ロシアがNB-IoT技術に基づくIoTシステムを展開する機会を得てから2年が経過し ました。住宅や共同サービスに指標を送信するカウンター、文明から遠く離れた自動マイクロウェザーバルーン、 スマート農業-これらすべてがまもなく日常生活の一部になります。
デバイスシステムも、それが収集および送信するデータも、システムのユーザーに対して使用されないことが重要です。NB-IoT標準がネットワーク攻撃からそれらをどのように保護するかに興味があるなら、私はあなたを猫の下に招待します。
攻撃について
すでに述べたように、IoTを使用してデータを収集および処理する分野では、データの読み取り(チャネルのワイヤタップ、データへの不正アクセスの取得)を目的とした攻撃と、それらの代替が主な関心事であり、懸念事項です。盗聴を防ぐために暗号化が使用され、なりすましから、パケット作成者検証メカニズム(認証)が使用されます。たとえば、デジタル署名(これは暗号化タスクでもあります)や[1]で説明されているIoTシステムの方法です 。
今日の通常のコンピューターとスマートフォンが通信チャネル暗号化装置の暗号化強度を確保できることは周知の事実であり、最新のスーパーコンピューターでそれを破るには宇宙の寿命を超える時間がかかりますが、そのような暗号化耐性には代償があります-計算暗号化時間とデバイスによって消費される電力。スマートメーター。1つのバッテリーで10年間の連続動作に十分であり、毎日楕円曲線のポイントを数えるだけでは1か月は機能しません。速度も問題です:信頼できる暗号化については言えない、読み取り値を取得および送信するための簡単な操作を実行するために多くの計算能力を必要としません。
低電力デバイスのネットワーク攻撃から情報を保護する標準的な方法は、これらのデバイスで許可されている操作に対する非標準の制限のために機能しません。一方、ネットワークの正しい構築は攻撃者に制限を課し、標準の制限に応じて、最も適切な軽量アルゴリズムが選択されます( [2])。
NB-IoTについて簡単に説明します
NB-IoT標準について話しましょう:なぜそれが必要なのか、それが何を説明しているのか、そしてそれがどのように機能するのか。その後、ネットワークにどのような制限が課されているかを調べてみましょう。
NB-IoTは、セルラーオペレーターによる単純な記録デバイス(ターミナルデバイス、またはOU)のネットワークにサービスを提供するように設計されています。 OUの作業は、一部のデータを収集し、それを1日の所定の間隔で処理サーバーに転送することです。これにより、このデータがさらに処理されます。 NB-IoT規格で説明されているのは、物理学からネットワークまでの伝送技術です。
NB-IoTでは、エンドポイントの内部ネットワークと処理サーバーの外部ネットワークの間にネットワーク接続はありません。つまり、オペレーターはOSネットワークを外部ネットワーク(実際にはインターネット)から分離し、2つのネットワーク間の仲介役として機能します。
仲介者としてのオペレーターのタスク:
- 各OSとの無線通信チャネルを維持し、
- データストリームを処理サーバーからOSに転送し、OSからサーバーに転送します。
- 読み取りストリームへのアクセスとハンドラーサーバーへの制御を提供します。
つまり、ペイロードは、デバイスのネットワーク、オペレーターのインフラストラクチャネットワーク、およびインターネットの3つの別個のネットワークを通過します。攻撃者は、デバイスがこれら3つのネットワークのいずれかにある場合、盗聴または代用する可能性があるため、NB-IoTを介して送信されるデータストリームのセキュリティの問題は、各ネットワークでのセキュリティという3つに分けられます。
オペレーターのネットワーク内のデータセキュリティの問題を省略し、オペレーターの良識に任せて、他の2つを検討してください。
外部ネットワークのデータセキュリティ
攻撃者の立場になりましょう。私たちの前には、2つの通信ホストがあります。ハンドラーサーバーと、オペレーターが特別に提供するOUによって収集されたデータにアクセスするためのインターフェイスです。このインターフェースの背後にあるものには関心がありません。これはプロバイダーのインフラストラクチャの一部です。
ハンドラーとオペレーターインターフェイス間の通信は、インターネット上の2つのホスト間の通常の通信です。前述のように、これらは暗号化された伝送チャネルを提供するのに十分強力であるため、外部ネットワークのOSからのデータセキュリティの問題は重要ではありません。
オペレーターのネットワークにおけるデータセキュリティ
次に、内部ネットワークを見てみましょう。
まず第一に、ネットワークはある意味で分離されています。外部からネットワークへのネットワークパスはなく、物理的に直接干渉する可能性があるだけです。 OSとオペレーター間の物理的な通信は、割り当てられた周波数の1つで無線チャネルによって実行されます。ネットワークトポロジは、OSとオペレータ間の直接接続のセットであり、それらはすべて静的であり、プレインストールされています。つまり、このネットワーク内のノードと対話したい攻撃者は、反対側のノードになりすます必要があります。これにより、実際のノードは、それを模倣するトラフィックを検出しません。トラフィックが電波で送信される場合、これ自体は簡単な作業ではありません。
さらに、パケットを暗号化し、接続時に認証します。
重要!
オペレーターは、OU-Operatorネットワークでトラフィックの暗号化を提供する義務はありません。暗号化は、NB-IoTオペレーターを使用してIoTシステムを展開する組織によって支払われる別個のサービスとして可能です。
Op-ampは、暗号的に強力な暗号化アルゴリズムを使用するほど強力ではなく、軽量アルゴリズムの強度は著しく低くなります。これは、攻撃者がアルゴリズムキーを理解する前に、分析に必要なパケットが比較的少ないことを意味します。
NB-IoTでは、軽量暗号化アルゴリズムの有効性は、OSとオペレーターの間のパケット交換が、単に概念上、めったに発生しないという事実によって達成されます。1日あたりのパケット単位(より正確には、効率に必要な「トラフィックの不足」については、 [2]に記載されています。)攻撃者は、短時間で分析のために大量のパケットを取得する場所がないことがわかりました。トラフィックが少ないネットワークの暗号化アルゴリズムは、トラフィックが多いネットワークの同様の状況よりも長持ちします。
結果
NB-IoTは完全に信頼できるサービス標準です。内部ネットワーク(中央に立っている)でのトラフィックの置換は、ノードの無線信号を相互に隠す必要があるため、コストのかかる作業です。さらに、OSからオペレーターに送信されるすべてのデータと同様に、軽量の暗号化アルゴリズムによって十分に確実に保護されているノード認証キーがわかるまで、途中で立ち始めることはできません。
これらのネットワーク上のデバイスはトラフィックを安全に暗号化するのに十分な計算能力を備えているため、オペレーターのネットワークおよび外部ネットワークで読み取りまたは「真ん中に立つ」試みも失敗します。一方、攻撃者がOSからのデータを危険にさらしたい場合、攻撃者は外部ネットワークを狙う可能性が高くなります。攻撃者は、外部ネットワークを経由する可能性が高くなります。攻撃者は、オペレーターへの依存度が最も低く、大企業ではないため、ネットワークのセキュリティに費やす費用がはるかに少ないオペレーターに責任があります。オペレーターより。したがって、データのセキュリティの問題を理解するには、まず、サービスを直接提供する組織がセキュリティの問題にどのように取り組むかを検討する必要があります。