Сетевая безопасность IoT-систем: IPv6 и криптография микроконтроллеров

Big Data, Большие данные, интернет вещей, IoT, Internet of Things, Security, безопасность, защита информации, персональные данные, утечки данных

Продолжая разбираться с информационной безопасностью Internet of Things и Big Data систем, сегодня мы поговорим о каналах передачи данных – защищенных протоколах и криптографических средствах в smart-устройствах.

От IoT-устройства в облако Big Data: особенности многоуровневой передачи данных по сетям

Интернет вещей – это комплексная система трехзвенной архитектуры: информация с «умного» прибора или датчиков/сенсоров и других конечных устройств, установленных на технологическом оборудовании, не сразу попадает в облако IoT-платформы для интеллектуального анализа данных средствами Big Data и Machine Learning.

Каждый компонент этой сложной системы является потенциально уязвимым. В то время, как хакеры изобретают все новые способы взлома smart-устройств и облачных кластеров, специалисты по кибербезопасности предпринимают всевозможные меры по улучшению защиты Internet of Things: от сертификации существующих до разработки новых технологий.

В частности, большое внимание уделяется каналам передачи данных – информационная безопасность этого уровня обеспечивается различными коммуникационными и сетевыми протоколами. Пока данные с конечного устройства достигнут облачной IoT-платформы, они передаются через множество сетей разного типа, принадлежащих разным провайдерам. При этом информация расшифровывается и снова зашифровывается шлюзами безопасности на каждом участке, что усложняет обеспечение комплексной безопасности системы Internet of Things. Таким образом, общая всей IoT-системы, в том числе, зависит от провайдеров и производителей шлюзов, что является потенциальной уязвимостью.

Предотвратить возможные перехваты малых данных на пути от smart-устройства к облаку Big Data помогут следующие дополнительные меры безопасности [1]:

  • взаимная аутентификация устройства на сервере и сервера на устройстве;
  • простое и автоматизированное выделение ресурсов конечному устройству в удаленном приложении;
  • механизмы отзыва IoT-устройства из удаленного приложения;
  • создание ключа безопасности сеанса связи на основе блочного шифрования (Advanced Encryption Standard, AES);
  • обеспечение безопасного обмена данными с соблюдением целостности и конфиденциальности (шифрования) сообщения путем использования защищенных протоколов, например, IPsec, WPA 802.11, 802.15.4 или 6LoWPAN.
Big Data, Большие данные, интернет вещей, IoT, Internet of Things, Security, безопасность, защита информации, персональные данные, утечки данных, передача данных в IoT-системах,
Многоуровневая передача данных в IoT-системах [1]

6LoWPAN – современный протокол Internet of Things

Мы уже немного рассказывали об этом стандарте, который позволяет передавать информацию поверх маломощных беспроводных персональных сетей. Подключение множества конечных устройств к облаку реализуется путем эффективной передачи пакетов IPv6 в небольших фреймах канального уровня, определенных в беспроводном стандарте IEEE 802.15.4.

6LoWPAN (IPv6 over Low-Power Wireless Personal Area Networks) – это открытый стандарт, определенный рабочей группой инженеров Интернета (IETF) – организацией по стандартизации, регламентировавшей такие протоколы как UDP, TCP, HTTP и пр. Изначально 6LoWPAN проектировался для поддержки маломощных беспроводных сети 2,4 ГГц, построенных на базе IEEE 802.15.4. Однако этот стандарт адаптирован к использованию во множестве других сред сетевой передачи, включая беспроводные сети в диапазонах ниже 1 ГГц, Smart Bluetooth, линии электропередач (PLC) и маломощные сети Wi-Fi [2].

Популярность протокола 6LoWPAN в IoT-системах обусловлена следующими факторами:

  • низкая мощность;
  • свобода выбора частотного диапазона и физического уровня, а также платформ связи (Ethernet/Wi-Fi/802.15.4/Sub-1GHz ISM) [3];
  • IP-адресация узлов — IPv6 присваивает узлам 128-битный IP-адрес в иерархическом порядке, устройства IEEE 802.15.4 могут использовать 64-битный адрес IEEE или (после объединения PAN) уникальные 16-битные адреса. Существует также PAN-ID для группы физически совместимых устройств IEEE 802.15.4. [4];
  • поддержка больших ячеистых сетей, которые отличаются высокой степенью связанности узлов между собой, способностями к самовосстановлению и самоадаптации, а также низкой стоимостью развертывания и эксплуатации [5];
  • использование алгоритма блочного шифрования для безопасной передачи данных — система AES-128 канального уровня, определенная в IEEE 802.15.4 [2].

Безопасность канального уровня в 6LoWPAN обеспечивается аутентификацией и шифрованием [2]. Отметим, что данные криптографические методы также активно используют производители микроконтроллеров для smart-устройств [6]. Подробнее об этом читайте в нашей следующей статье.

Также 6LoWPAN использует криптографический протокол транспортного уровня TLS (Transport Layer Security), работающий на уровне TCP. Если, при ограниченных ресурсах в качестве протокола транспортного уровня используется UDP, то для обеспечения защищенной передачи может использоваться RFC 6347. При этом реализация TLS/DTLS требует наличия аппаратного механизма кодирования и шифрования у IoT-устройств [2]. Как это выполняется на практике, мы рассказываем здесь.

OSI, 6LoWPAN, TCP/IP, Wi-Fi, сетевые протоколы передачи данных
Примеры стеков Wi-Fi и 6LoWPAN по уровням модели OSI [2]

Криптографические методы обеспечения безопасности транспортных протоколов передачи данных в интернете вещей

На практике пока не все IoT-приборы или сети передачи данных позволяют использовать безопасный протокол 6LoWPAN, т.е. сигнал IP не проходит по всему маршруту от конечного устройства к облачной Big Data платформе. В этом случае для обеспечения безопасной каналов можно создать адаптированный вариант TLS, который включает [1]:

  • криптографические алгоритмы с более короткими ключами (ECC) вместо длинных (RSA);
  • сертификаты меньшего размера;
  • увеличенный срок действия ключа сеанса;
  • возможность конечного устройства проверять сертификат сервера офлайн;
  • безопасный и простой способ персонализировать и хранить сертификаты вместе с ключами сеанса непосредственно на устройстве или сенсоре;
  • услуги центра сертификации по выпуску и проверке заказанных сертификатов.
криптография, микроконтроллеры, шифрование, smart-устройства, безопасная передача данных, securityб информационная безопасность
Обеспечение безопасности транспортного уровня с помощью криптографии [1]

Более подробно про шифрование и дешифрование информационных потоков, а также криптографические алгоритмы и их реализацию в микроконтроллерах IoT-устройств мы рассматриваем в следующей статье.

Как обеспечить информационную безопасность малых и больших данных на каждом уровне своей IoT-системы, узнайте на наших практических курсах в специализированном учебном центре для руководителей, аналитиков, архитекторов, инженеров и исследователей Big Data в Москве:

DSEC: Безопасность озера данных Hadoop HADM: Администрирование кластера Hadoop

 

расписание компьютерные курсы для руководителей, аналитиков, программистов, администраторов и пользователей Internet of Things, Big Data и Machine Learning Смотреть расписание занятий
регистрация на компьютерные курсы для руководителей, аналитиков, программистов, администраторов и пользователей Internet of Things, Big Data и Machine Learning Зарегистрироваться на курс

Источники

  1. https://controlengrussia.com/internet-veshhej/bezopasnost-interneta-veshhej/
  2. https://www.compel.ru/lib/ne/2015/11/5-raskryivaem-taynyi-6lowpan
  3. https://r-iot.org/2016/05/15/6lowpan-vs-zigbee/
  4. https://ru.wikipedia.org/wiki/6LoWPAN
  5. https://ru.wikipedia.org/wiki/Ячеистая_топология
  6. https://www.terraelectronica.ru/news/5118