چکیده
اینترنت اشیاء (IoT) یک پارادایم در حال ظهور است که بر اتصال درونی اشیاء یا وسایل با یکدیگر یا و کاربران تمرکز دارد. پیش بینی می شود که این فناوری نقطه عطفی در توسعه خانه ها و شهرهای هوشمند گردد. موفقیت و دستیابی به استفاده فراگیر برای هر فناوری مستلزم جلب اعتماد کاربران از طریق فراهم آوردن امنیت کافی و تضمین حریم خصوصی است. با وجود علاقه رو به رشد جامعه پژوهش به IoT و ظهور مطالعات و مقالات متعددی در خصوص معماری و عناصر آن؛ همچنان جای خالی تحلیلی جامع از ویژگیهای امنتیی و حریم خصوصی مورد نیاز یک سیستم که دستگاههای تشکیل دهنده آن از قابلیتهای متفاوتی برخوردارند احساس میشود. در این مقاله یک مدل تهدید مبتنی بر یوزکیس های (use-case) اینترنت اشیاء را ارائه می دهیم. که میتواند در تعیین چگونگی صرف (سرمایهگذاری) تلاشها به منظور ایجاد امنیت در این سیستمها مورد استفاده قرار گیرد. پایان کار را با ارائه پیشنهاد شاخصهایی که میتوانند در استفاده از اینترنت اشیاء امنیت و تضمین حریم خصوصی را فراهم آورند جمع بندی خواهیم نمود.
مقدمه
در سال های اخیر جهان با پیشرفت تکنولوژی سریعی روبرو گشته است که هر یک تاثیر قابل توجهی در زندگی روزمره دارد. ظهور فن آوری هایی همچون گوشی های هوشمند؛ تبلت ها؛ لپ تاپ ها و رایانه های شخصی در طول زمان و در بعد فاصله ای موجب افزایش ارتباط متقابل شده است. فن آوری معاصر فراتر از تقویت ارتباط بین انسان ها است و در حال حاضر برای دستیابی به یک هدف مشترک ارتباط بین انسان ها و اشیاء و در واقع ارتباط اشیاء با یکدیگر را تسهیل می کند؛ این تعریف اینترنت اشیاء (IoT) نامیده می شود. اعتقاد بر این است که اینترنت اشیاء نقطه عطفی در تحول تکنولوژی جهان است که در کمتر از 6 سال گذشته دارای نرخ توسعه 270 درصدی بیشتر از دستگاه های موبایل بوده است. طبق این پیش بینی بسیاری از دولت ها و شرکت های بزرگ بودجه قابل توجهی برای تحقیقات روی موضوع اینترنت اشیاء اختصاص داده اند.
اینترنت اشیاء نقشی اساسی در شکل دهی به آینده شهرهای هوشمند ایفا می کند. از دیدگاه کاربر شخصی؛ اینترنت اشیاء خود را در کاربرد ابزارهای داخلی در محل کار آشکار می کند به عنوان مثال سیستم هایی همچون ترموستات هوشمند؛ ماشین های هوشمند و جامعه هوشمند. علاوه بر این؛ با توجه به محیط های شرکتی اینترنت اشیاء قادر به خودکار سازی کارها؛ ارائه محیط های هوشمند تر برای کارمندان و مدیریت مصرف انرژی با هدف کاهش هزینه ها خواهد بود. اینترنت اشیاء با استفاده از تکنولوژی های دیگر مانند سنسورها؛ شناسه های فرکانسی رادیو (RFIDs)؛ محرک ها و مترهای هوشمند می تواند به اهداف فوق الذکر دست یابد. این دستگاه ها برای ایجاد یک رفتار جدید که هر شی برای دستیابی به قابلیت مورد نظر کمک می کنند به یکدیگر لینک می شوند. یک مثال قابل توجه از چنین کاربردی یک سیستم ترموستات است که دما را حس می کند و خود را با یادگیری الگوهای رفتاری کاربران خود تنظیم می کند.
