Cơ chế bảo mật và những thách thức an ninh trong IoT

Internet of Things (IoT) đã tạo ra những thay đổi đáng kể trong thế giới thực và thâm nhập tất cả các khía cạnh của cuộc sống con người.
08:56 AM 04/05/2021 In bài viết này

Thuật ngữ “Internet of things” thời gian gần đây xuất hiện khá nhiều và thu hút không ít sự quan tâm chú ý của thế giới công nghệ, sự bùng nổ của IoT trong tương lai có thể sẽ có tác động mạnh mẽ tới cuộc sống, công việc và xã hội loài người [1]. Trong hệ sinh thái IoT tồn tại hàng loạt lỗ hổng an ninh có thể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng. Cụ thể, IoT tạo ra một môi trường thông minh trong đó mỗi đối tượng tham gia tự tương tác và giao tiếp qua Internet và không có cơ quan tập trung để kiểm soát các đối tượng [4]. 

Một nghiên cứu gần đây của OWASP (Open Web Application Security Project) đã chỉ ra rằng 75% thiết bị IoT bao gồm cả các thiết bị được tích hợp trong giao thông tự hành, các hệ thống giám sát, nhà thông minh có nguy cơ bị tin tặc tấn công và xâm hại. Các phương pháp bảo mật truyền thống như IPSec, PKI, cơ chế trao đổi khóa Diffie - Hellman đòi hỏi khối lượng tính toán lớn và không phù hợp để tích hợp trong các thiết bị IoT vốn bị hạn chế về hiệu năng, năng lượng và không gian lưu trữ [8]. Bên cạnh đó, sự bất đồng nhất về chuẩn giao thức, cơ sở hạ tầng giữa các nhà sản xuất cũng dẫn đến nhiều khó khăn đối với việc xây dựng một giải pháp hoàn thiện về an ninh cho mạng IoT hiện đại [2].

Cơ chế bảo mật và những thách thức an ninh trong IoT - Ảnh 1.

Cơ chế bảo mật trong mạng Internet vạn vật IoT

Cũng như các hệ thống truyền thống khác, mục đích cuối cùng của an ninh trong IoT là đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, xác thực dữ liệu và thông tin. Phần

này của bài viết sẽ giới thiệu các cơ chế bảo mật đồng thời cũng nêu ra những vấn đề thách thức còn tồn tại nhằm nâng cao tối đa hiệu quả an ninh trong IoT.

Phương pháp mã hoá

Việc mã hoá cần các thuật toán có mức độ phức tạp cao nhưng cũng cần đáp ứng những yêu cầu về hiệu suất xử lý của thiết bị. Hiện nay mã hoá đối xứng và bất đối xứng chính là hai phương pháp được sử dụng phổ biến, một số hệ thống kết hợp cả hai phương pháp trên để nhằm tận dụng các ưu điểm của chúng.

Mã hóa đối xứng (Symmetric Encryption) như AES (Advanced Encryption Standard), Triple DES (Triple Data Encryption Algorithm) hoặc IDEA (International Data Encryption Algorithm) là những kỹ thuật sử dụng chung một khóa bí mật. Ưu điểm của nó là khối lượng tính toán ít phù hợp cho các thiết bị cấu hình thấp. Tuy nhiên mã hóa đối xứng có tính bảo mật không cao. Mã hóa bất đối xứng (Asymmetric Encryption) là thuật toán sử dụng một cặp khóa, khóa công khai và khóa bí mật. Khóa công khai được dùng mã hóa còn khóa bí mật được dùng giải mã. Mã hóa bất đối xứng phổ biến như RSA có độ phức tạp và khối lượng tính toán lớn hơn nhiều lần so với mã hóa đối xứng. Thuật toán trao đổi khóa Diffie - Hellman cho phép thiết lập một khóa bí mật chung để mã hóa dữ liệu trên kênh truyền thông không an toàn.

Trong các hệ thống hiện đại, bảo mật thông tin được thực hiện dựa trên hai cơ chế End-to-End (E2E) và By-Hop. Trong cơ chế E2E (thường được áp dụng ở tầng ứng dụng), việc mã hóa và giải mã chỉ được tiến hành bởi bên gửi và bên nhận. Với cơ chế By-Hop (thường được áp dụng ở tầng mạng), việc mã hóa và giải mã sẽ được thực hiện theo từng chặng. Đối với môi trường IoT, tầng mạng và tầng ứng dụng có quan hệ mật thiết với nhau. Thông thường, E2E được sử dụng với các yêu cầu bảo mật cao và By-Hop có thể đáp ứng các yêu cầu bảo mật ở mức thấp hơn [7]. 

