Ngày nay, 5G hướng đến độ trễ thấp hơn, kết nối nhiều thiết bị hơn với mức tiêu thụ năng lượng thấp. Để đạt được các yêu cầu trên, các công nghệ khác nhau đã được áp dụng cho hệ thống 5G như: Mạng không đồng nhất (HetNet); Công nghệ MIMO (multiple-input multiple-output); Công nghệ mmWave; Truyền thông D2D (Device To Device); Mạng SDN; Công nghệ NFV (Network Functions Virtualization) ảo hóa các chức năng mạng. Với các công nghệ mới được sử dụng, mạng 5G đòi hỏi các tính năng và các giải pháp an toàn mới cho các công nghệ này.
GIẢI PHÁP ĐẢM BẢO AN TOÀN CÔNG NGHỆ SDN
Software-Defined Networking (SDN) là công nghệ mạng mới có khả năng phân tách chức năng, ảo hóa mạng và tự động hóa làm cho các mạng trở nên linh hoạt hơn, cho phép các quản trị viên mạng nhanh chóng xử lý các yêu cầu thay đổi thông qua một bộ điều khiển tập trung. Kiến trúc SDN chia làm 3 lớp kết nối thông qua API southbound và northbound: Lớp ứng dụng, Lớp điều khiển và lớp dữ liệu (cơ sở hạ tầng).
Đảm bảo an toàn lớp ứng dụng SDN: Cần thực hiện xác minh nghiêm ngặt các ứng dụng trước khi chúng được cấp quyền truy cập cho các cấu hình mạng. Một số giải pháp cụ thể như:
- Sử dụng hệ thống PermOF, đây là một hệ thống cấp phép chi tiết đặt ranh giới để ứng dụng hoạt động trong các đặc quyền đã xác định của nó. PermOF cung cấp quyền đọc, ghi, thông báo vào hệ thống cho các ứng dụng khác nhau để thực thi kiểm soát quyền.
- Sử dụng bộ điều khiển Rosemary để cung cấp quyền ranh giới hoạt động của ứng dụng giúp cho hệ thống có thể bảo vệ các nền tảng kiểm soát khỏi các ứng dụng độc hại.
- Sử dụng hệ thống FortNOX, đây là một nhân thực thi bảo mật được thực hiện phân quyền dựa trên vai trò cho mỗi ứng dụng OpenFlow. FortNox thực thi quy tắc luồng dựa trên luật với các yêu cầu chèn quy tắc luồng từ ứng dụng OpenFlow với ba cấp độ truy cập.
Đảm bảo an toàn lớp điểu khiển SDN: Lớp điều khiển hoạt động như bộ não của SDN quản lý các chính sách và luồng lưu lượng trên toàn mạng. Do vai trò quan trọng của lớp điều khiển, có nhiều đề xuất và phương pháp tiếp cận để tăng cường an ninh. Cụ thể như đối với Bộ điều khiển SDN gốc Floodlight sử dụng giao thức OpenFlow cần bổ sung nâng cấp thêm tính năng bảo mật SE-Floodlight (Security Enhanced Floodlight).
Tính năng này cung cấp cơ chế phân tách đặc quyền bằng cách thêm một API north-bound có thể lập trình an toàn vào bộ điều khiển SDN. Nó hoạt động như một trung gian giữa ứng dụng và các mặt phẳng dữ liệu bằng cách xác minh các quy tắc luồng do các ứng dụng tạo ra. Cũng như lớp ứng dụng SDN, việc sử dụng một giải pháp mạnh mẽ như Bộ điều khiển Rosemary cũng giúp bảo vệ hệ thống khỏi các ứng dụng độc hại ở lớp điều khiển SDN. Bên cạnh đó, còn có thể áp dụng Hệ thống Avant-Guard sử dụng công cụ di chuyển kết nối để giới hạn các yêu cầu luồng (phiên TCP không thành công) đến lớp điều khiển nhằm giảm thiểu các vấn đề về khả năng mở rộng của control plane và cải thiện khả năng phục hồi chống lại các cuộc tấn công DoS.
Hình 1. Ba lớp kết nối trong kiến trúc SDN
Đảm bảo an toàn Lớp dữ liệu SDN: Lớp này được tạo thành từ các thiết bị vật lý trong mạng nên việc cấu hình lớp dữ liệu có thể bị thay đổi bởi các ứng dụng, nên phải giữ an toàn cho nó khỏi các ứng dụng trái phép. Do đó, các cơ chế đảm bảo an toàn xác thực và ủy quyền được áp dụng cho các ứng dụng như: FortNox cung cấp cơ chế trong bộ điều khiển để kiểm tra các mâu thuẫn trong quy tắc luồng được tạo ra bởi các ứng dụng; FlowChecker kiểm tra và xác định sự mâu thuẫn trong quy tắc luồng trong OpenFlow, phát hiện các cấu hình chuyển mạch sai.
GIẢI PHÁP ĐẢM BẢO AN TOÀN CÔNG NGHỆ NFV
Ảo hóa chức năng mạng NFV có thể làm tăng số lượng người dùng, nâng cao dịch vụ và an toàn mạng. Phương án đảm bảo an toàn đầu tiên là sử dụng phương pháp cắt để phân tách lưu lượng của các dịch vụ hoặc các phân đoạn mạng dựa trên các bảo mật ưu tiên. Phương án thứ hai là các triển khai các các chức năng mạng ảo (Virtual network functions - VNF) để tăng khả năng mở rộng và tính sẵn sàng của hệ thống nhằm giải quyết các cuộc tấn công DoS/DDoS. Việc chia nhỏ mạng cho các dịch vụ khác nhau được coi là thế mạnh của 5G so với các mạng thế hệ trước. Dưới đây là giải pháp đảm bảo an toàn cho các thành phần trong công nghệ NFV.
