بهترین روش های احراز هویت در اینترنت اشیا

انتخاب روش های احراز هویت در اینترنت اشیا

دستگاه‌ های اینترنت اشیا اغلب از راه دور مورد حمله قرار می‌گیرند، بدین صورت که یک هکر سعی میکند با استفاده از اتصال به اینترنت وارد دستگاه شود. حالا اگر یک دستگاه اینترنت اشیا فقط مجاز به برقراری ارتباط با یک سرور معتبر باشد ، هرگونه تلاش خارجی برای برقراری ارتباط نادیده گرفته می‌شود.

بر اساس گزارش حملات انجام شده در سال 2018 ارائه شده از سوی شرکت سیمانتک، تعداد حملات انجام شده مرتبط با دستگاه‌ های IoT بین سال‌های 2016 و 2017 با افزایش 800 درصدی ، به ترتیب از 6000 حمله به 50،000 حمله رسیده است.

بنابراین ، هنگامی که دستگاه‌ های اینترنت اشیا در شبکه‌ های سازمانی پیاده‌ سازی می‌شوند ، باید توجه خیلی بیشتری به مقوله امنیت معطوف گردد. برای اطمینان از حصول امنیت لازم، باید از راهکارهای رمزنگاری قدرتمند اما کارآمد برای استانداردسازی ارتباطات ایمن بین ماشین‌ ها استفاده شود.

با این حال، انتخاب مدلی درست برای تأیید هویت دستگاه‌ های IoT تصمیمی سخت می‌باشد. قبل از تصمیم‌ گیری در مورد اینکه کدام ساختار در نهایت بهترین روش احراز هویت دستگاه‌ های اینترنت اشیا می‌باشد ، باید فاکتورهای متعددی همچون: منابع انرژی ، ظرفیت سخت‌ افزاری ، بودجه تخصیصی برای امنیت ، الزامات امنیتی و شبکه‌ های ارتباطی، را در نظر بگیرید.

مجوزهای X.509

پروتکل X.509) IETF RFC 5280) ایمن‌ ترین نوع احراز هویت دیجیتال را ارائه می‌دهد و بر اساس مدلی متشکل از زنجیره‌ ای از مجوزهای امن می‌باشد. استفاده از مجوزهای X.509 به عنوان مکانیزم صدور گواهینامه راهی عالی برای افزایش تولید و ساده‌ سازی تحویل تجهیزات می‌باشد.

زیرساخت کلید عمومی یا PKI متشکل از یک ساختار درختی از سرورها و دستگاه‌ هایی است که لیستی از مجوزهای معتبر را در اختیار دارند. هر مجوز حاوی یک کلید عمومی مختص هر دستگاه می‌باشد که با یک کلید اختصاصی CA امضا می‌شود. همچنین یک «اثر انگشت» منحصر به فرد ، هویتی انحصاری به فرد می‌دهد که می‌تواند با اجرای الگوریتم رمزنگاری ، مانند RSA ، تأیید شود.

گواهینامه‌ های دیجیتال به طور معمول در زنجیره‌ ای از مجوزها تنظیم می‌شوند. به گونه‌ ای که در آن هر مجوز با کلید اختصاصی یک مجوز مورد اعتماد دیگر امضا می‌شود. و این زنجیره نهایتاً باید به یک مجوز معتبر جهانی بازگردد. این عملیات نیاز به فرآیندهای پیچیده‌ ای دارد ولی در حال حاضر سرویس دهنده‌ های متعددی برای این کار در بازار وجود دارد.

استفاده از روش مدیریت چرخه حیات مجوزها با روش X.509 به دلیل پیچیدگی‌ های لجستیکی درگیر ، می‌تواند یک چالش باشد و نهایتاً هزینه بالایی نیز خواهد داشت. به همین دلیل ، بسیاری از مشتریان برای استفاده از این مجوزها به فروشندگان خارج از سازمان اعتماد می‌کنند.

ماژول امنیتی سخت‌ افزاری (HSM)

ماژول‌ های امنیتی سخت‌ افزاری یا HSM، برای ذخیره‌ سازی مخفی رمز اختصاصی یک دستگاه روی یک سخت‌ افزار استفاده می‌شود. و ایمن‌ ترین حالت ذخیره‌ سازی مخفی است. هم مجوز X.509 و هم توکن‌ های رمز SAS می‌توانند در این روش ذخیره شوند. HSM ها ممکن است از طریق روشهای تأیید دو مرحله‌ای نیز بهره ببرند. به عنوان روشی جایگزین رمز دستگاه‌ ها می‌تواند در حافظه نرم‌ افزار نیز ذخیره شود که در مقایسه با HSM امنیت کمتری دارد.

