Professional Documents
Culture Documents
Công nghệ mạng định nghĩa phần mềm (SDN) hiện nay đang nhận được rất nhiều
sự chú ý. Công nghệ này giúp thúc đẩy ảo hóa mạng, cho phép đội ngũ IT quản lý
các máy chủ, các ứng dụng, kho lưu trữ và mạng với một tập các công cụ. Công
nghệ SDN cung cấp một sự trừ tượng mức cao để lập trình các hành vi mạng một
cách rõ ràng và chi tiết.
Với sự linh hoạt của mình, công nghệ SDN có khả năng giải quyết các vấn đề của
mạng truyền thống hiện nay cũng như các vấn đề mới phát sinh. Công nghệ SDN
sẽ giúp mạng nhanh chóng thích ứng với sự chuyển đổi không ngừng của môi
trưởng kinh doanh và làm giảm đáng kể các hoạt động quản lý phức tạp cho các
nhà điều hành và quản lý mạng. Do đó, công nghệ SDN đã và đang được rất nhiều
tổ chức, các nhà nghiên cứu và phát triển giai pháp mạng tập trung vào đầu tư
nghiên cứu. Đi đầu trong nghiên cứu và triển khai công nghệ SDN hiện nay là 3
nhà phát triển giai pháp mạng lớn là Nokia, Cisco và Ciena. Hướng nghiên cứu về
công nghệ SDN sẽ rất hữu ích cho quá trình học tập và công tác sau này.
1 CƠ SỞ LÝ THUYỂT
1
- Campus network – Các mạng campus thường khó để quản lý, đặc biêt là khi đang
co nhu cầu về việc thống nhất mạng Wifi và Ethernet. SDN controller có thể giúp
cung cấp khả năng quản lý tập trung và tự động hóa cho mạng campus, từ đó cải
thiện bảo mật và chất lượng dịch vụ ở cấp độ ứng dụng trên toàn mạng.
- Service provider networks - SDN giúp các nhà cung cấp dịch vụ đơn giản hóa và
tự động hóa việc cung cấp mạng để quản lý và kiểm soát dịch vụ hay end to end
- Data center security – SDN hỗ trợ bảo vệ tập trung hơn hơn và đơn giản hóa việc
quản trị firewall. Nói chung, 1 doanh nghiệp phụ thuộc vào tường lửa để bảo mật
trung tâm dữ liệu
3) Xu hướng phát triển của nhà thông minh
Xu hướng phát triển nhà thông minh kết hợp với SDN đang trở nên phổ biến. Nhà
thông minh là một xu hướng công nghệ của ký nguyên Internet kết nối vạn vật
(IoT). SDN là một kiến trúc mạng mới, cho phép nhà cung cấp dịch vụ mạng(MSP)
và các tổ chức có thể quản lý mạng của họ bằng cách tách riêng biệt phần cứng và
phần mềm. Kết hợp giữa nhà thông minh và SDN có thể mang lại nhiều lợi ích, bao
gồm giảm thiểu chi phí, tăng tính linh hoạt và độ tin cậy của hệ thống. Tuy nhiên,
việc kết hợp này cũng đặt ra nhiều thách thức, bao gồm việc đảm bảo an ninh và
quản lý dữ liệu.
2
2 SDN VÀ NHÀ THÔNG MINH
1) Tích hợp SDN trong mô hình nhà thông minh
-Mô hình nhà thông minh là 1 mô hình có thể giúp con người cải thiện chất lượng
cuộc sống trong ngôi nhà cũng như kiểm soát và sử dụng các thiết bị gia dụng khác
nhau từ xa. Nhà thông minh thường được coi là môi trường sử dụng công nghệ
truyền thông và điện toán. Nó có thể được coi là một phần nhỏ của các cơ sở lớn
hơn liên quan đến thành phố thông minh hoặc tòa nhà thông minh; và đã tạo ra nhu
cầu về các nền tảng có khả năng tích hợp tất cả các yếu tố liên quan đến tính không
đồng nhất này, từ công nghệ chuyển tiếp đến người dùng, bao gồm cả việc quản lý
mối quan hệ giữa con người với thiết bị và giữa thiết bị với thiết bị giữa những
người khác. Để đối phó với những thách thức hiện tại đối với mô hình nhà thông
minh, mô hình SDN sẽ là một lựa chọn lý tưởng.
