Vì vậy, luận văn em lựa chọn mang tên “Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD” , trong đó sẽ tập trung nghiên cứu tổng quan về mạng di động 5G, các nguy cơ an ninh và g
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Trang 2Luận văn được hoàn thành tại
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: Tiến sĩ Phạm Thị Thúy Hiền
Phản biện 1: PGS TS Nguyễn Nam Hoàng
Phản biện 2: TS Trương Cao Dũng
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện công nghệ Bưu chính Viễn thông
Vào lúc giờ ngày 15 tháng 01 năm 2022
Có thể tìm hiểu luận văn tại:
Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3LỜI MỞ ĐẦU
Thông tin di động đang là ngành thu hút được nhiều sự quan tâm hiện nay Thông tin di động bắt đầu từ 1G, nay đã phát triển lên 5G, hỗ trợ mạnh các dịch vụ đa phương tiện Tổ chức 3GPP đã phát hành các tiêu chuẩn cho hệ thống thông tin di động mới nhất hiện nay là 5G Về mặt an ninh mạng, 5G phẳng và có kiến trúc mở hơn, do
đó dễ bị tổn thương bởi các mối đe dọa an ninh Các nguy cơ tồn tại đối với mạng 5G
là hiện hữu, tuy nhiên các nhà cung cấp dịch vụ cũng như người dùng chưa dành sự quan tâm thích đáng cũng như có những kế hoạch đảm bảo an ninh phù hợp đối với các nguy cơ này Do đó cần có sự quan tâm thích đáng đối với vấn đề an ninh trong mạng 5G Đối với mạng 5G các mối đe dọa xảy ra ở bất kỳ nút nào trong mạng lưới cũng có khả năng đe dọa tới toàn bộ mạng lưới và gây ra các sự cố trên diện rộng Khi số lượng các nút mạng gia tăng, các kho dữ liệu mà tin tặc có thể xâm nhập cũng tăng theo, đồng thời gia tăng nguy cơ tấn công và mất cắp dữ liệu với quy mô lớn và trong thời gian ngắn
Vì vậy, luận văn em lựa chọn mang tên “Giải pháp an ninh trong mạng
FRONTHAUL 5G dựa trên QKD” , trong đó sẽ tập trung nghiên cứu tổng quan về
mạng di động 5G, các nguy cơ an ninh và giải pháp an ninh của mạng 5G để từ đó đề xuất giải pháp an ninh dựa trên phân phối khóa lượng tử (QKD) cho mạng fronthaul 5G Các nội dung của lận văn được tóm tắt lại như sau :
Chương 1 : Tổng quan về mạng 5G Bao gồm lịch sử các thế hệ tiền
nhiệm, đặc trưng cơ bản, đặc tính công nghệ, kiến trúc mạng và các kênh trên giao diện
vô tuyến 5G
Chương 2 : An ninh trong mạng di động 5G Các đe dọa anh ninh,
Các yêu cầu an ninh trong mạng di động 5G, Kiến trúc an ninh trong mạng di động 5G
Chương 3 : Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD Trong chương này trình bày : Giới thiệu về QKD, Các giải pháp QKD cho
mạng fronthaul 5G, Hiệu năng của các giải pháp QKD cho mạng fronthaul 5G
Trang 51.2.2 Một số đặc tính công nghệ của mạng 5G
1.2.2.1 Mạng truy nhập vô tuyến
a) Các yêu cầu cơ bản được chỉ định cho 5G :
o Băng rộng di động năng cao (eMBB)
o Truyền thông máy số lượng lớn (mMTC)
o Truyền thông trễ thấp độ tin cậy cực cao (URLLC)
b) Một số đặc tính đặc trưng của NR:
o Khoảng cách giữa các sóng mang con
o Cấu trúc khung vô tuyến
o Băng thông kênh
1.2.2.2 Massive MIMO
Massive MIMO là công nghệ bao gồm nhiều ăng ten thu phát được tối ưu hóa
