Nghiên cứu một số cơ chế bảo mật cho mạng thông tin di động 5g

Với những yêu cầu và thách thức đặt ra nói trên, luận văn “Nghiên cứu một số cơ chế bảo mật cho mạng thông tin di động 5G” tiến hành nghiên cứu các giải pháp bảo mật an ninh của mạng thô

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

-

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH: KỸ THÔNG VIỄN THÔNG/ KỸ THUẬT ĐIỆN TỬ

TÊN ĐỀ TÀI NGHIÊN CỨU MỘT SỐ CƠ CHẾ BẢO MẬT CHO

MẠNG THÔNG TIN DI ĐỘNG 5G

HỌC VIÊN THỰC HIỆN: ĐẶNG TRUNG KIÊN

HÀ NỘI - 10/2021

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

HỌC VIÊN THỰC HIỆN: ĐẶNG TRUNG KIÊN

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

MÃ SỐ: 852.0208

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS LÊ TRUNG THÀNH

HÀ NỘI – 10/2021

LỜI CAM ĐOAN

Tôi xin cam đoan các kết quả được trình bày trong luận văn là công trình nghiên cứu của tôi dưới sự hướng dẫn của các cán bộ hướng dẫn Các số liệu, kết quả trong luận văn là hoàn toàn trung thực và chưa được ai công bố trong bất kỳ công trình nào trước đây Các kết quả được sử dụng để tham khảo đều đã được trích dẫn đầy đủ và theo đúng quy định

Hà Nội, ngày tháng 10 năm 2021

Học viên

Đặng Trung Kiên

LỜI CẢM ƠN

Trong quá trình nghiên cứu và hoàn thiện luận văn “Nghiên cứu một số cơ

chế bảo mật cho mạng thông tin di động 5G”, tôi đã nhận được nhiều sự giúp đỡ

và đóng góp quý báu

Đầu tiên, tôi bày tỏ lòng biết ơn sâu sắc tới Thầy giáo hướng dẫn là PGS TS

Lê Trung Thành - Chủ nhiệm Khoa Quốc tế - Đại học Quốc gia Hà Nội Thầy đã luôn ủng hộ, động viên, tận tình giúp đỡ và hỗ trợ những điều kiện tốt nhất cho tôi trong suốt quá trình nghiên cứu và hoàn thiện luận văn

Tôi xin chân thành cảm ơn cơ sở đào tạo là Trường Đại học Mở Hà Nội đã tạo điều kiện thuận lợi cho tôi hoàn thành chương trình học tại Trường

Cuối cùng, tôi xin bày tỏ lòng cảm ơn đến gia đình, anh em, bạn bè, các đồng chí, đồng nghiệp đã động viên và cổ vũ tôi trong suốt thời gian nghiên cứu

Xin trân trọng cảm ơn tất cả!

MỤC LỤC

Lời cam đoan i

Lời cảm ơn i

Danh mục các từ viết tắt v

Danh mục bảng vii

Danh mục hình viii

MỞ ĐẦU 1

1 Lý do lựa chọn đề tài 1

2 Tổng quan về vấn đề nghiên cứu 2

3 Mục đích nghiên cứu 3

4 Đối tượng nghiên cứu 3

5 Phương pháp nghiên cứu 3

6 Phạm vi nghiên cứu 3

7 Bố cục của luận văn tốt nghiệp 3

Chương 1 TỔNG QUAN VỀ CÁC VẤN ĐỀ BẢO MẬT TRONG CÁC MẠNG THÔNG TIN DI ĐỘNG 6

1.1 Thực trạng vấn đề bảo mật trong các mạng thông tin di dộng trên thế giới và tại Việt Nam 6

1.1.1 Tấn công mạng di động trên thế giới 7

1.1.2 Tấn công mạng di động ở Việt Nam 8

1.2 Tổng quan về mạng thông tin di động 5G 9

1.2.1 Các thành phần cơ bản trong kiến trúc mạng 5G 9

1.2.2 Các giao diện trong mạng 5G 12

1.3 Yêu cầu bảo mật mạng 5G 15

1.4 Kiến trúc bảo mật mạng 5G 16

1.4.1 Xác thực và khoá gốc 18

1.4.2 Bảo mật dữ liệu mặt phẳng người dùng và mặt phẳng điều khiển 19

1.4.3 Bảo vệ tính toàn vẹn cho dữ liệu mặt phẳng điều khiển 19

1.4.4 Nhận thực EPS và thủ tục thỏa thuận khóa (EPS-AKA) 19

1.4.5 Thuật toán mã hóa và toàn vẹn EPS 23

1.5 Các cơ chế bảo mật mạng 5G 25

1.5.1 Nhận dạng người dùng 25

1.5.2 NAS Security 25

1.5.3 AS Security 27

1.5.4 IPSec 28

1.5.5 Cơ chế bảo vệ bản tin trong giao tiếp 28

1.6 Kết luận chương 1 30

Chương 2 NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG THÔNG TIN DI DỘNG 5G 31

2.1 Những hiểm họa đối với máy di động 31

2.1.1 Worms 31

2.1.2 Zombies 32

2.1.4 Viruses 32

2.1.5 Trojan Horses 32

2.1.6 Logic Bombs 33

2.1.7 Trap Doors 34

2.1.8 Phishing Scam 34

2.1.9 Spyware 34

2.2 Các kiểu tấn công trên mạng di động 34

2.2.1 Phân loại các kiểu tấn công 34

2.2.2 Một số kiểu tấn công điển hình 36

2.2.3 Mối đe dọa trên các phần tử mạng 40

2.3 Các giải pháp bảo vệ mạng 5G 44

2.3.1 Bảo vệ chống lại Malware 49

2.3.2 Bảo vệ bằng bức tường lửa 49

2.3.3 Bảo vệ mạng bằng hệ thống phát hiện và ngăn ngừa xâm nhập 51

2.3.4 Bảo vệ mạng bằng VPN 52

2.3.5 Bảo vệ trên từng phần tử mạng 52

2.4 Kết luận chương 2 56

Chương 3 NGHIÊN CỨU CƠ CHẾ IP SECURITY TRONG BẢO MẬT MẠNG 5G 57 3.1 Tổng quan IP Security 57

3.1.1 Tổng quan về giao thức bảo mật IPSec 57

3.1.2 Tính năng của IPSec 58

3.1.3 Kiến trúc và các chế độ hoạt động của IPSec 59

3.1.4 Bộ giao thức IPSec và cơ chế hoạt động của bộ giao thức IPSec 62

3.1.5 Cách thức hoạt động của IPSec 66

3.1.6 Ưu điểm và khuyết điểm của IPSec 67

3.2 Cơ chế IPSec trong mạng thông tin di động hiện nay 68

3.2.1 IPSec trong Control plane 69

3.2.2 IPSec trong User plane 69

3.3 Kết luận chương 3 70

Chương 4 MÔ PHỎNG BẢO MẬT GÓI TIN BẰNG IPSEC 71

4.1 Mô phỏng bảo mật gói tin bằng IPSec Error! Bookmark not defined. 4.1.1 Cài đặt môi trường 71

4.1.2 Mô phỏng quá trình tấn công 71

4.1.3 Thiết lập IPSec bảo mật gói tin 73

4.2 Kết luận chương 4 79

KẾT LUẬN 80

1 Các kết quả nghiên cứu của luận văn 80

2 Hướng phát triển của luận văn 81

TÀI LIỆU THAM KHẢO 82

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt Nghĩa Tiếng Anh Nghĩa Tiếng Việt

AKA Authentication and Key

IMEI International Mobile Equipment

MME Mobility Management Entity Thực thể quản lý di động

3GPP 3rd Generation Partnership Dự án đối tác thế hệ thứ 3

SAE System Architecture Evolution Kiến trúc tiến hóa hệ thống

SNID Serving Network Identity Số nhận dạng mạng

SON Self Organizing Network Khắc phục sự cố theo công nghệ

mạng

UICC Universal Integrated Circuit

SCMA Sparse Code Multiple Access Đa truy nhập mã thưa

EPS Encapsulation Security Payload Giao thức đóng gói tải bảo mật

OFDMA Orthogonal Frequency Division

Multiple Access

Kỹ thuật đa truy nhập phân chia theo tần số trực giao

OFDM

Orthogonal Frequency Division Multiplexing

Ghép kênh phân chia theo tần số trực giao

DANH MỤC BẢNG

Bảng 2.1 Giải pháp chống lại các dạng tấn công cụ thể 48 Bảng 3.1 Các giao thức trong mô hình TCP/IP và OSI ……… … 57

DANH MỤC HÌNH

Hình 1.1 Kiến trúc mới về mạng 5G 11

Hình 1.2 Filtered-OFDM giúp mềm dẻo các tham số dạng sóng thể hiện đa truy nhập mã thưa 13

