ĐẠI HỌC ĐÀ NẴNG

TRƯỜNG ĐẠI HỌC BÁCH KHOA

ĐẶNG VĂN NGHĨA

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP

BẢO MẬT CHO CÁC THIẾT BỊ IoT

Chuyên ngành: Khoa học máy tính

Mã số: 60.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ

KHOA HỌC MÁY TÍNH

Đà Nẵng - Năm 2017

 Công trình được hoàn thành tại
TRƯỜNG ĐẠI HỌC BÁCH KHOA

Người hướng dẫn khoa học: PGS.TS Nguyễn Tấn Khôi

Phản biện 1: TS.Trương Ngọc Châu

Phản biện 2: TS.Trần Thiên Thành

Luận văn được bảo vệ trước Hội đồng chấm

Luận văn tốt nghiệp thạc sĩ khoa học máy tính họp
tại Trường Đại học Bách khoa vào ngày 13 tháng 08
năm 2017

Có thể tìm hiểu luận văn tại:

 Trung tâm Học liệu, Đại học Đà Nẵng tại Trường
Đại học Bách khoa
 Thư viện Khoa CNTT, Trường Đại học Bách
khoa - ĐHĐN
 1

MỞ ĐẦU
1. Tính cấp thiết của đề tài
Thuật ngữ IoT ra đời từ năm 1999, trên thế giới người ta đã
nghiên cứu, triển khai và ứng dụng nó trong các hoạt động của đời
sống cụ thể như: Smart home, Smart watch, Smart city, Smart phone,
Smart TV,…Tuy nhiên ở Việt Nam chúng ta thuật ngữ IoT thực sự
được nhiều người biết đến và sử dụng khoảng vài năm gần đây [5,12].
Năm 2014 Công ty HP yêu cầu kiểm tra các ứng dụng bảo mật
trên 10 thiết bị IoT phổ biến nhất được sử dụng và các ứng dụng di
động bao gồm: TV, ổ cắm điện, webcam, hub thông minh, điều hòa
nhiệt độ trong nhà, điều khiển phun nước, chuông báo, mở cửa nhà để
xe và khóa cửa [14-16].
Theo báo cáo của HP thông qua kiểm tra phát hiện tổng cộng
250 lỗ hổng bảo mật trong các thiết bị IoT, như vậy trung bình có
khoảng 25 lỗ hổng bảo mật cho mỗi thiết bị. Những vấn đề liên quan
đến sự riêng tư, không có đủ quyền truy cập, dữ liệu không được mã
hóa trước khi truyền, bảo vệ phần mềm không đầy đủ và giao diện web
không an toàn [14-16].
Nghiên cứu chỉ ra rằng 80% các thiết bị được kiểm tra gồm các
ứng dụng di động và cloud tương ứng, mối quan tâm lớn nhất liên quan
đến việc thu thập dữ liệu riêng tư của người dùng như tên, địa chỉ mail,
địa chỉ vật lý, ngày sinh, tài chính và thông tin sức khỏe [14-16].
Khi nói đến sự cho phép, nhiều sản phẩm không thực thi chính
sách mật khẩu mạnh, cho phép người dùng thiết lập mật khẩu đơn giản
không chỉ trên thiết bị của họ mà trên cả web và các ứng dụng di động.
HP cho biết 70% các thiết bị IoT được kiểm tra không mã hóa
khi truyền thông trên internet và trên mạng cục bộ, với nửa số ứng
dụng của họ thiếu cơ chế mã hóa khi truyền dữ liệu. Khoảng 60% thiết
 2

