Do số lượng thiết bị truy cập lớn, khả năng kiểm soát an ninh và các lỗ hổng phát sinh từ phía người sử dụng là một trong những vấn đề đối với mạng 5G.. Mạng 4G sử dụng các kỹ thuật vô t
TỔNG QUAN VỀ MẠNG 5G
Các thế hệ mạng trước
Thế hệ mạng thứ nhất (1G) là thế hệ mạng di động không dây đầu tiên do Nippon Telegraph and Telephone (NTT) ra mắt tại Tokyo năm 1979, mang lại cuộc gọi thoại trên nền tảng tín hiệu analog với tốc độ khoảng 2,4 Kb/s và chỉ được triển khai ở một số quốc gia Tuy là bước khởi đầu quan trọng, 1G có nhiều nhược điểm như vùng phủ sóng kém, chất lượng âm thanh thấp và không hỗ trợ chuyển roaming giữa các nhà khai thác khác nhau; thêm vào đó, do các hệ thống hoạt động trên các dải tần số khác nhau nên không có sự tương thích giữa các hệ thống Nguy cơ bảo mật cũng là một điểm yếu lớn khi các cuộc gọi 1G không được mã hóa, khiến bất cứ ai có máy quét vô tuyến có thể theo dõi cuộc trò chuyện Dù gặp nhiều hạn chế, thế hệ mạng 1G vẫn tạo ra những thành công đáng kể và mở ra nền tảng cho sự phát triển của các thế hệ mạng di động sau này.
✓ Thế hệ mạng thứ hai (2G)
Thế hệ mạng di động thứ hai gồm hai chuẩn chính Chuẩn đầu tiên là GSM, dựa trên công nghệ đa truy cập TDMA, được ra mắt ở Phần Lan trong giai đoạn đầu của 2G.
Vào năm 1991, mạng di động 2G đã trở thành chuẩn phổ biến trên sáu châu lục Tiêu chuẩn thứ hai, IS-95 (còn gọi là cdmaOne), do Qualcomm phát triển dựa trên công nghệ đa truy nhập CDMA và được áp dụng rộng rãi tại Mỹ cũng như một số nước châu Á Lần đầu các cuộc gọi được mã hóa, cải thiện đáng kể bảo mật, đồng thời sử dụng tín hiệu số cho tốc độ cao hơn và tiếng ồn thấp hơn, mở ra các dịch vụ như tin nhắn văn bản, tin nhắn hình ảnh và tin nhắn đa phương tiện, cùng gửi email khi di chuyển nhờ sự xuất hiện của GPRS từ năm 1997 Mặc dù tốc độ của 2G ban đầu chỉ khoảng 9,6 kbps (sau này lên tới 40 kbps) còn tương đối chậm, nhưng sự chuyển đổi từ tín hiệu analog sang tín hiệu số đã mở ra một cuộc cách mạng công nghệ, thay đổi thế giới sau này.
✓ Thế hệ mạng thứ ba (3G)
Mạng di động thế hệ thứ ba được Nhật Bản là nước đầu tiên đưa vào khai thác thương mại một cách rộng rãi, tiên phong bởi nhà mạng NTT DoCoMo Thế hệ mạng này sử dụng công nghệ truy nhập vô tuyến WCDMA trong hệ thống UMTS và chuẩn CDMA2000 (thế hệ kế tiếp của các chuẩn 2G CDMA và IS-95) được chứng nhận bởi ITU, tập trung vào việc chuẩn hóa các giao thức mạng của các nhà cung cấp Thế hệ mạng 3G cho phép người dùng có thể truy cập dữ liệu ở bất kỳ vị trí nào và điều đó làm cho dịch vụ chuyển vùng quốc tế lần đầu tiên trở nên khả thi Ngoài ra, nó còn có tốc độ truyền tải dữ liệu lên đến 2 Mb/s, cho phép dung lượng thoại và dữ liệu lớn hơn rất nhiều so với 2G, hỗ trợ nhiều ứng dụng như gọi điện video, chia sẻ tập tin, lướt internet, truyền phát nhạc
✓ Thế hệ mạng thứ tư (4G)
Thế hệ thứ tư của mạng di động được triển khai lần đầu tiên tại Thụy Điển và
Na Uy vào năm 2009 Mạng 4G sử dụng các kỹ thuật vô tuyến như OFDM, SC-FDMA hay MIMO mang đến độ trễ thấp hơn, chất lượng thoại cao hơn, dễ dàng truy cập các dịch vụ đa phương tiện và tốc độ dữ liệu trong điều kiện lý tưởng có thể đạt tới 1 Gb/s từ đó chất lượng dịch vụ và bảo mật được nâng cao hơn rất nhiều Tuy nhiên, bên cạnh các ưu điểm vượt trội thì thế hệ này vẫn tồn tại một số nhược điểm như tiêu thụ năng lượng hơn, yêu cầu phần cứng phức tạp và chi phí vận hành, bảo trì lớn.
Thế hệ mạng thứ năm (5G)
1.2.1 Vài nét đặc trưng về 5G
5G là công nghệ di động thế hệ thứ năm và là thế hệ mới nhất hiện nay, mang lại tốc độ cực cao lên tới 10 Gb/s, độ trễ cực thấp khoảng 1 ms và dung lượng lớn cho số lượng thiết bị đầu cuối trên một đơn vị diện tích gấp tới 100 lần so với 4G LTE; ngoài ra, 5G tích hợp các kỹ thuật mới như Công nghệ vô tuyến New Radio (NR), mạng định nghĩa bằng phần mềm (SDN), ảo hóa các chức năng mạng (NFV), hệ thống đa anten MIMO và công nghệ beamforming để đạt tốc độ truyền dữ liệu cao và tối ưu hóa vùng phủ.
Công nghệ 5G đang trên đà phát triển mạnh mẽ, hứa hẹn kết nối hàng tỷ thiết bị khác nhau và thay đổi cách người dùng tương tác với thiết bị di động cũng như cách các thiết bị kết nối với mạng Internet Với tốc độ cao và dung lượng lớn, 5G mở ra các xu hướng IoT mới như ô tô kết nối (connected car) và thành phố thông minh (smart city), đồng thời dự báo sẽ tác động sâu rộng đến tiêu dùng, kinh doanh và công nghiệp, nâng cao năng suất và thúc đẩy tăng trưởng kinh tế toàn cầu Mặc dù triển khai 5G ở giai đoạn đầu, nhưng các nhà mạng đang mạnh tay đầu tư vào hạ tầng cần thiết để khai thác đầy đủ sức mạnh của công nghệ, mở ra nhiều cơ hội phát triển cho nền kinh tế.
Mạng truy nhập vô tuyến 5G được triển khai theo hai kiểu là standalone và non-standalone
Stand-alone (SA) là mạng 5G hoạt động độc lập hoàn toàn, không phụ thuộc vào sự tồn tại của mạng 4G, nhằm đảm bảo chất lượng tối ưu cho từng dịch vụ và giảm thiểu độ trễ Mạng SA tận dụng tối đa tiềm năng của công nghệ 5G để cung cấp kết nối nhanh, ổn định và đáp ứng tốt các ứng dụng yêu cầu tốc độ cao và độ trễ thấp, mở rộng khả năng triển khai IoT, thực tế ảo và các dịch vụ đòi hỏi hiệu suất cao.
