Transcript Security in internet of things

Sec_IoT
Click to edit Master title style
Security In the Internet of Things
Môn học: Công Nghệ Mạng
Giáo viên phụ trách: Th.s Nguyễn Việt Hà
1
Click to
edit sách
Master
title style
Danh
nhóm
Họ & tên
MSSV
Trương Hoàng Ngọc Khánh
1020088
Trần Khánh Hòa
1020068
Nguyễn Thị Thương
1020226
Trần Châu Phong
1020150
Huỳnh Anh Tuấn
1020253
Nguyễn Quốc Bảo Chánh
1020024
Huỳnh Duy Thạch
1020207
Nguyễn Phạm Anh Minh
1020120
Nguyễn Đình Sơn
1020180
Nguyễn Hải Thượng
0920235
Sec_IoT
2
Click to edit Master title style
I) Tổng quan về security in
the internet of things
II) Nguy cơ hệ thống và các
hình thức tấn công
III) Cơ sở hạ tầng và kỹ thuật
an ninh trong IoTs
IV) Ứng dụng thực tế - hệ
thống an ninh trong RFID
Sec_IoT
3
Click to edit Master title style
Sec_IoT
4
Click of
to things
edit Master
1. Internet
là gì?title style
 Internet of Things (IoT) là mô hình
mạng lưới các vật thể được kết nối,
sao cho mỗi vật thể có duy nhất một
tên, kết nối trao đổi thông tin với
nhau.
 IoTs là một cách thực hiện của
Ubiquitous Computing trong đó
máy tính thay đổi để hòa nhập với
môi trường sống của con người.
Sec_IoT
5
ClickMột
to edit
Master
số mô
hìnhtitle
IoTstyle
Kết nối phương tiện giao thông
Nhà thông minh – văn phòng
– thiết bị di động
Sec_IoT
6
Click trọng
to edit của
Master
2. Sự quan
bảotitle
mậtstyle
IoT
Đối với Internet hiện nay, vấn đề quyền riêng tư và bảo mật thông tin,
kiểm duyệt thông tin đang đặt ra các bài toán cần giải quyết, với IoT số
lượng các bài toán này còn lớn hơn bởi 3 nguyên nhân chính:
1
2
3
• Các mô hình kinh
doanh và ứng dụng
“killer app”, chuẩn
hóa giao thức và hạ
tầng cơ sở giữa các
nhà sản xuất là vấn
đề mà các bên tham
gia phải cùng giải
quyết.
• Việc kết nối hàng tỉ
các thiết bị trên thế
giới đòi hỏi sự kiểm
soát, quản lý chặt
chẽ trở nên phức tạp
hơn rất nhiều.
• Khi máy móc can
thiệp tự động và sâu
rộng vào cuộc sống,
sự hoạt động ổn định
của chúng và cơ chế
chống lỗi cũng là
vấn đề cần kiểm
soát.
Sec_IoT
7
Click to edit Master title style
Sec_IoT
8
Click
to edit
Master title style
1. Nguy
cơ hệ
thống
Nguy cơ hệ thống được hình thành bởi sự kết hợp giữa các mối đe dọa tấn
công đến an toàn hệ thống và lỗ hổng của hệ thống.
Sec_IoT
9
a. Các Click
mối đe
todọa
edit Master title style
Phân loại các mối đe dọa
• Bên trong, bên ngoài hệ thống; có hoặc không có mục đích.
Mục tiêu tấn công
• Chủ yếu là các dịch vụ an ninh (DNS, www…)
Tác nhân tấn công
• Là chủ thể gây hại lên hệ thống.
Hành vi tấn công
• Lợi dụng quyền truy cập; thay đổi, phá hủy, nghe lén thông tin; ăn cắp phần
mềm hoặc phần cứng.
Sec_IoT
10
b. Lỗ hổng
Clickhệ
tothống
edit Master title style
Là nơi mà đối tượng tấn công có thể khai thác để thực hiện
các hành vi tấn công hệ thống. Lỗ hổng hệ thống có thể tồn
tại trong hệ thống mạng hoặc trong thủ tục quản trị mạng.
