Security in the internet of things

Security In the Internet of Things1Môn học: Công Nghệ MạngGiáo viên phụ trách: Th.s Nguyễn Việt HàBáo cáo seminar2Danh sách nhómHọ & tênMSSVTrương Hoàng Ngọc Khánh1020088Trần Khánh Hòa1020068Nguyễn Thị Thương1020226Trần Châu Phong1020150Huỳnh Anh Tuấn1020253Nguyễn Quốc Bảo Chánh1020024Huỳnh Duy Thạch1020207Nguyễn Phạm Anh Minh1020120Nguyễn Đình Sơn1020180Nguyễn Hải Thượng0920235 34I. Tổng quan về Security in the Internet of things51. Internet of things là gì?Internet of Things (IoT) là mô hình mạng lưới các vật thể được kết nối, sao cho mỗi vật thể có duy nhất một tên, kết nối trao đổi thông tin với nhau.IoTs là một cách thực hiện của Ubiquitous Computing trong đó máy tính thay đổi để hòa nhập với môi trường sống của con người.6Một số mô hình IoTNhà thông minh – văn phòng – thiết bị di độngKết nối phương tiện giao thông72. Sự quan trọng của bảo mật IoTĐối với Internet hiện nay, vấn đề quyền riêng tư và bảo mật thông tin, kiểm duyệt thông tin đang đặt ra các bài toán cần giải quyết, với IoT số lượng các bài toán này còn lớn hơn bởi 3 nguyên nhân chính:8II. Nguy cơ hệ thống và các hình thức tấn công91. Nguy cơ hệ thốngNguy cơ hệ thống được hình thành bởi sự kết hợp giữa các mối đe dọa tấn công đến an toàn hệ thống và lỗ hổng của hệ thống.10a. Các mối đe dọa11b. Lỗ hổng hệ thống122. Các hình thức tấn công mạngSocial Engineering (kỹ thuật đánh lừa):Impersonation (mạo danh):13Khai thác lỗ hổng hệ thống:Liên quan đến việc khai thác lỗi trong phần mềm hoặc hệ điều hành.Data Attacks: Sử dụng các đoạn mã Script độc gửi vào hệ thống như trojan, worm, virus2. Các hình thức tấn công mạng142. Các hình thức tấn công mạngDenial of  Service (Từ chối dịch vụ)Loại tấn công này chủ yếu tập trung lưu lượng để làm ngưng trệ các dịch vụ của hệ thống mạng.15III. Cơ sở hạ tầng và kỹ thuật an ninh trong IoT16A. Thiết lập cơ sở hạ tầng:171. Kiến trúc an ninh trong IoTKiến trúc trong IoT có thể chia làm 4 lớp chính:Kiến trúc an ninh của IoT18Chức năng ở mỗi lớp192. Đặc điểm an ninh trong IoT20a. Lớp cảm quan (Perceptual Layer)Thiết bị giản đơn và có công suất thấp do đó không thể áp dụng liên lạc qua tần số và thuật toán mã hóa phức tạp.Chịu tác động của tấn công bên ngoài mạng như Deny of service.21b. Lớp mạng (Network Layer)Các mối nguy cơ trong lớp mạng bao gồm:Tấn công Man-in-the-middle và giả mạo thông tin.Thư rác (junk mail) và virus.Tắc nghẽn mạng do gửi lưu lượng lớn dữ liệu cũng dễ xảy ra.No Junk mail please !!!22c. Lớp hỗ trợ (Support Layer):Có vai trò trong việc xử lý tín hiệu khối và đưa ra quyết định thông minh. => Quá trình xử lý có thể bị ảnh hưởng bởi những thông tin “độc”, vì vậy cần tăng cường việc kiểm tra nhận diện thông tin.23d. Lớp ứng dụng (Application Layer)Đối với những ứng dụng khác nhau thì yêu cầu an ninh khác nhau.Chia sẻ dữ liệu là đặc tính của lớp ứng dụng, điều này nảy sinh các vấn đề liên quan đến thông tin cá nhân, điều khiển truy cập và phát tán thông tin.243. Yêu cầu an ninhApplication LayerAuthentication