(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD

(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD(Luận văn thạc sĩ) Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

i

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn này là kết quả nghiên cứu của riêng tôi Việc sử dụng kết

quả, trích dẫn tài liệu tham khảo trên các tạp chí, các trang web tham khảo đảm bảo

theo đúng quy định Các nội dung trích dẫn và tham khảo các tài liệu, sách báo,

thông tin được đăng tải trên các tác phẩm, tạp chí và trang web theo danh mục tài

liệu tham khảo của luận văn

Tôi xin chịu hoàn toàn trách nhiệm cho lời cam đoan của mình

Tác giả luận văn

Bùi Văn Mạnh

iii

MỤC LỤC

LỜI CAM ĐOAN ……… i

LỜI CẢM ƠN ………ii

DANH MỤC HÌNH ẢNH ………vi

DANH MỤC BẢNG BIỂU ……….… viii

KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT ……….………ix

LỜI MỞ ĐẦU ………1

CHƯƠNG 1 : TỔNG QUAN VỀ MẠNG 5G ……….3

1.1 Các thế hệ mạng trước ……….3

1.2 Thế hệ mạng thứ năm (5G) ……… 4

1.2.1 Vài nét đặc trưng về 5G ………4

1.2.2 Một số đặc tính công nghệ của mạng 5G ……… 6

1.2.2.1 Mạng truy nhập vô tuyến ……….6

1.2.2.2 Massive MIMO ………8

1.2.2.3 Beamforming ………9

1.2.2.4 Kiến trúc ô nhỏ ……… 10

1.2.3 Kiến trúc mạng 5G ……… 11

1.2.4 Các kênh trên giao diện vô tuyến 5G ……… 14

1.3 Tổng kết chương ………18

CHƯƠNG 2 : AN NINH TRONG MẠNG DI ĐỘNG 5G ………19

2.1 Các đe dọa an ninh ……….19

2.1.1 Đóng giả ……… 19

2.1.2 Giám sát ……… …19

2.1.3 Làm giả ………19

2.1.4 Ăn cắp ……… 20

2.2 Nguyên tắc an ninh ……… ……… …20

2.3 An ninh truy cập mạng ……… …21

iv

2.3.1 Kiến trúc an ninh truy cập mạng ……… 21

2.3.2 Hệ thống phân cấp khóa ……… …23

2.4 Các thủ tục an ninh truy cập mạng ……….24

2.4.1 Nhận dạng che dấu đăng ký ……….…24

2.4.2 Xác thực và thỏa thuận khóa ………24

2.4.3 Kích hoạt an ninh tầng không truy cập ………27

2.4.4 Kích hoạt an ninh tầng truy cập ……… …28

2.4.5 Xử lý khóa trong khi di động ……… …29

2.4.6 Xử lý khóa trong quá trình chuyển đổi trạng thái ………30

2.4.7 Mật mã ……….……30

2.4.8 Bảo vệ tính toàn vẹn ……….……… 31

2.5 An ninh miền mạng ……… 32

2.5.1 Kiến trúc an ninh miền mạng ……… 32

2.5.2 Các giao thức an ninh miền mạng ………33

2.6 An ninh miền kiến trúc dựa trên dịch vụ ……… …….…34

2.6.1 Kiến trúc an ninh ……… …34

2.6.2 Thủ tục bắt tay ban đầu qua N32-C ……….…36

2.6.3 Chuyển tiếp bản tin được bảo vệ JOSE qua N32-f ……… …37

2.7 Tổng kết chương……… ……… …39

CHƯƠNG 3 : GIẢI PHÁP AN NINH TRONG MẠNG FRONTHAUL 5G DỰA TRÊN QKD ……… …40

3.1 Giới thiệu về QKD ……….…40

3.2 Các giải pháp QKD cho mạng Fronthaul 5G ……….…45

3.2.1 Cấu trúc liên kết sợi tối ………45

3.2.2 Cấu trúc liên kết sợi chia sẻ ……….…49

3.2.3 Cấu trúc liên kết không dây - cáp quang ……… …52

3.3 Hiệu năng của các giải pháp QKD cho mạng Fronthaul 5G ………… 54

3.3.1 Đánh giá hiệu năng của cấu trúc liên kết sợi tối ………… …54

3.3.2 Đánh giá hiệu năng của cấu trúc liên kết sợi chia sẻ ……… 56

v

3.3.3 Đánh giá hiệu năng của cấu trúc liên kết cáp quang – không dây 60 3.4 Tổng kết chương ………64 KẾT LUẬN ……… …65 DANH MỤC CÁC TÀI LIỆU THAM KHẢO ……… 66

