安全物聯網參考架構
【導言】The SERIOT Project,一個由歐盟委員會花費4.999.083,75€(約合人民幣4000萬),基於中國主導的國際物聯網參考體系結構-《ISO/IEC 30141:2018Internet of Things (loT) — Reference Architecture》,而成立的為解決物聯網安全的專案。該專案旨在提供一個有用的開放和參考框架,用於實時監控通過IoT網路內的異構IoT平臺交換的流量,以便識別可疑模式,對其進行評估並最終決定檢測安全漏洞,隱私威脅和異常事件,同時提供可在後臺無縫利用的並行緩解措施。
該專案對物聯網安全廠商有一定指導意義,如通過利用智慧合約和比特幣交易來提高訊息傳遞的安全性和信任度、利用物聯網主動蜜罐
以下為專案組在2019年1月發表的題為《Reference Architecture for Secure and Safe Internet of Things by the SerIoT Project》博文。
SerIoT專案提供的安全物聯網參考架構
SerIoT 專案[1][2]旨在通過整合諸如SDN與認知路由,霧計算,IoT蜜罐,區塊鏈,視覺化分析,決策支援,硬體引導的IoT裝置身份驗證等技術,來解決架構驅動的安全解決方案,以解決IoT網路中的各種威脅。SerIoT參考架構的釋出是該專案活動的重要里程碑。這篇部落格概述了該專案第一年的SerIoT參考架構[3]。
這篇部落格文章專門介紹SerIoT架構的技術和功能設計。它概述了體系結構元件,模組和巨集功能,以及元件之間的功能和技術依賴性。它還報告了該體系結構採用的標準。
SerIoT架構設計始於對DoA [4]中初始架構的分析,確定了選擇和採用IoT參考架構的代表性模型的需求。經過適當考慮後,決定在整個專案中遵循標準ISO / IEC CD 30141資訊科技–物聯網參考體系結構(IoT RA)[5]。結果是針對ISO / IEC 30141 IoT RA提出了針對SerIoT的通用架構設計。該活動將幫助財團更好地評估SerIoT對物聯網領域的貢獻及其相對於該標準的價值主張。
【註釋1:SerIoT由歐盟委員會根據IoT-03-2017 –“關於IoT整合和平臺的R&I”,H2020-EU.2.1.1授予協議ID:780139(2018年1月1日至2020年12月31日)資助,其中總預算為4,999,083,75歐元。由波蘭IITiS-PAN協調(E. Gelenbe教授)】
物聯網參考架構ISO / IEC 30141
選擇用於SerIoT的IoT參考體系結構模型的重要因素是(模型的)權威來源,結果對社群的重要性以及對IoT端到端系統檢視的全面且高度關注。
經過適當考慮之後,針對體系結構設計的一個故意決定是採用標準ISO / IEC CD 30141 IoT參考體系結構。採取IoT RA模型的一些替代選擇是ITU-T Y.2060 [6]和NIST物聯網(NoT)[7]。但是,這些技術更側重於裝置到物理物件的通訊,而沒有充分考慮對完整的端到端IoT系統參考架構模型的需求。例如,我們發現ITU-T Y.2060的IoT域檢視與我們的範圍有關,但是ISO / IEC CD 30141標準在幾種不同的檢視(概念,系統,域,網路,功能)上提供了有關IoT系統架構的詳細說明,包括跨部門服務生態系統檢視。
在下文中,我們將簡要概述ISO / IEC 30141 IoT RA,尤其是域檢視,因此在圖1中,我們總結了ISO / IEC 30141 IoT RA的域檢視和通訊。
圖1. ISO / IEC 30141 IoT RA域檢視
物理實體域(PED)與在給定IoT系統中受感測和控制的所有物理物件有關。PED由物聯網系統中的物理和虛擬實體組成,是物聯網系統負責監視或感知,控制等任務或功能的主要環境。
感測和控制域(SCD)由IoT裝置,用於感測(數字化)物理物件狀態或特徵的感測器以及控制物理物件的執行器組成。SCD是物聯網系統中的必不可少的領域,可為物聯網系統的所有其他域提供有關給定環境的關鍵資訊。