bị của các nhà sản xuất không đảm bảo rằng các bản cập nhật phần
mềm được tải về một cách an toàn, trong một số trường hợp cho phép
kẻ tấn công ngăn chặn chúng [14-16].
Theo như giao diện web có liên quan, sáu trong số 10 sản phẩm
tồn tại các lỗ hổng XSS, thông tin mặc định dễ đoán và quản lý phiên
không chặt chẽ. Sai sót trong các ứng dụng đám mây và di động của
70% thiết bị có thể bị khai thác để xác định tài khoản người dùng hợp
lệ thông qua tính năng khôi phục mật khẩu hoặc liệt kê tài khoản [16].
Gartner dự đoán rằng đến năm 2020 sẽ có khoảng 26 tỷ thiết bị
IoT, với các công ty cung cấp sản phẩm và dịch vụ tạo doanh thu tăng
vượt quá 300 tỷ $. HP tin rằng nhiều nhà sản xuất thiết bị cố gắng khởi
động các sản phẩm của mình càng nhanh càng tốt trong nỗ lực để
chiếm được thị phần, nhưng lại bỏ qua các vấn đề về an ninh [14-16].
Xuất phát từ những lý do nêu trên, tôi chọn thực hiện đề tài:
“Nghiên cứu xây dựng giải pháp bảo mật cho các thiết bị IoT”.
2. Mục đích nghiên cứu
Mục đích chính của luận văn nhằm xây dựng giải pháp bảo mật
cho các thiết bị IoT trong gia đình (SmartHome). Giải pháp đề xuất
nhằm đáp ứng các yêu cầu như sau:
 Quản lý và nhận diện được toàn bộ thiết bị IoT trong gia
đình,
 Cách ly người dùng kết nối Wifi với các thiết bị IoT trong
gia đình,
 Chỉ định thiết bị cụ thể được phép kết nối và quản lý toàn bộ
hệ thống trong gia đình,
 Giám sát truy cập và lưu lượng vào/ra mạng đồng thời đưa
ra cảnh báo.
3. Đối tượng và phạm vi nghiên cứu
 3

Đối tượng nghiên cứu của đề tài:

 Các giải pháp bảo mật cho thiết bị IoT,
 Kiến trúc hệ thống IoT,
 Các công cụ hỗ trợ bảo mật cho thiết bị IoT.
Phạm vi nghiên cứu của đề tài:
 Nghiên cứu bảo mật cho thiết bị IoT trong gia đình
(SmartHome),
 Nghiên cứu các mô hình kết nối IoT trong gia đình.
4. Phương pháp nghiên cứu
Đề tài sẽ sử dụng các phương pháp nghiên cứu:
a. Phương pháp nghiên cứu lý thuyết
 Cơ sở lý thuyết về IoT,
 Cơ sở lý thuyết về các mô hình bảo mật cho IoT,
 Cơ sở lý thuyết bảo mật cho IoT.
b. Phương pháp thực nghiệm
 Triển khai các chính sách bảo mật cho thiết bị IoT trong gia
đình,
 Xây dựng mô hình kết nối và thử nghiệm.
5. Cấu trúc của luận văn
Cấu trúc của luận văn gồm các phần chính như sau:
Mở đầu: Trình bày tính cần thiết của đề tài, mục đích, phạm vi
nghiên cứu của đề tài, phương pháp nghiên cứu và bố cục của luận
văn.
Chương 1. Tổng quan về IoT.
Chương 2. Cơ sở lý thuyết.
Chương 3. Thiết kế và triển khai giải pháp bảo mật
Kết luận và hướng phát triển.
 4

TỔNG QUAN VỀ IoT

GIỚI THIỆU
Thuật ngữ “Internet of Things” (IoT) được sử dụng đầu tiên vào
năm 1999 bởi nhà tiên phong về công nghệ người Anh có tên Kevin
Ashton nhằm mô tả một hệ thống trong đó các đối tượng trong thế giới
thực có thể kết nối Internet bằng cảm biến. Ashton đưa ra thuật ngữ để
minh họa sức mạnh của việc kết nối các thẻ RFID được sử dụng trong
các chuỗi cung ứng của công ty với Internet để kiểm tra và theo dõi
hàng hóa mà không cần sự can thiệp của con người. Ngày nay, IoT đã
trở thành một thuật ngữ phổ biến để mô tả các viễn cảnh trong đó khả
năng kết nối Internet và mở rộng tính toán đến nhiều đối tượng, thiết
bị, cảm biến và đồ vật hằng ngày [5,12].
Trong khi thuật ngữ “Internet of Things” tương đối mới, khái
niệm kết hợp máy tính và mạng để theo dõi và điều khiển các thiết bị
đã xuất hiện trong nhiều thập kỷ qua. Ví dụ, vào cuối những năm 1970,
các hệ thống giám sát từ xa công tơ điện trên lưới điện thông qua đường
dây điện thoại đã được sử dụng cho mục đích thương mại. Vào những
năm 1990, các tiến bộ trong công nghệ không dây cho phép doanh
nghiệp M2M và các giải pháp công nghiệp cho thiết bị giám sát và vận
hành trở nên phổ biến. Tuy nhiên, nhiều giải pháp M2M ban đầu được
xây dựng dựa trên các mạng với mục đích khép kín và độc quyền hoặc
các tiêu chuẩn theo lĩnh vực riêng hơn là các mạng dựa trên giao thức
và các chuẩn Internet [5,12].
Sử dụng IP để kết nối các thiết bị không phải máy tính với
Internet là ý tưởng đã có từ trước. Thiết bị internet sử dụng IP đầu tiên
là một máy nướng bánh mỳ nó có thể bật và tắt thông qua internet được
 5

