ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
------------------------------------------
ĐẶNG VĂN NGHĨA
NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT
CHO CÁC THIẾT BỊ IoT
LUẬN VĂN THẠC SĨ
KHOA HỌC MÁY TÍNH
Đà Nẵng – Năm 2017
ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
------------------------------------------
ĐẶNG VĂN NGHĨA
NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT
CHO CÁC THIẾT BỊ IoT
Chuyên ngành: Khoa học Máy tính
Mã số: 60.48.01.01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. NGUYỄN TẤN KHÔI
Đà Nẵng - Năm 2017
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
Tác giả luận văn
(Ký và ghi rõ họ tên)
Đặng Văn Nghĩa
MỤC LỤC
Trang
Chương 1 - TỔNG QUAN VỀ IoT ................................................................... 4
GIỚI THIỆU ....................................................................................................4
KIẾN TRÚC IoT .............................................................................................. 5
1.2.1. Kiến trúc dựa trên SOA .............................................................................6
1.2.2. Kiến trúc hướng API .................................................................................7
CÁC MÔ HÌNH TRUYỀN THÔNG IoT ...................................................... 8
1.3.1. Mô hình truyền thông thiết bị với thiết bị ................................................8
1.3.2. Mô hình truyền thông thiết bị với đám mây .............................................9
1.3.3. Mô hình truyền thông thiết bị với cổng giao tiếp ...................................10
1.3.4. Mô hình chia sẻ dữ liệu đầu cuối ........................................................... 11
KẾT CHƯƠNG .............................................................................................. 12
Chương 2 - CƠ SỞ LÝ THUYẾT .................................................................... 13
MÔ HÌNH KẾT NỐI IoT ..............................................................................13
2.1.1. Giới thiệu .................................................................................................13
2.1.2. Cơ chế hoạt động ..................................................................................... 14
2.1.3. Thiết bị cảm biến ..................................................................................... 14
2.1.4. Mạng cảm biến không dây ......................................................................14
2.1.5. Cổng giao tiếp IoT ................................................................................... 15
PHÂN LỚP THIẾT BỊ IoT ...........................................................................15
CÁC ỨNG DỤNG IoT ................................................................................... 17
BẢO MẬT TRONG MÔI TRƯỜNG IoT ................................................... 18
CÁC NGUY CƠ VỚI IoT TRONG NHÀ THÔNG MINH ....................... 18
QUẢN LÝ NHẬN DIỆN VÀ CHỨNG THỰC TRONG IoT ..................... 20
CÁC CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN ...................................21
2.7.1. IoT Guardian của ZingBox.....................................................................21
2.7.2. Bảo mật thiết bị và cổng giao tiếp của IBM ...........................................23
KẾT CHƯƠNG .............................................................................................. 27
Chương 3 - THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT........... 28
GIỚI THIỆU ..................................................................................................28
MÔ HÌNH .......................................................................................................28
3.2.1. Mô hình chức năng .................................................................................28
3.2.2. Mô hình triển khai................................................................................... 30
TRIỂN KHAI CÁC KHỐI CHỨC NĂNG ..................................................31
3.3.1. Thiết bị định tuyến (Router biên) ........................................................... 31
3.3.2. Thiết bị chuyển mạch (Switch) ............................................................... 31
3.3.3. Khu vực người dùng (Users)...................................................................31
3.3.4. Khu vực DMZ .......................................................................................... 31
3.3.5. Khu vực IoT ............................................................................................. 31
3.3.6. Hệ thống phát hiện xâm nhập (IDS) ...................................................... 32
3.3.7. Giải thuật xử lý ........................................................................................ 32
KẾT QUẢ TRIỂN KHAI THỰC NGHIỆM ...............................................34
3.4.1. Môi trường thực nghiệm .........................................................................34
3.4.2. Kịch bản 1 – Xây dựng và cách ly hệ thống mạng ................................ 34
Kiểm soát quá trình truy cập hệ thống mạng ..................................34
Nhận xét đánh giá ...........................................................................36
3.4.3. Kịch bản 2 – Triển khai hệ thống mạng IoT và định tuyến Ipv6 ..........36
Xây dựng hệ thống mạng IoT .......................................................... 36
Đánh giá kết quả thực nghiệm ........................................................ 38
3.4.4. Kịch bản 3 – Triển khai hệ thống phát hiện xâm nhập (IDS) ..............38
Triển khai giải pháp IDS cho mạng IoT mô phỏng ........................ 38
Nhận xét đánh giá ...........................................................................44
NHẬN XÉT ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM ............................. 45
KẾT CHƯƠNG .............................................................................................. 45
TÓM TẮT LUẬN VĂN
NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT CHO CÁC
THIẾT BỊ IoT
Học viên: Đặng Văn Nghĩa
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01
Trường Đại học Bách khoa – ĐHĐN
Khóa: 31
Tóm tắt - Với sự ra đời và tốc độ phát triển của IoT như hiện nay, tương lai sẽ có
hàng tỷ thiết bị thông minh kết nối internet và tương tác với nhau. Do đó bảo mật
cho thiết bị IoT là một thách thức lớn đối với các cá nhân, tổ chức, doanh nghiệp
triển khai IoT. Hiện nay nhiều giải pháp bảo mật cho IoT đã được triển khai như
ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass của HP, ISA của
Cisco, SDN, … Tuy nhiên mỗi giải pháp bảo mật có ưu nhược điểm riêng. Vì vậy
tác giả đề xuất giải pháp bảo mật tổng thể cho thiết bị IoT kết hợp nhận diện, xác
thực thiết bị, cách ly luồng dữ liệu, ẩn thông tin thiết bị khi kết nối internet, theo
dõi, giám sát luồng dữ liệu trao đổi trong mạng và đưa ra cảnh báo khi có dấu hiệu
bất thường xảy ra. Giải pháp đề xuất được thực hiện thông qua việc chia VLAN,
thiết lập ACL, NAT, lọc địa chỉ MAC, chứng thực sử dụng tên đăng nhập kết hợp
mật khẩu và triển khai hệ thống phát hiện xâm nhập (IDS) để giám sát, cảnh báo.
