Thực tiễn bảo mật cho ngôi nhà thông minh
Diễn đàn - Ngày đăng : 13:52, 19/07/2018
Ảnh minh họa (Nguồn: http://use-tech-wisely.com)
Khi các thiết bị trong nhà kết nối với Internet, ngôi nhà sẽ dễ bị tin tặc tấn công. Parks Associates dự đoán hơn 50 triệu ngôi nhà sẽ được kết nối vào năm 2020 và ưu tiên hàng đầu của các nhà phát triển là phải bảo vệ dữ liệu khách hàng.
Đội ngũ kỹ thuật tại Thread Group ưu tiên triển khai các giao thức bảo mật. Hãng này nêu các hình thức bảo mật cho ngôi nhà thông minh như sau:
• Khóa mạng
• Các thỏa thuận chính
• Uỷ quyền và xác thực
• Bảo trì
• Bảo vệ lớp ứng dụng
• Giao thức
Hãy nghiên cứu kỹ từng mục, sử dụng mật mã đối xứng dựa trên khóa mạng để đảm bảo bảo vệ toàn diện thông qua bảo vệ tính toàn vẹn và mã hóa tải trọng được áp dụng cho mỗi tin nhắn.
Để ngăn chặn các cuộc tấn công trung gian, bảo vệ tính toàn vẹn hoạt động bằng cách nối thêm một lượng nhỏ dữ liệu được gọi là thẻ kiểm tra tính toàn vẹn cho mỗi thông báo. Sau đó, thẻ được xác minh để chứng tỏ rằng thông báo được phát ra đúng nguồn và không bị giả mạo khi chuyển tiếp.
Ngoài ra, mã hóa dữ liệu lưu chuyển sẽ xáo trộn những nội dung riêng tư hoặc nhạy cảm để tin tặc không thể đọc được. AES-CCM cung cấp cả hai tính năng này và nên được sử dụng cho tất các các tầng mạng để đảm bảo mức bảo mật cao.
Bất cứ khi nào một thiết bị mới được thêm vào mạng, nó phả được cấp khóa an toàn để xử lý các thông báo như được mô tả ở trên.
Trao đổi mã xác minh mật khẩu (PAKE) sử dụng mã bảo mật thấp (ví dụ: mật khẩu) kết hợp với mật mã không đối xứng để tạo ra một bí mật chia sẻ có độ bảo mật cao. Khi một thiết bị mới được cấp khóa mạng, bí mật chia sẻ bảo mật cao được sử dụng để mã hóa tin nhắn chứa khóa.
Xác thực là một bước quan trọng khác trong quá trình thiết lập, khi người dùng nhập mật khẩu của thiết bị mới vào thiết bị xác thực, thường là điện thoại thông minh. Mật khẩu có thể được in trên chính thiết bị mới như mã QR, có thể dễ dàng quét bằng điện thoại thông minh.
PAKE sẽ chỉ thành công nếu mật khẩu đưa vào điện thoại thông minh khớp với mật khẩu của thiết bị mới, đảm bảo rằng thiết bị mà họ vừa đưa vào chính là thiết bị mà họ đã quét trên điện thoại thông minh. Thiết bị mới kết nối mạng ở nhà nhờ khóa mạng.
Sử dụng bộ đếm tuần tự thay đổi đổi khóa mạng để bảo đảm tính bảo mật của tin nhắn, ngay cả khi kẻ tấn công có khóa mạng, chúng chỉ tiếp cận được rất ít tin nhắn. Không cần phải thay đổi khóa toàn mạng thường xuyên, nhưng phải có phương tiện để cập nhật khóa đó. Tốt nhất, khóa mạng cần được cập nhật mỗi khi thiết bị đươc bán hay thanh lý.
Xây dựng một lớp mạng bảo mật cung cấp một nền tảng quan trọng để xây dựng các thiết bị được kết nối an toàn, nhưng điều quan trọng là lớp ứng dụng giúp tăng tính bảo mật. Sử dụng các khối bảo mật thông thường, ví dụ, giao thức truyền CoAP và bảo mật DTLS, cho phép thực hiện hiệu quả mã lớp ứng dụng an toàn.
Khi nói đến bảo mật, không cần thiết cho các nhà sản xuất thiết bị phát minh lại bánh xe. Thay vào đó, chúng có thể xây dựng trên các giao thức chuẩn được thiết lập tốt, như giao thức TLS, được sử dụng để bảo mật các giao dịch Internet hiện nay và giao thức J-PAKE hiện đang được chuẩn hóa và tính bảo mật đã được các nhà mật mã xác nhận.