trưng bày tại hội nghị internet năm 1990. Trong những năm sau đó,
nhiều thứ khác sử dụng IP ra đời như máy nước ngọt tại Đại học
Carnegie Mellon của Mỹ và nồi nấu cà phê trong phòng tại Đại học
Cambridge của Anh (vẫn duy trì kết nối internet cho đến 2001). Từ
những khởi đầu tuyệt vời này, cho ra đời một lĩnh vực nghiên cứu và
phát triển mạnh mẽ thành mạng lưới các đối tượng thông minh tạo nền
tảng cho IoT ngày nay [5,12].
Theo hội đồng kiến trúc Internet (IAB): IoT cho thấy ở đó một
lượng lớn thiết bị nhúng sử dụng dịch vụ thông tin liên lạc được cung
cấp bởi các giao thức Internet. Hầu hết trong số đó được gọi là các đối
tượng thông minh không được điều khiển trực tiếp bởi con người,
nhưng chúng tồn tại như là thành phần trong các tòa nhà hoặc xe cộ
hoặc ngoài môi trường [5,12].
Theo liên minh viễn thông quốc tế (ITU): IoT là hạ tầng toàn
cầu cho xã hội thông tin, cho phép nâng cao các dịch vụ bằng cách kết
nối mọi thứ dựa trên công nghệ thông tin và truyền thông hiện có với
việc phát triển các công nghệ thông tin và truyền thông tương thích
[5,12].
Theo tạp chí thông tin IEEE: IoT là một khuôn dạng trong đó tất
cả mọi thứ phải hiện diện trên Internet và phải có một đại diện. Cụ thể
hơn, IoT nhằm mục đích cung cấp các ứng dụng mới và dịch vụ cầu
nối giữa thế giới thực và ảo, trong đó truyền thông từ máy đến máy đại
diện cho thông tin liên lạc cơ bản nó cho phép tương tác giữa mọi thứ
và các ứng dụng trong đám mây [5,12].
Theo từ điển Oxford: IoT là sự kết nối thông qua Internet của
các thiết bị điện toán được tích hợp trong các vật dụng hằng ngày cho
phép chúng gửi và nhận dữ liệu [5,12].
 6

KIẾN TRÚC IoT

1.2.1. Kiến trúc dựa trên SOA
1.2.2. Kiến trúc hướng API
CÁC MÔ HÌNH TRUYỀN THÔNG IoT
1.3.1. Mô hình truyền thông thiết bị với thiết bị
1.3.2. Mô hình truyền thông thiết bị với đám mây
1.3.3. Mô hình truyền thông thiết bị với cổng giao tiếp
1.3.4. Mô hình chia sẻ dữ liệu đầu cuối
KẾT CHƯƠNG
Chương 1 tập trung tìm hiểu và làm rõ một số vấn đề liên quan
đến IoT gồm: nguồn gốc ra đời; khái niệm; kiến trúc kết nối; mô hình
truyền thông IoT. Thông qua đó giúp chúng ta có cái nhìn tổng quan
về IoT.
 7

CƠ SỞ LÝ THUYẾT

MÔ HÌNH KẾT NỐI IoT

Hình 0.1. Topology chung cho IoT [12]

2.1.1. Giới thiệu
Sơ đồ kết nối vật lý (Topology) chung cho IoT (Hình 2.1) gồm
ba thành phần chính:
 Đám mây giống như kho chứa là nơi lưu trữ và phân tích dữ
liệu,
 Cổng giao tiếp là nơi tập hợp dữ liệu và mọi dữ liệu đều được
gửi qua đây,
 Thiết bị IoT là nơi thu thập dữ liệu.
 8