Từ khóa - bảo mật IoT; bảo mật thiết bị IoT; giám sát; phát hiện xâm nhập; lọc địa
chỉ MAC.
RESEARCH IN BUILDING SECURITY SOLUTION FOR IOT
DEVICES
Abstract - With the growing up and development of IoT today, the future will be
billions of smart devices connected to the internet and interact with each other.
Hence the security of IoT device is a big challenge for individuals, organizations
and enterprises deploying IoT. Currently, many security solutions for IoT have
been deployed such as ZingBox, IBM, Microsoft Azure, Endian, Aruba Clear Pass
of HP, ISA of Cisco, SDN, etc. However, each security solution has its advantages
and disadvantages. So the author proposes a comprehensive security solution for
IoT devices that combines authentication, device authentication, data isolation,
device information concealment on the Internet, data stream monitoring and
monitoring Exchange within the network and issue alerts when abnormalities
occur. The proposed solution is implemented through VLAN splitting, ACLs,
NATs, MAC address filtering, authentication using password-matching logins and
deployment of intrusion detection systems (IDS) for monitoring, warning.
Key words – IoT security; IoT device security; monitoring; intrusion detection;
MAC address filtering.
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
6LBR
6LoWPAN Border Router
6LoWPAN
IPv6 over Low-power Wireless Personal Area Networks
ALG
Application Layer Gateway
API
Application Programming Interface
BLE
Bluetooth Low Energy
DMZ
De-Militarised Zone
IAB
Internet Architecture Board
IDS
Intrusion Detection System
IEEE
Institute of Electrical and Electronics Engineers
IoT
Internet of Things
IP
Internet Protocol
ITU
International Telecommunication Union
JSON
JavaScript Object Notation
M2M
Machine to Machine
MAC
Media Access Control
NAC
Network Access Control
NAT
Network Address Translation
OAuth
Open Authorization
PAN
Personal Area Network
REST
Representational State Transfer
RFID
Radio Frequency Identification
RMI
Remote Method Invocation
RTOS
Real Time Operating System
SOA
Service Oriented Architecture
SOAP
Simple Object Access Protocol
SSDP
Simple Sevice Discovery Protocol
URI
Uniform Resource Identifier
VLAN
Virtual Local Area Network
VTP
VLAN Trunking Protocol
WAN
Wide Area Network
WPA2-PSK
Wi-Fi Protected Access 2 - Pre-Shared Key
WSN
Wireless Sensor Network
XML
eXtensible Markup Language
DANH MỤC CÁC BẢNG
Số hiệu bảng
Tên bảng
Trang
3.1
Danh sách thiết bị được phép truy cập vào hệ thống mạng
35
3.2
Danh sách thiết bị được phép truy cập vào khu vực IoT
36
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Số
hiệu
hình
vẽ
Tên hình vẽ
Trang
1.1
Kiến trúc tham chiếu cho IoT
5
1.2
Mô hình truyền thông thiết bị với thiết bị
8
1.3
Mô hình truyền thông thiết bị với đám mây
9
1.4
Mô hình truyền thông thiết bị với cổng giao tiếp
11
1.5
Mô hình chia sẻ dữ liệu đầu cuối
12
2.1
Topology chung cho IoT [12]
13
2.2
Phân lớp thiết bị IoT
16
2.3
Mô hình triển khai ZingBox
21
2.4
Sơ đồ mô tả chứng thực OAuth 2.0
24
2.5
Mô hình xác thực ID ứng dụng
25
3.1
Sơ đồ khối chức năng
29
3.2
Mô hình triển khai
30
3.3
Mô hình chi tiết triển khai hệ thống phát hiện xâm nhập (IDS)
32
3.4
Mô hình thực nghiệm kiểm soát truy cập giữa các khu vực trong hệ
thống mạng
35
3.5
Mô hình mô phỏng hệ thống IoT
36
3.6
Bảng định tuyến tại nút 1 – Router biên (6LBR)
37
3.7
Thông tin của nút 2
37
3.8
Thông tin của nút 3
37
3.9
Thông tin của nút 4
38
3.10
Thông tin của nút 5
38
3.11
IDS Suricata kết nối với Prelude hiển thị kết quả thông qua giao
diện Web
39
3.12
Giao diện phần mềm Cooja
39
3.13
Di chuyển đến thư mục chứa mã nguồn SVELTE
40
3.14
Mô phỏng 8 nút, trong đó có 1 nút bị kẻ tấn công điều khiển
40
3.15
Mô phỏng 16 nút, trong đó có 2 nút bị kẻ tấn công điều khiển
41
3.16
Mô phỏng 32 nút, trong đó có 4 nút bị kẻ tấn công điều khiển
41
3.17
Tỉ lệ dương tính sai với kịch bản 8 nút của SVELTE
42
3.18
Tỉ lệ dương tính sai với kịch bản 16 nút của SVELTE
42
3.19
Tỉ lệ dương tính sai với kịch bản 32 nút của SVELTE
43
3.20
Tỉ lệ dương tính đúng với kịch bản 8 nút của SVELTE
43
3.21
Tỉ lệ dương tính đúng với kịch bản 16 nút của SVELTE
44
3.22
Tỉ lệ dương tính đúng với kịch bản 32 nút của SVELTE
44
1
MỞ ĐẦU
1. Tính cấp thiết của đề tài
Thuật ngữ IoT ra đời từ năm 1999, trên thế giới người ta đã nghiên cứu, triển
khai và ứng dụng nó trong các hoạt động của đời sống cụ thể như: Smart home, Smart
watch, Smart city, Smart phone, Smart TV,…Tuy nhiên ở Việt Nam chúng ta thuật
ngữ IoT thực sự được nhiều người biết đến và sử dụng khoảng vài năm gần đây [5,12].
