لواروان الأمن
LoRaWAN هو بروتوكول شبكة طويلة المدى ومع ذلك منخفضة الطاقة (منخفضة الطاقة ، مساحة واسعة - LPWA) مصممة لتوصيل الأجهزة التي تعمل بالبطاريات لاسلكياً بالإنترنت المحلي أو العالمي وتوفر المتطلبات الرئيسية لإنترنت الأشياء (إنترنت الأشياء - إنترنت الأشياء) مثل الاتصالات ثنائية الاتجاه ، وأمن الاتصال ، والتنقل ، إلخ.
الأمن هو أولوية قصوى لأي تطور إنترنت الأشياء. تحدد مواصفات LoRaWAN مستويين من حماية التشفير:
- مفتاح جلسة شبكة 128 بت فريد مشترك بين الجهاز الطرفي وخادم الشبكة ؛
- مفتاح جلسة عمل تطبيق 128 بت فريد (AppSKey - مفتاح جلسة عمل التطبيق) شائع من طرف إلى طرف على مستوى التطبيق.
تُستخدم خوارزميات AES لتوفير المصادقة وتكامل الحزمة في خادم الشبكة وللتشفير من طرف إلى طرف على مستوى خادم التطبيق. يتيح لك توفير هذين المستويين تنفيذ شبكات مشتركة متعددة المستأجرين ، حيث لا يتمتع مشغل الشبكة بالقدرة على رؤية بيانات المستخدم النافعة.
يمكن تنشيط المفاتيح من خلال التخصيص (ABP - التنشيط عن طريق التخصيص) على خط الإنتاج أو أثناء التشغيل ، أو يمكن تفعيلها عبر الشبكة (OTAA - عبر تنشيط الهواء) في الحقل. تسمح طريقة تنشيط OTAA للجهاز بتغيير المفاتيح حسب الحاجة.
أسئلة وأجوبة الأمن
أين يتم وصف آليات أمان بروتوكول LoRaWAN؟
يتم وصف جميع آليات الحماية في مواصفات تحالف LoRa ، والتي يمكن تنزيلها من موقعه على الويب. في الوقت الحالي ، يمكنك تنزيل الإصدار 1.0.x وتستند هذه الإجابات عليه. قيد التطوير هو الإصدار 1.1.
كيف تعمل مواصفات LoRa Alliance على تأمين شبكات LoRaWAN؟
يدعم LoRaWAN المصادقة الأصلية والتكامل وحماية الحماية عبر إطار MAC (التحكم في الوصول إلى الوسائط) بأكمله. كما يسمح أيضًا بتشفير الحمولة النافعة للتطبيق من طرف إلى طرف بين الجهاز واستجابته من جانب الشبكة (تسمى خادم التطبيق في الإصدار 1.1). يدعم LoRaWAN وضع التشغيل الذي يسمح لك بتشفير أوامر MAC.
تعتمد كل هذه الإجراءات على معيار التشفير المتقدم AES وتستخدم مفاتيح تشفير 128 بت وخوارزميات.
هل هناك أي اختلافات بين وضعي ABP و OTAA من حيث أمن المعلومات؟
يستخدم LoRaWAN مفاتيح الجذر الثابتة ومفاتيح الجلسة التي تم إنشاؤها ديناميكيًا.
يتم توفير مفاتيح الجذر فقط في أجهزة OTAA. يتم استخدامها للحصول على مفاتيح الجلسة عندما تقوم محطة OTAA بإجراء الانضمام. يمكن لجهاز طرفي في وضع OTAA ، عند تثبيته في الحقل ، الاتصال بأي شبكة لديها خرج إلى خادم مفتاح (في الإصدار 1.1 ، الانضمام إلى خادم) الذي يتصل به الجهاز الطرفي. مفاتيح الجلسة التي تم الحصول عليها بهذه الطريقة تستخدمها بالفعل الأجهزة الطرفية لحماية الحركة الجوية.
لا تستخدم أجهزة ABP مفاتيح الجذر. بدلاً من ذلك ، يتم تزويدهم بمجموعة من مفاتيح الجلسة لشبكة محددة مسبقًا. تبقى مفاتيح الجلسة على حالها طوال عمر جهاز ABP.
تجعل القدرة على تغيير مفاتيح الجلسة أجهزة OTAA أكثر ملاءمة للتطبيقات التي تتطلب مستوى أعلى من الأمان.
ما هي هوية لوراوان؟
يتم تعريف كل جهاز طرفي برقم فريد عالمي 64 بت (EUI - معرف فريد موسع) ، يتم تعيينه إما من قبل الشركة المصنعة أو من قبل صاحب الجهاز الطرفي. يتطلب تعيين أرقام EUI أن يكون لدى المُحدد OUI (معرف فريد تنظيميًا) فريد من هيئة تسجيل IEEE.
يتم تحديد كل خادم الانضمام الذي يستخدم مصادقة المحطة الطرفية بواسطة EUI عمومي 64 بت ، والذي تم تعيينه إما من قبل مالك أو مشغل هذا الخادم.
يتم تحديد شبكات LoRaWAN المفتوحة والشبكات الخاصة التي "تتواصل" مع LoRaWANs المفتوحة بواسطة معرف فريد مكون من 24 بت يتم تعيينه بواسطة تحالف LoRa.
عندما يتصل الجهاز الطرفي بالشبكة بنجاح ، يتلقى العنوان المؤقت 32 بت الذي تم تعيينه من قبل الشبكة.
هل يمكنني تخصيص الأرقام إلى أجهزتي أو شبكاتي بشكل عشوائي؟
لا. وصف السؤال السابق قواعد الواجب لكل نوع من المعرفات. إذا لم تتبع هذه القواعد ، فقد يكون هناك تزامن للأرقام وسلوك لا يمكن التنبؤ به أثناء نشر شبكتك (على غرار ما قد يحدث إذا كنت تستخدم نفس عناوين Ethernet MAC على أجهزة مختلفة متصلة بنفس الشبكة المحلية).
هل جميع الأجهزة الطرفية الخارجة عن الإنتاج لديها نفس مفتاح التشفير "الافتراضي"؟
لا. ليس لدى LoRaWAN مفهوم "المفتاح الافتراضي" أو "كلمة المرور الافتراضية". جميع الأجهزة الطرفية لديها مفاتيح فريدة ، حتى عند الخروج من الإنتاج. وبالتالي ، لن يؤثر أي مفتاح منفرد من جهاز طرفي على الأجهزة الأخرى بأي طريقة.
ما نوع مفاتيح التشفير المستخدمة؟
تحتوي نقاط نهاية OTAA على مفاتيح جذر تسمى AppKeys (مفاتيح جذر التطبيق). على جانب الشبكة ، توجد مفاتيح AppKey على خادم الانضمام ، والذي قد يكون أو لا يكون خادم شبكة في نفس الوقت.
تحتوي نقاط النهاية ABP على مفتاحي جلسة عمل AppSKey و NwkSKey (مفتاح جلسة عمل الشبكة). على جانب الشبكة ، يوجد NwkSKey على خادم الشبكة ، و AppSKey على خادم التطبيق.
الإجراءات المستخدمة لتزويد المفاتيح المدرجة بكل عناصر الشبكة المطلوبة (الجهاز الطرفي ، خادم الانضمام ، خادم الشبكة ، خادم التطبيق) هي خارج نطاق مواصفات LoRaWAN.
ما هي خوارزميات التشفير المستخدمة؟
يتم استخدام خوارزمية AES-CMAC الموضحة في RFC4493 للمصادقة الأصلية وحماية السلامة. يتم استخدام خوارزمية AES-CCM الموضحة في IEEE 802.15.4-2011 للتشفير.