ماژول پلتفرم امن (TPM)

بررسی هویت دستگاهی که در روش‌ های احراز هویت IoT، با درگاه‌ های پیام‌ رسانی ارتباط برقرار می‌کند ، ضروری است. روش معمول تولید جفت-کلید ( رمزهایی که به صورت جفت‌ های یکسان تولید می‌شود) برای دستگاه‌ ها می‌باشد. که سپس برای احراز هویت و رمزگذاری ترافیک داده‌ ها استفاده می‌شود.
TPM ها به اشکال مختلف وجود دارد از جمله:

• دستگاه‌ های سخت‌افزاری مجزا   Discreet hardware devices
• تجهیزات سخت‌افزاری تعبیه شده   Embedded hardware equipment
• پیاده‌ سازی سیستم‌ عامل‌ های اختصاصی  Implementation of firmware
• پیاده‌ سازی نرم‌ افزار   Implementation of software

در حالی که یک TPM معمولی دارای چندین قابلیت رمزنگاری است ، این سه ویژگی اصلی مربوط به احراز هویت اینترنت اشیا می‌باشد:

• امن Secure boot-up
• ایجاد ریشه اعتماد  (Establishing the root of trust (RoT
• شناسایی دستگاه   Identification of device

تولیدکنندگان دستگاه‌ ها همیشه نمی‌توانند به تمام سازمانهای موجود در زنجیره تأمین خود اطمینان کامل داشته باشند (به عنوان مثال ، کارخانه‌ های مونتاژ خارج از کشور) و با این وجود آنها هنوز نمیتوانند از منافع اقتصادی استفاده از این تأمین کنندگان و امکانات کم هزینه آنها صرف نظر کنند. از TPM می‌توان در نقاط مختلف زنجیره تأمین استفاده کرد. تا بررسی شود که اشتباه و یا دست‌ کاری در مسیر تولید دستگاه رخ نداده باشد.

TPM قابلیت ذخیره ایمن کلیدها (رمزها) را در سخت‌ افزاری مقاوم در برابر دستکاری دارد. کلیدها درون خود TPM تولید می‌شوند و بنابراین از بازیابی آنها توسط برنامه‌ های خارجی محافظت می‌شود. حتی بدون استفاده از قابلیت‌ هایی همچون ROT و یا سیستم راه‌ اندازی امن ، TPM به اندازه روش ماژول امنیتی سخت‌ افزاری (HSM) ارزشمند می‌باشد. کلیدهای اختصاصی توسط سخت‌ افزار محافظت می‌شوند و امنیت بسیار بیشتری نسبت به کلیدهای نرم‌ افزاری دارند.

کلیدهای متقارن  Symmetric Keys

این روش احراز هویت، روشی ساده برای احراز هویت دستگاه با یک نمونه تولید شده می‌باشد. که توسط تأمین کننده فراهم می‌شود. این روش صدور مجوز معمولاً به عنوان تجربه اول برای توسعه دهندگانی است که تازه وارد بازار شده‌اند. و یا از نظر ایمنی الزامات سخت گیرانه‌ ای ندارند. روشهایی همچون TPM یا X.509 از امنیت بیشتری برخوردار هستند و باید برای جاهایی استفاده شوند که سخت‌ گیری‌ های امنیتی بیشتر لازم است. احراز هویت از طریق تولید رمزهای متقارن، همچنین راهی مناسب برای استفاده از دستگاه‌ های قدیمی با ویژگیهای امنیتی محدودتر، در سیستم‌ های اینترنت اشیا میباشد.

جمع بندی

اجرای صحیح روش های احراز هویت در اینترنت اشیا تأثیرات بسیار مفیدی بر امنیت سیستم IoT دارد. با این حال ، انتخاب یک روش مناسب می‌تواند چالش برانگیز باشد و در صورت انتخاب اشتباه می‌تواند خطرات امنیتی را ده‌ ها برابر افزایش دهد. برخی از ریسک ها را می‌توان با ذخیره امن کلیدهای متقارن روی دستگاه و بکارگیری از بهترین روش‌ های ذخیره‌ سازی کاهش داد . این غیرممکن نیست ، اما هنگامی که فقط از کلیدهای متقارن استفاده می‌شود ، در مقایسه با روشهای HSM ، TPM و X.509 از امنیت کمتری برخوردار هستند.

در روش های ، HSM ، TPM، X.509 ، چالش اصلی اثبات داشتن کلید  یا رمز عبور بدون آشکار کردن قسمت خصوصی کلید میباشد.