Non-standalone (NSA) là chế độ triển khai mạng 5G hoạt động phụ thuộc vào sự tồn tại của mạng 4G Mạng 5G NSA dễ triển khai vì sử dụng chung lõi mạng cho cả 4G và 5G, giúp tiết kiệm thời gian và chi phí triển khai Đây là lựa chọn lý tưởng để mở rộng dịch vụ 5G nhanh chóng dựa trên hạ tầng 4G hiện có.
Các kiến trúc mạng triển khai được thể hiện trong hình 1.1
Hình 1.1 Kiến trúc Standalone và Non-standalone
Mạng di động 5G vẫn sử dụng dải tần Sub-6GHz nằm trong FR1 (410 MHz đến 7125 MHz), giống như 4G, nhưng bổ sung thêm dải tần mới là mmWave nằm trong FR2 (24250 MHz đến 52600 MHz), mở rộng khả năng truyền dữ liệu với băng thông lớn và tốc độ cao Dải FR1 đảm bảo vùng phủ sóng rộng và kết nối ổn định ở nhiều khu vực, trong khi dải FR2 với mmWave phù hợp cho các ứng dụng cần tốc độ cực nhanh và băng thông lớn ở đô thị và khu vực có mật độ thiết bị cao.
Sub-6GHz là phổ tần số dưới 6GHz, cho khả năng đi qua vật cản ít bị ảnh hưởng và phạm vi truyền dài, giúp tín hiệu duy trì ở khoảng cách lớn Tuy nhiên, nhược điểm của Sub-6GHz là tốc độ truyền tải chậm, khiến nó phù hợp với các ứng dụng cần phủ sóng rộng và ổn định hơn là tối ưu cho truyền dữ liệu với tốc độ cao.
• mmWave: băng tần mới được sử dụng trong 5G cho tần số trong khoảng từ
24GHz đến 39GHz, mang lại tốc độ truyền tải rất nhanh tuy nhiên dễ bị ảnh hưởng bởi vật cản và khoảng cách truyền ngắn
Kết hợp sử dụng hai băng tần sẽ vừa phát huy được ưu điểm đồng thời hạn chế được nhược điểm của mỗi loại
1.2.2 Một số đặc tính công nghệ của mạng 5G
1.2.2.1 Mạng truy nhập vô tuyến a) Các yêu cầu cơ bản được chỉ định cho 5G :
eMBB (băng rộng di động năng cao) là phiên bản nâng cấp của băng rộng di động trên nền tảng 4G, được thiết kế để đáp ứng nhu cầu truy cập nội dung đa phương tiện, dữ liệu và dịch vụ với tốc độ cao Các ứng dụng của eMBB bao gồm streaming video và âm thanh chất lượng cao, truyền hình hội nghị, duyệt web và các dịch vụ đòi hỏi băng thông lớn, đồng thời cải thiện vùng phủ sóng và mang lại kết nối liền mạch cho người dùng Ngoài ra, eMBB còn cho phép kết hợp các dịch vụ băng rộng cố định và di động, từ đó tăng thông lượng tổng hợp và tối ưu hóa trải nghiệm người dùng.
Truyền thông máy số lượng lớn (mMTC) được đặc trưng bởi số lượng rất lớn thiết bị cảm biến truyền dữ liệu với độ trễ thấp, phạm vi phủ sóng rộng, chi phí thấp và tiêu thụ năng lượng tối ưu, từ đó kéo dài tuổi thọ pin cho các thiết bị Các thiết bị thông thường sinh ra lượng dữ liệu nhỏ nên tốc độ truyền dữ liệu không yêu cầu quá cao.
URLLC (Ultra‑Reliable Low Latency Communications) là khía cạnh của mạng di động 5G nhằm tối ưu độ tin cậy cực cao và độ trễ rất thấp, dù yêu cầu thông lượng có thể ở mức vừa phải Các ứng dụng liên kết như tự động hóa trong công nghiệp, an toàn giao thông và phẫu thuật từ xa trong y tế cho thấy tầm quan trọng của thời gian đáp ứng ngắn và độ tin cậy tuyệt đối Trong NR (New Radio), một số đặc trưng nổi bật giúp đạt được URLLC gồm TTI ngắn, lịch trình linh hoạt với numerology đa dạng, khả năng truyền tải ưu tiên cho dữ liệu thời gian nhạy cảm, công nghệ MIMO mở rộng và beamforming để tăng chất lượng liên kết, cùng với khả năng kết nối quy mô lớn và mạng lưới cắt (network slicing) để tối ưu hóa chất lượng dịch vụ và hiệu suất tổng thể.
• Khoảng cách giữa các sóng mang con
Khoảng cách giữa các sóng mang con (SCS) không còn cố định ở mức 15 kHz như chuẩn 4G mà có thể được điều chỉnh dựa trên tham số μ theo một công thức xác định mối quan hệ giữa μ và SCS Việc linh hoạt thay đổi SCS mang lại khả năng tối ưu hóa hiệu suất và dung lượng hệ thống, đồng thời cho phép thích ứng với điều kiện kênh và yêu cầu băng thông khác nhau Nhờ công thức liên quan, người thiết kế có thể điều chỉnh bước sóng mang con một cách linh hoạt để nâng cao tốc độ dữ liệu, cải thiện độ tin cậy liên kết và tối ưu hóa phân bổ tài nguyên phổ phục vụ cho nhiều kịch bản mạng.
▪ Với mỗi giỏ trị của à sẽ cú khoảng cỏch súng mang con (SCS) khỏc nhau và được mô tả trong bảng 1.1
Bảng 1.1 Mối quan hệ giữa à và SCS
• Cấu trúc khung vô tuyến
Khung vô tuyến của hệ thống 5G khác biệt so với hệ thống 4G trước đó: nó có độ dài 10 ms, được chia thành 10 khung con, mỗi khung con có độ dài 1 ms Mỗi khung con gồm 2 khe thời gian, và mỗi khe thời gian chứa 14 ký hiệu OFDM (CP thông thường) hoặc 12 ký hiệu OFDM (CP mở rộng).
Ví dụ về cấu trúc khung thời gian của hệ thống với SCS 30 kHz (α = 1) cho thấy khung con chứa hai khe, mỗi khe có độ dài 0,5 ms, và các tham số này được mô tả chi tiết trong hình 1.2.
Hình 1.2 Cấu trúc khung vô tuyến với SCS = 30 kHz
▪ Băng thông kênh lớn nhất trên sóng mang là 400 MHz (trong dải tần FR2)
▪ Số lượng sóng mạng con lớn nhất trên sóng mang NR là 3300 hoặc 6600
▪ Số sóng mang con trên PRB là 12
Để xác định số sóng mang con, ta dựa trên khoảng cách sóng mang con (SCS) và băng thông, với kết quả được thể hiện trong bảng 1.2 cho dải tần FR1 và bảng 1.3 cho dải tần FR2.