Lỗ hổng
lập trình
(backdoor).
Lỗ hổng
Hệ điều
hành.
Lỗ hổng
ứng dụng.
Lỗ hổng
vật lý.
Lỗ hổng
trong thủ
tục quản
lý (mật
khẩu, chia
sẻ,…)
Sec_IoT
11
2. Các Click
hình thức
tấnMaster
công mạng
to edit
title style
Social Engineering (kỹ
thuật đánh lừa):
Impersonation (mạo
danh):
Sec_IoT
12
2. Các Click
hình thức
tấnMaster
công mạng
to edit
title style
Khai thác lỗ hổng hệ thống:
 Liên quan đến việc khai thác
lỗi trong phần mềm hoặc hệ
điều hành.
Data Attacks:
 Sử dụng các đoạn mã Script
độc gửi vào hệ thống như
trojan, worm, virus…
Sec_IoT
13
2. Các Click
hình thức
tấnMaster
công mạng
to edit
title style
Denial of Service (Từ chối dịch vụ)
Loại tấn công này chủ
yếu tập trung lưu
lượng để làm ngưng
trệ các dịch vụ của hệ
thống mạng.
Sec_IoT
14
Click to edit Master title style
Sec_IoT
15
Click to edit Master title style
A. Thiết lập cơ sở hạ tầng:
Sec_IoT
16
edit
Master
style
1. KiếnClick
trúctoan
ninh
trongtitle
IoT
 Kiến trúc trong IoT có thể chia làm 4 lớp chính:
Application layer
Network layer
Support layer
Perceptual layer
Kiến trúc an ninh của IoT
Sec_IoT
17
năng
ở mỗititle
lớpstyle
ClickChức
to edit
Master
Lớp ứng
dụng
• Cung cấp các dịch vụ cá nhân hoá theo nhu cầu của người sử dụng
(truy cập internet, truyền hình …)
Lớp hỗ trợ
• Thiết lập một nền tảng hỗ trợ cho lớp ứng dụng. Đóng vai trò kết
hợp lớp ứng dụng phía trên và lớp mạng phía dưới.
Lớp mạng
• Truyền tải thông tin từ lớp cảm quan, xử lý sơ bộ, phân loại và
trùng hợp thông tin.
Lớp cảm
quan
• Thu thập tất cả các loại thông tin thông qua các thiết bị vật lý
(cảm biến, đầu đọc RFID, GPS…) và nhận diện thế giới vật chất.
Sec_IoT
18
Master
style
2. ĐặcClick
điểmtoanedit
ninh
trongtitle
IoT
Application layer
Network layer
Support layer
Perceptual layer
Sec_IoT
19
a. LớpClick
cảm quan
to edit(Perceptual
Master titleLayer)
style
Thiết bị giản đơn và có
công suất thấp do đó
không thể áp dụng liên
lạc qua tần số và thuật
toán mã hóa phức tạp.
Chịu tác động của tấn
công bên ngoài mạng như
Deny of service.
Sec_IoT
20
b. LớpClick
mạngto(Network
Layer)
edit Master
title style
Các mối nguy cơ trong lớp
mạng bao gồm:
 Tấn công Man-in-themiddle và giả mạo thông tin.
 Thư rác (junk mail) và
virus.
 Tắc nghẽn mạng do gửi lưu
lượng lớn dữ liệu cũng dễ
xảy ra.
No Junk mail please !!!
Sec_IoT
21
c. Lớp Click
hỗ trợto(Support
Layer):
edit Master
title style
Có vai trò trong việc xử lý
tín hiệu khối và đưa ra quyết
định thông minh.
=> Quá trình xử lý có thể bị
ảnh hưởng bởi những thông tin
“độc”, vì vậy cần tăng cường
việc kiểm tra nhận diện thông
tin.
