1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Nghiên cứu giao thức xác thực và thỏa thuận khóa (AKA) trong mạng 5g TT

26 62 1
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 26
Dung lượng 1,21 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Khi sử dụng công nghệ 5G, lượng thông tin cá nhân được khai thác có thể sẽ mở rộng theo cấp số nhân cùng với những nghi ngờ về tính bảo mật của công nghệ này.. Để đảm bảo tính bảo mật củ

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN ĐỨC DŨNG

NGHIÊN CỨU GIAO THỨC XÁC THỰC VÀ THỎA THUẬN

KHÓA (AKA) TRONG MẠNG 5G

Chuyên ngành: Kỹ thuật viễn thông

Mã số: 8.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - NĂM 2022

Trang 2

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: Ts Vũ Thị Thúy Hà

Phản biện 1: PGS TS BẠCH NHẬT HỒNG

Phản biện 2: TS DƯ ĐÌNH VIÊN

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày 15 tháng 01 năm 2022

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

Trang 3

Nội dung luận văn bao gồm các chương sau:

Chương 1: Tổng quan về mạng 5G

Chương 2: Nghiên cứu giao thức xác thực và thỏa thuận khóa trong 5G

Chương 3: Xác thực và thỏa thuận khóa cho 5G dựa trên Blockchain

Trang 4

CHƯƠNG I : TỔNG QUAN VỀ MẠNG 5G 1.1 Tổng quan về mạng 5G

1.1.1 Các lĩnh vực ứng dụng mạng 5G

1.1.2 Mối quan tâm về bảo mật mạng 5G

Nhiều nhà quan sát lo ngại về các lỗ hổng bảo mật của mạng 5G có thể bị các hoạt động tình báo nước ngoài khai thác Khả năng một cá nhân sử dụng hệ thống và mạng hỗ trợ 5G cho các mục đích tích cực cũng có thể bị tình báo nước ngoài khai thác để thao túng nhận thức và hành vi Khi sử dụng công nghệ 5G, lượng thông tin cá nhân được khai thác có thể sẽ mở rộng theo cấp số nhân cùng với những nghi ngờ về tính bảo mật của công nghệ này Điều này làm dấy lên lo ngại giữa những người ủng hộ quyền riêng tư và các chuyên gia an ninh quốc gia Các chuyên gia an ninh thấy trước những thách thức đáng kể đối với cộng đồng tình báo, quân đội và ngoại giao khi 5G được triển khai rộng rãi Để đảm bảo tính bảo mật của mạng di động 5G, các chuyên gia khuyến cáo cần tập trung vào một số nội dung sau :

- Phát hiện những trường hợp bất thường : để xác định các mối nguy hiểm có thể xảy ra,

cần tập trung sử dụng các công cụ mới hiện nay như học máy (machine learning), Dữ liệu lớn (Big Data) v.v những công cụ này hỗ trợ cảm biến bảo mật 5G và xác định các trường hợp bất thường mà công cụ kiểm tra thông thường không làm được

- Ngăn chặn và chỉnh sửa phần mềm độc hại : Áp dụng sandbox - một dạng ảo hóa phần

mềm, cho phép chạy các phần mềm và ứng dụng trong một không gian ảo để cách ly môi trường thực tế Từ đó phát hiện được các nguy cơ phần mềm độc và tiến hành loại bỏ

- Sử dụng DNS thông minh : Giám sát hoạt động của DNS và tiến hành ngăn chặn các tác

nhân gây hại

1.1.3 Xây dựng mạng 5G cho tương lai

1.2 Kiến trúc bảo mật 5G

1.2.1 Tổng quan chung về bảo mật trong 5G

Trang 5

Hình 1 1: Toàn cảnh mối đe dọa trong mạng 5G

1.2.2 Tổng quan kiến trúc bảo mật trong 5G

Hình 1 2: Tổng quan về kiến trúc bảo mật trong 5G

Trang 6

- Bảo mật truy cập mạng : bao gồm tập hợp các tính năng bảo mật cho phép UE xác thực

một cách an toàn và truy cập các dịch vụ mạng Bảo mật truy cập bao gồm các bảo mật của các công nghệ truy cập 3GPP và không phải 3GPP và phân phối bối cảnh bảo mật từ SN đến UE