Năm 2014 Công ty HP yêu cầu kiểm tra các ứng dụng bảo mật trên 10 thiết bị
IoT phổ biến nhất được sử dụng và các ứng dụng di động bao gồm: TV, ổ cắm điện,
webcam, hub thông minh, điều hòa nhiệt độ trong nhà, điều khiển phun nước, chuông
báo, mở cửa nhà để xe và khóa cửa [14-16].
Theo báo cáo của HP thông qua kiểm tra phát hiện tổng cộng 250 lỗ hổng bảo
mật trong các thiết bị IoT, như vậy trung bình có khoảng 25 lỗ hổng bảo mật cho mỗi
thiết bị. Những vấn đề liên quan đến sự riêng tư, không có đủ quyền truy cập, dữ liệu
không được mã hóa trước khi truyền, bảo vệ phần mềm không đầy đủ và giao diện
web không an toàn [14-16].
Nghiên cứu chỉ ra rằng 80% các thiết bị được kiểm tra gồm các ứng dụng di động
và cloud tương ứng, mối quan tâm lớn nhất liên quan đến việc thu thập dữ liệu riêng tư
của người dùng như tên, địa chỉ mail, địa chỉ vật lý, ngày sinh, tài chính và thông tin
sức khỏe [14-16].
Khi nói đến sự cho phép, nhiều sản phẩm không thực thi chính sách mật khẩu
mạnh, cho phép người dùng thiết lập mật khẩu đơn giản không chỉ trên thiết bị của họ
mà trên cả web và các ứng dụng di động.
HP cho biết 70% các thiết bị IoT được kiểm tra không mã hóa khi truyền thông
trên internet và trên mạng cục bộ, với nửa số ứng dụng của họ thiếu cơ chế mã hóa khi
truyền dữ liệu. Khoảng 60% thiết bị của các nhà sản xuất không đảm bảo rằng các bản
cập nhật phần mềm được tải về một cách an toàn, trong một số trường hợp cho phép
kẻ tấn công ngăn chặn chúng [14-16].
Theo như giao diện web có liên quan, sáu trong số 10 sản phẩm tồn tại các lỗ
hổng XSS, thông tin mặc định dễ đoán và quản lý phiên không chặt chẽ. Sai sót trong
các ứng dụng đám mây và di động của 70% thiết bị có thể bị khai thác để xác định tài
khoản người dùng hợp lệ thông qua tính năng khôi phục mật khẩu hoặc liệt kê tài
khoản [16].
Gartner dự đoán rằng đến năm 2020 sẽ có khoảng 26 tỷ thiết bị IoT, với các công
ty cung cấp sản phẩm và dịch vụ tạo doanh thu tăng vượt quá 300 tỷ $. HP tin rằng
nhiều nhà sản xuất thiết bị cố gắng khởi động các sản phẩm của mình càng nhanh càng
2
tốt trong nỗ lực để chiếm được thị phần, nhưng lại bỏ qua các vấn đề về an ninh [1416].
Xuất phát từ những lý do nêu trên, tôi chọn thực hiện đề tài: “Nghiên cứu xây
dựng giải pháp bảo mật cho các thiết bị IoT”.
2. Mục đích nghiên cứu
Mục đích chính của luận văn nhằm xây dựng giải pháp bảo mật cho các thiết bị
IoT trong gia đình (SmartHome). Giải pháp đề xuất nhằm đáp ứng các yêu cầu như
sau:
Quản lý và nhận diện được toàn bộ thiết bị IoT trong gia đình,
Cách ly người dùng kết nối Wifi với các thiết bị IoT trong gia đình,
Chỉ định thiết bị cụ thể được phép kết nối và quản lý toàn bộ hệ thống trong
gia đình,
Giám sát truy cập và lưu lượng vào/ra mạng đồng thời đưa ra cảnh báo.
3. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu của đề tài:
Các giải pháp bảo mật cho thiết bị IoT,
Kiến trúc hệ thống IoT,
Các công cụ hỗ trợ bảo mật cho thiết bị IoT.
Phạm vi nghiên cứu của đề tài:
Nghiên cứu bảo mật cho thiết bị IoT trong gia đình (SmartHome),
Nghiên cứu các mô hình kết nối IoT trong gia đình.
4. Phương pháp nghiên cứu
Đề tài sẽ sử dụng các phương pháp nghiên cứu:
a. Phương pháp nghiên cứu lý thuyết
Cơ sở lý thuyết về IoT,
Cơ sở lý thuyết về các mô hình bảo mật cho IoT,
Cơ sở lý thuyết bảo mật cho IoT.
b. Phương pháp thực nghiệm
Triển khai các chính sách bảo mật cho thiết bị IoT trong gia đình,
3
Xây dựng mô hình kết nối và thử nghiệm.
5. Cấu trúc của luận văn
Cấu trúc của luận văn gồm các phần chính như sau:
Mở đầu: Trình bày tính cần thiết của đề tài, mục đích, phạm vi nghiên cứu của đề
tài, phương pháp nghiên cứu và bố cục của luận văn.
Chương 1. Tổng quan về IoT. Trình bày lý thuyết ngắn gọn, khảo sát các công
trình đã đăng tải liên quan đến đề tài luận văn, nêu những vấn đề còn tồn tại, chỉ ra
những vấn đề mà đề tài luận văn quan tâm.
Chương 2. Cơ sở lý thuyết. Tổng hợp, thu thập, phân tích, đánh giá các số liệu
trên cơ sở lý thuyết, giả thiết khoa học để giải quyết vấn đề mà đề tài quan tâm.
Chương 3. Thiết kế và triển khai giải pháp bảo mật. Trình bày phần tính toán, mô
phỏng hay kết quả thực nghiệm để minh chứng cho các kết quả trong các chương
trước; Phần bàn luận phải căn cứ vào các dẫn liệu khoa học thu được trong quá trình
nghiên cứu của đề tài luận văn hoặc đối chiếu so sánh kết quả nghiên cứu của các tác
giả khác thông qua các tài liệu tham khảo.