2.1.2. Cơ chế hoạt động

Dữ liệu được thu thập thông qua các cảm biến và mọi dữ liệu
được truyền đến cổng giao tiếp, sau đó dữ liệu được gửi lên đám mây,
tại đây dữ liệu được lưu trữ, phân tích, xử lý nhằm phục vụ cho các
mục đích khác nhau, hoặc dữ liệu được xử lý và ra quyết định điều
khiển thiết bị hoặc thực hiện một chức năng cụ thể.
2.1.3. Thiết bị cảm biến
2.1.4. Mạng cảm biến không dây
2.1.5. Cổng giao tiếp IoT
PHÂN LỚP THIẾT BỊ IoT
CÁC ỨNG DỤNG IoT
Cùng với sự tăng trưởng của IoT, thị trường công nghệ đang bắt
đầu phát triển các dịch vụ là những giải pháp chính cho những thách
thức của xã hội. Dưới đây trình bày một số ứng dụng được xây dựng
dựa trên IoT [2,4]:
 Thành phố thông minh (Smart Cities)
 Bãi đậu xe thông minh (Smart Parking)
 Tắc nghẽn giao thông (Traffic Congestion)
 Các tuyến đường thông minh (Smart Roads)
 Sức khỏe kết cấu (Structural Health)
 Môi trường thông minh (Smart Environment)
 Phát hiện cháy rừng (Forest Fire Detection)
 Ô nhiễm không khí (Air Pollution)
 Phát hiện sớm động đất (Earthquake Early Detection)
 Nước thông minh (Smart Water)
 Ngập lụt (River Floods)
 Mức độ ô nhiễm ở biển (Pollution levels in the sea)
 9

 Phát hiện rò rỉ hóa chất tại các dòng sông (Chemical

leakage detection in rivers)
BẢO MẬT TRONG MÔI TRƯỜNG IoT
CÁC NGUY CƠ VỚI IoT TRONG NHÀ THÔNG MINH
QUẢN LÝ NHẬN DIỆN VÀ CHỨNG THỰC TRONG IoT
CÁC CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN
2.7.1. IoT Guardian của ZingBox

Hình 0.2. Mô hình triển khai ZingBox

2.7.2. Bảo mật thiết bị và cổng giao tiếp của IBM
Tóm lại, phương pháp tiếp cận đúng hoặc cách tiếp cận để chứng
thực thiết bị phụ thuộc vào giải pháp mà chúng ta đang thiết kế và loại
dữ liệu mà giải pháp sẽ xử lý. Một số điểm chính cần phải lưu ý:
 Sử dụng kết nối an toàn nếu dữ liệu IoT là nhạy cảm. Cả
chứng thực và mã hóa truyền thông là rất quan trọng.
 Sử dụng mật khẩu chứng thực một lần khi cần thêm mức bảo
mật và khi bảo mật thiết bị ở mức vật lý không cao, ví dụ
trường hợp bất kỳ ai cũng có thể truy cập thiết bị vật lý.
 Dựa vào khả năng của thiết bị trung gian, sử dụng cơ chế
giống như OAuth để hỗ trợ các nhà cấp phép bên ngoài.
 10

 Kiểm soát chặt chẽ việc cho phép đăng ký bằng cách sử dụng
các chuỗi chủ đề cụ thể nhằm ngăn chặn một máy khách thực
hiện số lượng lớn các đăng ký.
 Giới hạn kích thước của thông điệp nhằm đảm bảo rằng
không có thiết bị nào có thể chặn thiết bị trung gian.
 Nếu việc quản lý chứng chỉ không có vấn đề thì nên xem xét
sử dụng chứng chỉ của thiết bị khách và chỉ chấp nhận kết
nối từ những thiết bị khách có chứng chỉ.
KẾT CHƯƠNG
Chương 2 tập trung tìm hiểu và làm rõ một số nội dung liên quan
đến: Mô hình kết nối chung cho IoT; Phân lớp thiết bị; Các thiết bị
cảm biến; Mạng cảm biến không dây; Cổng giao tiếp; Các ứng dụng
IoT; Tìm hiểu giải pháp bảo mật cho IoT của ZingBox và IBM; Các
giao thức truyền thông sử dụng trong IoT. Thông qua các nội dung đã
trình bày giúp người dùng hiểu rõ hơn cơ chế làm việc, cách hoạt động
của thiết bị IoT, đặc biệt giúp người dùng, tổ chức, cá nhân chú tâm
hơn và đầu tư bảo mật đúng mức cho IoT.
 11

THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT

GIỚI THIỆU
Thông qua việc nghiên cứu lý thuyết và tìm hiểu các giải pháp
do ZingBox và IBM đề xuất được trình bày ở chương 2. Hầu hết các
giải pháp được nêu ở trên chỉ đi sâu vào nghiên cứu và giải quyết việc
bảo mật cho IoT ở mức ứng dụng hoặc trao đổi thông tin, các giải pháp
này chưa tập trung bảo mật cho thiết bị IoT như quản lý, xác thực, nhận
diện thiết bị, phát hiện và đưa ra cảnh báo khi có dấu hiệu bất thường
xảy ra trong mạng,… Xuất phát từ những hạn chế như trên, luận văn
đề xuất giải pháp bảo mật cho thiết bị IoT trong nhà thông minh (Smart
Home) có các chức năng như sau:
1. Cấu hình quản lý, xác thực, nhận diện, lọc thiết bị thông qua
địa chỉ MAC
2. Cấu hình VLAN để cách ly luồng dữ liệu giữa các khu vực
bên trong hệ thống mạng
3. Cấu hình danh sách điều khiển truy cập để quản lý người dùng
và dịch vụ
4. Cấu hình NAT cho phép người dùng truy cập internet và ẩn
dấu địa chỉ IP của mạng nội bộ
5. Triển khai hệ thống phát hiện xâm nhập để theo dõi, giám sát
và đưa ra cảnh bảo khi có dấu hiệu bất thường xảy ra đối với khu vực
IoT
 12

MÔ HÌNH
3.2.1. Mô hình chức năng

Hình 0.1. Sơ đồ khối chức năng

Khối chức năng 1:
 Thu thập, lưu trữ, phân tích dữ liệu
Khối chức năng 2:
 Cách ly hệ thống mạng nội bộ với internet
 Bảo vệ hệ thống mạng nội bộ trước các tấn công từ bên ngoài
internet
Khối chức năng 3:
 Định tuyến và chuyển tiếp gói tin từ mạng nội bộ ra internet
 Thực hiện cơ chế NAT (ánh xạ địa chỉ IP riêng thành địa chỉ
IP công cộng và ngược lại, giúp ẩn dấu địa chỉ IP nội bộ đối
với bên ngoài)
Khối chức năng 4:
 13

 Cách ly luồng dữ liệu giữa khu vực người dùng, khu vực
DMZ và khu vực IoT thông qua cơ chế chia VLAN
 Kết nối khu vực người dùng, khu vực DMZ và khu vực IoT
 Quản lý, nhận diện thiết bị kết nối đến từng cổng tương ứng
thông qua địa chỉ MAC của thiết bị
Khối chức năng 5:
 Kết nối, quản lý người dùng kết nối có dây và không dây
Khối chức năng 6:
 Kết nối, quản lý tập trung các máy chủ cung cấp dịch vụ
(web, mail,…)
 Cách ly các dịch vụ quan trọng của tổ chức đối với người
dùng
 Bảo vệ các dịch vụ quan trọng trước các tấn công từ bên
trong tổ chức
Khối chức năng 7:
 Kết nối, quản lý các thiết bị IoT (điều hòa nhiệt độ, tủ lạnh,
tivi, hệ thống tưới cây, hệ thống chiếu sáng,…)
Khối chức năng 8:
 Quản lý, kiểm soát luồng dữ liệu vào/ra khu vực IoT và đưa
ra cảnh báo
 14

3.2.2. Mô hình triển khai

Hình 0.2. Mô hình triển khai

TRIỂN KHAI CÁC KHỐI CHỨC NĂNG
3.3.1. Thiết bị định tuyến (Router biên)
3.3.2. Thiết bị chuyển mạch (Switch)
3.3.3. Khu vực người dùng (Users)
3.3.4. Khu vực DMZ
3.3.5. Khu vực IoT
 15

