Tiếp theo các thế hệ đầu tiên như 2G, 3G, dự án hợp tác thế hệ thứ 3 (3rd Generation Partnership Project - 3GPP) không ngừng được đầu tư phát triển và với thành quả triển khai mạng 4G cho tốc độ nhanh hơn, băng thông cao hơn và độ trễ ít hơn, đồng thời hỗ trợ bảo mật và tính riêng tư tốt hơn so với các thế hệ trước. 4G/LTE (4th Generation/Long Term Evolution) được thiết kế để hỗ trợ dịch vụ chuyển mạch gói (Packet Switching), không hỗ trợ chuyển mạch kênh (Circuit Switching - CS) như trong các hệ thống thông tin thế hệ trước.
4G/LTE cung cấp kết nối IP giữa thiết bị đầu cuối và mạng dữ liệu gói (Packet Data Network). Thuật ngữ LTE đã bao hàm sự đột phá về kết nối mạng vô tuyến với mạng hữu tuyến đem đến khả năng cải tiến kiến trúc hệ thống (System Architecture Evolution - SAE) [3], bao gồm cả lõi chuyển mạch gói cải tiến (Evolved Packet Core). LTE và SAE cùng kết hợp tạo thành hệ thống mạng chuyển mạch gói (Evolved Packet System - EPS).
Các vấn đề an toàn trong mạng di động, đặc biệt trong mạng truy cập vô tuyến (Radio Access Network - RAN) luôn được được các nhà nghiên cứu và phát triển quan tâm. Để nâng cao tính an toàn đồng thời phù hợp với tài nguyên tính toán và hiệu suất truyền tin, 3GPP đưa giao thức xác thực và thỏa thuận khóa EPS-AKA sử dụng trong mạng 4G.
Từ ngữ cảnh xác thực, mạng di động 4G bao gồm 3 thành phần cơ bản như Hình 1. Bao gồm: các thiết bị người dùng (User Equipment - UE), mạng dịch vụ (Service Network - SN), và mạng thường trú (Home Network - HN).
Hình 1. 03 thành phần chính trong mạng 4G
Mỗi UE có một thẻ mạch tích hợp chung (Universal Integrated Circuit Card - UICC), lưu trữ ít nhất một USIM (Universal Subscriber Identity Module). USIM lưu trữ khóa mật mã được chia sẻ trước với thuê bao của mạng thường trú. Mạng dịch vụ trong 4G bao gồm thiết bị truy cập vô tuyến như trạm gốc (eNodeB), các thực thể quản lý di động (Mobility Management Entities - MME) và một số thiết bị khác. UE giao tiếp với mạng thường trú thông qua giao diện vô tuyến (Radio Access).
Mạng thường trú trong 4G bao gồm các máy chủ xác thực như máy chủ thuê bao thường trú (Home Subscriber Server - HSS), nơi lưu trữ thông tin đăng nhập và xác thực người dùng. Liên lạc giữa mạng dịch vụ và mạng thường trú là dựa vào v; các thực thể lõi kết nối qua mạng IP được gọi chung là hệ thống EPS.
Giao thức AKA (Authentication and Key Agreement) là giao thức xác thực dựa vào thủ tục hỏi - đáp sử dụng khóa đối xứng được chia sẻ trước giữa các thuê bao và mạng thường trú. Sau khi xác thực, dữ liệu khóa mật mã được dẫn xuất để bảo vệ thông tin liên lạc giữa thuê bao di động và mạng dịch vụ, bao gồm thông điệp báo hiệu và dữ liệu người dùng (ví dụ qua các kênh vô tuyến).
Thủ tục xác thực EPS-AKA (Evolved Packet System - Authentication and Key Agreement) trong mạng 4G/LTE như Hình 2. Theo đó:
- EPS-AKA được kích hoạt sau khi UE hoàn thành quy trình kiểm soát tài nguyên vô tuyến (Radio Resource Control - RRC) với eNodeB và gửi một thông báo yêu cầu kết nối tới MME.
