Mạng thông tin di động 4G/LTE
Mạng thông tin di động 4G/LTE (Generation/Long Term Evolution) là mạng thế hệ thứ tư đang được triển khai rộng khắp trên thế giới và Việt Nam. 4G/LTE được thiết kế để hỗ trợ dịch vụ chuyển mạch gói (Packet Switching - PS), không hỗ trợ chuyển mạch kênh (Circuit Switching - CS) như trong các hệ thống thông tin thế hệ trước. 4G/LTE cung cấp kết nối IP giữa thiết bị đầu cuối và mạng dữ liệu gói (Packet Data Network - PDN).
Thuật ngữ LTE bao hàm mạng kết nối vô tuyến, đi kèm với kỹ thuật kết nối hữu tuyến mới với khả năng cải tiến kiến trúc hệ thống (System Architecture Evolution - SAE), bao gồm cả mạng lõi chuyển mạch gói cải tiến (Evolved Packet Core - EPC). LTE và SAE cùng kết hợp tạo thành hệ thống mạng chuyển mạch gói (Evolved Packet System - EPS). Hình 1 mô tả kiến trúc tổng quát của mạng 4G/LTE với các thành phần chính và các giao diện kết nối.
Hình 1. Kiến trúc mạng 4G/LTE [1]
Kiến trúc mạng 4G/LTE về cơ bản có thể chia thành ba thành phần chính:
- Thiết bị người dùng (User equipment – UE): Thiết bị di động là điểm đầu cuối chính trong các mạng di động, tương tác với các trạm gốc eNodeB thông qua tín hiệu vô tuyến, nhằm mục đích gửi và nhận thông tin. Một UE bao gồm: UICC chứa các khóa mã bí mật được chia sẻ trước với nhà khai thác di động (Mobile Network Operator - MNO) trước khi nó được cấp tới người dùng; IMSI là định danh cố định mà nhà mạng sử dụng để xác định thuê bao.
- Mạng truy cập vô tuyến (Evolved Universal Terrestrial Radio Access Network- E-UTRAN): Các thiết bị người dùng UE kết nối với E-UTRAN để truyền dữ liệu tới mạng lõi. E-UTRAN là một mạng lưới bao gồm các trạm gốc. Một trạm gốc hay e-NodeB điều chế và giải điều chế tín hiệu vô tuyến để liên lạc với các UE. eNodeB sau đó hoạt động như một điểm chuyển tiếp tạo và gửi các gói tin IP đi và đến mạng lõi. Mạng di động được thiết kế chuyển kết nối từ một thiết bị truy cập vô tuyến trong E-UTRAN này sang E-UTRAN khác khi UE được kết nối thay đổi vị trí.
- EPC: Mạng lõi có chức năng điều khiển thiết bị đầu cuối và thiết lập các tải tin (payload), bao gồm 2 node chính. Thứ nhất, khối quản lý di động (Mobility Management Entity - MME) là thực thể điều khiển mấu chốt cho mạng truy cập 4G/LTE. Đây là node điều khiển, xử lý tín hiệu giữa thiết bị đầu cuối và mạng lõi. Thứ hai là khối quản lý thuê bao (Home Subcriber Server - HSS) cung cấp thông tin thuê bao thường trú, lưu giữ thông tin những mạng gói dữ liệu PDN mà thuê bao có thể kết nối đến.
Bộ thông số kỹ thuật của 4G/LTE được xem là tốt hơn đáng kể so với hệ thống di động UMTS trước đó không chỉ về mặt chức năng mà còn liên quan đến khả năng bảo mật và quyền riêng tư cho thuê bao. Vấn đề lớn của các hệ thống truyền thông vô tuyến và di động là đảm bảo bí mật thông tin người dùng và tính sẵn sàng của thiết bị di động và trạm gốc. Việc nghiên cứu, phân tích các tấn công lên mạng di động thế hệ mới là một hướng nghiên cứu tiềm năng nhằm có được những kiến thức, kinh nghiệm khuyến cáo tới người dùng cũng như đề xuất các giải pháp an toàn về kỹ thuật, nghiệp vụ chống lại các nguy cơ tấn công.
An toàn, an ninh mạng trong mạng 4G/LTE
Kiến trúc bảo mật mạng 4G/LTE
Hình 2 mô tả năm mức bảo mật được 3GPP [3] xác định để đối mặt với các mối đe dọa và đạt được các yêu cầu bảo mật nhất định, cụ thể:
- Mức I: Bảo mật truy cập mạng cung cấp quyền truy cập an toàn vào các dịch vụ cho người dùng và bảo vệ chống lại các cuộc tấn công liên kết truy cập vô tuyến.
- Mức II: Bảo mật miền người dùng cung cấp cách thức an toàn để truyền dữ liệu báo hiệu và dữ liệu người dùng.
- Mức III: Bảo mật miền người dùng cung cấp quyền truy cập an toàn vào các trạm di động bao gồm cơ chế xác thực giữa môđun nhận dạng thuê bao toàn cầu (USIM) và UE.
- Mức IV: Bảo mật miền ứng dụng đảm bảo trao đổi tin nhắn bảo mật của các ứng dụng trong miền người dùng và nhà cung cấp.
- Mức V: Khả năng hiển thị và khả năng cấu hình của bảo mật. Mức độ này cho phép người dùng kiểm soát các thông báo để kiểm tra hoạt động của tính năng bảo mật và việc sử dụng, cung cấp dịch vụ có nên phụ thuộc vào các tính năng bảo mật hay không.
