Mạng thông tin di động 4G/LTE
Mạng thông tin di động 4G/LTE (Generation/Long Term Evolution) là mạng thế hệ thứ tư đang được triển khai rộng khắp trên thế giới và Việt Nam. 4G/LTE được thiết kế để hỗ trợ dịch vụ chuyển mạch gói (Packet Switching - PS), không hỗ trợ chuyển mạch kênh (Circuit Switching - CS) như trong các hệ thống thông tin thế hệ trước. 4G/LTE cung cấp kết nối IP giữa thiết bị đầu cuối và mạng dữ liệu gói (Packet Data Network - PDN).
Thuật ngữ LTE bao hàm mạng kết nối vô tuyến, đi kèm với kỹ thuật kết nối hữu tuyến mới với khả năng cải tiến kiến trúc hệ thống (System Architecture Evolution - SAE), bao gồm cả mạng lõi chuyển mạch gói cải tiến (Evolved Packet Core - EPC). LTE và SAE cùng kết hợp tạo thành hệ thống mạng chuyển mạch gói (Evolved Packet System - EPS). Hình 1 mô tả kiến trúc tổng quát của mạng 4G/LTE với các thành phần chính và các giao diện kết nối.
Hình 1. Kiến trúc mạng 4G/LTE [1]
Kiến trúc mạng 4G/LTE về cơ bản có thể chia thành ba thành phần chính:
- Thiết bị người dùng (User equipment – UE): Thiết bị di động là điểm đầu cuối chính trong các mạng di động, tương tác với các trạm gốc eNodeB thông qua tín hiệu vô tuyến, nhằm mục đích gửi và nhận thông tin. Một UE bao gồm: UICC chứa các khóa mã bí mật được chia sẻ trước với nhà khai thác di động (Mobile Network Operator - MNO) trước khi nó được cấp tới người dùng; IMSI là định danh cố định mà nhà mạng sử dụng để xác định thuê bao.
- Mạng truy cập vô tuyến (Evolved Universal Terrestrial Radio Access Network- E-UTRAN): Các thiết bị người dùng UE kết nối với E-UTRAN để truyền dữ liệu tới mạng lõi. E-UTRAN là một mạng lưới bao gồm các trạm gốc. Một trạm gốc hay e-NodeB điều chế và giải điều chế tín hiệu vô tuyến để liên lạc với các UE. eNodeB sau đó hoạt động như một điểm chuyển tiếp tạo và gửi các gói tin IP đi và đến mạng lõi. Mạng di động được thiết kế chuyển kết nối từ một thiết bị truy cập vô tuyến trong E-UTRAN này sang E-UTRAN khác khi UE được kết nối thay đổi vị trí.
- EPC: Mạng lõi có chức năng điều khiển thiết bị đầu cuối và thiết lập các tải tin (payload), bao gồm 2 node chính. Thứ nhất, khối quản lý di động (Mobility Management Entity - MME) là thực thể điều khiển mấu chốt cho mạng truy cập 4G/LTE. Đây là node điều khiển, xử lý tín hiệu giữa thiết bị đầu cuối và mạng lõi. Thứ hai là khối quản lý thuê bao (Home Subcriber Server - HSS) cung cấp thông tin thuê bao thường trú, lưu giữ thông tin những mạng gói dữ liệu PDN mà thuê bao có thể kết nối đến.
Bộ thông số kỹ thuật của 4G/LTE được xem là tốt hơn đáng kể so với hệ thống di động UMTS trước đó không chỉ về mặt chức năng mà còn liên quan đến khả năng bảo mật và quyền riêng tư cho thuê bao. Vấn đề lớn của các hệ thống truyền thông vô tuyến và di động là đảm bảo bí mật thông tin người dùng và tính sẵn sàng của thiết bị di động và trạm gốc. Việc nghiên cứu, phân tích các tấn công lên mạng di động thế hệ mới là một hướng nghiên cứu tiềm năng nhằm có được những kiến thức, kinh nghiệm khuyến cáo tới người dùng cũng như đề xuất các giải pháp an toàn về kỹ thuật, nghiệp vụ chống lại các nguy cơ tấn công.
An toàn, an ninh mạng trong mạng 4G/LTE
Kiến trúc bảo mật mạng 4G/LTE
Hình 2 mô tả năm mức bảo mật được 3GPP [3] xác định để đối mặt với các mối đe dọa và đạt được các yêu cầu bảo mật nhất định, cụ thể:
- Mức I: Bảo mật truy cập mạng cung cấp quyền truy cập an toàn vào các dịch vụ cho người dùng và bảo vệ chống lại các cuộc tấn công liên kết truy cập vô tuyến.
- Mức II: Bảo mật miền người dùng cung cấp cách thức an toàn để truyền dữ liệu báo hiệu và dữ liệu người dùng.
- Mức III: Bảo mật miền người dùng cung cấp quyền truy cập an toàn vào các trạm di động bao gồm cơ chế xác thực giữa môđun nhận dạng thuê bao toàn cầu (USIM) và UE.
- Mức IV: Bảo mật miền ứng dụng đảm bảo trao đổi tin nhắn bảo mật của các ứng dụng trong miền người dùng và nhà cung cấp.
- Mức V: Khả năng hiển thị và khả năng cấu hình của bảo mật. Mức độ này cho phép người dùng kiểm soát các thông báo để kiểm tra hoạt động của tính năng bảo mật và việc sử dụng, cung cấp dịch vụ có nên phụ thuộc vào các tính năng bảo mật hay không.