3
động liên lạc giữa con người với thiết bị và thiết bị với thiết bị cũng như các dịch
vụ từ xa.
Network security (An ninh mạng):
Để đảm bảo tính bảo mật của thiết bị, ngăn chặn các mối đe dọa xâm nhập vào
mạng và giảm thiểu một số lỗ hổng bên ngoài, nhằm ngăn chặn rò rỉ dữ liệu, bảo
mật mạng, sử dụng HAN là điều cần thiết.
2) Thách thức và giải pháp khi triển khai SDN trong Nhà Thông Minh
Nhiều thách thức có thể được xác định trong việc phát triển các ứng dụng dựa trên
nền tảng IoT. Có thể kể đến như:
5
3 ỨNG DỤNG CỤ THỂ
Với việc ngày càng có nhiều thiết bị có thể kết nối được với nhau thì ngày càng có
nhiều lỗ hổng bảo mật bị rò rỉ, ngày nay những việc như nghe lén, chăn sóng,
chiếm đoạt quyền điều khiển bất chính đang diễn ra rất phổ biến dẫn đến các mối
đe dọa về quyền riêng tư và an ninh mạng trong nhà thông minh.
Để phòng ngừa và ngăn chặn những rủi ro nguy hiểm như vậy thì Smart Home
Security ( SHSec ) hay An Ninh Nhà Thông Minh là giải pháp tuyệt vời và cần
thiết.
1) Kiến trúc Nhà thông minh dựa trên SHSec
Các thiết bị và giao thức mạng truyền thống không được thiết kế để duy trì mức độ
mở rộng và di động cao hoặc lưu lượng lớn. Việc mang theo thiết bị cá nhân và tính
di động đã tạo động lực cho môi trường IT điện tĩnh, đẩy cao nhu cầu về cơ sở hạ
tầng và mạng động. Tốc độ và sự phức tạp của sự phát triển này đang tạo ra liên tục
các hạng mục tấn công mới theo cách mũi tên, tổng hợp nhận diện và đối mặt với
những mối đe dọa được nhận biết và bí ẩn, tận dụng các lỗ hổng tấn công
“Bzeroday” và sử dụng phần mềm độc hại được giấu kín trong trang web, tài liệu,
mạng và máy chủ hiện nay, các doanh nghiệp đang cần một kiến trúc đơn lẻ bao
gồm các thiết bị bảo mật mạng hiệu suất cao với bảo vệ thời gian chạy tích cực.
Để tạo ra một mạng hợp nhất, các tiêu chuẩn hệ thống hiện tại rất hạn chế. Để đối
phó với những vấn đề về an ninh và các vấn đề khác, chúng tôi đề xuất SHSec, một
kiến trúc phòng thủ nhẹ, hiệu quả, có thể mở rộng và không phụ thuộc vào giao
thức để quản lý hiệu quả và tự động các mạng nhà đa dạng với nhiều đường truyền
sử dụng SDN
2) Nhà thông minh được kiểm soát bởi SHSec
Bằng cách phân chia trí tuệ của thiết bị định tuyến ở tầng dữ liệu, một bộ điều
khiển SHSec hoạt động như một hệ điều hành mạng dẫn đến việc các thiết bị định
tuyến khác hoạt động như một thiết bị chuyển tiếp trong mạng nhà. Hình 1 cho thấy
một tổng quan trừu tượng về mạng nhà SHSec. Ở đây, bộ điều khiển SHSec đã
thống nhất toàn bộ mạng nhà như một cổng và kiểm soát tất cả các thiết bị gia đình
- như bàn, hộp đầu thu và điện thoại thông minh - được kết nối qua cáp hoặc không
dây. Bằng cách sử dụng SDN, các thiết bị hỗ trợ SDN giao tiếp và trao đổi thống kê
và thông tin liên kết.