Bảng 1.2 Số sóng mang con theo SCS và băng thông trong dải tần FR1
Bảng 1.3 Số sóng mang con theo SCS và băng thông trong dải tần FR2
Massive MIMO là công nghệ thu phát với hệ thống nhiều anten được tối ưu hóa để cải thiện hiệu quả nhận tín hiệu, mở rộng khoảng cách và tăng dung lượng mạng di động lên cấp số nhân, cho phép phục vụ đồng thời hàng chục thiết bị đầu cuối dùng chung một tài nguyên tần số và thời gian thông qua quy hoạch MU-MIMO ở qui mô lớn so với các hệ thống MIMO truyền thống Các hệ thống Massive MIMO ghép nhiều anten vật lý vào một không gian nhỏ nên yêu cầu sử dụng tần số cao hơn và bước sóng ngắn hơn so với chuẩn mạng di động hiện nay; việc trang bị nhiều anten ở trạm cơ sở cho phép tạo ra nhiều đường truyền dữ liệu riêng biệt, giúp dữ liệu truyền trên các kênh riêng biệt, cải thiện đường dẫn tín hiệu, tăng tốc độ dữ liệu và độ tin cậy của liên kết Số lượng anten lớn cũng làm giảm nhiễu liên kênh giữa người dùng và ô, nâng cao khả năng quản lý nhiễu và cho phép hệ thống chủ động hơn trong phát tín hiệu so với các hệ thống hiện tại chỉ dùng ít anten; bên cạnh đó, trạm cơ sở được trang bị nhiều anten có thể tập trung năng lượng cho người dùng nhận dữ liệu, nâng cao hiệu quả sử dụng năng lượng Từ những ưu điểm này, Massive MIMO thúc đẩy sự phát triển của mạng băng rộng, hỗ trợ hạ tầng xã hội kỹ thuật số, kết nối Internet cho mọi người, Internet vạn vật, cùng với đám mây và các nền tảng hạ tầng mạng khác.
Beamforming là công nghệ tập trung phát tín hiệu theo một hướng xác định, giúp tăng cường cường độ tín hiệu và giảm nhiễu trong không gian Trạm gốc áp dụng beamforming được gọi là trạm gốc thông minh nhằm tối ưu hóa sử dụng phổ tần và nâng cao hiệu suất hệ thống Việc điều chỉnh pha và biên độ của từng phần tử ăng-ten trên mảng bằng phần mềm SDR tại trạm gốc, kết hợp với đặc tính phổ hẹp của sóng mmWave, cho phép tạo ra các chùm sóng tập trung tự động hướng tới thiết bị đầu cuối và điều chỉnh cường độ tín hiệu theo yêu cầu môi trường Tại các trạm gốc Massive MIMO, các thuật toán xử lý tín hiệu xác định đường truyền tối ưu cho từng người dùng, cho phép gửi các gói dữ liệu theo nhiều hướng khác nhau Việc tăng độ lợi của ăng-ten và tối ưu quỹ đường truyền uplink và downlink mang lại hiệu quả cho các băng tần ở tần số cao, nơi suy giảm giao diện không khí lớn hơn Beamforming giúp giảm nhiễu giữa các ô nhờ chùm tia hẹp hơn, từ đó nâng cao chất lượng kết nối cho người dùng.
Tổng kết chương
Chương 1 đã đề cập sơ lược về các thế hệ tiền nhiệm và trình bày những hiểu biết cơ bản về 5G Một số đặc tính của thế hệ mới nhất trong mạng di động đã nêu bật những điểm mới trong công nghệ như hệ thống Massive MIMO, Beamforming, kiến trúc ô nhỏ hay các công nghệ mới trong mạng lõi (SDN, NFV) để đem đến những trải nghiệm tốc độ cực cao, độ trễ rất thấp và dung lượng cực lớn Những ưu điểm vượt trội của thế hệ 5G mang đến các công nghệ tiên tiến như xe tự lái, thành phố thông minh hay khám chữa bệnh từ xa Tất cả hướng đến một mạng 5G hoàn thiện và hiệu quả nhất, điều này hứa hẹn rất lớn cho một xã hội số hóa trong tương lai gần.
AN NINH TRONG MẠNG DI ĐỘNG 5G
Các đe dọa an ninh
2.1.1 Đóng giả Đóng giả là ý định của kẻ tìm cách truy nhập trái phép vào một ứng dụng hay một hệ thống bằng cách đóng giả người khác Nếu kẻ đóng giả truy nhập thành công, hắn có thể tạo ra các trả lời giả dối với các bản tin để được hiểu biết sâu hơn và truy nhập vào các bộ phận khác của hệ thống Đóng giả là vấn đề chính đối với an ninh internet và vô tuyến internet, vì kẻ đóng giả có thể làm cho các người sử dụng ứng dụng tin rằng họ đang thông tin với nguồn tin cậy ( như nhà băng chẳng hạn ) nhưng trong thực tế là thông tin với máy của kẻ tấn công Vì thế người sử dụng này sẽ cung cấp thông tin bổ sung có lợi cho kẻ tấn công để hắn đạt được truy nhập đến các phần khác của hệ thống
Giám sát mạng là kỹ thuật theo dõi và phân tích luồng dữ liệu trên mạng nhằm nắm bắt tình hình lưu thông thông tin và hiệu suất hệ thống Mặc dù có thể được triển khai cho các mục đích hợp pháp như quản trị mạng và bảo trì an toàn, giám sát cũng có thể bị lợi dụng để sao chép trái phép dữ liệu mạng, từ đó đe dọa tới quyền riêng tư và an ninh của người dùng cũng như hệ thống của hãng Thực tế, khái niệm giám sát có thể được hiểu như nghe trộm điện tử: bằng việc theo dõi dữ liệu mạng, kẻ xấu có thể thu thập thông tin nhạy cảm và dùng chúng để gây hại cho người dùng và các hệ thống Thêm vào đó, giám sát thường được kết hợp với đóng giả để thực hiện các hành vi lừa đảo và xâm nhập.
Giám sát mạng là một khía cạnh an ninh dễ bị lạm dụng vì dễ triển khai và khó phát hiện, nên cần nhận diện và quản lý rủi ro liên quan đến giám sát để bảo vệ hệ thống và dữ liệu Các công cụ giám sát hiện có rất phổ biến, dễ cài đặt và có thể đi kèm với các hệ điều hành như Windows NT và Windows 2000, khiến cho quá trình phát hiện gặp nhiều thách thức Để đối phó với các công cụ giám sát tinh vi, mã hóa dữ liệu là biện pháp bảo vệ hiệu quả nhất, bởi ngay cả khi kẻ xâm nhập có thể truy cập dữ liệu được mã hóa, hắn sẽ không thể giải mã nội dung Do đó cần đảm bảo rằng các giao thức mã hóa được triển khai đạt mức bảo mật cao, nhằm làm cho dữ liệu được bảo vệ ngay cả khi hệ thống bị xâm nhập.
Làm giả số liệu, hay còn gọi là đe dọa tính toàn vẹn dữ liệu, là hành vi thay đổi thông tin so với bản gốc nhằm mục đích xấu Thủ đoạn này thường liên quan đến việc chặn truyền dẫn dữ liệu hoặc làm sai lệch dữ liệu khi được lưu trữ trên máy chủ hoặc trong quá trình chuyển giao giữa các hệ thống Hậu quả là kết quả phân tích và quyết định dựa trên dữ liệu có thể bị sai lệch, làm giảm độ tin cậy của hệ thống và gây thiệt hại cho an ninh thông tin Để đối phó, cần tăng cường bảo vệ tính toàn vẹn dữ liệu qua các biện pháp như kiểm tra chữ ký số, kiểm tra checksum, mã hóa đường truyền và ghi nhận log đầy đủ về mọi thao tác dữ liệu.
Để ngăn số liệu bị thay đổi và bị truyền đi như bản gốc, cần áp dụng các biện pháp bảo mật phù hợp nhằm bảo vệ tính toàn vẹn của dữ liệu Mã hóa dữ liệu, nhận thực nguồn gốc và trao quyền truy cập là những cách hiệu quả để chống làm giả số liệu và đảm bảo an toàn khi truyền tải thông tin.