and key agreementPrivacy protectionSecurity education and managementSupport LayerSecure multiparty computationSecure cloud computingAnti-virusNetwork LayerIdentity authenticationAnti-DDOSEncryption mechanismCommunication SecurityPerceptual LayerLightweight encryption technologyProtecting sensor dataKey agreementTổng quan yêu cầu an ninh ở mỗi tầng25a. Lớp cảm quan (Perceptual layer)26b. Lớp mạng (Network layer)Cơ chế bảo mật hiện tại khó có thể áp dụng ở tầng này, cần đưa ra kỹ thuật phù hợp.Chứng thực nhận dạng (Identity authentication) nhằm ngăn chặn các node bất hợp pháp, là tiền đề cho các cơ chế an toàn, bảo mật.DDoS là phương pháp tấn công phổ biến trong hệ thống mạng, rất nghiêm trọng nếu xảy ra đối với IoT => cần có Anti-DDoS.27c. Lớp hỗ trợ (Support layer)Tầng này cần nhiều hệ thống ứng dụng bảo mật như an ninh điện toán đám mây, điện toán đa nhóm (Secure multiparty computation) gần như tất cả các thuật toán mã hóa mạnh và giao thức mã hóa, kỹ thuật bảo mật, diệt virus đều tập trung ở Layer này.28d. Lớp ứng dụng (Application layer)Để giải quyết vấn đề an toàn của tầng ứng dụng, chúng ta cần quan tâm 2 mặt: Chứng thực và key agreement qua mạng không đồng nhất.Bảo vệ quyền riêng tư của người dùng. Thêm vào đó, việc đào tạo và quản lý là rất quan trọng với bảo mật thông tin, đặc biệt là quản lý password.29B. Các kỹ thuật an ninh chủ yếu301. Cơ chế mã hóa311. Cơ chế mã hóa322. Bảo mật thông tin liên lạcTrong giao thức truyền thông có một số giải pháp được thiết lập, các giải pháp này có thể cung cấp tính toàn vẹn, tính xác thực, bảo mật cho thông tin liên lạc, Ví dụ: TLS/SSL hoặc IPSec.33TLS/SSLTLS / SSL được thiết kế để mã hóa các liên kết trong lớp truyền tải.34IPSecIPSec: được thiết kế để bảo vệ an ninh của các lớp mạng, nó có thể cung cấp tính toàn vẹn, tính xác thực và bảo mật trong mỗi lớp.353. Bảo vệ dữ liệu cảm biếnVấn đề chính của cảm biến chính là sự riêng tư.Phần lớn thời gian con người không ý thức được các cảm biến xung quanh họ, do đó chúng ta cần thiết đặt một số điều chỉnh để đảm bảo sự riêng tư. Một vài nguyên tắc được đưa ra:363. Bảo vệ dữ liệu cảm biếnKhi người dùng không nhận ra được những nguyên tắc trên thì những sự điều chỉnh phải được thực hiện374. Các thuật toán mã hóa Mã hóa đối xứng (symmetric encryption algorithm) Mã hóa bất đối xứng (asymmetric algorithm)38a. Mã hóa đối xứngLà thuật toán mã hóa trong đó việc mã hóa và giải mã sử dụng chung 1 khóa (secret key).Ưu điểm: khối lượng tính toán ít, phù hợp khi áp dụng cho các thiết bị cấu hình thấpNhược điểm: tính bảo mật không cao, dễ bị “bẻ khóa”39b. Mã hóa bất đối xứngLà thuật toán trong đó việc mã hóa và giãi mã dùng 2 khóa khác nhau là pulic key và private key. Nếu dùng public key để mã hóa thì private key sẽ dùng để giải mã và ngược lại.