在SCD中,IoT裝置依賴於不同型別的網路通訊,例如有限範圍的低功耗網路。這種型別的網路通訊通常稱為鄰近網路,是指與IoT裝置的所有本地連線。鄰近網路通常使用適合於這些網路的特殊性質的特殊協議。
廣域網(WAN)將鄰近網路連線到Internet,Internet可以專用於IoT系統,也可以是共享的通用網路。這方面與用例和場景有關的SerIoT範圍和部署特別相關。 IP通常用於WAN,而在協議棧中的更高級別中,有時會使用HTTP或訊息傳遞協議。
物聯網裝置需要與附近或遠端的軟體服務傳送和接收資料(通訊)。物聯網閘道器通常在鄰近網路和WAN之間連線不同型別的網路。
運營和管理域(OMD)代表負責實時配置,管理,監視和優化系統執行效能的功能集合。系統運營商和管理者是OMD的參與者,維護著物聯網系統的整體健康。
資源和交換域(RID)在資源方面與IoT系統實體,應用程式,服務和系統外部進行互動。資源可以是實物,貨幣或數字資源,具體取決於交易。可以根據需要執行特定的資料處理,以滿足外部組織的需求,包括資料質量保證,資料轉換,分發和儲存。
應用服務域(ASD)為物聯網使用者提供業務驅動的服務。 ASD包含物聯網系統中涉及的所有服務提供商。服務提供商不僅與IoT使用者進行互動以實現其請求,而且還與SCD中的實體(感測器和執行器)進行互動以從物理物件域中獲取資料。服務提供商通過RID與外部組織(例如其他IoT系統和平臺)進行互動。
使用者域(UD)由物聯網系統的涉眾和參與者組成。使用者可以是個人,也可以是一群人,例如家庭,社會,組織或政府部門。
圖2.垂直行業的ISO / IEC 30141物聯網服務
圖2顯示了根據ISO / IEC 30141在垂直行業中使用IoT服務的情況。它說明了如何通過不同組織級別(例如,國家,省,公司,企業或全球)的IoT平臺整合各種IoT系統以實現互操作性,其中一個物聯網系統可以直接與其他物聯網系統互動。當需要推斷從單個物聯網系統檢視到跨部門的物聯網生態系統網路的以下部分中介紹的SerIoT操作範圍時,此檢視特別有用。
SerIoT體系結構高階檢視
SerIoT管理和功能域
我們將首先介紹SerIoT管理和功能域檢視。如前一節所述,IoT系統網路檢視既包括連線IoT裝置的鄰近網路,也包括連線操作,業務和資源交換域與感測和控制域(IoT裝置)的訪問/服務網路。
鄰近網路由IoT系統管理,而廣域網可能不作為IoT系統的一部分進行管理,因為它們通常是通常由其他組織執行的通用網路。
ISO / IEC 30141標準將物聯網系統中網路管理和操作的範圍定義如下(第9頁):“物聯網網路管理必須跨越兩種網路,並將它們組裝成可滿足物聯網目的的一致系統系統。如果物聯網系統使用第三方通用通訊網路,則可以在可用的情況下使用其管理和操作介面。”
以上引用的宣告特別界定了以SDN技術為基礎的SerIoT解決方案的範圍和相關性。
圖3. SerIoT管理域檢視
圖3顯示了參照ISO / IEC 30141標準的SerIoT的管理和功能域。紅色箭頭表示SerIoT支援的IoT網路通訊。 SerIoT管理域支援(IoT裝置的)感測和控制域與管理(OMD),應用程式(ASD)和資源交換(RID)域之間的安全IoT網路通訊(業務流)。 SerIoT管理域在決策支援和互動式視覺分析的上下文中為SerIoT使用者域提供管理介面,以允許人為互動來緩解和採取對策。
SerIoT專案將根據ISO / IEC 30141 IoT RA對SerIoT系統的價值和貢獻進行進一步分析。特別是,在安全性和安全性管理(請參見圖1 OMD)的上下文中確定SerIoT管理域與IoT系統的操作和管理域之間的關係,並在以下情況下確定SerIoT管理域與IoT系統的資源和交換域之間的關係:物聯網資源的訪問控制和授權。這些活動將在SerIoT專案的第二年進行。
SerIoT體系結構總覽
從概念上講,SerIoT體系結構由SerIoT管理功能和SerIoT網路基礎結構組成。 SerIoT管理功能解決:
- 物聯網網路管理;
- ii)物聯網監控,異常檢測,緩解和決策支援;
- iii)物聯網裝置的安全性和隱私性。