- Bảo mật miền mạng : bao gồm một tập hợp các tính năng bảo mật cho phép các nút mạng

trao đổi tín hiệu và dữ liệu mặt phẳng người dùng một cách an toàn

- Bảo mật miền người dùng : bao gồm các tính năng bảo mật cho phép người dùng truy

cập an toàn tới các UE

- Bảo mật miền ứng dụng : bao gồm bảo mật các tính năng cho phép các ứng dụng (miền

người dùng và nhà cung cấp) trao đổi tin nhắn một cách an toàn

- Bảo mật miền dựa trên kiến trúc dịch vụ (SBA) : bao gồm các tính năng bảo mật cho

phần tử mạng đăng ký, khám phá và ủy quyền, cũng như bảo mật cho các giao diện dựa trên dịch

vụ

- Khả năng hiện thị và cấu hình bảo mật : bao gồm các tính năng bảo mật thông báo cho

người dùng biết các tính năng bảo mật đang hoạt động hay không

Bản thân kiến trúc bảo mật 5G không xác định các mối đe dọa bảo mật cụ thể và giải pháp cho các mối đe dọa đó Tuy nhiên, có một số giải pháp bảo mật đã được định nghĩa đến từ các thế hệ trước đó với các sửa đổi để nâng cao hoặc định nghĩa mới cho 5G Các khái niệm bảo mật LTE là điểm khởi đầu nhưng được coi là tiêu chuẩn bảo mật của mạng không dây trong tương lai Trong mọi trường hợp, tầm nhìn cấp cao về bảo mật 5G dựa trên : i) Bảo mật tích hợp tối cao, ii) Cơ chế bảo mật linh hoạt, iii) Tự động hóa

1.3 Các giải pháp tăng cường bảo mật cho 5G

Sự phát triển của kiến trúc và công nghệ trong 5G sẽ mang đến những mối đe dọa mới được tập trung vào các khía cạnh sau :

- Điểm kết thúc của bảo mật mặt phẳng người dùng (UP)

- Xác thực và ủy quyền (bao gồm quản lý xác thực)

- Bảo mật mạng RAN (Radio Access Network)

- Bảo mật giữa UE với lưu trữ, xử lý thông tin đăng nhập, eSIM

- Bảo mật lát cắt mạng

- Nâng cao nhận dạng thuê bao di động quốc tế (IMSI) và quyền riêng tư

Trang 7

- Tăng cường kiểm soát (Phát triển hệ thống gói xác thực và thỏa thuận khóa – EPS AKA,

mở rộng giao thức xác thực cho xác thực và thỏa thuận khóa – EPA AKA, cung cấp bằng chứng

về sự hiện diện của UE trong mạng truy cập)

Hình 1.3 cho thấy kiến trúc chung để xây dựng lõi mạng 5G Các chức năng thực hiện các

cơ chế bảo mật bao gồm :

- Chức năng bảo mật thông dụng (SEAF - Security Anchor Function)

- Chức năng máy chủ xác thực (AUSF - Authentication Server Function)

- Chức năng lưu trữ và xử lý thông tin xác thực (Authentication Credential Repository and Processing Function - ARPF)

- Chức năng quản lý bối cảnh bảo mật (Security Context Management Function - SCMF)

- Chức năng quản lý chính sách bảo mật (Security Policy Control Function – (S)PCF)

