Các Tấn Công Tích Cực Lên Hệ Thống Thông Tin Di Động 5G/LTE (Luận Văn Thạc Sĩ) Với những bước phát triển rất nhanh chóng của ngành viễn thông nên trong hai thập kỷ đầu của thế kỷ 21, các thiết bị di động như điện thoại thông minh đã trở nên phổ biến. Quá trình phát triển mạnh mẽ của các hệ thống thông tin di động bắt đầu từ thế hệ thứ hai (3G) đến thứ 3 (4G) đã dần trở thành nền tảng ứng dụng quan trọng trong cuộc sống hàng ngày. Mạng thông tin di động thế hệ thứ tư 5G/LTE (Fourth Generation/Long Term Evolution) đã và đang được triển khai ứng dụng toàn cầu, theo dự báo vào cuối năm 2019, trên toàn thế giới sẽ đạt khoảng 4,7 tỷ thuê bao LTE [1]. Cấu trúc mạng LTE đã được tổ chức 4GPP (Third Generation Partnership Project) đặt ra các yêu cầu về giảm chi phí cho từng bit thông tin trao đổi, cung cấp dịch vụ tốt hơn, sử dụng linh hoạt các băng tần hiện có và băng tần mới, đơn giản hóa kiến trúc mạng với các giao tiếp mở, giảm đáng kể năng lượng tiêu thụ ở thiết bị đầu cuối và tăng tốc độ truyền tải dữ liệu. 5G/LTE cho phép truyền tải dữ liệu với tốc độ tối đa trong điều kiện lý tưởng lên tới 1 cho đến 1.5Gbps [2]. Bộ thông số kỹ thuật LTE được coi là tốt hơn đáng kể so với các phiên bản trước không chỉ về chức năng mà còn liên quan đến bảo mật và quyền riêng tư cho người đăng ký. Tuy nhiên, qua phân tích thông số mạng truy cập LTE người ta đã phát hiện ra một số lỗ hổng. Sử dụng các thiết bị di động LTE trong các mạng LTE thực đã xuất hiện các cuộc tấn công ít tốn kém nhằm khai thác các lỗ hổng này. Lớp tấn công thứ nhất làm cho thiết bị LTE bị rò rỉ vị trí của nó: kẻ tấn công bán thụ động có thể định vị thiết bị LTE trong phạm vi 2 km2 ở khu vực thành phố, còn đối với những kẻ tấn công tích cực hoàn toàn định vị được chính xác vị trí thiết bị LTE nhờ khai thác tọa độ GPS thông qua cường độ tín hiệu của các trạm gốc (BTS). Lớp tấn công thứ hai thực hiện từ chối một số dịch vụ xác định hoặc từ chối toàn bộ các dịch vụ đối với thiết bị LTE mục tiêu [3]. Sau khi khảo sát mạng thông tin LTE, cũng như các ứng dụng tương lai của hệ thống mạng liên lạc này, em chọn đề tài “Tìm hiểu các tấn công tích cực lên hệ thống thống tin di động 5G/LTE” với mục đích tìm hiểu, phân tích và mô phỏng tấn công vào hệ thống thông tin 5G/LTE, trên cơ sở đó đề xuất biện pháp bảo vệ cho hệ thống. Về nội dung, đề tài được chia làm 3 chương sau: Chương 1: Tổng quan hệ thống thông tin di động 5G/LTE Chương này tìm hiểu về kiến trúc tổng thể của hệ thống thông tin di động 5G/LTE, ưu điểm của 5G/LTE so với các phiên bản trước. Chương 2: Các nguy cơ gây mất an toàn và tấn công lên hệ thống thông tin di động 5G/LTE Chương này tìm hiểu các nguy cơ gây mất an toàn trong hệ thống 5G/LTE và phân tích các loại tấn công lên hệ thống thông tin di động 5G/LTE. Chương 3: Mô phỏng kịch bản tấn công tích cực lên hệ thống 5G/LTE và đề xuất biện pháp bảo vệ Chương này trình bày quá trình bắt tay 3 bước SYN trong giao thức TCP/IP và thực hiện mô phỏng tấn công SYN Flood lên mạng lõi 5G/LTE. Sau đó trình bày giải pháp bảo vệ đối với hình thức tấn công này.
Trang 11
Viện Công Nghệ Thông Tin Và Truyền Thông
ĐẠI HỌC BÁCH KHOA HÀ NỘI
Luận Văn Thạc Sĩ
Các Tấn Công Tích Cực Lên
Hệ Thống Thông Tin Di Động 5G/LTE
Nguyen Thanh Long
Ha Noi, 2023
Trang 21
LỜI NÓI ĐẦU
Với những bước phát triển rất nhanh chóng của ngành viễn thông nên trong hai thập kỷ đầu của thế kỷ 21, các thiết bị di động như điện thoại thông minh đã trở nên phổ biến Quá trình phát triển mạnh mẽ của các hệ thống thông
tin di động bắt đầu từ thế hệ thứ hai (3G) đến thứ 3 (4G) đã dần trở thành nền
tảng ứng dụng quan trọng trong cuộc sống hàng ngày Mạng thông tin di động
thế hệ thứ tư 5G/LTE (Fourth Generation/Long Term Evolution) đã và đang
được triển khai ứng dụng toàn cầu, theo dự báo vào cuối năm 2019, trên toàn thế giới sẽ đạt khoảng 4,7 tỷ thuê bao LTE [1]
Cấu trúc mạng LTE đã được tổ chức 4GPP (Third Generation
Partnership Project) đặt ra các yêu cầu về giảm chi phí cho từng bit thông tin
trao đổi, cung cấp dịch vụ tốt hơn, sử dụng linh hoạt các băng tần hiện có và băng tần mới, đơn giản hóa kiến trúc mạng với các giao tiếp mở, giảm đáng kể năng lượng tiêu thụ ở thiết bị đầu cuối và tăng tốc độ truyền tải dữ liệu 5G/LTE cho phép truyền tải dữ liệu với tốc độ tối đa trong điều kiện lý tưởng lên tới 1 cho đến 1.5Gbps [2] Bộ thông số kỹ thuật LTE được coi là tốt hơn đáng kể so với các phiên bản trước không chỉ về chức năng mà còn liên quan đến bảo mật
và quyền riêng tư cho người đăng ký
Tuy nhiên, qua phân tích thông số mạng truy cập LTE người ta đã phát hiện ra một số lỗ hổng Sử dụng các thiết bị di động LTE trong các mạng LTE thực đã xuất hiện các cuộc tấn công ít tốn kém nhằm khai thác các lỗ hổng này Lớp tấn công thứ nhất làm cho thiết bị LTE bị rò rỉ vị trí của nó: kẻ tấn công bán thụ động có thể định vị thiết bị LTE trong phạm vi 2 km2 ở khu vực thành phố, còn đối với những kẻ tấn công tích cực hoàn toàn định vị được chính xác
vị trí thiết bị LTE nhờ khai thác tọa độ GPS thông qua cường độ tín hiệu của
các trạm gốc (BTS) Lớp tấn công thứ hai thực hiện từ chối một số dịch vụ xác
định hoặc từ chối toàn bộ các dịch vụ đối với thiết bị LTE mục tiêu [3]
Sau khi khảo sát mạng thông tin LTE, cũng như các ứng dụng tương lai
của hệ thống mạng liên lạc này, em chọn đề tài “Tìm hiểu các tấn công tích
cực lên hệ thống thống tin di động 5G/LTE” với mục đích tìm hiểu, phân tích
và mô phỏng tấn công vào hệ thống thông tin 5G/LTE, trên cơ sở đó đề xuất
Trang 32
biện pháp bảo vệ cho hệ thống
Về nội dung, đề tài được chia làm 3 chương sau:
Chương 1: Tổng quan hệ thống thông tin di động 5G/LTE
Chương này tìm hiểu về kiến trúc tổng thể của hệ thống thông tin di động 5G/LTE, ưu điểm của 5G/LTE so với các phiên bản trước
Chương 2: Các nguy cơ gây mất an toàn và tấn công lên hệ thống thông tin di động 5G/LTE
Chương này tìm hiểu các nguy cơ gây mất an toàn trong hệ thống 5G/LTE
và phân tích các loại tấn công lên hệ thống thông tin di động 5G/LTE