Cơ chế bảo mật và những thách thức an ninh trong IoT - Ảnh 2.

So sánh một số thuật toán mã hoá đối xứng và bất đối xứng cơ bản [7]

An ninh thông tin lớp truyền thông

Lớp truyền thông kết nối đảm bảo dữ liệu được truyền/nhận an toàn dù tại lớp vật lý (Wifi, 802.15.4 hoặc Ethernet), lớp mạng (IPv6, Modbus hoặc OPC-UA) hoặc lớp ứng dụng (MQTT, CoAP, web-sockets). Một số vấn đề an ninh cần lưu ý trên lớp này:

Thiết lập kết nối với đám mây: Việc mở cổng tường lửa chỉ cần thiết khi kết nối đến một dịch vụ nào đó. Thiết bị được điều khiển từ xa thông qua thiết lập kênh truyền hai chiều giữa chúng và đám mây, có thể xem xét sử dụng mạng riêng ảo (VPN) để truy cập vào thiết bị IoT, điều đó cũng đồng nghĩa với việc cho phép các dịch vụ, cá nhân hoặc một mạng khác tác động vào các tài nguyên bên trong mạng.

Bảo mật thông điệp: Các giao thức bậc thấp dựa trên thông điệp là lựa chọn tốt cho các thiết bị IoT với các tùy chọn cho việc mã hóa hai lần (Double Encrypt), xếp hàng, lọc và thậm chí chia sẻ với bên thứ ba. Với việc đánh nhãn chính xác, mỗi thông điệp có thể được xử lý theo chế độ bảo mật thích hợp. Truyền thông điệp cùng với các quyền kiểm soát truy cập, khả năng bảo mật của thông điệp là giải pháp an ninh cần thiết trên lớp truyền thông của IoT [7].

Mô hình bảo mật IPSec và TSL/SSL

TLS/SSL và IPSec là hai giao thức được sử dụng phổ biến nhất để đáp ứng các yêu cầu về an toàn an ninh như tính toàn vẹn (thông tin không bị thay đổi trong quá trình truyền), tính xác thực (người nhận có thể chứng thực được nguồn gốc của thông tin) và tính bảo mật (dữ liệu được mã hóa để đảm bảo không bị nghe trộm trên đường truyền). Trong mô hình TCP/IP, TSL/SSL được thiết kế nằm ở giữa tầng vận chuyển và tầng ứng dụng. Trong khi đó, IPSec là cơ chế bảo mật ở tầng Internet [6].

An ninh dữ liệu cảm biến

Nhiệm vụ quan trọng nhất của tầng cảm biến là đảm bảo tính riêng tư của người sử dụng. Tính riêng tư được thực hiện dựa trên một số nguyên tắc cơ bản như người dùng phải biết rằng dữ liệu liên quan đến họ đang được thu nhận bởi các thiết bị cảm biến, người dùng có quyền quyết định dừng hoặc tiếp tục quá trình thu nhận, thông tin cá nhân của người dùng phải được giữ kín [5]. Sau đây là một số vấn đề an ninh trên lớp thiết bị cảm biến trong IoT:

Thiết bị “thông minh”: Kết nối hiệu quả và an toàn phải được cung cấp bởi một thiết bị “thông minh” có khả năng xử lý bảo mật, mã hóa, xác thực, bộ đếm thời gian, bộ nhớ đệm, proxy, tường lửa,... Do đó, thiết bị phải đủ mạnh để có thể hoạt động trong môi trường IoT.

Xử lý ở biên: Thiết bị thông minh cung cấp sức mạnh, khả năng phát triển, sự tiện dụng, hữu ích theo thời gian, có thể xử lý dữ liệu cục bộ trước khi nó được gửi tới đám mây, hạn chế đưa trực tiếp dữ liệu lớn vào đám mây, thông tin nhạy cảm không cần phải được gửi tới đám mây mà dữ liệu sẽ được xử lý, đóng gói thành các thông điệp rời rạc và được gửi an toàn đến các đối tượng khác nhau. Việc xử lý tốt ở lớp thiết bị sẽ giúp tăng cường an ninh mạng lưới tổng thể [7].

An ninh lớp hỗ trợ, điện toán đám mây

Lớp hỗ trợ đề cập đến phần mềm và công nghệ phụ trợ cho các giải pháp IoT, nơi mà dữ liệu từ thiết bị được thu thập, phân tích, xử lý và hiển thị theo những tiêu chuẩn, định dạng được định nghĩa từ trước. Lớp hỗ trợ và đặc biệt điện toán đám mây được coi là những yếu tố then chốt cho việc áp dụng và phổ biến rộng rãi của IoT.