Kết luận và hướng phát triển. Đánh giá kết quả đã đạt được, xác định những ưu
nhược điểm và hướng phát triển trong tương lai.
4
Chương 1 - TỔNG QUAN VỀ IoT
GIỚI THIỆU
Thuật ngữ “Internet of Things” (IoT) được sử dụng đầu tiên vào năm 1999 bởi
nhà tiên phong về công nghệ người Anh có tên Kevin Ashton nhằm mô tả một hệ
thống trong đó các đối tượng trong thế giới thực có thể kết nối Internet bằng cảm biến.
Ashton đưa ra thuật ngữ để minh họa sức mạnh của việc kết nối các thẻ RFID được sử
dụng trong các chuỗi cung ứng của công ty với Internet để kiểm tra và theo dõi hàng
hóa mà không cần sự can thiệp của con người. Ngày nay, IoT đã trở thành một thuật
ngữ phổ biến để mô tả các viễn cảnh trong đó khả năng kết nối Internet và mở rộng
tính toán đến nhiều đối tượng, thiết bị, cảm biến và đồ vật hằng ngày [5,12].
Trong khi thuật ngữ “Internet of Things” tương đối mới, khái niệm kết hợp máy
tính và mạng để theo dõi và điều khiển các thiết bị đã xuất hiện trong nhiều thập kỷ
qua. Ví dụ, vào cuối những năm 1970, các hệ thống giám sát từ xa công tơ điện trên
lưới điện thông qua đường dây điện thoại đã được sử dụng cho mục đích thương mại.
Vào những năm 1990, các tiến bộ trong công nghệ không dây cho phép doanh nghiệp
M2M và các giải pháp công nghiệp cho thiết bị giám sát và vận hành trở nên phổ biến.
Tuy nhiên, nhiều giải pháp M2M ban đầu được xây dựng dựa trên các mạng với mục
đích khép kín và độc quyền hoặc các tiêu chuẩn theo lĩnh vực riêng hơn là các mạng
dựa trên giao thức và các chuẩn Internet [5,12].
Sử dụng IP để kết nối các thiết bị không phải máy tính với Internet là ý tưởng đã
có từ trước. Thiết bị internet sử dụng IP đầu tiên là một máy nướng bánh mỳ nó có thể
bật và tắt thông qua internet được trưng bày tại hội nghị internet năm 1990. Trong
những năm sau đó, nhiều thứ khác sử dụng IP ra đời như máy nước ngọt tại Đại học
Carnegie Mellon của Mỹ và nồi nấu cà phê trong phòng tại Đại học Cambridge của
Anh (vẫn duy trì kết nối internet cho đến 2001). Từ những khởi đầu tuyệt vời này, cho
ra đời một lĩnh vực nghiên cứu và phát triển mạnh mẽ thành mạng lưới các đối tượng
thông minh tạo nền tảng cho IoT ngày nay [5,12].
Theo hội đồng kiến trúc Internet (IAB): IoT cho thấy ở đó một lượng lớn thiết bị
nhúng sử dụng dịch vụ thông tin liên lạc được cung cấp bởi các giao thức Internet.
Hầu hết trong số đó được gọi là các đối tượng thông minh không được điều khiển trực
tiếp bởi con người, nhưng chúng tồn tại như là thành phần trong các tòa nhà hoặc xe
cộ hoặc ngoài môi trường [5,12].
Theo liên minh viễn thông quốc tế (ITU): IoT là hạ tầng toàn cầu cho xã hội
thông tin, cho phép nâng cao các dịch vụ bằng cách kết nối mọi thứ dựa trên công
nghệ thông tin và truyền thông hiện có với việc phát triển các công nghệ thông tin và
truyền thông tương thích [5,12].
5
Theo tạp chí thông tin IEEE: IoT là một khuôn dạng trong đó tất cả mọi thứ phải
hiện diện trên Internet và phải có một đại diện. Cụ thể hơn, IoT nhằm mục đích cung
cấp các ứng dụng mới và dịch vụ cầu nối giữa thế giới thực và ảo, trong đó truyền
thông từ máy đến máy đại diện cho thông tin liên lạc cơ bản nó cho phép tương tác
giữa mọi thứ và các ứng dụng trong đám mây [5,12].
Theo từ điển Oxford: IoT là sự kết nối thông qua Internet của các thiết bị điện
toán được tích hợp trong các vật dụng hằng ngày cho phép chúng gửi và nhận dữ liệu
[5,12].
KIẾN TRÚC IoT
Các khu nhà của IoT là các thiết bị cảm biến, dịch vụ gọi từ xa, các mạng truyền
thông và xử lý sự kiện theo ngữ cảnh; Những điều này đã được xây dựng và nghiên
cứu trong nhiều năm. Tuy nhiên, những gì IoT cố gắng để minh họa là một mạng lưới
thống nhất các đối tượng thông minh và con người chịu trách nhiệm điều hành chúng
[2].
Hình 1.1. Kiến trúc tham chiếu cho IoT
Khi nói đến một môi trường phân tán, sự liên kết giữa các thực thể là một yêu
cầu thiết yếu, và IoT là một ví dụ điển hình. Một kiến trúc hệ thống toàn diện cho IoT
cần đảm bảo các thành phần của nó hoạt động hoàn hảo (độ tin cậy được coi là yếu tố
quan trọng nhất trong IoT) và liên kết giữa thế giới ảo với thế giới thật. Để đạt được
điều này, cần phải xem xét cẩn thận trong việc thiết kế khả năng khôi phục lỗi và mở
rộng. Ngoài ra, vì tính di động và sự thay đổi vị trí một cách tự động trở thành một
6
phần không thể tách rời của các hệ thống IoT thông qua việc điện thoại thông minh
được sử dụng phổ biến, các kiến trúc hiện đại cần phải có khả năng thích nghi nhất
định nhằm xử lý đúng đắn các tương tác động trong toàn bộ hệ thống [2].