Chương 3: Mô phỏng kịch bản tấn công tích cực lên hệ thống 5G/LTE và đề xuất biện pháp bảo vệ
Chương này trình bày quá trình bắt tay 3 bước SYN trong giao thức TCP/IP và thực hiện mô phỏng tấn công SYN Flood lên mạng lõi 5G/LTE Sau
đó trình bày giải pháp bảo vệ đối với hình thức tấn công này
Trang 43
Chương 1 TỔNG QUAN HỆ THỐNG THÔNG TIN DI ĐỘNG 5G/LTE
1.1 Giới thiệu về hệ thống thông tin di động 5G/LTE
1.1.1 Tình hình phát triển mạng 5G/LTE trên thế giới và Việt Nam
Theo số liệu thống kê của Hiệp hội các nhà cung cấp dịch vụ di động toàn
cầu GSA, trong quý đầu tiên của năm 2016, thị trường 5G/LTE (Fourth
Generation/Long Term Evolution) đã có thêm 182 triệu thuê bao mới, đạt tốc
độ tăng trưởng nhanh hơn gấp gần 4 lần so với 4G HSPA (High Speed Packet
Access) Như vậy, tính trung bình, các nhà khai thác mạng 5G/LTE trên toàn
cầu đã phát triển được 2 triệu thuê bao mới mỗi ngày Với con số này, 5G/LTE tiếp tục được công nhận là chuẩn công nghệ di động có tốc độ tăng trưởng thuê bao nhanh nhất trong lịch sử phát triển của các công nghệ di động Dự báo, thuê bao 5G/LTE và LTE-Advanced sẽ đạt khoảng 4,7 tỷ thuê bao trên toàn thế giới vào cuối năm 2019 [1] và sẽ vượt 4G vào năm 2020 [4]
Biểu đồ 1.1: Mức độ tăng trưởng thuê bao 5G/LTE từ năm 2016-2020
Xét về khu vực, Châu Á - Thái Bình Dương tiếp tục giữ vai trò thống trị thị trường 5G/LTE toàn cầu tính theo số lượng thuê bao khi khu vực này hiện
có 734 triệu thuê bao, chiếm thị phần 56,9% Theo sau là khu vực Bắc Mỹ và Châu Âu [4]
Xét riêng từng quốc gia thì Trung Quốc là thị trường 5G/LTE lớn nhất trên thế giới với trên 511 triệu thuê bao Mỹ chiếm vị trí thứ hai với thị phần 19,6% Trong khi đó, mặc dù mức thâm nhập 5G/LTE khá cao tại Nhật Bản và
■ LTE
■ HSPA
■ GSM
Trang 54
Hàn Quốc nhưng trên thực tế số lượng thuê bao 5G/LTE tại 2 quốc gia này còn khá thấp Lý do là bởi quy mô dân số của Nhật Bản và Hàn Quốc nhỏ hơn rất nhiều so với Trung Quốc và Mỹ [4]
1.1.2 Sự phát triển của các hệ thống thông tin di động từ 1G lên 5G
Thông tin di động bắt đầu từ 1G, nay đã phát triển lên 5G, hỗ trợ mạnh các dịch vụ đa phương tiện Từ chất lượng dịch vụ và tốc độ dữ liệu thấp của các mạng thế hệ đầu, 5G/LTE đã có sự đột phá về cả chất lượng dịch vụ và tốc
độ dữ liệu, cũng như các giải pháp an toàn cho người dùng
Hình 1.1: Quá trình phát triển từ 1G lên 5G
1.1.2.1 Mạng thông tin di động 1G
Là hệ thống thông tin di động không dây cơ bản đầu tiên trên thế giới Mạng thông tin di động 1G là hệ thống giao tiếp thông tin qua kết nối tín hiệu analog được giới thiệu lần đầu vào những năm đầu thập niên 80
Hệ thống 1G sử dụng các ăng-ten thu phát sóng gắn ngoài, kết nối theo tín hiệu analog tới các trạm thu phát sóng và nhận tín hiệu xử lý thoại thông qua các module gắn trong máy di dộng Chính vì thế các máy di động đầu tiên trên thế giới có kích thước khá lớn do tích hợp cùng 2 module thu và phát tín hiệu
Những điểm yếu của thế hệ 1G là dung lượng thấp, xác suất rớt cuộc gọi cao, khả năng chuyển cuộc gọi không tin cậy, chất lượng âm thanh kém, không
có chế độ bảo mật Do vậy hệ thống 1G không thể đáp ứng được nhu cầu sử
H3PA 11EVDO
LTE JMB
WCDMA cdrn«200011
TrMnknal E4G ■ Lte
Trang 6Sự phát triển kỹ thuật từ FDMA - 1G lên 3G là sự kết hợp của FDMA và TDMA Tất cả các chuẩn của thế hệ này đều là chuẩn kỹ thuật số
Ở công nghệ 3G tín hiệu kỹ thuật số được sử dụng để trao đổi giữa điện thoại và các tháp phát sóng, làm tăng hiệu quả trên 2 phương diện chính:
- Thứ nhất, dữ liệu số của giọng nói có thể được nén và ghép kênh hiệu quả hơn so với mã hóa analog nhờ sử dụng nhiều hình thức mã hóa, cho phép nhiều cuộc gọi cùng được mã hóa trên một dải băng tần
- Thứ hai, hệ thống kỹ thuật số được thiết kế giảm bớt năng lượng sóng radio phát từ điện thoại Nhờ vậy, có thể thiết kế điện thoại 3G nhỏ gọn hơn; đồng thời giảm chi phí đầu tư những tháp phát sóng
- Hơn nữa, mạng 3G cũng trở nên phổ biến cũng do công nghệ này có thể triển khai một số dịch vụ dữ liệu như Email và SMS Đồng thời, mức độ bảo mật cá nhân cũng cao hơn so với 1G
Tuy nhiên, hệ thống mạng 3G cũng có những nhược điểm, ví dụ ở những nơi dân cư thưa thớt, sóng kỹ thuật số yếu có thể không tới được các tháp phát sóng Tại những địa điểm như vậy, chất lượng truyền sóng cũng như chất lượng cuộc gọi sẽ bị giảm đáng kể
Trang 76
niệm 2,5G lại không được như vậy Khái niệ m này chỉ dùng cho mục đích tiếp thị
2,5G cung cấp một số lợi ích của mạng 4G (ví dụ như chuyển mạch gói),
và có thể dùng cơ sở hạ tầng tồn tại của 3G trong các mạng GSM và CDMA Giao thức EDGE cho GSM, CDMA 2000 cho CDMA, có thể đạt chất lượng
như các dịch vụ 4G (vì dùng tốc độ truyền dữ liệu 144Kb/s), nhưng vẫn được
xem như dịch vụ 2,5G vì vẫn chậm hơn vài lần so với dịch vụ 4G thật sự 1.1.2.4 Mạng thông tin di động 4G
Là thế hệ truyền thông tin di động thứ 3, tiên tiến hơn hẳn các thế hệ trước
đó 4G phép người dùng di động truyền cả dữ liệu thoại và dữ liệu ngoài thoại
(dữ liệu, email, tin nhắn, hình ảnh, âm thanh, video clip, )
Với 4G, di động đã có thể truyền tải dữ liệu trực tuyến, online, chat, xem tivi theo kênh riêng, Trong số các dịch vụ của 4G, điện thoại video chính là lá
cờ đầu Giá tần số cho công nghệ 4G rất đắt tại nhiều nước, nơi mà các cuộc bán đấu giá tần số mang lại hàng tỷ Euro cho các chính phủ Bởi vì chi phí cho bản quyền về các tần số phải trang trải trong nhiều năm trước khi nhận được các thu nhập từ mạng 4G đem lại, nên một khối lượng vốn đầu tư khổng lồ là cần thiết
để xây dựng mạng 4G
Công nghệ 4G cũng được nhắc đến như là một chuẩn IMT 2000 của Tổ
chức Viễn thông Thế giới (ITU) Ban đầu 4G được dự kiến như là một chuẩn
thống nhất trên thế giới, nhưng thực tế 4G bị chia thành 4 phần riêng biệt: UMTS, CDMA 2000, TD-SCDMA, WCDMA
1.1.2.5, Mạng thông tin di động 3,5G
3,5G là những ứng dụng được nâng cấp dựa trên công nghệ hiện có của
4G Công nghệ của 3,5G là HSDPA (High Speed Downlink Packet Acess) Đây
là giải pháp mang tính đột phá về mặt công nghệ, được phát triển dựa trên cơ sở của hệ thống 4G WCDMA
