بهترین روش‌های احراز هویت (تأیید اعتبار) در اینترنت اشیا

مؤسسه گارتنر ( شرکتی بین‌المللی ارائه دهنده خدمات مشاوره‌ای در زمینه‌های فناوری اطلاعات ، امور مالی، منابع انسانی، خدمات و پشتیبانی مشتری، ارتباطات، ...) روشهای احراز هویت در اینترنت اشیاء را جزء پر منفعت‌ترین تکنولوژی‌های سال 2020 قرار داده است. این مطلب به روشهای مختلف تأیید اعتبار یا احراز هویت در اینترنت اشیاء می‌پردازد. معادل لاتین این واژه Internet of Things Authentication می‌باشد.

احراز هویت اینترنت اشیاء، مدلی برای تصدیق هویت دستگاه‌های متصل به هم با هدف اطمینان از امنیت داده‌ها و کنترل دسترسی در زمان انتقال اطلاعات در شبکه‌ای نا امن مانند اینترنت میباشد. برای محافظت از دستگاه‌های متصل به شبکه اینترنت اشیاء در مقابل نفوذ و کنترل کاربران یا دستگاه‌های غیرمجاز، نیاز به روش‌های قدرتمند در زمینه احراز هویت اینترنت اشیاء میباشد.

این روشها همچنین کمک می‌کنند تا از دسترسی هکرهایی که در پوشش دستگاه‌های اینترنت اشیاء سعی در دستیابی به داده‌های سرورها همچون مکالمات ضبط شده، تصاویر و سایر اطلاعات حساس دارند، جلوگیری شود.

روش‌های مختلفی برای ایمن‌سازی ارتباطات دستگاه‌های IoT از طریق فرایندهای قدرتمند احراز هویت، وجود دارد:

احراز هویت یک طرفه: در شرایطی که دو طرف بخواهند با یکدیگر ارتباط برقرار کنند ، فقط یک طرف اجازه دارد که خود را برای طرف دیگر احراز هویت کند ، در حالی که طرف دیگر احراز هویت نمی‌شود.

احراز هویت دو طرفه: به آن احراز هویت متقابل نیز گفته می‌شود که در آن هر دو طرف یکدیگر را احراز هویت می‌کنند.

احراز هویت سه طرفه: جایی است که مرجعی اصلی احراز هویت دو طرف را انجام می‌دهد و به آنها در تأیید اعتبار یکدیگر کمک می‌کند.

توزیع شده: از روش احراز هویت مستقیم توزیع شده بین طرفین ارتباط استفاده می‌شود.

متمرکز: از یک سرور متمرکز یا شخص ثالث مطمئن برای توزیع و مدیریت گواهینامه‌های احراز هویت استفاده می‌شود.

احراز هویت یا تأیید اعتبار اینترنت اشیاء    IoT Authorization

اینترنت اشیا تنها یک فناوری واحد نیست ، بلکه محیطی در هم تنیده متشکل از ماشین‌های مختلف ("چیزها") است که اگرچه با یکدیگر ولی به طور مستقل و بدون تعامل انسان کار می‌کند. احراز هویت ابزاری است که برای تأیید هویت هر دستگاه در سیستم اینترنت اشیا استفاده می‌شود. فرایند صدور مجوز هنگام ورود به سیستم پیکربندی می‌شود و ارائه دهنده خدمات را از روشی که هنگام بررسی هویت سیستم هنگام ثبت نام استفاده می‌شود ، مطلع می‌کند.

مدیریت هویت اینترنت اشیاء    IoT Identity Management

مدیریت هویت دستگاه‌های هوشمند متصل به هم، سیستمی خلق می‌کند که کمک می‌کند تا از امنیت هویت هر نوع ماشینی که قصد دارد با دستگاه‌ها ، برنامه‌ها ، سیستم‌های ابری و درگاه‌های دیگر ارتباط برقرار کند، اطمینان حاصل شود.

این روشها ممکن است شامل سیستم‌های احراز هویت و صدور مجوز دستگاه‌های اینترنت اشیا باشد مانند:

• سیستم‌های کنترل صنعتی
• دستگاه‌های پزشکی متصل به هم
• واحدهای کنترل موتور در خودروها ECU
• دوربین‌های امنیتی
• سیستم‌های امنیتی خانگی
• دستگاه‌های موبایل
• بلندگوها ، چراغ‌ها ، پریزها و سایر تجهیزات هوشمند

هر دستگاه اینترنت اشیا هنگام اتصال به درگاه یا سرور مرکزی به یک هویت دیجیتالی منحصر به فرد نیاز دارد تا از کنترل سیستم توسط هکرها جلوگیری شود. این امر از طریق تخصیص هویت به یک کلید رمزنگاری شده و منحصر به فرد برای هر دستگاه اینترنت اشیا ، محقق می‌شود. 