Hình 2. Kiến trúc an toàn, an ninh mạng 4G/LTE [2]
Phân cấp khóa bảo mật 4G/LTE
Mạng 4G/LTE sử dụng hàm dẫn xuất khóa trực tiếp để lấy nhiều loại khóa. Hệ thống phân cấp khóa được mô tả như Hình 3, trong đó:
- K là khóa master cố định được lưu trữ an toàn trong USIM và trung tâm xác thực (AuC).
- CK và IK là khóa mã hóa và khóa giải mã có nguồn gốc từ USIM và AuC từ K để mã hóa và kiểm tra tính toàn vẹn.
- KASME có nguồn gốc từ CK và IK, và nó được chia sẻ giữa UE và MME để tạo ra một loạt các khóa phiên.
- KeNB có nguồn gốc từ UE và MME hoặc e-NodeB từ KASME theo trạng thái của UE.
- KNASint và KNASenc là một cặp khóa được UE và MME lấy từ KASME để bảo vệ lưu lượng NAS.
- KUPenc có nguồn gốc từ UE và eNodeB từ KeNB để bảo vệ lưu lượng mặt phẳng người dùng.
Hình 3. Phân cấp khóa 4G/LTE [2]
Quản lý khóa chuyển giao 4G/LTE
Mạng 4G/LTE hỗ trợ cả chuyển giao vô tuyến và chuyển giao nội bộ E-UTRAN. Việc chuyển giao nội bộ E-UTRAN có chuyển giao nội bộ MME và chuyển giao giữa các MME. Việc chuyển giao nội bộ MME xảy ra giữa các e-NodeB trong cùng một MME được kết nối với nhau bằng giao diện X2, trong khi chuyển giao giữa các MME dựa vào giao diện S1 và liên quan đến MME trong quá trình này. Quy trình chuyển giao giữa MME luôn thực thi thủ tục EPS-AKA hoàn chỉnh để đạt được môi trường an toàn, trong khi chuyển giao giữa MME chỉ đơn giản chuyển giao KeNB mới (K*eNB) từ e-NodeB nguồn sang e-NodeB mục tiêu. Việc tách khóa ngược của dẫn xuất khóa phiên trong chuyển giao MME nội bộ đạt được bằng cách sử dụng hàm một chiều, tức là e-NodeB không thể lấy được các khóa phiên từ các khóa hiện tại. Đồng thời, cần thực hiện tách khóa chuyển tiếp để đảm bảo rằng e-NodeB nguồn không thể dự đoán khóa của e-NodeB đích. Điều này đạt được bằng cách sử dụng khóa bước truyền kế tiếp (NH) và bộ đếm chuỗi NH để tạo khóa mới.
K*eNB có thể được lấy bằng cách sử dụng dẫn xuất khóa ngang hoặc dẫn xuất khóa dọc. Thủ tục trước dẫn xuất K*eNB từ KeNB trước đó và nó xảy ra khi eNodeB nguồn không có cặp (NH, NCC) mới hoặc giá trị NCC trong eNodeB không nhỏ hơn giá trị nhận được từ MME. Thủ tục sau phổ biến và an toàn hơn, nó dẫn xuất từ K*eNB sử dụng khóa NH nhận được từ MME. Nó được sử dụng khi giá trị NCC trong eNodeB nguồn nhỏ hơn giá trị NCC nhận được từ MME.
An ninh IMS
Việc xác thực EPS-AKA và IMS-AKA nên được thực hiện trước khi UE có quyền truy cập vào các dịch vụ đa phương tiện. Trong IMS, môđun nhận dạng thuê bao IMS mới (ISIM) được phân bổ trong mỗi UE. Tương tự như USIM, ISIM lưu trữ các khoá và chức năng xác thực IMS được sử dụng để kết nối mạng LTE/LTE-A. S-CSCF xử lý các yêu cầu UE để thực hiện việc xác thực sử dụng HSS, giữ bản sao của các khóa xác thực IMS.
Hiểu rõ về mạng 4G/LTE và kiến trúc an toàn, an ninh mạng thế hệ thứ tư này sẽ giúp chúng ta phát hiện ra các tấn công phổ biến lên mạng 4G/LTE, đồng thời giúp những chuyên gia an toàn, an ninh mạng có những giải pháp để phòng chống các tấn công đó. Vấn đề này sẽ được tác giả trình bày trong một bài báo khác.
|
Tài liệu tham khảo [1]. J. Cichonski, J. M. Franklin, and tM. Bartock, “Guide to LTE security”, National Institute of Standards and Technology, Gaithersburg, MD, NIST SP 800-187, Dec. 2017. [2]. J. Cao, M. Ma, H. Li, Y. Zhang, and Z. Luo, “A survey on security aspectsfor LTE and LTE-A networks”, IEEE Commun. Surveys Tuts., vol. 16, no. 1, pp. 283-302, 1st Quart., 2014. [3]. 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security Architecture (Release 14), document 3GPP TS 33.401 V14.2.0,2017. |
ThS. Trần Thị Ngà, ThS. Mai Đức Thọ, Học viện Kỹ thuật mật mã
13:00 | 18/02/2020
16:00 | 01/04/2020
08:00 | 27/02/2020
11:00 | 13/01/2020
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