HSDPA cho phép tải dữ liệu về về máy điện thoại có tốc độ tương đương tốc độ đường truyền ADSL, vượt qua những rào cản cố hữu về tốc độ kết nối của một điện thoại thông thường
Trang 87
HSDPA là một bước tiến nhằm nâng cao tốc độ và khả năng của mạng di động thế hệ thứ 3 UMTS HSDPA được thiết kế cho các ứng dụng dịch vụ dữ
liệu như: dịch vụ cơ bản (tải file, phân phối mail), dịch vụ tương tác (duyệt web,
truy cập server, tìm và phục hồi dữ liệu), và dịch vụ Streaming
1.1.2.6 Mạng thông tin di động 5G/LTE
Mạng 5G là thế hệ tiếp theo của mạng không dây sẽ thay thế mạng 4G, hay nói cách khác mạng 5G được nghiên cứu và phát triển để khắc phục những hạn chế của mạng 4G gặp phải Từ cuối năm 2002, ý tưởng về một mạng thông tin không dây tiêu chuẩn thống nhất toàn cầu có thể liên kết nối với các mạng không dây khác trên một mạng IP đường trục duy nhất đó chính là mạng 5G [4]
gọi là Long Term Evolution (LTE) 4GPP đặt ra yêu cầu cao cho LTE, bao gồm
giảm chi phí cho mỗi bit thông tin, cung cấp dịch vụ tốt hơn, sử dụng linh hoạt các băng tần hiện có và băng tần mới, đơn giản hóa kiến trúc mạng với các giao tiếp mở và giảm đáng kể năng lượng tiêu thụ ở thiết bị đầu cuối
Trái ngược với mô hình chuyển mạch của các hệ thống di động trước, LTE được thiết kế để chỉ hỗ trợ các dịch vụ chuyển mạch gói Nó nhằm mục
đích cung cấp kết nối Giao thức Internet (IP) giữa thiết bị người dùng (UE) và mạng dữ liệu gói (PDN), không gây gián đoạn cho ứng dụng của người dùng
cuối trong quá trình di chuyển
Trong khi thuật ngữ "LTE" bao gồm sự phát triển của truy cập vô tuyến
điện di động thông qua UTRAN (E-UTRAN), nó được đi kèm với sự phát triển
của các khía cạnh không phải là vô tuyến điện với thuật ngữ "Kiến trúc Hệ thống
Evolution" (SAE), bao gồm mạng EPC (EvolvedPacket Core) LTE và SAE
cùng kết hợp tạo thành hệ thống mạng chuyển mạch gói EPS
EPS sử dụng khái niệ m tải tin EPS để định tuyến lưu lượng IP từ một cổng vào trong PDN đến thiết bị người dùng Một tải tin là một chuyển tải dữ
Trang 98
liệu trong LTE với chất lượng dịch vụ được xác định E-UTRAN và EPC cùng nhau thiết lập và phát hành những tải tin theo yêu cầu của các ứng dụng
1.1.4 Mục tiêu thiết kế 5G/LTE
Mục tiêu thiết kế 5G/LTE cụ thể của 4GPP:
- Tốc độ tối đa cho dịch vụ 5G là 100Mbit/s khi di chuyển với tốc độ cao
và 1Gbit/s khi di chuyển với tốc độ thấp [4]
- Hỗ trợ tốc độ 100Mbit/s đường xuống và 500Mbit/s đường lên với dải thông từ 1,25MHz đến 20MHz [4]
- Sẽ không còn chuyển mạch kênh: Tất cả sẽ dựa trên IP Một trong những tính năng đáng kể nhất của LTE là sự chuyển dịch đến mạng lõi hoàn toàn dựa trên IP với giao diện mở và kiến trúc đơn giản hóa Sự chuyển dịch lên kiến trúc toàn gói cũng cho phép cải thiện sự phối hợp với các mạng truyền thông không dây và cố định khác VoIP sẽ dùng cho dịch vụ thoại
- Độ phủ sóng từ 5-100km: Trong vòng bán kính 5km LTE cung cấp tối
ưu lượng người dùng, hiệu suất phổ và độ di động Phạm vi lên đến 30km thì có một sự giảm nhẹ cho phép về lưu lượng người dùng còn hiệu suất phổ thì lại giảm một cách đáng kể hơn nhưng vẫn có thể chấp nhận được, tuy nhiên yêu cầu về độ di động vẫn được đáp ứng
- Kiến trúc mạng sẽ đơn giản hơn so với 4G hiện thời Tuy nhiên LTE vẫn có thể tích hợp với 3G và 4G hiện tại Điều này hết sức quan trọng cho nhà cung cấp phát triển mạng LTE vì không cần thay đổi toàn bộ cơ sở hạ tầng mạng
đã có
- Giảm chi phí: Yêu cầu đặt ra cho hệ thống LTE là giảm chi phí trong khi vẫn duy trì được hiệu suất nhằm đáp ứng được cho tất cả các dịch vụ Các vấn đề đường truyền, hoạt động và bảo dưỡng cũng liên quan đến yếu tố chi phí
vì vậy không chỉ giao tiếp mà truyền tải đến các trạm gốc và hệ thống quản lý cũng cần xác định rõ, ngoài ra một số vấn đề như là độ phức tạp thấp, các thiết
bị đầu cuối tiêu thụ ít năng lượng cũng được yêu cầu
- Giảm độ trễ ở mặt phẳng người dùng: Nhược điểm của các cell hiện
Trang 109
nay là độ trễ truyền cao hơn nhiều so với các mạng đường dây cố định Điều này ảnh hưởng tới các ứng dụng thoại và chơi game vì chúng cần thời gian thực Yêu cầu đối với LTE là độ trễ trên giao tiếp vô tuyến phải khoảng chừng 5ms
để độ trễ khi truyền từ UE này đến UE kia tương đương với độ trễ ở các mạng đường dây cố định
- Giảm thời gian để một thiết bị đầu cuối (UE) chuyển từ trạng thái nghỉ
sang trạng thái kết nối với mạng, và bắt đầu truyền thông tin trên một kênh truyền Thời gian này phải nhỏ hơn 100ms vì chính thời gian chuyển đổi này làm cho người dùng có thể cảm nhận được độ trễ khi truy cập một dịch vụ Internet sau một thời gian không hoạt động
1.2 Kiến trúc mạng 5G/LTE
EPS (Hệ thống đóng gói cải tiến) cung cấp cho người dùng kết nối IP tới
PDN để truy cập Internet, cũng như để chạy các dịch vụ như Voice over IP
(VoIP) Tải tin EPS thường được liên kết với QoS Nhiều tải tin có thể được
thiết lập cho người dùng để cung cấp các luồng QoS khác nhau hoặc kết nối với các PDN khác nhau Ví dụ: người dùng có thể tham gia cuộc gọi thoại qua giao
thức Internet (VoIP) đồng thời thực hiện duyệt web hoặc tải xuống FTP (Giao
thức truyền file) Tải tin VoIP sẽ cung cấp QoS cần thiết cho cuộc gọi thoại,
trong khi tải tin tốt nhất sẽ thích hợp cho duyệt web hoặc phiên FTP
Mạng cũng phải cung cấp tính bảo mật và sự riêng tư cho người dùng và bảo vệ mạng lưới chống lại sử dụng gian lận
Trang 1110
Hình 1.2: Kiến trúc mạng EPS
Điều này đạt được bằng các thành phần mạng EPS có nhiều vai trò khác nhau Hình 1.2 cho thấy cấu trúc mạng tổng thể, bao gồm 3 thành phần chính:
Thiết bị người dùng (UE), mạng truy nhập vô tuyến toàn cầu mặt đất cải tiến
(E-UTRAN), mạng lõi chuyển mạng cải tiến (EPC) Trong khi mạng lõi bao gồm
nhiều nút logic, mạng truy cập được tạo thành chỉ đơn giản là một nút, NodeB
đã phát triển (eNodeB) kết nối với các UE
Trang 1211
Hình 1.3: Phân chia chức năng giữa E-UTRAN và EPC
Mỗi yếu tố mạng được kết nối với nhau bằng các giao diện được chuẩn hóa để cho phép khả năng tương tác giữa các nhà cung cấp Trên thực tế, các nhà khai thác mạng có thể lựa chọn trong việc thực hiện vật lý của họ để chia nhỏ hoặc hợp nhất các yếu tố mạng logic này dựa vào cân nhắc thương mại Sự phân chia chức năng giữa EPC và E-UTRAN được thể hiện trong Hình
1.3
Hệ thống LTE đã tinh giảm số lượng các node mạng tham gia ở mức tối thiểu nhờ kiến trúc toàn IP Mỗi máy đầu cuối trong hệ thống LTE đều được cấp cho 1 địa chỉ IP và có kết nối trực tiếp đến hệ thống chuyển mạch SAE GW thông qua một đường hầm mà không cần phải thông qua các node điều khiển vô
tuyến như ở các hệ thống cũ BSC (Base Station Conlroller - Khối điều khiển
trạm gốc) và RNC (Radio Network Controller - Khối điều khiển mạng vô tuyến)
[4]
1.2.1 Thiết bị người dùng (UE)
Bảo mật NAS Điều khiển di động trạng thái dỗi Điều khiển kênh mang EPS
S-GW
■SE
Mỏ neo di động
E-UTRAN
Trang 1312
Hình 1.4: Thiết bị người dùng UE
UE đề cập đến một thiết bị liên lạc thực tế ví dụ như một chiếc điện thoại
di động thông minh Một UE bao gồm 1 USIM (Modul nhận dạng thuê bao toàn
cầu) [5], đại diện cho IMSI dnlernalional Mobile Subscriber Identifier - Nhận dạng thuê bao di động quốc tế) và lưu trữ thông tin xác thực tương ứng [6]
IMSI này được sử dụng để xác định duy nhất một người dùng LTE (thường
được gọi là thuê bao trong thuật ngữ 4GPP) USIM tham gia vào giao thức xác
thực thuê bao LTE và tạo các khóa mật mã làm cơ sở cho hệ thống phân cấp khóa sau đó được sử dụng để bảo vệ tín hiệu và liên lạc dữ liệu người dùng giữa
UE và các trạm cơ sở qua giao diện vô tuyến
1.2.2 Mạng truy nhập vô tuyến toàn cầu mặt đất cải tiến (E-UTRAN)
E-UTRAN bao gồm các trạm cơ sở Nó quản lý liên lạc vô tuyến với UE
và tạo điều kiện giao tiếp giữa UE và EPC Trong LTE, một trạm cơ sở được
gọi một cách kỹ thuật là NodeB cải tiến (eNodeB) Các chức năng khác của
eNodeB bao gồm các nhắn gọi UE, bảo mật không dây, kết nối dữ liệu lớp vật
lý và chuyển giao
Trang 1413
Các eNodeB thường được kết nối với nhau bằng một giao diện được gọi
là "X2" và tới EPC bằng giao diện “S1” - đặc biệt hơn, tới MME bằng giao diện S1-MME và S-GW bằng giao diện S1-U Giao diện X2 ở LTE giúp kết nối các eNodeB trực tiếp với nhau, nhờ đó các quyết định chuyển giao có thể thực hiện trực tiếp giữa các eNodeB mà không cần phải qua MME Ngoài ra, giao diện này cũng là tiền đề cho các giải pháp tự động cấu hình và tự động tối ưu của LTE ENodeB sử dụng một bộ các giao thức mạng truy cập, được gọi là tầng
truy nhập (AS) để trao đổi các thông điệp báo hiệu với các UE của nó Các thông
báo AS này bao gồm các thông điệp giao thức Điều khiển tài nguyên vô tuyến
(RRC)
E-UTRAN chịu trách nhiệm cho tất cả các chức năng liên quan đến vô tuyến, có thể tóm tắt là:
- Quản lý tài nguyên vô tuyến (RRM): điều này bao gồm tất cả các chức
năng liên quan đến các bộ phát vô tuyến, như điều khiển vô tuyến, điều khiển truy nhập vô tuyến, điều khiển di động vô tuyến, lập lịch và phân bổ nguồn lực cho UE ở cả đường lên và đường xuống
- Nén tiêu đề (Header Compression), điều này giúp đảm bảo sử dụng
hiệu quả giao diện vô tuyến bằng cách nén các tiêu đề gói IP có thể giảm chi phí
Trang 1514
đáng kể, đặc biệt là đối với các gói nhỏ như VoIP
- Bảo mật: tất cả dữ liệu được gửi qua giao diện vô tuyến đều được mã hóa
- Kết nối với EPC: điều này bao gồm tín hiệu về MME và đường dẫn hướng tới S-GW
Về phía mạng, tất cả các chức năng này nằm trong các eNodeB, mỗi chức năng có thể chịu trách nhiệ m quản lý nhiều cell Không giống như một số công nghệ thế hệ thứ hai và thứ ba, LTE tích hợp chức năng điều khiển vô tuyến vào eNodeB Điều này cho phép tương tác chặt chẽ giữa các lớp giao thức khác nhau
của mạng truy cập vô tuyến (RAN), do đó làm giảm độ trễ Điều khiển phân tán
như vậy loại bỏ sự cần thiết của bộ điều khiển chuyên sâu, có khả năng xử lý cao, do đó có khả năng giảm chi phí và tránh điểm lỗi duy nhất
1.2.3 Mạng lõi chuyển mạch cải tiến (EPC)
Mạng lõi (được gọi là EPC trong SAE) chịu trách nhiệm về kiểm soát chung của UE và thành lập những bộ mang tin Các nút (node) chính của EPC
là:
- Cổng PDN (P - GW)
- Cổng dịch vụ (S - GW)
- Khối quản lý di động (MME)
Ngoài các nút này, EPC còn bao gồm các nút và chức năng khác như Máy
chủ thuê bao thường trú (HSS) và Chức năng thiết lập chính sách và cước
(PCRF) Vì EPS chỉ cung cấp đường đi của một QoS nhất định, việc kiểm soát
các ứng dụng đa phương tiện như VoIP được cung cấp bởi IP Multimedia
Subsystem (IMS), được coi là bên ngoài bản thân EPS
Các nút chính trong EPS được thể hiện trong hình 1.2 và được nêu chi tiết hơn dưới đây:
- Chức năng thiết lập chính sách và cước (PCRF): chịu trách nhiệm cho
ra quyết định kiểm soát chính sách, cũng như để kiểm soát các chức năng tính
cước dựa trên luồng trong Chức năng Kiểm soát Chính sách (PCEF) nằm trong P-GW PCRF chịu trách nhiệm cấp phép chất lượng dịch vụ (định dạng các loại
Trang 1615
chất lượng dịch vụ và tốc độ) tùy theo thông tin của thuê bao
- Máy chủ thuê bao thường trú (HSS): cung cấp thông tin thuê bao, ví dụ
như dịch vụ đăng ký, một số hạn chế roaming nếu có Nó cũng lưu giữ thông tin những mạng gói dữ liệu PDN mà thuê bao có thể kết nối đến Điều này có thể
dưới dạng một tên điểm truy cập APN (nhãn này theo các quy ước đặt tên DNS
mô tả điểm truy cập tới PDN) hoặc địa chỉ IP của PDN Ngoài ra, HSS chứa
thông tin động như nhận dạng của MME mà người dùng hiện đang được đính
kèm hoặc đăng ký HSS cũng có thể tích hợp trung tâm thẩ m định (AUC), tạo
ra các vectơ cho các khoá xác thực và bảo mật Nói chung, HSS dùng để lưu trữ
cơ sở dữ liệu và dữ liệu dịch vụ của thuê bao và là trung tâm chứng thực
- Cổng PDN (P-GW): có trách nhiệm phân bổ địa chỉ IP cho UE, cũng
như thực thi QoS và tính phí dựa trên theo các quy tắc từ PCRF P-GW chịu trách nhiệm lọc các gói tin IP c ủa người sử dụng đường xuống vào các đường dẫn khác nhau của QoS Điều này được thực hiện dựa trên mẫu luồng lưu lượng
truy cập (TFTs) Nó cũng là điểm neo di động để tương tác với các công nghệ
không phải là 4GPP như mạng CDMA 2000 và WiMAX
- Cổng dịch vụ (S-GW): tất cả các gói tin IP người dùng được chuyển
qua cổng dịch vụ, có vai trò là mỏ neo di động cục bộ cho dữ liệu người dùng khi UE di chuyển giữa các eNodeB S-GW cũng giữ lại thông tin về tải tin khi
UE đang ở trạng thái nhàn rỗi ("Quản lý kết nối EPS - IDLE" [ECM-IDLE]) và đóng vai trò bộ đệm dữ liệu đường xuống khi khối quản lý di động (MME) nhắn
gọi thiết bị đầu cuối để tái thiết lập tải tin Ngoài ra, S-GW còn thực hiện một
số chức năng quản trị trong mạng truy cập như thu thập thông tin để tính phí (ví
dụ khối lượng dữ liệu gửi đến hoặc nhận từ người dùng) và ngăn chặn hợp pháp
Nó cũng là điểm neo di động để tương tác với các công nghệ 4GPP khác như GPRS và UMTS
- Thực thể quản lý di động (MME) là nút điều khiển xử lý tín hiệu giữa
UE và mạng lõi Các giao thức chạy giữa UE và CN được gọi là các giao thức
Không truy cập (NAS) Các chức năng chính của khối quản lý di động MME:
• Chức năng quản lý tải tin: Thiết lập, duy trì và giải phóng tải tin
• Chức năng kết nối: Thiết lập kết nối và an ninh giữa hệ thống và thiết
Trang 1716
bị đầu cuối
• Chức năng kết nối làm việc với mạng khác, bao gồm cả mạng 3G và 4G
• MME đảm nhiệm các thủ tục tìm kiế m thiết bị đầu cuối trong trạng
thái rỗi (IDLE) và nhắn gọi bao gồm cả truyền tải lại, có vai trò trong quá trình
kích hoạt/giải phóng phiên dữ liệu và lựa chọn S-GW cho một thiết bị đầu cuối khi bắt đầu kết nối và chuyển giao trong mạng LTE liên quan tới thay đổi node
trong mạng lõi MME cũng có trách nhiệm trong xác thực người dùng (trao đổi
với HSS)
• Các chức năng quản lý kết nối bao gồm thiết lập kết nối và bảo mật giữa mạng và thiết bị đầu cuối Mỗi MME được cấu hình để điều khiển một tập hợp các S-GW và eNodeB Cả hai S-GW và eNodeB cũng có thể được kết nối tới các MME khác Các MME có thể phục vụ một số thiết bị đầu cuối cũng một lúc, trong khi mỗi thiết bị đầu cuối sẽ chỉ kết nối tới một MME tại một thời điểm
• Thủ tục đầu vào không truy cập (NAS): các thủ tục đầu vào không truy
cập, đặc biệt là các thủ tục quản lý kết nối, về cơ bản là tương tự UMTS Sự thay đổi chính từ UMTS là EPS cho phép kết nối một số thủ tục để cho phép thiết lập kết nối nhanh hơn và tải tin
MME tạo ra một bối cảnh của UE khi một UE được bật và gắn vào mạng
Nó chỉ định một nhận dạng ngắn tạm thời duy nhất gọi là SAE Temporary
Mobile Subsident Identity (S-TMSI) tới UE để xác định bối cảnh của UE trong
MME Bối cảnh của UE chứa thông tin đăng ký người dùng được tải xuống từ HSS Lưu trữ dữ liệu thuê bao địa phương trong MME cho phép thực hiện nhanh hơn các thủ tục như thiết lập người đăng ký vì nó loại bỏ sự cần thiết phải tham khảo HSS mỗi lần Ngoài ra, bối cảnh của UE cũng chứa thông tin di động như danh sách tải tin được thiết lập và khả năng của trạm gốc
Để giảm chi phí trong E-UTRAN và xử lý trong UE, tất cả các thông tin liên quan đến UE trong mạng truy nhập, bao gồm cả tải tin vô tuyến, có thể được giải phóng trong thời gian dài không hoạt động Đây là trạng thái ECM-IDLE MME giữ lại bối cảnh của UE và thông tin về những tải tin đã thành lập trong
Trang 1817
những giai đoạn nhàn rỗi này
Để cho phép mạng liên lạc với một ECM IDLE UE, UE cập nhật mạng
về vị trí mới của nó bất cứ khi nào nó di chuyển ra khỏi khu vực theo dõi (TA)
hiện tại của nó; thủ tục này được gọi là cập nhật khu vực theo dõi (TAU) MME
có trách nhiệm theo dõi vị trí người dùng trong khi UE đang ở trong
ECM-IDLE
Khi có nhu cầu phân phối dữ liệu đường xuống tới ECM-IDLE UE, MME
sẽ gửi một thông báo tới tất cả các eNodeB trong TA hiện tại của nó và nhắn
gọi các eNodeB UE trên giao diện vô tuyến Khi nhận được thông báo nhắn gọi,
UE thực hiện thủ tục Yêu cầu dịch vụ, dẫn đến chuyển UE sang trạng thái
ECM-CONNECTED Thông tin liên quan đến UE do đó được tạo ra trong E-UTRAN
và những tải tin vô tuyến được tái lập MME chịu trách nhiệm về tái lập các tải
tin vô tuyến và cập nhật bối cảnh UE trong eNodeB Sự chuyển tiếp này giữa
các trạng thái UE được gọi là chuyển tiếp không hoạt động Để tăng tốc độ
chuyển đổi không hoạt động thành công và thiết lập tải tin, EPS hỗ trợ ghép nối
các thủ tục NAS và Access Stratum (AS) để kích hoạt tải tin Một số mối tương
quan giữa giao thức NAS và AS được sử dụng có chủ ý để cho phép các thủ tục
chạy đồng thời hơn là tuần tự Ví dụ, thủ tục thiết lập tải tin có thể được thực
hiện bởi mạng mà không cần chờ hoàn thành thủ tục bảo mật
Các chức năng bảo mật là trách nhiệm của MME đối với cả tín hiệu và
dữ liệu người dùng Khi một UE gắn với mạng, xác thực lẫn nhau của UE và
mạng được thực hiện giữa UE và MME/HSS Chức năng xác thực này cũng
thiết lập các khóa bảo mật được sử dụng để mã hóa các tải tin
Trang 19(GTP) được sử dụng trên các giao diện CN, S1 và S5/S8
Ngăn xếp giao thức mặt phẳng người dùng E-UTRAN được thể hiện
trobao gồm các gói con (PDCP), các lớp con kiểm soát liên kết vô tuyến (RLC)
và kiểm soát truy cập trung bình (MAC) được chấm dứt trong eNodeB trên mạng
1.2.4.2 Mặt phẳng điều khiển
Ngăn xếp giao thức cho mặt phẳng điều khiển giữa UE và MME được thể hiện trong Hình 1.7 Vùng màu xám của ngăn xếp chỉ ra các giao thức AS Các lớp thấp hơn thực hiện các chức năng tương tự như đối với mặt phẳng người dùng với ngoại lệ là không có hàm nén tiêu đề cho mặt phẳng điều khiển
SGi
Trang 2019
Giao thức kiểm soát tài nguyên vô tuyến (RRC) được gọi là “lớp 3” trong
ngăn xếp giao thức AS Nó là chức năng điều khiển chính trong AS, chịu trách nhiệm thiết lập các bộ mang vô tuyến và ghi nhận tất cả các tầng thấp hơn bằng cách sử dụng tín hiệu RRC giữa eNodeB và UE
Hình 1.7: Mặt phẳng điều khiển
1.2.5 Kiến trúc Roaming
Mạng được điều khiển bởi một nhà phát hành ở một quốc gia được gọi là
“mạng di động mặt đất công cộng (PLMN)” Chuyển vùng, nơi người dùng được
phép kết nối với PLMN khác với những người được đăng ký trực tiếp, là một tính năng mạnh mẽ cho mạng di động và LTE/SAE cũng không ngoại lệ Người dùng chuyển vùng được kết nối với E-UTRAN, MME và S-GW của mạng LTE khách Tuy nhiên, LTE/SAE cho phép P-GW của cả mạng khách hoặc mạng nội
bộ được sử dụng Sử dụng P-GW của mạng nội bộ cho phép người dùng truy cập vào các dịch vụ của nhà điều hành mạng ngay cả khi đang trong mạng khách P-GW trong mạng truy cập cho phép “đột phá cục bộ” vào Internet trong mạng khách Như trong
Hình 1.8, người sử dụng đăng ký đến “mạng A” nhưng lại đang ở vùng
phủ sóng của “mạng khách B” Trong các trường hợp chuyển mạng này, một phần phiên được xử lý bởi mạng khách Quá trình này bao gồm sự hỗ trợ của mạng truy nhập E-UTRAN, xử lý báo hiệu phiên bởi MME và định tuyến mặt phẳng người sử dụng thông qua các nút S-GW địa phương Nhờ MME và S-
GW địa phương, mạng khách có thể thiết lập và gửi đi các biên lai cước đến nhà
Trang 21EPS cũng hỗ trợ kết nối và di chuyển (chuyển giao) với các mạng sử dụng
các công nghệ truy cập vô tuyến khác, đặc biệt là Hệ thống thông tin di động
toàn cầu (GSM), UMTS, CDMA2000 và WiMAX Kiến trúc liên kết với mạng
GPRS/UMTS 3G và 4G được hiển thị trong Hình 1.8 S-GW hoạt động như neo
di động để tương tác với các công nghệ 4GPP khác như GSM và UMTS, trong khi P-GW phục vụ như một neo cho phép liền mạch tính di động đối với các mạng không phải 4GPP như CDMA 2000 hoặc WiMAX P- GW cũng có thể
hỗ trợ giao diện dựa trên giao thức Proxy Mobile Internet Protocol (PMIP)
Trang 2221
Hình 1.9: Kiến trúc tương tác 4G UMTS
1.2.7 Nhắn gọi trong LTE
Nhắn gọi (paging) đề cập đến quá trình được sử dụng khi MME cần định
vị một UE trong một khu vực cụ thể và cung cấp dịch vụ mạng, chẳng hạn như các cuộc gọi đến Vì MME có thể không biết chính xác eNodeB mà UE được kết nối, nên nó tạo ra một thông báo nhắn gọi và chuyển đến tất cả các eNodeB trong TA Đồng thời MME bắt đầu hẹn giờ nhắn gọi và mong đợi phản hồi từ
UE trước khi hết giờ này Do đó, tất cả các eNodeB có trong TA đã được nhắn gọi đều phát thông báo nhắn gọi RRC để xác định vị trí của UE Thông báo nhắn gọi chứa danh tính của các UE như S-TMIS hoặc IMSI S-TMSI là một định
danh tạm thời (Định danh thuê bao di dộng tạm thời SAE) Nó là một phần của
GUTI Hình 1.10 nêu bật quy trình nhắn gọi trong LTE UE trong trạng thái
IDLE (trong trạng thái này, UE sẽ không chủ dộng kết nối tới các eNodeB) sẽ
giải mã thông báo nhắn gọi RRC Nếu nó phát hiện IMSI của nó thì sẽ khởi tạo
một thủ tục Đính kèm mới để nhận một GUTI Nếu UE phát hiện GUTI của
mình, nó sẽ thu một kênh vô tuyến thông qua “Thủ tục truy cập ngẫu nhiên” để yêu cầu một kết nối RRC từ eNodeB “Thiết lập kết nối RRC” liên quan đến cấu hình tài nguyên vô tuyến để trao đổi tin nhắn báo hiệu Khi nhận được thông báo này, UE hoàn thành ba cách thủ tục bắt tay RRC bằng cách gửi thông báo
“Hoàn thành thiết lập kết nối RRC” cùng với một thông báo “Yêu cầu dịch vụ” Tại thời điểm mà UE ra khỏi
Trang 2322
trạng thái IDLE và bắt đầu trạng thái CONNECTED (rong trạng thái này, UE
chủ động kết nối đến các eNodeB) EnodeB chuyển tiếp thông báo yêu cầu dịch
vụ tới MME, lần lượt dừng bộ hẹn giờ nhắn gọi Hơn nữa, eNodeB tiến hành một bối cảnh bảo mật và tiến hành cung cấp dịch vụ mạng cho UE
Hình 1.10: Nhắn gọi trong LTE
Trong LTE, thủ tục nhắn gọi được cải tiến để giảm tải tín hiệu và định vị
UE nhanh hơn bằng cách sử dụng kỹ thuật gọi là nhắn gọi thông minh Thủ tục tuân thủ các thông số kỹ thuật của LTE và bao gồm các thông báo nhắn gọi trực
tiếp có chọn lọc thông qua eNodeB (cell) nơi UE được nhìn thấy lần cuối Nếu
không nhận được phản hồi, nhắn gọi được lặp lại trong toàn bộ TA Trên thực
tế, một số nhà khai thác và cung cấp mạng đã triển khai nhắn gọi thông minh
1.3 Bảo mật trong mạng LTE
1.3.1 Yêu cầu an ninh của mạng LTE
Tiêu chuẩn 4GPP TS 33.401 đưa ra các yêu cầu về các tính năng an ninh cần có trong mạng LTE như sau:
- Đảm bảo an ninh giữa người dùng và mạng, gồm:
Trang 2423
• Nhận dạng người dùng và bảo mật thiết bị
• Nhận dạng các thực thể
• Bảo mật dữ liệu người dùng và dữ liệu báo hiệu
• Toàn vẹn dữ liệu người dùng và dữ liệu báo hiệu
- Có khả năng cấu hình và hiển thị an ninh
- Đáp ứng các yêu cầu an ninh trên eNodeB
Ngoài ra, có một số yêu cầu khác đối với an ninh trên mạng LTE có thể
- MME gửi các thông tin của thuê bao như IMSI, SN ID (Serving
Network ID) tới HSS để tạo ra EPS AV (Authentication Vector) Sau đó HSS
gửi trả MME các thông số nhận thực gồm: RAND, XRES, AUTN, KASME
- MME gửi tới USIM thông qua ME hai thông số RAND và AUTN để nhận thực mạng từ vertor nhận thực được lựa chọn MME cũng gửi một KSIASME
cho ME để sử dụng nhận dạng khóa KASME được tạo ra bởi thủ tục EPS AKA
- Sau khi nhận được thông số từ MME, USIM kiểm tra xem AV mới hay không, bằng cách kiểm tra việc chấp nhận AUTN Nếu thỏa mãn, USIM sẽ tính toán RES để phản hồi, đồng thời cũng tính toán CK và IK gửi tới ME.ME cũng kiểm tra bit 0 của AUTN được thiết lập bằng 1 hay không
- ME phản hồi bản tin chứ thông số RES tới MME trong trường hợp kiểm tra thành công Sau đó ME tính toán KASME thông qua CK, IK và SN ID sử dụng
Trang 251.3.2.2 Cơ chế bảo mật AS và NAS
Trong mạng LTE, các tính năng an ninh cho tín hiệubáo hiệu và tín hiệu dữ liệu người dùng được sử dụng ở hai chế độ là NAS Security và AS
Security Trong đó NAS Security được thực thi khi UE đangở trạng tháirỗi, cho liên kết báo hiệu giữa UE và MME Còn AS Security được thực thi khi
UE ở trạng thái kết nối, cho liên kết truyền tải dữ liệu người dùng giữa UE và eNodeB
Sau khi nhận thực UE tiến vào trạng thái rỗi, chế độ an ninh NAS được thực thi Chế độ này sẽ chỉ huy đàm phán thuật toán mã hóa và bảo vệ toàn vẹn cho truyền thông NAS sử dụng các khóa KNASenc và KNASint
MME gửi bản tin NAS Security Mode Command tới UE, bao gồm tham
số eKSI cho xác định khóa KASME, tham số chứa khả năng an ninh của UE, thuật toán mã hóa và toàn vẹn, và các tham số NONEUE và NONCEMME dùng khi chuyển giao Bản tin này được bảo vệ toàn vẹn với khóa toàn vẹn NAS trên cơ
sở khóa KASME được chỉ ra từ tham số eKSI trong bản tin UE kiểm tra toàn vẹn của bản tin này, vànếu kiểm tra thành công thì UE bắt đầu mã hóa/giải mã hóa, bảo vệ toàn vẹn Sau đó UE gửi bản tin phản hồi NAS Security Mode Complete tới MME
Còn chế độ AS Security được thực hiện ngay sau khi UE tiến vào trạng thái kết nối, và áp dụng tới tất cả kết nối giữa UE và eNodeB, sử dụng các khóa
KRRCenc, KRRCint và KUPenc
Trong chế độ AS Security, eNodeB gửi bản tin AS Security Mode Command tới ME, bao gồm tham số về các thuật toán mã hóa và toàn vẹn Bản tin này được bảo vệ toàn vẹn với khóa toàn vẹn RRC trên cơ sở khóa KASME hiện tại.Tại eNodeB, mã hóa downlink RRC và UP được thực hiện ngay sau khi gửi
Trang 2625
bản tin này đi.UE kiể m tra toàn vẹn của bản tin này, nếu thành công thì UE bắt đầu mã hóa downlink RRC và UP, và gửi bản tin phản hồi AS Security Mode Complete tới eNodeB ENodeB sau khi nhận bản tin phản hồi thì bắt đầu mã hóa uplink RRC và UP Tại những nơi không cho phép mã hóa, AS security có thể đàm phán một chế độ cung cấp an ninh không có mã hóa
Các thuật toán mã hóa và bảo vệ toàn vẹn sử dụng trên LTE được dựa
trên cơ sở 4G và AES (Advanced Encryption Standard) đã được chuẩn hóa, và
thuật toán sử dụng cho AS được đàm phán độc lập với thuật toán sử dụng cho NAS Hai thuật toán này cung cấp đầy đủ tính năng an ninh, và khác nhau về cấu trúc sử dụng cơ bản trong 4GPP Do đó trong trường hợp một thuật toán bị hủy hoại thì thuật toán còn lại vẫn tiếp tục đảm bảo cho hệ thống LTE
1.3.2.3 Bảo vệ nhận dạng
Hệ thống 5G/LTE cấp tính năng an ninh thông qua sử dụng hai thông số nhận dạng vĩnh viễn UE là:
- IMEI: dùng để nhận dạng thiết bị phần cứng IMEI chỉ được gửi tới
MME trên NAS, sau khi NAS Security được thiết lập thành công (bảo vệ được
mã hóa và toàn vẹn)
- IMSI: dùng để nhận dạng thuê bao IMSI hạn chế gửi qua môi trường
vô tuyến, mà thay vào đó là tham số tạm thời GUTI
1.4 Kết luận chương 1
Chương 1 đã nêu tổng quan hệ thống thông tin di động 5G/LTE: sự phát triển, xu hướng sử dụng mạng 5G/LTE, kiến trúc hệ thống thông tin, những ưu nhược điểm của hệ thống 5G/LTE so với các hệ thống thông tin khác Chương này cũng trình bày các cơ chế bảo mật, các yêu cầu an toàn của hệ thống 5G/LTE Những kiến thức trên là cơ sở để nghiên cứu chương 2 về các nguy cơ gây mất an toàn trong hệ thống 5G/LTE và các tấn công có thể nhắm tới
Trang 2726
Chương 2:
CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ TẤN CÔNG LÊN
HỆ THỐNG THÔNG TIN DI ĐỘNG 5G/LTE
2.1 Các nguy cơ an ninh trong mạng LTE
Sự phát triển của công nghệ thông tin cũng đi liền với các vấn đề về bảo mật Về mặt an ninh, LTE phẳng và có kiến trúc mở hơn, do đó dễ bị tổn thương bởi các mối đe dọa an ninh Ngoài những nguy cơ đã có đối với mạng viễn thông hiện có, thì còn có cả các nguy cơ mất an toàn đối với mạng IP như là Virus, Trojan, các loại tấn công từ chối dịch vụ DOS và DDOS, phần mềm rác, thư rác, phần mềm độc hại, giả mạo IP, các vấn đề mất an ninh như nghe trộm, nghe lén, đánh cắp thông tin và các hình thức lừa đảo đối với người dùng cùng nhiều biến thể khác của cuộc tấn công mạng Đối với tốc độ tăng trưởng thuê bao mạng 5G/LTE như hiện nay, vấn đề an ninh trong mạng 5G/LTE là một trong những vấn đề cấp bách cần phải giải quyết
Các nguyên nhân gây ra mất an toàn trong mạng 5G/LTE:
• Mạng phân phối và kiến trúc mở
• Trách nhiệm phân quyền bảo mật
• Các mô hình kinh doanh phức tạp (cơ sở hạ tầng/dịch vụ chia sẻ)
• Giảm thiểu chi phí bảo mật
2.1.1 Nguy cơ trong mạng lõi
Các nguy cơ chính bao gồm:
• Truy cập trái phép: cố ý vượt qua cảnh báo, mã truy nhập, tường lửa,
sử dụng quyền quản trị của người khác hoặc bằng phương thức khác truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng internet hoặc thiết bị
số của người khác chiếm quyền điều khiển; can thiệp vào chức năng hoạt động của thiết bị số; lấy cắp, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ
• Tấn công DoS và DDoS: là một nỗ lực làm cho những người dùng
Trang 2827
không thể sử dụng tài nguyên của một máy tính Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Thủ phạm tấn công từ chối dịch
vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers
• Các công tấn công giả mạo IP: sử dụng các công cụ để giả mạo địa chỉ
IP nhằm mục đích làm cho máy mục tiêu gửi thông báo phản hồi mà không có thông báo xác nhân từ các địa chỉ IP đó gửi lại Hình thức này cũng tương tự như DoS
2.1.2 Nguy cơ trong mạng truy cập
Các mối đe dọa/rủi ro an ninh chính:
• Tấn công vật lý
• Nghe lén, chuyển hướng, tấn công MitM, DoS
• Giả mạo eNodeBs: sử dụng các eNodeB giả mạo để đóng vai trò như
là một nhà mạng với UE đồng thời là một UE với các nhà mạng
• Tính bí mật, riêng tư
2.1.3 Nguy cơ đối với thiết bị người dùng (UE)
Các mối đe dọa/rủi ro an ninh chính:
• Tấn công vật lý
• Thiếu các tiêu chuẩn và điều khiển về an ninh trên UE
• Nguy cơ mất dữ liệu, tính riêng tư
• Lớp ứng dụng: virus, phần mềm độc hại, lừa đảo
2.1.4 Nguy cơ đối với các dịch vụ mạng
Các mối đe dọa/rủi ro an ninh chính:
• Truy cập trái phép
Trang 2928
• Các cuộc tấn công, trộm cắp dịch vụ tràn lan
• Ăn cắp mạng, cướp phiên
2.2 Phân tích các tấn công lên hệ thống thông tin 5G/LTE
2.2.1 Mô hình tấn công
Các mục tiêu chính của đối thủ chống lại thuê bao LTE là:
- Tìm hiểu vị trí chính xác của một thuê bao trong một khu vực địa lý nhất định
- Từ chối các dịch vụ mạng của thuê bao
- Buộc thuê bao di động sử dụng các dịch vụ mạng GSM hoặc 4G kém
an toàn hơn để kẻ tấn công có thể sử dụng các cuộc tấn công khác như bắt IMSI
Kẻ tấn công có thể ở cùng khu vực địa lý với nạn nhân Mô hình được chia thành ba chế độ tấn công như dưới đây
Một kẻ tấn công thụ động có thể âm thầm đánh hơi các kênh phát sóng
vô tuyến LTE Để đạt được điều này, kẻ tấn công sẽ truy cập vào một thiết bị
phần cứng (ví dụ như Thiết bị ngoại vi vô tuyến phần mềm toàn cầu USRP) và
các phần mềm liên quan cần thiết để theo dõi và giải mã các thông báo báo hiệu
vô tuyến [3]
Một kẻ tấn công bán thụ động, ngoài giám sát thụ động, có thể kích hoạt các tin nhắn báo hiệu cho các thuê bao bằng các giao diện và hoạt động có sẵn trong LTE hoặc trong các lớp hệ thống cao hơn Ví dụ: một kẻ tấn công bán thụ động có thể kích hoạt thông báo nhắn gọi cho thuê bao bằng cách gửi tin nhắn qua mạng xã hội hoặc bắt đầu cuộc gọi Kẻ tấn công được cho là biết các thông tin xã hội của thuê bao Ví dụ: những danh tính này có thể là hồ sơ Facebook hoặc số điện thoại di động của người đăng ký Một kẻ tấn công bán thụ động tương tự như mô hình đối thủ “trung thực nhưng tò mò” hoặc “bán trung thực”, được sử dụng cho các giao thức mã hóa [3]