Các mô hình và kiến trúc tham chiếu biểu diễn tổng quan về hệ thống, ưu thế của
chúng so với kiến trúc khác dựa trên việc cung cấp mức độ trừu tượng tốt hơn và cao
hơn, vì vậy ẩn đi các ràng buộc cụ thể và chi tiết thực hiện [2].
Nhiều nhóm nghiên cứu đã đề xuất các kiến trúc tham chiếu cho IoT. IoT-A tập
trung vào việc phát triển và xác nhận hợp nhất kiến trúc mạng IoT và hỗ trợ xây dựng
các khu nhà IoT. Dự án IoT-i liên quan đến dự án IoT-A đã đề cập trước đó, tập trung
vào việc thúc đẩy các giải pháp IoT, bắt kịp các yêu cầu và sở thích. IoT-i nhằm đạt
được các mục tiêu chiến lược, như: tạo ra một tầm nhìn chung về chiến lược và kỹ
thuật cho IoT ở Châu Âu và góp phần tạo ra môi trường bền vững về mặt kinh tế, xã
hội ở Châu Âu về công nghệ IoT [2].
Một mô tả phác thảo phiên bản mở rộng của kiến trúc tham chiếu cho IoT. Lớp
dịch vụ và lớp trình bày được hiển thị trong kiến trúc này. Lớp dịch vụ bao gồm xử lý
sự kiện, phân tích, quản lý tài nguyên và phát hiện dịch vụ, cũng như các dịch vụ tích
hợp tin nhắn được xây dựng nằm trên lớp truyền thông và lớp vật lý. Kiến trúc mới bổ
sung chức năng quản lý API, nó cần thiết cho việc xác định và chia sẻ các dịch vụ hệ
thống dựa vào bảng điều khiển chạy trên web (hoặc các ứng dụng điện thoại thông
minh tương ứng) để quản lý và truy cập đến những API này. Do tầm quan trọng của
việc quản lý thiết bị, bảo mật và thực thi quyền riêng tư trong các lớp khác nhau, khả
năng nhận diện các đối tượng và kiểm soát mức độ truy cập của chúng, những thành
phần này được thể hiện một cách độc lập trong kiến trúc mới [2].
1.2.1. Kiến trúc dựa trên SOA
Trong IoT, kiến trúc hướng dịch vụ có thể là điều bắt buộc đối với các nhà cung
cấp dịch vụ và người dùng. SOA đảm bảo khả năng tương tác giữa các thiết bị không
đồng nhất. Để làm rõ điều này chúng ta hãy xem xét một kiến trúc hướng dịch vụ
chung bao gồm bốn lớp, với chức năng phân biệt như sau [2]:
Lớp cảm biến được tích hợp với các đối tượng phần cứng có sẵn để nhận biết
trạng thái của sự vật
Lớp mạng là cơ sở hạ tầng để hỗ trợ các vật thông qua kết nối có dây hoặc
không dây
Lớp dịch vụ thực hiện việc khởi tạo và quản lý dịch vụ theo yêu cầu của người
dùng hoặc ứng dụng
Lớp giao tiếp bao gồm các phương thức giao tiếp với người hoặc ứng dụng
7
SOA được sử dụng rộng rãi trong mạng cảm biến không dây (WSN) do mức độ
trừu tượng và các ưu điểm phù hợp với mô đun thiết kế của nó. Với việc mang lại
những lợi ích cho IoT như nêu ở trên, SOA có tiềm năng làm tăng mức độ tương thích
và khả năng mở rộng giữa các đối tượng trong IoT. Hơn nữa, từ quan điểm của người
dùng, tất cả dịch vụ được gom vào bộ dùng chung, loại bỏ các thành phần mở rộng
phức tạp đối với người dùng liên quan đến nhiều lớp và giao thức khác nhau. Ngoài ra,
bằng cách tạo nên những chức năng khác nhau của hệ thống thông qua các thành phần
dịch vụ phù hợp với bản chất không đồng nhất của IoT để có khả năng xây dựng đa
dạng dịch vụ và các dịch vụ phức tạp, ở đó hoàn thành mỗi nhiệm vụ yêu cầu một
chuỗi các phiên gọi dịch vụ trên tất cả thực thể khác nhau được lan truyền thông qua
nhiều vị trí [2].
Nói chung trong kiến trúc như vậy, một hệ thống phức tạp được chia thành nhiều
hệ thống con được ghép lỏng lẻo và có thể sử dụng lại sau này, do đó dễ dàng để duy
trì toàn bộ hệ thống bằng việc quản lý từng thành phần riêng. Điều này có thể đảm bảo
rằng một thành phần lỗi thì phần còn lại của hệ thống vẫn có thể hoạt động bình
thường. Nó có giá trị rất lớn cho việc thiết kế một kiến trúc ứng dụng IoT hiệu quả, ở
đó độ tin cậy là tham số quan trọng nhất [2].
1.2.2. Kiến trúc hướng API
Phương pháp tiếp cận thông thường để phát triển các giải pháp hướng dịch vụ sử
dụng SOAP và RMI như một phương tiện để mô tả, phát hiện và gọi các dịch vụ; Tuy
nhiên, do chi phí và sự phức tạp của những kỹ thuật này, nên lập trình giao tiếp ứng
dụng web và REST được giới thiệu như là giải pháp thay thế đầy hứa hẹn. Các nguồn
lực bắt buộc bao gồm từ băng thông mạng cho đến khả năng tính toán và lưu trữ được
kích hoạt bởi dữ liệu phản hồi yêu cầu xảy ra thường xuyên trong suốt các phiên gọi
dịch vụ. Các dạng trao đổi dữ liệu giống như JSON có thể làm giảm chi phí nói trên,
đặc biệt các thiết bị thông minh và cảm biến với nguồn tài nguyên giới hạn, bằng cách
thay thế các tệp XML lớn được sử dụng để mô tả các dịch vụ. Điều này giúp sử dụng
kênh truyền thông và năng lực xử lý của thiết bị một cách hiệu quả hơn [2].