Hình 1.3 Ghép kênh SCMA và chòm sách mã thấp 14

Hình 1.4 Kiến trúc bảo mật 3GPP TS 33.401 (EPS) 17

Hình 1.5 Quá trình AKA 20

Hình 1.6 Hệ thống phân cấp khóa TS 33.401 trong LTE 21

Hình 1.7 Thuật toán mã hóa 128-EEA1 SNOW 3G 24

Hình 1.8 Thuật toán toàn vẹn EIA2 AES [5] 25

Hình 1.9 Lựa chọn giải thuật toàn vẹn và tính toán các khóa cho NAS 26

Hình 1.10 Lựa chọn giải thuật toàn vẹn và tính toán các khóa cho AS 27

Hình 1.11 Các mặt phẳng trong mạng di động hiện nay 29

Hình 2.1 Tấn công theo dõi thiết bị và nhận dạng 36

Hình 2.2 Kiến trúc tấn công DoS điển hình 37

Hình 2.3 Tấn công Overbilling 38

Hình 2.4 Server lưu trữ thông tin thuê bao và xác thực 39

Hình 2.5 Tấn công chặn cuộc gọi 39

Hình 2.6 Tấn công gây nhiễu giao diện vô tuyến UE 40

Hình 2.7 Tấn công khả dụng trên eNB và Core 40

Hình 2.8 Bảo vệ bằng tường lửa 50

Hình 2.9 Bảo vệ mạng bằng Firewall và IDP 51

Hình 3.1 Protocols trong mô hình TCP/IP và OSI 57

Hình 3.2 Kiến trúc IPSec 59

Hình 3.3 Các chế độ hoạt động của IPSec 61

Hình 3.4 IP SA 63

Hình 3.5 Giao thức AH 65

Hình 3.6 Giao thức ESP 66

Hình 3.7 Cơ chế bảo mật IPSec ở đường liên kết backhaul trong mạng di

động 4G LTE hiện nay 68

Hình 4.1 Cài đặt môi trường 71

Hình 4.2 Kẻ tấn công đóng giả địa chỉ Server 72

Hình 4.3 Kẻ tấn công đóng giả địa chỉ Client 72

Hình 4.4 Kẻ tấn công nghe lén gói tin 72

Hình 4.5 Người dùng truy cập vào địa chỉ Server 73

Hình 4.6 Kẻ tấn công lấy được thông tin của nạn nhân 73

Hình 4.7 Dữ liệu gói tin bắt được phía Server 73

Hình 4.8 Thiết lập IPSec phía Server 74

Hình 4.9 Thiết lập IPSec phía Client 75

Hình 4.10 Kẻ tấn công nghe lén gói tin 75

Hình 4.11 Dữ liệu gói tin bắt được phía Server 75

Hình 4.12 Địa chỉ IPv6 phía Server 76

Hình 4.13 Địa chỉ IPv6 phía Server 76

Hình 4.14 Người dùng truy cập vào địa chỉ Server 77

Hình 4.15 Dữ liệu gói tin bắt được phía Server 77

Hình 4.16 Thiết lập IPSec phía Server 77

Hình 4.17 Thiết lập IPSec phía Client 78

Hình 4.18 Dữ liệu gói tin bắt được phía Server 78

MỞ ĐẦU

1 Lý do lựa chọn đề tài

Dự kiến đến năm 2021 sẽ có khoảng 50 tỷ thiết bị có khả năng nối mạng và bài toán đặt ra việc phát triển một nền tảng công nghệ di động mới có khả năng kết nối tất cả thiết bị trên Ngay từ khi chúng ta bắt đầu triển khai mạng 4G LTE thì nó đóng góp nhiều lợi ích trong cuộc sống thường ngày Ngoài việc giúp thông tin liên lạc liền mạch và tốc độ truyền tải dữ liệu nhanh hơn, nó còn mang lại nhiều dịch vụ giải trí và ứng dụng trong công việc như giám sát các phương tiện giao thông, hỗ trợ dịch vụ trực tuyến như xem phim giải trí, gọi điện video, hội nghị truyền hình, dịch

vụ internet Tuy nhiên chất lượng dịch vụ vẫn chưa thỏa mãn được nhu cầu cho người dùng do tốc độ đường truyền dữ liệu còn hạn chế nhất là những dịch vụ như xem phim trực tuyến chất lượng cao, nghe nhạc chất lượng cao, chơi game hay các dịch vụ định vị… Để giải quyết những vấn đề tồn tại này và mang lại trải nghiệm tốt nhất cho người sử dụng, việc phát triển một thế hệ mạng thông tin di động mới được xem là xu hướng tất yếu hiện nay

Việc triển khai mạng thông tin di động 5G ở các nước và đặc biệt tại Việt nam là cần thiết vì lợi ích mà nó mang lại như tăng tốc độ và chất lượng truyền tải của các dịch vụ lướt web, dịch vụ trực tuyến với độ trễ đường truyền thấp và hầu như không bị trễ công nghệ di động 5G cho phép người dùng sử dụng tốc độ truyền tải dữ liệu có thể gấp hơn 100 lần tốc độ băng thông cao nhất của dịch vụ 4G LTE hiện tại có thể mang lại Nó sẽ mang lại cơ hội khai thác doanh thu mới cho các nhà mạng khi băng rộng di động trở nên ngày càng mở rộng mạnh mẽ giúp hoạt động hiệu quả hơn

Loài người đang bước vào kỷ nguyên công nghệ số, công nghệ mạng 5G được kỳ vọng sẽ giúp hiện thực điều đó một cách nhanh chóng Người sử dụng sẽ được trải nghiệm các dịch vụ với chất lượng cao, kiểm soát tốt hơn mọi mặt trong cuộc sống Tuy nhiên, những thách thức về an toàn thông tin mà mạng di động 5G

sẽ phải đối mặt trong tương lai là không hề nhỏ Với xu thế triển khai mạng 5G để

mang lại tốc độ truyền tải nhanh hơn thì phải đánh đổi việc bỏ qua một số biện pháp bảo mật, vì vậy nguy cơ mất an toàn thông tin đặt ra nhiều thách thức Sự phát triển quá nhanh của công nghệ di động cũng đồng nghĩa với việc quản lý lĩnh vực thông tin ngày càng khó khăn và phức tạp Việc truy cập Internet tốc độ cao và các thiết bị đầu cuối di động đều hỗ trợ công nghệ 5G thì bất kì ai cũng có thể trở thành nguồn cung cấp và tiếp nhận thông tin Điều này khiến các hacker có thể lợi dụng các thiết

bị điện thoại di động như một máy trạm, chúng tấn công mạng và sử dụng thiết bị di dộng khác gây lây nhiễm mã độc dẫn đến người dùng bị đánh cắp thông tin cá nhân liên quan đến ngân hàng, danh bạ, địa chỉ cá nhân nơi ở, nơi làm việc… gây nên những hậu quả khôn lường Tuy nhiên cho đến khi thời điểm công nghệ 5G đạt đến

độ phát triển chín muồi thì thời gian còn khá dài để các nhà khoa học nghiên cứu và đưa ra giải pháp bảo vệ an ninh thông tin tối ưu nhất cho hệ thống

Với những yêu cầu và thách thức đặt ra nói trên, luận văn “Nghiên cứu một

số cơ chế bảo mật cho mạng thông tin di động 5G” tiến hành nghiên cứu các giải pháp bảo mật an ninh của mạng thông tin di dộng 5G từ đó khảo sát giao thức IPSec hiện nay và cơ chế bảo mật của IPSec có thể áp dụng trong mạng 5G

2 Tổng quan về vấn đề nghiên cứu

5G là thế hệ tiếp theo của công nghệ truyền thông di động sau thế hệ 4G Về

cơ bản, 5G bao gồm 2 dải tần có tần số hoạt động khác nhau gồm: 5G sub-6GHz (viết tắt là sub-6), và mmWave (Milimeter Wave) Theo các nhà phát triển, mạng 5G sẽ có tốc độ nhanh hơn khoảng 100 lần so với mạng 4G hiện nay, giúp mở ra nhiều khả năng mới và hấp dẫn

Với bất kỳ mạng IP nào, việc đảm bảo an ninh an toàn thông tin là rất quan trọng, đặc biệt với mạng 5G là một mạng di động All-IP Trong đó, IPSec là tập hợp các dịch vụ an ninh được đề xuất bao gồm điều khiển truy nhập, tính toàn vẹn dữ liệu, xác thực dữ liệu gốc, bảo vệ chống phát lại (một dạng của tính toàn vẹn trình dự), bảo mật (mã hóa) và bảo mật luồng lưu lượng hạn chế Chúng cung cấp một giải pháp an toàn dữ liệu đầu – cuối trong bản thân cấu trúc mạng Nhờ vào những