SerIoT網路以SDN基礎架構,IoT蜜罐和Fog節點(Fog計算基板的一部分)為基礎。
圖4. SerIoT Architecture總體檢視
圖4顯示了關於ISO / IEC IoT RA的SerIoT體系結構的一般檢視。
SerIoT SDN基礎架構通過兩種型別的轉發器(路由器)實現了IoT網路通訊–位於與IoT裝置最接近的點/邊緣的邊緣轉發器(在IoT閘道器的級別),以及作為IoT中中間轉發元素的核心轉發器接入網路。
重要的是,SerIoT管理域負責物聯網網路管理。網路管理功能是SerIoT SDN解決方案的核心,它的“大腦”就是SerIoT路由引擎。 SDN控制器在核心和邊緣轉發器上實施路由決策。有關SerIoT SDN網路設計的詳細資訊,請參考可交付使用的D3.1 [6]。
SerIoT Fog計算協調基礎負責在IoT網路的邊緣(最接近IoT裝置的位置)提供計算和儲存資源。 SerIoT Fog基板是服務和資源的分層管理和編排(MANO),可通過專用的,接近邊緣的Fog節點解決向物聯網裝置提供高效且透明的服務的問題。
SerIoT Fog MANO實施了一組功能,以在節點以及網路級別上管理和控制Fog基板。這些功能之間的通訊將實現資源的快速,安全和可擴充套件配置,並在需要時重新分配它們。
SerIoT蜜罐是一個虛擬化(2層)環境,可模擬IoT裝置,閘道器或路由器,以收集資料並分析惡意流量或惡意軟體活動。輕量級的異常檢測引擎是蜜罐的中心點。蜜罐與核心轉發器或邊緣轉發器連線,從而允許通過將SDN主動流量轉發到蜜罐來實現有源蜜罐的概念。
SerIoT決策支援系統提供了跨層IoT網路監視和異常檢測功能,該功能集成了互動式視覺化分析以進行人工分析和決策,並採取緩解措施和對策(建議)以減輕網路中的威脅/攻擊。 SerIoT的目標是在決策制定方面具有高度的自治權,而在環決策中則採用人為干預進行分析和緩解措施。
SerIoT框架主要通過基於策略的框架(PBF)和可擴充套件到大量IoT裝置的分散式策略執行點(PEP)以及創新的IoT裝置引導服務(IoT)為IoT裝置的安全性和隱私定義了特定的解決方案(託管在SerIoT Fog節點上),以實現可擴充套件且可靠的裝置身份驗證和標識。
最後但並非最不重要的一點是,圖4顯示了SerIoT框架的控制平面(圖中的虛線)。它滿足(i)SDN網路管理,
(ii)Fog襯底管理,
(iii)從託管在核心/邊緣轉發器,Fog節點,到管理域的蜜罐中的各種SerIoT基礎架構監視器收集資料的需求,
(iv)通過區塊鏈基礎架構在操作過程中儲存(評估)SerIoT網路的狀態。
藉助區塊鏈基礎架構,SerIoT裝置可以報告其狀態或執行期間發生的重要事件。 SerIoT管理域將根據報告的基礎架構執行狀態/事件進行相應的啟用。區塊鏈技術的使用和SerIoT框架中的整合是一項持續不斷的活動,預計在專案的第二年(架構v2版本)將取得主要成果。
SerIoT SDN轉發器(SerIoT SDN Forwarders)
SerIoT SDN轉發器,在文獻中也稱為SDN交換機或SDN路由器,是一種根據控制器傳送的規則並符合OpenFlow標準[7]轉發資料包的裝置。
SerIoT轉發元素(SFE)能夠處理兩類資料包-啞資料包或使用者資料包,承載使用者的有效載荷,以及智慧或認知資料包,不承載使用者資料,但從一個轉發器傳輸到另一個轉發器並收集本地資料(連結質量,節點中的能耗,本地安全狀態等)。
因此,每個SFE都包含一個SDN交換機(在SerIoT專案測試平臺中,Open vSwitch軟體SDN交換機將是使用者),能夠從控制器接收OpenFlow命令並根據傳送的規則執行SDN操作。每個SFE還包含一個Smart Packet守護程式,它可以處理Smart Packets-接收它們,更新其內容並將其轉發回SDN交換機,後者將它們傳遞到路徑上的下一個SFE。每個SFE還包含一個監視模組,能夠收集和處理流量統計資訊。
圖5. SerIoT轉發器架構
圖5(a)顯示了SerIoT核心轉發元素(Core SFE)的體系結構檢視。核心SFE僅連線到其他SFE,而不連線到客戶端裝置。它僅包含上述核心元件:SDN交換機,智慧資料包守護程式和監視。
