Thursday, January 26, 2023
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


Tecnologías de Seguridad del IoT industrial – Técnicas y Mecanismos clave

By Javier Peris , in Articulo , at 24/02/2022 Etiquetas:

 

En el nivel actual de la tecnología de IoT, la mayoría de los sistemas de IoT industrial se construyen sobre la base de las redes móviles existentes, y luego se integran y agregan las redes de detección industrial y las plataformas de aplicaciones industriales, por lo que la mayoría de los mecanismos de seguridad de las redes móviles todavía pueden aplicarse y proporcionar un cierto grado de seguridad, como los mecanismos de autenticación de seguridad, los mecanismos de cifrado de seguridad, etc. Además, en la arquitectura de red tradicional, la capa de red y la capa de negocio están separadas y son independientes entre sí en términos de seguridad y protección, mientras que el IoT industrial tiene sus propias características especiales debido a su composición, por lo que los mecanismos de seguridad deben complementarse y ajustarse en consecuencia según sus características.

1. Tecnológicas y mecanismos clave

1.1 Mecanismos de autenticación empresarial en el IoT

En el proceso de autenticación tradicional, tanto la autenticación de la capa de red como la autenticación de la capa de negocio se encargan únicamente de la identificación de la identidad en sus respectivos niveles, y son independientes entre sí; sin embargo, los dispositivos del IoT suelen tener una finalidad específica, por lo que en la mayoría de los casos sus aplicaciones de la capa de negocio están estrechamente vinculadas a la comunicación de red. El diseño puede basarse en el proveedor de servicios y el nivel de sensibilidad de la seguridad.

En concreto, se pueden utilizar como ejemplos los siguientes escenarios:

(1) Los servicios del IOT son proporcionados por el operador y la autenticación de la capa de servicio puede ser omitida y sólo se puede adoptar el resultado de la autenticación de la capa de red.

(2) Cuando los servicios del IOT son proporcionados por un tercero y los parámetros de seguridad no están disponibles a través del operador de la red, el resultado de la autenticación de la capa de red puede ser ignorado y se puede iniciar una autenticación de la capa de negocio independiente.

(3) Cuando el negocio involucrado en el IoT es más sensible, como el negocio militar, el proveedor de servicios generalmente no puede confiar en el resultado de la autenticación de la capa de red y utilizará un nivel más alto de autenticación de la capa de negocio

(4) Cuando el IoT implica servicios comunes, como la recogida de temperatura, el proveedor de servicios considera que el resultado de la autenticación de la red es de confianza y no se requiere ninguna otra autenticación de la capa empresarial.

1.2 Mecanismos de cifrado en el IoT

El mecanismo tradicional de encriptación utiliza la encriptación salto a salto en la capa de red y la encriptación de extremo a extremo (del inglés end-to-end encryption o E2EE) en la capa de servicio, que son muy diferentes entre sí; la encriptación salto a salto garantiza que la información está encriptada durante la transmisión, pero necesita ser descifrada y encriptada continuamente en los nodos de paso, es decir, la información está en texto plano en cada nodo; la encriptación de extremo a extremo garantiza que la información está en texto cifrado durante la transmisión y en los nodos de reenvío, y sólo está encriptada en los nodos de envío. El mecanismo de encriptación de extremo a extremo garantiza que el mensaje es texto cifrado durante la transmisión y en el nodo de reenvío, y es sólo texto plano en los extremos de envío y recepción. En las actuales aplicaciones industriales del IoT, en las que la conectividad de la red y el uso de la empresa están estrechamente vinculados, hay que elegir entre el cifrado salto a salto y el cifrado de extremo a extremo.

El mecanismo de cifrado end-to-end se lleva a cabo en la capa de red y, por lo tanto, es aplicable a todos loado salto a salto y el cifrado de extremo a extremo servicios, de modo que los diferentes servicios pueden gestionarse de forma segura a través de una plataforma empresarial de IoT unificada, lo que hace que el mecanismo de seguridad sea transparente para la empresa. Esto garantiza la baja latencia, el bajo coste, la alta eficiencia y la alta escalabilidad del cifrado salto a salto.

Sin embargo, la necesidad de descifrar el mensaje encriptado en cada nodo de transmisión también conlleva la posibilidad de que cada nodo filtre el texto plano del mensaje encriptado, lo que impone un elevado requisito de fiabilidad a cada nodo de transmisión en la ruta de transmisión.

Cuando se utiliza el cifrado de extremo a extremo, se suelen elegir diferentes políticas de seguridad en función del tipo de servicio de que se trate, con lo que se consigue un alto nivel de seguridad para los servicios con altos requisitos de seguridad. Sin embargo, cada nodo por el que pasa un mensaje en el mecanismo de cifrado de extremo a extremo tiene que determinar cómo se transmite el mensaje con la dirección de destino final del mismo, y por tanto no puede proteger esta dirección de destino, lo que hace que el mecanismo de cifrado de extremo a extremo no pueda ocultar el origen y el destino del mensaje que se transmite, y que su proceso de negocio de comunicación sea vulnerable al análisis y a los ataques maliciosos. Además, desde la perspectiva de la seguridad nacional, el cifrado de extremo a extremo no satisface las necesidades prácticas de las escuchas nacionales legítimas.

En resumen, para los servicios generales con bajos requisitos de seguridad, el cifrado salto a salto en la capa de red ya puede proporcionar suficiente protección de seguridad, por lo que el cifrado de extremo a extremo en la capa de servicio no es necesario; sin embargo, cuando se trata de servicios con altos requisitos de seguridad, sigue siendo preferible el cifrado de extremo a extremo. Así, la elección del mecanismo de cifrado puede basarse en los requisitos específicos de nivel de seguridad del proyecto empresarial del IoT industrial.