vi

DANH MỤC HÌNH ẢNH

Hình 1.1 : Kiến trúc Standalone và Non-standalone ……….…… 5

Hình 1.2 : Cấu trúc khung vô tuyến với SCS = 30 kHz ……….7

Hình 1.3 : Kiến trúc hệ thống 5G điểm tham chiếu ……….13

Hình 1.4 : Kiến trúc hệ thống 5G dựa trên dịch vụ ……… …14

Hình 1.5 : Sắp xếp các kênh vô tuyến đường xuống ………17

Hình 1.6 : Sắp xếp các kênh vô tuyến đường lên ……….…17

Hình 2.1 : Kiến trúc bảo mật truy cập mạng……… ……22

Hình 2.2 : Các khóa bảo mật truy cập mạng……… 23

Hình 2.3 : Xác thực 5G và quy trình thỏa thuận khóa……….……25

Hình 2.4 : Quy trình lệnh của chế độ bảo mật tầng không truy cập………….……28

Hình 2.5 Thủ tục lệnh chế độ bảo mật tầng truy cập………29

Hình 2.6 : Mật mã……….…31

Hình 2.7 : Bảo vệ tính toàn vẹn……….…32

Hình 2.8 : Kiến trúc bảo mật miền mạng………33

Hình 2.9 : Kiến trúc bảo mật giao diện dựa trên dịch vụ……… …34

Hình 2.10 : Các nguyên tắc gửi thông điệp an toàn qua N32-f……….…36

Hình 2.11 : Quy trình gửi thông điệp an toàn qua N32-f………38

Hình 3.1 : Mô hình QKD cơ bản ……… …………41

Hình 3.2 : Lớp vận chuyển Giao diện vô tuyến công cộng chung (eCPRI)….……46

Hình 3.3 : Cấu trúc liên kết đa người dùng được bảo mật lượng tử với một trạm Alice tập trung và nhiều trạm Bob đặt tại các nút đầu cuối 5G………47

Hình 3.4 : Lớp vận chuyển eCPRI được bảo mật bằng lượng tử kết nối BBU và các nút đầu cuối 5G……….……50

Hình 3.5 : Cấu trúc liên kết đa người dùng được bảo mật lượng tử với một trạm Alice tập trung và nhiều trạm Bob đặt tại các nút đầu cuối 5G………52

vii

Hình 3.6 : Cấu trúc liên kết Fi-Wi hỗ trợ phân phối P2MP bảo mật bằng cách sử

Hình 3.7 : Tỷ lệ khóa an toàn (SKR) như là một hàm của chiều dài sợi, đối với

liên kết sợi tối P2P……….………54 Hình 3.8 : SKR là hàm của chiều dài sợi, đối với liên kết sợi tối P2MP phục vụ

N = 4, 16 hoặc 64 người dùng 56 Hình 3.9 : SKR là hàm của chiều dài sợi, đối với liên kết sợi chia sẻ P2P, cho cả

InGaAs và thiết lập QKD dựa trên CMOS được đảo ngược…….…56 Hình 3.10 : SKR là hàm của chiều dài sợi, đối với liên kết sợi chia sẻ P2P, cho cả

InGaA và được nâng cấp ……… … 58 Hình 3.11 : SKR là hàm của chiều dài sợi, đối với liên kết sợi chia sẻ P2MP phục

vụ N = 4, 16 hoặc 64 người dùng……… 59 Hình 3.12 : QBERRaman và QBERdark cho người dùng đầu cuối 1, 4, 16 và 64, ở

khoảng cách truyền tối đa cho mỗi trường hợp ………60 Hình 3.13 : SKR là hàm của chiều dài sợi quang, đối với cấu trúc liên kết Fi-Wi

phục vụ N = 16 hoặc 64 người dùng……… 61 Hình 3.14 : SKR là hàm của chiều dài sợi, đối với liên kết sợi chia sẻ P2MP và