ưu điểm trên mà IPSec đã được ứng dụng nhiều trong mạng riêng ảo - Virtual

Private Network (VPN)

Do vậy tôi đã tiến hành thực hiện đề tài luận văn nghiên cứu để làm rõ thêm

về các vấn đề bảo mật và giải pháp trong mạng thông tin di động 5G và tìm hiểu sâu hơn về giao thức IPSec trong mạng 5G

3 Mục đích nghiên cứu

Luận văn tập trung nghiên cứu, tìm hiểu các vấn đề cơ bản về bảo mật trong mạng thông tin di động 5G, trình bày được các nguy cơ, mối đe dọa có thể xảy đến khi triển khai mạng 5G, từ đó đưa ra các giải pháp bảo mật tương ứng, và tìm hiểu chuyên sâu về giao thức bảo mật IPSec

4 Đối tượng nghiên cứu

Đối tượng nghiên cứu của luận văn là một số cơ chế bảo mật trong hệ thống mạng thông tin di động 5G

5 Phương pháp nghiên cứu

Luận văn kết hợp hai phương pháp nghiên cứu bao gồm:

Thứ nhất là phương pháp nghiên cứu lý thuyết: tổng hợp, thu thập, nghiên cứu tài liệu về các vấn đề rủi ro, loại tấn công trong hệ thống mạng 5G, đồng thời tìm hiểu chuyên sâu về giao thức bảo mật IPSec

Thứ hai là phương pháp nghiên cứu thực nghiệm: Phân tích phương thức tấn công để đưa ra giải pháp cụ thể trong mạng thông tin di động 5G, và ứng dụng giao thức IPSec trong bảo mật truyền gói tin

6 Phạm vi nghiên cứu

Phạm vi nghiên cứu của luận văn là bảo mật và giải pháp trong mạng thông tin di động 5G

7 Bố cục của luận văn tốt nghiệp: Nội dung của luận văn được trình bày gồm bốn

chương, cụ thể như sau:

Chương 1 Tổng quan về các vấn đề bảo mật trong các mạng thông tin

di động

Nghiên cứu một cách tổng quan về vấn đề bảo mật trong các mạng thông tin

di động nói chung và mạng thông tin di động 5G nói riêng:

Trình bày thực trạng vấn đề bảo mật trong các mạng thông tin di động trên thế giới và tại Việt Nam như các cách tấn công bảo mật thông dụng, hậu quả của việc bị tấn công và một vài giải pháp khắc phục

Giới thiệu tổng quan về mạng thông tin di động 5G, mô hình khái quát, các thành phần giả định trong kiến trúc mạng 5G và các vấn đề liên quan

Luận văn đưa ra các yêu cầu về bảo mật mạng dựa theo tiêu chuẩn 3GPP, từ

đó trình bày tổng quan về kiến trúc bảo mật 5G trên các miền bảo mật khác nhau và các cơ chế bảo mật trong mạng 5G

Chương 2 Nghiên cứu các giải pháp bảo mật trong mạng thông tin di động 5G

Luận văn tập trung nghiên cứu về các giải pháp bảo mật, ngăn chặn tấn công tương ứng với các rủi ro, mối đe dọa có thể xảy đến khi triển khai mạng thông tin di động 5G

Trình bày những hiểm họa đối với các thiết bị di dộng như worms, Virus, spyware,…cùng các kiểu tấn công trên mạng di dộng, một số kiểu tấn công điển hình và các mối đe dọa trên các phần tử mạng 5G

Từ những kiểu tấn công trên, luận văn đề xuất các giải pháp tương ứng cụ thể trong mạng thông tin di động 5G, trong đó bao gồm giải pháp IP Security

Chương 3 Nghiên cứu cơ chế IP Security trong bảo mật mạng 5G

Trong chương này, luận văn nghiên cứu về giao thức IPSec và áp dụng cơ chế IPSec ở đường liên kết backhaul trong mạng thông tin di động hiện nay

Giới thiệu tổng quan về giao thức bảo mật IP Security, khảo sát giao thức bảo mật IPSec, nghiên cứu cơ chế IPSec để bảo vệ mặt phẳng điều khiển miền mạng, bảo vệ mặt phẳng người sử dụng ở đường liên kết backhaul trong mạng thông tin di động hiện nay

Chương 4 Mô phỏng bảo mật gói tin bằng IPSec

Từ những nghiên cứu đã đạt được, đưa ra mô phỏng và cách hoạt động khi truyền gói tin được bảo mật bằng giao thức IPSec hiện nay

Chương 1 TỔNG QUAN VỀ CÁC VẤN ĐỀ BẢO MẬT TRONG MẠNG

và của nhà khai thác; Tránh xảy ra hiện tượng từ chối dịch vụ đối với những người

sử dụng đã đăng ký Khách hàng mạng di động luôn kỳ vọng có được thông tin một cách tức thời, dễ dàng sử dụng dịch vụ và luôn đảm bảo các thông tin của người dùng không bị đánh cắp hay tấn công và được bảo mật Trong môi trường mạng di động hiện nay những vấn đề như vậy còn khá phức tạp

Trong chương này, luận văn sẽ trình bày tổng quan về vấn đề bảo mật trong các mạng thông tin di động nói chung và mạng thông tin di động 5G nói riêng, bao gồm các nội dung như sau:

- Thực trạng vấn đề bảo mật trong các mạng thông tin di động trên thế giới

và tại Việt Nam

- Tổng quan về mạng thông tin di động 5G, mô hình kiến trúc mới và các vấn

đề liên quan

- Các yêu cầu về bảo mật trong mạng thông tin di động 5G

- Tổng quan về kiến trúc bảo mật 5G trên các miền bảo mật khác nhau và các vấn đề liên quan

1.1 Thực trạng vấn đề bảo mật trong các mạng thông tin di động trên thế giới

và tại Việt Nam

Theo số liệu thống kê về hiện trạng bảo mật mới nhất được công bố, Việt Nam đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng Những xu hướng đe dọa bảo mật ngày càng gia tăng, nổi bật nhất hiện nay mà các nhà mạng viễn thông Việt Nam cần quan tâm đến là: tấn công có chủ đích, các mối đe dọa trên điện thoại di động, tấn công mã độc vào mạng di động và đánh cắp dữ liệu của tổ

chức hoặc cá nhân Trên thực tế, nguy cơ mất an ninh an toàn mạng di động còn có thể phát sinh ngay từ bên trong Nguy cơ mất an ninh an toàn từ bên trong xảy ra thường lớn hơn, nguyên nhân chính là do người quản trị mạng có quyền truy nhập

hệ thống, họ nắm được điểm yếu của hệ thống tuy nhiên vô tình những lỗ hổng bảo mật này đã tạo cơ hội cho những đối tượng khác xâm nhập vào hệ thống máy chủ Một trong những biện pháp an ninh mà các nhà mạng cung cấp dịch vụ di động áp dụng để hạn chế khả năng xâm nhập từ bên ngoài đó chính là cô lập những máy chủ lưu trữ thông tin quan trọng, không kết nối chúng với mạng Internet, chỉ dùng trong mạng nội bộ (LAN) Tuy nhiên biện pháp bảo mật này thiếu tính linh động, bởi máy chủ di động đặt ở đâu thì phải đến đó để thao tác điều khiển mà không thể kết nối tới từ xa Chính vì lý do đó, các quản trị viên đã thực hiện kết nối máy chủ với mạng Internet, cho phép thực hiện khả năng quản lý từ xa thông qua kết nối truy cập

từ một số điện thoại bảo mật Tất nhiên khi kết nối máy chủ chứa những dữ liệu quan trọng với mạng Internet, người ta đã phải tính tới nhiều biện pháp bảo mật nghiêm ngặt Những số điện thoại sử dụng để truy cập kết nối vào máy chủ dữ liệu

là hoàn toàn bí mật, không ai có thể biết tới ngoại trừ những người chịu trách nhiệm quản lý máy chủ Với những kẻ xâm nhập nhiều kinh nghiệm thì họ vẫn có thể tìm

ra số điện thoại này thông qua nhiều con đường khác nhau, mà “Social Engineering” (một kiểu tấn công dựa vào sự tương tác của con người) là một biện pháp điển hình