- MME gửi yêu cầu xác thực tới HSS nằm trong mạng thường trú, bao gồm định danh UE (ví dụ IMSI - định danh cố định của UE để nhà mạng có thể nhận dạng thuê bao) và nhận dạng mạng dịch vụ.
- HSS thực hiện các hoạt động mật mã dựa trên khóa bí mật Ki (đã được chia sẻ với UE), để lấy một hoặc nhiều véc-tơ xác thực (AV), véc-tơ này được gửi trở lại MME trong thông báo phản hồi xác thực. Véc-tơ xác thực bao gồm thẻ xác thực (AUTH) và thẻ phản hồi xác thực mong đợi (XRES), cùng với các dữ liệu khác.
- Sau khi nhận được mã thông báo phản hồi xác thực từ HSS, MME gửi trả thẻ xác thực AUTH tới UE. UE xác thực HSS dựa vào thẻ xác thực AUTH bằng cách so sánh thẻ xác thực AUTH nhận được với thẻ xác thực AUTH do UE tạo ra dựa vào khóa Ki, nếu thành công, UE tính giá trị RES cũng dựa trên Ki và gửi cho MME kiểm tra.
- MME so sánh giá trị RES nhận từ UE với giá trị XRES của HSS. Nếu chúng bằng nhau, MME thực hiện việc dẫn xuất khóa và gửi thông báo thiết lập chế độ bảo mật tới UE, sau đó dẫn xuất các khóa liên quan để bảo vệ các tín hiệu điều khiển kênh tại tầng NAS (Non Access Stratum).
- MME cũng gửi cho eNodeB một khóa từ các khóa được tạo ra để bảo vệ kênh RRC. Sau đó UE cũng nhận được các khóa tương ứng và liên lạc tiếp theo giữa UE với eNodeB được bảo vệ.
Hình 2. Thủ tục xác thực 4G/LTE [5]
Mặc dù đã được cải thiện nhiều so với các phiên bản trước nhưng giao thức EPS-AKA trong mạng 4G vẫn đang tồn tại những điểm yếu, cụ thể như sau:
- Lộ lọt định dạng cố định (International Mobile Subscriber Identity - IMSI): Để người dùng truy cập vào mạng, thì mạng dịch vụ yêu cầu UE gửi định danh tạm thời (GUTI) hoặc IMSI tới mạng dịch vụ (MME) dưới dạng rõ qua giao diện vô tuyến. Do đó, kẻ tấn công có thể chặn bắt và đọc thông báo định danh UE này và làm ảnh hưởng tới tính riêng tư của người dùng;
- Lộ lọt định danh mạng dịch vụ (SN id): Theo các đặc tả của 3GPP [3], SN id là sự kết hợp của mã di động quốc gia (MCC) và mã mạng di động (MNC). Trong thông báo yêu cầu thông tin xác thực, MME gửi SN id tới mạng thường trú HSS mà không được mã hóa. Do đó, kẻ tấn công có thể chặn bắt và đọc thông báo chứa SN id, sau đó giả mạo mạng dịch vụ MME;
- Theo dõi GUTI: định danh UE gửi trên mạng vô tuyến không được mã hóa. Mặc dù, định danh tạm thời GUTI có thể được sử dụng để ẩn định danh thuê bao cố định IMSI, nhưng nhiều nhà nghiên cứu chỉ ra rằng GUTI có điểm yếu: GUTI không được thay đổi thường xuyên khi cần [1], và phân bố GUTI có thể dự đoán được (ví dụ với các byte cố định) [4].
- Khóa bị rò rỉ: Liên lạc giữa mạng dịch vụ MME và mạng thường trú HSS thường thực hiện dưới dạng rõ, vì vậy kẻ tấn công có thể chặn bắt các thông tin này để lấy khóa. Khóa này được dẫn xuất để tạo ra các khóa nhằm bảo vệ tính toàn vẹn, tính bí mật giữa UE và mạng;
- Rò rỉ đường truyền: Liên lạc giữa các thực thể trong mạng lõi là liên lạc có dây. Việc truyền thông tin qua mạng có dây và có thể không được bảo vệ và được truyền dưới dạng rõ. Do đó, kẻ tấn công có thể chặn bắt và chia sẻ thông tin làm ảnh hưởng đến tính riêng tư và tính bí mật của mạng;
- Chuyển hướng lưu lượng truy cập: Theo đặc tả kỹ thuật của 3GPP [3], UE sử dụng giá trị AUTH để xác thực HSS và MME sử dụng giá trị RES để xác thực UE, trong khi UE không xác thực MME và MME không xác thực HSS. Do đó, kẻ tấn công có thể thực hiện chuyển hướng lưu lượng từ mạng thật sang mạng giả.