كيف تمنعك LoRaWAN من الاستماع؟
يتم تشفير بيانات MAC بين الجهاز الطرفي والشبكة في وقت الإرسال عبر الهواء. بالإضافة إلى ذلك ، يتم تشفير الحمولة النافعة بين الجهاز الطرفي وخادم التطبيقات (ما يسمى التشفير من طرف إلى طرف). هذا يضمن أن الكائنات المعتمدة فقط التي تحتوي على مفاتيح التشفير يمكنها الوصول إلى محتويات الحزمة.
كيف يمنع LoRaWAN خداع البيانات؟
حماية وتوثيق بيانات MAC محميان بواسطة حقل الرزم ، والذي يحتوي على كود كود تكامل الرسائل (MIC) المعروف للجهاز والشبكة الطرفية. هذا يضمن أن الكائنات المصرح بها فقط التي تحتوي على مفاتيح تكامل (أي الجهاز الطرفي وخادم الشبكة) يمكنها إنشاء رسائل صالحة.
كيف تثبط LoRaWAN عمليات إعادة الإرسال؟
تستخدم حماية تكامل بيانات MAC عدادات الرسائل للتأكد من أن المستلم لا يقبل رسالة مستلمة بالفعل (على سبيل المثال ، يحتمل إعادة إرسالها).
هل يدعم LoRaWAN حماية الحمولة النافعة للتطبيق؟
يوفر LoRaWAN تشفير حمولة التطبيق من طرف إلى طرف بين الجهاز الطرفي وخادم التطبيقات. يتم توفير حماية النزاهة في هيكل قفزة قفزة: قفزة واحدة عبر الهواء من خلال حماية سلامة LoRaWAN وقفزة أخرى بين خادم الشبكة وخادم التطبيقات باستخدام تقنيات نقل آمنة مثل HTTPS و VPN. يتم تشجيع التطبيقات التي تتطلب حماية تكامل من طرف إلى طرف على فعل الشيء نفسه مع حمولتها.
كيف يتم حماية واجهات الواجهة الخلفية؟
وتشارك واجهات الخلفية في إدارة وتبادل البيانات بين خوادم الشبكة ، والانضمام إلى خوادم وخوادم التطبيقات. يوصى باستخدام تقنيات HTTPS و VPN لحماية تبادل البيانات بين عناصر البنية التحتية الحيوية هذه ، بالقدر نفسه المطبق في أنظمة الاتصالات الأخرى. تقع واجهات الواجهة الخلفية خارج نطاق مواصفات LoRaWAN.
هل يدعم LoRaWAN حماية الأجهزة؟
يتعلق تحسين أمان الأجهزة الطرفية ومنصات الخادم من حيث الأجهزة (عناصر الأمان أو وحدات الأمن) بمسائل تنفيذ المعدات ولا يرتبط ببروتوكول التشغيل البيني الذي يهدف إلى جودة الاتصالات ، بما في ذلك LoRaWAN. ومع ذلك ، فإن استخدام هذه الحلول التقنية متوافق مع مواصفات LoRaWAN ويمكن تنفيذه بواسطة المطور وفقًا لمتطلبات التطبيق.
ماذا علي أن أفعل إذا وجدت مخاطر أمنية؟
بشكل عام ، قد تنشأ مخاطر أمنية لسبب من ثلاثة أسباب أو توليفة منها:
- مواصفات (على سبيل المثال ، عدم وجود حماية ضد التكرار) ،
- التنفيذ (على سبيل المثال استرداد مفتاح من جهاز) ،
- النشر (على سبيل المثال ، عدم وجود شاشات واقية).
الخطوة الأولى هي تحديد السبب. إذا كان السبب في المواصفات ، فاكتب للمساعدة في تحالف LoRa. لطرح الأسئلة حول بيع المعدات ، اتصل بالشركة المصنعة.
وقررت مشاكل النشر من قبل مشغلي الشبكات LoRaWAN.
مصدر