Hình 1 3: Kiến trúc với các liên kết bảo mật

1.3.1 Điểm kết thúc của mặt phẳng người dùng

1.3.2 Xác thực và ủy quyền

1.3.3 Bảo mật mạng RAN

1.3.4 Bảo mật UE

Trang 8

đó, có thể tính toán đến cả việc thay thế và làm chủ các thuật toán và tham số mật mã khi sử dụng

nó trong các mạng chuyên dùng của Chính phủ, nhằm hạn chế khả năng lây lan lỗi trên diện rộng

từ bên ngoài

Trang 9

CHƯƠNG II : NGHIÊN CỨU GIAO THỨC XÁC THỰC VÀ THỎA

THUẬN KHÓA TRONG 5G 2.1 Giao thức xác thực 5G

2.1.1 Kiến trúc

Ba thực thể chính liên quan đến kiến trúc mạng di động được thể hiện trong hình 2.1 Đầu tiên là thiết bị người dùng (UE), thường là điện thoại thông minh hoặc thiết bị IoT chứa đựng một USIM được mang theo bởi thuê bao Chúng ta gọi thuê bao là sự kết hợp của một UE với USIM của nó Thứ hai là mạng thường trú (HNs), chứa cơ sở dữ liệu của thuê bao và chịu trách nhiệm xác thực họ Tuy nhiên, thuê bao có thể ở các vị trí mà HN tương ứng của họ không có trạm gốc, chẳng hạn như khi chuyển vùng Do đó, kiến trúc có một thực thể thứ ba : Mạng phục

vụ (SNs) cái mà UE có thể gắn vào SN cung cấp các dịch vụ như cuộc gọi hoặc tin nhắn sau khi

cả UE và SN đã xác thực lẫn nhau và đã thiết lập kênh an toàn với sự trợ giúp của mạng HN của thuê bao đăng ký UE và SN giao tiếp qua không gian, trong khi SN và HN giao tiếp qua kênh xác thực

Mỗi thuê bao có một USIM với khả năng mã hóa và lưu trữ các thông tin như :

- Danh tính thuê bao là duy nhất và vĩnh viễn được gọi là mã định danh vĩnh viễn thuê bao (SUPI)

- Khóa bất đối xứng công khai 𝑝𝑘𝐻𝑁 của HN tương ứng

- Một khóa đối xứng dài hạn, ký hiệu là K (được sử dụng như một khóa bí mật giữa thuê bao và HN tương ứng)

- Một bộ đếm, được gọi là số thứ tự, ký hiệu là SQN

Mạng HN được liên kết với một vài thuê bao, lưu trữ cùng một thông tin trong cơ sở dữ liệu của nó

Hình 2 1: Kiến trúc tổng quan

Trang 10

Trong hình 2.1, thuê bao sử dụng điện thoại (UE), được trang bị USIM để giao tiếp với trạm gốc được vận hành bởi SN thông qua kênh không dây không an toàn SN giao tiếp với HN trên kênh hữu tuyến đã được xác thực

2.1.2 Giao thức xác thực

2.1.1.2 Giao thức 5G-AKA

2.2 Hoạt động của giao thức 5G-AKA

Theo 3GPP, 5G-AKA là giao thức xác thực ba bên giữa :

- Thiết bị người sử dụng (UE) : đây là thiết bị vật lý của người đăng ký sử dụng mạng di động (ví dụ : điện thoại di động) Mỗi UE chữa một mã chíp là USIM – Module nhận dạng thuê bao toàn cầu, lưu trữ thông tin bí mật của người dùng chẳng hạn như các khóa bí mật

- Mạng thường trú (HN – Home Network) : là nhà cung cấp dịch vụ thuê bao, nó duy trì một cơ sở dữ liệu với những dữ liệu cần thiết để xác thực thuê bao

- Mạng dịch vụ (SN – Serving Network) : nó điều khiển trạm gốc mà UE giao tiếp thông qua một kênh không dây