đối với cấu trúc liên kết Fi-Wi phục vụ N = 64……… 62

viii

DANH MỤC BẢNG BIỂU

Bảng 1.1 : Mối quan hệ giữa µ và SCS ……… ………7 Bảng 1.2 : Số sóng mang con theo SCS và băng thông trong dải tần FR1 …………8 Bảng 1.3 : Số sóng mang con theo SCS và băng thông trong dải tần FR2 …………8 Bảng 3.1 : Minh họa giao thưc BB84 ……… ………42

ix

KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT

AMF Access and Mobility Management

Function

Chức năng quản lý truy cập và di động

AUSF Authentication Server Function Chức năng máy chủ xác thực

BCCH Broadcast Control Channel Keenh điều khiển quảng bá

CCCH Common Control Channel Kênh điều khiển chung

CDF Cumulative Distribution Function Hàm phân phối tích lũy

CDMA Code-Division Multiple Access Đa truy nhập phân chia theo mã

CSI Channel State Information Thông tin trạng thái kênh

CSI-RS CSI Reference Signal Tín hiệu tham chuẩn CSI

DCCH Dedicated Control Channel Kênh điều khiển riêng

DCI

Downlink Control Information

Thông tin điều khiển đường xuống

DFT Discrete Forrier Transform Biến đổi Forrier rời rạc

DL-SCH Downlink Shared Channel Kênh chia sẻ đường xuống

DMRS Demodulation Reference Signal Tín hiệu tham chuẩn giải điều chế DTCH Dedicated Traffic Channel Kênh lưu lượng riêng

EIRP Effective Isotropic Radiated Power

Công suất bức xạ đẳng hướng tương đương

x

EN-DC E-UTRA New Radio Dual

FDD Frequency Division Duplex Song công phân chia theo tần số FDMA Frequency Division Multion Aceess

Đa truy nhập phân chia theo tần

số

GPRS General Packet Radio Service Dịch vụ vô tuyến gói tổng hợp GSM

Global System for Mobile

Communications

Hệ thống thông tin di động toàn cầu

gNB Next Generation node B Mạng thế hệ sau (3G)

GMPLS Generalized multi-protocol label

switching

Chuyển đổi nhãn đa giao thức tổng quát

HARQ Hybrid Automatic Repeat Request Yêu cầu lặp lại tự động lai

LTE Long Term Evolution Tiến hóa dài hạn

MCS Modulation and Coding Scheme Mức mã hóa và điều chế

MIMO Multiple Input Multiple Output Nhiều đầu vào nhiều đầu ra MU-

mMTC

Massive Machine Type

Communications Truyền thông máy số lượng lớn MPLS Multi-protocol label switching Chuyển đổi nhãn đa giao thức NEF Network Exposure Function Chức năng tiếp xúc mạng

NFV Network Function Virtualization Ảo hóa chức năng mạng

NRF Network Repository Function Chức năng lưu trữ mạng

NSSF Network Slice Selection Function Chức năng lựa chọn lát cắt mạng

PBCH Physical Broadcast Channel Kênh vật lý quảng bá

PCF Policy Control Function Chức năng điều khiển chính sách

PCCH Paging Control Channel Kênh điều khiển tìm gọi

PDCCH Physical Downlink Control Channel

Kênh vật lý điều khiển đường xuống

PDSCH Physical Downlink Shared Channel Kênh vật lý chia sẻ đường xuống

xi

PHICH Physical HARQ Indicator Channel Kênh chỉ thị HARQ

PMI Precoding Matrix Indicator Bộ chỉ thị ma trận tiền mã hóa PRACH Physical Random Access Channel Kênh vật lý truy cập ngẫu nhiên PTRS Phase Tracking Reference Signal Tín hiệu tham chuẩn theo dõi pha PUCCH Physical Uplink Control Channel Kênh vật lý điều khiển đường lên PUSCH Physical Uplink Shared Channel Kênh vật lý chia sẻ đường lên RAN Radio Access Network Mạng truy nhập vô tuyến

RACH Random Access Channel Kênh truy cập ngẫu nhiên

RLC Radio Link Control Điều khiển kết nối vô tuyến RRC Radio Resource Control Điều khiển tài nguyên vô tuyến RSRP Reference Signal Received Power

Công suất thu tín hiệu tham chuẩn

SCS Subcarrier Spacing Khoảng cách sóng mang con SDN Sofware-defined Networking Mạng định nghĩa bằng phần mềm SINR

Singnal-to-interference-plus-noise

Ratio

Tỷ số tín hiệu trên tạp âm cộng nhiễu

SMF Session Management Function Chức năng quản lý phiên

SRI SRS Resounrce Indicator Chỉ thị tài nguyên SRS

SRS Sounding Reference Signal Tín hiệu tham chuẩn thăm dò UDM Unified Data Management Quản lý dữ liệu tập trung

UL-SCH Uplink Shared Channel Kênh chia sẻ đường lên

TDD Time Division Duplex

Song công phân chia theo thời gian

TDMA Time Division Multiple Access

Đa truy nhập phân chia theo thời gian

TPC Transmission Power Control Điều khiển công suất phát

TRP Total Radiated Power Tổng công suất bức xạ

TRS Tracking Reference Signal

Tín hiệu tham chuẩn theo dõi tần

số / thời gian

1

LỜI MỞ ĐẦU

Nền công nghiệp viễn thông và công nghệ thông tin đang phát triển không ngừng Thông tin di động đang là ngành thu hút được nhiều sự quan tâm hiện nay Thông tin di động bắt đầu từ 1G, nay đã phát triển lên 5G, hỗ trợ mạnh các dịch vụ đa phương tiện Tổ chức 3GPP đã phát hành các tiêu chuẩn cho hệ thống thông tin di động mới nhất hiện nay là 5G Tuy nhiên, sự phát triển của công nghệ thông tin cũng đi liền với các vấn đề về bảo mật Về mặt an ninh mạng, 5G phẳng và có kiến trúc mở hơn, do

đó dễ bị tổn thương bởi các mối đe dọa an ninh Ngoài những nguy cơ đã có đối với mạng viễn thông hiện có, thì còn có cả các nguy cơ mất an toàn đối với mạng IP như là Virus, Trojan, các loại tấn công từ chối dịch vụ DOS và DDOS, phần mềm rác, thư rác, phần mềm độc hại, giả mạo IP, các vấn đề mất an ninh như nghe trộm, nghe lén, đánh cắp thông tin và các hình thức lừa đảo đối với người dùng cùng nhiều biến thể khác của cuộc tấn công mạng… Các nguy cơ tồn tại đối với mạng 5G là hiện hữu, tuy nhiên các nhà cung cấp dịch vụ cũng như người dùng chưa dành sự quan tâm thích đáng cũng như có những kế hoạch đảm bảo an ninh phù hợp đối với các nguy cơ này Do đó cần

có sự quan tâm thích đáng đối với vấn đề an ninh trong mạng 5G

Một số vấn đề về an toàn và bảo mật trên mạng viễn thông 5G cần được giải quyết trên nền tảng phân tích tổng hợp các nguy cơ mất an toàn và kiến trúc mạng lõi 5G Với khả năng hỗ trợ đa nền tảng truy cập và siêu kết nối, 5G chứa đựng nhiều nguy

cơ về an ninh Do số lượng thiết bị truy cập lớn, khả năng kiểm soát an ninh và các lỗ hổng phát sinh từ phía người sử dụng là một trong những vấn đề đối với mạng 5G Dữ liệu mạng lưới hoàn toàn có thể bị lấy cắp thông qua việc kiểm soát truy cập tại các thiết bị đầu cuối

Đối với mạng 5G các mối đe dọa xảy ra ở bất kỳ nút nào trong mạng lưới cũng

có khả năng đe dọa tới toàn bộ mạng lưới và gây ra các sự cố trên diện rộng Khi số lượng các nút mạng gia tăng, các kho dữ liệu mà tin tặc có thể xâm nhập cũng tăng theo, đồng thời gia tăng nguy cơ tấn công và mất cắp dữ liệu với quy mô lớn và trong thời gian ngắn

2 Ngoài ra đối với mạng 5G, do kết cấu hạ tầng mạng phức tạp và tiềm ẩn nhiều

kẽ hở, các dịch vụ trọng yếu có khả năng bị kiểm soát thông qua đó phá hoại kết cấu hạ tầng mạng viễn thông, gây gián đoạn, làm giảm chất lượng đường truyền, ảnh hưởng lớn đến vấn đề an ninh kinh tế, an ninh quốc phòng không chỉ một quốc gia mà có thể

cả một nhóm quốc gia, thậm chí an ninh quốc tế Các loại tấn công từ chối dịch vụ DDoS cũng có thể xảy ra đối với mạng 5G trong các giai đoạn khác nhau Kẻ chủ đích

có thể lợi dụng các lỗ hổng thông tin phát tán mã độc, thông qua mạng liên lạc nhanh chóng xâm nhập vào các nút mạng và các thiết bị đầu cuối, sau khi đã đạt được một khối lượng đủ lớn thì chúng bắt đầu cuộc tấn công