Giao thức EPS-AKA trong mạng di động 4G mặc dù đã cung cấp cơ chế xác thực và trao đổi khóa bảo mật hơn so với các thế hệ trước, tuy nhiên vẫn còn tồn tại những điểm yếu ảnh hưởng đến tính riêng tư và tính bí mật của người dùng. Chính vì vậy, việc tìm hiểu các vấn đề liên quan đến xác thực và bảo mật trong mạng di động này vẫn đang được nhiều nhà nghiên cứu quan tâm. Tiếp theo thế hệ 4G, mạng di động 5G đã dần được áp dụng phổ biến trên thế giới. Bên cạnh các ưu điểm vượt trội về hiệu suất và tính năng so với các thế hệ trước, mạng 5G cũng đã cải tiến, triển khai các giải pháp xác thực, bảo mật mạnh mẽ hơn. Các nội dung này sẽ được tiếp tục trình bày trong các số tiếp theo.
TÀI LIỆU THAM KHẢO 1. Byeongdo Hong, Sangwook Bae, and Yongdae Kim, “GUTI Reallocation Demystified: Cellular Location Tracking with Changing Temporary Identifier,” Proceedings of the Internet Society Symposium on Network and Distributed System Security (NDSS), February 2018. 2. Zhenhua Li, Weiwei Wang, Christo Wilson, Jian Chen, Chen Qian, Taeho Jung, Lan Zhang, Kebin Liu, Xiangyang Li, and Yunhao Liu, “FBS-Radar: Uncovering Fake Base Stations at Scale in the Wild,” Proceedings of the Internet Society Symposium on Network and Distributed System Security (NDSS), February 2017. 3. Altaf Shaik, Ravishankar Borgaonkar, N. Asokan, Valtteri Niemi, and Jean-Pierre Seifert, “Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems,” Proceedings of the Internet Society Symposium on Network and Distributed System Security (NDSS), Feburary 2016. 4. 3GPP, “3GPP System Architecture Evolution (SAE) - Security Architecture” (Release 15), technical specification (TS) 33.401, v15.2.0, September 2018. 5. https://www.cablelabs.com/insights/a-comparative-introduction-to-4g-and-5g-authentication |
ThS. Trần Thị Ngà (Học viện Kỹ thuật mật mã)
08:00 | 16/03/2020
08:00 | 01/11/2021
15:00 | 16/09/2021
09:00 | 10/07/2020
10:00 | 13/01/2021
07:00 | 07/11/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
13:00 | 07/10/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
14:00 | 02/10/2024
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Cách mạng khoa học công nghiệp 4.0 với sự hội tụ của hệ thống không gian mạng thực - ảo, điện toán đám mây, Internet vạn vật (IoT) được đưa vào ứng dụng rộng rãi, ảnh hưởng trực tiếp đời sống, kinh tế, xã hội, quốc phòng, an ninh của các quốc gia. Sự xuất hiện của các thiết bị IoT làm gia tăng sự kết nối của con người, dịch vụ, thúc đẩy mạnh mẽ số hóa, tự động hóa ở tất cả các ngành nghề, lĩnh vực, mang lại những lợi ích to lớn, tạo ra các mô hình kinh doanh mới nhưng đồng thời cũng tiềm ẩn nhiều nguy cơ bị tấn công mạng, gây mất an toàn thông tin, an ninh mạng. Bài viết sẽ thông tin tới độc giả về xu hướng tấn công vào thiết bị IoT và đưa ra một số kiến nghị để ứng phó với các thách thức đang đặt ra.
13:00 | 23/01/2025