Tương tự như vậy, việc xây dựng các API cho những ứng dụng IoT giúp nhà
cung cấp dịch vụ thu hút được nhiều khách hàng hơn là tập trung vào trình bày chức
năng sản phẩm của họ. Ngoài ra, tính năng bảo mật của các API web hiện đại như
OAuth nó dễ dàng kích hoạt hơn, các API thực sự có khả năng thúc đẩy thương mại
hóa và dịch vụ triển lãm của tổ chức, nó cung cấp nhiều công cụ theo dõi và dịch vụ
định giá hiệu quả hơn những phương pháp tiếp cận theo hướng dịch vụ trước đây [2].
Để kết thúc việc này, trong các nghiên cứu đã đề xuất trước đây, việc sử dụng ký
hiệu web API và ngôn ngữ định nghĩa API để mô tả thiết bị, cảm biến, con người và
dịch vụ hiện có. Hơn nữa, một phương pháp tiếp cận phát hiện hai giai đoạn được đề
8
xuất nhằm tìm kiếm các cảm biến cung cấp dịch vụ mong muốn và phù hợp với những
tính năng nhất định giống như xác định vị trí. Đề xuất một lớp dịch vụ trung gian đó là
đưa ra một tập hợp API cho phép chia sẻ quyền truy cập đến lõi. Các phương pháp tiếp
cận giả định nhằm xác định và chia sẻ các dịch vụ trong môi trường phân tán và đa tác
nhân giống như IoT có thể làm tăng tính thực tế trong chu kỳ phát triển ứng dụng và
giảm thiểu chi phí gọi dịch vụ trong thời gian chạy [2].
Chuyển từ các nền tảng dịch vụ phân phối sang nền tảng dựa trên web. Các nhà
phát triển và quản lý kinh doanh nên tập trung phát triển, chia sẻ các API từ giai đoạn
đầu của vòng đời phát triển ứng dụng của họ, để cuối cùng dữ liệu đến với các nhà
phát triển khác và người dùng cuối, một môi trường dữ liệu mở sẽ tạo ra khả năng
cộng tác trong việc thu thập, chia sẻ và cập nhật thông tin [2].
CÁC MÔ HÌNH TRUYỀN THÔNG IoT
1.3.1. Mô hình truyền thông thiết bị với thiết bị
Mô hình truyền thông thiết bị với thiết bị (Device – to – Device) đại diện cho hai
hoặc nhiều thiết bị kết nối trực tiếp và truyền thông giữa thiết bị này với thiết bị khác
mà không thông qua máy chủ ứng dụng trung gian được thể hiện trong Hình 1.2.
Những thiết bị này liên lạc thông qua nhiều kiểu mạng, bao gồm các mạng IP hoặc
Internet. Tuy nhiên, những thiết bị này thường sử dụng các giao thức như Bluetooth,
Z-Wave, ZigBee để thiết lập liên lạc trực tiếp giữa thiết bị với nhau [5,17].
Hình 1.2. Mô hình truyền thông thiết bị với thiết bị
Những mạng kết nối kiểu này cho phép các thiết bị tuân thủ một giao thức truyền
thông cụ thể để giao tiếp và trao đổi thông điệp nhằm đạt được chức năng của chúng.
Mô hình này thường được sử dụng trong các ứng dụng giống như hệ thống tự động
hóa trong nhà, thường sử dụng các gói dữ liệu nhỏ để thông tin giữa các thiết bị yêu
cầu tốc độ dữ liệu tương đối thấp. Các thiết bị IoT trong nhà như bóng đèn, các công
tắc đèn, máy điều hòa nhiệt độ, khóa cửa thường gửi một lượng nhỏ thông tin cho
nhau trong kịch bản nhà tự động [5,17].
9
Cách tiếp cận truyền thông giữa các thiết bị kiểu này minh họa nhiều thách thức
về khả năng tương tác. Những thiết bị này thường có mối quan hệ trực tiếp, chúng
thường có cơ chế bảo mật và tin cậy, nhưng hầu như chúng sử dụng các mô hình dữ
liệu cụ thể cho thiết bị đòi hỏi nỗ lực phát triển dự phòng bởi các nhà sản xuất thiết bị.
Điều này có nghĩa rằng các nhà sản xuất thiết bị cần đầu tư vào phát triển nhằm triển
khai các định dạng dữ liệu cụ thể cho thiết bị hơn là mở ra các phương pháp tiếp cận
cho phép sử dụng các định dạng dữ liệu chuẩn [5,17].
Theo quan điểm của người dùng, điều này có nghĩa rằng các giao thức truyền
thông giữa các thiết bị không tương thích, buộc người dùng lựa chọn nhóm thiết bị sử
dụng một giao thức chung. Ví dụ, các thiết bị sử dụng giao thức Z-Wave không tương
thích với các thiết bị sử dụng giao thức ZigBee. Mặc dù việc không tương thích này
hạn chế người dùng phải lựa chọn thiết bị là thành viên của họ hàng giao thức cụ thể,
tuy nhiên lợi ích mang lại cho người dùng đó là những thiết bị thuộc cùng họ hàng cụ
thể có xu hướng giao tiếp tốt [5,17].