Hình 2. Kiến trúc an toàn, an ninh mạng 4G/LTE [2]
Phân cấp khóa bảo mật 4G/LTE
Mạng 4G/LTE sử dụng hàm dẫn xuất khóa trực tiếp để lấy nhiều loại khóa. Hệ thống phân cấp khóa được mô tả như Hình 3, trong đó:
- K là khóa master cố định được lưu trữ an toàn trong USIM và trung tâm xác thực (AuC).
- CK và IK là khóa mã hóa và khóa giải mã có nguồn gốc từ USIM và AuC từ K để mã hóa và kiểm tra tính toàn vẹn.
- KASME có nguồn gốc từ CK và IK, và nó được chia sẻ giữa UE và MME để tạo ra một loạt các khóa phiên.
- KeNB có nguồn gốc từ UE và MME hoặc e-NodeB từ KASME theo trạng thái của UE.
- KNASint và KNASenc là một cặp khóa được UE và MME lấy từ KASME để bảo vệ lưu lượng NAS.
- KUPenc có nguồn gốc từ UE và eNodeB từ KeNB để bảo vệ lưu lượng mặt phẳng người dùng.
Hình 3. Phân cấp khóa 4G/LTE [2]
Quản lý khóa chuyển giao 4G/LTE
Mạng 4G/LTE hỗ trợ cả chuyển giao vô tuyến và chuyển giao nội bộ E-UTRAN. Việc chuyển giao nội bộ E-UTRAN có chuyển giao nội bộ MME và chuyển giao giữa các MME. Việc chuyển giao nội bộ MME xảy ra giữa các e-NodeB trong cùng một MME được kết nối với nhau bằng giao diện X2, trong khi chuyển giao giữa các MME dựa vào giao diện S1 và liên quan đến MME trong quá trình này. Quy trình chuyển giao giữa MME luôn thực thi thủ tục EPS-AKA hoàn chỉnh để đạt được môi trường an toàn, trong khi chuyển giao giữa MME chỉ đơn giản chuyển giao KeNB mới (K*eNB) từ e-NodeB nguồn sang e-NodeB mục tiêu. Việc tách khóa ngược của dẫn xuất khóa phiên trong chuyển giao MME nội bộ đạt được bằng cách sử dụng hàm một chiều, tức là e-NodeB không thể lấy được các khóa phiên từ các khóa hiện tại. Đồng thời, cần thực hiện tách khóa chuyển tiếp để đảm bảo rằng e-NodeB nguồn không thể dự đoán khóa của e-NodeB đích. Điều này đạt được bằng cách sử dụng khóa bước truyền kế tiếp (NH) và bộ đếm chuỗi NH để tạo khóa mới.
K*eNB có thể được lấy bằng cách sử dụng dẫn xuất khóa ngang hoặc dẫn xuất khóa dọc. Thủ tục trước dẫn xuất K*eNB từ KeNB trước đó và nó xảy ra khi eNodeB nguồn không có cặp (NH, NCC) mới hoặc giá trị NCC trong eNodeB không nhỏ hơn giá trị nhận được từ MME. Thủ tục sau phổ biến và an toàn hơn, nó dẫn xuất từ K*eNB sử dụng khóa NH nhận được từ MME. Nó được sử dụng khi giá trị NCC trong eNodeB nguồn nhỏ hơn giá trị NCC nhận được từ MME.
An ninh IMS
Việc xác thực EPS-AKA và IMS-AKA nên được thực hiện trước khi UE có quyền truy cập vào các dịch vụ đa phương tiện. Trong IMS, môđun nhận dạng thuê bao IMS mới (ISIM) được phân bổ trong mỗi UE. Tương tự như USIM, ISIM lưu trữ các khoá và chức năng xác thực IMS được sử dụng để kết nối mạng LTE/LTE-A. S-CSCF xử lý các yêu cầu UE để thực hiện việc xác thực sử dụng HSS, giữ bản sao của các khóa xác thực IMS.
Hiểu rõ về mạng 4G/LTE và kiến trúc an toàn, an ninh mạng thế hệ thứ tư này sẽ giúp chúng ta phát hiện ra các tấn công phổ biến lên mạng 4G/LTE, đồng thời giúp những chuyên gia an toàn, an ninh mạng có những giải pháp để phòng chống các tấn công đó. Vấn đề này sẽ được tác giả trình bày trong một bài báo khác.
|
Tài liệu tham khảo [1]. J. Cichonski, J. M. Franklin, and tM. Bartock, “Guide to LTE security”, National Institute of Standards and Technology, Gaithersburg, MD, NIST SP 800-187, Dec. 2017. [2]. J. Cao, M. Ma, H. Li, Y. Zhang, and Z. Luo, “A survey on security aspectsfor LTE and LTE-A networks”, IEEE Commun. Surveys Tuts., vol. 16, no. 1, pp. 283-302, 1st Quart., 2014. [3]. 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security Architecture (Release 14), document 3GPP TS 33.401 V14.2.0,2017. |
ThS. Trần Thị Ngà, ThS. Mai Đức Thọ, Học viện Kỹ thuật mật mã
13:00 | 18/02/2020
16:00 | 01/04/2020
08:00 | 27/02/2020
11:00 | 13/01/2020
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
09:00 | 05/06/2023
Tấn công tiêm lỗi (Fault Injection Attack - FIA) là loại tấn công chủ động, giúp tin tặc xâm nhập vào các thiết bị điện tử, mạch tích hợp cũng như các thiết bị mật mã nhằm thu được khóa bí mật và đánh cắp thông tin. Tiêm lỗi có thể được thực hiện trong cả phần cứng và phần mềm. Bài báo này nhóm tác giả sẽ trình bày về các kỹ thuật, công cụ được thực hiện trong FIA.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