• برای پیاده‌سازی ماژول پلتفرم امن (TPM) ، شناسه ثبت توسط خود TPM صادر می‌شود.
• برای مجوزهای X.509 ، شناسه ثبت توسط یک مرجع صدور مجوز معتبر جهانی(CA)  صادر می‌شود.

رویکردهای مدیریت هویت دستگاهها به طور خاص مسئول رصد اعتبارنامه یا مجوزهای استفاده شده توسط ماشین‌ها و مدیریت چرخه آنها در سیستم میباشد.

انتخاب مدل درست احراز هویت اینترنت اشیاء 

دستگاه‌های اینترنت اشیا اغلب از راه دور مورد حمله قرار می‌گیرند، بدین صورت که یک هکر سعی میکند با استفاده از اتصال به اینترنت وارد دستگاه شود. حالا اگر یک دستگاه اینترنت اشیا فقط مجاز به برقراری ارتباط با یک سرور معتبر باشد ، هرگونه تلاش خارجی برای برقراری ارتباط نادیده گرفته می‌شود.

بر اساس گزارش حملات انجام شده در سال 2018 ارائه شده از سوی شرکت سیمانتک، تعداد حملات انجام شده مرتبط با دستگاه‌های اینترنت اشیا بین سال‌های 2016 و 2017 با افزایش 800 درصدی ، به ترتیب از 6000 حمله به 50،000 حمله رسیده است.

بنابراین ، هنگامی که دستگاه‌های اینترنت اشیا در شبکه‌های سازمانی پیاده‌سازی می‌شوند ، باید توجه خیلی بیشتری به مقوله امنیت معطوف گردد. برای اطمینان از حصول امنیت لازم، باید از راهکارهای رمزنگاری قدرتمند اما کارآمد برای استانداردسازی ارتباطات ایمن بین ماشین‌ها استفاده شود.

با این حال، انتخاب مدلی درست برای تأیید هویت دستگاه‌های اینترنت اشیا تصمیمی سخت می‌باشد. قبل از تصمیم‌گیری در مورد اینکه کدام ساختار در نهایت بهترین روش احراز هویت دستگاه‌های اینترنت اشیا می‌باشد ، باید فاکتورهای متعددی همچون: منابع انرژی ، ظرفیت سخت‌افزاری ، بودجه تخصیصی برای امنیت ، الزامات امنیتی و شبکه‌های ارتباطی، را در نظر بگیرید.

مجوزهای X.509

پروتکل X.509) IETF RFC 5280) ایمن‌ترین نوع احراز هویت دیجیتال را ارائه می‌دهد و بر اساس مدلی متشکل از زنجیره‌ای از مجوزهای امن می‌باشد. استفاده از مجوزهای X.509 به عنوان مکانیزم صدور گواهینامه راهی عالی برای افزایش تولید و ساده‌سازی تحویل تجهیزات می‌باشد.

زیرساخت کلید عمومی یا PKI متشکل از یک ساختار درختی از سرورها و دستگاه‌هایی است که لیستی از مجوزهای معتبر را در اختیار دارند. هر مجوز حاوی یک کلید عمومی مختص هر دستگاه می‌باشد که با یک کلید اختصاصی CA امضا می‌شود. همچنین یک «اثر انگشت» منحصر به فرد ، هویتی انحصاری به فرد می‌دهد که می‌تواند با اجرای الگوریتم رمزنگاری ، مانند RSA ، تأیید شود.

گواهینامه‌های دیجیتال به طور معمول در زنجیره‌ای از مجوزها تنظیم می‌شوند، به گونه‌ای که در آن هر مجوز با کلید اختصاصی یک مجوز مورد اعتماد دیگر امضا می‌شود و این زنجیره نهایتاً باید به یک مجوز معتبر جهانی بازگردد. این عملیات نیاز به فرآیندهای پیچیده‌ای دارد ولی در حال حاضر سرویس دهنده‌های متعددی برای این کار در بازار وجود دارد.

استفاده از روش مدیریت چرخه حیات مجوزها با روش X.509 به دلیل پیچیدگی‌های لجستیکی درگیر ، می‌تواند یک چالش باشد و نهایتاً هزینه بالایی نیز خواهد داشت. به همین دلیل ، بسیاری از مشتریان برای استفاده از این مجوزها به فروشندگان خارج از سازمان اعتماد می‌کنند.

ماژول امنیتی سخت‌افزاری (HSM)

ماژول‌های امنیتی سخت‌افزاری یا HSM، برای ذخیره‌سازی مخفی رمز اختصاصی یک دستگاه روی یک سخت‌افزار استفاده می‌شود و ایمن‌ترین حالت ذخیره‌سازی مخفی است. هم مجوز X.509 و هم توکن‌های رمز SAS می‌توانند در این روش ذخیره شوند. HSM ها ممکن است از طریق روشهای تأیید دومرحله‌ای نیز بهره ببرند. به عنوان روشی جایگزین رمز دستگاه‌ها می‌تواند در حافظه نرم‌افزار نیز ذخیره شود که در مقایسه با HSM امنیت کمتری دارد.