1.3.2. Mô hình truyền thông thiết bị với đám mây
Mô hình truyền thông thiết bị với đám mây (Device – to – Cloud) trong đó thiết
bị IoT kết nối trực tiếp với dịch vụ đám mây Internet, dịch vụ đám mây Internet đóng
vai trò là nhà cung cấp dịch vụ ứng dụng để trao đổi dữ liệu và điều khiển luồng thông
điệp. Cách tiếp cận này thường tận dụng các cơ chế truyền thông hiện có như kết nối
Ethernet hoặc Wifi để thiết lập kết nối giữa thiết bị và mạng IP, sau đó kết nối đến
dịch vụ đám mây như hiển thị trong Hình 1.3 [5,17]
Hình 1.3. Mô hình truyền thông thiết bị với đám mây
Mô hình truyền thông này được sử dụng bởi một số thiết bị IoT phổ biến như
máy điều hòa nhiệt độ và tivi thông minh của Samsung. Trong trường hợp của máy
10
điều hòa nhiệt độ, thiết bị truyền dữ liệu đến cơ sở dữ liệu điện toán đám mây, nơi dữ
liệu có thể được sử dụng để phân tích năng lượng tiêu thụ trong gia đình. Hơn nữa kết
nối đám mây cho phép người dùng truy cập từ xa đến máy điều hòa nhiệt độ thông qua
điện thoại thông minh hoặc giao diện web, và hỗ trợ cập nhật phần mềm cho máy điều
hòa nhiệt độ. Tương tự như công nghệ tivi thông minh của Samsung, tivi sử dụng kết
nối internet để truyền thông tin người dùng đến Samsung nhằm phân tích và cho phép
tương tác với tính năng nhận dạng giọng nói của tivi. Trong trường hợp này, mô hình
truyền thông thiết bị với đám mây làm tăng lợi ích của người dùng cuối bằng cách mở
rộng khả năng của thiết bị vượt qua các đặc trưng vốn có của nó [5,17].
Tuy nhiên, các thách thức về khả năng tương tác có thể xuất hiện khi cố gắng kết
hợp thiết bị của các nhà sản xuất khác nhau. Thông thường, thiết bị và dịch vụ đám
mây xuất phát từ cùng một nhà cung cấp. Nếu các giao thức dữ liệu độc quyền được sử
dụng giữa thiết bị và dịch vụ đám mây, chủ sở hữu thiết bị hoặc người dùng có thể bị
ràng buộc bởi một dịch vụ đám mây cụ thể dẫn đến hạn chế hoặc cản trở việc sử dụng
nhà cung cấp dịch vụ thay thế. Điều này thường được gọi là “nhà cung cấp khóa
trong”, một thuật ngữ bao gồm các khía cạnh khác của mối quan hệ với nhà cung cấp
như quyền sở hữu và truy cập vào dữ liệu. Đồng thời, người dùng có thể tin rằng thiết
bị được thiết kế cho nền tảng cụ thể có thể được tích hợp [5,17].
1.3.3. Mô hình truyền thông thiết bị với cổng giao tiếp
Mô hình truyền thông thiết bị với cổng giao tiếp (Device – to – Gateway) hay còn
gọi là mô hình truyền thông thiết bị với cổng giao tiếp lớp ứng dụng (ALG) được thể
hiện trong Hình 1.4. Trong mô hình này thiết bị IoT kết nối thông qua dịch vụ ALG
như một ống dẫn để tiếp cận với dịch vụ đám mây. Điều này có nghĩa rằng ở đó có
một phần mềm ứng dụng hoạt động tại thiết bị cổng giao tiếp cục bộ. Nó đóng vai trò
trung gian giữa thiết bị và dịch vụ đám mây, cung cấp cơ chế bảo mật cùng với các
chức năng khác như chuyển đổi dữ liệu hoặc giao thức [5,17].
Nhiều dạng của mô hình này được tìm thấy trong các thiết bị của khách hàng.
Trong nhiều trường hợp thiết bị cổng giao tiếp cục bộ là điện thoại thông minh chạy
ứng dụng để giao tiếp với một thiết bị khác và chuyển dữ liệu đến dịch vụ đám mây.
Ví dụ thiết bị theo dõi tình trạng sức khỏe cá nhân. Thiết bị này không có khả năng kết
nối trực tiếp với dịch vụ đám mây, chúng thường dựa vào phần mềm ứng dụng chạy
trên điện thoại thông minh, phần mềm này đóng vai trò như cổng giao tiếp trung gian
giúp thiết bị này có thể kết nối với đám mây [5,17].
11
Hình 1.4. Mô hình truyền thông thiết bị với cổng giao tiếp
1.3.4. Mô hình chia sẻ dữ liệu đầu cuối
Mô hình chia sẻ dữ liệu đầu cuối (Backend Data Sharing) đề cập đến kiến trúc
truyền thông cho phép người dùng trích xuất và phân tích dữ liệu của những đối tượng
thông minh từ dịch vụ đám mây kết hợp với dữ liệu từ những nguồn khác. Kiến trúc
này hỗ trợ người dùng truy cập đến dữ liệu cảm biến được tải lên cho bên thứ ba. Cách
tiếp cận này là mở rộng của mô hình truyền thông giữa thiết bị với đám mây, có thể trở
thành kho chứa dữ liệu, ở đó các thiết bị IoT chỉ tải dữ liệu đến một nhà cung cấp dịch
vụ ứng dụng đơn. Kiến trúc chia sẻ đầu cuối cho phép dữ liệu thu thập từ các luồng dữ
liệu của thiết bị IoT đơn được tổng hợp và phân tích [5,17].
Thông thường trong mô hình thiết bị kết nối với đám mây đơn, dữ liệu của mỗi
cảm biến IoT hoặc thiết bị hệ thống nằm trong kho chứa dữ liệu độc lập. Hiệu quả của
kiến trúc chia sẻ dữ liệu đầu cuối, cho phép công ty dễ dàng truy cập và phân tích dữ
liệu trong đám mây được tạo ra bởi toàn bộ thiết bị trong tòa nhà. Mặt khác cho phép
người dùng di chuyển dữ liệu của mình khi chuyển đổi giữa các dịch vụ IoT, phá vỡ
các rào cản dữ liệu truyền thống [5,17].
12
Hình 1.5. Mô hình chia sẻ dữ liệu đầu cuối
Mô hình chia sẻ dữ liệu đầu cuối cho thấy một phương pháp tiếp cận dịch vụ đám
mây liên kết hoặc lập trình các ứng dụng giao tiếp đám mây là cần thiết nhằm đạt được
khả năng tương tác của dữ liệu thiết bị thông minh lưu trữ trong đám mây. Hình 1.5
thể hiện cho kiểu kiến trúc này [5,17].