Nếu HN có một trạm gốc gần UE, thì HN và SN là cùng một thực thể, nhưng điều này không phải luôn luôn như vậy, ví dụ như trong các trường hợp chuyển vùng Khi không có trạm gốc HN trong vùng phủ thì UE sẽ sử dụng trạm gốc của mạng khác UE và HN tương ứng với

nó chia sẻ một số khóa bí mật hữu hình và mã định danh cố định của thuê bao (SUPI) cái mà xác định duy nhất UE SN không có quyền truy nhập vào khóa bí mật hữu hình, nhưng tất cả các tính toán mật mã được thực hiện bởi HN và được gửi đến SN thông qua kênh bảo mật SN cũng chuyển tiếp tất cả các thông tin nó nhận được từ UE đến HN Nhưng xác thực dài hạn UE không

bị che giấu bởi SN : sau khi xác thực thành công, HN gửi mã SUPI đến SN, điều này là không cần thiết về mặt kỹ thuật nhưng được thực hiện vì lý do pháp lý Thật vậy, SN cần biết mình đang phục vụ ai để có thể trả lời các yêu cầu nghe lén hợp pháp (LI - Lawful Interception)

Trang 11

- Xác thực giữa thuê bao và HN

Trang 12

- Xác thực giữa thuê bao và SN

- Xác thực giữa HN và SN

Đối với tính bí mật của dữ liệu nhạy cảm gồm các nội dung nghiên cứu sau :

- Bảo mật khóa 𝐾𝑆𝐸𝐴𝐹 trong các trường hợp tấn công chủ động/bị động

- Bảo mật SUPI trong các trường hợp tấn công chủ động/bị động

- Bảo mật 𝑅2 và 𝑅3 trong các trường hợp tấn công chủ động/bị động

- Bảo mật khóa chia sẻ trước của USIM

- Bảo vệ chống lại tính không liên kết trong các trường hợp tấn công chủ động/bị động

2.3.2 Các lỗ hổng bảo mật

Một tác nhân độc hại "B" bắt đầu hai phiên 5G-AKA với mạng phục vụ nội hạt gần như cùng lúc Một phiên bắt đầu bằng cách nghe trộm bản tin phát lại SUCI của người dùng ‘A’ và phiên còn lại là với USIM và SUCI của chính tác nhân độc hại "B" Các phiên chạy song song

và dẫn đến tình trạng "race-condition", nếu điều này xảy ra, AUSF sẽ không thể phân biệt được hai phản hồi chứa véc tơ xác thực từ chức năng lưu trữ và quản lý thông tin xác thực (ARPF) Trong trường hợp điều này xảy ra, AUSF và SEAF sẽ tin rằng một tập hợp các véc tơ xác thực

và khóa 𝐾𝑆𝐸𝐴𝐹 dành cho người dùng ‘A’ Kết quả là tác nhân độc hại B bây giờ sẽ nhận được khóa 𝐾𝑆𝐸𝐴𝐹 và sử dụng nó để mạo danh người dùng A vào mạng Hình 2.5 thể hiện trình tự thông điệp của cuộc tấn công

Hình 2 3: Luồng tấn công của giao thức 5G-AKA

2.3.2.1 Cuộc tấn công phá vỡ

Trang 13

2.3.2.2 Kịch bản tấn công chi tiết

2.4 Cơ hội và thách thức khi ứng dụng blockchain vào 5G-AKA

sẻ và sử dụng tài nguyên Với việc sử dụng các hợp đồng thông minh, việc chia sẻ và thanh toán được thực hiện tự động và ngay lập tức mà không cần qua khâu trung gian nào

a) Chuyển vùng quốc gia

b) Chia sẻ phổ

Phổ trong mạng di động đã trở thành nguồn tài nguyên khan hiếm và rất đắt đỏ Hiện tại, các nhà mạng phải trả các khoản phí lớn cho các cơ quan quản lý phổ tần Thông thường, một nhà mạng mua một dải con hoặc một số dải con Sau đó, nhà mạng sử dụng các dải con này cho các mục đích riêng hoặc cho các nhà mạng khác thuê Mô hình này cho phép một nhà mạng sử dụng đầy đủ các nguồn lực của mình và hỗ trợ các nhà mạng nhỏ hơn tham gia cung cấp các dịch