để cải thiện việc nhận tín hiệu, mở rộng khoảng cách và tăng dung lượng mạng di động lên theo cấp số nhân từ đó phục vụ đồng thời vài chục thiết bị đầu cuối với cùng một tài nguyên tần số và thời gian, đạt được các mục đích của MU-MIMO nhưng với
tỷ lệ lớn hơn rất nhiều
1.2.2.3 Beamforming
Beamforming là một phương pháp được sử dụng với mục đích tạo ra các tín hiệu theo hướng xác định, tập trung hướng sóng vào một mục tiêu cụ thể thay vì lan tỏa trong không gian rộng Trạm gốc sử dụng công nghệ beamforming được gọi là trạm gốc thông minh nâng cao hiệu quả sử dụng phổ tần và cải thiện hiệu suất hệ thống lên nhiều lần
1.2.2.4 Kiến trúc ô nhỏ
Các small cell bao gồm microcell, picocell và femtocell Microcell có phạm vi bao phủ lớn nhất, hỗ trợ nhiều người dùng và được cài đặt, điều hành bởi các nhà khai thác mạng di động nên cũng gặp phải nhược điểm đó là cần quyền truy cập vị trí cũng như khó khăn trong việc sửa chữa và bảo trì
1.2.3 Kiến trúc mạng 5G
a) Các chức năng mạng trong hệ thống 5G
Chức năng quản lý truy nhập và di động (AMF)
Chức năng quản lý phiên (SMF)
Trang 6 Chức năng ứng dụng (AF)
Chức năng lựa chọn lát cắt mạng (NSSF)
Chức năng điều khiển chính sách (PCF)
Chức năng máy chủ xác thực (AUSF)
Chức năng mặt phẳng người dùng (UPF)
Quản lý dữ liệu tập trung (UDM)
Chức năng lưu trữ mạng (NRF)
Chức năng tiếp xúc mạng (NEF)
b) Kiến trúc điểm tham chiếu
Kiến trúc điểm tham chiếu hệ thống 5G được thể hiện trong hình 1.3
Hình 1.3 Kiến trúc hệ thống 5G điểm tham chiếu c) Kiến trúc dựa trên dịch vụ (SBA)
Kiến trúc dựa trên dịch vụ chỉ áp dụng cho phần mặt phẳng điều khiển của mạng lõi 5G, được thể hiện trong hình 1.4
1.2.4 Các kênh trên giao diện vô tuyến 5G
a) Kênh logic
b) Kênh truyền tải
c) Kênh vật lý
Trang 7Hình 1.4 Kiến trúc hệ thống 5G dựa trên dịch vụ 1.3 Tổng kết chương
Chương 1 đã đề cập sơ lược về các thế hệ tiền nhiệm và trình bày những hiểu biết cơ bản về 5G Một số đặc tính của thế hệ mới nhất trong mạng di động đã nêu bật những điểm mới trong công nghệ như hệ thống Massive MIMO, Beamforming, kiến trúc ô nhỏ hay các công nghệ mới trong mạng lõi (SDN, NFV) để đem đến những trải nghiệm tốc độ cực cao, độ trễ rất thấp và dung lượng cực lớn Những ưu điểm vượt trội của thế hệ 5G mang đến các công nghệ tiên tiến như xe tự lái, thành phố thông minh hay khám chữa bệnh từ xa Tất cả hướng đến một mạng 5G hoàn thiện và hiệu quả nhất, điều này hứa hẹn rất lớn cho một xã hội số hóa trong tương lai gần
Trang 8CHƯƠNG 2 : AN NINH TRONG MẠNG DI ĐỘNG 5G
2.1 Các đe dọa an ninh
mà hai thiết bị trao đổi
2.3 An ninh truy cập mạng
2.3.1 Kiến trúc anh ninh truy cập mạng
An ninh truy cập mạng đề cập đến tất cả các thủ tục bảo mật liên quan đến thiết
bị di động và liên quan đến một số chức năng mạng bổ sung Quan trọng nhất là chức năng máy chủ xác thực (AUSF), quản lý các thủ tục xác thực trong mạng nhà
Hình 2.1 : Kiến trúc bảo mật truy cập mạng
Bảo mật không truy cập theo tầng
• Mã hóa bắt buộc để báo hiệu ( Nếu quy định cho phép )
• Bảo vệ toàn vẹn bắt buộc cho tín hiệu ( Với các trường hợp ngoại lệ )
Xác thực ( 5G AKA or EAP-AKA′ )
Bảo mật truy cập theo tầng