3.3.6. Hệ thống phát hiện xâm nhập (IDS)

Hình 0.3. Mô hình chi tiết triển khai hệ thống phát hiện xâm nhập
(IDS)
3.3.7. Giải thuật xử lý
 Giải thuật 1 – Phát hiện và sửa thông tin không nhất quán
giữa các nút trong mạng [1,7]
Input: N – Một danh sách nút
for Node in N do //Duyệt qua danh sách nút
for Neighbor in Node.neighbors do
//Tính độ chênh lệch rank giữa một nút với hàng xóm
Diff= |Node.neighborRank(Neighbor) -
Neighbor.rank |
//Tính trung bình rank giữa một nút với hàng xóm
Avg = (Node.neighborRank(Neighbor) +
Neighbor.rank)/2
//Nếu chênh lệch rank lớn hơn trung bình rank
if Diff > Avg * 0.2 then
//Tăng biến fault của nút lên một đơn vị
 16

Node.fault = Node.fault + 1
//Tăng biến fault của hàng xóm lên một đơn vị
Neighbor.fault = Neighbor.fault + 1
end if
end for
end for
for Node in N do
if Node.fault > FaultThreshold then
Node.rank = Rank // Rank được gửi về bởi
hàng xóm bất kỳ
for Neighbor in Node.neighbors do
Node.neighborRank (Neighbor) =
Neighbor.rank
end for
end if
end for
 Giải thuật 2 – Phát hiện các nút đã bị lọc [1,7]
Input: W – Danh sách nút trắng
Input: M – Danh sách nút đã biết thông tin bởi
6Mapper
F = [] {F là danh sách các nút bị lọc}
for Node in W do
if Node in M and M[Node].lastUpdate() >
RecencyThreshold then
F.add (Node)
end if
end for
 17

return F
 Giải thuật 3 – Phát hiện sự không nhất quán trong quan hệ
giữa nút cha với nút con
Input: N – Một danh sách nút
for Node in N do // Duyệt qua danh sách nút
if Node.rank < Node.parent.rank +
MinHopRankIncrease then
Node.fault = Node.fault + 1
end if
end for
for Node in N do
//Nếu độ sai lệch vượt ngưỡng
if Node.fault > FaultThreshold then
Raise alarm // Xuất hiện cảnh báo
end if
end for
Kết quả triển khai thực nghiệm
3.4.1. Môi trường thực nghiệm
 Công cụ mô phỏng mạng Cisco Packet Tracer 7.0
 Phần mềm Cooja chạy trên hệ điều hành Contiki 2.6
 Phần mềm Suricata chạy trên hệ điều hành Ubuntu 14.04.1
 18

3.4.2. Kịch bản 1 – Xây dựng và phân chia hệ thống mạng

Kiểm soát quá trình truy cập hệ thống mạng
Kiểm soát truy cập giữa khu vực IoT, khu vực người dùng và
khu vực DMZ.

Hình 0.4. Mô hình thực nghiệm kiểm soát truy cập giữa các
khu vực trong hệ thống mạng
Nhận xét đánh giá
 Cách ly hoàn toàn luồng dữ liệu giữa khu vực người dùng
với khu vực IoT và khu vực DMZ;
 Nhận diện, xác thực, quản lý thiết bị kết nối vào khu vực IoT
thông qua cơ chế chứng thực (tài khoản và mật khẩu) và lọc
địa chỉ MAC;
 Nhận diện, xác thực, quản lý thiết bị kết nối vào khu vực
người dùng không dây thông qua cơ chế chứng thực (tài
khoản và mật khẩu) và lọc địa chỉ MAC.
 19

