin bị tiết lộ, xác thực sai, dữ liệu bị thay
đổi hoặc làm giả. Do các thiết bị này đều có chủ sở hữu, nên dữ liệu thu thập được từ các thiết bị có thể chứa thông tin
cá nhân liên quan đến người sử dụng nó, chẳng hạn như thói quen, sở thích, hồ sơ sức khỏe,…. Vì thế, tiềm ẩn nguy cơ
lộ những thông tin riêng tư trong quá trình truyền dữ liệu, tập hợp, lưu trữ, khai thác và xử lý thông tin của các thiết bị
IoT [14], [15]. Thách thức an ninh đối với hệ thống IoT gồm: xác thực đối tượng, bảo mật và toàn vẹn, xác thực ủy
quyền, phần mềm độc hại.
Hệ thống IoT nói chung gồm thiết bị phần cứng, phần mềm, dịch vụ. Các thành phần thường có những lỗ hổng
thiết kế tiềm ẩn. Các lỗ hổng phần cứng rất khó xác định và cũng khó có thể khắc phục ngay cả khi các lỗ hổng đã
được xác định. Các lỗ hổng phần mềm có thể được tìm thấy trong hệ điều hành, phần mềm ứng dụng và phần mềm
điều khiển như các giao thức truyền thông. Các lỗ hổng kỹ thuật thường xảy ra do điểm yếu của người thiết kế hệ
thống. Việc bảo đảm an ninh đòi hỏi phải bảo vệ các thiết bị lẫn dịch vụ IoT từ việc truy cập trái phép từ bên ngoài
thiết bị, bảo vệ các dịch vụ, tài nguyên phần cứng, thông tin và dữ liệu, trong quá trình chuyển đổi và lưu trữ. Trong
quá trình này thông tin/dữ liệu có thể giả danh, can thiệp/sửa đổi, đánh cắp thông tin, từ chối dịch vụ,… phân tích an
ninh đối với hệ thống trong trường hợp này là tìm những rủi ro tiềm ẩn đối với mỗi thành phần, từ đó xây dựng kịch
bản giảm thiểu khi có sự cố xảy ra. Mỗi vùng có các yêu cầu về dữ liệu, xác thực, ủy quyền riêng. Các vùng sẽ được cô
lập khi có rủi ro xảy ra hoặc hạn chế ảnh hưởng của vùng có độ tin cậy thấp đến các cùng có độ tin cậy cao.
III. CÁC NGHIÊN CỨU LIÊN QUAN
Bảo mật thông tin là một vấn đề quan trọng trong các thiết bị và dịch vụ IoT do tính phổ biến của kiến trúc IoT.
Các thực thể được kết nối với nhau và dữ liệu được truyền đạt, trao đổi thông qua Internet, làm cho thông tin, dữ liệu
có nguy cơ mất an toàn. Trong nhiều nghiên cứu thì bảo mật trong thu thập dữ liệu, cũng như chia sẻ và quản lý dữ liệu
vẫn là nghiên cứu mở cần hoàn thành. Việc xác định sớm các mối đe dọa tiềm ẩn trong hệ thống sẽ giảm chi phí, tránh
- 292 MỘT HƯỚNG PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT THEO KIẾN TRÚC MẠNG MỚI
rủi do khi có sự cố xảy ra. Trong khi đó, kiến trúc công nghệ mạng mới SDN với khả năng linh hoạt trong các chính
sách an ninh, phản ứng nhanh khi có sự cố xảy ra. Vì thế, được rất nhiều nhà nghiên cứu quan tâm để nghiên cứu tích
hợp kiến trúc IoT dựa trên kiến trúc mạng mới SDN [6], [7], [8], [9], [10], [11], [17] để cải tiến an ninh an toàn cho hệ
thống.