 1.1.1 Tấn công mạng di động trên thế giới

Trên thế giới đã xảy ra rất nhiều sự kiện tấn công vào mạng di động Có rất nhiều cách tấn công vào hệ thống mạng di động, điển hình trong đó là lợi dụng những lỗ hổng bảo mật của hệ điều hành hoặc phần mềm chạy trên hệ thống [9] Hiện nay các máy chủ quản lý mạng thông tin di động chủ yếu chạy trên nền tảng Windows, Linux, Sun, Unix… mà trong số nền tảng này không thiếu những lỗ hổng

an ninh nghiêm trọng liên tục phát sinh từng ngày Chỉ cần các nhà quản trị mạng không thường xuyên cập nhật các bản vá sửa lỗi bảo mật cho hệ điều hành thì họ đã tạo điều kiện rất lớn cho những kẻ xâm nhập vào hệ thống máy chủ di động Khi kẻ

xâm nhập phát hiện ra số điện thoại bảo mật duy nhất dùng để kết nối vào máy chủ mạng di động, chúng sẽ thăm dò xem máy chủ bị những lỗ hổng nào rồi áp dụng các biện pháp xâm nhập thích hợp Khi đó, khả năng kiểm soát toàn bộ hệ thống máy chủ di động là hoàn toàn có khả năng xảy ra Kẻ xâm nhập có thể làm được rất nhiều việc khi đã kiểm soát được máy chủ của mạng điện thoại di động, trong đó việc sử dụng những thuê bao điện thoại khác để thực hiện cuộc gọi là một ví dụ điển hình Lúc này tiền cước điện thoại sẽ tăng lên rất nhanh Thông tin về cước cuộc gọi của nhiều thuê bao khác sẽ bị sửa đổi, tiền cước có thể lên tới hàng trăm triệu đồng

mà không có lý do chính đáng

Khi sử dụng được máy điện thoại của nạn nhân để thực hiện cuộc gọi, kẻ xâm nhập cũng có thể đánh cắp toàn bộ thông tin lưu trữ trong điện thoại di động, bao gồm địa chỉ nơi ở, làm việc và các thông tin cá nhân Kẻ xâm nhập cũng có thể thực hiện các cuộc tấn công từ chối dịch vụ mạng (DoS) làm tê liệt điện thoại nạn nhân hoặc gửi tin nhắn đe dọa,làm rối loạn cuộc sống riêng tư của nạn nhân

 1.1.2 Tấn công mạng di động tại Việt Nam

Tại Việt Nam, việc bảo vệ các hệ thống thông tin di động còn chưa được quan tâm đúng mức Việc quản lí hệ thống mạng di động còn lỏng lẻo Năm 2017, sự tăng giá chóng mặt của các loại tiền ảo, tạo nên cơn sốt tiền trên toàn cầu Chính điều này cũng đã thúc đẩy mạnh mẽ các hình thức tấn công của Hacker nhằm biến máy tính cá nhân, điện thoại di động của người dùng thành công cụ đào tiền ảo Hiện nay 2 hình thức tấn công phổ biến nhất được hacker sử dụng là khai thác lỗ hổng trên các Website

và lợi dụng mạng xã hội như Facebook, Zalo… để phát tán Virus

Hacker thường chọn các Website được nhiều người sử dụng hàng ngày để tấn công và cài cắm các mã độc có chức năng đào tiền ảo lên đó Khi người dùng truy cập vào các Website này, mã độc sẽ được kích hoạt Với đa số các Website tại Việt Nam, tồn tại nhiều lỗ hổng bảo mật có thể xâm nhập, khai thác triển khai mã độc thì đây là môi trường thích hợp của các hacker trong việc phát tán mã độc đào tiền ảo

Một hình thức tấn công khác đểHacker phát tán Virus đào tiền ảo là thông qua

mạng xã hội Sau khi lây nhiễm mã độc thì chúng sẽ âm thầm sử dụng tài nguyên trên máy nạn nhân để chạy các phần mềm đào tiền ảo Gần đây nhất là việc mã độc lây qua Facebook bùng phát và làm "náo loạn" mạng Internet tại Việt Nam Theo thống kê từ hệ thống giám sát Virus của các chuyên gia, đã có hơn 23.000 máy tính, điện thoại tại Việt Nam nhiễm loại mã độc này Các chuyên gia nhận định trong thời gian tới, hình thức đào tiền ảo bằng cách phát tán Virus sẽ có xu hướng tiếp tục bùng nổ thông qua Facebook, Gmail, qua lỗ hổng của hệ điều hành, USB… [10] Do vậy, để đáp ứng vấn đề bảo mật, chúng ta cần xây dựng các chính sách an ninh một cách rõ ràng Đó là những hoạt động nhằm thiết lập các khung chính sách nhằm đảm an toàn cho hệ thống, đồng thời đảm bảo

hệ thống hoạt động ổn định, có tính thực thi cao và có khả năng chống lại các cuộc tấn công mạng Tuy nhiên, một hệ thống nếu chỉ dựa vào mục tiêu bảo mật mà mất đi tính mềm dẻo và dễ sử dụng thì chính sách bảo mật của hệ thống đó cũng chưa hợp lý

Tuy nhiên, một hệ thống mạng di động không chỉ chịu tấn công từ ngoài mạng, mà có thể bị tấn công ngay từ bên trong Có thể là vô tình hoặc cố ý, các hình thức tấn công bên trong mạng vẫn thường xảy ra trên một số hệ thống lớn Chủ yếu với hình thức người tấn công có thể tiếp cận về mặt vật lý đối với các thiết bị trên

hệ thống, đạt được quyền truy nhập không hợp lệ ngay tại hệ thống đó Vậy nên cần phải có chính sách quản lý nhân sự thật chặt chẽ, nhất là khi có sự thay đổi về người tham gia quản trị hệ thống

1.2 Tổng quan về mạng thông tin di động 5G

 1.2.1 Các thành phần cơ bản trong kiến trúc mạng 5G

5G là thế hệ kế tiếp của công nghệ kết nối Internet di động, cung cấp tốc độ nhanh hơn và kết nối đáng tin cậy hơn trên điện thoại thông minh và các thiết bị khác

Kết hợp giữa công nghệ mạng tiên tiến và các nghiên cứu mới nhất, 5G mang đến kết nối có tốc độ nhanh hơn, với tốc độ tải trung bình khoảng 1 Gbps

Công nghệ này sẽ giúp phát triển hệ thống Internet of Things, cung cấp cơ sở

hạ tầng cần thiết để truyền tải một lượng lớn dữ liệu, cho phép tạo nên một thế giới thông minh hơn và kết nối nhanh hơn, tiện ích hơn Mỹ và Trung Quốc đang là hai trong số các quốc gia đầu tiên triển khai dịch vụ 5G,sau đó là Hàn Quốc, Nhật Bản

và vương quốc Anh Tại Việt Nam, cả ba nhà mạng lớn gồm Viettel, VinaPhone, MobiFone đều đã triển khai mạng 5G tại Hà Nội, TP Hồ Chí Minh và một số tỉnh, thành phố khác

Kiến trúc mạng 5G được thiết kế để hỗ trợ lưu lượng chuyển mạch gói, đảm bảo thông tin được truyền liên tục, chất lượng dịch vụ (QoS) và độ trễ tối thiểu Chuyển mạch gói cho phép hỗ trợ tất cả các dịch vụ bao gồm cả thoại thông qua các kết nối gói

Công nghệ mạng 4G LTE hiện đã và đang được triển khai rộng khắp trên toàn thế giới, tuy nhiên chất lượng dịch vụ vẫn chưa đáp ứng đủ nhu cầu thông tin

và giải trí với yêu cầu chất lượng ngày càng cao của người sử dụng Chất lượng tín hiệu mạng bị suy giảm rõ rệt thậm chí trong nhiều trường hợp việc mất kết nối tại những khu vực có mật độ người sử dụng cao như: sân vận động, lễ hội, bến xe, hay khi đang di chuyển trên các phương tiện giao thông tốc độ cao: tàu điện, tàu hỏa Hơn nữa hiện nay mạng di động 4G không hỗ trợ các công nghệ truy nhập vô tuyến đa dạng hiện nay Do đó, Liên minh viễn thông quốc tế ITU đã định nghĩa mạng thông tin di động thế hệ kế tiếp với tên gọi IMT-2020 gọi ngắn gọn là 5G

Để đạt được những yêu cầu khắt khe đó, mạng 5G cần áp dụng đồng bộ, tổng thể những công nghệ tiên tiến về mọi mặt Ngoài ra 5G còn hỗ trợ cấu trúc liên kết với các mạng không đồng nhất (HetNets - Heterogeneous Networks) sẽ thuận tiện hơn cho người dùng

Mạng 5G là mạng dựa trên nền All-IP Mạng được chia thành hai phần: Phần các công nghệ liên quan tới truy cập vô tuyến (EUTRAN) và phần EPC (SGW, PGW, HSS, PCRF, MME …) gồm các công nghệ liên quan tới mạng lõi