6
Hình 1: Mạng nhà thông minh dựa trên SHsec
3) Tổng quan thiết kế kiến trúc SHSec
SHSec là một mô hình kiến trúc tiên tiến và có tính thực dụng được đề xuất cho
nhà thông minh, bao gồm Orchestrator và KNOT ở tầng điều khiển, như thể hiện
trong Hình 2. Lưu ý rằng chúng tôi đã tận dụng những ưu điểm của mô hình kiến
trúc an ninh FSOpenSecurity SDN có tính thực dụng dựa trên công việc trước đó
của chúng tôi [17]. Orchestrator và KNOT đối mặt với các cuộc tấn công an ninh ở
nhiều cấp độ khác nhau. Orchestrator chủ yếu hoạt động ở tầng ứng dụng hoặc
quản lý, giao diện điều khiển-ứng dụng và tầng điều khiển; trong khi KNOT hoạt
động ở tầng dữ liệu, giao diện điều khiển-dữ liệu và tầng điều khiển. Bằng cách
chèn vào đó là những công nghệ động nhanh, hiệu suất cao và dựa trên
Orchestrator và KNOT, kiến trúc SHSec không chỉ mang lại tính linh hoạt vận hành
mà còn cung cấp phòng ngừa sự cố tích cực và phản ứng cho cảnh quan đe dọa
đang thay đổi liên tục. Nó cũng cung cấp một cơ sở hạ tầng an toàn, module và linh
hoạt. Tầng ứng dụng bao gồm quản lý an ninh và tin cậy, quản lý mạng và các ứng
7
dụng SDN. Tầng cơ sở hạ tầng chịu trách nhiệm về việc thu thập dữ liệu và chuyển
tiếp đến bộ điều khiển mạng thông qua các công tắc SDN có thể lập trình.
Orchestrator để xử lý Mối đe dọa Kiên trì Tiến xa (APTs) và cấu hình động cho
mạng khu vực nhà, mô-đun orchestrator giúp cung cấp tính linh hoạt. Trách nhiệm
chính của nó là cung cấp các phòng thủ được định nghĩa bằng phần mềm để bảo vệ
bộ điều khiển mạng khu vực nhà khỏi các mối đe dọa ở tầng ứng dụng. Nó hoạt
động như một tầng trung gian giữa tầng ứng dụng và tầng điều khiển, cung cấp bảo
vệ dữ liệu và xác định kiểm soát truy cập cho các ứng dụng ở tầng ứng dụng.
KNOT (viết tắt của Kernel of Network Tree) giúp mạng khu vực nhà bảo vệ khỏi
các cuộc tấn công an ninh và giảm nhẹ tấn công ngay sau khi một cuộc tấn công
dày đặc xảy ra. Nó bao gồm ba thành phần: bộ phân tích gói tin, xây dựng đồ thị
luồng, và giảm nhẹ tấn công. Thành phần bộ phân tích gói tin phân tích gói tin đến
bộ điều khiển và thu thập tất cả thông tin cần thiết từ gói tin, như Packet_in,
Stats_reply và Flow_mod, sau đó xây dựng một cây phân tích. Tiếp theo, thành
phần xây dựng đồ thị luồng xây dựng một mô hình đồ thị tăng dần dựa trên thông
tin nhận được từ cây phân tích. Cuối cùng, thành phần giảm nhẹ tấn công chịu trách
nhiệm phát hiện bất kỳ mối đe dọa nào, nếu có, và sau đó tạo ra cảnh báo và thực
hiện các bước cần thiết để giảm nhẹ chúng nếu có. Phần tiếp theo sẽ thảo luận chi
tiết về quy trình làm việc của KNOT, mô hình đồ thị và bộ nhớ đệm gói tin trong
khi xảy ra các cuộc tấn công dày đặc.