Trong đó, [17] đã đưa ra mô hình IoT-SDN chung, nhưng các phân tích mới mang tính biện luận, chưa có các
phương pháp phân tích cụ thể, không phù hợp với điều kiện triển khai IoT trong thực tế, [6] đề xuất giải pháp thực hiện
đảm bảo an ninh cho IoT qua việc triển khai tường lửa, IPS, IDS, với chính sách an ninh được cài đặt vào các thiết bị
chuyển mạch OpenFlow. Tuy nhiên, thiết bị xác thực mạng, người dùng và các đối tượng với người dùng trong IoT
đang dùng các công nghệ không đồng nhất dẫn đến các rủi do tiềm ẩn trong hệ thống IoT - SDN.
Ngoài ra, có nhiều nghiên cứu về cải tiến an ninh trên kiến trúc tích hợp IoT - SDN với giải pháp sử dụng một
bộ điều khiển tập trung SDN [7], [8], [9], [10]. Tuy nhiên, trong các mô hình này, tấn công từ chối dịch vụ có thể diễn
ra tại bộ điều khiển tập trung SDN. Nếu cuộc tấn công xảy ra tại bộ điều khiển SDN, hệ thống có thể bị kiểm soát hoàn
toàn, gây hậu quả nghiêm trọng. Để khắc phục nhược điểm của giải pháp với một bộ điều khiển, [11] đề xuất giải pháp
dùng nhiều bộ điều khiển để tăng cao độ tin cậy và khả năng chịu lỗi. Khi một trong các bộ điều khiển SDN bị lỗi, bộ
điều khiển khác có thể kiểm soát các lỗi của hệ thống. Tuy nhiên việc sử dụng nhiều bộ điều khiển sẽ làm giảm hiệu
suất của hệ thống.
Như vậy, kiến trúc IoT- SDN đề ra tuy đạt được nhiều hiệu quả về cải tiến an ninh an toàn cho hệ thống IoT,
nhưng chưa có phương pháp phân tích cụ thể và vẫn tồn tại những mối đe dọa tiềm ẩn. Trong phạm vi nghiên cứu,
chúng tôi đề xuất sử dụng công cụ TMT của Microsoft để xây dựng mô hình đe dọa của kiến trúc IoT-SDN điển hình,
đồng thời phân tích an ninh trên hệ thống đó, xác định những rủi ro tiềm ẩn trong hệ thống, qua đó đề xuất một số biện
pháp điển hình để giảm thiểu rủi ro.
IV. PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT-SDN
4.1. Phân tích an ninh cho hệ thống IoT-SDN điển hình
Trong thực tế, các thiết bị IoT tham gia kết nối có thể có hoặc không có khả năng SDN. Nếu các thiết bị IoT
được tích hợp khả năng SDN, sẽ kết nối trực tiếp với bộ điều khiển SDN Controllers và nhận sự điều khiển trực tiếp từ
lớp này mà không cần thông qua lớp giao vận (Communication layer), đối với các thiết bị IoT không được tích hợp
SDN, các thiết bị này cần được kết nối thông qua các thiết bị chuyển mạch có hỗ trợ SDN.
Trong phạm vi nghiên cứu, chúng tôi phân tích an ninh cho kiến trúc IoT theo kiến trúc mạng mới SDN (IoT-
SDN), kiến trúc này tương đồng với kiến trúc IoT- SDN trong [17] gồm bốn lớp: Lớp chứa các thiết bị IoT (Device
IoT), lớp giao vận (switch, router, data storage), lớp chứa bộ điều khiển SDN (SDN controllers), lớp chứa các ứng
dụng, dịch vụ của các nhà phát triển và khai thác (sevice, sevice application). Nhưng trong trường hợp của chúng tôi,
các thiết bị IoT mặc định không có khả năng SDN, vì vậy cần kết nối qua thiết bị chuyển mạch hỗ trợ SDN để đảm bảo
kết nối với tầng điều khiển bên trên. Mô hình đe dọa DFD (Data Flow Diagram) cho kiến trúc điển hình nêu trên được
xác định như sau:
Hình 3. Mô hình DFD kiến trúc IoT - SDN
Đối với các thiết bị IoT có tích hợp SDN có thể đối xử như là kết nối qua chuyển mạch SDN với một cổng ra,
qua đó có thể áp dụng nguyên sơ đồ DFD đã được phân tích ở trên.