2.1.4 Ăn cắp Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động Ta không chỉ bị mất thiết bị mà còn cả thông tin bí mật lưu trong nó Điều này đặc biệt nghiêm trọng đối với các ứng dụng Client thông minh vì chúng thường chứa số liệu không đổi và bí mật Vì thế ta cần tuân theo các quy tắc sau để đảm bảo an ninh đối với các thiết bị di động:
- Khóa thiết bị bằng tổ hợp tên người sử dụng/mật khẩu để chống truy nhập dễ ràng
- Yêu cầu nhận thực khi truy nhập đến các ứng dụng lưu trong thiết bị
- Không lưu các mật khẩu trên thiết bị
- Mật mã tất cả các phương tiện lưu số liệu cố định
- Áp dụng các chính sách an ninh đối với các người sử dụng di động
Nhận thức về nhận thực, mật mã và chính sách an ninh là các biện pháp giúp ngăn chặn truy cập trái phép dữ liệu từ các thiết bị di động bị mất hoặc bị lấy cắp, đảm bảo an toàn thông tin cho người dùng Những biện pháp này bảo vệ dữ liệu và giảm thiểu rủi ro khi thiết bị bị mất Tuy nhiên, đối với các ứng dụng internet vô tuyến, vấn đề này không phải là nghiêm trọng vì phần lớn các ứng dụng này ít khi lưu trữ dữ liệu bên ngoài bộ tàng thư của trình duyệt.
Nguyên tắc an ninh
Hệ thống 5G được bảo mật bằng các kỹ thuật dựa trên một tập các nguyên tắc cơ bản chung cho mọi lĩnh vực an toàn thông tin Trong quá trình xác thực, hai thiết bị xác nhận lẫn nhau là các thiết bị đáng tin cậy và không phải kẻ xâm nhập, từ đó thiết lập khóa bảo mật để sử dụng cho các quy trình bảo mật tiếp theo Ciphering, hay mã hóa, đảm bảo rằng kẻ xâm nhập không thể đọc được dữ liệu và các bản tin báo hiệu mà hai thiết bị trao đổi trong quá trình giao tiếp.
Một số quy định quốc gia hạn chế việc sử dụng mã hóa khiến hai kỹ thuật bảo mật quan trọng: bảo vệ toàn vẹn nhằm phát hiện mọi nỗ lực của kẻ xâm nhập sửa đổi dữ liệu hoặc các bản tin báo hiệu giữa hai thiết bị, và bảo vệ chống lại các tấn công như tấn công man-in-the-middle, nơi kẻ xâm nhập chặn và sửa đổi chuỗi bản tin báo hiệu để chiếm quyền kiểm soát thiết bị mục tiêu Một kỹ thuật khác, liên quan đến an ninh truy cập mạng, là tính bảo mật: Số nhận dạng vĩnh viễn của thuê bao (SUPI) được bảo vệ và không được phát quảng bá qua giao diện vô tuyến; thay vào đó mạng 5G nhận diện người dùng bằng các nhận dạng tạm thời Khi mạng lõi 5G biết vùng AMF mà thiết bị đang ở (ví dụ trong quá trình tìm gọi), nó sẽ dùng 40-bit 5G-S-TMSI; nếu không (ví dụ trong quá trình đăng ký), nó dùng nhận dạng tạm thời duy nhất trên toàn cầu 5G dài hơn (SU-GUTI) Trong tính năng mới của 5G, thiết bị di động cũng có thể tự nhận dạng bằng phiên bản mã hóa của SUPI, được gọi là SUCI (nhận dạng che giấu đăng ký) Hệ thống 5G cũng hỗ trợ đánh chặn hợp pháp, cho phép các cơ quan chức năng và các dịch vụ an ninh chặn lưu lượng và các bản tin báo hiệu cho người dùng cá nhân, tuân theo các quy định phù hợp của quốc gia.
An ninh truy cập mạng
2.3.1 Kiến trúc anh ninh truy cập mạng
Bảo mật truy cập mạng bao gồm mọi thủ tục bảo mật liên quan đến thiết bị di động và các chức năng mạng bổ sung, trong đó AUSF (máy chủ xác thực) đóng vai trò cốt lõi để quản lý các thủ tục xác thực trong mạng nhà AUSF có ba vai trò chính khi điện thoại roaming: thứ nhất xác minh mạng khách là mạng được ủy quyền phục vụ thiết bị di động và không phải là mạng giả mạo; thứ hai xác thực thiết bị di động thay mặt cho mạng nhà, đồng thời xác thực các chức năng quản lý di động và truy cập (AMF) thay mặt cho mạng khách; thứ ba cho phép 5G sử dụng cùng một kiến trúc xác thực cho cả trường hợp truy cập 3GPP và không 3GPP Tình huống này khác với LTE, ở đó thiết bị roaming được xác thực bởi thực thể quản lý di động của mạng khách khi dùng truy cập 3GPP, nhưng được trao quyền và thanh toán bởi máy chủ xác thực, AAA, của mạng nhà khi sử dụng các công nghệ truy cập không phải 3GPP như WiFi.
Hiện nay, các chức năng an ninh được đặt cùng với các chức năng mạng và có thể triển khai riêng biệt Chức năng neo bảo mật SEAF được đặt cùng với AMF để quản lý các thủ tục xác thực trong mạng khách Kho lưu trữ thông tin xác thực và chức năng xử lý ARPF được đặt cùng với chức năng quản lý dữ liệu thống nhất (UDM); nó lưu trữ những khóa bảo mật quan trọng nhất và thực hiện các tính toán liên quan đến bảo mật, vì vậy ARPF có vai trò tương tự như một trung tâm xác thực.
(AuC) ở 2G và 3G Cuối cùng, chức năng loại bỏ mã nhận dạng thuê bao (SIDF) cũng được đặt cùng với UDM Vai trò của nó là giải mã SUCI
Hình 2.1 : Kiến trúc bảo mật truy cập mạng
Kiến trúc ở mức cao được thể hiện trong Hình 2.1 và cho thấy quá trình xác thực diễn ra giữa thiết bị di động và mạng lõi, cụ thể giữa UICC (thẻ mạch tích hợp đa năng) và ARPF Ở mức tối thiểu, thiết bị di động phải hỗ trợ hai thủ tục xác thực chủ chốt: 5G AKA, phiên bản nâng cấp của xác thực 3GPP và thỏa thuận khóa, và EAP-AKA', giao thức xác thực mở rộng do IETF phát triển để xác thực 3G và thỏa thuận khóa Nếu điện thoại đang roaming, SEAF cũng phải hỗ trợ các thủ tục này Mặt khác, các mạng 5G riêng có thể triển khai các kế hoạch xác thực khác, sử dụng các thuật toán được tải xuống từ UICC.
Trong mọi trường hợp được cho phép bởi quy định, các bản tin báo hiệu tầng giao tiếp giữa điện thoại di động và AMF được bảo vệ bằng mã hóa, đi kèm với bảo vệ tính toàn vẹn và bảo vệ phát lại, ngoại trừ một số trường hợp đặc biệt như cuộc gọi khẩn cấp từ điện thoại di động ở trạng thái dịch vụ hạn chế Các bản tin báo hiệu tầng truy cập giữa thiết bị di động và nút chính được bảo vệ theo cùng cơ chế, và sự bảo vệ này được mở rộng đến thiết bị trung tâm gNB do thiết bị phân tán có thể ở một vị trí không an toàn.