Ưu nhược điểmƯu điểm: khả năng bảo mật cao, ứng dụng rộngNhược điểm: khối lượng tính toán lớn40IV. Ứng dụng thực tế - hệ thống an ninh trong RFID411. Hệ thống RFIDThẻ RFID (RFID Tag): là một thẻ gắn chíp + Anten, có 2 loại:Passive tags: Không cần nguồn ngoài và nhận nằng lượng từ thiết bị đọc, khoảng cách đọc ngắn.Active tags: Được nuôi bằng PIN, sử dụng với khoảng cách đọc lớnReader hoặc sensor (cái cảm biến): để đọc thông tin từ các thẻ, có thể đặt cố định hoặc lưu động.Antenna: là thiết bị liên kết giữa thẻ và thiết bị đọc, thiết bị đọc phát xạ tín hiệu sóng để kích họat và truyền nhận với thẻServer: nhu nhận, xử lý dữ liệu, phục vụ giám sát, thống kê, điều khiển,42Các tấn công hệ thống RFID thường nhằm mục đích: lấy thông tin cá nhân, cơ sở dữ liệu của tổ chức của tổ chức, làm mất thông tin trong database lưu trữ của hệ thống RFID => Cần thiết phải có một hệ thống bảo mật cho RFID.1. Môt số vấn đề và giải pháp khắc phục431. Môt số vấn đề và giải pháp khắc phụca. DataKhi có một số lượng lớn tag đặt trước 1 reader thì có rất nhiều data gửi về backend => TrànProblem 1Solution: đặt các tag của cùng 1 reader trong 1 môi trường có che chắn. Tránh tiếp xúc với phạm vi đọc của các reader khác.Khi buffer của middleware có rất nhiều dữ liệu và bất ngờ gửi về backend thì có thể gây sụp hệ thốngProblem 2Solution: backend phải mạnh để giải quyết các tình huống bất ngờ=> cần có thêm các buffer tạm để nhận dữ liệu về từ middleware.44Tấn công hệ thống RFID trên web dựa vào tính động của web để chèn vào các đoạn mã độc. Hoặc tấn công dựa vào công nghệ SSIWeb-based ComponentsSolution: Hệ thống backend phải xác nhận dữ liệu trên tag là đúng, phải có hệ thống checksum để bảo đảm dữ liệu không bị thay đổiBuffer Overflow: hệ thống RFID có thể bị sụp do tràn bộ nhớ nếu có ai đó vô tình (hoặc cố ý) đem một số tag không thích hợp vào phạm vi reader.Buffer OverflowSolution: Backend phải đảm bảo được việc bảo vệ và kiểm tra đầy đủ để đọc được đúng kích thước và đúng dữ liệu sử dụng công nghệ checksum1. Môt số kiểu tấn công và giải pháp khắc phụcb. Virus Attacks451. Môt số vấn đề và giải pháp khắc phụcMIM Attack Man in the middle: tấn công theo kiểu giám sát các liên lạc của backend, thường xuất hiện trong các môi trường ít có sự giám sát chặt chẽ như Internet.ProblemsApplication Layer Attack: dạng tấn công dựa vào các lỗi trên HĐH hoặc ứng dụng để giành quyền điều khiển hệ thống hoặc ứng dụng để thực hiện các mục tiêu độc hại.SolutionSử dụng một hệ thống gateway vững chắcc. RFID data collection tool - backend communication attacks46Đánh giá rủi ro và nguy hiểm2. Quản lý hệ thống an ninh RFID47Quản lý rủi roXác định xem tần số hoạt động của hệ thống có vượt quá phạm vi cần thiết không? Xem xét middleware đảm bảo trong phạm vi hệ thống không có tag lạ, gây nguy hiểm cho hệ thống. Thường xuyên cập nhật, nâng cấp hệ thống, nâng cấp các hệ thống mã hóa. Giám sát mật khẩu của hệ thống, đảm bảo mật khẩu chỉ được cung cấp cho những người dùng tin cậy48Quản lý các mối đe dọaKiểm tra xem có thiết bị vật lý khác lạ trong phạm vi hệ thống không. Xác định tính đúng đắn của hệ thống. Kiểm tra kết nối giữa backend với các thành phần khác. Xây dựng middleware đủ mạnh để chống lại các tấn công có thể xảy ra.49Thank you !!!