- Dương Thị Vân, Trần Đức Thắng, Nguyễn Hoàng Trung, Đỗ Mạnh Quân, Nguyễn Như Sơn 293
4.2. Phương pháp phân tích
Trong phạm vi nghiên cứu, chúng tôi đề xuất sử dụng công cụ Threat Modeling Tool (TMT) của Microsoft
[20]. Mô hình TMT do Microsoft đề xuất, được sử dụng phổ biến rộng rãi, nhưng chưa được ứng dụng trong phân tích
an ninh cho mô hình IoT-SDN. Các phiên bản được cải tiến trong nhiều năm, phiên bản mới nhất năm 2016 cho phép
xây dựng sơ đồ luồng dữ liệu DFD của hệ thống một cách dễ dàng, tự động phân tích an ninh dựa trên sự tương tác
giữa thành phần của mô hình để đưa ra các rủi ro có liên quan đến hệ thống, tự động phân loại các mối đe dọa xác định
được theo cách tiếp cận của mô hình STRIDE.
Với kiến trúc IoT- SDN như trên, chúng tôi xây dựng mô hình đe dọa như hình 4. Các mối đe dọa ảnh hưởng
đến các thành phần của hệ thống được TMT tự động phân tích và xác định như sau:
Hình 4. Danh sách các mối đe dọa của hệ thống IoT-SDN
Như vậy, kiến trúc IoT-SDN tuy đạt hiệu quả hơn so với kiến trúc IoT truyền thống (khi chưa tích hợp SDN) về
bảo đảm an ninh an toàn hệ thống. Tuy nhiên, thông qua việc phân tích an ninh cho mô hình DFD của hệ thống IoT-
SDN điển hình bằng công cụ TMT, phát hiện được 35 lỗi tiềm ẩn trong các thành phần của hệ thống (hình 5). Các mối
đe dọa được phân loại tương ứng theo hướng tiếp cận của mô hình STRIDE với mức độ nguy hiểm được đánh giá là
cao. Các mối đe dọa được thống kê và phân tích cụ thể khi tác động đến những thành phần của kiến trúc (Sevice, SDN
Controller, Data Storage, Switch, Router hoặc Device IoT): có 20 mối đe dọa Spoofing (Giả danh), có 3 mối đe dọa
Tampering (Can thiệp/sửa đổi), 4 mối đe dọa Information Disclosure (Đánh cắp thông tin), 4 mối đe dọa Denial of
Service (Từ chối dịch vụ), 4 mối đe dọa Elevation of Privilege (Giả quyền).
Hình 5. Thống kê các mối đe dọa phát hiện được
Hình 6. Mô tả chi tiết từng mối đe dọa
- 294 MỘT HƯỚNG PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT THEO KIẾN TRÚC MẠNG MỚI
4.3. Một số đề xuất giảm thiểu rủi ro
Trong hệ thống IoT nói chung, các thiết bị IoT chứa lớp cảm nhận gồm số lượng lớn các thiết bị dùng để thu
thập dữ liệu từ môi trường bên ngoài theo thời gian thực: Smart card, Reader, RFID, sensor. Mỗi thiết bị chứa các lỗ
hổng dẫn đến vấn đề mất an toàn cho hệ thống IoT như hiểm họa từ tin tặc, các cuộc tấn công đến các bộ cảm biến,…
các vấn đề tồn tại trong các thiết bị đầu cuối bao gồm sự rò rỉ thông tin, giả mạo [21], [22]. Vì vậy, trong phạm vi
nghiên cứu, chúng tôi đặc biệt chú trọng vào vấn đề đảm bảo an toàn bảo mật cho các thiết bị IoT. Kết hợp với kết quả
phân tích an ninh cho hệ thống IoT- SDN nêu trên, các mối đe dọa tiềm ẩn trong hệ thống được xác định, trên cơ sở đó,
chúng tôi đề xuất một số biện pháp điển hình để giảm thiểu rủi ro cho các thiết bị như sau:
• Gán danh tính cho các thiết bị và xác thực thiết bị: Khi thay đổi thiết bị hoặc một phần của thiết bị so với
một số thiết bị khác, do vậy rất khó để phân biệt được đang giao tiếp với thiết bị nào? Xác thực thiết bị bằng
cách sử dụng bảo mật lớp giao vận (TLS) hoặc giao thức an toàn IPSec, hoặc cơ sở hạ tầng phải hỗ trợ sử
dụng khóa chia sẻ trên các thiết bị. Biện pháp này cho phép giảm thiểu được mối đe dọa S (Spoofing) xảy ra
đối với thiết bị.