3.4.3. Kịch bản 2 – Triển khai hệ thống mạng IoT và định

tuyến
Xây dựng hệ thống mạng IoT
Hệ thống IoT mô phỏng như trong Hình 3.5 gồm có 6 nút, trong
đó nút 1 đóng vai trò là router biên, năm nút còn lại đóng vai trò là các
thiết bị IoT tương tác với nút 1 thông qua cảm biến sử dụng chuẩn
802.15.4. Nút 1 giao tiếp với 5 nút còn lại (2, 3, 4, 5, 6) thông qua
chuẩn 802.15.4 và giao tiếp với Internet thông qua chuẩn Ethernet.
Đánh giá kết quả thực nghiệm
 Bảng định tuyến của Router biên (nút 1) hiển thị đầy đủ
thông tin của các nút còn lại trong mô hình gồm: địa chỉ IP,
đường đi đến từng nút, khoảng cách, hướng gửi gói tin.
 Giúp hiểu được cơ chế làm việc và trao đổi thông tin trong
mạng IoT.
3.4.4. Kịch bản 3 – Triển khai hệ thống phát hiện xâm
nhập (IDS)
Triển khai giải pháp IDS cho mạng IoT mô
phỏng
Nhằm giám sát, phát hiện các xâm nhập từ bên ngoài vào hệ
thống mạng IoT, luận văn đề xuất triển khai:
Hệ thống phát hiện xâm nhập Suricata:
 Có hai card mạng: card thứ nhất nối với Switch, card thứ hai
nối với router Linksys của khu vực IoT
 Chạy hệ điều hành ubuntu 14.04.1
 RAM tối thiểu 2GB, ổ cứng 20GB
 Chạy mySQL 5.5.6
Hệ thống phát hiện xâm nhập thời gian thực SVELTE:
 20

Mô phỏng hệ thống IoT trên phần mềm giả lập Cooja chạy trong
Contiki. Luận văn sử dụng Contiki 2.6 được cài đặt trên hệ điều hành
Ubuntu 12.04. Các nút mô phỏng trong luận văn là Tmote Sky. Để
chạy Cooja thì bật terminal và di chuyển đến thư mục
Contiki\tools\cooja, sau đó nhập cú pháp lệnh: sudo ant run. Để chạy
được lệnh nêu trên thì phải cài ant trên Ubuntu theo cú pháp lệnh: sudo
apt-get -u install ant.
Chạy mã nguồn SVELTE bằng cách chạy công cụ cooja như
hướng dẫn ở trên. Lưu ý muốn chạy mô phỏng có hệ thống phát hiện
xâm nhập SVELTE thì tạo một thư mục mới giống như thư mục
Contiki-IDS-IDS có chứa module phát hiện xâm nhập và đặt tên
Contiki-IDS-IDS-evil. Trong đó thư mục Contiki-IDS-IDS chứa mã
nguồn của module phát hiện xâm nhập SVELTE, thư mục Contiki-
IDS-IDS-evil chứa mã nguồn của nút bị kẻ tấn công điều khiển.
Thực hiện mô phỏng nhiều lần với số lượng nút lần lượt 8, 16,
32 với nhiều vị trí nút khác nhau. Với mỗi lần thực hiện mô phỏng
chúng ta lấy kết quả tại các mốc thời gian sau 5 phút, 10 phút, 20 phút,
30 phút. Mô phỏng thực hiện với kiểu tấn công sinkhole. Nút bị kẻ tấn
công điều khiển báo cáo sai giá trị rank về cho 6Mapper. Các tình
huống mô phỏng được thực hiện lần lượt với mạng 8 nút trong đó có
1 nút bị kẻ tấn công điều khiển, mạng 16 nút trong đó có 2 nút bị kẻ
tấn công điều khiển, mạng 32 nút trong đó có 4 nút bị kẻ tấn công điều
khiển.
Các loại nút sử dụng trong mô phỏng:
 Nút màu xanh lá là 6BR làm nhiệm vụ thu thập dữ liệu từ các
cảm biến trong mạng để phân tích và đưa ra cảnh báo.
 Nút màu vàng là các nút bình thường.
 21

 Nút màu tím là nút bị kẻ tấn công điều khiển, nó sẽ thực hiện
các hành động gây ảnh hưởng xấu đến mạng. Trong tấn công
sinkhole, những nút này sẽ gửi đi rank có giá trị nhỏ để các
nút hàng xóm định tuyến đi qua nó.
Tỉ lệ phát hiện thành công các nút độc hại xâm nhập vào hệ
thống mạng IoT trong những tình huống mô phỏng như hiển thị ở Hình
3.14, 3.15, 3.16 được tính bằng số lượng các nút độc hại phát hiện
thành công so với tổng số lượng các nút độc hại xâm nhập vào hệ thống
và tỉ lệ dương tính đúng nghĩa là tỉ lệ cảnh báo thành công trên tổng số
cảnh báo mà hệ thống đưa ra.
Nhận xét đánh giá
 Cài đặt và biên dịch mã nguồn IDS Suricata trên Ubuntu
14.04.1;
 Hệ thống phát hiện xâm nhập thời gian thực SVELTE và hệ
thống phát hiện xâm nhập Suricata giúp giám sát, phát hiện
và cảnh báo tốt đối với các loại tấn công Sybil, sinkhole,
selective forwarding;
 Hệ thống phát hiện xâm nhập Suricata thể hiện kết quả trên
giao diện web giúp dễ cấu hình, dễ thiết lập và tiện theo dõi
nhưng yêu cầu cấu hình thiết bị cao, năng lượng sử dụng lớn;
 Hệ thống phát hiện xâm nhập thời gian thực SVELTE hỗ trợ
các thiết bị hoạt động có năng lượng thấp, yêu cầu cấu hình
không cao.
NHẬN XÉT ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM
Thông qua triển khai thực nghiệm thu được kết quả đúng như
giải pháp đề xuất gồm:
 Cách ly tốt luồng dữ liệu giữa khu vực IoT với các khu vực
khác,
 22