Trong đó, phần mạng lõi được chia thành 3 lớp riêng biệt: Lớp truyền tải, lớp điều khiển và lớp quản lý Lớp truyền tải ứng dụng công nghệ ảo hóa và định nghĩa bằng phần mềm SDN/NFV Lớp điều khiển gồm các chức năng kiểm soát việc cấp phát, chuyển giao tài nguyên vô tuyến SDRN; điều khiển, giám sát truy cập dữ liệu trên nền công nghệ điện toán đám mây; điều khiển ảo hóa hạ tầng thiết bị mạng Lớp quản lý đảm nhận các chức năng logic về quản lý di động, quản lý thuê bao,

quản lý chính sách,… tương đương như các thực thể chức năng trong mạng 4G thế

hệ trước, kèm theo quản lý khả năng tự cấu trúc, tự khắc phục sự cố theo công nghệ mạng SON (Self Organizing Network) [10]

Lớp truy nhập hỗ trợ đa dạng các kiến trúc, bao gồm: C-RAN (mạng truy nhập vô tuyến hợp tác, tập trung hóa), UDN (mạng mật độ siêu cao), WiFi, WiMAX, PLC (công nghệ truyền thông trên đường dây tải điện), VLC (công nghệ truyền thông bằng ánh sáng khả kiến),… cùng với các công nghệ truy nhập vô tuyến

di động như: Massive MIMO, Macro Cell, Small Cell, truy cập đa công nghệ, sử dụng tần số cao, kỹ thuật chia sẻ phổ tần linh động

Lớp đầu cuối không chỉ bao gồm các điện thoại thông minh mà còn gồm các mạng cảm biến không dây (WSN), truyền thông trực tiếp giữa các thiết bị (D2D), máy móc (M2M) và xe cộ (V2X),… theo xu hướng IoT

Kiến trúc mạng 5G đề xuất được phân tách tương đối rõ ràng về lớp chức năng, thể hiện tính hội tụ và tương hỗ cao với đa dạng các chuẩn công nghệ Tuy nhiên, điều

đó cũng dẫn đến việc các rủi ro về an toàn thông tin mà công nghệ 5G phải đối mặt là rất phức tạp, có tính tích hợp và tương tác giữa các công nghệ được tích hợp

Hình 1.1 Kiến trúc mới về mạng 5G

1.2.2 Các giao diện trong mạng 5G

 Giao diện vô tuyến mới trong mạng 5G

Các ứng dụng khác nhau yêu cầu công nghệ giao diện vô tuyến phức tạp và khác nhau, một giao diện vô tuyến mới đồng nhất với tính mềm dẻo và khả năng thích nghi sẽ đáp ứng được yêu cầu này Giao diện vô tuyến mới bao gồm các khối

và cơ chế thiết lập như dạng sóng thích nghi, giao thức thích nghi, cấu trúc khung thích nghi, điều chế và mã thích nghi và cơ chế đa truy nhập thích nghi Với các khối và cơ chế này, giao diện vô tuyến có khả năng đáp ứng được sự đa dạng của các dịch vụ người dùng, băng tần và lưu lượng

Các thành phần mấu chốt gồm có công nghệ dạng sóng mới Filtered-OFDM (Filtered-Orthogonal Frequency Division Multiplexing), công nghệ truy cập mới SCMA (Sparse Code Multiple Access), mã kênh mới Mã cực, song công toàn phần

và công nghệ Massive MIMO Giao diện vô tuyến mới sẽ cải thiện hiệu suất sử dụng phổ tần, tăng khả năng kết nối, và giảm trễ, do đó thuận tiện cho việc triển khai các kịch bản dùng cho IoT và kịch bản sử dụng độ rộng kênh lớn như thực tế ảo

Giao diện vô tuyến mới khai thác tính không trực giao mức 2 để tối đa hóa hiệu suất sử dụng phổ tần, số lượng các thiết bị kết nối và hỗ trợ sự đa dạng các dịch vụ Filtered-OFDM cho phép kết hợp liên băng con (Inter-Subband) không trực giao trong khi SCMA cho phép kết hợp nội băng con (Intra-Subband) không trực giao

 Filtered - OFDM

Filtered-OFDM là một thành phần cơ bản của công nghệ dạng sóng nhằm hỗ trợ các dạng sóng khác nhau, cơ chế đa truy nhập và cấu trúc khung dựa trên các yêu cầu của ứng dụng và dịch vụ Nó có thể đơn giản hóa sự cùng tồn tại của các dạng sóng khác nhau với các tham số OFDM khác nhau như trong hình 1.4 Trong hình này ba bộ lọc băng con được sử dụng để tạo ra nhóm sóng mang con OFDM với 3 độ rộng giữa các sóng mang con khác nhau, độ dài ký hiệu OFDM khác nhau

và thời gian bảo vệ khác nhau Bằng cách cho phép thiết lập các tham số, OFDM sẽ lựa chọn các tham số tối ưu cho mỗi nhóm dịch vụ và do đó tăng hiệu

số - thời gian chung Thông thường, ghép kênh của các thiết bị bị quá tải nếu số lượng lớp lớn hơn chiều dài của từ mã ghép kênh Tuy nhiên, với SCMA, sự quá tải được giải quyết với mức độ giải mã phức tạp trung bình do giảm kích thước của ma trận SCMA đa chiều và sự thưa của từ mã SCMA Trong SCMA, các bit mã được ánh xạ trực tiếp với từ mã thưa đa chiều được lựa chọn từ sách mã (codebook) SCMA của lớp đó Sự phức tạp của giải mã được điều khiển thông qua hai tham số chính Một là mức thưa của từ mã, và thứ hai là sử dụng chòm sao đa chiều với số lượng ít hình chiếu trên mỗi chiều Một ví dụ về ghép kênh với sách mã hình chiếu

ít và kết quả ánh xạ được miêu tả trong hình 1.2 Các bit giải mã của thiết bị trước tiên được ánh xạ với từ mã từ sách mã Trong ví dụ, sử dụng từ mã có độ dài là 4 Sách mã hình chiếu ít sẽ giảm chòm sao (từ 4 điểm xuống 3 điểm) Hơn nữa, mỗi điểm (nghĩa là “00”) có thành phần khác 0 chỉ có 1 lần Sách mã có một thành phần khác không được gọi là sách mã zero-PAPR

Ngoài ra, kỹ thuật thu đa thiết bị mù có thể được áp dụng để xác định hoạt động của thiết bị và thông tin chúng sử dụng ngay lập tức Với khả năng xác định mù này, đa truy nhập tự do sẽ được hỗ trợ Đa truy nhập tự do là cơ chế loại bỏ các yêu cầu động và cho phép báo hiệu trước Đó là một giải pháp hữu hiệu cho truyền tải các gói nhỏ SCMA cho phép đa truy nhập tự do Do các lợi ích này, SCMA có thể hỗ trợ kết nối lớn, giảm trễ truyền và tiết kiệm năng lượng như hình 1.3

Hình 1.3 Ghép kênh SCMA và chòm sách mã thấp

 Mã cực

Mã cực là đột phá quan trọng trong lý thuyết mã Chúng có thể đạt được dung lượng Shannon với bộ mã hóa đơn giản và với bộ giải mã khử liên tục (SC) khi kích thước khối mã đủ lớn Có nhiều nghiên cứu về mã cực trong thiết kế thuật toán mã hóa và giải mã Một trong những thuật toán giải mã quan trọng nhất là giải

mã SC-list với kích thước danh sách là 32 đối với kích thước khối mã vừa phải Các

mô phỏng đã cho thấy mã cực nối với nhau với mã dư thừa chu kỳ (CRC) và bộ giải

mã SC-list thích ứng có thể tạo mã turbo/LDPC (Low Density Parity Check) ngắn

và kích thước khối mã vừa phải Mã cực hoạt động tốt hơn tất cả các loại mã hiện tại đang được sử dụng cho hệ thống 4G LTE, đặc biệt đối với mã ngắn, do vậy nó được coi là ứng cử viên cho mô-đun FEC trong thiết kế giao diện vô tuyến 5G

 Massive-MIMO

Massive-MIMO tạo sự đột phá rõ ràng bằng cách sử dụng hệ thống nhiều ăng-ten trên mạng và thiết bị Với tư cách là 1 thành phần hứa hẹn trong công nghệ 5G, massive MIMO là giải pháp thương mại hấp dẫn khi tăng hiệu suất hơn 100 lần

mà không cần lắp hơn 100 trạm gốc

Sự phát triển về chùm vô hướng với công suất thấp, PAPR thấp và mềm dẻo trong điều chỉnh chùm để theo dõi tính di động của UE cho phép thương mại hóa để triển khai trong thực tế với các tình huống sử dụng phong phú như mạng rộng, nhỏ, vùng đô thị

