Cơ chế bảo mật và những thách thức an ninh trong IoT

04/05/2021 08:56

Internet of Things (IoT) đã tạo ra những thay đổi đáng kể trong thế giới thực và thâm nhập tất cả các khía cạnh của cuộc sống con người.

Thuật ngữ “Internet of things” thời gian gần đây xuất hiện khá nhiều và thu hút không ít sự quan tâm chú ý của thế giới công nghệ, sự bùng nổ của IoT trong tương lai có thể sẽ có tác động mạnh mẽ tới cuộc sống, công việc và xã hội loài người [1]. Trong hệ sinh thái IoT tồn tại hàng loạt lỗ hổng an ninh có thể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng. Cụ thể, IoT tạo ra một môi trường thông minh trong đó mỗi đối tượng tham gia tự tương tác và giao tiếp qua Internet và không có cơ quan tập trung để kiểm soát các đối tượng [4].

Một nghiên cứu gần đây của OWASP (Open Web Application Security Project) đã chỉ ra rằng 75% thiết bị IoT bao gồm cả các thiết bị được tích hợp trong giao thông tự hành, các hệ thống giám sát, nhà thông minh có nguy cơ bị tin tặc tấn công và xâm hại. Các phương pháp bảo mật truyền thống như IPSec, PKI, cơ chế trao đổi khóa Diffie - Hellman đòi hỏi khối lượng tính toán lớn và không phù hợp để tích hợp trong các thiết bị IoT vốn bị hạn chế về hiệu năng, năng lượng và không gian lưu trữ [8]. Bên cạnh đó, sự bất đồng nhất về chuẩn giao thức, cơ sở hạ tầng giữa các nhà sản xuất cũng dẫn đến nhiều khó khăn đối với việc xây dựng một giải pháp hoàn thiện về an ninh cho mạng IoT hiện đại [2].

Cơ chế bảo mật và những thách thức an ninh trong IoT - Ảnh 1.

Cơ chế bảo mật trong mạng Internet vạn vật IoT

Cũng như các hệ thống truyền thống khác, mục đích cuối cùng của an ninh trong IoT là đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, xác thực dữ liệu và thông tin. Phần

này của bài viết sẽ giới thiệu các cơ chế bảo mật đồng thời cũng nêu ra những vấn đề thách thức còn tồn tại nhằm nâng cao tối đa hiệu quả an ninh trong IoT.

Phương pháp mã hoá

Việc mã hoá cần các thuật toán có mức độ phức tạp cao nhưng cũng cần đáp ứng những yêu cầu về hiệu suất xử lý của thiết bị. Hiện nay mã hoá đối xứng và bất đối xứng chính là hai phương pháp được sử dụng phổ biến, một số hệ thống kết hợp cả hai phương pháp trên để nhằm tận dụng các ưu điểm của chúng.

Mã hóa đối xứng (Symmetric Encryption) như AES (Advanced Encryption Standard), Triple DES (Triple Data Encryption Algorithm) hoặc IDEA (International Data Encryption Algorithm) là những kỹ thuật sử dụng chung một khóa bí mật. Ưu điểm của nó là khối lượng tính toán ít phù hợp cho các thiết bị cấu hình thấp. Tuy nhiên mã hóa đối xứng có tính bảo mật không cao. Mã hóa bất đối xứng (Asymmetric Encryption) là thuật toán sử dụng một cặp khóa, khóa công khai và khóa bí mật. Khóa công khai được dùng mã hóa còn khóa bí mật được dùng giải mã. Mã hóa bất đối xứng phổ biến như RSA có độ phức tạp và khối lượng tính toán lớn hơn nhiều lần so với mã hóa đối xứng. Thuật toán trao đổi khóa Diffie - Hellman cho phép thiết lập một khóa bí mật chung để mã hóa dữ liệu trên kênh truyền thông không an toàn.

Trong các hệ thống hiện đại, bảo mật thông tin được thực hiện dựa trên hai cơ chế End-to-End (E2E) và By-Hop. Trong cơ chế E2E (thường được áp dụng ở tầng ứng dụng), việc mã hóa và giải mã chỉ được tiến hành bởi bên gửi và bên nhận. Với cơ chế By-Hop (thường được áp dụng ở tầng mạng), việc mã hóa và giải mã sẽ được thực hiện theo từng chặng. Đối với môi trường IoT, tầng mạng và tầng ứng dụng có quan hệ mật thiết với nhau. Thông thường, E2E được sử dụng với các yêu cầu bảo mật cao và By-Hop có thể đáp ứng các yêu cầu bảo mật ở mức thấp hơn [7].

Cơ chế bảo mật và những thách thức an ninh trong IoT - Ảnh 2. — So sánh một số thuật toán mã hoá đối xứng và bất đối xứng cơ bản [7]

An ninh thông tin lớp truyền thông

Lớp truyền thông kết nối đảm bảo dữ liệu được truyền/nhận an toàn dù tại lớp vật lý (Wifi, 802.15.4 hoặc Ethernet), lớp mạng (IPv6, Modbus hoặc OPC-UA) hoặc lớp ứng dụng (MQTT, CoAP, web-sockets). Một số vấn đề an ninh cần lưu ý trên lớp này:

Thiết lập kết nối với đám mây: Việc mở cổng tường lửa chỉ cần thiết khi kết nối đến một dịch vụ nào đó. Thiết bị được điều khiển từ xa thông qua thiết lập kênh truyền hai chiều giữa chúng và đám mây, có thể xem xét sử dụng mạng riêng ảo (VPN) để truy cập vào thiết bị IoT, điều đó cũng đồng nghĩa với việc cho phép các dịch vụ, cá nhân hoặc một mạng khác tác động vào các tài nguyên bên trong mạng.

Bảo mật thông điệp: Các giao thức bậc thấp dựa trên thông điệp là lựa chọn tốt cho các thiết bị IoT với các tùy chọn cho việc mã hóa hai lần (Double Encrypt), xếp hàng, lọc và thậm chí chia sẻ với bên thứ ba. Với việc đánh nhãn chính xác, mỗi thông điệp có thể được xử lý theo chế độ bảo mật thích hợp. Truyền thông điệp cùng với các quyền kiểm soát truy cập, khả năng bảo mật của thông điệp là giải pháp an ninh cần thiết trên lớp truyền thông của IoT [7].

Mô hình bảo mật IPSec và TSL/SSL

TLS/SSL và IPSec là hai giao thức được sử dụng phổ biến nhất để đáp ứng các yêu cầu về an toàn an ninh như tính toàn vẹn (thông tin không bị thay đổi trong quá trình truyền), tính xác thực (người nhận có thể chứng thực được nguồn gốc của thông tin) và tính bảo mật (dữ liệu được mã hóa để đảm bảo không bị nghe trộm trên đường truyền). Trong mô hình TCP/IP, TSL/SSL được thiết kế nằm ở giữa tầng vận chuyển và tầng ứng dụng. Trong khi đó, IPSec là cơ chế bảo mật ở tầng Internet [6].

An ninh dữ liệu cảm biến

Nhiệm vụ quan trọng nhất của tầng cảm biến là đảm bảo tính riêng tư của người sử dụng. Tính riêng tư được thực hiện dựa trên một số nguyên tắc cơ bản như người dùng phải biết rằng dữ liệu liên quan đến họ đang được thu nhận bởi các thiết bị cảm biến, người dùng có quyền quyết định dừng hoặc tiếp tục quá trình thu nhận, thông tin cá nhân của người dùng phải được giữ kín [5]. Sau đây là một số vấn đề an ninh trên lớp thiết bị cảm biến trong IoT:

Thiết bị “thông minh”: Kết nối hiệu quả và an toàn phải được cung cấp bởi một thiết bị “thông minh” có khả năng xử lý bảo mật, mã hóa, xác thực, bộ đếm thời gian, bộ nhớ đệm, proxy, tường lửa,... Do đó, thiết bị phải đủ mạnh để có thể hoạt động trong môi trường IoT.

Xử lý ở biên: Thiết bị thông minh cung cấp sức mạnh, khả năng phát triển, sự tiện dụng, hữu ích theo thời gian, có thể xử lý dữ liệu cục bộ trước khi nó được gửi tới đám mây, hạn chế đưa trực tiếp dữ liệu lớn vào đám mây, thông tin nhạy cảm không cần phải được gửi tới đám mây mà dữ liệu sẽ được xử lý, đóng gói thành các thông điệp rời rạc và được gửi an toàn đến các đối tượng khác nhau. Việc xử lý tốt ở lớp thiết bị sẽ giúp tăng cường an ninh mạng lưới tổng thể [7].

An ninh lớp hỗ trợ, điện toán đám mây

Lớp hỗ trợ đề cập đến phần mềm và công nghệ phụ trợ cho các giải pháp IoT, nơi mà dữ liệu từ thiết bị được thu thập, phân tích, xử lý và hiển thị theo những tiêu chuẩn, định dạng được định nghĩa từ trước. Lớp hỗ trợ và đặc biệt điện toán đám mây được coi là những yếu tố then chốt cho việc áp dụng và phổ biến rộng rãi của IoT.

CácvấnđềcầnlưuývềanninhIoTtrênlớphỗtrợvà dịch vụ đám mây gồm định danh, chứng thực và mã hóa cho thiết bị, máy móc. Người dùng truy cập các dịch vụ đám mây thường sử dụng hai phương thức xác thực như mật khẩu kết hợp với cơ chế tạo mật khẩu một lần, còn đối với thiết bị máy móc thì xử lý các chứng thư số chắc chắn đem lại hiệu quả cao hơn. Chứng thư số sử dụng hệ thống xác thực bất đối xứng, không chỉ xác thực một giao dịch mà còn mã hóa kênh từ thiết bị tới đám mây trước khi xác thực. Ngoài ra, nó còn cung cấp mã hoá định danh mà rất khó đạt được với user-id/password thông thường [7].

An ninh lớp ứng dụng

Nhu cầu bảo mật của các ứng dụng sẽ khác nhau. Do đó, việc chia sẻ dữ liệu giữa các nền tảng công nghệ cần có sự thống nhất. Đây là một điểm quan trọng phục vụ cho việc xử lý dữ liệu lớn và kiểm soát các hoạt động nhằm đảm bảo an ninh và độ tin cậy cho mạng IoT như bảo vệ sự riêng tư, kiểm soát truy cập dữ liệu, bảo vệ thiết bị điện tử, rò rỉ theo dõi thông tin và bản quyền của phần mềm. Một số nguy cơ thường gặp đối với lớp ứng dụng như khai thác lỗ hổng tràn bộ nhớ đệm, cross-site scripting, SQL injection, các lỗi mật khẩu đơn giản hay lỗ hổng leo thang đặc quyền và tấn công DoS [7].

Các giải pháp đã được đề xuất để đảm bảo vấn đề an ninh ở lớp ứng dụng như sau:

- Ứng dụng cần phải sử dụng công nghệ lập trình an toàn với các phần mềm kiểm tra, chống virus nhằm xác định lỗ hổng dịch vụ và tất cả các loại mã độc có thể tấn công.

- Dữ liệu cần được xác thực, phát triển bộ nhớ đệm để ngăn chặn tấn công tới dữ liệu.

- Thiết lập một cơ chế kiểm tra phiên cho hai hoặc nhiều yêu cầu từ cùng một nguồn để hạn chế tấn công phát lại thông điệp.

- Kiểm tra ranh giới dữ liệu, mã hóa dữ liệu, kiểm soát truy cập và các biện pháp tương tự được sử dụng để tránh rò rỉ thông tin trong dữ liệu người dùng. Bên cạnh đó, tính sẵn sàng của thiết bị, dữ liệu và dịch vụ là một khía cạnh quan trọng của ứng dụng IoT. Cơ chế kiểm soát của cấu trúc chiều dọc có thể bảo vệ các hệ thống khỏi tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán [5].