• Mã hóa bắt buộc cho tín hiệu và lưu lượng ( Nếu quy định cho phép )
• Bảo vệ toàn vẹn bắt buộc cho tín hiệu ( Với các trường hợp ngoại lệ )
• Bảo vệ tính toàn vẹn tùy chọn cho lưu lượng truy cập ( Chỉ những người mang đầu cuối bằng MgNB )
Trang 92.3.2 Hệ thống phân cấp khóa
An ninh truy cập mạng dựa trên kiến thức được chia sẻ về khóa dành riêng cho người dùng, K, được lưu trữ an toàn trong ARPF và được phân phối an toàn trong UICC Trong thủ tục xác thực, thiết bị di động và mạng xác nhận với nhau có giá trị chính xác là K Sau đó, chúng tính toán một hệ thống phân cấp các khóa cấp thấp hơn, được minh họa trong Hình 2.2 và được sử dụng bởi các thủ tục cấp thấp hơn [2]
Hình 2.2 : Các khóa bảo mật truy cập mạng
2.4 Các thủ tục an ninh truy cập mạng
2.4.1 Nhận dạng che dấu đăng ký
2.4.2 Xác thực và thỏa thuận khóa
Tùy thuộc vào các chính sách nội bộ của mình, AMF bắt đầu xác thực trong bất
kỳ quy trình nào đưa thiết bị di động từ CM-IDLE sang CM-CONNECTED Hình 2.3 cho thấy một trong những thủ tục xác thực có thể dẫn đến kết quả gọi là xác thực 5G và thỏa thuận khóa [3]
Trang 10Hình 2.3 : Xác thực 5G và quy trình thỏa thuận khóa
2.4.3 Kích hoạt an ninh tầng không truy cập
Nausf_UEAuthentication Xác thực đăng tải / Xác thực
UE ( SUPI hoặc SUCI, cung cấp tên mạng )
Xác thực Nudm_UEAuthentication nhận đăng tải / Thông tin bảo mật {Supi hoặc Suci} tạo dữ liệu xác thực ( Cung cấp tên mạng )
200 OK (RAND, XRES * , AUTN, K AUSF , [SUPI])
201 Tạo (RAND, HXRES * , AUTN, K SEAF )
Yêu cầu xác thực (RAND, AUTN )
9 Tính toán HRES*, So sánh HRES* Với HXRES*
So sánh RES * với XRES *
Nudm_UEAuthentication Xác nhận kết quả thông báo sự kiện
đăng tải /{supi}/auth-events
Trang 11AMF kích hoạt an ninh tầng không truy cập ngay sau khi xác thực và thỏa thuận khóa, như trong Hình 2.4
Hình 2.4 : Quy trình lệnh của chế độ bảo mật tầng không truy cập
2.4.4 Kích hoạt an ninh tầng truy cập
Hình 2.5 mô tả thủ tục chế độ bảo mật tầng truy nhập
Hình 2.5 Thủ tục lệnh chế độ bảo mật tầng truy cập
2.4.5 Xử lý khóa trong khi di động
Các thủ tục khác giải quyết việc xử lý khóa trong quá trình di chuyển và chuyển đổi trạng thái [5] Nếu đơn vị trung tâm của nút chính vẫn không thay đổi như một phần của quá trình chuyển giao, thì nó có thể tùy chọn giữ lại giá trị cũ của KgNB, tùy thuộc vào chính sách mạng Nếu không, có hai cách để tính giá trị mới
2.4.6 Xử lý khóa trong quá trình chuyển đổi trạng thái
Tính toán K NASenc, K NASint Bắt đầu bảo vệ toàn vẹn
5GMM 5GMM
Tính toán K NASenc, K NASint Bắt đầu mật
UE
Master gNB ( or ng-eNB )
Nhận K gNB từ AMF tính toán K RRCenc, K RRCint,
K Upenc, K Upint Bắt đầu bảo vệ toàn vẹn
RRC RRC
Tính toán K RRCenc, K RRCint, K Upenc, K Upint Bắt đầu
giải mã DL và bảo vệ tính toàn vẹn
Bắt đầu mật mã UL
Trang 12Nếu mạng giải phóng kết nối RRC của thiết bị di động và chuyển nó sang RRC_IDLE, thì tất cả các khóa bảo mật tầng truy cập của thiết bị di động sẽ bị xóa Tuy nhiên, nếu mạng chỉ tạm dừng kết nối RRC của thiết bị di động và chuyển nó sang RRC_INACTIVE, thì thiết bị di động, nút chính và bất kỳ nút thứ cấp nào đều giữ lại bản sao của khóa toàn vẹn KRRCint và của khóa bảo mật tầng truy cập KgNB Sau đó, họ