vụ 5G mà không phải trả phí cấp phép lớn

Trang 14

Hình 2 4: Framework hợp nhất cho chia sẻ phổ động và lát cắt mạng

Hình 2.7 minh họa kiến trúc của ý tưởng cho phép chia sẻ phổ tần động và tương tác giữa

cả các bên tham gia theo cách tiết kiệm chi phí

Trang 15

là một vấn đề quan trọng khác Mã hợp đồng thông minh cũng có thể chứa lỗi và lỗ hổng bảo mật có thể dẫn đến việc khai thác hợp đồng thông minh của tin tặc Sự phát triển của mã an toàn

và không có lỗ hổng cho các hợp đồng thông minh trở thành một nhiệm vụ quan trọng và các hợp đồng thông minh trong 5G không phải là một ngoại lệ Hơn nữa, theo thiết kế các hợp đồng thông minh không thể sửa chữa hay nâng cấp được Sau khi hợp đồng thông minh được tải lên

và được sử dụng, nó không thể được cập nhật hoặc vá lỗi nếu một lỗ hổng bảo mật được tin tặc tìm thấy Do đó, cần phải nghĩ ra các cách mới để nâng cấp các hợp đồng thông minh để khắc phục các sự cố trước đó và cần mô tả lỗi và lỗ hổng bảo mật để ban hành và tiêu chuẩn hóa

2.4.2.3 Tiêu chuẩn hóa và quy định

2.4.2.4 Chi phí giao dịch và cơ sở hạ tầng đám mây

2.4.2.5 Bảo mật dữ liệu

Quyền riêng tư dữ liệu đã trở thành mối quan tâm chính đối với chính phủ, doanh nghiệp

và cá nhân Nó quan trọng hơn đối với các nhà khai thác 5G nắm giữ các thông tin khách hàng nhạy cảm bao gồm : thông tin cá nhân và chi tiết nhận dạng, thẻ tín dụng, địa chỉ chi tiết, dịch

vụ và hồ sơ sử dụng, lịch sử thanh toán Với sự ra đời của chính sách EU GDPR, các yêu cầu về quyền riêng tư đã trở nên nghiêm ngặt hơn trong hồ sơ bảo vệ và quyền sở hữu dữ liệu đối với người dùng Theo thiết kế, dữ liệu được lưu trữ hoặc được ghi lại trên một chuỗi khối không thể

Trang 16

bị xóa hoặc bị quên, vì dữ liệu Blockchain là bất biến Mặt khác, khi xem xét thiết kế quyền riêng

tư của Blockchain, sẽ không có dữ liệu cá nhân được lưu trữ trong Blockchain mà chỉ có con trỏ của thông tin đó được lưu trữ

Trang 17

CHƯƠNG III: XÁC THỰC VÀ THỎA THUẬN KHÓA CHO 5G DỰA

TRÊN BLOCKCHAIN 3.1 Kiến trúc tổng quan của mô hình giao thức AKA dựa trên Blockchain

Blockchain có thể đóng vai trò như một rào cản giữa HN và SN và có thể cung cấp một kênh chung để trao đổi thông điệp Đây là mô hình phù hợp cho chuyển vùng, nơi mà UE sử dụng một mạng khác với mạng thường trú Với số lượng khách hàng đáng kể, nhà mạng sẽ mất nhiều khách hàng trong vài năm nếu không hiểu lý do khách hàng bị xáo trộn trong khoảng thời gian đó Việc chấp nhận thuê bao mới từ các nhà mạng khác cũng sẽ tốn kém cho cả hai bên Do

đó, sẽ tốt hơn cho nhà mạng nếu giữ được khách hàng và đảm nhận dịch vụ chuyển vùng