ماژول پلتفرم امن (TPM)

بررسی هویت دستگاهی که در روش‌های احراز هویت اینترنت اشیاء، با درگاه‌های پیام‌رسانی ارتباط برقرار می‌کند ، ضروری است. روش معمول تولید جفت-کلید ( رمزهایی که به صورت جفت‌های یکسان تولید می‌شود) برای دستگاه‌ها می‌باشد که سپس برای احراز هویت و رمزگذاری ترافیک داده‌ها استفاده می‌شود. 
TPM ها به اشکال مختلف وجود دارد از جمله:

• دستگاه‌های سخت‌افزاری مجزا   Discreet hardware devices
• تجهیزات سخت‌افزاری تعبیه شده   Embedded hardware equipment
• پیاده‌سازی سیستم‌عامل‌های اختصاصی  Implementation of firmware
• پیاده‌سازی نرم‌افزار   Implementation of software

در حالی که یک TPM معمولی دارای چندین قابلیت رمزنگاری است ، این سه ویژگی اصلی مربوط به احراز هویت اینترنت اشیا می‌باشد: 

• امن Secure boot-up
• ایجاد ریشه اعتماد  (Establishing the root of trust (RoT
• شناسایی دستگاه   Identification of device

تولیدکنندگان دستگاه‌ها همیشه نمی‌توانند به تمام سازمانهای موجود در زنجیره تأمین خود اطمینان کامل داشته باشند (به عنوان مثال ، کارخانه‌های مونتاژ خارج از کشور) و با این وجود آنها هنوز نمیتوانند از منافع اقتصادی استفاده از این تأمین کنندگان و امکانات کم هزینه آنها صرف نظر کنند. از TPM می‌توان در نقاط مختلف زنجیره تأمین استفاده کرد تا بررسی شود که اشتباه و یا دست‌کاری در مسیر تولید دستگاه رخ نداده باشد.

TPM قابلیت ذخیره ایمن کلیدها (رمزها) را در سخت‌افزاری مقاوم در برابر دستکاری دارد. کلیدها درون خود TPM تولید می‌شوند و بنابراین از بازیابی آنها توسط برنامه‌های خارجی محافظت می‌شود. حتی بدون استفاده از قابلیت‌هایی همچون ROT و یا سیستم راه‌اندازی امن ، TPM به اندازه روش ماژول امنیتی سخت‌افزاری (HSM) ارزشمند می‌باشد. کلیدهای اختصاصی توسط سخت‌افزار محافظت می‌شوند و امنیت بسیار بیشتری نسبت به کلیدهای نرم‌افزاری دارند.

کلیدهای متقارن  Symmetric Keys

این روش احراز هویت، روشی ساده برای احراز هویت دستگاه با یک نمونه تولید شده می‌باشد که توسط تأمین کننده فراهم می‌شود. این روش صدور مجوز معمولاً به عنوان تجربه اول برای توسعه دهندگانی است که تازه وارد بازار شده‌اند و یا از نظر ایمنی الزامات سختگیرانه‌ای ندارند. روشهایی همچون TPM یا X.509 از امنیت بیشتری برخوردار هستند و باید برای جاهایی استفاده شوند که سخت‌گیری‌های امنیتی بیشتر لازم است. احراز هویت از طریق تولید رمزهای متقارن، همچنین راهی مناسب برای استفاده از دستگاه‌های قدیمی با ویژگیهای امنیتی محدودتر، در سیستم‌های اینترنت اشیاء میباشد.

جمع بندی

اجرای صحیح فرآیند احراز هویت یا تأیید اعتبار اینترنت اشیاء تأثیرات بسیار مفیدی بر امنیت سیستم اینترنت اشیا دارد. با این حال ، انتخاب یک روش مناسب می‌تواند چالش برانگیز باشد و در صورت انتخاب اشتباه می‌تواند خطرات امنیتی را ده‌ها برابر افزایش دهد. 
برخی از ریسکها را می‌توان با ذخیره امن کلیدهای متقارن روی دستگاه و بکارگیری از بهترین روش‌های ذخیره‌سازی کاهش داد ، این غیرممکن نیست ، اما هنگامی که فقط از کلیدهای متقارن استفاده می‌شود ، در مقایسه با روشهای HSM ، TPM و X.509 از امنیت کمتری برخوردار هستند. 

در روشهای ، HSM ، TPM، X.509 ، چالش اصلی اثبات داشتن کلید  یا رمز عبور بدون آشکار کردن قسمت خصوصی کلید میباشد.