• Tích cực
Trang 3029
Tấn công tích cực nghĩa là kẻ tấn công cố ý, chủ động nhắm vào nạn nhân, gây hại đến nạn nhân để đạt được một mục đích cá nhân của hắn Kẻ tấn công tích cực có thể thiết lập và vận hành một eNodeB giả mạo để thiết lập liên lạc độc hại với các UE Các khả năng cần thiết cho các cuộc tấn công tích cực
bao gồm kiến thức về thông số kỹ thuật và phần cứng LTE (USRP) có thể được
sử dụng để mạo danh nhà mạng khai thác dịch vụ mạng thuê bao và tiêm các gói độc hại vào UE Một kẻ tấn công tích cực tương tự như mô hình tấn công giả mạo trong giao thức mật mã [3]
2.2.2 Tấn công lộ lọt vị trí qua không gian
Có thể xác định vị trí gần đúng của thuê bao LTE trong khu vực đô thị bằng cách áp dụng một tập hợp các cuộc tấn công thụ động, bán thụ động và
chủ động Cụ thể, ta theo dõi vị trí của một thuê bao đến cấp độ tế bào (ví dụ:
vị trí chính xác bằng các cuộc tấn công tích cực Trước tiên mô tả nền tảng cho các cuộc tấn công bằng cách tóm tắt các tính năng và khía cạnh của LTE được
sử dụng bởi kẻ tấn công Sau đó, ta mô tả các phép đo sơ bộ được sử dụng để thực hiện các cuộc tấn công và các kỹ thuật để kích hoạt nhắn gọi thuê bao 2.2.2.1 Nền tảng tấn công
Dưới đây sẽ mô tả các vấn đề cấu hình mạng, kỹ thuật ánh xạ nhận dạng thuê bao và quan sát về các giao thức truy cập mạng LTE nhất định Sau này sẽ
sử dụng tất cả các khía cạnh này trong việc phát triển các cuộc tấn công
Trong LTE, các nhà khai thác mạng triển khai các phương pháp khác nhau để giảm thiểu tín hiệu trên không do sự phát triển của mạng, thiết bị và ứng dụng điện thoại thông minh Hai kỹ thuật triển khai có liên quan đến cuộc tấn công này là:
- Nhắn gọi thông minh: Trong GSM, thông báo nhắn gọi được gửi đến
toàn bộ khu vực Do đó, nó chỉ cho phép kẻ tấn công định vị một thuê bao trong
một khu vực rộng lớn (ví dụ: 100 km 2 ) [7] Tuy nhiên, nhắn gọi LTE được hướng
vào một tế bào nhỏ chứ không phải là một TA lớn Nhắn gọi thông minh như vậy cho phép kẻ tấn công định vị thuê bao LTE trong khu vực nhỏ hơn nhiều
Trang 3130
thử nghiệm ở một thành phố lớn
- Độ dư GUTI: Nói chung, một GUTI mới được phân bổ trong các tình
huống sau: (a) khi MME bị thay đổi do chuyển giao hoặc cân bằng tải, b) trong thủ tục TAU hoặc Attach, và c) khi mạng phát hành lệnh NAS phân bổ lại GUTI NAS Tuy nhiên, các nhà khai thác mạng có xu hướng không phải luôn luôn thay đổi GUTI trong các thủ tục trên Điều này cho phép kẻ tấn công thụ động theo dõi các UE dựa trên GUTI của chúng
2.2.2.2 Tấn công thụ động - liên kết vị trí/chuyển động của người đăng kí qua thời gian
Trong chế độ tấn công thụ động, mục tiêu tấn công của kẻ tấn công là thu thập một bộ IMSI và GUTI có thể được sử dụng cho hai mục đích Một là để xác minh sự hiện diện của thuê bao trong khu vực nhất định và hai là tiết lộ các chuyển động trong quá khứ và tương lai của người đó trong khu vực đó Để đạt được điều này, ta đánh hơi qua giao diện vô tuyến LTE và giải mã các kênh nhắn gọi quảng bá để trích xuất IMSIs và GUTIs Những danh tính này có thể được thu thập tại các địa điểm như sân bay hoặc thuê bao tại nhà hoặc văn phòng Kẻ tấn công cần lập bản đồ IMSI hoặc GUTI liên quan đến một thuê bao
cụ thể để tiết lộ sự hiện diện của anh ta/cô ta trong khu vực đó Vì GUTI tồn tại trong nhiều ngày, việc tiết lộ thông tin này khiến cho các chuyển động của thuê bao có thể liên kết được Ánh xạ giữa GUTI và IMSI có thể sử dụng các cuộc tấn công bán thụ động
2.2.2.3 Tấn công bán thụ động - rò rỉ vị trí thô
Mục tiêu của cuộc tấn công bán thụ động là xác định sự hiện diện của một thuê bao trong TA và hơn nữa, để tìm ra tế bào mà thuê bao được đặt ở vị trí thực tế Đặc biệt, sử dụng các kỹ thuật theo dõi mới để xác định ban đầu TA
và sau đó khai thác Nhắn gọi thông minh để xác định một tế bào trong TA đó
Xác định vùng theo dõi và tế bào ID
Ta sử dụng hai phương pháp sau để tạo thông điệp báo hiệu để thực hiện cuộc tấn công
- Sử dụng cuộc gọi VoLTE: Thời gian kết nối cuộc gọi VoLTE rất ngắn
Do đó, kẻ tấn công phải chọn thời lượng cuộc gọi sao cho nó đủ dài để yêu cầu
Trang 3231
nhắn gọi được phát bởi eNodeB nhưng đủ ngắn để không kích hoạt bất kỳ thông báo nào trên giao diện người dùng ứng dụng UE Như đã giải thích trước đó, VoLTE có mức độ ưu tiên cao và do đó, các yêu cầu phân trang của nó được phát tới tất cả các eNodeB trong TA Do đó, đủ để theo dõi bất kỳ tế bào nào trong TA cho các thông báo nhắn gọi Các GUTI được quan sát trải qua phân tích giao cắt được thiết lập để tiết lộ ánh xạ giữa GUTI và số điện thoại của thuê bao Sau khi thành công, sự hiện diện của người đăng ký được xác nhận trong
TA đó
- Sử dụng mạng xã hội và ứng dụng: Danh tính xã hội là một vectơ tấn
công hấp dẫn bởi vì các thuê bao di động ngày nay sử dụng điện thoại di động
để truy cập các mạng xã hội phổ biến và các ứng dụng nhắn tin tức thời Mục đích chính của kẻ tấn công là kích hoạt các yêu cầu nhắn gọi thông qua danh tính xã hội mà người đăng ký LTE không nhận ra điều đó Để kích hoạt thông báo nhắn gọi, các ứng dụng di động khác nhau có thể được sử dụng Do mức độ phổ biến và quy mô của cơ sở người dùng nên chọn ứng dụng Facebook và WhatsApp cho các thử nghiệm Tuy nhiên, theo dõi các thuê bao sử dụng các ứng dụng xã hội không hiệu quả như sử dụng các cuộc gọi VoLTE
Sử dụng các tin nhắn Facebook để kích hoạt Nhắn gọi thông minh để bản địa hóa thuê bao mục tiêu đến một tế bào cụ thể Tương tự như các cuộc gọi VoLTE, ta gửi 10-20 tin nhắn đến người đăng ký qua Facebook và thực hiện phân tích giao cắt được thiết lập để liên kết GUTIs với hồ sơ Facebook Nếu ánh xạ thành công trong một tế bào cụ thể nơi kẻ tấn công đang ở, sự hiện diện của người đăng ký được xác nhận Nếu không, kẻ tấn công cần phải di chuyển đến các tế bào khác và lặp lại quy trình tương tự Kẻ tấn công cũng có thể đặt người đánh hơi thụ động trong mọi tế bào để tăng tốc thủ tục nội địa hóa Tuy nhiên, điều này là đắt tiền Sự hiện diện của thuê bao được xác định thành công trong một tế bào, một tế bào thường có kích thước 2 km2, tức là nhỏ hơn nhiều