 Song công toàn phần

Song công toàn phần phá vỡ rào cản giao tiếp hiện nay bằng cách hỗ trợ truyền thông hai hướng mà không cần ghép kênh thời gian hoặc tần số Bằng cách phát và nhận cùng một thời gian trên cùng một tần số, song công toàn phần có tiềm năng tăng gấp đôi dung lượng và giảm trễ của hệ thống

1.3 Yêu cầu bảo mật mạng 5G

Khi kỷ nguyên 5G đang đến gần, khối lượng dữ liệu và nhiều dịch vụ sẽ tăng lên mức chưa từng thấy trước đây Dịch vụ IoT chỉ là một trong số rất nhiều Khi nói đến 5G, nó không chỉ đơn giản là một phương tiện để liên lạc Nó có thể được coi là chất xúc tác để giảm thiểu ranh giới giữa thế giới kỹ thuật số và thế giới vật

lý Thiết kế bảo mật 5G là một thiết kế bao gồm tất cả, cung cấp bảo vệ an ninh cho thế giới kết nối mọi thứ

Các tiêu chuẩn về bảo mật cho mạng 5G như sau:

- Đảm bảo an ninh giữa người dùng và mạng, gồm: Nhận dạng người dùng

và bảo mật thiết bị; Nhận dạng các thực thể; Bảo mật dữ liệu người dùng và dữ liệu báo hiệu; Toàn vẹn dữ liệu người dùng và dữ liệu báo hiệu

- Có khả năng cấu hình và hiển thị an ninh

- Các tính năng an ninh không được ảnh hưởng tới quá trình tiến hóa từ 4G lên 5G

- Các tính năng an ninh không được ảnh hưởng tới sự tiện dụng của người dùng

1.4 Kiến trúc bảo mật mạng 5G

Trong khi kiến trúc bảo mật 3GPP hiện tại không thành công để đáp ứng tất

cả các nhu cầu 5G, không thể chối cãi tạo ra một hệ sinh thái lớn, đáng tin cậy và cung cấp một cơ sở đã được chứng minh để xây dựng trên Hiện nay một hệ thống

an ninh đang được phát triển là hệ thống bảo mật của hệ thống kết nối kép 5G EUTRN-NR (EN-DC) NR là một giao diện không khí mới không tương thích ngược với LTE, LTE⁃Avised hoặc LTE⁃Advified⁃pro Mạng NR có thể được triển khai độc lập mà không cần dựa vào bất kỳ mạng 2G, 3G hoặc 4G nào Điều này có nghĩa là NR nên có một bộ đầy đủ các chức năng RAN để có thể làm việc một mình Tương tự như các thế hệ mạng di động trước đây, NR nên có cấu trúc khung

cơ bản, số học, quy trình truy cập ban đầu và lập lịch cho hoạt động Ở một khía cạnh nào đó, các thành phần cơ bản này cho hệ thống 5G NR có thể kế thừa rất nhiều thiết kế của các thế hệ trước, đặc biệt là các tiêu chuẩn 4G Rõ ràng là nhiều

sơ đồ truy cập cho NR ít nhất sẽ dựa trên nhiều truy cập phân chia tần số trực giao (OFDMA) Ngoài ra, dạng sóng cơ bản của NR là điều chế phân chia tần số tiền tố (CP⁃OFDM) theo chu kỳ, trong khi cấu trúc khung và số học sẽ chia sẻ một số đặc điểm của LTE Những đổi mới trong các lĩnh vực đa truy cập, mã hóa kênh và MIMO sẽ đóng vai trò quan trọng trong việc đạt được các yêu cầu hiệu suất 5G Chúng đóng vai trò là các trình điều khiển kỹ thuật chính để thúc đẩy công việc trên các chức năng cơ bản được liệt kê ở trên như số học, cấu trúc khung, truy cập ban đầu và lập lịch [10] Tuy nhiên lý do chọn EN-DC là do hệ thống EN-DC sẽ là hệ thống 5G NR có sẵn trên thị trường dựa trên giai đoạn 1 của thông số kỹ thuật Rel.15 đã hoàn thành tại cuộc họp toàn thể 3GPP tháng 12 năm 2017 Bảo mật EN-

DC dựa trên thông số kỹ thuật bảo mật LTE hiện có, TS 33.401 với cải tiến EN-DC, trong khi bảo mật của hệ thống 5G độc lập sẽ dựa trên TS 33.501

Tóm lại, bảo mật EN-DC là sự tăng cường nhỏ của bảo mật LTE DC hiện có Khái niệm tương tự về các thuật toán tạo khóa, quản lý khóa, Mã hóa và Bảo vệ toàn vẹn được sử dụng lại từ bảo mật LTE DC Bảo vệ toàn vẹn Bearer Data Radio Bearer (DRB) mới được giới thiệu không được hỗ trợ trong giai đoạn 1 (Trường

hợp không độc lập) vì nó chỉ hoạt động trong trường hợp làm việc với mạng lõi 5G như hình 1.4

Hình 1.4 Kiến trúc bảo mật 3GPP TS 33.401 (EPS)

Bảo mật truy cập mạng (I): Tập hợp các tính năng an ninh cung cấp khả năng bảo vệ truy nhập người dùng tới các dịch vụ, và cũng bảo vệ chống lại các cuộc tấn công trên liên kết truy nhập vô tuyến

Bảo mật tên miền mạng (II): Tập hợp các tính năng an ninh cho phép các node trao đổi an toàn dữ liệu báo hiệu và dữ liệu người dùng (giữa AN và SN, và trong AN), và cũng bảo vệ chống lại các cuộc tấn công trên mạng hữu tuyến Ví dụ:

AS Security, NAS Security, IPSec EPS

Bảo mật miền người dùng (III): Tập hợp các tính năng an ninh bảo vệ truy nhập tới các MS (Mobile Station) Ví dụ: khóa màn hình, mã PIN để sử dụng SIM

Bảo mật miền ứng dụng (IV): Tập hợp các tính năng an ninh cho phép bảo

vệ các bản tin trao đổi của các ứng dụng tại miền người dùng và miền nhà cung cấp

Ví dụ: https

Khả năng hiển thị và cấu hình bảo mật (V): Tập hợp các tính năng an ninh cho phép thông báo tới người dùng một tính năng an ninh có đang hoạt động hay không, và các dịch vụ đang sử dụng và được cung cấp nên phụ thuộc vào tính năng

an ninh không

và ngành công nghiệp sử dụng Mạng dữ liệu 4G dễ dàng hơn, GSMA đã phát triển khái niệm UICC, một thẻ tích hợp, thuộc sở hữu của bên thứ ba, được chứng nhận theo Tiêu chí chung EAL4 +, trên đó nhà điều hành có thể cung cấp từ xa thông tin đăng nhập của họ cho phép truy cập 4G từ Máy eUICC là thẻ tích hợp, nhưng nó có thể phát triển trực tiếp tích hợp trong bộ xử lý băng tần dựa trên 5G trong tương lai Các yêu cầu thông tin thiết bị người dùng để truy cập vào cơ sở hạ tầng mạng di động được cấp phép 5G sẽ phải được lưu trữ, quản lý và sử dụng một cách an toàn yếu tố an toàn để đạt được trạng thái an ninh tốt nhất

Xác thực và giao thức chính (AKA, giữa thẻ USIM và Core Network HSS thành phần) đóng vai trò trung tâm trong bảo mật của mạng di động khi nó khởi động các tham số cần thiết để hình thành một bảo mật chứa yêu cầu các bên đồng ý Giao thức xác thực giữa thiết bị và mạng phục vụ, và thiết lập các khóa phiên Giao thức được sử dụng trong 4G (EPS-AKA) gần như giống giao thức cũ của nó được

sử dụng trong 3G Một hạn chế của EPS-AKA là, giao thức yêu cầu tín hiệu giữa mỗi thiết bị yêu cầu truy cập mạng, và thiết bị mạng gia đình từ xa trong trường hợp sử dụng 5G, Internet, những thứ khác của Internet Ngoài ra, các thiết bị IoT có thể được kết nối với các tế bào nhỏ hoặc tới các tế bào vĩ mô, tùy thuộc vào khả dụng Các tế bào nhỏ được kết nối với điện thoại di động toán tử sử dụng kết nối băng thông rộng thông qua một thiết bị evolved-Home-NB (eHNB), hoặc dựa trên các đơn vị tài nguyên vô tuyến tạo thành một kết nối đến NodeB đã phát triển (eNB), mang cả dữ liệu và dữ liệu điều khiển Điều này tăng lượng tín hiệu là một trong những nút thắt cho sự phát triển 5G vì độ trễ thấp và đáng tin cậy cho các thiết bị IoT Để phá vỡ nút thắt tín hiệu, hai phương pháp tiếp cận hiện đang được phát triển Một cách tiếp cận