sử dụng khóa đầu tiên trong số các khóa đó để kiểm tra các bản tin báo hiệu tầng truy cập tiếp theo và sử dụng khóa thứ hai để tiếp tục kết nối RRC mà không cần giao tiếp với mạng lõi
mật mã
Dòng chính
Dữ liệu văn bản thuần túy
NIA
Đếm
Dữ liệu
Phương hướng Người mang ID
Người mang ID
Đối chiếu XMAC
Trang 13Hình 2.8 minh họa kiến trúc được sử dụng Trong hầu hết các trường hợp, xác thực, mật mã hóa, bảo vệ toàn vẹn và bảo vệ phát lại là bắt buộc đối với bất kỳ điểm tham chiếu nào không an toàn về mặt vật lý
Hình 2.8 : Kiến trúc bảo mật miền mạng
2.5.2 Các giao thức an ninh miền mạng
An ninh miền mạng có thể được thực hiện bằng hai giao thức chính, đó là bảo mật lớp mạng IP và bảo mật lớp truyền tải (TLS) [7] Hỗ trợ bảo mật lớp mạng IP là bắt buộc đối với tất cả các điểm tham chiếu trong Hình 2.8
2.6 An ninh miền kiến trúc dựa trên dịch vụ
2.6.1 Kiến trúc an ninh
Thuật ngữ an ninh miền kiến trúc dựa trên dịch vụ áp dụng cho các giao diện dựa trên dịch vụ trong mạng lõi 5G Từ quan điểm an ninh, có ba loại giao diện dựa trên dịch vụ, được minh họa trong Hình 2.9
Hình 2.9 : Kiến trúc bảo mật giao diện dựa trên dịch vụ
2.6.2 Thủ tục bắt tay ban đầu qua N32-C
Giao diện PLMN trực tiếp
SEP P SEP
P P
SEP
P
SEP P
2
Trang 14Sau khi thiết lập liên lạc, hai SEPP sẽ xác thực lẫn nhau và thiết lập kết nối TLS
an toàn qua N32-c Sau đó, chúng cấu hình các giao tiếp tiếp theo qua N32-f theo thủ tục báo hiệu HTTP 2 ba bước
2.6.3 Chuyển tiếp bản tin được bảo vệ JOSE qua N32-f
Khi quá quá trình bắt tay đã hoàn tất, hai SEPP sẽ bảo vệ các bản tin báo hiệu HTTP/2 tiếp theo bằng cách sử dụng quy trình được hiển thị trong Hình 2.11 [9]
Hình 2.11 : Quy trình gửi thông điệp an toàn qua N32-f
Người tiêu dùng SEPP
Người tiêu dùng IPX
Nhà sản xuất IPX Nhà sản xuất
SEPP
Yêu cầu HTTP/2 từ NF của người tiêu dùng
HTTP
HTTP
Quá trình đăng tải N32f ( Bảo vệ toàn vẹn dữ liệu và mật mã, bảo vệ toàn vẹn dữ liệu, sửa đổi )
HTTP
Giải mã kiểm tra tính toàn vẹn xác minh và áp dụng các sửa đổi
8
Gửi yêu cầu đến nhà sản xuất NF
9
Trang 152.7 Tổng kết chương
Chương 2 đã trình bày hiểu biết cơ bản về các đe dọa an ninh trong mạng di động 5G Các yêu cầu an ninh trong 5G như nguyên tắc an ninh, thủ tục an ninh truy cập mạng, mã định danh che dấu đăng ký, xác thực và thỏa thuận khóa, kích hoạt bảo mật tầng không truy cập, kích hoạt bảo mật tầng truy cập, xử lý khóa trong khi di động,
xử lý khóa trong quá trình chuyển đổi trạng thái, mật mã và bảo vệ tính toàn vẹn Kiến trúc an ninh trong mạng di động 5G như An ninh truy cập mạng, An ninh miền mạng
và An ninh miền kiến trúc dựa trên dịch vụ Tất cả bảo vệ toàn vẹn phát hiện bất kỳ nỗ lực nào của kẻ xâm nhập nhằm sửa đổi dữ liệu hoặc bản tin báo hiệu mà hai thiết bị trao đổi
CHƯƠNG 3 : GIẢI PHÁP AN NINH TRONG MẠNG
FRONTHAUL 5G DỰA TRÊN QKD
3.1 Giới thiệu về QKD