Hiện nay trên thế giới, đã có nhiều nước triển khai 5G và Việt Nam cũng đang trên đà phát triển 5G theo tiêu chuẩn này trong những năm tới Việc nghiên cứu an ninh trong hệ thống thông tin di động 5G là bước chuẩn bị cần thiết để sẵn sàng cho việc triển khai thương mại hóa trong tương lai

Vì vậy, luận văn em lựa chọn mang tên “Giải pháp an ninh trong mạng

FRONTHAUL 5G dựa trên QKD” , trong đó sẽ tập trung nghiên cứu tổng quan về

mạng di động 5G, các nguy cơ an ninh và giải pháp an ninh của mạng 5G để từ đó đề xuất giải pháp an ninh dựa trên phân phối khóa lượng tử (QKD) cho mạng fronthaul 5G

Các nội dung của lận văn được tóm tắt lại như sau :

Chương 1 : Tổng quan về mạng 5G Bao gồm lịch sử các thế hệ tiền

nhiệm, đặc trưng cơ bản, đặc tính công nghệ, kiến trúc mạng và các kênh trên giao diện

vô tuyến 5G

Chương 2 : An ninh trong mạng di động 5G Trong chương này trình

bày : Các đe dọa anh ninh, Các yêu cầu an ninh trong mạng di động 5G, Kiến trúc an ninh trong mạng di động 5G

Chương 3 : Giải pháp an ninh trong mạng FRONTHAUL 5G dựa trên QKD Trong chương này trình bày : Giới thiệu về QKD, Các giải pháp QKD cho

mạng fronthaul 5G, Hiệu năng của các giải pháp QKD cho mạng fronthaul 5G

23 Lưu lượng tầng truy cập được mã hóa giống như báo hiệu Một tính năng mới trong 5G là lưu lượng tầng truy cập cũng có thể được bảo vệ bằng tính năng bảo vệ tính toàn vẹn và phát lại, mặc dù điều đó chỉ được hỗ trợ trong các tùy chọn kiến trúc 2 và 4 cho các kênh mang kết cuối trong gNB chính

2.3.2 Hệ thống phân cấp khóa

An ninh truy cập mạng dựa trên kiến thức được chia sẻ về khóa dành riêng cho người dùng, K, được lưu trữ an toàn trong ARPF và được phân phối an toàn trong UICC Trong thủ tục xác thực, thiết bị di động và mạng xác nhận với nhau có giá trị chính xác là K Sau đó, chúng tính toán một hệ thống phân cấp các khóa cấp thấp hơn, được minh họa trong Hình 2.2 và được sử dụng bởi các thủ tục cấp thấp hơn [2]

Hình 2.2 : Các khóa bảo mật truy cập mạng

Từ K, ARPF và UICC lấy ra hai khóa khác, được ký hiệu là CK và IK Hệ thống 3G sử dụng trực tiếp các khóa đó để giải mật mã và bảo vệ tính toàn vẹn Trong 5G, chúng được sử dụng để lấy một chuỗi các khóa cấp thấp hơn, được ký hiệu là KAUSF,

KSEAF, KAMF và KgNB, và được chuyển tới AUSF, SEAF, AMF và nút chính tương ứng

Từ KAMF, thiết bị di động và AMF lấy ra hai khóa khác, được ký hiệu là KNASenc và

truy cập Tương tự, thiết bị di động và nút chính lấy thêm bốn khóa nữa, được ký hiệu

vẹn của các bản tin báo hiệu điều khiển tài nguyên vô tuyến (RRC) và lưu lượng mặt

24 phẳng người dùng Mỗi bộ khóa được nhận dạng bằng một nhận dạng bộ khóa, ký hiệu

là ngKSI

K có 128 hoặc 256 bit, trong khi CK và IK có 128 bit mỗi loại Các khóa khác đều có 256 bit, nhưng các thuật toán mã hóa và bảo vệ tính toàn vẹn hiện tại chỉ sử dụng 128 bit ít quan trọng nhất Những tiến bộ trong công nghệ máy tính trong tương lai có thể khiến khóa 128 bit không an toàn, nhưng cũng có thể làm cho việc sử dụng khóa 256 bit khả thi hơn Nếu điều đó xảy ra, thì 5G sẽ có thể nâng cấp các thuật toán của mình để hỗ trợ các khóa 256-bit một cách dễ dàng