Sec_IoT
22
d. LớpClick
ứng dụng
(Application
to edit
Master titleLayer)
style
Đối với những ứng dụng khác
nhau thì yêu cầu an ninh khác
nhau.
Chia sẻ dữ liệu là đặc tính của
lớp ứng dụng, điều này nảy sinh
các vấn đề liên quan đến thông
tin cá nhân, điều khiển truy cập
và phát tán thông tin.
Sec_IoT
23
to edit
3. YêuClick
cầu an
ninhMaster title style
Application Layer
Support Layer
Authentication and key agreement
Privacy protection
Security education and management
Secure multiparty computation
Secure cloud computing
Anti-virus
Network Layer
Identity authentication
Anti-DDOS
Encryption mechanism
Communication Security
Perceptual Layer
Lightweight encryption technology
Protecting sensor data
Key agreement
Tổng quan yêu cầu an ninh ở mỗi tầng
Sec_IoT
24
a. LớpClick
cảm quan
to edit(Perceptual
Master titlelayer)
style
Chứng
thực tại
node đầu
tiên rất
cần thiết
để ngăn
chặn truy
cập bất
hợp pháp
vào node.
Mã hóa là
tuyệt đối
cần thiết
để bảo
mật khi
truyền tải
thông tin.
Đây là
quy trình
quan
trọng
nâng cao,
được
thực hiện
trước khi
mã hóa.
Sec_IoT
25
b. LớpClick
mạngto(Network
layer)
edit Master
title style
 Cơ chế bảo mật hiện tại khó có thể áp dụng ở tầng này, cần
đưa ra kỹ thuật phù hợp.
Chứng thực nhận dạng
(Identity authentication)
nhằm ngăn chặn các node bất
hợp pháp, là tiền đề cho các
cơ chế an toàn, bảo mật.
DDoS là phương pháp tấn
công phổ biến trong hệ thống
mạng, rất nghiêm trọng nếu
xảy ra đối với IoT => cần có
Anti-DDoS.
Sec_IoT
26
c. Lớp Click
hỗ trợto(Support
layer)
edit Master
title style
Tầng này cần nhiều hệ thống ứng dụng bảo mật như an ninh
điện toán đám mây, điện toán đa nhóm (Secure multiparty
computation)… gần như tất cả các thuật toán mã hóa mạnh
và giao thức mã hóa, kỹ thuật bảo mật, diệt virus đều tập
trung ở Layer này.
Sec_IoT
27
d. LớpClick
ứng dụng
(Application
to edit
Master titlelayer)
style
Để giải quyết vấn đề an toàn của tầng ứng dụng, chúng ta
cần quan tâm 2 mặt:
Chứng thực và key agreement qua mạng không đồng
nhất.
Bảo vệ quyền riêng tư của người dùng.
Thêm vào đó, việc đào tạo và quản lý là rất quan trọng với
bảo mật thông tin, đặc biệt là quản lý password.
Sec_IoT
28
Click to edit Master title style
B. Các kỹ thuật an ninh chủ yếu
Sec_IoT
29
Clickmã
to hóa
edit Master title style
1. Cơ chế
By-hop: (Sử dụng ở tầng mạng)
• Mỗi thiết bị (hop) nhận được tin sẽ giải mã
và mã hóa, sau đó gửi cho thiết bị kế tiếp.
End-to-End: (Sử dụng ở tầng ứng dụng)
• Bên gửi sẽ mã hóa tin, tin được mã hóa
truyền qua các hop, tin được mã hóa chỉ
được giải mã khi nó đến được bên nhận.
Sec_IoT
30
Clickmã
to hóa
edit Master title style
1. Cơ chế
Sec_IoT
31
to edit tin
Master
2. BảoClick
mật thông
liên title
lạc style
Trong giao thức truyền thông có một số giải pháp được
thiết lập, các giải pháp này có thể cung cấp tính toàn vẹn,
tính xác thực, bảo mật cho thông tin liên lạc, Ví dụ:
TLS/SSL hoặc IPSec.
Sec_IoT
32
o TLS/SSL
Click to edit Master title style
TLS / SSL được thiết kế để mã hóa các liên kết trong lớp
truyền tải.
Sec_IoT
33
o IPSec
Click to edit Master title style
 IPSec: được
thiết kế để bảo
vệ an ninh của
các lớp mạng,
nó có thể cung
cấp tính toàn
vẹn, tính xác
thực và bảo mật
trong mỗi lớp.
Sec_IoT
34
editcảm
Master
3. BảoClick
vệ dữtoliệu
biếntitle style
 Vấn đề chính của cảm biến chính là sự riêng tư.
 Phần lớn thời gian con người không ý thức được các cảm biến
xung quanh họ, do đó chúng ta cần thiết đặt một số điều chỉnh
để đảm bảo sự riêng tư. Một vài nguyên tắc được đưa ra:
Sec_IoT
35
editcảm
Master
3. BảoClick
vệ dữtoliệu
biếntitle style
1
2
3
• Người dùng phải biết rằng họ đang được cảm nhận
• Người dùng phải được tùy chọn họ có đang bị cảm nhận hay
không
• Người dùng phải được dấu tên
Khi người dùng không nhận ra được những nguyên tắc trên thì
những sự điều chỉnh phải được thực hiện
Sec_IoT
36
edit mã
Master
4. CácClick
thuậttotoán
hóatitle style
 Mã hóa đối xứng (symmetric encryption algorithm)
 Mã hóa bất đối xứng (asymmetric algorithm)
Sec_IoT
37
a. Mã hóa
Clickđối
toxứng
edit Master title style
 Là thuật toán mã hóa trong đó việc mã hóa và giải mã sử dụng
chung 1 khóa (secret key).
 Ưu điểm: khối lượng tính toán ít, phù hợp khi áp dụng cho
các thiết bị cấu hình thấp
 Nhược điểm: tính bảo mật không cao, dễ bị “bẻ khóa”
Sec_IoT
38
b. Mã hóa
Clickbất
to đối
editxứng
Master title style
 Là thuật toán trong đó việc mã hóa và giãi mã dùng 2 khóa khác nhau là pulic
key và private key. Nếu dùng public key để mã hóa thì private key sẽ dùng để
giải mã và ngược lại.
 Ưu nhược điểm
 Ưu điểm: khả năng bảo mật cao, ứng dụng rộng
 Nhược điểm: khối lượng tính toán lớn
Sec_IoT
39
Click to edit Master title style
Sec_IoT
40
Click toRFID
edit Master title style
1. Hệ thống
 Thẻ RFID (RFID Tag): là một thẻ gắn chíp + Anten, có 2 loại:
 Passive tags: Không cần nguồn ngoài và nhận nằng lượng từ thiết bị đọc, khoảng cách đọc
ngắn.
 Active tags: Được nuôi bằng PIN, sử dụng với khoảng cách đọc lớn
 Reader hoặc sensor (cái cảm biến): để đọc thông tin từ các thẻ, có thể đặt cố định hoặc lưu
động.
 Antenna: là thiết bị liên kết giữa thẻ và thiết bị đọc, thiết bị đọc phát xạ tín hiệu sóng để kích
họat và truyền nhận với thẻ
 Server: nhu nhận, xử lý dữ liệu, phục vụ giám sát, thống kê, điều khiển,…
Sec_IoT
41
1. Môt số
vấn to
đề edit
và giải
pháp khắc
Click
Master
title phục
style
Các tấn công hệ thống RFID
thường nhằm mục đích: lấy
thông tin cá nhân, cơ sở dữ
liệu của tổ chức của tổ chức,
làm mất thông tin trong database
lưu trữ của hệ thống RFID =>
Cần thiết phải có một hệ thống
bảo mật cho RFID.
Sec_IoT
42
1. Môt số
vấn to
đề edit
và giải
pháp khắc
Click
Master
title phục
style
a. Data
Problem 2
Problem 1
Khi có một số
lượng lớn tag
đặt trước 1
reader thì có rất
nhiều data gửi
về backend
=> Tràn
Solution: đặt các
tag của cùng 1
reader trong 1 môi
trường có che chắn.
Tránh tiếp xúc với
phạm vi đọc của các
reader khác.
Khi buffer của
middleware có
rất nhiều dữ liệu
và bất ngờ gửi về
backend thì có
thể gây sụp hệ
thống
Solution: backend
phải mạnh để giải
quyết các tình
huống bất ngờ
=> cần có thêm
các buffer tạm để
nhận dữ liệu về từ
middleware.
Sec_IoT
43
1. Môt số
kiểuto
tấnedit
công
và giải title
phápstyle
khắc phục
Click
Master
b. Virus Attacks
Buffer
Overflow
Web-based
Components
Tấn công hệ thống
RFID trên web
dựa vào tính động
của web để chèn
vào các đoạn mã
độc. Hoặc tấn
công dựa vào
công nghệ SSI
Solution: Hệ thống
backend phải xác
nhận dữ liệu trên
tag là đúng, phải
có hệ thống
checksum để bảo
đảm dữ liệu không
bị thay đổi
Buffer Overflow: hệ
thống RFID có thể
bị sụp do tràn bộ
nhớ nếu có ai đó vô
tình (hoặc cố ý) đem
một số tag không
thích hợp vào phạm
vi reader.
Solution: Backend
phải đảm bảo được
việc bảo vệ và
kiểm tra đầy đủ để
đọc được đúng kích
thước và đúng dữ
liệu sử dụng công
nghệ checksum
Sec_IoT
44
Master
title style
1. Môt Click
số vấnto
đềedit
và giải
pháp khắc
phục
c. RFID data collection tool - backend communication attacks
Problems
Solution
MIM Attack Man in
the middle: tấn công
theo kiểu giám sát các
liên lạc của backend,
thường xuất hiện
trong các môi trường
ít có sự giám sát chặt
chẽ như Internet.
Application Layer
Attack: dạng tấn
công dựa vào các lỗi
trên HĐH hoặc ứng
dụng để giành quyền
điều khiển hệ thống
hoặc ứng dụng để
thực hiện các mục
tiêu độc hại.
Sử dụng một hệ thống gateway vững chắc
Sec_IoT
45
Click lý
to hệ
editthống
Master
style
2. Quản
antitle
ninh
RFID
Mục đích của
người tấn
công?
Đánh
giá rủi
ro và
nguy
hiểm
Ai là người
tấn công hệ
thống của
bạn?
Các cuộc tấn
công có thể
xảy ra khi
nào? Ở đâu?
Xác định điểm
tấn công và
cách bị tấn
công, đề ra các
biện pháp
phòng tránh
Tấn công sẽ
diễn ra như
thế nào
Sec_IoT
46
lý rủi ro
Click toQuản
edit Master
title style
Xác định xem tần số hoạt động của hệ thống có vượt quá
phạm vi cần thiết không?
Xem xét middleware đảm bảo trong phạm vi hệ thống
không có tag lạ, gây nguy hiểm cho hệ thống.
Thường xuyên cập nhật, nâng cấp hệ thống, nâng cấp các
hệ thống mã hóa.
Giám sát mật khẩu của hệ thống, đảm bảo mật khẩu chỉ
được cung cấp cho những người dùng tin cậy
Sec_IoT
47
Click
to edit
Master
titledọa
style
Quản
lý các
mối đe
Kiểm tra xem có thiết bị vật lý khác lạ trong phạm vi hệ
thống không.
Xác định tính đúng đắn của hệ thống.
Kiểm tra kết nối giữa backend với các thành phần khác.
Xây dựng middleware đủ mạnh để chống lại các tấn công
có thể xảy ra.
Sec_IoT
48
Click to edit Master title style
Sec_IoT
49