• Áp dụng các cơ chế giả mạo cho thiết bị, bằng cách làm cho khó có thể trích xuất các khóa và các tài liệu mã
hóa khác từ thiết bị: Nguy cơ là nếu ai đó giả mạo thiết bị (nhiễu vật lý), làm thế nào để chắc chắn thiết bị đó
không bị giả mạo. Biện pháp giảm thiểu hiệu quả nhất là modul nền tảng tin cậy cho phép lưu trữ các khóa
trong mạch, trên chip mà không thể đọc được nhưng chỉ có thể được sử dụng cho các hoạt động mã hóa mà
sử dụng khóa nhưng không bao giờ tiết lộ khóa, gọi là mã hóa bộ nhớ của thiết bị và quản lý khóa cho thiết
bị. Biện pháp này cho phép giảm thiểu được mối đe dọa T, R, I, D (Tampering, Repudiation, Information
Disclosure, Denial of Service) xảy ra đối với thiết bị.
• Quyền kiểm soát truy cập vào các thiết bị: Nếu thiết bị cho phép các hành động riêng lẻ được thực hiện dựa
trên các lệnh từ nguồn bên ngoài hoặc thậm chí các bộ cảm biến bị xâm phạm, nó cho phép cuộc tấn công
thực hiện, các hoạt động khác không thể truy cập được. Biện pháp giảm thiểu hiệu quả nhất là có kế hoạch
ủy quyền cho các thiết bị, qua đó giảm thiểu được mối đe dọa E (Elevation of Privilege) với thiết bị.
• Mã hóa lưu lượng truy cập: Tin tặc có thể lắng nghe hoặc can thiệp vào việc giao tiếp giữa thiết bị IoT với
thiết bị chuyển mạch hay bộ định tuyến hoặc đọc dữ liệu khi chuyển tiếp giữa các thiết bị, dẫn đến dữ liệu bị
giả mạo, gây quá tải đối với thiết có thêm kết nối mới. Biện pháp giảm thiểu hiệu quả là bảo mật ở cấp giao
thức, qua đó cho phép giảm thiểu được mối đe dọa T, I, D (Tampering, Information Disclosure, Denial of
Service) xảy ra đối với thiết bị.
4.4. Kết quả thu được
Với những đề xuất trên, chúng tôi áp dụng vào kiến trúc IoT- SDN điển hình như đã nêu, đồng thời sử dụng
công cụ TMT để phân an ninh và xác định những lỗ hồng còn lại sau đề xuất, kết quả thu được: có 6 mối đe dọa được
giảm thiểu, hệ thống còn 29 mối đe dọa tồn tại, giảm 8,3 % so với tổng số lượng mối đe dọa ban đầu. Kết quả nghiên
cứu đã chứng minh được sự tồn tại khách quan các mối đe dọa trong các hệ thống thực tế, các biện pháp đề xuất đã làm
thay đổi rõ rệt đến hệ thống thông qua các mối đe dọa thống kê được. Việc phát hiện sớm và có biện pháp giảm thiểu
kịp thời sẽ góp phần cải tiến an toàn bảo mật cho hệ thống.