8
4) Quy trình làm việc của kiến trúc SHSec
Hình 3 mô tả quy trình làm việc của mô hình SHSec. Mỗi khi bộ điều khiển nhận
được một gói tin, nó đầu tiên kiểm tra xem có một luồng mới hay không. Nếu gói
tin mang theo một luồng mới, hệ thống sẽ phân tích gói tin để thu thập thông tin
cần thiết và xây dựng một cái nhìn toàn cầu về đồ thị mạng dựa trên thông tin đó.
Trong một cuộc tấn công dày đặc, có thể xảy ra tràn và bắt đầu thả các gói tin. Để
tránh mất các gói tin chính thức trong một cuộc tấn công dày đặc, chúng tôi giới
thiệu một bộ đệm cache dữ liệu trong mặt phẳng dữ liệu, tạm thời lưu trữ các gói
tin bị mất trong thời gian xử lý. Để cung cấp dịch vụ hiệu quả và thời gian thực,
chúng tôi chia quá trình phân tích thành hai phần. Ban đầu, chúng tôi phân tích gói
tin nhận được và kiểm tra xem đó có phải là một cuộc tấn công đã biết hay không.
Trong trường hợp của một cuộc tấn công đã biết, mô hình hệ thống tạo ra một cảnh
báo và thực hiện các bước cần thiết để giảm nhẹ cuộc tấn công. Trong trường hợp
của một cuộc tấn công chưa biết, mô hình hệ thống của chúng tôi cho phép phân
tích sâu rộng bằng cách trích xuất thêm các đặc trưng từ các gói tin nhận được. Nếu
phát hiện cuộc tấn công, hệ thống của chúng tôi cảnh báo bộ điều khiển bằng cách
tạo ra một cảnh báo và thực hiện các bước cần thiết để giảm nhẹ cuộc tấn công. Mô
hình hệ thống của chúng tôi cũng cập nhật các cơ sở dữ liệu của quy tắc mẫu trong
trường hợp phát hiện một cuộc tấn công mới. Chúng tôi sử dụng một mô hình đồ
thị để cập nhật mô hình hệ thống. Việc cập nhật mô hình đồ thị được thảo luận chi
tiết trong phần tiếp theo. Dựa trên thông báo nhận được từ bộ điều khiển, các biện
pháp cần thiết phải được thực hiện.
5) Cập nhật mô hình đồ thị
Trong trường hợp xuất hiện mẫu tấn công mới, chúng ta cần cập nhật các quy tắc
mẫu trong bộ lưu trữ. Để cập nhật đồ thị quy tắc mẫu, chúng tôi tận dụng sức mạnh
của mô hình cập nhật đồ thị được đề xuất bởi Wang và đồng nghiệp [31]. Chúng tôi
xem xét cả cập nhật cục bộ và toàn cầu trong trường hợp xuất hiện các mẫu tấn
công mới. Chúng tôi lựa chọn mô hình cập nhật dựa trên sự lệch khác giữa các mẫu
tấn công hiện tại và mẫu tấn công mới.
Mục đích của việc cập nhật cục bộ là đánh giá P(X), chẳng hạn như phân phối các
loại lưu lượng (độc hại hoặc bình thường), dựa trên bất kỳ dữ liệu mới nào đã được
quan sát. Tại điểm đó, P(X) mới có thể được sử dụng để nâng cấp các hàm Phân
phối Xác suất Điều kiện (CPD) được sử dụng trong việc phát hiện các cuộc tấn
công. Quy trình nâng cấp cục bộ là hiệu quả vì nó không bao gồm sự thay đổi trong
cấu trúc đồ thị. Trong hệ thống của chúng tôi, biến X thể hiện loại lưu lượng tuân
9
theo một phân phối đa thức với l tham số φ = (p1, p2, …, pl), l ∈ M+. Chúng tôi sử
dụng một bộ
10
Hình 3: Quy trình làm việc của mô hình SHsec
11
ước lượng trực tiếp để đánh giá φ bằng cách sử dụng dữ liệu mới quan sát được.
Ban đầu, chúng tôi mô tả P(φ) bằng một phân phối Dirichlet với các tham số β =
(β1, β2, …, βl) là
(1)
Tại điểm đó, chúng tôi sử dụng điều kiện sau để đánh giá các tham số φ^ cho
Ptest(X), tức là, phân phối mới của biến X.
(2)
Điều này giúp chúng tôi đánh giá các tham số mới cho phân phối của biến X dựa
trên dữ liệu mới nhất.
Tiếp theo, chúng ta có phương trình sau:
(3)
Cuối cùng, các tham số φ^ cho Ptest(X) có thể được đánh giá theo công thức
(4)
Phương trình này cho thấy chúng ta có thể nâng cấp mô hình đồ thị của mình chỉ
bằng cách nâng cấp xác suất có điều kiện của mỗi biến cục bộ liên quan đến loại
tấn công X trong mô hình đồ thị, điều này tính toán được.
6) Các trường hợp nghiên cứu về kiến trúc phòng thủ nhằm nâng cao bảo mật
quyền riêng tư người dùng
Để xác nhận và chứng minh tính hiệu quả của kiến trúc SHSec được đề xuất, chúng
tôi đã minh họa rằng các dịch vụ và dữ liệu nội bộ, cụ thể là phần giao tiếp liên kết
và khu vực của khách hàng, có thể được bảo vệ bằng kiến trúc được đề xuất.
12
Hình 4: Mô hình trợ lý giọng nói dựa trên SHSec cho nhà thông minh
6.1) Trường hợp sử dụng 1 - Bảo vệ quyền riêng tư của người dùng trong
SHSec
Trong số các thành phần nội bộ của SHSec, một thiết bị thông minh cung cấp các
dịch vụ thực sự cho người dùng, do đó, nó tiếp xúc với các cửa hàng tần suất cao và
quản lý người dùng cũng như một phần lớn thông tin cá nhân của họ. Thiết bị thông
minh tương tác và trao đổi thông tin với các thiết bị dữ liệu thông minh liên quan
đến bộ điều khiển SHSec để hiển thị trạng thái dịch vụ của người dùng mà nó quản
lý và lưu trữ. Một kẻ tấn công không được ủy quyền có thể thu thập thông tin cá
nhân từ một người dùng bằng cách chuyển hướng phần giao tiếp hoặc ngăn chặn
dịch vụ từ việc được cung cấp dễ dàng cho người dùng bằng một cuộc tấn công
DDoS có thể ảnh hưởng đến tính khả dụng dịch vụ và vi phạm quyền riêng tư của
thông tin cá nhân.
Do đó, tính năng an ninh của SHSec phải được áp dụng để đảm bảo tính khả dụng
và tính bảo mật của dữ liệu giao tiếp. Có thể bảo vệ tính bảo mật của thông tin
trong trường hợp lạm dụng dữ liệu bằng cách sử dụng Orchestrator được cung cấp
bởi mô hình đề xuất. Điều này làm cho việc giải mã hoặc đọc dữ liệu trở nên khó
khăn đối với một kẻ tấn công. Trong các cuộc tấn công DoS/DDoS, có thể bảo vệ
tính khả dụng của dịch vụ được cung cấp cho người dùng bằng cách áp dụng chức
năng của KNOT với các chức năng phân tích lưu lượng có thể xác định các cuộc
tấn công.
13
6.2) Trường hợp sử dụng 2: Ngăn chặn sự tăng đột ngột trên các kênh giao
tiếp
Trong số nhiều thiết bị thông minh liên quan đến bộ điều khiển nội bộ SHSec, có
thể có một số thiết bị độc hại thông minh được cài đặt bất hợp pháp bởi những kẻ
tấn công. Hơn nữa, các thiết bị độc hại có thể ẩn danh dưới dạng phân phối và tạo
ra bởi bên thứ ba có quyền truy cập vào tuyến giao tiếp bên ngoại của SHSec. Một
kẻ tấn công có thể sử dụng những thiết bị độc hại này để thực hiện một cuộc tấn
công mạng DoS/DDoS, tăng cường lưu lượng mạng, có thể gây tắc nghẽn mạng do
sự tăng đột ngột gây ra một lượng lớn lưu lượng cả bên ngoài và bên trong SHSec.
Để tránh những tai nạn như vậy thông qua bảo mật tích cực, việc sử dụng tính năng
KNOT là quan trọng, nó phân tích luồng lưu lượng để xác định một tăng đột phổ
biến và đảm bảo tính khả dụng của giao tiếp SHSec cả trong và giữa các miền.
6.3) Trường hợp sử dụng 3: Bảo vệ trợ lý giọng nói kỹ thuật số tại nhà của
người dùng trong SHSec
Gần đây, trợ lý giọng nói kỹ thuật số tại nhà đang trở nên phổ biến để kiểm soát các
thiết bị thông minh trong ngôi nhà thông minh. Người dùng có thể điều khiển các
thiết bị thông minh bằng cách sử dụng lệnh giọng nói. Ví dụ, lên lịch hẹn, điều
khiển cửa garage, điều chỉnh nhiệt độ phòng, đặt đồ ăn trực tuyến, v.v. Tuy nhiên,
do tính mở của các kênh giọng nói, người dùng có thể tiếp xúc với những rủi ro về
bảo mật. Một kẻ tấn công không được ủy quyền có thể tạo ra các cuộc tấn công giả
mạo đơn đặt hàng có thể dẫn đến việc vi phạm an ninh trong nhà. Thiết bị chấp
nhận các lệnh giọng nói, bất kể người có mặt hay không. Sử dụng mô hình SHSec,
chúng ta có thể đối phó với sự vi phạm an ninh trong trợ lý giọng nói kỹ thuật số tại
nhà. Hình 4 mô tả tình huống sử dụng mô hình trợ lý giọng nói kỹ thuật số tại nhà
sử dụng mô hình SHSec. Mỗi khi người dùng đưa ra một lệnh giọng nói cho thiết
bị trợ lý giọng nói, nó sẽ gửi đến bộ điều khiển SHSec thông qua các thiết bị
chuyển tiếp. Khi giọng nói được nhận bởi bộ điều khiển SHSec, nó thực hiện xử lý
giọng nói cần thiết để xác thực người dùng. Nếu người dùng được xác thực, bộ điều
khiển sẽ xử lý các lệnh giọng nói của người dùng và gửi lệnh cần thiết để kiểm soát
thiết bị thông minh được kết nối.
14
KẾT LUẬN
Bài báo cáo này đã cho chúng ta cái nhìn rõ hơn về ứng dụng của Software-Defined
Networking (SDN) trong môi trường Nhà Thông Minh đặt ra một vài thách thức và
mở ra những triển vọng lớn cho sự phát triển của hệ thống Nhà Thông Minh trong
tương lai
Từ đó ta có thể thấy SDN không chỉ là một giải pháp lý tưởng mà còn là một bước
đột phá quan trọng trong việc tối ưu hóa mạng trong Nhà Thông Minh. Tầm ảnh
hưởng của SDN không chỉ giới hạn trong việc quản lý mạng, mà còn mở ra cánh
cửa cho sự kết hợp linh hoạt của các thiết bị và dịch vụ thông minh.
Ngoài ra trong bài báo cáo này đề cập tới kiến trúc SHSec-được thiết kế để bảo vệ
và quản lý hiệu quả và chính xác mạng nhà thông minh bằng cách giảm chi phí
triển khai và các chi phí hiệu suất. SHSec được chọn làm lớp trung gian để đảm
bảo tương thích của nhiều thiết bị nhà thông minh có tài nguyên hạn chế. Vai trò
của kiến trúc SHSec là tạo ra và triển khai bảo vệ, bao gồm phòng chống mối đe
doạ và giảm nhẹ các cuộc tấn công bảo mật mạng. Các kết quả thực tế cũng chứng
minh rằng SHSec là hiệu quả và chính xác, và gây ra ít chi phí chi trả nhẹ nhàng.
Chúng ta có thể tin tưởng rằng SDN không chỉ là công nghệ hiện đại mà còn là chìa
khóa mở ra cho việc xây dựng các hệ thống Nhà Thông Minh, linh hoạt và tiết
kiệm năng lượng.
15
TÀI LIỆU THAM KHẢO