 Nhận diện, xác thực và quản lý thiết bị kết nối trong khu vực
IoT,
 Toàn bộ thiết bị được bảo mật khi kết nối internet,
 Giám sát luồng dữ liệu vào/ra khu vực IoT đồng thời đưa ra
cảnh báo nếu có dấu hiệu bất thường xảy ra (các dạng tấn
công như: Sybil, sinkhole, selective forwarding, …).
KẾT CHƯƠNG
Chương 3 đề xuất giải pháp bảo mật cho thiết bị IoT và triển
khai thực nghiệm nhằm đánh giá hiệu quả của giải pháp mang lại, thực
hiện bảo mật cho IoT nói riêng và mạng nói chung không thể thiếu các
hệ thống phát hiện xâm nhập. Như vậy hệ thống phát hiện xâm nhập
đóng vai trò quan trọng trong việc nhằm bảo đảm an ninh không chỉ
cho các mạng truyền thống mà nó vẫn là lựa chọn tốt để triển khai cho
mạng IoT. Tuy nhiên khi triển khai các giải pháp bảo mật sử dụng hệ
thống phát hiện xâm nhập thường yêu cầu năng lực xử lý, bộ nhớ lớn.
Vì vậy cần phải lựa chọn kiểu hệ thống phát hiện xâm nhập phù hợp
để triển khai cho mạng IoT.
 23

KẾT LUẬN VÀ KIẾN NGHỊ

1. Kết quả đạt được
Với mục đích chính xây dựng giải pháp bảo mật cho các thiết bị
IoT trong gia đình (SmartHome), luận án đã đạt được một số kết quả
bước đầu như sau:
 Xác thực người dùng và thiết bị IoT thông qua kết nối không
dây sử dụng SSID và mật khẩu WPA2-PSK
 Quản lý thiết bị IoT tập trung thông qua giao diện Web
 Nhận diện thiết bị IoT thông qua cơ chế lọc địa chỉ MAC
 Cách ly luồng dữ liệu giữa các khu vực người dùng (có dây,
không dây), DMZ và IoT thông qua việc chia VLAN và thiết
lập chính sách điều khiển truy cập
 Luồng dữ liệu vào/ra khu vực IoT được kiểm soát và có cơ
chế cảnh báo khi có dấu hiệu bất thường xảy ra
 Bảo vệ hệ thống mạng nội bộ trước nguy cơ tấn công từ bên
trong và bên ngoài
2. Kiến nghị và hướng phát triển
Tuy bước đầu đạt được mục tiêu đặt ra, nhưng luận văn đề xuất
một số kiến nghị sau để tiếp tục hoàn thiện:
 Tập trung cách ly luồng dữ liệu giữa các khu vực trong hệ
thống và quản lý, nhận diện, xác thực các thiết bị IoT
 Xây dựng có cơ chế bảo mật dữ liệu truyền giữa các thiết bị
IoT
 Hệ thống phát hiện xâm nhập chưa bao quát hết các loại hình
tấn công
Luận văn đề xuất hướng nghiên cứu phát triển như sau:
 Xây dựng cơ chế quản lý, nhận diện thiết bị IoT thông qua
giao diện web (kết hợp RESTful và SDN)
 24

 Xây dựng hệ thống IDS (phần cứng và phần mềm)

 Xây dựng cơ chế mã hóa dữ liệu trao đổi giữa các thiết bị
IoT (kết hợp các giao thức ứng dụng hỗ trợ bảo mật trong
IoT: MQTT, CoAP)