Bảo mật không truy cập theo tầng
• Mã hóa bắt buộc để báo hiệu ( Nếu quy định cho phép )
• Bảo vệ toàn vẹn bắt buộc cho tín hiệu ( Với các trường hợp ngoại lệ )
Xác thực ( 5G AKA or EAP-AKA ′ )
Bảo mật truy cập theo tầng
• Mã hóa bắt buộc cho tín hiệu và lưu lượng ( Nếu quy định cho phép )
• Bảo vệ toàn vẹn bắt buộc cho tín hiệu ( Với các trường hợp ngoại lệ )
• Bảo vệ tính toàn vẹn tùy chọn cho lưu lượng truy cập ( Chỉ những người mang đầu cuối bằng MgNB )
Lưu lượng tầng truy cập được mã hóa như báo hiệu, đảm bảo an toàn cho dữ liệu truyền Trong 5G, một tính năng mới cho phép lưu lượng tầng truy cập được bảo vệ bằng cơ chế bảo vệ tính toàn vẹn và phát lại, nhưng tính năng này chỉ được hỗ trợ ở các tùy chọn kiến trúc 2 và 4 cho các kênh mang kết cuối thuộc gNB chính.
2.3.2 Hệ thống phân cấp khóa
An ninh truy cập mạng dựa trên kiến thức liên quan đến khóa dành riêng cho người dùng K được lưu trữ an toàn trong ARPF và phân phối an toàn qua UICC Trong thủ tục xác thực, thiết bị di động và mạng xác nhận chính xác giá trị của K; sau đó hệ thống tính toán một hệ thống phân cấp các khóa cấp thấp hơn, được minh họa trong Hình 2.2 và được sử dụng bởi các thủ tục cấp thấp hơn [2].
Hình 2.2 : Các khóa bảo mật truy cập mạng
Từ K, ARPF và UICC sinh ra hai khóa CK và IK Trong hệ thống 3G, CK và IK được dùng trực tiếp để giải mã và bảo vệ tính toàn vẹn dữ liệu Trong 5G, chúng được sử dụng để tạo ra một chuỗi các khóa cấp thấp hơn, ký hiệu KAUSF, nhằm hỗ trợ các cơ chế bảo mật và xác thực ở lớp nền của hệ thống.
KSEAF, KAMF và KgNB, và được chuyển tới AUSF, SEAF, AMF và nút chính tương ứng
Từ KAMF, thiết bị di động và AMF lấy ra hai khóa khác, được ký hiệu là KNASenc và
KNASint được sử dụng để mã hóa và bảo vệ tính toàn vẹn của các bản tin báo hiệu ở tầng không truy cập Tương tự, thiết bị di động và nút chính còn có thêm bốn khóa nữa, được ký hiệu KRRCenc, KRRCint, KUPenc và KUPint, nhằm mã hóa và bảo vệ tính toàn vẹn của các bản tin báo hiệu điều khiển tài nguyên vô tuyến (RRC) và lưu lượng trên mặt phẳng người dùng Mỗi bộ khóa được nhận dạng bằng một nhận dạng bộ khóa, ký hiệu là ngKSI.
K có 128 hoặc 256 bit, trong khi CK và IK có 128 bit mỗi loại Các khóa khác đều có 256 bit, nhưng các thuật toán mã hóa và bảo vệ tính toàn vẹn hiện tại chỉ sử dụng 128 bit ít quan trọng nhất Những tiến bộ trong công nghệ máy tính trong tương lai có thể khiến khóa 128 bit không an toàn, nhưng cũng có thể làm cho việc sử dụng khóa 256 bit khả thi hơn Nếu điều đó xảy ra, thì 5G sẽ có thể nâng cấp các thuật toán của mình để hỗ trợ các khóa 256-bit một cách dễ dàng.
Các thủ tục an ninh truy cập mạng
2.4.1 Nhận dạng che dấu đăng ký
Thông thường, thiết bị di động tự nhận dạng với mạng lõi 5G bằng cách sử dụng nhận dang tạm thời duy nhất trên toàn cầu 5G, từ đó AMF phục vụ của nó có thể truy xuất số nhận dạng vĩnh viễn của đăng ký tương ứng Tuy nhiên, có một vài tình huống mà thủ tục đó không thành công Các ví dụ bao gồm lần đầu tiên sử dụng Mô-đun nhận dạng thuê bao chung (USIM), khi nhận dạng tạm thời chưa tồn tại hoặc sau sự cố cơ sở dữ liệu trong mạng
Trong các thế hệ trước, điện thoại di động phản ứng bằng cách tiết lộ nhận dạng vĩnh viễn, tạo ra một điểm yếu bảo mật mà 5G khắc phục nhờ SUCI Với SUCI, nhận dạng của thiết bị được ẩn bằng phương pháp mã hóa khóa công khai, sử dụng khóa công khai do nhà khai thác mạng cung cấp trong USIM Mã mạng di động và mã quốc gia di động được gửi ở dạng văn bản thuần, cho phép thông tin được chuyển tới đúng mạng sở hữu; mạng này sẽ khôi phục nhận dạng thiết bị bằng khóa riêng do UDM lưu trữ trong ARPF Thuật toán được dùng là ECIES (lược đồ mã hóa tích hợp đường cong elliptic), có lợi thế so với các kỹ thuật khóa công khai khác ở chỗ có thể đạt bảo mật tương đương bằng cách sử dụng các khóa ngắn hơn đáng kể.
2.4.2 Xác thực và thỏa thuận khóa
Tùy thuộc vào chính sách nội bộ, AMF bắt đầu xác thực trong bất kỳ quy trình nào đưa thiết bị di động từ CM-IDLE sang CM-CONNECTED Hình 2.3 cho thấy một trong những thủ tục xác thực có thể dẫn đến kết quả gọi là xác thực 5G và thỏa thuận khóa [3].
Hình 2.3 : Xác thực 5G và quy trình thỏa thuận khóa
Nausf_UEAuthentication Xác thực đăng tải / Xác thực
UE ( SUPI hoặc SUCI, cung cấp tên mạng )
Xác thực Nudm_UEAuthentication nhận đăng tải / Thông tin bảo mật {Supi hoặc Suci} tạo dữ liệu xác thực ( Cung cấp tên mạng )
200 OK (RAND, XRES * , AUTN, K AUSF , [SUPI])
201 Tạo (RAND, HXRES * , AUTN, K SEAF )
Yêu cầu xác thực (RAND, AUTN )
Xác thực lệnh (RAND, AUTN )
Xác thực phản hồi (RES, CK, IK )
UICC ME SEAF (in AMF) UICC ARPF, SIDP (in UDM)
9 Tính toán HRES * , So sánh HRES * Với HXRES *
Nausf_UEAuthentication Xác thực đăng tải / Xác thực UE /
{AuthCtxld}/5g-aka – Xác nhận (RES * )
So sánh RES * với XRES *
Nudm_UEAuthentication Xác nhận kết quả thông báo sự kiện đăng tải /{supi}/auth-events
201 được tạo Phản hồi xác thực ( RES * )
Quy trình 5GMM được kích hoạt bởi một bản tin báo hiệu, chẳng hạn như yêu cầu đăng ký Trong bước đầu, AMF chọn một AUSF trong mạng ở nhà của thiết bị di động và yêu cầu AUSF xác thực thiết bị (bước 1) Các yếu tố thông tin liên quan bao gồm tên mạng phục vụ được xây dựng từ mã mạng di động và mã quốc gia di động, cùng với nhận dạng của người đăng ký ở dạng vĩnh viễn hoặc được che giấu Khi nhận được yêu cầu, AUSF kiểm tra xem AMF có quyền sử dụng tên mạng phục vụ hay không, rồi chuyển tiếp thông tin tới UDM để tạo một tài nguyên mới chứa nhận dạng của người đăng ký.
Quá trình tiếp theo diễn ra bên trong UDM Nếu AUSF cung cấp SUCI (nhận dạng che giấu đăng ký), ARPF yêu cầu SIDF trả về SUPI tương ứng Sau đó ARPF tra cứu bản sao khóa K dành cho người dùng và tạo một vectơ xác thực gồm bốn phần tử: RAND là số ngẫu nhiên làm thách thức xác thực cho thiết bị di động; ba phần còn lại được tính từ RAND, K và tên mạng phục vụ XRES* là phản hồi dự kiến cho thách thức, được tính toán chính xác bởi thiết bị di động có cùng giá trị K AUTN là mã xác thực chứng minh cho thiết bị di động rằng mạng có cùng K và bao gồm số thứ tự để bảo vệ phát lại Cuối cùng, KAUSF là khóa neo của mạng nhà ARPF trả vectơ xác thực cho AUSF, kèm theo SUPI bất kỳ nào nó đã tra cứu (bước 2) Không giống như các thế hệ trước, 5G chỉ hỗ trợ trả về một vectơ xác thực tại một thời điểm.
AUSF lưu trữ XRES* để sử dụng sau này theo quy trình xác thực của mạng nhà và tính toán một phiên bản dẫn xuất HXRES*, được dùng để xác thực trong mạng đã truy cập (mạng khách) ở các bước 3 và 4 Ở đây, tiền tố H của HXRES* không liên quan đến mạng nhà mà chỉ cho biết HXRES* được tính bằng thuật toán băm AUSF cũng lưu trữ mọi nhận dạng vĩnh viễn nhận được từ UDM và tính khóa neo của mạng khách là KSEAF Sau đó, AUSF chuyển tiếp các tài liệu xác thực liên quan đến AMF và cung cấp URI (Uniform Resource Identifier) mà AMF sẽ dùng cho việc xác thực tiếp theo (bước 5) Ngược lại, AMF gửi số ngẫu nhiên và mã thông báo xác thực đến thiết bị di động (bước 6).
Trong thiết bị di động, hệ thống sẽ gửi số ngẫu nhiên RAND và một mã thông báo xác thực tới UICC Tại UICC, ứng dụng USIM kiểm tra mã thông báo xác thực để xác định xem mạng có cùng giá trị K và số thứ tự chưa được sử dụng trước đó hay không; nếu thỏa mãn, nó sẽ tính toán phản hồi xác thực đã được sử dụng ở các thế hệ 3GPP trước đó, ký hiệu là RES, bằng cách ghép RAND với bản sao K của chính nó và gửi phản hồi đó về thiết bị di động cùng với CK và IK từ Hình 2.3 Thiết bị di động dùng RES và hiểu biết về tên mạng phục vụ để tính toán phản hồi xác thực 5G được ký hiệu là RES* (bước 7) Nó cũng sử dụng CK và IK để tính toán các giá trị KAUSF, KSEAF và KAMF trên thiết bị di động Dù quy trình này phức tạp, nó cho phép thiết bị di động truy cập mạng lõi 5G bằng USIM cũ và giúp các nhà khai thác mạng 5G không nhất thiết phải thay thế thẻ SIM của người đăng ký.
Trong quá trình xác thực 5G, điện thoại di động gửi phản hồi xác thực (RES*) cho AMF AMF tính một phiên bản băm của phản hồi từ thiết bị, được ký hiệu là HRES* và so sánh nó với giá trị HXRES* từ bước trước; nếu hai giá trị khớp nhau, điện thoại được xác thực thành công vì nó có đúng khóa chia sẻ K Để xác nhận kết quả, AMF sử dụng URI nhận được từ AUSF và đính kèm phản hồi ban đầu RES* của thiết bị, hoàn tất quá trình xác thực.
AUSF so sánh phản hồi của thiết bị di động với phản hồi dự kiến XRES * (bước
Nếu hai mạng giống nhau, AUSF không chỉ kết luận rằng điện thoại di động được xác thực mà còn cả mạng phục vụ trích dẫn cùng một mã mạng và mã quốc gia cho mạng nhà và cho điện thoại di động Bằng cách kết hợp với kết luận trước đó rằng AMF được quyền sử dụng các mã đó, AUSF kết luận mạng phục vụ là chính hãng AUSF trả về một xác nhận cho AMF và bao gồm nhận dạng vĩnh viễn mà nó đã truy xuất trước đó (bước 12) Khi nhận được xác nhận đó, AMF tính khóa KAMF Để kết thúc thủ tục, AUSF gửi xác nhận đến UDM rằng thiết bị di động đã được xác thực thành công (bước 13) Sau đó, UDM có thể liên kết xác nhận đó với các thủ tục tiếp theo, ví dụ như nó có thể chỉ chấp nhận yêu cầu đăng ký điện thoại di động của mạng phục vụ nếu điện thoại di động gần đây đã được xác thực bởi cùng một mạng phục vụ.
2.4.3 Kích hoạt an ninh tầng không truy cập
Khi kết thúc thủ tục xác thực, thiết bị di động và AMF đều có các giá trị mới của
Trong quy trình kích hoạt an ninh, hai thiết bị truy xuất các khóa bảo mật nhằm mục đích giải mã dữ liệu và đảm bảo tính toàn vẹn hệ thống Sau khi nhận khóa, chúng được đưa vào hoạt động để duy trì lớp bảo vệ và kết nối an toàn cho toàn bộ môi trường IT [4].
Ngay sau khi xác thực và thỏa thuận khóa, AMF kích hoạt an ninh tầng không truy cập Từ KAMF, AMF tính toán mật mã và khóa toàn vẹn KNASenc và KNASint Sau đó, nó gửi cho thiết bị di động bản tin quản lý di động 5G (5GMM) gọi là Lệnh chế độ bảo vệ (bước 1), xác định bộ khóa mới và chọn các thuật toán bảo mật để sử dụng Bản tin được bảo vệ bằng tính năng bảo vệ toàn vẹn bằng cách sử dụng giá trị mới của KNASint, nhưng không được mã hóa, ngay cả khi điện thoại di động đã có một bộ khóa bảo mật hợp lệ.
Trong chế độ bảo mật tầng không truy cập, điện thoại di động tự tính toán các bản sao của KNASenc và KNASint, đồng thời kiểm tra tính toàn vẹn của bản tin theo cách được mô tả ở phần sau của chương này Nếu bản tin vượt qua kiểm tra tính toàn vẹn, thiết bị di động sẽ bắt đầu mã hóa đường lên và xác nhận lệnh của AMF bằng cách thực hiện Hoàn thành chế độ bảo mật 5GMM (bước 2) Khi nhận được bản tin, AMF bắt đầu mã hóa đường xuống.
2.4.4 Kích hoạt an ninh tầng truy cập
Quá trình kích hoạt bảo mật ở tầng truy cập diễn ra theo cùng một cơ chế như trong Hình 2.5, nhưng thứ tự các bước có sự khác biệt nhẹ Để kích hoạt quá trình, AMF tính toán giá trị KgNB và chuyển nó đến nút chính như một phần của yêu cầu thiết lập ngữ cảnh ban đầu của giao thức NG-AP Nút chính sẽ tính toán các khóa toàn vẹn và khóa mật mã của tầng truy cập, đồng thời gửi cho thiết bị di động một Lệnh Chế độ Bảo mật RRC.
1) chọn các thuật toán bảo mật để sử dụng, Thiết bị di động tính toán các bản sao của chính khóa bảo mật, kiểm tra tính toàn vẹn của bản tin và trả lời Hoàn thành Chế độ
Tính toán K NASenc, K NASint Bắt đầu bảo vệ toàn vẹn
Tính toán K NASenc, K NASint Bắt đầu mật mã và bảo vệ toàn vẹn Bắt đầu giải mã UL
Bắt đầu mật mã DL
Chế độ bảo mật đã hoàn tất, lệnh chế độ bảo mật (ngKSI, thuật toán bảo mật) tham gia bảo vệ quá trình bảo mật RRC ở bước 2 Không giống như trong thủ tục tầng không truy cập, cả hai bản tin này đều không được mã hóa.
Hình 2.5 Thủ tục lệnh chế độ bảo mật tầng truy cập
An ninh miền mạng
2.5.1 Kiến trúc an ninh miền mạng
Thuật ngữ an ninh mạng (NDS) áp dụng cho các điểm tham chiếu trong mạng cố định 5G không có giao diện dựa trên dịch vụ tương ứng Một số điểm tham chiếu này đã được bảo vệ bằng các biện pháp bảo mật vật lý, trong khi các điểm tham chiếu khác vẫn dễ bị xâm nhập và cần được bảo đảm an toàn Các ví dụ điển hình gồm các giao diện giữa các vị trí khác nhau trong mạng cố định 5G, nơi quản lý truy cập và bảo mật dữ liệu là yếu tố quyết định cho an toàn và vận hành tin cậy.
Phương hướng Người nhận tin
Phương hướng Người mang ID
Trong mạng truy cập vô tuyến, việc đối chiếu XMAC thường được thực hiện bởi người mang ID và các hệ thống quản lý do bên thứ ba vận hành XMAC được triển khai tại nhiều vị trí khác nhau trong mạng lõi của nhà khai thác mạng, nhằm tăng cường bảo mật, kiểm soát truy cập và tối ưu hóa hiệu suất Việc giao trách nhiệm cho bên thứ ba giúp nhà khai thác tập trung nguồn lực, đảm bảo sự liên tục của dịch vụ và dễ dàng mở rộng hệ thống khi mạng di động phát triển.
Hình 2.8 minh họa kiến trúc bảo mật được áp dụng Trong hầu hết các trường hợp, xác thực, mã hóa, bảo vệ toàn vẹn và bảo vệ phát lại là bắt buộc đối với mọi điểm tham chiếu không an toàn về mặt vật lý Các ngoại lệ duy nhất là các điểm tham chiếu báo hiệu kế thừa đến lõi gói đã phát triển và một chức năng ứng dụng bên ngoài, cụ thể là N26 và Rx, vốn phải hỗ trợ các thủ tục đó nhưng việc sử dụng chúng là tùy chọn.
2.5.2 Các giao thức an ninh miền mạng
An ninh mạng có thể được thực hiện bằng hai giao thức chính: bảo mật lớp mạng IP và bảo mật lớp truyền tải TLS Bảo mật lớp mạng IP là bắt buộc đối với mọi điểm tham chiếu, như trong Hình 2.8 Để triển khai, hai thiết bị sẽ xác thực bằng giao thức dựa trên chứng chỉ (IKEv2), thiết lập một liên kết bảo mật với các khóa cấp thấp hơn để mã hóa và bảo vệ tính toàn vẹn, rồi thực hiện các quy trình này thông qua IPSec với ESP đóng gói tải trọng bảo mật Nhà điều hành có thể hỗ trợ chế độ truyền tải ESP (mã hóa payload, tiêu đề để ở dạng văn bản thuần túy nhằm mục đích định tuyến), nhưng chế độ đường hầm ESP là bắt buộc, trong đó toàn bộ gói tin IP (tiêu đề và payload) được mã hóa và định tuyến qua mạng công cộng bằng một tiêu đề IP mới.
IP gốc cũng được mã hóa và các tiêu đề mới được thêm vào để định tuyến
Hình 2.8 : Kiến trúc bảo mật miền mạng
Trong mạng lõi, đường hầm IPSec được triển khai qua một thiết bị riêng biệt gọi là cổng bảo mật (SEG) Cổng khởi tạo nhận gói IP từ một chức năng mạng, tiến hành mã hóa và thêm một tiêu đề IP mới để định tuyến gói đến cổng đích Sau đó, thiết bị này sẽ giải mã gói tin gốc và gửi nó đi Trong mạng truy cập vô tuyến, các chức năng của cổng thường được tích hợp thành một phần của chính trạm gốc, giúp quản lý an toàn và hiệu quả lưu lượng tại điểm truy cập.
Bảo mật lớp truyền tải (TLS) là một giao thức thực hiện xác thực, mã hóa và bảo vệ tính toàn vẹn ngay trên lớp truyền tải TCP đáng tin cậy DTLS (Datagram Transport Layer Security) là biến thể của TLS được thiết kế ban đầu để sử dụng qua UDP, và sau đó được điều chỉnh thêm để sử dụng qua giao thức truyền tải điều khiển luồng (SCTP).
Việc hỗ trợ DTLS qua SCTP được xem là bắt buộc đối với các điểm tham chiếu mặt phẳng điều khiển trong mạng truy cập vô tuyến Dạng ban đầu của TLS chỉ được sử dụng bởi các điểm tham chiếu N26 và Rx; trong một số trường hợp, các giao diện dựa trên dịch vụ sẽ được trình bày ở mục 2.6 Nếu giao thức được triển khai, việc hỗ trợ cho các phiên bản 1.3 và 1.2 là bắt buộc, trong khi phiên bản 1.1 là tùy chọn.
An ninh miền kiến trúc dựa trên dịch vụ
Thuật ngữ an ninh miền cho kiến trúc dựa trên dịch vụ được áp dụng nhằm bảo vệ các giao diện dựa trên dịch vụ trong mạng lõi 5G Từ quan điểm an ninh, tồn tại ba loại giao diện dựa trên dịch vụ, được mô tả và minh họa chi tiết trong Hình 2.9.
Hình 2.9 : Kiến trúc bảo mật giao diện dựa trên dịch vụ
Giao diện PLMN trực tiếp
Giao diện liên PLMN qua bảo mật lớp ứng dụng IPX
Giao diện nội bộ PLMN NDS/IP hoặc TLS 5GC
Đầu tiên, các giao diện dựa trên dịch vụ bên trong mạng của nhà khai thác được bảo mật bằng IPsec hoặc TLS theo mô tả tại mục 2.5.2 Giao diện dựa trên dịch vụ giữa hai mạng được triển khai qua điểm tham chiếu N32, nơi kết nối các proxy bảo vệ cạnh bảo mật (SEPP) Nếu điểm tham chiếu N32 là kết nối trực tiếp không đi qua trao đổi gói IP (IPX), nó được bảo mật chỉ bằng TLS Tuy nhiên, kịch bản khác sẽ phát sinh khi N32 đi ngang qua IPX: mỗi nhà khai thác liên hệ với một nhà cung cấp IPX đáng tin cậy và có mối quan hệ kinh doanh, thông qua đó nhà cung cấp này có thể đọc và thậm chí sửa đổi các phần tử thông tin riêng lẻ trong các bản tin báo hiệu đối tượng HTTP/2 và JSON Ví dụ, có thể sửa đổi tiêu đề HTTP/2 cho mục đích định tuyến, hoặc để cung cấp các dịch vụ giá trị gia tăng của IPX Các nhà cung cấp dịch vụ khác có thể tham gia, nhưng họ chỉ chuyển tiếp bản tin qua đường dẫn; đối với những giao diện đó, bảo mật ở lớp mạng hoặc lớp truyền tải sẽ không được ưu tiên Thay vào đó, SEPP bảo mật hầu hết các bản tin báo hiệu ở lớp ứng dụng bằng cách áp dụng mã hóa và bảo vệ tính toàn vẹn cho các phần tử thông tin HTTP/2 và JSON riêng lẻ, cho phép nhà cung cấp IPX thực hiện các sửa đổi được ủy quyền đối với chúng.