کارهای مرتبط
با توجه به علاقه روزافزون به اینترنت اشیاء نشریات متعددی در امنیت و حریم خصوصی در این زمینه وجود دارد. در حال حاضر هزاران تعریف از چشم انداز اینترنت اشیاء؛ برنامه های کاربردی و فن آوری ها وجود دارد که به طور خلاصه برخی از جنبه های امنیتی و شخصی را مورد خطاب قرار می دهد.آتزوری و همکاران اهمیت امنیت در زمینه اینترنت اشیاء را مورد بحث قرار داده اند و بر جنبه های امنیت عناصر تمرکز دارند. در این مطالعه اشاره شد که به علت محدودیت دستگاه های ساخته شده اینترنت اشیاء و ویژگی های پروتوکل های ارتباطی جاری؛ اعمال مکانیزم های امنیتی پیچیده بسیار چالش برانگیز است. برخی از دستگاه ها ممکن است قادر به کنترل دسترسی برای کاربران مختلف؛ طرح تصدیق پشتیبانی کافی یا حتی استفاده از کانال های ارتباطی امن بین دستگاه ها نباشند. با این حال به خاطر داشته باشید که اقدامات امنیتی مورد نیاز وابسته به کاربرد است. برای مثال در Near Field Communication (NFC) مجاورت فیزیکی برای ایجاد ارتباط بسیار حیاتی است که این فن آوری را برای کاربردهای مختلف مفید می سازد. بنابراین به علت این ویژگی برخی از برنامه ها که از NFC استفاده می کنند ممکن است نیازمند طرح امنیتی پیچیده ای مانند کانال رمزگذاری شده نباشند. برای مثال در برخی موارد ممکن است کاربران به دیگر کاربرانی که ردوبدل اطلاعات در حضور انها مشاهده می شود توجه نکنند. برای مثال در یک کاربرد داخلی برای اینترنت اشیاء برای جلوگیری کودکان از تماشای تلویزیون بدون نظارت بزرگسالان؛ ممکن است کاربر نیازمند پروتکل های ارتباطی پیچیده نباشد و تنها استفاده از مکانیزم های کنترل دسترسی برای دسترسی به دستگاه یا رمزنگاری متقارن به جای رمزنگاری نامتقارن برای برقراری ارتباط کافی باشد.
یوزکیس های اینترنت اشیاء
در این بخش سه نماینده از یوزکیس های اینترنت اشیاء را ارائه می دهیم که درحال حاضر با احتمال بالایی در کارهای روزمره و در آینده نزدیک به صورت یکپارچه می باشند. چگونگی پشتیبانی عناصر اینترنت اشیاء مانند سنسورها؛ محرک ها ؛ RFID ها؛ اینترنت و Near Field Communication از برنامه های مختلف را شرح می دهیم و به افزایش اتخاذ اینترنت اشیاء کمک می کنیم. تجزیه و تحلیل عملکرد عناصر اینترنت اشیاء در سناریوهای مختلف روشی است که اجازه می دهد تحلیل های امنیتی مبتنی بر کیس را انجام دهیم و ویژگی های امنیت و حریم خصوصی که با استفاده از اینترنت اشیاء توسط بسیاری از کاربران پشتیبانی می شوند را فرموله سازی کنیم.
مدیریت انرژی
یکی از برجسته ترین کاربردهای یک اینترنت اشیاء مبتنی بر سیستم هوشمند مدیریت مصرف انرژی در هر دو بخش خصوصی و صنعنی است. در جهانی ک منابع انرژی در حال کمیاب شدن است وجود چنین سیستم های هوشمندی برای کمک به حفظ منابع ضروری است. قدرت سیستم مدیریت انرژی قادر به مدیریت اجرای دستگاه مختلف است در حالی که مصرف انرژی را درمرزهای مجاز حفظ می کند. این کار با استفاده از یک متر هوشمند قابل انجام است که این متر هوشمند سیستم را با داده های زمان واقعی برای برنامه ریزی عملیات دستگاه ها تامین می کند. به عنوان مثال زمانی که یک دستگاه مکث می کند دیگر دستگاه ها کار خود را ادامه می دهند و کاربر می تواند بین دو دستگاه همگام شود.