Những thách thức an ninh trong IoT

Những năm trở lại đây, rất nhiều cuộc tấn công mạng với quy mô lớn đã xảy ra trên thế giới. Theo như phân tích của iot-analytics.com, cuối năm 2016, các cuộc tấn công DDoS quy mô lớn vào các máy chủ của DYN (nhà cung cấp dịch vụ DNS lớn của Mỹ) đã làm suy giảm nhiều dịch vụ trực tuyến phổ biến ở Mỹ, cho thấy các thiết bị IoT có thể trở thành công cụ cho các tin tặc thực hiện tấn công mạng [4]. Tại Việt Nam, cuối năm 2014, thông tin của hơn 1.000 camera đã bị đánh cắp và công bố rộng rãi. Nguyên nhân là do người dùng chưa quan tâm đúng mức đến cơ chế bảo mật và an ninh, không thay đổi mật khẩu mặc định của hệ thống trước khi kết nối Internet.

Theo thống kê của hãng Kaspersky và Symantec, tổng số mẫu phần mềm độc hại nhắm mục tiêu đến các thiết bị thông minh đã lên tới hơn 7.000, trong đó hơn một nửa số này xuất hiện vào năm 2017 và Việt Nam nằm trong số các nước có số người dùng di động bị mã độc tấn công nhiều nhất thế giới. Thời gian vừa qua, tập đoàn VNPT cũng ghi nhận nhiều cuộc tấn công từ chối dịch vụ phân tán (DDoS) từ thiết bị IoT vào các trang thương mại điện tử, tài chính, ngân hàng hoặc thậm chí là nhà cung cấp dịch vụ ISP. Theo thống kê của VNPT, số máy chủ C&C (command and control) điều khiển mạng bonet đã lên tới hơn 100 và có khả năng tăng cao trong các năm tiếp theo [7].

Rõ ràng, IoT là lĩnh vực nghiên cứu tiềm năng nhưng cũng ẩn chứa nhiều thách thức cần giải quyết cụ thể như sau: (1) Kiến trúc an ninh IoT: Mặc dù vẫn được duy trì một cách ổn định nhưng việc xây dựng một kiến trúc an toàn với

các cơ chế bảo mật theo chiều sâu của hệ thống vẫn là nhiệm vụ quan trọng mà các nhà nghiên cứu cần phải giải quyết.

(2) Cơ chế trao đổi và quản lý khóa: Đây là cơ sở quan trọng để nâng cao khả năng bảo mật nhưng cũng là khía cạnh khó khăn nhất của an ninh mật mã. Thuật toán hạng nhẹ hoặc các thiết bị cảm biến có hiệu năng cao vẫn chưa được triển khai trong thực tế tạo ra thách thức thực sự với cộng đồng phát triển IoT.

(3) Luật an ninh và các quy định: Hiện tại luật pháp vẫn chưa quan tâm đúng mức đến các vấn đề kỹ thuật của các hệ thống IoT, đặc biệt là các vấn đề liên quan đến thông tin quốc gia, bí mật doanh nghiệp và sự riêng tư cá nhân. Đưa ra các quy định thúc đẩy sự phát triển IoT đúng hướng, mạnh mẽ và hiệu quả là một trong những đòi hỏi cấp thiết hiện nay.

(4) Yêu cầu đối với các ứng dụng đang phát triển: với sự phát triển của mạng cảm biến không dây, công nghệ điện toán đám mây, công nghệ truyền thông mạng, lý thuyết điều khiển phối hợp thời gian thực và RFID, IoT đã và đang phát triển mạnh mẽ. Các ứng dụng cũng được tập trung đầu tư nhưng việc thiếu quy trình kiểm định và đánh giá tính an toàn của ứng dụng đã làm phát sinh các lỗ hổng bảo mật mới.

(5) Công tác quản lý IoT chưa được thực hiện đúng cách. Bên cạnh đó những vấn đề về bảo mật cũng trở nên phức tạp và khó khăn hơn khi liên quan đến các thiết bị vốn có ràng buộc chặt chẽ về tài nguyên và năng lượng [7].