Hình 2.10 mô tả chi tiết kiến trúc: CNF (chức năng mạng tiêu dùng) yêu cầu dịch vụ từ chức năng mạng nhà sản xuất (pNF) ở mạng của nhà khai thác khác Các mạng giao tiếp với nhau bằng SEPP, được ký hiệu là cSEPP và pSEPP, và có mối quan hệ kinh doanh với các nhà cung cấp dịch vụ IPX riêng của họ, được ký hiệu là cIPX và pIPX Điểm tham chiếu N32 có hai thành phần: N32-c mang bản tin báo hiệu HTTP/2 quản lý mối quan hệ giữa hai SEPP, những bản tin này được bảo mật bằng TLS, do đó không thể bị đọc hoặc sửa đổi bởi IPX can thiệp; N32-f chuyển tiếp các bản tin báo hiệu HTTP/2 tiếp theo giữa hai chức năng mạng Các bản tin này được bảo vệ ở lớp ứng dụng bằng JOSE, khuôn khổ bảo mật hỗ trợ tính toàn vẹn và bảo vệ chống phát lại bằng JWS và hỗ trợ mã hóa bằng JWE.
Hình 2.10 : Các nguyên tắc gửi thông điệp an toàn qua N32-f
2.6.2 Thủ tục bắt tay ban đầu qua N32-C
Sau khi thiết lập liên lạc, hai SEPP xác thực lẫn nhau và thiết lập kết nối TLS an toàn qua N32-c; sau đó, chúng cấu hình các giao tiếp tiếp theo qua N32-f theo thủ tục báo hiệu HTTP/2 ba bước: ở bước đầu, hai SEPP đồng ý cơ chế bảo mật sẽ được sử dụng, bảo vệ lớp truyền tải hoặc lớp ứng dụng; nếu bảo vệ lớp ứng dụng được chọn thì bước thứ hai sẽ xác định các thuật toán bảo mật sẽ sử dụng; ở bước ba, hai SEPP đồng ý một chính sách bảo vệ thông tin mà sẽ được trao đổi, gồm hai phần: phần một liệt kê các yếu tố xâm nhập sẽ được bảo vệ bằng mã hóa và bảo vệ toàn vẹn, bao gồm vectơ xác thực, tài liệu mật mã, dữ liệu vị trí như nhận dạng di động của thiết bị và số nhận dạng vĩnh viễn của đăng ký; phần hai liệt kê các yếu tố thông tin mà hai IPX có thể sửa đổi dựa trên các chính sách sửa đổi mà các nhà khai thác mạng đã áp dụng với IPX của họ.
Lõi 5G của Nhà sản xuất
Văn bản IEs – Được mã hóa và thuần túy
Văn bản IEs – Được mã hóa và thuần túy
Các sửa đổi được thêm vào bởi cIPX
Văn bản IEs – Được mã hóa và thuần túy Các sửa đổi được thêm vào bởi cIPX và pIPX
Yêu cầu HTTP/2 đã sửa đổi
2.6.3 Chuyển tiếp bản tin được bảo vệ JOSE qua N32-f
Ngay khi quá trình bắt tay kết thúc, hai SEPP sẽ bảo vệ các tin nhắn HTTP/2 tiếp theo bằng quy trình được thể hiện trong Hình 2.11 Để bắt đầu quy trình, chức năng mạng của người tiêu dùng sẽ gửi một yêu cầu HTTP/2 tới nhà sản xuất, được mạng của người tiêu dùng định tuyến qua SEPP tương ứng (bước 1) SEPP định dạng lại yêu cầu bằng cách sao chép các phần tử thông tin HTTP/2 và JSON riêng lẻ thành hai đối tượng JSON, được ký hiệu là data ToIntegrity.
SEPP bảo vệ hai đối tượng trong chu trình xử lý: đối tượng đầu tiên được bảo vệ bằng toàn vẹn dữ liệu, còn đối tượng thứ hai được bảo vệ bằng cả toàn vẹn và mã hóa ở bước 2 Tiếp theo, SEPP chuyển tiếp thông tin tới IPX của người tiêu dùng dưới dạng tải trọng HTTP/2 POST ở bước 3 Quá trình này đảm bảo dữ liệu được bảo vệ toàn vẹn và bảo mật khi di chuyển từ hệ thống nguồn tới thiết bị người dùng, thông qua giao thức HTTP/2 POST và các biện pháp mã hóa liên quan.
IPX sửa đổi đối tượng dữ liệu ToIntegrity Protect phù hợp với các quy tắc được xác định bởi mối quan hệ kinh doanh của nó với mạng của người tiêu dùng Sau đó, nó gắn các sửa đổi vào tải trọng dưới dạng một đối tượng JSON mới, được ký hiệu là modifications (bước 4) Đối tượng này được ký bằng chữ ký JSON Web Signature (JWS) để xác thực nguồn gốc và IPX sau đó chuyển tiếp bản tin tới IPX của nhà sản xuất (bước tiếp theo).
Trong quy trình này, bước 5 tiến hành đánh giá các sửa đổi của IPX đầu tiên và áp dụng chúng theo cách tương tự ở bước 6 Sau đó, IPX của nhà sản xuất sẽ chuyển tiếp bản tin tới SEPP của nhà sản xuất ở bước 7 SEPP của nhà sản xuất sẽ kiểm tra tính toàn vẹn của thư đến, giải mã dữ liệu được bảo vệ và tạo lại yêu cầu HTTP/2 ban đầu.
8) Sau đó, nó sẽ kiểm tra tính toàn vẹn của các sửa đổi của hai IPX, xác minh rằng chúng tuân thủ chính sách sửa đổi được thiết lập trước đó và áp dụng chúng Cuối cùng, SEPP gửi yêu cầu HTTP/2 đến chức năng mạng của nhà sản xuất (bước 9) Phản hồi HTTP/2 được xử lý theo cách tương tự
Hình 2.11 : Quy trình gửi thông điệp an toàn qua N32-f
Nhà sản xuất IPX Nhà sản xuất
Yêu cầu HTTP/2 từ NF của người tiêu dùng
Mã hóa bảo vệ tính toàn
Quá trình đăng tải N32f ( Bảo vệ toàn vẹn dữ liệu và mật mã, bảo vệ toàn vẹn dữ liệu )
Quá trình đăng tải N32f ( Bảo vệ toàn vẹn dữ liệu và mật mã, bảo vệ toàn vẹn dữ liệu, sửa đổi )
Quá trình đăng tải N32f ( Bảo vệ toàn vẹn dữ liệu và mật mã, bảo vệ toàn vẹn dữ liệu, sửa đổi )
Giải mã kiểm tra tính toàn vẹn xác minh và áp dụng các sửa đổi
Gửi yêu cầu đến nhà sản xuất NF