مدل تهدید
منابع تهدید
پس از بحث در مورد ویژگی های اینترنت اشیاء و چگونگی کاربرد آنها در سناریوهای مختلف در یک جهان هوشمند، اکنون تهدیدات بالقوه که در معرض یوزکیس های ارایه شده در بخش قبل قرار میگرد قابل شناسایی است. سه موجودیت اصلی موجود است که موجب خطرهایی در رابطه با امنیت و حریم خصوصی در اینترنت اشیاء می شود:
1) کاربر مخرب: صاحب دستگاه اینترنت اشیاء است که به منظور یادگیری اسرار تولید کننده و دسترسی به عملکرد محدود دارای پتانسیل انجام حملات است. کاربرمخرب با کشف نواقص در سیستم قادر به حصول اطلاعات، فروش اسرار به اشخاص ثالث یا حتی حمله به سیستم های مشابه است.
اثر حمله
به منظور ارایه پیشنهاداتی بر چگونگی ایمن سازی اینترنت اشیاء و درک شدت تهدیدات، فهرست کردن خطرات بالقوه بدون در نظر گرفتن جامعی از تاثیرات واقعی خود و احتمال، وابسته به مفاد خواهد شد. بیشتر آثار گذشته تنها بر جنبه های فنی دستگاه های اینترنت اشیاء تمرکز دارد و به به سختی به امنیت برنامه ها توجه می کند، شکافی در این ادبیات تشخیص دادیم و سعی داریم که این شکاف را از طریق نگرشی متفاوت به تحلیل امنیت و ملزومات حریم خصوصی در اینترنت اشیاء پر کنیم. در این بخش یک تحلیل حمله ارایه می دهیم و به معضلات امنیت و حریم خصوصی برای هر دستگاه با استفاده از یوزکیس های مربوط به بخش 3 می پردازیم، سپس یک مرورکلی بر اقدامات امنیتی دقیق تر قابل اجرا داریم.
محرک ها
عملکرد محرک در زمینه اینترنت اشیاء معادل با عملیات نوشتن در رایانه های شخصی است. در جهان اشیاء، یک محرک می تواند با دریافت شیگنال ها از دیگر دستگاه ها یا فعال شدن فیزیکی توسط کاربران روی شبکه عمل کند.
امنیت: یک حمله روی این دستگاه در محدوده مختلف می تواند باعث آسیب به کاربر شود. در سناریو مدیریت انرژی، به علت مصرف انرژی بیش از حد فعالیت غیرمجاز محرک می تواند موجب فقدان مالی شود. این آسیب حتی می تواند در سناریو اتومبیل هوشمند شدید تر شود و یک سوء عملکرد در محرک می تواند منجر به مرگ شود. در سیستم بهداشت و درمان هوشمند، یک محرک می تواند فعال کننده برای تزریق دارو به یک بیمار نظارت شده در خانه باشد و هر گونه اشتباهی یا سوءعملکردی در این زمینه می تواند موجب یک دوز اشتباه دارو شود که آثار کشنده ای در پی دارد.
ویژگی های امنیت مطلوب و حریم خصوصی
در این بخش به منظور فرموله کردن ویژگی های امنیت و حریم خصوصی برای اینترنت اشیاء سیستم، خطرات و تحلیل های امنیتی را از بخش های قبل کامل می کنیم. مانند ویژگی های زیر، زمانی که توسعه چارچوب اینترنت اشیاء به منظور ارایه یک سیستم امن، جذاب و قابل اعتماد به بسیاری از کاربران ضروری است.
ویژگی های امنیت
هدف نهایی حفظ محرمانگی و یکپارچگی سیستم است. اقدامات مختلفی برای هر نقطه ضعف باید اعمال شود، بین ویژگی های امنیت برای مسیرهای حمله در بخش IV-B متصل می شویم.
محرک ها، سنسورها و RFID ها
SP1: دستگاه باید در برابر برنامه نویسی مجدد غیرمجاز و سرقت مخفی منفعل غیرقابل نفوذ باشد. دستگاه باید ویژگی های امنیتی خود را حفظ کند مانند حفظ یکپارچگی و محرمانگی اطلاعات کاربران و دستگاه. زمانی که یک حمله فیزیکی رخ می دهد و از انکار خدمات جلوگیری می کند. با این حال، به روز رسانی سخت افزار روی دستگاه باید برای کاربران امکان پذیر باشد.