Kết luận

An toàn và an ninh thông tin là một lĩnh vực vô cùng rộng lớn, các giải pháp công nghệ chỉ mang tính tương đối và khó có thể giải quyết vấn đề một cách triệt để. Đối với IoT, vấn đề trên càng trở nên phức tạp bởi sự tham gia kết nối của hàng tỉ thiết bị với số lượng lớn người dùng khác nhau. Viễn cảnh thế giới công nghệ đầy tiềm năng nhưng cũng ẩn chứa nhiều nguy cơ, khó khăn đã và đang đặt ra nhiều thách thức đối với tất cả các nhà khoa học trong nước và quốc tế.

Tài liệu tham khảo:

[1] Luigi Atzori, Antonio Iera, Giacomo Morabito “The Internet of Things: A survey” Computer Networks”, vol. 54, no.15, 2010.

[2] “Internet of things”, at https://en.wikipedia.org/wiki/Internet_of_things.

[3] Yashaswini J, “A Review on IoT Security Issues and Countermeasures”, Orient.J. Comp. Sci. and Technol, May 17, 2017.

[4] “Understanding IoT Security - IoT Security Architecture on the Device and Communication Layers”, iot-analytics.com

[5] Shancang Li & Li Da Xu, “Securing the Internet of things”, MPS Limited, Chennai, India, 2017.

[6] Siham Al Hinai, Ajay Vikram Singh, “Internet of Things: Architecture, Security challenges and Solutions”, 987-1-5386-0514-1/17 IEEE, 2017.

[7] Nguyễn Văn Tánh, Trần Quang Đức, Nguyễn Linh Giang, Luangoudom Sonxay, “Internet of Thing và những vấn đề thách thức an ninh thông tin”,Kỷ yếu Hội nghị Quốc gia lần thứ X về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR), Đà Nẵng, ngày 17-18/08/2017.

[8] https://www.owasp.org/index.php/OWASP_Board_Votes.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 4 - tháng 4/2021)

Nổi bật Tạp chí Thông tin & Truyền thông

Bộ trưởng Nguyễn Mạnh Hùng: Kinh nghiệm để chuyển đổi số hiệu quả

Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng, Phó Chủ tịch Uỷ ban Quốc gia về Chuyển đổi số (CĐS) đã nhấn mạnh 8 kinh nghiệm quý để thúc đẩy CĐS quốc gia tại phiên họp thứ 8 của Uỷ ban ngày 24/4/2024.
Tiến tới khung pháp lý và quản lý tài sản ảo tại Việt Nam

Việt Nam đã bắt đầu tham gia vào việc xây dựng khung pháp lý liên quan đến tài sản ảo (Virtual Asset - VA). Chính phủ và các cơ quan ban ngành liên quan đã tiến hành nghiên cứu và phối hợp trong lĩnh vực này.
FSI đẩy mạnh hoạt động giao thương số giữa Việt Nam - Lào

Trong chuỗi chuyến công tác tại Việt Nam, Bộ trưởng Bộ Công Thương Lào Malaithong Kommasith đã đến thăm và làm việc tại Công ty CP Đầu tư thương mại và Phát triển Công nghệ FSI (FSI).
Đào tạo, phổ cập blockchain và AI cho 1 triệu lượt người

Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII, trực thuộc Hiệp hội Blockchain Việt Nam (VBA), đặt mục tiêu đào tạo, phổ cập blockchain và AI cho 1 triệu lượt người đến năm 2030, trong đó bao gồm 100.000 sinh viên tại 30 trường Đại học (ĐH) trên cả nước.
‏Giải pháp triển khai thiết bị mạng Việt Nam tiết kiệm 10 lần thời gian cài đặt ‏

Ngày 24/4, VinCSS đã ra mắt VinCSS FDO Network Deployment Solution, phát triển trên công nghệ FDO của FIDO Alliance, giúp doanh nghiệp (DN) triển khai hạ tầng nhanh, an toàn và rẻ gấp nhiều lần so với thao tác thủ công hiện nay.‏