đầu tiên xác thực và giao thức thỏa thuận quan trọng cho IoT, trong khi phương pháp thứ 2 là họ các giao thức cho phép nhóm các thiết bị kết nối với nhau cho phép giảm tín hiệu và truyền thông độ trễ thông qua một họ giao thức AKA

 1.4.2 Bảo mật dữ liệu mặt phẳng người dùng và mặt phẳng điều khiển

Theo các yêu cầu an ninh 3GPP, EPS sẽ cung cấp một số quyền riêng tư cho người sử dụng về thông tin liên lạc, vị trí và định danh Ngoài ra, nội dung thông tin, nguồn gốc, và đích phải được bảo vệ để chống lại tấn công của bên trái phép Bảo mật đạt được bằng cách mã hoá các thông tin liên lạc để bảo vệ nội dung các gói tin khi kẻ nghe lén tấn công đặc biệt là trên giao diện vô tuyến

 1.4.3 Bảo vệ tính toàn vẹn cho dữ liệu mặt phẳng điều khiển

Để đáp ứng yêu cầu an ninh 3GPP, EPS sẽ hỗ trợ xác thực thông tin giữa các thiết bị đầu cuối di động và mạng Mục đích của tính năng này là để đảm bảo tính xác thực của mỗi bản tin trong mặt phẳng điều khiển riêng biệt nghĩa là đảm bảo rằng thông điệp không bị thay đổi trong quá trình truyền và đã được gửi đến đích bởi đúng người gửi

 1.4.4 Nhận thực EPS và thủ tục thỏa thuận khóa (EPS-AKA)

Trong kiến trúc 4G LTE, AKA đã được thay thế bởi một giao thức mới (EPS-AKA) dựa trên người tiền nhiệm của nó để đảm bảo tính tương thích ngược Trong phần này sẽ mô tả các thủ tục EPS-AKA cũng như các thủ tục từ khóa gốc và các chức năng của khóa Kiến trúc 5G có thể sử dụng giao thức này bởi các giao thức AKA góp phần giảm độ trễ và băng thông tiêu thụ, và quy mô lên đến một số lượng rất lớn thiết bị Giao thức AKA dựa trên nhóm được thiết kế với một cơ chế mới dựa trên hàm ngược cho phép nhà điều hành mạng tự động thích ứng với các yêu cầu về an ninh và hiệu quả của giao thức được thiết kế

Thủ tục EPS – AKA

Tất cả các hoạt động cần thiết để bảo vệ an ninh của người sử dụng (rút ra khóa

an ninh và nhận thực tương hỗ) được thực hiện trong quá trình AKA Quá trình này được mô tả trên hình 1.5 [8]

Hình 1.5 Quá trình AKA

Quá trình AKA được khởi động bởi một yêu cầu kết nối hay dịch vụ từ UE, trên hình 1.5 bởi bản tin NAS đầu tiên (NAS: Non Access Stratum: tầng không truy nhập) Bản tin này có thể là một yêu cầu nhập mạng (Attach Request) hay yêu cầu dịch vụ (Service Request) Trong phần lớn các trường hợp yêu cầu kết nối được thực hiện khi đăng ký UE sau bật nguồn Tuy nhiên quá trình AKA có thể xẩy ra trong nhiểu trường hợp như thay đổi trạng thái từ rỗi (IDLE) vào tích cực (Active) Bản tin kết nối ban đầu này chứa nhận dạng người sử dụng sẽ được dùng trong phần còn lại của thủ tục

Theo yêu cầu kết nối của người sử dụng, MME yêu cầu thông tin nhận thực

từ HSS trên giao diện Gr (S6) HSS trả lời bằng một tập từ một đến năm vectơ nhận thực (AV: Authentication Vector) Mỗi AV chứa:

RAND:hô lệnh ngẫu nhiên, là một trong số các thông số đầu vào để tạo nên bốn phần tử của vectơ

XRES - Expected Response (trả lời kỳ vọng): được mạng sử dụng để nhận thực USIM AUTN - Authentication Token (thẻ nhận thực): được USIM sử dụng để nhận thực mạng KASME: Khóa mức cao nhất để tạo ra các khóa khác

Sử dụng một trong số các vectơ trong danh sách, MME ràng buộc thủ tục

AKA với USIM Để vậy MME gửi đến UE yêu cầu nhận thực chứa các thông số RAND và AUTN

Chi tiết thủ tục của giao thức EPS AKA như sau:

- Khi UE đăng ký lần đầu để nhập mang phục vụ, MME trong mạng phục vụ gửi yêu cầu nhận dạng người sử dụng để nhận thực USIM

- Để trả lời, UE gửi IMSI đến MME MME phát yêu cầu số liệu nhận thực đến HSS cùng với IMSI, SNID (Serving Network Identity: số nhận dạng mạng bao gồm MCC+MNC và kiểu mạng phục vụ)

- Nhận đựơc yêu cầu số liệu nhận thực từ MME, HSS có thể đã có các vectơ nhận thực EPS (EPS AV: EPS Authetication Vector) được tính toán trứơc tại AUC hoặc AUC bắt đầu tính toán theo yêu cầu và gửi đến HSS

- HSS gửi trả lời số liệu nhận thực đến MME chứa một dãy n EPS AV(1 n) Nếu n>1, các EPS AV được sắp xếp theo thứ tự dựa trên số thứ tự dãy Chuẩn khuyến nghị n=1, vì thế mỗi lẫn chỉ một AV được gửi đi Trả lời nhận thực bao gồm bốn phần: số ngẫu nhiên RAND, trả lời kỳ vọng XRES (Expected Response), khóa chủ địa phương KASME và thẻ nhận thực AUTNHSS (Authentication Token)

- UE kiểm tra AUTN để nhận thực mạng và tính toán RES, CK và IK rồi gửi trả lời nhận thực cùng với RES đến MME

Các khóa trong mô hình phân cấp trên hình như sau:

- K là khóa an ninh được lưu vĩnh viễn trong USIM và trong AuC Được sử dụng là cơ sở cho tất cả các giải thuật rút ra các khóa khác trong 3G UMTS và EPS

- CK (Ciphering Key: khóa mật mã), IK (Integrity Key: khóa toàn vẹn) Được rút ra tại AuC và USIM khi thiết lập liên kết an ninh

- KASME (Access Security Management Entity Key: Khóa thực thể quản lý

an ninh truy nhập) Là một khóa trung gian được rút ra trong UE và HSS từ các khóa CK, IK trong quá trình AKA (Authentication and Key Agreement: Nhận thực

và thoả thuận khóa) ASME là thực thể mạng chịu trách nhiệm thiết lập và duy trì các liên kết an ninh với UE dựa trên các khóa nhận được từ HSS Trong EPS, MME đóng vai trò ASME

- KeNB: Là một khóa trung gian được UE và MME rút ra từ KASME KeNB

có giá trị phụ thuộc vào nhận dạng của eNodeB Được eNode sử dụng để rút ra các khóa cho lưu lượng RRC và UP

Quá trình tạo ra các khóa trên như sau:

- Khi nhận thực và thỏa thuận khóa (AKA: Authentication and Key Agreement) được thực hiện cho yêu cầu nhận thực tương hỗ, khóa CK và IK được tạo ra tại AUC và USIM và được chuyển đến HSS và ME (Mobile Equipement: thiết bị di động) trong UE

- MME và HSS tạo ra KASME từ cặp CK, IK bằng cách sử dụng chức năng tạo khóa được xây dựng trên cơ sở ID của mạng HSS chuyển KASME đến MME của mạng để thông tin cơ sở cho phân cấp khóa

- Từ khóa KASME, các khóa KNASenc (NASenc: Non Access Stratum Encryption: mật mã tầng không truy nhập) và KNASint (NASint: Non Access Stratum Integrity: toàn vẹn tầng không truy nhập) được tạo ra Đây là các khóa dùng cho trao đổi số liệu và bảo vệ báo hiệu trong giao thức NAS giữa MME và UE