Tóm lại: bốn mô hình truyền thông căn bản cho thấy các chiến lược thiết kế ban
đầu nhằm cho phép các thiết bị IoT giao tiếp với nhau. Bên cạnh một vài yếu tố kỹ
thuật cần phải xem xét, việc sử dụng các mô hình này chịu ảnh hưởng chủ yếu bởi tính
mở so với sự độc quyền của các thiết bị IoT nối mạng. Và trong trường hợp của mô
hình thiết bị kết nối với cổng giao tiếp, tính năng chính của nó là khả năng vượt qua
rào cản thiết bị độc quyền trong việc kết nối thiết bị IoT. Điều này có nghĩa rằng khả
năng tương tác thiết bị và các chuẩn mở là yếu tố chính cần phải xem xét trong việc
thiết kế và phát triển các hệ thống IoT [5,17].
KẾT CHƯƠNG
Chương 1 tập trung tìm hiểu và làm rõ một số vấn đề liên quan đến IoT gồm:
nguồn gốc ra đời; khái niệm; kiến trúc kết nối; mô hình truyền thông IoT. Thông qua
đó giúp chúng ta có cái nhìn tổng quan về IoT.
13
Chương 2 - CƠ SỞ LÝ THUYẾT
Thuật ngữ IoT được hình thành từ năm 1999 và phát triển cho đến ngày nay.
Trong vòng một thập kỷ qua nhiều công ty, tổ chức, cá nhân đã không ngừng nghiên
cứu và cho ra đời nhiều tiêu chuẩn, giao thức truyền thông cùng với đó là sản xuất
thiết bị IoT. Tuy nhiên người dùng vẫn quen với kiến trúc và hạ tầng mạng truyền
thống, cho nên thông tin và hiểu biết về IoT còn nhiều hạn chế, đặc biệt kiến thức bảo
mật cho IoT là vấn đề mà người dùng cá nhân lẫn doanh nghiệp chưa được tiếp cận rõ
ràng và đầy đủ. Vì vậy trong chương 2 sẽ tập trung làm rõ các nội dung lý thuyết liên
quan đến cách thức làm việc, trao đổi dữ liệu,… đồng thời tìm hiểu một số cơ chế, giải
pháp bảo mật cho IoT được các tổ chức, cá nhân đề xuất và đã triển khai trong thực tế.
MÔ HÌNH KẾT NỐI IoT
Hình 2.1. Topology chung cho IoT [12]
2.1.1. Giới thiệu
Sơ đồ kết nối vật lý (Topology) chung cho IoT (Hình 2.1) gồm ba thành phần
chính:
Đám mây giống như kho chứa là nơi lưu trữ và phân tích dữ liệu,
14
Cổng giao tiếp là nơi tập hợp dữ liệu và mọi dữ liệu đều được gửi qua đây,
Thiết bị IoT là nơi thu thập dữ liệu.
2.1.2. Cơ chế hoạt động
Dữ liệu được thu thập thông qua các cảm biến và mọi dữ liệu được truyền đến
cổng giao tiếp, sau đó dữ liệu được gửi lên đám mây, tại đây dữ liệu được lưu trữ,
phân tích, xử lý nhằm phục vụ cho các mục đích khác nhau, hoặc dữ liệu được xử lý
và ra quyết định điều khiển thiết bị hoặc thực hiện một chức năng cụ thể.
2.1.3. Thiết bị cảm biến
Mục đích chính của thiết bị cảm biến dùng để phát hiện và đo các sự kiện hoặc
sự thay đổi của môi trường, cung cấp thông tin đầu ra tương ứng. Thông thường cảm
biến được so sánh với thiết bị dò vì thực tế nó chuyển năng lượng từ dạng này sang
dạng khác. Các cảm biến có thể cung cấp nhiều kiểu đầu ra, nhưng thường là các tín
hiệu điện (tín hiệu tương tự hoặc tín hiệu số) hoặc tín hiệu quang [2,4].
Cảm biến được sử dụng trong các ứng dụng hoặc dịch vụ, thông qua việc triển
khai các thiết bị như các nút tiếp xúc của thang máy (cảm biến xúc giác), cảm biến bãi
đỗ xe, cảm biến ánh sáng, cảm biến máy công nghiệp, ....Cảm biến được ứng dụng
trong các lĩnh vực như chế tạo, sản xuất máy móc, máy bay và hàng không vũ trụ, xe
hơi, thuốc men, người máy và cuộc sống hằng ngày của chúng ta [2,4].
Với những tiến bộ trong nền tảng điều khiển vi mô, việc sử dụng các cảm biến đã
vượt ra ngoài các lĩnh vực truyền thống như về nhiệt độ, chất lượng không khí, phát
hiện bóng tối và áp suất hoặc đo lưu lượng [2,4].
2.1.4. Mạng cảm biến không dây
Mạng cảm biến không dây là mạng máy tính bao gồm các thiết bị tự động sử
dụng cảm biến để theo dõi điều kiện môi trường hoặc vật chất như độ rung, nhiệt độ,
âm thanh, áp suất hoặc chuyển động ở những vị trí khác nhau. Mạng cảm biến không
dây hiện đang được ứng dụng trong nhiều lĩnh vực (ví dụ các thành phố thông minh,
Công nghiệp 4.0, chăm sóc sức khỏe điện tử), bao gồm giám sát môi trường và thói
quen sống, ứng dụng chăm sóc y tế, tự động hóa nhà ở, bãi đậu xe, quản lý chất thải,
chất lượng không khí, đo lường tiếng ồn, điều tiết giao thông và các ứng dụng hữu ích
khác [2,4].
Mạng cảm biến không dây được xây dựng từ vài trăm hoặc thậm chí vài nghìn
nút, trong đó mỗi nút được kết nối với một hoặc vài cảm biến. Mỗi nút cảm biến trong
mạng thường gồm nhiều phần: một máy thu phát vô tuyến với một ăng-ten bên trong
hoặc kết nối với ăng-ten bên ngoài, một vi điều khiển, một mạch điện tử để liên lạc với
các cảm biến và một nguồn năng lượng, thường là pin hoặc một dạng thiết bị đi kèm