圖5(b)顯示了SerIoT Edge轉發元素(Edge SFE)的體系結構檢視。 Edge SFE將客戶端裝置連線到SerIoT網路。它包含Core SFE的所有元件,以及標準的有狀態IP過濾器(IPTABLES),當僅使用OpenFlow(OF)規則進行過濾(SDN轉發器是無狀態的)時,它們可用於覆蓋不可用的過濾功能。 IoT感測器集線器和IoT裝置驅動程式模組被認為與Edge SFE並置,但是不屬於SerIoT域。
SerIoT霧計算基板(SerIoT Fog Computing Substrate)
在雲端計算的現有研究中已經很好地說明了對彈性/敏捷地提供CPU /儲存(CS)資源的需求。隨著物聯網應用的興起,此要求已擴充套件到網路/計算/儲存/加速(NCSA)資源;並且,在所謂的Fog架構中,它已被推向邊緣。
為了實現SerIoT在感興趣的用例中實現安全可靠的IoT通訊的目標,我們需要安全,靈活和可擴充套件地提供NCSA資源,以滿足每個用例的需求。
在SerIoT中,Fog基板負責安全地調配NCSA資源(適當大小)。霧還負責將控制和管理分解為網路功能(NF);並根據用例需求(自治,延遲等)在多個位置分發/維護所述功能。霧管理通過使用監視資料來協調資源的快速和靈活移動,從而確保已配置資源的安全執行並再次緩解DDoS攻擊。
使用OpenFog RA [8]和SerIoT用例需求[9],SerIoT Fog架構被定義為分層的N層,基於服務的架構。取決於用例,部署方式也有所不同。在所有部署中,體系結構至少由兩部分組成:雲級節點和邊緣級節點。邊緣級節點同義地稱為霧節點。圖6說明了這種層次結構。
圖6. SerIoT Fog基板層次結構檢視
該體系結構將控制和管理平面分解為一組功能,這些功能通過預定義的介面相互互動。這些功能形成了分散式和虛擬化的霧管理和協調框架(MANO)。不受限制的Fog MANO形式預計將被放置在雲中以監督基材的操作;同時將較輕的功能和/或功能的子集放置在Fog節點中,從而使基本的管理和控制功能能夠執行並向本地端點提供服務。功能操作由公共資料資源池支援,該資源池主要由管理資訊庫(MIB)和目錄表示
SerIoT主動蜜罐(SerIoT Active Honeypot)
每個SerIoT Honeypot與SerIoT SDN控制器一起使用。 Honeypot在虛擬化環境中實現,並以低互動或中互動蜜罐形式公開。
在SerIoT蜜罐之上,訓練有輕量級的異常檢測引擎(LAD)以有效檢測惡意攻擊。
圖7. SerIoT Honeypot LAD檢視
圖7顯示了網路流量如何在SerIoT網路上流動以及蜜罐和LAD模組如何對其進行處理。最後,將LAD檢測到的流報告給SerIoT路由引擎。
虛擬化環境通過低互動和中等互動蜜罐公開了常見的IoT服務(SSH,Telnet等)。有關可能的攻擊的資料收集在儲存模組中。最重要的是,使用了不同的演算法來檢測幾類異常,例如密碼暴力和利用嘗試。從簡單的非平均檢測到更復雜,更有效的基於神經網路的解決方案,都使用了全套異常檢測演算法。
SerIoT決策支援系統(Decision Support System)DSS,監控和緩解
SerIoT DSS元件,互連和資料流依存關係的高階檢視如圖8所示。
圖8:SerIoT DSS,監控和緩解高階檢視
具體來說,數據採集平臺從SerIoT網路元件(即SDN控制器,路由引擎,Fog MANO和Honeypots)收集資訊。這些元件提供有關IoT網路中資料流的資訊,來自虛擬化應用程式和Fog節點的有關資源利用率的統計資訊以及蜜罐發現的異常。
然後可以將收集到的資訊準備提供給其他元件以進行其他分析。具體來說,在SerIoT DSS中接收此資訊的模組是跨層異常檢測模組和視覺分析模組。跨層異常檢測模組分析收集的資料並識別隱藏的異常,而視覺化分析模組通過視覺化原始資料和其他元件檢測到的異常向網路運營商提供態勢感知。
然後,將檢測到的異常饋入緩解和對策模組,該模組能夠確定最佳行動方案,以最大程度地減少異常對IoT網路執行的影響。所標識的操作將傳送迴路由引擎和Fog MANO元件以進行實施。
資料採集平臺的基礎技術是WAPI伺服器[10]。 WAPI是在WOMBAT專案[11]中開發的API,並允許使用基於SOAP協議的標準Web服務來訪問與安全性相關的不同型別的資料集。 WAPI不僅允許資料提供者決定資料集的結構,而且還提供了一個客戶端API,該API允許使用一個統一的通訊協議與各種啟用WAPI的資料集進行互動。
物聯網裝置的安全性和隱私性(Security and Privacy of IoT Devices)
物聯網的主要障礙是對網路攻擊的敏感性。工業應用需要越來越多的信任和保護隱私。該行業的智慧財產權及其過程控制是當今保護的主要價值。依靠時間戳,對IoT平臺內容的受限訪問和感測器資料的完整性是至關重要的要求。 SerIoT的IoT裝置安全性涵蓋所有級別,包括硬體,軟體,邊緣,霧和雲。
表1. SerIoT IoT裝置安全級別
SerIoT框架使用基於策略的框架提出了一種身份驗證系統(使用者,IoT裝置以及服務或應用程式)。 SerIoT的此元件涵蓋了從初始標識到通過令牌交換進行的任何資料/服務請求/傳送。
區塊鏈的使用
並非IoT裝置操作生成的所有資料都記錄在區塊鏈中,只有那些對惡意實體或攻擊者的更改或修改高度敏感的資料才記錄在區塊鏈中。敏感資料作為要儲存在區塊鏈中的候選資料的一些示例是裝置操作期間的重大事件(異常),嚴重的策略違例,裝置硬體/軟體狀態的簽名,違反SLA等。
基於策略的框架(Policy-based Framework)
物聯網裝置和通訊的安全框架基於基於策略的框架(PBF),該框架提供各種功能,包括匿名化,機密性,資料保留,使用者同意,訪問控制,不可否認性和信任管理。需要時,可以使用PBF的不同元素和補充元件來實現不同的功能。例如,訪問控制還可以基於基於屬性的授權(ABAC),這是基於角色的授權(RBAC)的下一步。圖9顯示了SerIoT PBF架構和元件的概念關係。
圖9:基於SerIoT策略的框架架構
傳統上,基於策略的方法已被考慮用於ICT場景中安全和隱私方面的管理。基於此,我們必須能夠定義一種架構,該架構允許正確的使用者/應用程式在正確的時間訪問正確的資源,並拒絕嘗試的任何惡意操作。
換句話說,為了實現此目標,我們希望構建一個牢記以下要素的體系結構:
身份管理器(IDM)。 Identity Manager負責保護數字資源免受惡意請願者或服務的侵害。它控制系統上的使用者/裝置資訊,包括身份驗證和描述他們能夠訪問和/或執行的資源和操作的資訊。
策略決策點(PDP)。 PDP是決策授權決策的基於策略的訪問控制系統的組成部分。 PEP將向PDP傳送獲得該授權的請求,並且PDP將檢查適用的策略,以評估對Gran / deny訪問的請求。當PDP做出決定時,它將把該決定返回給PEP。
策略執行點(PEP)。使用者將傳送訪問IoT資源的請求,這些請求將由PEP服務。 PEP將向PDP傳送一個授權請求以進行評估,並且根據PEP收到的答覆,它將允許或拒絕使用者訪問所請求的資源。
策略管理點(PAP)。建立和管理策略的實體。 PDP將需要這些策略來評估來自PEP的授權請求。 PAP儲存所有需要評估的條件定義,以授予對不同資源的訪問許可權。 PAP還包括策略儲存庫,該儲存庫儲存系統中使用的所有策略。
策略資訊點(PIP)。充當屬性值來源的元件。如果PDP需要更多屬性來評估策略,則PIP將提供它們。這些附加屬性可以在SQL資料庫,LDAP目錄甚至CSV檔案中分配。
結論
作為SerIoT部落格系列的一部分,本文根據專案第一年的成果介紹了SerIoT參考架構[3]。特別是,它呈現了SerIoT架構的一般檢視,以及架構元件,模組和巨集功能的特定檢視。
提出了關於物聯網參考架構ISO / IEC 30141的SerIoT架構概述。此活動將幫助我們更好地評估SerIoT對IoT領域的貢獻及其相對於標準的價值主張。
確定了在專案第二年取得進展的幾個方向,例如,區塊鏈基礎架構的整合和使用,SerIoT系統端到端規範,架構安全檢視以及針對ISO的SerIoT價值主張的具體分析/ IEC 30141。