CácvấnđềcầnlưuývềanninhIoTtrênlớphỗtrợvà dịch vụ đám mây gồm định danh, chứng thực và mã hóa cho thiết bị, máy móc. Người dùng truy cập các dịch vụ đám mây thường sử dụng hai phương thức xác thực như mật khẩu kết hợp với cơ chế tạo mật khẩu một lần, còn đối với thiết bị máy móc thì xử lý các chứng thư số chắc chắn đem lại hiệu quả cao hơn. Chứng thư số sử dụng hệ thống xác thực bất đối xứng, không chỉ xác thực một giao dịch mà còn mã hóa kênh từ thiết bị tới đám mây trước khi xác thực. Ngoài ra, nó còn cung cấp mã hoá định danh mà rất khó đạt được với user-id/password thông thường [7].

An ninh lớp ứng dụng

Nhu cầu bảo mật của các ứng dụng sẽ khác nhau. Do đó, việc chia sẻ dữ liệu giữa các nền tảng công nghệ cần có sự thống nhất. Đây là một điểm quan trọng phục vụ cho việc xử lý dữ liệu lớn và kiểm soát các hoạt động nhằm đảm bảo an ninh và độ tin cậy cho mạng IoT như bảo vệ sự riêng tư, kiểm soát truy cập dữ liệu, bảo vệ thiết bị điện tử, rò rỉ theo dõi thông tin và bản quyền của phần mềm. Một số nguy cơ thường gặp đối với lớp ứng dụng như khai thác lỗ hổng tràn bộ nhớ đệm, cross-site scripting, SQL injection, các lỗi mật khẩu đơn giản hay lỗ hổng leo thang đặc quyền và tấn công DoS [7].

Các giải pháp đã được đề xuất để đảm bảo vấn đề an ninh ở lớp ứng dụng như sau:

- Ứng dụng cần phải sử dụng công nghệ lập trình an toàn với các phần mềm kiểm tra, chống virus nhằm xác định lỗ hổng dịch vụ và tất cả các loại mã độc có thể tấn công.

- Dữ liệu cần được xác thực, phát triển bộ nhớ đệm để ngăn chặn tấn công tới dữ liệu.

- Thiết lập một cơ chế kiểm tra phiên cho hai hoặc nhiều yêu cầu từ cùng một nguồn để hạn chế tấn công phát lại thông điệp.

- Kiểm tra ranh giới dữ liệu, mã hóa dữ liệu, kiểm soát truy cập và các biện pháp tương tự được sử dụng để tránh rò rỉ thông tin trong dữ liệu người dùng. Bên cạnh đó, tính sẵn sàng của thiết bị, dữ liệu và dịch vụ là một khía cạnh quan trọng của ứng dụng IoT. Cơ chế kiểm soát của cấu trúc chiều dọc có thể bảo vệ các hệ thống khỏi tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán [5].

Những thách thức an ninh trong IoT

Những năm trở lại đây, rất nhiều cuộc tấn công mạng với quy mô lớn đã xảy ra trên thế giới. Theo như phân tích của iot-analytics.com, cuối năm 2016, các cuộc tấn công DDoS quy mô lớn vào các máy chủ của DYN (nhà cung cấp dịch vụ DNS lớn của Mỹ) đã làm suy giảm nhiều dịch vụ trực tuyến phổ biến ở Mỹ, cho thấy các thiết bị IoT có thể trở thành công cụ cho các tin tặc thực hiện tấn công mạng [4]. Tại Việt Nam, cuối năm 2014, thông tin của hơn 1.000 camera đã bị đánh cắp và công bố rộng rãi. Nguyên nhân là do người dùng chưa quan tâm đúng mức đến cơ chế bảo mật và an ninh, không thay đổi mật khẩu mặc định của hệ thống trước khi kết nối Internet. 

Theo thống kê của hãng Kaspersky và Symantec, tổng số mẫu phần mềm độc hại nhắm mục tiêu đến các thiết bị thông minh đã lên tới hơn 7.000, trong đó hơn một nửa số này xuất hiện vào năm 2017 và Việt Nam nằm trong số các nước có số người dùng di động bị mã độc tấn công nhiều nhất thế giới. Thời gian vừa qua, tập đoàn VNPT cũng ghi nhận nhiều cuộc tấn công từ chối dịch vụ phân tán (DDoS) từ thiết bị IoT vào các trang thương mại điện tử, tài chính, ngân hàng hoặc thậm chí là nhà cung cấp dịch vụ ISP. Theo thống kê của VNPT, số máy chủ C&C (command and control) điều khiển mạng bonet đã lên tới hơn 100 và có khả năng tăng cao trong các năm tiếp theo [7].