Đừng bỏ lỡ

Các bộ, ngành, địa phương tập trung 6 nhiệm vụ trọng tâm thúc đẩy chuyển đổi số năm 2024

Thủ tướng Chính phủ Phạm Minh Chính đã giao 6 nhiệm vụ trọng tâm cho các bộ, ngành, địa phương nhằm thúc đẩy chuyển đổi số (CĐS) trong thời gian tới.
Việt Nam coi trọng chia sẻ kinh nghiệm phát triển vệ tinh viễn thông

Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng đã đề nghị Thales Alenia Space Italy chia sẻ các kinh nghiệm về ứng dụng điển hình và kinh doanh hiệu quả vệ tinh cho Việt Nam.
Tương lai của ASEAN là ASEAN số

Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng đã nhận định về tương lai của ASEAN là ASEAN số và chia sẻ 3 quan điểm hợp tác số trong ASEAN tại Diễn đàn Tương lai ASEAN được tổ chức ngày 23/4/2024.
Những giải pháp "lá chắn" trong kỷ nguyên số

Hiện nay, các tập đoàn, tổ chức và doanh nghiệp (DN) đều sở hữu những dữ liệu lớn, với hệ thống thông tin khổng lồ và cực kỳ quan trọng. Đây cũng chính là “miếng mồi” mà các nhóm tội phạm mạng thường xuyên hướng đến.
"Con đường văn chương" của nhà văn Nguyễn Huy Tưởng

Đọc nhật ký “con đường văn sĩ”, độc giả có thể biết được hành trình tham gia các hoạt động xã hội, các hoạt động yêu nước trước cách mạng như phong trào Truyền bá quốc ngữ đến Hướng đạo rồi Văn hóa cứu quốc của nhà văn Nguyễn Huy Tưởng.
Người dùng bắt đầu có xu hướng tự bảo vệ bản thân khỏi nguy hiểm mạng

Theo khảo sát nghiên cứu của Kapersky, 90% người dùng cho biết thiết bị của họ có thể bị nhiễm phần mềm độc hại nếu họ truy cập các liên kết hoặc tệp đính kèm từ các nguồn không xác định.
Nhu cầu khí đốt tự nhiên sẽ tăng cao bởi sự bùng nổ của AI

Các nhà phân tích tại ngân hàng đầu tư Tudor Pickering Holt & Co cho biết trong một báo cáo ngày 23/4 rằng việc sử dụng năng lượng tăng đột biến từ các trung tâm dữ liệu trí tuệ nhân tạo (AI) sẽ thúc đẩy đáng kể nhu cầu khí đốt tự nhiên trong nửa cuối thập kỷ.
Mỹ và Việt Nam hội thảo thúc đẩy quản lý AI có trách nhiệm

Hội thảo đánh dấu một bước ngoặt quan trọng trong việc thúc đẩy phát triển và chính sách về AI có trách nhiệm trên toàn khu vực Nam và Đông Nam Á.
Bia Trúc Bạch kiệt tác chinh phục đỉnh cao

Khám phá một kiệt tác, một di sản dẫn lối tinh hoa. Hoa Bia Saaz quý tộc vùng Zatec một kinh nghiệm bậc thầy tạo ra hương vị tinh túy bậc nhất đẳng cấp vượt thời gian, trải nghiệm đỉnh cao hoàn mỹ. Bia Trúc Bạch kiệt tác chinh phục đỉnh cao
Trách nhiệm tuân thủ Luật SHTT và tôn trọng sự sáng tạo của người khác

Nền kinh tế số đang chứng kiến sự phát triển mạnh mẽ của những ý tưởng sáng tạo nội dung và các sản phẩm độc đáo. Tuy nhiên, sự sáng tạo chỉ có thể bền vững khi quyền sở hữu trí tuệ (SHTT) đối với sản phẩm sáng tạo được bảo vệ và tôn trọng.