- Khi UE được nối đến mạng, MME tạo ra khóa KeNB và chuyển nó đến eNodeB Từ KeNodeB các khóa sau được tạo ra: (1) KUPenc (User Plane Encryption: mật mã mặt phẳng người sử dụng) để mật mã hóa mặt phẳng người sử

dụng, (2) khóa KRRCenc (RRCenc: Radio resource Control Encryption: mật mã điều khiển tài nguyên vô tuyến) để mật mã hóa mặt phẳng điều khiển và (3) KRRCint (RRCint: Radio Resource Control Integrity: toàn vẹn quản lý tài nguyên

vô tuyến) để bảo vệ toàn vẹn mặt phẳng điều khiển

Kết quả cuối cùng, năm khóa được tạo ra để bảo vệ toàn vẹn và bảo mật cho

ba kiểu luồng: Báo hiệu NAS (giữa UE và MME), báo hiệu AS (RRC) (giữa UE và eNodeB) và số liệu mặt phẳng người sử dụng (giữa UE và S-GW)

Các chức năng an ninh trong EPS được phân tách thành các chức năng an ninh

AS và NAS Vì chỉ luồng số liệu lớn được truyền khi UE được kết nối, nên mạng chỉ thiết lập các liên kết an ninh khi UE và eNodeB được kết nối Vì thế khi UE trong trạng thái rỗi (IDLE MODE), không cần duy trì trạng thái này trong eNodeB

Vì các bản tin NAS được trao đổi với các UE chế độ rỗi, nên các liên kết an ninh được thiết lập giữa UE và các nút mạng lõi (MME)

 1.4.5 Thuật toán mã hóa và toàn vẹn EPS

a Thuật toán mã hóa EPS

Ba thành phần quan trọng chính trong kiến trúc 5G cần có bảo mật là: UE, eNB và MME Theo đó, UE và MME được kết nối bởi giao thức bảo mật NAS và các bản tin NAS trao đổi giữa UE và MME được bảo vệ tính toàn vẹn và mã hoá bằng cách Header bảo mật NAS Trong khi UE và eNB được kết nối thông qua các giao thức truy cập AS và các dịch vụ bảo mật được thực hiện cho cả mặt phẳng điều khiển và mặt phẳng người dùng Những thuật toán mật mã bí mật EPS Encryption Algorithm (EEA) đạt được sau khi xác thực giữa UE và SN được thực hiện bởi EPS-AKA Các thuật toán EEA gồm 4 bit định danh bao gồm:

KNASenc, KRRCint và KUpenc (User Plane Encryption: mật mã mặt phẳng người sử dụng) để chỉ ra kiểu thuật toán mã hóa được sử dụng Theo đó, 3GPP chỉ

ra thuật toán EEA0, EEA1 và EEA2 được sử dụng trong 4G LTE Chúng cũng sẽ được sử dụng trong mạng 5G tương lai

“00002” 128-EEA0 thuật toán mã hóa Null

“00012” 128-EEA1 SNOW 3G

“00102” 128-EEA2 AES

Các giá trị khác sẽ được phát triển và sử dụng trong tương lai

UE và Enb sử dụng các thuật toán 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa RRC signaling và mã hóa UP

UE và MME sử dụng các thuật toán 128-EEA0, 128-EEA1, 128-EEA2 để

mã hóa NAS signaling

Hình 1.7 Thuật toán mã hóa 128-EEA1 SNOW 3G

b Thuật toán toàn vẹn EPS

Bảo vệ toàn vẹn và bảo vệ replay được cung cấp cho cả NAS và RRC signalling Tất cả các thuật toán toàn vẹn được sử dụng có độ dài dữ liệu đầu vào là 128-bit Mỗi thuật toán toàn vẹn EPS (EIA) được chỉ định có độ dài 4 bit Hiện tại

có các thuật toán toàn vẹn được định nghĩa như sau:

Hình 1.8 Thuật toán toàn vẹn EIA2 AES [5]

Để bảo vệ cho các lưu lượng trên cơ sở IP tại các giao diện của mạng truy cập/truyền tải (E-UTRAN), của mạng lõi (EPC), hay giữa các mạng lõi với nhau, 3GPP đưa ra chức năng NDS/IP (trừ giao diện S1-U do đây đã là giao diện được bảo vệ của 3GPP) NDS được định nghĩa trong tiêu chuẩn 3GPP TS 33.210 và là chức năng thuộc nhóm tính năng an ninh (II)

- IMSI: dùng để nhận dạng thuê bao được lưu trong USIM

 1.5.2 NAS Security

Sau AKA, MME nhận được KASME là khóa mức cao nhất của phân cấp trong mạng NAS SMC (Security Mode Command: lệnh chế độ an ninh) đàm phán các giải thuật toàn vẹn và mật mã bằng cho NAS Các thủ tục đàm phán các giải thuật toàn vẹn và mật mã NAS, tính toán các khóa an ninh và toàn vẹn NAS được

mô tả trên hình 1.9

Hình 1.9 Lựa chọn giải thuật toàn vẹn và tính toán các khóa cho NAS

NAS EEA: NAS UTRAN Encryption Algorithm: giải thuật mật mã UTRAN NAS, NAS EIA: E-UTRAN Integrity Algorithm: giải thuật toàn vẹn E-UTRAN NAS, IMEI: International Mobile Equipement Identity: số nhận dạng thiết

E-bị quốc tế, NONCEue và NONCEmme: các số ngẫu nhiên để nhận thực giữa UE và MME, NAS-MAC: (NASMessage Authetication Code: mã nhận thực bản tin) eKSI chỉ thị KASME hiện thời

Dựa trên khả năng an ninh của UE, MME lựa chọn các giải thuật toàn vẹn và mật

mã theo mức ưu tiên cao nhất Sử dụng giải thuật toàn vẹn NAS và khóa KNASME, MME tính toán các khóa mật mã và toàn vẹn NAS: KNASenc và KNASint Bắt đầu từ lúc này toàn vẹn NAS được bảo vệ bằng cách gắn NAS-MAC (NASMessage Authetication Code: mã nhận thực bản tin) cho báo hiệu từ MME đến UE

SMC (lệnh chế độ an ninh) gửi các giả thuật toàn vẹn và mật mã NAS, khả năng an ninh UE và các số ngẫu nhiên cho nhận thực giữa UE và MME đến UE SMC được bảo vệ toàn vẹn bằng gắn thêm một “con dấu” NAS-MAC (NAS-

Message Authetication Code: mã nhận thực bản tin) UE Kiểm tra toàn vẹn NAS SMC, nếu thành công, nó sử dụng giải thuật mật mã và toàn vẹn được chọn và khóa KASME để tính toán các khóa mật mã và toàn vẹn NAS giống như ở MME Sau đó bắt đầu mật mã/giải mật mã, bảo vệ toàn vẹn và gửi hoàn thành NAS SMC

 1.5.3 AS Security

Các thủ tục đàm phán các giải thuật và tính toán các khóa mật mã và bảo vệ toàn vẹn cho AS được mô tả trên hình 1.10

Hình 1.10 Lựa chọn giải thuật toàn vẹn và tính toán các khóa cho AS

Trình tự xảy ra các thủ tục đàm phán và tính toán các khóa AS cũng giống như đối với trường hợp NAS Chỉ khác các khoá được tính trong trường hợp này là: (1) Các khóa mật mã và toàn vẹn cho báo hiệu AS: KRRCenc, KRRCint và (2) Các khóa mật mã cho số liệu (UP: mặt phẳng người sử dụng): KUPenc Lệnh AS SMC được bảo vệ toàn vẹn bằng “con dấu” MAC-I (Message Authentication CodeIntegrity: mã nhận thực bản tin-toàn vẹn)

 1.5.4 IPSec

IPSec thực hiện mã hóa và xác thực ở lớp mạng Nó cung cấp một giải pháp

an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng (ví dụ khi thực hiện mạng riêng ảo VPN) Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị IPSec cung cấp bốn chức năng quan trọng sau:

- Bảo mật (mã hóa) – Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng Bằng cách đó, không ai có thể nghe trộm trên đường truyền Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được

- Toàn vẹn dữ liệu – Data integrity: Người nhận có thể xác minh các dữ liệu được truyền qua mạng Internet mà không bị thay đổi IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm)

- Xác thực – Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng đối tượng Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin

- Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp

 1.5.5 Cơ chế bảo vệ bản tin trong giao tiếp

Để bảo vệ các bản tin được truyền trong quá trình giao tiếp trong không khí

và mạng di động, EPS chia làm hai mặt phẳng là mặt phẳng điều khiển và mặt phẳng người dùng Mặt phẳng điều khiển để trao đổi tín hiệu bao gồm tín hiệu trao đổi giữa UE và trạm cơ sở (eNB), và tín hiệu giữa UE và mạng lõi (MME) Mặt phẳng người dùng được sử dụng để trao đổi dữ liệu giữa UE và trạm eNB và mạng lõi (SGW)

Bảo vệ mặt phẳng tín hiệu bao gồm kiểm tra tính toàn vẹn và mã hóa trong khi bảo vệ mặt phẳng người dùng chỉ cung cấp mã hóa