2.4 Các thủ tục an ninh truy cập mạng

2.4.1 Nhận dạng che dấu đăng ký

Thông thường, thiết bị di động tự nhận dạng với mạng lõi 5G bằng cách sử dụng nhận dang tạm thời duy nhất trên toàn cầu 5G, từ đó AMF phục vụ của nó có thể truy xuất số nhận dạng vĩnh viễn của đăng ký tương ứng Tuy nhiên, có một vài tình huống

mà thủ tục đó không thành công Các ví dụ bao gồm lần đầu tiên sử dụng Mô-đun nhận dạng thuê bao chung (USIM), khi nhận dạng tạm thời chưa tồn tại hoặc sau sự cố cơ sở

dữ liệu trong mạng

Trong các thế hệ trước, điện thoại di động phản ứng bằng cách trích dẫn nhận dạng vĩnh viễn của nó Điều đó để lại một điểm yếu bảo mật, mà 5G sẽ giải quyết bằng cách sử dụng SUCI Trong SUCI, nhận dạng của điện thoại di động được che giấu bằng phương pháp mã hóa khóa công khai, sử dụng khóa công khai mà nhà khai thác mạng nhà đã cung cấp trong USIM Mã mạng di động và mã quốc gia di động được để ở dạng văn bản thuần túy, do đó, thông tin có thể được chuyển đến đúng mạng nhà, mạng này khôi phục nhận dạng của thiết bị di động bằng cách sử dụng khóa riêng mà UDM lưu trữ trong ARPF Thuật toán được sử dụng được gọi là lược đồ mã hóa tích hợp đường cong elliptic (ECIES), có lợi thế hơn các kỹ thuật khóa công khai khác là đạt được cùng mức độ bảo mật bằng cách sử dụng các khóa ngắn hơn đáng kể

2.4.2 Xác thực và thỏa thuận khóa

Tùy thuộc vào các chính sách nội bộ của mình, AMF bắt đầu xác thực trong bất

kỳ quy trình nào đưa thiết bị di động từ CM-IDLE sang CM-CONNECTED Hình 2.3 cho thấy một trong những thủ tục xác thực có thể dẫn đến kết quả gọi là xác thực 5G và thỏa thuận khóa [3]

25

Hình 2.3 : Xác thực 5G và quy trình thỏa thuận khóa

Nausf_UEAuthentication Xác thực đăng tải / Xác thực

UE ( SUPI hoặc SUCI, cung cấp tên mạng )

Xác thực Nudm_UEAuthentication nhận đăng tải / Thông tin bảo mật {Supi hoặc Suci} tạo dữ liệu xác thực ( Cung cấp tên mạng )

200 OK (RAND, XRES * , AUTN, K AUSF , [SUPI])

HTTP HTTP

201 Tạo (RAND, HXRES * , AUTN, K SEAF )

Yêu cầu xác thực (RAND, AUTN )

UICC ME SEAF (in AMF) UICC ARPF, SIDP (in UDM)

9 Tính toán HRES*, So sánh HRES* Với HXRES*

7 Tinh toán RES *

So sánh RES * với XRES *

HTTP HTTP

Nudm_UEAuthentication Xác nhận kết quả thông báo sự kiện

đăng tải /{supi}/auth-events HTTP HTTP

26 Được kích hoạt bởi một bản tin báo hiệu chẳng hạn như yêu cầu đăng ký, AMF chọn một AUSF trong mạng nhà của thiết bị di động và yêu cầu nó xác thực thiết bị di động (bước 1) Các yếu tố thông tin bao gồm tên mạng phục vụ được xây dựng từ mã mạng di động và mã quốc gia di động tương ứng, cũng như nhận dạng vĩnh viễn hoặc được che giấu của người đăng ký Khi nhận được yêu cầu, AUSF trước tiên sẽ kiểm tra xem AMF có được quyền sử dụng tên mạng phục vụ hay không Sau đó, nó chuyển tiếp thông tin đến UDM, tạo ra một tài nguyên mới bao gồm nhận dạng của người đăng