1.3 Tecnologías de identificación y autenticación de entidades a gran escala

En el proceso de aplicación real de los proyectos de IoT industrial, se suele utilizar la tecnología de autenticación bidireccional entre la red externa y los nodos de la red final para lograr el mecanismo de confianza mutua entre la red y las entidades, que se implementa principalmente en la capa de transporte, incluyendo el diseño de algoritmos criptográficos seguros (criptografía de clave simétrica y pública), la gestión de claves, la confidencialidad de nodo a nodo, la confidencialidad de extremo a extremo, los protocolos de autenticación fuerte, los algoritmos criptográficos y los protocolos criptográficos la normalización. Sin embargo, en el entorno técnico actual, hay que tener en cuenta dos realidades para la autenticación bidireccional:

(1) los recursos de la red final suelen ser muy limitados y el proceso de autenticación debe ser plenamente consciente de ello, por lo que los gastos generales de cálculo y comunicación que conlleva el mecanismo de autenticación deben ser lo más reducidos posible;

(2) en el caso de las redes externas, el número de redes finales conectadas es enorme y la estructura varía, por lo que es necesario establecer un mecanismo de identificación eficaz en un entorno tan complejo. entorno, un mecanismo de identificación eficiente para distinguir entre estas redes y sus nodos internos, y asignar una identidad única, requiere una solución perfecta.

1.4 Tecnologías de protección de la privacidad de la red en el IoT industrial

Aunque las empresas y los usuarios individuales pueden disfrutar de servicios de IoT personalizados, también están expuestos a la posibilidad de que se filtre su información privada debido al entorno de red «omnipresente» y a los «omnipresentes» piratas informáticos de la red; además, las tareas del proyecto de IoT industrial suelen ser realizadas por Además, las tareas de los proyectos de IoT industrial suelen ser completadas por múltiples nodos de la red, y la salida de datos de los nodos durante el proceso de colaboración también puede causar una fuga de privacidad. Por lo tanto, cómo equilibrar la privacidad y la confidencialidad del usuario con la eficacia del análisis y el procesamiento de los datos del sistema es una cuestión urgente que hay que resolver.

Actualmente, en el nivel de aplicación del IoT industrial, las tecnologías de protección de la privacidad se centran principalmente en la distribución de datos, la minería de datos y las redes de sensores inalámbricas, etc. Los métodos específicos de protección de la privacidad pueden dividirse en tres categorías.

(1) Métodos de anonimización: Este método protege la privacidad difuminando la información sensible, es decir, modificando u ocultando los datos sensibles locales o globales de la información original.

(2) Métodos de encriptación: Este método se basa en la encriptación de datos, que es un mecanismo criptográfico que hace que los datos originales sean invisibles para los demás, pero también garantiza que los datos no se pierdan, teniendo en cuenta la confidencialidad y la privacidad de los datos. Los métodos de encriptación más utilizados son la encriptación homomórfica y la computación multipartita segura SMC, propuesta originalmente por Rivest et al. en 1978 como una técnica de transformación criptográfica basada en la teoría algebraica que permite a los usuarios manipular directamente el texto cifrado. El SMC es un protocolo que utiliza mecanismos de encriptación para formar un cómputo interactivo, que puede lograr un cómputo distribuido y seguro sin fuga de información. En otras palabras, después de que dos o más sitios hayan completado el cálculo a través de algún tipo de acuerdo, cualquiera de las partes sólo puede obtener sus propios datos de entrada y los resultados de cálculo pertinentes.

(3) Método de protocolo de enrutamiento: Este método se utiliza generalmente para la protección de la privacidad de las ubicaciones de los nodos en las redes de sensores inalámbricos, y se basa generalmente en una estrategia de enrutamiento aleatorio, es decir, cada transmisión de un paquete no es siempre desde el nodo de origen a la dirección del nodo de agregación, sino que el nodo de reenvío transmitirá el paquete en la dirección de alejamiento del nodo de agregación con una cierta probabilidad, y la ruta de transmisión también es variable, y la ruta de transmisión de cada paquete se genera aleatoriamente. Esto dificulta que un atacante obtenga la información exacta de la ubicación de los nodos y, por lo tanto, logre el objetivo de protección de la seguridad.

1.5 Tecnologías de control de la seguridad en el IoT

La combinación de la tecnología IoT y los sistemas de control industrial tradicionales ha traído consigo nuevos problemas de seguridad junto con beneficios adicionales. Por lo tanto, para obtener una tecnología de control de la seguridad más precisa y determinista, es necesario analizar con más detalle los diversos factores de influencia derivados de la introducción del IOT en los sistemas de control industrial, e incorporarlos al modelo de análisis de control de la seguridad para una investigación más profunda.

2. Conclusión

La seguridad de IoT se ha convertido en el centro de atención, especialmente en el desarrollo de la protección y evaluación de la seguridad del IoT industrial. Por lo tanto, el establecimiento de un sistema integral de defensa de la seguridad, el desarrollo de una serie de productos de protección de la seguridad del IoT industrial, y el desarrollo de una serie de normas de evaluación de la red industrial de las cosas, no sólo garantizan la vida cotidiana de las personas, las actividades de producción seguras, sino también garantizan la estabilidad de la sociedad, la seguridad de la infraestructura y la información estratégica, todo lo cual es de importancia estratégica para la seguridad nacional.

 

Amanda Suo

Team Leader del Grupo de Expertos ITSM4IoT

Comité de Estándares de itSMF España

close

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad