Безопасность и управление доступом в эпоху интернета вещей: многоуровневые подходы и инновационные решения
В статье рассматриваются модели аутентификации, контроля доступа и масштабируемости в области безопасности Интернета вещей. Проанализированы основные угрозы на различных уровнях архитектуры промышленного IoT и предложены методы защиты, включая различные криптографические схемы, а также распределенные технологии. Рассматриваются преимущества и ограничения предложенных решений, включая их применимость в различных сценариях. Отдельное внимание уделяется архитектуре туманных вычислений и использованию блокчейна для повышения безопасности и автономности IoT-систем.
С развитием Интернета вещей (IoT) и промышленного Интернета вещей (IIoT) возникает необходимость в надежных механизмах защиты данных и управления доступом. IoT объединяет миллиарды устройств, начиная от бытовых сенсоров и заканчивая промышленными комплексами, что делает их уязвимыми перед различными видами атак, такими как подмена устройств, перехват данных и несанкционированный доступ. Традиционные методы аутентификации и защиты данных зачастую оказываются недостаточно эффективными в масштабируемых и распределённых сетях IoT.
Архитектура промышленного Интернета вещей, рассмотренная в работе [1], основана на многоуровневой структуре, где каждому уровню соответствуют уникальные требования к защите. В рамках этой архитектуры выделяют четыре ключевых уровня:
- Уровень сбора данных, включающий сенсоры и программируемые логические контроллеры (PLC), которые собирают информацию в режиме реального времени. Основные угрозы на этом уровне – физические атаки и подмена устройств.
- Сетевой уровень, отвечающий за передачу данных между узлами сети, включая беспроводные и проводные каналы связи. Ключевые риски – перехват данных (MITM-атаки), атаки на маршрутизацию и отказ в обслуживании (DDoS).
- Уровень обслуживания, где происходит обработка и анализ данных, а также реализуются механизмы безопасности, такие как обнаружение аномалий. Здесь угрозы включают компрометацию вычислительных узлов и несанкционированный доступ к данным.
- Прикладной уровень, представляющий собой интерфейсы взаимодействия пользователя с системой. Главные опасности здесь – атаки социальной инженерии и уязвимости приложений.
Для защиты IIoT используются разнообразные методы аутентификации, адаптированные к особенностям взаимодействия устройств. Рассматриваются следующие подходы:
- GLARM – схема лёгкой групповой аутентификации для M2M-коммуникаций, позволяющая устройствам обмениваться ключами без постоянного подключения к серверу. Преимущество GLARM – устойчивость к MITM-атакам, однако она не обеспечивает высокую конфиденциальность.
- PASS – протокол псевдоидентификации для Internet of Energy (IoE), который защищает идентификационные данные при передаче, но не решает проблемы маршрутизации трафика.
- ECC-аутентификация – криптографическая схема, используемая в сенсорных сетях IoT. Она отличается высокой стойкостью к атакам методом перебора и меньшим потреблением ресурсов по сравнению с RSA, хотя требует сложной реализации.
- Двухфакторная аутентификация для Internet of Vehicles (IoV) – комбинация традиционных криптографических методов с дополнительными механизмами (например, биометрия или временные токены). Этот подход предотвращает атаки подмены устройств, но увеличивает вычислительную нагрузку.
Рассмотренные протоколы аутентификации обладают своими недостатками, что ограничивает их универсальность в архитектуре IIoT, однако они могут применяться в специализированных задачах с учётом особенностей конкретной среды.
Работа [2] рассматривает проблему безопасности в Интернете вещей (IoT), объединяющем разнообразные устройства, такие как системы умного дома, промышленные датчики и медицинские гаджеты, которые взаимодействуют через интернет. Высокая уязвимость IoT обусловлена разнородностью протоколов, языков программирования и аппаратных решений, что привлекает хакеров для проведения атак.
Для обеспечения безопасности IoT необходимы следующие меры:
- Надёжная идентификация и аутентификация устройств для предотвращения несанкционированного доступа.
- Комплексная защита данных на всех уровнях, включая конфиденциальность, целостность и устойчивость к атакам.
- Автономность работы устройств и организация защищённых сетей.
Современные методы аутентификации, такие как пароли, биометрия и аппаратные ключи, имеют ограничения в IoT, а именно: проблема масштабируемости, так как традиционные централизованные системы не справляются с миллионами устройств; двухфакторная аутентификация требует значительных вычислительных мощностей, что усложняет её применение в маломощных устройствах.
IoT-устройства подвержены различным угрозам, включая сетевые атаки, компрометацию облачных платформ и эксплуатацию уязвимостей. Централизованные решения уязвимы из-за единой точки отказа, что ставит под угрозу всю сеть.
Блокчейн предлагается как альтернатива, предоставляя следующие преимущества: децентрализация аутентификационных данных, устраняя единственную точку отказа; автоматическое управление доступом через смарт-контракты; высокий уровень защиты благодаря распределённой структуре.
Меры для обеспечения безопасности IoT включают:
- Использование надёжного шифрования данных и идентификаторов устройств.
- Применение смартконтрактов для автоматического контроля доступа.
- Проверка и обновление ПО с использованием децентрализованных механизмов.
- Гибкое масштабирование за счёт распределённого хранения данных.
Таким образом, блокчейн усиливает безопасность, надёжность и автономию IoT-сетей, делая его перспективным решением для защиты современного Интернета вещей.
В работе [3] представлены архитектурные решения и методы проектирования для эффективного управления IoT-устройствами в киберфизических системах (CPS) умных зданий. Исследуемые решения включают следующие ключевые аспекты:
Шаблоны проектирования
- Шаблон «Заместитель». Используется для контроля доступа, кэширования данных и оптимизации производительности. Этот шаблон минимизирует задержки и сетевые сбои, обеспечивая надежный доступ к устройствам через контролируемые узлы, что повышает устойчивость системы.
- Шаблон «Наблюдатель». Применяется для мониторинга и управления сценариями в реальном времени, например, для регулирования климата в зданиях. Этот шаблон позволяет эффективно собирать данные и отправлять уведомления или рекомендации пользователям, обеспечивая гибкую реакцию системы на изменения.
- Шаблон «Интерпретатор». Предназначен для обеспечения совместимости данных от различных IoTустройств, имеющих разные форматы и диапазоны значений. Он преобразует данные в унифицированную форму для последующей обработки и использования в CPS.
Также были предложены архитектурные решения для повышения эффективности системы, включая кэширование данных и использование тайм-аутов при взаимодействии с исполнительными устройствами. Эти подходы снижают вероятность сетевых и аппаратных сбоев, обеспечивая стабильность работы системы даже при большом числе пользователей и устройств.
Эксперимент подтвердил эффективность предложенных шаблонов для управления климатом и обеспечивал стабильную работу системы в меняющихся условиях.
Разработанные архитектурные решения характеризуются масштабируемостью, гибкостью и возможностью адаптации к различным требованиям, что делает их пригодными для разработки крупных систем умных зданий в рамках концепции «умного города».
В статье [4] рассматривается архитектура туманных вычислений, использующая технологию блокчейн. Туманные узлы выполняют функции локальной обработки и хранения данных, располагаясь ближе к конечным устройствам по сравнению с облачными центрами, что снижает задержки передачи данных и ускоряет отклик системы. Блокчейн внедряется для решения вопросов безопасности и доверия, обеспечивая неизменяемость данных, прозрачность операций и надежную аутентификацию участников сети. В работе описаны алгоритмы консенсуса для частных блокчейнов в туманной архитектуре:
- PBFT: применяется в Hyperledger Fabric, обладает высокой эффективностью и устойчивостью к сбоям, но ограничен в масштабировании.
- PoA: основывается на доверии валидаторам, отличается простотой, эффективностью и масштабируемостью, но лишен стимулов для участников и медленнее подтверждает транзакции.
- Raft: использует выборного лидера для надежности, но требует дополнительных ресурсов на выборы, что может вызывать задержки.
- PoAh: разработан для IoTсетей с ограниченными ресурсами, включает цифровую подпись и уровни доверия, что снижает затраты за счет скорости асимметричного шифрования. Подходит для граничного и туманного окружения.
Архитектура обеспечивает целостность, доступность и конфиденциальность данных через криптографию и хранение хешей в блокчейне, поддерживая надежную аутентификацию и защиту от несанкционированного доступа. Распределенная структура повышает устойчивость к атакам, а система вознаграждений стимулирует предоставление ресурсов. Однако остаются сложности, такие как зависимость от узлов оркестрации и необходимость развертывания инфраструктуры.
В заключение, быстрое развитие Интернета вещей (IoT) и его промышленного варианта (IIoT) представляет собой значительную технологическую революцию, открывающую новые горизонты для автоматизации и эффективного управления. Однако с увеличением числа подключённых устройств и их сложностью становится особенно актуальным решение проблем безопасности, которые могут угрожать целостности и конфиденциальности данных, а традиционные методы аутентификации и защиты данных не справляются с вызовами, особенно в масштабируемых распределённых сетях.
Предложенные архитектурные решения, включая блокчейн и туманные вычисления, наряду с многоуровневыми методами защиты, представляют собой многообещающие шаги в области обеспечения безопасности IoT. Эти технологии не только усиливают механизмы аутентификации и управления доступом, но также способствуют созданию более устойчивых и надежных инфраструктур, способны справляться с возникающими угрозами.
Тем не менее, необходимо продолжать исследования в этой области, особенно учитывая быстрое развитие устройств и технологий. Устойчивость к атакам, масштабируемость решений и их адаптация к особенностям конкретных сценариев использования остаются важными областями для дальнейшего изучения. В конечном итоге развитие инновационных подходов и междисциплинарного сотрудничества станет ключевым фактором в формировании безопасного и эффективного будущего для IoT и IIoT, что, в свою очередь, станет основой для построения более «умного» и интегрированного общества.
- Гетманюк И.Б., Федоров И. Р., Енгалычев Р.С. Исследование методов аутентификации в промышленном интернете вещей // Безопасность информационных технологий [S.l]. 2023., т. 30, № 1, С. 40–57.
- Братко Д.В., Березин В.С. Роль аутентификации в системах Интернета вещей // Политехнический молодежный журнал. 2020. № 01(42). DOI: 10.18698/2541-8009-2020 01-570.
- Кычкин А.В., Горшков О.В. Разработка программной системы для управления IoT устройствами с использованием структурных и поведенческих паттернов // Прикладная информатика. 2020. Т. 15. № 4. С. 44–53. DOI: 10.37791/2687-0649-2020-15-4-44-53
- Пименов А.В., Федоров И.Р., Беззатеев С.В. Построение архитектуры туманных вычислений с использованием технологии блокчейн // Информационно-управляющие системы. 2022. № 5. С. 40–48. DOI: 10.31799/1684-8853-2022-5-40-48.