Mô hình cơ bản của QKD bao gồm hai bên, được gọi là Alice và Bob, cố gắng trao đổi một khóa bất đối xứng để có quyền truy cập vào cả hai kênh truyền thông cổ điển (kênh chia sẻ khóa công khai) liên quan đến việc truyền các qubit, thao tác và phát hiện và lượng tử kênh giao tiếp (kênh chia sẻ khóa riêng) bao gồm các giao thức đối chiếu cơ sở, sửa lỗi và khuếch đại quyền riêng tư Giả định rằng một kẻ nghe trộm tên
là Eve, có quyền truy cập vào cả hai kênh
Hình 3.1 Mô hình QKD cơ bản
Giao thức BB84
Giao thức BB84 (do Bennett và Brassard giới thiệu năm 1984) dựa trên tính chất bất định và không thể sao chép được các trạng thái lượng tử Kẻ nghe trộm trên đường truyền (Eve) không thể đọc thông tin mà không làm thay đổi các trạng thái lượng tử, vì vậy nếu Eve cố tình đọc thông tin thì sẽ để lại dấu vết và bị phát hiện Sau khi truyền
Trang 16khoá xong, nếu phát hiện có kẻ nghe trộm thì có thể huỷ bỏ khoá đó và thực hiện truyền thông tin với một khoá khác, không làm ảnh hưởng đến thông tin cần bảo mật Quy ước Alice là người gửi thông tin, Bob là người nhận thông tin, còn Eve là người nghe trộm thông tin Các bước của giao thức BB84 (bảng 3.1) để xác định khóa chung giữa người gửi và người nhận như sau:
Bảng 3.1 : Minh họa giao thức BB84
3b Kết quả phép đo của Bod ↕ ↔ ↔ ↔ ↔ ↔
4 Bob thông báo cho Alice
g đúng
sai
đúng đúng đúng đúng
sai đúng
sai đúng
Sai
6 Alice và Bob ghi lại dữ
3.2 Các giải pháp QKD cho mạng fronthaul 5G
3.2.1 Cấu trúc liên kết sợi tối
Phần này tập trung vào hiệu năng của đoạn fronthaul dựa trên Ethernet 5G điển hình hoạt động với các giao diện eCPRI, trong đó trạm Alice cho lớp QKD được đặt trên nút khối băng gốc (BBU) trong khi một liên kết sợi tối dùng để phân bố các khóa lượng tử đến trạm Bob đặt tại Nút đầu cuối 5G, như được minh họa trong Hình 3.2
Hình 3.2 Lớp vận chuyển Giao diện vô tuyến công cộng chung (eCPRI) đã
phát triển được bảo mật lượng tử kết nối khối băng gốc (BBU) và các nút đầu
Trang 17cuối 5G Một liên kết sợi quang chuyên dụng được sử dụng để trao đổi khóa lượng tử giữa các trạm Alice và Bob
Hình 3.3 Cấu trúc liên kết đa người dùng được bảo mật lượng tử với một trạm Alice tập trung và nhiều trạm Bob đặt tại các nút đầu cuối 5G
Việc tính toán SKR được thực hiện với giả định chung là các cuộc tấn công kết hợp với sự hiện diện của các xung đa photon, thông qua xử lý lý thuyết trong [14] Theo cách tiếp cận đó, tốc độ khóa được sàng lọc có thể được tính như sau:
Rsi f t = (pµ + 2pdc + pap) f repη duty η dead , (3.1)
từ đó tốc độ khóa bí mật được tính như sau:
R sec = R si ft (IAB − I AE ) (3.2)
trong đó pµ, pdc, pap lần lượt là khả năng tách tín hiệu, đếm tối và xác suất xử lý trên khoảng thời gian cổng (= 1 ns), duty là chu kỳ nhiệm vụ được áp đặt bởi các yêu cầu đồng bộ hóa giao thức cắm và chạy, ηdead tỷ lệ tách photon giảm do thời gian chết của SPAD và IAB, IAE tương ứng là thông tin tương hỗ trên mỗi bit giữa Alice và Bob; giữa Alice và Eve (một kẻ nghe trộm tiềm năng)
3.2.2 Cấu trúc liên kết sợi chia sẻ
Hình 3.4 Lớp vận chuyển eCPRI được bảo mật bằng lượng tử kết nối BBU
và các nút đầu cuối 5G
Trong thiết lập cùng tồn tại này, hiệu năng của các kênh lượng tử chủ yếu chịu ảnh hưởng hiệu ứng phi tuyến của tán xạ Raman tự phát (SpRS), phát sinh từ sự tán