AUSF lưu trữ XRES * để sử dụng sau này theo thủ tục xác thực của mạng nhà

và tính toán một phiên bản dẫn xuất, được ký hiệu là HXRES *, được sử dụng để xác thực trong mạng đã truy cập (mạng khách) (bước 3,4) (Ở đây, tiền tố H không liên quan gì đến mạng nhà: thay vào đó, nó chỉ ra rằng HXRES * được tính bằng thuật toán băm.) AUSF cũng lưu trữ bất kỳ nhận dạng vĩnh viễn bất kỳ mà nó nhận được từ UDM

và tính toán khóa neo của mạng khách KSEAF Sau đó, nó chuyển tiếp tài liệu xác thực

có liên quan đến AMF và cung cấp mã định danh tài nguyên thống nhất (URI) mà AMF sẽ sử dụng cho việc xác nhận tiếp theo (bước 5) Đổi lại, AMF gửi số ngẫu nhiên

và mã thông báo xác thực đến thiết bị di động (bước 6)

Bên trong thiết bị di động, thiết bị di động sẽ gửi số ngẫu nhiên và mã thông báo xác thực đến UICC Trong UICC, ứng dụng USIM kiểm tra mã thông báo xác thực để kiểm tra xem mạng có cùng giá trị K và số thứ tự kèm theo chưa được sử dụng trước

đó hay không Nếu nó hài lòng, thì nó sẽ tính toán phản hồi xác thực đã được sử dụng

27 trong các thế hệ 3GPP trước đó, được ký hiệu là RES, bằng cách kết hợp RAND với bản sao K của chính nó Nó chuyển phản hồi đó trở lại thiết bị di động, cùng với các giá trị của CK và IK từ Hình 2.3 Thiết bị di động kết hợp RES với sự hiểu biết riêng của nó về tên mạng phục vụ, để tính toán phản hồi xác thực 5G RES * (bước 7) Nó cũng sử dụng CK và IK để tính toán các giá trị của KAUSF, KSEAF và KAMF trên thiết bị

di động Mặc dù hơi phức tạp nhưng quy trình này cho phép thiết bị di động truy cập vào mạng lõi 5G bằng USIM cũ và đảm bảo rằng các nhà khai thác mạng 5G không nhất thiết phải thay thế thẻ SIM của người đăng ký

Sau đó, điện thoại di động trả về phản hồi xác thực cho AMF Điều đó tính toán một phiên bản băm của phản hồi của thiết bị di động, được ký hiệu là HRES * và so sánh nó với giá trị của HXRES * từ trước đó (bước 9) Nếu cả hai giống nhau, thì nó kết luận rằng điện thoại di động có giá trị chính xác của K và do đó đã được xác thực thành công AMF xác nhận xác thực bằng cách sử dụng URI mà nó nhận được từ AUSF và bao gồm phản hồi ban đầu RES * của thiết bị di động (bước 10)

AUSF so sánh phản hồi của thiết bị di động với phản hồi dự kiến XRES * (bước 11) Nếu cả hai giống nhau, thì AUSF không chỉ kết luận rằng điện thoại di động được xác thực mà còn cả mạng phục vụ trích dẫn cùng một mã mạng và mã quốc gia cho mạng nhà và cho điện thoại di động Bằng cách kết hợp điều này với kết luận trước đó rằng AMF được quyền sử dụng các mã đó, AUSF kết luận rằng mạng phục vụ là chính hãng AUSF trả về một xác nhận cho AMF và bao gồm nhận dạng vĩnh viễn bất kỳ mà

nó đã truy xuất trước đó (bước 12) Khi nhận được xác nhận đó, AMF tính khóa KAMF

Để kết thúc thủ tục, AUSF gửi xác nhận đến UDM rằng thiết bị di động đã được xác thực thành công (bước 13) Sau đó, UDM có thể liên kết xác nhận đó với các thủ tục tiếp theo Ví dụ: nó có thể chỉ chấp nhận yêu cầu đăng ký điện thoại di động của mạng phục vụ, nếu điện thoại di động gần đây đã được xác thực bởi cùng một mạng phục vụ

2.4.3 Kích hoạt an ninh tầng không truy cập

Khi kết thúc thủ tục xác thực, thiết bị di động và AMF đều có các giá trị mới của

KAMF Trong quy trình kích hoạt an ninh, hai thiết bị lấy ra các khóa để giải mật mã và bảo vệ tính toàn vẹn, và đưa các khóa đó vào hoạt động [4]

AMF kích hoạt an ninh tầng không truy cập ngay sau khi xác thực và thỏa thuận khóa, như trong Hình 2.4 Từ KAMF, AMF tính toán mật mã và khóa toàn vẹn KNASenc