Hình 7. Danh sách các mối đe dọa được giảm thiểu
Hình 8. Thống kê các mối đe dọa sau đề xuất
- Dương Thị Vân, Trần Đức Thắng, Nguyễn Hoàng Trung, Đỗ Mạnh Quân, Nguyễn Như Sơn 295
Hình 9. Số lượng rủi ro trước và sau đề xuất
V. KẾT LUẬN
Tính bảo mật của các hệ thống IoT rất phức tạp, do có số lượng lớn các thành phần tham gia kết nối, khả năng
tương tác giữa các thành phần của hệ thống cũng khác nhau, vì thế luôn tiềm ẩn những nguy cơ về mất an toàn thông
tin. Mô hình de dọa là điểm khởi đầu để xác định các rủi ro tiềm ẩn trong hệ thống, các rủi ro này có thể được giảm
thiểu khi được xác định trước. Sơ đồ rủi ro này là điểm khởi đầu để tiếp tục xây dựng mô hình hóa rủi ro liên quan đến
hệ thống IoT sau này. Bắt đầu với mô hình đe dọa càng sớm càng tốt để đảm bảo tính an toàn bảo mật cho hệ thống mà
không tốn thêm chi phí là mối quan tâm hàng đầu của người sử dụng cũng như các tổ chức, doanh nghiệp.
Trong khuôn khổ nghiên cứu, bài báo đã phân tích được các nguy cơ đe dọa hệ thống IoT - SDN, là hệ thống
được khuyến cáo có nhiều tính năng nâng cao an ninh an toàn cho hệ thống IoT, từ đó có được cái nhìn toàn cảnh về
các mối đe dọa tiềm ẩn, đồng thời bước đầu đưa ra những khuyến cáo nhằm gia tăng an ninh an toàn cho hệ thống IoT.
Việc ứng dụng công cụ TMT cho phép xây dựng được mô hình đe dọa, tổng hợp các nguy cơ đe dọa tiềm ẩn và phân
tích các mối đe dọa ảnh hưởng đến các thành phần để có biện pháp cải tiến, đảm bảo an ninh an toàn cho hệ thống. Các
biện pháp đề xuất giảm thiểu rủi ro bước đầu cho kết quả khả quan với số lượng các rủi ro giảm xuống, mở ra hướng
nghiên cứu tiếp theo cho nhóm tác giả tập trung vào việc giảm thiểu rủi ro cho các thành phần khác của hệ thống.
VI. LỜI CẢM ƠN
Bài báo này được hoàn thành với sự tài trợ của đề tài CS’18.16 và đề tài PTNTĐ17.07.
VII. TÀI LIỆU THAM KHẢO
[1] S. Haller, S. Karnouskos, and C. Schroth. “The Internet of Things in an Enterprise Context”. Lecture Notes in
Computer Science Vol. 5468, pp 14-28, 2009.
[2] C. Sarma, and J. Girão. “Identities in the Future Internet of Things” in Wireless Personal Communications 49.3,
2009, pp. 353-363.
[3] “Software defined networking: Definition”. https://www.opennetworking.org/sdn-resources/sdn-definition.
[4] Vandana C.P Assistant Professor, New Horizon College of Engineering. “Security improvement in IoT based on
Software Defined Networking (SDN)”. International Journal of Science, Engineering and Technology Research
(IJSETR), Volume 5, Issue 1, January.
[5] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami. “Internet of Things (IoT): A vision, architectural elements,
and future directions”. Future Generation Computer Systems, vol. 29, no. 7, pp. 1645-1660, 2013.
[6] “Open flow spec 1.3”. https://www.opennetworking.org/images/stories/downloads/sdn-resource s/onf-
specifications/openflow/openflow-spec-v1.3.0.pdf.
[7] R. Skowyra, S. Bahargam, and A. Bestavros. “Software-defined ids for securing embedded mobile devices” in
Proceedings of the Workshop of Research and Educational. pp. 84-48, 2014.
[8] N. McKeown, T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, J. Rexford, S. Shenker, and J. Turner.
“Openflow: enabling innovation in campus networks”. SIGCOMM Computer Commununication.
[9] M. Mendonc¸a, B. N. Astuto, X. N. Nguyen, K. Obraczka, and T. Turletti. “A Survey of Software-Defined
Networking: Past, Present, and Future of Programmable Networks”. IEEE 37th conference on. IEEE, 2013, pp.
311-315.
[10] R. Braga, E. Mota, and A. Passito. “Light weight DDoS flooding attack detection using NOXIO pen Flow, in
Local Computer Networks (LCN)”. 2010 IEEE 35th Conference on. IEEE, 2010, pp. 408-415.
- 296 MỘT HƯỚNG PHÂN TÍCH AN NINH CHO HỆ THỐNG IOT THEO KIẾN TRÚC MẠNG MỚI
[11] H. Jafarian, E. Al-Shaer, and Q. Duan. “Open flow random host mutation: transparent moving target defense
using software defined networking” in Proceedings of the first workshop on Hot topics in software defined
networks, ACM, 2012, pp. 127-132.
[12] Openflow. http://archive.openflow.org/wp/learnmore/.
[13] S. Hernan et al.. “Uncover Security Design Flaws Using The STRIDE”. http://msdn.microsoft.com/en-
gb/magazine/cc163519.aspx. 2006.
[14] “Threat Analysis for the SDN Architecture”. https://www.opennetworking.org/, Version 1.0, 2016.
[15] M. Dabbagh, B. Hamdaoui, M. Guizani, A. Rayes. “Software-Defined Networking Security: Pros and Cons”.
IEEE Communications, 2015, vol. 53, pp. 73-79.
[16] Ruffty, W. Hommel, F. Eye. “A STRIDE-based Security Architecture for Software-Defined Networking”. ICN,
2016.
[17] Yuhong Li, Xiang Su, Jukka Riekki, Theo Kanter, Rahim Rahmani. “A SDN-based architecture for horizontal
Internet of Things services”. IEEE International Conference on Communications (ICC), 2016.
[18] Schneier Bruce. “Attack Trees”. Dr. Dobb's Journal of Software Tools 24, 12 (December 1999): 21-29.
[19] Schneier Bruce. “Secrets and Lies: Digital Security in a Networked World”. John Wiley & Sons, 2000.
[20] “SDL Threat Modeling Tool”. https://www.microsoft.com/enus/sdl/adopt/threatmodeling.aspx , [Online; accessed
9-November-2015.
[21] SHEN changxiang, ZHANG Huanguo and FENG Dengguo. “Literature Review of Information Security”.
Science in China Series E: Information Sciences), vol.37, no.2, 2007, pp.129-150
[22] Xu Xiaohui. ‟Study on Security Problems and Key Technologies of The Internet of Things”, International
Conference Computational and Information Sciences, 2013.
A SECURITY ANALYSIS APPROACH FOR THE IOT SYSTEM UNDER THE NEW
NETWORK ARCHITECTURE
Duong Thi Van, Tran Duc Thang, Nguyen Hoang Trung, Do Manh Quan, Nguyen Nhu Son
Abstract: IoT (Internet of Things) is a prominent technology of the century, changing the lives of individuals and businesses.
Ensuring the security of the participants in the IoT environment is an urgent need and a great challenge for researchers and
developers. The Software Defined Network (SDN) is a new network architecture, which provides the ability to dynamically address
issues related to IoT's increased demand. A number of studies have been carried out, suggesting that the SDN-based IoT
architecture is designed to enhance IoT security policies, but the integrated architecture still has potential risks. In this paper, we
propose a security analysis approach for the IoT system under the new SDN (IoT-SDN) network architecture using Microsoft's TMT
tool, to identify potential threats and to provide recommend to prevent, minimize the threat to network security. Experimental results
demonstrate the objective existence of risks in real systems. An early detection threats and intime method could improve the security
for this new technology.
Keywords: Architecture IoT, Model STRIDE, Architecture SDN, Security in IOT, Countermeasures.
nguon tai.lieu . vn