امنیت برای هم سیستم قابل طراحی مجدد نیست، قصد داریم گروه های یوزکیس و چارچوب های مورد نیاز که موجب معماری، میان افزار و کتابخانه می شود را شناسایی کنیم. ساخت تحلیل های امنیتی که در اینجا انجام داده ایم و ویژگی های مختلف دستگاه ها در یک سیستم اینترنت اشیاء به منظور توسعه یک بسته امنیت ی که می تواند برای هر یوزکیس توسط طراحان استفاده شود در دستور کارمان در آینده قرار می گیرد. هدف از توسعه این بسته، عرضه یک بسته کامل به کاربران است که شامل انواع مکانیزم های مناسب برای دستگاه ها و سطوح امنیتی مختلف است. سپس طراحان قادر به ساخت ترکیبات شخصی این اقدامات بر طبق برنامه مطلوب می باشند و حتی می توانند به سطح ریسک در طراحی خود دسترسی داشته باشند.
ارزیابی ریسک مقدماتی
ارزیابی ریسک سطح امنیت را برای سیستم های متعددی تعیین خواهد کرد. بر اساس تحلیل حمله ارایه شده در بخش های قبل یک ارزیابی ریسک مقدماتی برای هر یوزکیس از بخش 3 ارایه می دهیم. ارزیابی ریسک علاوه بر شدت حمله ها احتمال وقوع را نیز محاسبه می کند. آن را به سه دسته از بالا به پایین تقسیم کرده ایم. می دانیم که عواملی دیگر همچون "چه کسی " حمله کننده است وجود دارد که بر این تعداد تاثیر می گذارد. جدول 1 سطوح مخلف ریسک را در زمینه یوزکیس ها برای هر تهدید خلاصه می کند. اینها به صورت مستقیم از تحلیل ویژگی های امنیتی دستگاه ها استنباط می شوند. در اینجا یک کاربر بی خطر را فرض می کنیم و این بررسی مقدماتی را تنها بر اساس دشمن خارجی محدود می کنیم. بر اساس ارزیابی ریسک، مکانیزم های امنیتی متفاوت باید با استفاده از یک سناریو مبتنی بر رویکرد اتخاذ شوند. ارزیابی ریسک یک نقش اساسی در طراحی سیستم های اینترنت اشیاء ایفا خواهد کرد با این حال مطالعات گسترده بیشتری مورد نیاز است و در کارهای بعدی پوشش داده خواهد شد.
نتیجه گیری
اینترنت اشیاء در نهایت از دوران ابتدایی گامی فراتر نهاده است و مورد توجه بیشتر محققان و جامعه صنعتی قرار گرفته است. در این مقاله چشم اندازی از اینترنت اشیاء را بررسی کردیم و در زمینه امنیت و حریم خصوصی آن را به کارهای گذشته ارتباط دادیم. به طور ویژه رویکردهای مختلفی که توسط بسیاری از محققان بررسی شده اند را ارایه کردیم. درحالی که بسیار از محققان بر امنیت و حریم خصوصی دستگاه های تشکیل دهنده اینترنت اشیاء تمرکز دارند، مقاله های کمی به مدل های تهدید، امنیت و تحلیل حریم خصوصی سیستم ها می پردازند. در این مقاله، برای ارایه یک مدل تهدید به عنوان روشی برای تحلیل اثر تهدیدات در برنامه های مختلف یک تحلیل تهدید مبتنی بر رویکرد را اتخاذ کردیم. ویژگی های امنیت و حریم خصوصی را از مدل تهدید استنباط کردیم. این ارزیابی کارهای آینده را هدایت خواهد کرد به طوری که تلاش های قابل توجه بیشتری در توسعه مکانیزم های امنیتی برای اینترنت اشیاء باید انجام شوند.
این مقاله در سال 2014 در نشریه آی تریپل ای و در کارگاه بین المللی اینترنت اشیا امن، توسط گروه علوم کامپیوتر منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله تجزیه و تحلیل امنیت مبتنی بر تهدید در سایت ای ترجمه مراجعه نمایید.