Ngoài gánh nặng chi phí cho cả hai nhà mạng, sự di trú thuê bao cũng cũng gây ra sự không hài lòng cho khách hàng Việc cung cấp dịch vụ tới thuê bao theo cách mà các nhà mạng giữ chân khách hàng sẽ đem lại sự hài lòng cho tất cả các bên

Hình 3 1: Kiến trúc tổng quan của giao thức 5G-AKA dựa trên Blockchain

Các nhà mạng luôn cố gắng để làm hài lòng khách hàng của họ thông qua các thỏa thuận chung và sự hợp tác qua lại Họ cũng cung cấp nhiều dịch vụ cho khách hàng theo các thỏa thuận được ký kết trước đó Trước khi sử dụng bất kỳ dịch vụ nào bởi mạng tạm trú, thuê bao phải được xác thực bởi HN Xác thực không chỉ đảm bảo việc đăng ký của thuê bao tới HN mà còn cho phép mạng tạm trú truy xuất thông tin để tạo phiên làm việc cho thuê bao

Trang 18

Trong kiến trúc này SEAF chịu trách nhiệm giao tiếp với Blockchain để gửi yêu cầu xác thực tới HN Chức năng chính của giao thức ở phía SN được thực hiện trong đơn vị SEAF Do

đó, module này phải được tùy chỉnh để hỗ trợ xác thực dựa trên Blockchain Trong khi đó, gNB chỉ chuyển tiếp các bản tin UE tới đơn vị SEAF và không tham gia trực tiếp vào quá trình xác thực

Hình 3 2: Các thực thể 5G liên quan đến quá trình xác thực của giao thức 5G-AKA dựa trên

Blockchain

Hơn nữa, về phía HN, module AUSF phải được tùy chỉnh để cho phép xác thực dựa trên Blockchain AUSF chịu trách nhiệm giao tiếp với Blockchain để có được yêu cầu xác thực từ SEAF và cung cấp phản hồi Quá trình xác thực được thực hiện bởi UDM và cuối cùng được chuyển đến AUSF

Trong giao thức xác thực và thỏa thuận khóa dựa trên Blockchain cho 5G-AKA, mỗi HN tạo ra một hợp đồng thông minh (Smart Contract) và công bố địa chỉ của hợp đồng thông minh này để thông báo cho nhà mạng khác muốn cung cấp dịch vụ chuyển vùng cho các thuê bao của

HN Tất cả các giao tiếp tiếp theo giữa HN và SN đã được thực hiện bởi chức năng gọi của hợp đồng thông minh Giao thức xác thực và thỏa thuận khóa dựa trên Blockchain cho 5G-AKA có

xu hướng bảo vệ quyền riêng tư của người dùng đồng thời ngăn chặn HN khỏi các cuộc tấn công DoS bằng cách giữ cho nó không tiếp cận những kẻ tấn công hoặc các HN độc hại

Blockchain có những lợi ích như khả năng kiểm tra và không thể phủ nhận của các bản ghi Giao thức được đề xuất có thể triển khai trên bất kỳ nền tảng Blockchain phân tán nào Phòng ngừa tấn công DoS là một vấn đề quan trọng cung cấp bởi Blockchain, HN được bảo vệ chống lại các cuộc tấn công DoS bắt nguồn từ SN độc hại Hơn nữa, tính bí mật của dữ liệu nhạy cảm được bảo vệ bằng cách mã hóa tất cả các tin nhắn đã trao đổi và do đó quyền riêng tư của người dùng được đảm bảo Thông báo được mã hóa nhằm ngăn một nút Blockchain theo dõi giao dịch với mục đích trích xuất thông tin người dùng Do đó, các thành phần tham gia MNO là các nút duy nhất có thể giải mã các yêu cầu xác thực/ thông báo phản hồi

Ngày đăng: 15/04/2022, 11:02

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm