Nghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTENghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTENghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTENghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTENghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTENghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTE
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
LÊ THỊ THU TRANG
NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG THÔNG TIN DI ĐỘNG 4G LTE
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
HÀ NỘI - 2016
Trang 2HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
LÊ THỊ THU TRANG
NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG THÔNG TIN DI ĐỘNG 4G LTE
CHUYÊN NGÀNH : KHOA HỌC MÁY TÍNH
Trang 3i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất cứ công trình nào
TÁC GIẢ
Lê Thị Thu Trang
Trang 4ii
LỜI CÁM ƠN
Được sự đồng ý của Học Viện Công Nghệ Bưu Chính Viễn Thông, và sự
đồng ý của thầy giáo hướng dẫn TS Vũ Văn Thỏa tôi đã thực hiện đề tài “Nghiên
cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTE”
Để hoàn thành luận văn này, tôi xin chân thành cảm ơn các thầy cô giáo đã tận tình hướng dẫn, giảng dạy trong suốt quá trình học tập, nghiên cứu và rèn luyện tại Học Viện Công Nghệ Bưu Chính Viễn Thông
Tôi xin chân thành cảm ơn thầy giáo hướng dẫn TS Vũ Văn Thỏa đã tận tình, chu đáo hướng dẫn tôi thực hiện luận văn này
Mặc dù đã có nhiều cố gắng để thực hiện luận văn một cách hoàn chỉnh nhất Song do còn nhiều hạn chế về kiến thức và kinh nghiệm nên không thể tránh khỏi những thiếu sót nhất định mà bản thân chưa thấy được Tôi rất mong nhận được sự góp ý của quý Thầy, Cô giáo và các bạn đồng nghiệp để luận văn được hoàn chỉnh hơn
Tôi xin trân trọng cám ơn
Tác giả
Lê Thị Thu Trang
Trang 5iii
MỤC LỤC
LỜI CAM ĐOAN i
LỜI CẢM ƠN ii
DANH MỤC TỪ VIẾT TẮT vi
DANH MỤC CÁC BẢNG BIỂU vii
DANH MỤC CÁC HÌNH VẼ viii
MỞ ĐẦU…… 1
Tính cấp thiết của đề tài 1
Tổng quan về vấn đề nghiên cứu 2
Mục đích, đối tượng, phạm vi và phương pháp nghiên cứu 2
Cấu trúc luận văn 3
CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT TRONG CÁC MẠNG THÔNG TIN DI ĐỘNG 5
1.1 Thực trạng vấn đề bảo mật trong các mạng thông tin di dộng trên thế giới và tại Việt Nam 5
Tấn công 6
Tác hại 7
Giải pháp khắc phục 7
1.2 Tổng quan mạng thông tin di động 4G LTE 8
Các thành phần cơ bản trong kiến trúc mạng 4G LTE 9
Các giao diện chính trong mạng 4G LTE 11
1.3 Yêu cầu bảo mật mạng 4G LTE 12
1.4 Kiến trúc bảo mật mạng 4G LTE 13
Xác thực và khóa gốc 14
Bảo mật cho dữ liệu mặt phẳng người dùng và mặt phẳng điều khiển 15 Bảo vệ tính toàn vẹn cho dữ liệu mặt phẳng điều khiển 15
Nhận thực EPS và thủ tục thỏa thuận khóa (EPS-AKA) 15
Thuật toán mã hóa và toàn vẹn EPS 18
NDS (Network Domain Security) 19
1.5 Các cơ chế bảo mật mạng 4G LTE 21
Nhận dạng người dùng 21
NAS Security 21
AS Security 21
Trang 6iv
IPsec 22
Cơ chế bảo vệ bản tin trong giao tiếp 23
1.6 Kết luận chương 1 26
CHƯƠNG 2 - NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG THÔNG TIN DI DỘNG 4G LTE 27
2.1 Những hiểm họa đối với máy di động 27
Worms (sâu/mọt) 27
Zombies 28
Viruses 28
Trojan Horses 28
Logic Bombs 29
Trap Doors 29
Phishing Scam (PS) 29
Spyware 29
2.2 Các kiểu tấn công trên mạng di động 29
Phân loại các kiểu tấn công 29
Một số kiểu tấn công điển hình 32
Mối đe dọa trên các phần tử mạng 36
2.3 Các giải pháp bảo vệ mạng 4G LTE 41
Chống lại Malware 43
Bảo vệ bằng bức tường lửa 43
Bảo vệ mạng bằng hệ thống phát hiện và ngăn ngừa xâm nhập 44
Bảo vệ mạng bằng VPN 45
Bảo vệ trên từng phần tử mạng 45
2.4 Kết luận chương 2 49
CHƯƠNG 3 - NGHIÊN CỨU CƠ CHẾ IP SECURITY TRONG BẢO MẬT MẠNG 4G LTE 50
3.1 Tổng quan IP Security 50
Khái niệm IP Security 50
Tính năng của IP Sec 51
Kiến trúc IP Sec và các chế độ hoạt động 51
Bộ giao thức IPSec và cơ chế hoạt động của bộ giao thức IPSec 53
Cách thức hoạt động của IPSec 57
Trang 7v
3.2 Cơ chế IPSec trong mạng thông tin di động 4G LTE 57
IPSec trong Control plane 59
IPSec trong User plane 61
3.3 Mô phỏng bảo mật gói tin bằng IPSec 64
Cài đặt môi trường 64
Mô phỏng quá trình tấn công 65
Thiết lập IPSec bảo mật gói tin 67
3.4 Kết luận chương 3 72
KẾT LUẬN…… 74
TÀI LIỆU THAM KHẢO 76
Trang 8vi
DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt Ý nghĩa
1 EPS Evolved Packet System
2 IMEI International Mobile Equipment Identity
3 IMSI International Mobile Subcriber Indentity
4 LTE Long Term Evolution
5 MME Mobility Management Entity
6 PDN Packet Data Network
8 QoS Quality of Service
9 RNC Radio Network Controller
10 SAE System Architecture Evolution
11 SGW Serving Gateway
12 UICC Universal Integrated Circuit Card
Trang 9vii
DANH MỤC CÁC BẢNG BIỂU
Bảng 2.1 Giải pháp chống lại các dạng tấn công cụ thể 41
Trang 10viii
DANH MỤC CÁC HÌNH VẼ
Hình 1.1 Mô hình cơ bản 8
Hình 1.2 Kiến trúc mạng 4G LTE 9
Hình 1.3 Các kết nối của P-GW với các nút logic khác 10
Hình 1.4 Các giao diện chính trong mạng 4G LTE 11
Hình 1.5 Kiến trúc bảo mật EPS 13
Hình 1.6 Quá trình xác thực thuê bao mạng LTE 16
Hình 1.7 Hệ thống phân cấp khóa 17
Hình 1.8 Thuật toán mã hóa 128-EEA1 SNOW 3G 18
Hình 1.9 Thuật toán toàn vẹn EIA2 AES 19
Hình 1.10 Kiến trúc triển khai NDS trên mạng LTE 20
Hình 1.11 Bảo mật NAS và AS trong LTE 22
Hình 1.12 Các mặt phẳng trong 4G LTE 23
Hình 1.13 Bảo vệ mặt phẳng tín hiệu EPS 24
Hình 1.14 Bảo vệ mặt phẳng dữ liệu người dùng EPS 25
Hình 2.1 Tấn công theo dõi thiết bị và nhận dạng 32
Hình 2.2 Kiến trúc tấn công DoS điển hình 33
Hình 2.3 Tấn công Overbilling 33
Hình 2.4 Server lưu trữ thông tin thuê bao và xác thực 34
Hình 2.5 Tấn công thương lượng lại 35
Hình 2.6 Tấn công chặn cuộc gọi 35
Hình 2.7 Tấn công gây nhiễu giao diện vô tuyến UE 35
Hình 2.8 Tấn công khả dụng trên eNB và Core 36
Hình 2.9 Kiến trúc cơ bản 4G LTE 36
Hình 2.10 Bảo vệ bằng bức tường lửa 43
Hình 2.11 Bảo vệ mạng bằng Firewall và IDP 44
Hình 3.1 Protocols trong mô hình TCP/IP và OSI 50
Hình 3.2 Kiến trúc IPSec 51
Hình 3.3 Các chế độ hoạt động của IPSec 52
Trang 11ix
Hình 3.4 IP SA 54
Hình 3.5 Giao thức AH 55
Hình 3.6 Giao thức ESP 56
Hình 3.7 Cơ chế bảo mật IPSec ở đường liên kết backhaul trong mạng 4G LTE 58
Hình 3.8 Bản tin trên S1-AP trước khi thiết lập IPSec 61
Hình 3.9 Bản tin trên S1-AP sau khi thiết lập IPSec 61
Hình 3.10 Bản tin truyền trên S1-u trước khi thiết lập IPSec 63
Hình 3.11 Bản tin truyền trên S1-u sau khi thiết lập IPSec 64
Hình 3.12 Cài đặt môi trường 64
Hình 3.13 Kẻ tấn công đóng giả địa chỉ server 65
Hình 3.14 Kẻ tấn công đóng giả địa chỉ client 65
Hình 3.15 Kẻ tấn công nghe lén gói tin 66
Hình 3.16 Người dùng truy cập vào địa chỉ server 66
Hình 3.17 Kẻ tấn công lấy được thông tin của nạn nhân 66
Hình 3.18 Dữ liệu gói tin bắt được phía server 67
Hình 3.19 Thiết lập IPSec phía server 68
Hình 3.20 Thiết lập IPSec phía client 68
Hình 3.21 Kẻ tấn công nghe lén gói tin 68
Hình 3.22 Dữ liệu gói tin bắt được phía server 69
Hình 3.23 Địa chỉ IPv6 phía Server 69
Hình 3.24 Địa chỉ IPv6 phía client 70
Hình 3.25 Người dùng truy cập vào địa chỉ server 70
Hình 3.26 Dữ liệu gói tin bắt được phía server 71
Hình 3.27 Thiết lập IPSec phía server 71
Hình 3.28 Thiết lập IPSec phía client 71
Hình 3.29 Dữ liệu gói tin bắt được phía server 72
Trang 121
MỞ ĐẦU
Tính cấp thiết của đề tài
Trong những năm gần đây, các mạng thông tin di động đã và đang được triển khai rộng rãi khắp Việt Nam cho phép người dùng sử dụng thiết bị đầu cuối có khả năng kết nối 3G và sử dụng rất nhiều ứng dụng phục vụ cho nhu cầu đời sống cá nhân của con người Trên nền tảng 3G, người sử dụng có thể đọc tin tức, lướt web, xem phim, tải nhạc, chơi game… Tuy nhiên, chất lượng dịch vụ nhiều khi vẫn chưa thỏa mãn người dùng do tốc độ đường truyền dữ liệu còn hạn chế, nhất là những dịch vụ như xem phim trực tuyến, nghe nhạc online chất lượng cao, chơi game hay các dịch vụ định vị… Để giải quyết những bất cập này và mang lại trải nghiệm tốt nhất cho người dùng, mạng thông tin di động 4G LTE được xem là xu hướng tất yếu
Việc triển khai 4G LTE tại Việt Nam là xu hướng không tránh khỏi, bởi lợi ích mà nó mang lại là tăng chất lượng đối với các dịch vụ lướt web, dịch vụ trực tuyến nhờ vào độ trễ thấp và hầu như không bị trễ, công nghệ 4G LTE cho phép người dùng sử dụng truyền tải dữ liệu có thể gấp hơn 20 lần tốc độ băng thông cao nhất của dịch vụ 3G hiện tại Vùng phủ sóng cho ứng dụng tốt hơn đảm bảo cho các ứng dụng đa phương tiện hoạt động tốt khi tải về hoặc đưa lên, nâng cao chất lượng thoại và giảm thời gian thiết lập cuộc gọi 4G LTE tương thích với các hạ tầng viễn thông hiện tại và toàn bộ hệ sinh thái
Với xu thế triển khai mạng 4G LTE, nguy cơ mất an toàn thông tin đặt ra nhiều thách thức Sự phát triển quá nhanh của công nghệ di động cũng đồng nghĩa với việc quản lý mặt thông tin ngày càng khó khăn và phức tạp Với việc truy cập internet tốc độ cao và các thiết bị đầu cuối di động hỗ trợ công nghệ 4G LTE thì bất
cứ ai cũng có thể trở thành nguồn cung cấp và tiếp nhận thông tin Điều đó khiến các hacker lợi dụng thiết bị cầm tay như một máy trạm, chúng tấn công mạng và sử dụng thiết bị di dộng khác gây lây nhiễm mã độc dẫn đến người dùng bị ăn cắp thông tin ngân hàng, tin nhắn, danh bạ, … gây nên những hậu quả khôn lường
Trang 132
Với những lý do trên, đề tài luận văn có tên “Nghiên cứu các giải pháp bảo
mật trong mạng thông tin di động 4G LTE” nhằm tiến hành nghiên cứu các giải
pháp bảo mật của mạng thông tin di dộng 4G LTE từ đó khảo sát giao thức IPSec và
cơ chế bảo mật của IPsec trong mạng 4G LTE
Tổng quan về vấn đề nghiên cứu
Mạng 4G LTE là công nghệ truyền thông không dây tốc độ cao dành cho các thiết bị di động và trạm dữ liệu.Với mục tiêu về lâu về dài, 4G LTE có sứ mệnh thiết kế lại và đơn giản hóa kiến trục mạng thành một hệ thống dựa trên nền IP với
độ trễ truyền tải dữ liệu thấp hơn nhiều so với chuẩn mạng 3G
Với bất kỳ mạng IP nào việc đảm bảo an ninh là tối quan trọng, điêu này là đúng với mạng 4G LTE - một mạng di động all-IP.Trong đó, IPSec (Internet Protocol Security) là một giao thức nhằm đảm bảo tính bí mật, toàn vẹn và xác thực của thông tin trên nền giao thức Internet IPsec thực hiện mã hóa packet và xác thực
ở lớp network trong mô hình OSI Nó cung cấp một giải pháp an toàn dữ liệu đầu – cuối trong bản thân cấu trúc mạng Nhờ vào những ưu điểm trên mà IPSec đã được ứng dụng nhiều trong mạng virtual private network (VPN) cụ thể như gói phần mềm OspenS/wan,…
Do đó, tác giả tiến hành thực hiện đề tài luận văn nghiên cứu để làm rõ thêm
về các vấn đề bảo mật và giải pháp trong mạng thông tin di động 4G LTE và tìm hiểu sâu hơn về giao thức IPSec trong mạng 4G LTE
Mục đích, đối tượng, phạm vi và phương pháp nghiên cứu
Luận văn tập trung nghiên cứu, tìm hiểu các vấn đề cơ bản về bảo mật trong mạng thông tin di động 4G LTE.Mục đích luận văn là trình bày được các rủi ro, mối
đe dọa có thể xảy đến khi triển khai mạng 4G LTE, từ đó đưa ra các giải pháp bảo mật tương ứng, và tìm hiểu chuyên sâu về giao thức bảo mật IPSec
Đối tượng nghiên cứu của luận văn là các vấn đề bảo mật trong hệ thống mạng thông tin di động 4G LTE Phạm vi nghiên cứu của luận văn là bảo mật và giải pháp trong mạng thông tin di động 4G LTE
Luận văn kết hợp hai phương pháp nghiên cứu bao gồm
Trang 143
Thứ nhất phương pháp nghiên cứu lý thuyết: tổng hợp, thu thập, nghiên cứu tài liệu về các vấn đề rủi ro, loại tấn công trong hệ thống mạng 4G LTE, đồng thời tìm hiểu chuyên sâu về giao thức bảo mật IPSec
Thứ hai phương pháp nghiên cứu thực nghiệm: Phân tích phương thức tấn công để đưa ra giải pháp cụ thể trong mạng thông tin di động 4G LTE, và ứng dụng giao thức IPSec trong bảo mật truyền gói tin
Cấu trúc luận văn
Nội dung của luận văn được trình bày gồm ba chương như sau:
Chương 1:Tổng quan về bảo mật trong các mạng thông tin di động
Nghiên cứu một cách tổng quan về vấn đề bảo mật trong các mạng thông tin
di động nói chung và mạng thông tin di động 4G LTE nói riêng:
Trình bày thực trạng vấn đề bảo mật trong các mạng thông tin di động trên thế giới và tại Việt Nam như các cách tấn công bảo mật thông dụng, hậu quả của việc bị tấn công và một vài giải pháp khắc phục
Giới thiệu tổng quan về mạng thông tin di động 4G LTE, mô hình khái quát, các thành phần cơ bản trong kiến trúc mạng 4G LTE và các vấn đề liên quan
Luận văn đưa ra các yêu cầu về bảo mật mạng dựa theo tiêu chuẩn 3GPP, từ
đó trình bày tổng quan về kiến trúc bảo mật 4G LTE trên các miền bảo mật khác nhau và các cơ chế bảo mật trong mạng 4G LTE
Chương 2: Nghiên cứu các giải pháp bảo mật trong mạng thông tin di động 4G LTE
Luận văn tập trung nghiên cứu về các giải pháp bảo mật, ngăn chặn tấn công tương ứng với các rủi ro, mối đe dọa có thể xảy đến khi triển khai mạng thông tin di động 4G LTE:
Trình bày những hiểm họa đối với các thiết bị di dộng như worms, virus, spyware,…cùng các kiểu tấn công trên mạng di dộng, một số kiểu tấn công điển hình và các mối đe dọa trên từng phần tử mạng 4G LTE
Từ những kiểu tấn công trên, luận văn đề xuất các giải pháp tương ứng cụ thể trong mạng thông tin di động 4G LTE, trong đó bao gồm giải pháp IP Security
Trang 154
Chương 3: Nghiên cứu cơ chế IP Security trong bảo mật mạng 4G LTE
Trong chương này, luận văn nghiên cứu về giao thức IPSec và áp dụng cơ chế IPSec để bảo vệ mặt phẳng điều khiển miền mạng, bảo vệ mặt phẳng người sử dụng ở đường liên kết backhaul trong mạng thông tin di động 4G LTE, cụ thể như sau:
Giới thiệu tổng quan về giao thức bảo mật IP Security, khảo sát giao thức bảo mật IPSec, nghiên cứu cơ chế IPSec để bảo vệ mặt phẳng điều khiển miền mạng, bảo vệ mặt phẳng người sử dụng ở đường liên kết backhaul trong mạng thông tin di động 4G LTE
Từ những nghiên cứu đã đạt được, đưa ra mô phỏng và cách hoạt động khi truyền gói tin được bảo mật bằng giao thức IPSec trong mạng 4G LTE
Trang 16Trong chương này, luận văn sẽ trình bày tổng quan về vấn đề bảo mật trong các mạng thông tin di động nói chung và mạng thông tin di động 4G LTE nói riêng, bao gồm các nội dung như sau:
- Thực trạng vấn đề bảo mật trong các mạng thông tin di động trên thế giới
và tại Việt Nam
- Tổng quan về mạng thông tin di động 4G LTE, mô hình khái quát mạng 4G LTE và các vấn đề liên quan
- Các yêu cầu về bảo mật trong mạng thông tin di động 4G LTE
- Tổng quan về kiến trúc bảo mật 4G LTE trên các miền bảo mật khác nhau
Trang 176
hiểm hoạ phát sinh, vốn luôn rình rập và được che giấu dưới nhiều chiêu thức tinh
vi, khó có thể nhận biết Một trong những biện pháp được các nhà cung cấp dịch vụ
di động áp dụng để hạn chế khả năng tấn công từ bên ngoài đó là cô lập những máy chủ lưu trữ thông tin quan trọng, không kết nối chúng với mạng Internet, mà chỉ dùng trong mạng nội bộ (mạng LAN) Tuy nhiên các biện pháp này thiếu tính linh động, có nghĩa máy chủ đặt ở đâu thì phải đến đó để thao tác, chứ không thể kết nối
từ xa Chính vì lý do này mà đôi khi do yêu cầu công việc hoặc do điều kiện khách quan mà các quản trị hệ thống đã kết nối máy chủ với mạng Internet, cho phép thực hiện việc quản lý từ xa thông qua kết nối dial-up Tất nhiên, khi kết nối máy chủ quan trọng với mạng Internet, người ta phải tính tới nhiều biện pháp bảo mật nghiêm ngặt Những số điện thoại dùng để dial-up kết nối vào máy chủ là hoàn toàn
bí mật, không ai có thể biết tới ngoại trừ những người chịu trách nhiệm quản lý máy chủ Rủi thay, những hacker dạn dày kinh nghiệm và lòng kiên nhẫn vẫn có thể tìm
ra số điện thoại này thông qua nhiều con đường, mà “social engineering” (một kỹ thuật tấn công của hacker) là một biện pháp điển hình
Tấn công
Về nguyên tắc, đã có kết nối là có thể xâm nhập vào hệ thống bên trong cho
dù các biện pháp bảo mật có chặt chẽ đến đâu Sẽ không thiếu các con đường xâm nhập vào hệ thống miễn là hacker có đủ kỹ thuật và lòng kiên nhẫn - một yếu tố không thể thiếu đối với tin tặc Có vô số cách tấn công vào hệ thống mà điển hình trong số đó là lợi dụng lỗ hổng của hệ điều hành, phần mềm chạy trên hệ thống… Hiện các máy chủ quản lý mạng di động chủ yếu chạy trên nền tảng Windows, Linux, Sun, Unix… mà trong số này không thiếu những lỗ hổng nghiêm trọng đã và đang phát sinh hàng ngày Chỉ cần quản trị viên không thường xuyên cập nhật các bản vá sửa lỗi (bản patch) cho hệ điều hành là họ đã tạo điều kiện rất lớn cho tin tặc xâm nhập vào hệ thống
Trở lại vấn đề đã nêu ở phía trên, khi tin tặc phát hiện ra số điện thoại duy nhất dùng để kết nối vào máy chủ mạng di động, họ sẽ thăm dò xem máy chủ bị
Trang 18có lý do
Nếu đã sử dụng được máy điện thoại của nạn nhân để thực hiện cuộc gọi, tin tặc cũng có thể đánh cắp toàn bộ thông tin lưu trữ trên điện thoại di động, bao gồm
sổ địa chỉ và các thông tin cá nhân Hacker cũng có thể thực hiện các cuộc tấn công
từ chối dịch vụ (DoS) làm tê liệt điện thoại di động; hoặc gửi tin thất thiệt, quấy nhiễu cuộc sống riêng tư của nạn nhân
Giải pháp khắc phục
Theo nhận xét chung của giới bảo mật, các hệ thống máy chủ tại Việt Nam vẫn chưa được bảo vệ một cách chu đáo, nếu không muốn nói là công tác quản trị còn khá lỏng lẻo Giới bảo mật Việt Nam cũng đã không ít lần đưa ra các cảnh báo
về nguy cơ tấn công vào hệ thống máy tính của các doanh nghiệp, nhưng có vẻ cảnh báo này vẫn bị coi nhẹ
Có một điểm cũng rất phổ biến đối với thực trạng quản lý máy chủ tại Việt Nam hiện nay, đó là đội ngũ kỹ thuật thường kiêm luôn cả công tác an ninh mạng, thế nên họ không có đủ thời gian để “toàn tâm toàn sức” trong việc bảo vệ hệ thống Đây là điểm mà các nhà cung cấp dịch vụ di động tại Việt Nam cần phải chú ý, vì các hãng di động lớn ở nước ngoài không khi nào áp dụng biện pháp kiêm nhiệm này Thế nên rất cần một đội ngũ chuyên về an ninh mạng trong việc bảo vệ hệ thống máy chủ
Trang 198
Một nguy cơ không kém phần quan trọng đối với mạng di động đó là “nội gián” Cho dù đã áp dụng tất cả các biện pháp bảo mật nghiêm ngặt có rất nhiều cuộc tấn công lại xuất phát ngay từ bên trong nội bộ Vậy nên cần phải có chính sách quản lý nhân sự thật chặt chẽ, nhất là khi có sự thay đổi về người tham gia quản trị hệ thống
1.2 Tổng quan mạng thông tin di động 4G LTE
Kiến trúc mạng 4G LTE/SAE được thiết kế để hỗ trợ lưu lượng chuyển mạch gói, đảm bảo di động liên tục, chất lượng dịch vụ QoS và trễ tối thiểu Chuyển mạch gói cho phép hỗ trợ tất cả các dịch vụ bao gồm cả thoại thông qua các kết nối gói
Mạng LTE hay còn được gọi là EPS (Evolved Packet System) là mạng dựa trên nền all IP EPS được chia thành hai phần: LTE gồm các công nghệ liên quan tới mạng truy cập vô tuyến (EUTRAN) và phần EPC gồm các công nghệ liên quan tới mạng lõi Một mạng đầu cuối all IP là tất cả các luồng dữ liệu từ UE đến PDN
để sử dụng các dịch vụ đều được truyền dựa trên giao thức IP trong EPS
Mô hình cơ bản của mạng LTE
Hình 1.1 Mô hình cơ bản
Hình 1.1 mô tả một mô hình mạng LTE, bao gồm các thực thể LTE (UE và eNB) và các thực thể EPC (SGW, PGW, HSS, PCRF, MME …)
Trang 201.2.1.2 Trạm cơ sở (eNB)
Một eNB cung cấp cho người dùng giao diện vô tuyến và thực hiện quản lý tài nguyên vô tuyến như cấp phát tài nguyên động, eNB cung cấp, quản lý tài nguyên vô tuyến, quản lý kết nối di động và quản lý bearer vô tuyến
Trang 2110
1.2.1.4 Cổng phục vụ, SGW
Trong cấu hình kiến trúc cơ sở, chức năng mức cao của SGW là quản lý tunnel user plane và chuyển mạch SGW là bộ phận của hạ tầng mạng dược quản lý tập trung tại nơi khai thác Khi giao diện S5 được xây dựng trên cơ sở GTP, S-GW
sẽ có các GTP tunnel trên tất cả các giao diện user plane
1.2.1.5 Cổng mạng số liệu gói, PGW
Cổng mạng số liệu gói (P-GW là viết tắt của PDN-GW) là một router biên giữa EPS và các mạng số liệu bên ngoài Nó thực hiện các chức năng mở cổng lưu lượng và lọc theo yêu cầu của dịch vụ Thông thường PGW ấn định địa chỉ IP cho
UE và UE sử dụng nó để thông tin với các máy IP trong các mang ngoài (internet) Cũng có thể mạng ngoài nơi mà UE kết nối đến sẽ ấn định địa chỉ IP cho UE sử dụng và PGW truyền tunnel tất cả lưu lượng đến mạng này PGW bao gồm cả PCEF, nghĩa là nó thực hiện các chức năng lọc và mở cổng theo yêu cầu của các chính sách được thiết lập cho UE và dịch vụ tương ứng Ngoài ra nó thu thập và báo cáo thông tin tính cước liên quan
Hình 1.3 Các kết nối của P-GW với các nút logic khác
và các chức năng chính
1.2.1.6 Chức năng chính sách và tính cước tài nguyên (PCRF)
Chức năng chính sách và tính cước tài nguyên là một phần tử mạng chịu trách nhiệm cho việc điều khiển chính sách và tính cước Nó quyết định cách xử lý các dịch vụ theo QoS và cung cấp thông tin cho PCEF (chức năng thực thi chiến
Trang 2211
lược và tính cước) trong P-GW và nếu áp dụng nó cũng cung cấp thông tin cho BBERF (thiết lập ràng buộc kênh mang và báo cáo sự kiện) để có thể thiết lập các kênh mang và chính sách tương ứng PCRF là một server thường được đặt cùng với các phần tử của mạng lõi tại các trung tâm chuyển mạch của nhà khai thác
1.2.1.7 Server thuê bao nhà, HSS
Server thuê bao nhà (HSS) là một bộ lưu giữ số liệu thuê bao cho tất cả số liệu cố định của người sử dụng Nó cũng ghi lại vị trí của người sử dụng ở mức nút điều khiển mạng nơi mà người sử dụng đang làm khách, chẳng hạn MME Đây là một cơ sở dữ liệu được bảo trì tại vị trí nhà khai thác mạng nhà HSS lưu bản sao chính của hồ sơ thuê bao chứa thông tin về các dịch vụ áp dụng cho người sử dụng bao gồm cả thông tin về các kết nối PDN được phép và có được phép chuyển đến một mạng khác nào đó hay không
Các giao diện chính trong mạng 4G LTE
Hình 1.4 Các giao diện chính trong mạng 4G LTE
LTE – Uu với Protocol là EUTRA một giao diện cho control plane và user
plane giữa UE và eNB Kết nối signaling qua LTE-Uu là kết nối RRC được thể hiện bởi Signaling Radio Bearers và kết nối user plane là kênh logic được thể hiện bởi Data Radio Bearers
X2 với Protocol là X2 AP (cho control plane) và GTP-U (cho user plane) là
giao diện cho control và user plane giữa hai eNB
Trang 2312
S1-U với Protocol là GTP-U, là một giao diện cho user plane giữa eNB và
SGW Nó cung cấp GTP tunnel với từng bearer
S1-MME với Protocol là S1-AP, là một giao diện cho control plane giữa
eNB và MME
S11 với Protocol là GTP-C, là giao diện cho control plane giữa MME và
SGW
S5 với Protocol là GTP-C (cho control plane) và GTPC-U (cho user plane),
là một giao diện được định nghĩa giứa SGW và PGW cho control plane và user plane Giao diện S5 cung cấp GTP tunnel trên từng bearer cho user plane và quản lý GTP tunnel (tạo, sửa và xóa) cho từng thuê bao với control plane
S6a với Protocol là Diameter, là giao diện cho control plane giữa HSS và
MME Nó cho phép chuyển thông tin người dùng và thông tin xác thực
Gx với Protocol là Diameter, là giao diện cho control plane giữa PCRF và
PGW Nó cho phép truyền các chính sách quản lý và luật tính cước từ PCRF tới PGW để hỗ trợ chính sách QoS và quản lý tính cước
Sgi với Protocol là IP, là giao diện cho control và user plane giữa một PGW
và một PDN
1.3 Yêu cầu bảo mật mạng 4G LTE
Với bất kỳ mạng IP nào việc đảm bảo an ninh là tối quan trọng, điều này đúng với mạng LTE, là một mạng di động all-IP với kiến trúc phẳng (eNodeB được kết nối với nhau thông qua giao diện X2, và kết nối trực tiếp với EPC thông qua giao diện S1, không có thành phần điều khiển tập trung cho các trạm vô tuyến) Bên cạnh các nguy cơ an ninh rõ ràng trên giao diện vô tuyến truyền đến và đi khỏi thiết
bị người dùng (User Equipment UE) còn là các nguy cơ an ninh truyền thống liên quan đến các liên kết IP của các nhà cung cấp mạng LTE Việc xây dựng kiến trúc
an ninh để đối phó với các nguy cơ là khởi đầu quan trọng cho các nhà cung cấp di động
Tiêu chuẩn 3GPP TS 33.401 đưa ra các yêu cầu về các tính năng bảo mật cần
có trong mạng LTE như sau: [4]
Trang 2413
- Đảm bảo an ninh giữa người dùng và mạng, gồm: Nhận dạng người dùng
và bảo mật thiết bị; Nhận thực các thực thể; Bảo mật dữ liệu người dùng và dữ liệu báo hiệu; Toàn vẹn dữ liệu người dùng và dữ liệu báo hiệu
- Có khả năng cấu hình và hiển thị an ninh
- Đáp ứng các yêu cầu an ninh trên eNodeB
Ngoài ra, có một số yêu cầu khác đối với an ninh trên mạng LTE có thể dễ dàng nhận ra như:
- Các tính năng an ninh không được ảnh hưởng tới sự tiện dụng của người dùng
- Các tính năng an ninh không được ảnh hưởng tới quá trình tiến hóa từ 4G LTE lên 4G LTE Advance
Từ những yêu cầu về bảo mật như vậy, 3GPP đã xây dựng nên kiến trúc bảo mật được trình bày rõ ràng trong phần tiếp theo
1.4 Kiến trúc bảo mật mạng 4G LTE
3GPP đã đưa ra kiến trúc an ninh tổng quát của LTE trong tiêu chuẩn 3GPP
TS 33.401 gồm 5 nhóm tính năng an ninh khác nhau: [1]
Hình 1.5 Kiến trúc bảo mật EPS
Network access security (I): tập hợp các tính năng an ninh cung cấp khả
năng bảo vệ truy nhập người dùng tới các dịch vụ, và cũng bảo vệ chống lại các cuộc tấn công trên liên kết truy nhập vô tuyến Ví dụ: sử dụng USIM cung cấp truy
Trang 2514
nhập được đảm bảo cho người dùng tới EPC, bao gồm nhận thực tương hỗ và các tính năng riêng khác
Network domain security (II): tập hợp các tính năng an ninh cho phép các
node trao đổi an toàn dữ liệu báo hiệu và dữ liệu người dùng (giữa AN và SN, và trong AN), và cũng bảo vệ chống lại các cuộc tấn công trên mạng hữu tuyến Ví dụ:
AS Security, NAS Security, IPsec EPS
User domain security (III):tập hợp các tính năng an ninh bảo vệ truy nhập
tới các MS (Mobile Station) Ví dụ: khóa màn hình, mã PIN để sử dụng SIM
Application domain security (IV): tập hợp các tính năng an ninh cho phép
bảo vệ các bản tin trao đổi của các ứng dụng tại miền người dùng và miền nhà cung cấp Ví dụ: https
Visibility and configurability of security (V): Tập hợp các tính năng an
ninh cho phép thông báo tới người dùng một tính năng an ninh có đang hoạt động hay không, và các dịch vụ đang sử dụng và được cung cấp nên phụ thuộc vào tính năng an ninh không
Xác thực và khóa gốc
Xác thực lẫn nhau giữa UE và mạng cùng với khóa gốc tạo ra session cho việc mã hoá và bảo vệ tính toàn vẹn, đây là tính năng bảo mật cần thiết cho bất kỳ mạng di động nào EPS sẽ hỗ trợ xác thực thông tin giữa các thiết bị đầu cuối di động và mạng để đảm bảo rằng người sử dụng trái phép không thể thiết lập liên lạc qua hệ thống Hơn nữa, không có xác thực thì không thể thiết lập kết nối an toàn giữa các người dùng với nhau Do đó, xác thực là một chức năng cần thiết đối với
hệ thống của mỗi nhà mạng [8]
So với các hệ thống 3G, xác thực chỉ đảm bảo rằng serving network được home network ủy quyền để phục vụ người sử dụng, trong LTE xác thực EPS được nâng cao hơn đó là cung cấp phương tiện cho UE có thể trực tiếp xác minh danh tính của serving network
Trang 2615
Bảo mật cho dữ liệu mặt phẳng người dùng và mặt phẳng điều khiển
Theo các yêu cầu an ninh 3GPP, EPS sẽ cung cấp một số quyền riêng tư cho người sử dụng về thông tin liên lạc, vị trí và định danh Ngoài ra, nội dung thông tin, nguồn gốc, và đích phải được bảo vệ để chống lại tấn công của bên trái phép Bảo mật đạt được bằng cách mã hoá các thông tin liên lạc để bảo vệ nội dung các gói tin khi kẻ nghe lén tấn công đặc biệt là trên giao diện vô tuyến Không giống như các hệ thống di động 3G nơi điểm cuối của mã hóa là Radio Network Controller (RNC), trong LTE/LTE-A điểm cuối là trong eNB Do đó, có thêm cơ chế bảo vệ bí mật được cung cấp cho tín hiệu Radio Network Controllter (dữ liệu mặt phẳng điều khiển) giữa UE và eNB
Bảo vệ tính toàn vẹn cho dữ liệu mặt phẳng điều khiển
Để đáp ứng yêu cầu an ninh 3GPP, EPS sẽ hỗ trợ xác thực thông tin giữa các thiết bị đầu cuối di động và mạng Mục đích của tính năng này là để đảm bảo tính xác thực của mỗi bản tin trong mặt phẳng điều khiển riêng biệt nghĩa là đảm bảo rằng thông điệp không bị thay đổi trong quá trình truyền và đã được gửi đến đích bởi đúng người gửi Tuy nhiên, dữ liệu mặt phẳng người dùng không được cung cấp bảo vệ tính toàn vẹn trong 4G LTE Để đảm bảo tính toàn vẹn dữ liệu, 3GPP đã chuẩn hóa ba thuật toán mà sẽ được mô tả chi tiết dưới đây
Nhận thực EPS và thủ tục thỏa thuận khóa (EPS-AKA)
Kiến trúc mạng 4G LTE bao gồm Core (EPC) và E-UTRAN EPC gồm có MME, SGW và PGW cùng HSS Khi một UE kết nối tới EPC, MME sẽ thực hiện xác thực lẫn nhau với UE, phía E-UTRAN gồm eNB sẽ chuyển dữ liệu từ UE đến MME Trong kiến trúc 4G LTE, AKA đã được thay thế bởi một giao thức mới (EPS-AKA) dựa trên người tiền nhiệm của nó để đảm bảo tính tương thích ngược Trong phần này sẽ mô tả các thủ tục EPS-AKA cũng như các thủ tục từ khóa gốc và các chức năng của khóa
Trang 2716
1.4.4.1 Thủ tục EPS – AKA
Là cơ chế thuộc về nhóm tính năng an ninh(I) và (II), giúp nhận thực thuê bao trên mạng LTE/EPS, làm cơ sở cho việc tạo ra các khóa Ck cơ bản cho User Plane, RRC và NAS, cũng như tạo khóa Ik cho RRC và AS Cơ chế này được thực hiện như sau: [9]
Hình 1.6 Quá trình xác thực thuê bao mạng LTE
Bước 1-3: MME gửi các thông tin của thuê bao như IMSI, SN ID (Serving Network ID) tới HSS để tạo ra EPS AV (Authentication Vector) Sau đó HSS gửi trả MME các thông số nhận thực gồm: RAND, XRES, AUTN, KASME
Bước 4: MME gửi tới USIM thông qua eNB hai thông số RAND và AUTN cho việc nhận thực mạng từ vertor nhận thực được lựa chọn MME cũng gửi một KSIASME cho eNB để sử dụng cho việc nhận dạng khóa KASME được tạo ra bởi thủ tục EPS AKA
Bước 5: Sau khi nhận được thông số từ MME, USIM kiểm tra xem Authentication Vector mới hay không, bằng việc kiểm tra việc chấp nhận AUTN Nếu thỏa mãn, USIM sẽ tính toán RES để phản hồi, đồng thời cũng tính toán Ck và
Ik gửi tới eNB eNB cũng kiểm tra bit 0 của AUTN được thiết lập bằng 1 hay không
Trang 2817
Bước 6: eNB phản hồi bản tin chứa thông số RES tới MME trong trường hợp kiểm tra thành công Sau đó eNB tính toán KASME thông qua Ck, Ik và SN ID sử dụng thuật toán KDF SN ID dùng để nhận dạng ngầm mạng phục vụ khi khóa KASME được sử dụng
Bước 7: MME só sánh RES và XRES, nếu giống nhau thì nhận thực thành công Việc thực thi AKA có thể mất vài trăm ms cho việc tính toán khóa trên USIM
và cho việc kết nối tới HSS, do đó có thể áp dụng một chức năng cho phép khóa được cập nhật không có AKA để đạt được tốc độ cao hơn trong LTE
1.4.4.2 Hệ thống phân cấp khóa
Hình 1.7 Hệ thống phân cấp khóa
Hệ thống phân cấp khóa hoạt động như sau:
Bước 1: USIM và AuC chia sẻ trước các thông tin bí mật (khóa K)
Bước 2: Khi AKA được thực thi cho nhận thực tương hỗ giữa mạng và người dùng, khóa Ck cho mã hóa và Ik cho bảo vệ toàn vẹn được tạo ra và được trao đổi tương ứng từ USIM tới ME và từ AuC tới HSS
Bước 3: eNB và HSS tạo ra khóa KASME tương ứng từ cặp khóa Ck và Ik KASME được truyền từ HSS tới MME của mạng để phục vụ như là thông tin cơ bản trong phân cấp khóa
Bước 4: Khóa KNASenc cho mã hóa giao thức NAS giữa UE và MME; và khóa KNASint cho bảo vệ tính toàn vẹn được tạo ra từ khóa KASME
Bước 5: Khi UE kết nối tới mạng, UE và MME tạo ra khóa KeNB, sau đó MME truyền khóa này cho eNodeB Từ khóa KeNB này, các khóa KUPenc cho mã hóa
Trang 2918
User Plane, khóa KRRCenc cho mã hóa RRC và khóa KRRCint cho bảo vệ tính toàn vẹn được tạo ra
Thuật toán mã hóa và toàn vẹn EPS
1.4.5.1 Thuật toán mã hóa EPS
Ba thành phần quan trọng chính trong kiến trúc 4G LTE sử dụng các dịch vụ bảo mật là: UE, eNB và MME Theo đó, UE và MME được kết nối bởi giao thức bảo mật NAS và các bản tin NAS trao đổi giữa UE và MME được bảo vệ tính toàn vẹn và mã hoá bằng cách thêm header bảo mật NAS Trong khi UE và eNB được kết nối thông qua các giao thức truy cập AS và các dịch vụ bảo mật được thực hiện cho cả mặt phẳng điều khiển và mặt phẳng người dùng Những thuật toán mật mã bí mật EPS Encryption Algorithm (EEA) đạt được sau khi xác thực giữa UE và SN được thực hiện bởi EPS-AKA Các thuật toán EEA gồm 4-bit định danh bao gồm KNASenc, KRRCint và KUPenc để chỉ ra kiểu thuật toán mã hóa được sử dụng Theo đó, 3GPP chỉ ra ba thuật toán EEA0, EEA1 và EEA2 được sử dụng trong 4G LTE: [4]
“00002” 128-EEA0 thuật toán mã hóa Null
“00012” 128-EEA1 SNOW 3G
“00102” 128-EEA2 AES
Các giá trị khác sẽ được phát triển và sử dụng trong tương lai
UE và eNB sử dụng các thuật toán 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa RRC signalling và mã hóa UP
UE và MME sử dụng các thuật toán 128-EEA0, 128-EEA1, 128-EEA2 để
mã hóa NAS signalling
Hình 1.8 Thuật toán mã hóa 128-EEA1 SNOW 3G
Trang 3019
1.4.5.2 Thuật toán toàn vẹn EPS
Bảo vệ toàn vẹn và bảo vệ replay được cung cấp cho cả NAS và RRC signalling Tất cả các thuật toán toàn vẹn được sử dụng có độ dài dữ liệu đầu vào là 128-bit Mỗi thuật toán toàn vẹn EPS (EIA) được chỉ định có độ dài 4-bit Hiện tại
có các thuật toán toàn vẹn được định nghĩa như sau:
“00012” 128-EIA1 SNOW 3G
“00102” 128-EIA2 AES
UE và eNB sử dụng các thuật toán 128-EIA1, 128-EIA2 để bảo vệ tính toàn vẹn cho RRC signalling UE và MME sử dụng các thuật toán 128-EIA1, 128-EIA2
để bảo vệ tính toàn vẹn cho NAS signalling
Hình 1.9 Thuật toán toàn vẹn EIA2 AES
NDS (Network Domain Security)
Để bảo vệ cho các lưu lượng trên cơ sở IP tại các giao diện của mạng truy cập/truyền tải (E-UTRAN), của mạng lõi (EPC), hay giữa các mạng lõi với nhau,
3GPP đưa ra chức năng NDS/IP (trừ giao diện S1-U do đây đã là giao diện được
bảo vệ của 3GPP) NDS được định nghĩa trong tiêu chuẩn 3GPP TS 33.210 và là chức năng thuộc nhóm tính năng an ninh (II) Đối với mạng LTE, kiến trúc NDS được triển khai như sau: [3]
Trang 3120
Hình 1.10 Kiến trúc triển khai NDS trên mạng LTE
Mạng LTE được chia thành hai loại miền an ninh gồm miền E-UTRAN và miền EPC Trong đó:
Miền EPC: tại biên đặt các SEG (Security Gateway), và trong miền có các
NE là các node mạng được triển khai; ví dụ như MME, …
Miền E-UTRAN: do số lượng miền EUTRAN lớn và kết nối với nhau qua một mạng lưới phức tạp do cùng tồn tại hai giao diện S1 và X2 nên giải pháp đặt SEG tại biên của mỗi miền EUTRAN là không hợp lý Vì vậy tại các miền E-UTRAN chỉ có các NE là các node mạng (eNodeB)
NDS/IP không đảm bảo an ninh cho kết nối giữa EPC và Internet (giao diện SGi) NDS/IP cung cấp các dịch vụ an ninh như sau:
- Nhận thực dữ liệu gốc: bảo vệ một node khỏi các dữ liệu không rõ nguồn gốc
- Toàn vẹn dữ liệu: bảo vệ dữ liệu được truyền không bị thay đổi (man-in-the middle)
- Bảo vệ chống quá trình replay
- Bảo mật dữ liệu: bảo vệ chống lại việc đánh cắp dữ liệu
- Bảo vệ giới hạn chống lại việc phân tích luồng dữ liệu
Các cơ chế bảo vệ được thực hiện thông qua IPsec, đặc biệt là IPsec ESP (Encapsulating Security Payload) trong chế độ đường hầm, với IKE (Internet Key
Trang 32Để bảo mật mạng LTE, người dùng cần phải được nhận dạng
Mỗi thiết bị di dộng sử dụng hai thông số nhận dạng vĩnh viễn bao gồm:
- IMEI: dùng để nhận dạng thiết bị phần cứng IMEI chỉ được gửi tới MME trên NAS, sau khi NAS Security được thiết lập thành công (bảo vệ được mã hóa và toàn vẹn)
- IMSI: dùng để nhận dạng thuê bao được lưu trong USIM IMSI hạn chế gửi qua môi trường vô tuyến, mà thay vào đó là tham số tạm thời GUTI
NAS Security
Bảo mật NAS, được thiết kế để cung cấp một cách an toàn các bản tin tín hiệu giữa UE và các MME trên các liên kết vô tuyến điện, thực hiện kiểm tra tính toàn vẹn (tức là, bảo vệ toàn vẹn/ xác minh) và mã hoá các thông điệp báo hiệu Các khóa khác nhau được sử dụng để kiểm tra tính toàn vẹn và mã hoá Trong khi kiểm tra tính toàn vẹn là một chức năng bắt buộc, mã hoá là một chức năng tùy chọn Khóa bảo mật NAS, bao gồm khóa toàn vẹn (KNASint) và khóa mã hoá (KNASenc), tạo
từ khóa KASME trao đổi giữa UE và MME
AS Security
Bảo mật AS với mục đích đảm bảo trao đổi an toàn dữ liệu giữa UE và một eNB trên các liên kết vô tuyến Nó bao gồm kiểm tra tính toàn vẹn và mã hoá tín hiệu RRC trong mặt phẳng điều khiển, và chỉ mã hoá các gói tin IP trong mặt phẳng người dùng Các khóa khác nhau được sử dụng cho kiểm tra tính toàn vẹn và mã hoá của tín hiệu RRC và mã hoá các gói tin IP Kiểm tra tính toàn vẹn là bắt buộc, nhưng mã hoá là tùy chọn
Trang 3322
Khóa bảo mật AS, chẳng hạn như KRRCint, KRRCenc và KUPenc, có nguồn gốc từ KeNB bởi một UE và một eNB Kiểm tra tính toàn vẹn và mã hoá được thực hiện tại tầng PDCP (Packet Data Convergence Protocol)
Một UE có thể lấy được KeNB từ KASME Tuy nhiên, do KASME không được chuyển đến eNB, MME sẽ tạo ra KeNB từ KASME và chuyển tiếp đến các eNB
Hình 1.11 Bảo mật NAS và AS trong LTE
IPsec
IPsec là một giao thức được xây dựng để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng IPsec cung cấp cơ chế bảo mật ở tầng Network trong mô hình OSI Trong mạng LTE, IPsec được dùng để bảo mật các gói tin giữa các phần tử mạng eNB, MME và SGW
Các cơ chế bảo vệ được thực hiện thông qua IPsec bao gồm EPS và IKE, IPsec EPS cung cấp các tính năng bảo vệ an ninh, mà mỗi tính năng là tập hợp của nhiều thuật toán an ninh:
- Nhận thực: cung cấp ban đầu thông qua nhận thực tương hỗ và trao đổi khóa bảo mật giữa các EPC hoặc giữa EPC và phần tử mạng sử dụng giao thức IKE, và thông qua AH (Authentication Header) của các gói tin IPsec
- Toàn vẹn: cung cấp thông qua cơ chế băm gói mã hóa IPsec, ví dụ SHA-1
- Bảo mật: cung cấp thông qua việc mã hóa IPsec đóng gói gói tin, ví dụ AES
- Anti-replay
- Bảo mật giới hạn luồng dữ liệu
Trang 3423
Cơ chế bảo vệ bản tin trong giao tiếp
Để bảo vệ các bản tin được truyền trong quá trình giao tiếp trong không khí
và mạng, EPS chia làm hai mặt phẳng là mặt phẳng điều khiển và mặt phẳng người dùng Mặt phẳng điều khiển để trao đổi tín hiệu bao gồm tín hiệu trao đổi giứa UE
và trạm cơ sở (eNB), và tín hiệu giữa UE và mạng lõi (MME) Mặt phẳng người dùng được sử dụng để trao đổi dữ liệu giữa UE và trạm eNB và mạng lõi (SGW) Trong phần này sẽ mô tả chi tiết cách giao tiếp giữa UE và mạng
Bảo vệ mặt phẳng tín hiệu bao gồm kiểm tra tính toàn vẹn và mã hóa trong khi bảo vệ mặt phẳng người dùng chỉ cung cấp mã hóa
Hình 1.12 Các mặt phẳng trong 4G LTE
1.5.5.1 Thỏa thuận thuật toán
Trước khi thực hiện giao tiếp, cả UE và mạng cần thỏa thuận nên sử dụng thuật toán nào EPS hỗ trợ nhiều thuật toán bao gồm hai bộ thuật toán bắt buộc là 128-EEA1 và 128-EIA1 dựa trên SNOW 3G và 128-EEA2 và 128-EIA2 dựa trên AES, cả UE, eNB và MME cần phải được hỗ trợ sử dụng các thuật toán này
Thuật toán được thỏa thuận giữa UE và trạm cơ sở (tầng AS), và giữa UE và mạng lõi (tầng NAS) Mạng lựa chọn thuật toán dựa trên khả năng bảo mật của UE (UE security capabilities) và danh sách các thuật toán bảo mật được phép của các thực thể mạng (như trạm cơ sở và MME) UE cung cấp khả năng bảo mật của nó cho mạng trong quá trình attach vào mạng Trong UE security capabilities gồm thuật toán mã hóa EPS (EEA) và thuật toán toàn vẹn EPS (EIA) Khả năng bảo mật cho tầng AS, NAS và mặt phẳng dữ liệu người dùng như nhau, ngoại trừ mặt phẳng
dữ liệu người dùng không hỗ trợ bảo vệ tính toàn vẹn
Trang 3524
Bản tin không được bảo vệ trước khi thuật toán được thỏa thuân và thiết lập xong Các khả năng bảo mật mà UE cung cấp cho mạng được gửi lại trong một bản tin phản hồi bảo vệ tính toàn vẹn để tránh khỏi các tấn công từ mạng Nếu UE phát hiện thấy các khả năng bảo mật này đã bị thay đổi, UE sẽ dừng quá trình attach vào mạng UE sẽ gửi lại khả năng bảo mật lần nữa cho mạng để thiết lập bảo vệ toàn vẹn, vì vậy mạng sẽ phát hiện được sự tấn công
Hai quá trình Security Mode Command và Security Mode Complete được dùng để chỉ ra thuật toán được lựa chọn và bắt đầu quá trình mã hóa và bảo vệ toàn vẹn MME phải chọn thuật toán tầng NAS, và trạm cơ sở sẽ chọn thuật toán cho tầng AS bao gồm cả thuật toán cho mặt phẳng người dùng
1.5.5.2 Quá trình giao tiếp trong mặt phẳng tín hiệu và mặt phẳng người dùng
Để đảm bảo tính bí mật và toàn vẹn dữ liệu cho mặt phẳng tín hiệu và mặt phẳng dữ liệu người dùng thông qua giao diện giữa trạm cơ sở (eNB) và mạng lõi (EPC) Dữ liệu tín hiệu được truyền giữa UE, eNB và MME thông qua giao diện S1-MME trong khi dữ liệu người dùng được truyền giữa UE, eNB và SGW thông qua giao diện S1-U Giao diện S1 có thể được mã hóa bằng cơ chế IPsec Giao diện X2 giữa hai trạm cơ sở được bảo vệ tương tự bằng cơ chế IPsec
Trang 3625
Đối với mặt phẳng tín hiệu, thiết lập bảo mật NAS được thực hiện tại tầng giao thức NAS, trong khi đó việc thiết lập bảo mật AS giữa UE và trạm eNB được nhúng vào tầng giao thức hội tụ dữ liệu gói (PDCP) Giao diện X2 và S1cung cấp
mã hóa mặt phẳng điều khiển bằng giao thức IPsec
Mục đích của bảo mật NAS là để đảm bảo an toàn khi truyền bản tin tín hiệu NAS giữa UE và một MME trong mặt phẳng điều khiển sử dụng khóa bảo mật NAS Các khóa bảo mật NAS có nguồn gốc từ KASME và các khóa mới được tạo ra mỗi khi EPS AKA được thực hiện (mỗi lần một KASME mới được tạo ra) Sau khi thiết lập bảo mật NAS thành công, UE và MME có thể chia sẻ một khóa mã hóa NAS (KNASenc) và khóa toàn vẹn NAS (KNASint), được sử dụng trong mã hóa và bảo
vệ toàn vẹn, tương ứng, các thông điệp NAS trước khi truyền
Mục đích của bảo mật AS là đảm bảo truyền an toàn thông điệp RRC giữa
UE và một eNB trong mặt phẳng điều khiển khi sử dụng khóa bảo mật AS Khóa bảo mật AS có nguồn gốc từ KeNB và các khóa mới được tạo ra mỗi khi một kết nối
vô tuyến mới được thành lập (ví dụ, khi RRC chuyển từ trạng thái idle sang trạng thái connected) Sau khi thiết lập bảo mật AS thành công, các UE và các eNB có thể chia sẻ một khoá toàn vẹn RRC (KRRCint) và khóa mã hóa RRC (KRRCenc) Các khóa mã hóa và bảo vệ toàn vẹn được thực hiện ở lớp PDCP KRRCint và KRRCenc được sử dụng để đảm bảo an toàn cho các bản tin RRC trong mặt phẳng điều khiển thông qua một SRB (tín hiệu vô tuyến Bearer) trên các liên kết vô tuyến
1.5.5.2.2 Mặt phẳng dữ liệu người dùng
Hình 1.14 Bảo vệ mặt phẳng dữ liệu người dùng EPS
Trang 3726
Đối với mặt phẳng dữ liệu người dùng, bảo vệ bí mật giữa UE và trạm eNB được nhúng vào Giao thức hội tụ dữ liệu gói (PDCP) Bảo vệ toàn vẹn không được
áp dụng trong mặt phẳng dữ liệu người dùng giữa UE và trạm eNB Giao diện X2
và S1 cung cấp mã hóa mặt phẳng dữ liệu người dùng tương tự như mặt phẳng điều khiển bằng giao thức IPsec
Bảo mật AS đảm bảo các gói tin IP được truyền an toàn trong mặt phẳng người dùng sử dụng khóa bảo mật AS Sau khi thiết lập bảo mật AS thành công, các
UE và các eNB có thể chia sẻ một khoá mã hóa KUPenc trong mặt phẳng người dùng Các khóa mã hóa và bảo vệ toàn vẹn được thực hiện ở lớp PDCP Khóa KUPenc được
sử dụng để các gói tin IP được chuyển một cách an toàn trong mặt phẳng người dùng thông qua một DRB (data radio Bearer) trên các liên kết vô tuyến Các gói tin
IP được mã hóa bằng KUPenc ở lớp PDCP trước khi được gửi
1.6 Kết luận chương 1
Tại Việt Nam, tấn công mạng tuy không phổ biến nhưng cũng là một trong những thách thức đối với các nhà phát triển mạng và người dùng Một khi tấn công, tin tặc có thể lấy được mọi dữ liệu của nạn nhân về danh tính, tài khoản ngân hàng
và những thông tin riêng tư nhạy cảm,… gây tổn thất nghiêm trọng cho người dùng Chính vì vậy, việc bảo mật mạng là một trong những mối quan tâm hàng đầu của của nhà mạng trong xu thế triển khai mạng 4G LTE Đây cũng chính là thực trạng
an ninh trong mạng thông tin di động tại Việt Nam nói riêng và trên thế giới nói chung Để tìm ra giải pháp của vấn đề bảo mật mạng, luận văn đã tìm hiểu về tổng quan mạng thông tin di động 4G LTE, các thành phần cơ bản trong kiến trúc mạng Sau đó, trình bày các yêu cầu về bảo mật trong mạng 4G LTE, để từ đó trình bày kiến trúc bảo mật Trong kiến trúc bảo mật, luận văn giới thiệu về các vấn đề xác thực, bảo mật trong mặt phẳng dữ liệu người dùng và măt phẳng dữ liệu điều khiển,
và các cơ chế bảo mật trong mạng thông tin di động 4G LTE
Trang 3827
CHƯƠNG 2 - NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT
TRONG MẠNG THÔNG TIN DI DỘNG 4G LTE
Trong chương này, luận văn đề cập đến những nguy cơ trong mạng thông tin
di dộng 4G LTE bao gồm hiểm họa đối với máy di động và các kiểu tấn công trên mạng Từ các hiểm họa và một vài tấn công điển hình, luận văn sẽ trình bày cách khắc phục bằng các giải pháp bảo vệ mạng di động 4G LTE
2.1 Những hiểm họa đối với máy di động
Trong mạng thông tin di động 4G LTE, dữ liệu của máy di động có thể bị lộ,
do một số phần mềm độc hại (malware) gây ra Phần mềm độc hại thường là một chương trình hoặc một đoạn mã chương trình có khả năng tác vụ bất hợp pháp lên máy tính, các phần tử mạng, hoặc thiết bị đầu cuối di động với mục đích: thăm dò lưu lượng, đánh cắp các thông tin cá nhân, làm lộ các thông tin bí mật, xoá các file
dự liệu Có 8 loại phần mềm độc hại điển hình
Worms (sâu/mọt)
Cabir Worm: Phần mềm có hại sử dụng Bluetooth để gây nhiễm các máy
điện thoại và truyền tải bản thân nó đến máy chủ dưới dạng một file Phần mền này
có thể lan toả nhanh giữa các máy di động sử dụng hệ điều hành Symbian Khi bị nhiễm Cabir worm, hệ điều hành của máy di động bị biến đổi sau mỗi lần khởi động máy Máy điện thoại bị nhiễm lại có thể quét các máy điện thoại khác có Bluetooth
và gửi file “velasco.sis”, có chứa Cabir worm Cabir.worm không phá huỷ dự liệu, nhưng nó có thể khoá mọi kết nối Bluetooth và làm cạn kiệt nhanh pin của máy điện thoại
Lasco Worm: Một loại sâu gây nhiễm các thiết bị trợ giúp cầm tay (PDA) và
các máy di động chạy hệ điều hành Symbian Nó dựa trên mã nguồn của Cabir để tự nhân bản và truyền qua kết nối Bluetooth đến thư mục inbox dưới dạng file
“velasco.sis” Khi mở file này, sâu được kích hoạt và tìm kiếm các thiết bị mới có
sử dụng Bluetooth, sau đó tự nhân bản và chèn vào các file SIS (các hệ thống tích hợp Silicon) khác trên thiết bị di động
Trang 3928
Comwarrior Worm: Một loại sâu lan toả qua MMS và Bluetooth Hiện có
hơn 7 dạng biến đổi của loại sâu này, trong đó nguy hiểm nhất là Comwar.g có khả năng lây nhiễm file và tìm các file SIS khác trong bộ nhớ của máy điện thoại di động, sau đó bổ sung mã nguồn của nó tới các file này
Zombies
Một chương trình bí mật được thực hiện trên các máy tính có nối với Internet, nhằm tấn công làm từ chối dịch vụ (DoS) Chúng thường được sử dụng một cách đồng bộ, tạo thành các cuộc tấn công mạnh, gây quá tải mục tiêu, tràn ngập lưu lượng Internet
Viruses
Một chuỗi mã nguồn được chèn vào các mã nguồn khác Khi chương trình chạy thì mã nguồn bị virus sẽ tự copy và chèn tiếp vào các chương trình khác Viruses không phải là các chương trình riêng biệt, nên chúng không thể tự chạy, mà cần phải có chương trình chủ để kích hoạt chúng Một số loại virus điển hình trong thông tin di động như Duts virus, Pseudo-virus, Các virus này có thể khoá thẻ nhớ, phá các chương trình diệt virus, gây nhiễm file cá nhân, biến đổi các biểu tượng, cài đặt font chữ sai, dừng hoạt động một số ứng dụng, lấy cắp dữ liệu và gửi các bản tin tới những người sử dụng khác
Trojan Horses
Một phần mềm độc hại thực hiện các tác vụ bất hợp pháp Trojan khác với virus là nó không có khả năng nhân bản Một Trojan gồm 2 phần: Client và Server Khi một nạn nhân thực hiện một Trojan server trên máy của mình, kẻ tấn công liền
sử dụng phần client của Trojan đó để kết nối với máy chủ và bắt đầu sử dụng máy chủ dựa trên giao thức, ví dụ, TCP hoặc UDP Khi một Trojan server chạy trên máy tính của nạn nhân, nó thường ẩn ở đâu đó, sau đó nó bắt đầu tìm kiếm các cuộc kết nối trên các cổng đầu vào, làm biến đổi việc ghi chép của hệ thống, hoặc sử dụng một số phương pháp tự động khác để khởi động lại và cấp phép cho kẻ tấn công
Trang 40Trap Doors
Một trap door (back door) là điểm đầu vào bí mật trong một chương trình, cho phép kẻ tấn công nhận được quyền truy nhập mà không cần thực hiện các thủ tục truy nhập bảo mật Sự khác biệt giữa một trap door và một Trojan truy nhập từ
xa (RAT) là trap door chỉ mở một cổng, còn RAT được thiết kế với kiến trúc server
Phishing Scam (PS)
Một trang Web, một email, hoặc một tin nhắn không trung thực, làm cho những người sử dụng mất cảnh giác, để lộ các thông tin nhạy cảm như password, thông tin tài chính, hoặc dự liệu cá nhân
Spyware
Một phần mềm làm lộ thông tin cá nhân của người sử dụng máy di động hoặc hệ thống máy tính Ví dụ, như FlexiSpy gửi một log các cuộc gọi di động và các bản sao các văn bản và các tin nhắn MMS đến một máy chủ Internet thương mại, để bên thứ ba có thể xem được
2.2 Các kiểu tấn công trên mạng di động
Phân loại các kiểu tấn công
Có thể phân chia các kiểu tấn công vào mạng 4G LTE thành 3 nhóm: (1) Theo thể loại tấn công; (2) Theo phương tiện tấn công và (3) Theo chiều truy nhập