Rõ ràng, IoT là lĩnh vực nghiên cứu tiềm năng nhưng cũng ẩn chứa nhiều thách thức cần giải quyết cụ thể như sau: (1) Kiến trúc an ninh IoT: Mặc dù vẫn được duy trì một cách ổn định nhưng việc xây dựng một kiến trúc an toàn với

các cơ chế bảo mật theo chiều sâu của hệ thống vẫn là nhiệm vụ quan trọng mà các nhà nghiên cứu cần phải giải quyết.

(2) Cơ chế trao đổi và quản lý khóa: Đây là cơ sở quan trọng để nâng cao khả năng bảo mật nhưng cũng là khía cạnh khó khăn nhất của an ninh mật mã. Thuật toán hạng nhẹ hoặc các thiết bị cảm biến có hiệu năng cao vẫn chưa được triển khai trong thực tế tạo ra thách thức thực sự với cộng đồng phát triển IoT.

(3) Luật an ninh và các quy định: Hiện tại luật pháp vẫn chưa quan tâm đúng mức đến các vấn đề kỹ thuật của các hệ thống IoT, đặc biệt là các vấn đề liên quan đến thông tin quốc gia, bí mật doanh nghiệp và sự riêng tư cá nhân. Đưa ra các quy định thúc đẩy sự phát triển IoT đúng hướng, mạnh mẽ và hiệu quả là một trong những đòi hỏi cấp thiết hiện nay.

(4) Yêu cầu đối với các ứng dụng đang phát triển: với sự phát triển của mạng cảm biến không dây, công nghệ điện toán đám mây, công nghệ truyền thông mạng, lý thuyết điều khiển phối hợp thời gian thực và RFID, IoT đã và đang phát triển mạnh mẽ. Các ứng dụng cũng được tập trung đầu tư nhưng việc thiếu quy trình kiểm định và đánh giá tính an toàn của ứng dụng đã làm phát sinh các lỗ hổng bảo mật mới.

(5) Công tác quản lý IoT chưa được thực hiện đúng cách. Bên cạnh đó những vấn đề về bảo mật cũng trở nên phức tạp và khó khăn hơn khi liên quan đến các thiết bị vốn có ràng buộc chặt chẽ về tài nguyên và năng lượng [7].

Kết luận

An toàn và an ninh thông tin là một lĩnh vực vô cùng rộng lớn, các giải pháp công nghệ chỉ mang tính tương đối và khó có thể giải quyết vấn đề một cách triệt để. Đối với IoT, vấn đề trên càng trở nên phức tạp bởi sự tham gia kết nối của hàng tỉ thiết bị với số lượng lớn người dùng khác nhau. Viễn cảnh thế giới công nghệ đầy tiềm năng nhưng cũng ẩn chứa nhiều nguy cơ, khó khăn đã và đang đặt ra nhiều thách thức đối với tất cả các nhà khoa học trong nước và quốc tế.

Tài liệu tham khảo:

[1] Luigi Atzori, Antonio Iera, Giacomo Morabito “The Internet of Things: A survey” Computer Networks”, vol. 54, no.15, 2010.

[2] “Internet of things”, at https://en.wikipedia.org/wiki/Internet_of_things.

[3] Yashaswini J, “A Review on IoT Security Issues and Countermeasures”, Orient.J. Comp. Sci. and Technol, May 17, 2017.

[4] “Understanding IoT Security - IoT Security Architecture on the Device and Communication Layers”, iot-analytics.com

[5] Shancang Li & Li Da Xu, “Securing the Internet of things”, MPS Limited, Chennai, India, 2017.

[6] Siham Al Hinai, Ajay Vikram Singh, “Internet of Things: Architecture, Security challenges and Solutions”, 987-1-5386-0514-1/17 IEEE, 2017.

[7] Nguyễn Văn Tánh, Trần Quang Đức, Nguyễn Linh Giang, Luangoudom Sonxay, “Internet of Thing và những vấn đề thách thức an ninh thông tin”,Kỷ yếu Hội nghị Quốc gia lần thứ X về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR), Đà Nẵng, ngày 17-18/08/2017.

[8] https://www.owasp.org/index.php/OWASP_Board_Votes.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 4 - tháng 4/2021)

THS. TRẦN ĐỨC TRUNG Bộ môn Kỹ thuật Viễn thông, khoa Điện - Điện tử, Đại học Giao thông Vận tải, ThS. Mai Thị Thu Hương Bộ môn Kỹ thuật Viễn thông, khoa Điện - Điện tử, Đại học Giao thông Vận tải
Xem thêm