Giải pháp cho Hệ thống ảo: So với hệ thống vật lý, hệ thống ảo khó giám sát hơn nhưng cũng có những ưu điểm riêng về mặt an toàn. Hệ thống ảo có thể dễ dàng di chuyển hoặc sao chép để giảm thiểu tác động của các cuộc tấn công. Chính vì vậy, cần đưa ra một quy định quản lý thực thi chính sách an toàn trong môi trường VNF và xây dựng hệ thống phần mềm cho NFV để người sử dụng đưa ra chính xác các đánh giá và thực thi yêu cầu mà không cần xử lý các cấu hình an toàn mạng phức tạp.
Giải pháp cho phần mềm giám sát máy ảo: Do vai trò trung tâm trong việc quản lý, truy cập và phân bổ các tài nguyên máy ảo của phần mềm giám sát (hypervisor), lựa chọn cơ bản để tăng cường tính an toàn của nó chính là hạn chế tiếp xúc máy ảo và các hệ thống khác. OpenVirteX đã đưa ra một nền tảng ảo hóa mạng cung cấp cho khách hàng SDN ảo. Nền tảng này hoạt động tương tự như triển khai OpenFlow SDN, hypervisor hoạt động giống như bộ điều khiển trong OpenFlow, trong đó người dùng có các control và data plane riêng của họ. Giải pháp này khiến bộ điều khiển SDN có khả năng bao quát các hoạt động của hypervisor và có thể dễ dàng theo dõi các lỗ hổng bảo mật.
GIẢI PHÁP ĐẢM BẢO AN TOÀN CÔNG NGHỆ CLOUD
Công nghệ điện toán đám mây trong mạng di động 5G chiếm vai trò trọng tâm trong các tổ chức nghiên cứu làm việc về 5G và các ngành công nghiệp công nghệ liên quan. Với các công nghệ cung cấp dịch vụ và tài nguyên giúp chia sẻ dữ liệu trong thời gian thực giữa các thiết bị và lưu trữ ảo trên đám mây. Dưới đây là những giải pháp đảm bảo an toàn cho các thành phần trong công nghệ Cloud.
Đảm bảo an toàn cho ảo hóa: Các mối đe dọa bảo mật liên quan đến ảo hóa chủ yếu nằm trên các phần của máy ảo. Điều quan trọng là trong việc đảm bảo an toàn cho các nền tảng ảo hóa là phải mở rộng tất cả các biện pháp đảm bảo an toàn trên hệ điều hành của máy vật lý sang hệ điều hành của máy ảo, chỉ khi đó hiệu quả của chiến lược an toàn mới được đảm bảo. Vì vậy, cần xây dựng hệ thống giám sát an toàn để kiểm soát luồng thông tin và giao tiếp giữa các máy ảo trên các máy khác nhau, cũng như cần triển khai proxy tường lửa để giảm thiểu tấn công DoS trong các hệ thống ảo hóa.
Phòng tránh tấn công xâm nhập đám mây: Có thể giảm thiểu sự xâm nhập đám mây bằng cách xây dựng các IDS hoạt động kết hợp với các cơ chế kiểm soát khác trong môi trường điện toán đám mây. Thiết kế các hệ thống IDS để liên tục giám sát các hoạt động trong môi trường đám mây và sẽ xác định bất kỳ hình thức hoạt động độc hại nào vi phạm chính sách. Xây dựng các ứng dụng đám mây có khả năng xác định và bỏ qua các yêu cầu xâm nhập bất hợp pháp.
Phòng tránh Tấn công nội bộ: Nhà cung cấp dịch vụ có quyền truy cập vào các máy chủ vật lý mà dữ liệu người dùng được lưu trữ. Tuy nhiên nội bộ nhà cung cấp có thể mắc lỗi khiến thông tin của người dùng bị sử dụng sai mục địch. Do đó việc thực hiện kiểm tra thường xuyên và theo định kỳ cùng với việc đánh dấu thời gian và chữ ký số trên dữ liệu đám mây, có thể giúp giảm thiểu khả năng lạm dụng và sử dụng bất chính dữ liệu đám mây.
GIẢI PHÁP ĐẢM BẢO AN TOÀN CÔNG NGHỆ MIMO
Công nghệ MIMO là trang bị cho trạm gốc một số lượng lớn các ăng ten có thể phục vụ cho số lượng lớn các thiết bị đầu cuối của người dùng với cùng một dải tần. Đi kèm với số lượng thiết bị khổng lồ, MIMO rất dễ bị khai thác tấn công nghe trộm: Nghe trộm thụ động và nghe trộm chủ động. Có 2 giải pháp chính để phát hiện kẻ nghe trộm đang hoạt động:
Giải pháp thứ nhất là, khai thác tính ngẫu nhiên có kiểm soát bằng cách truyền các tín hiệu ước tính kênh truyền ngẫu nhiên để phát hiện những kẻ nghe trộm đang hoạt động. Người dùng hợp pháp truyền một chuỗi ký hiệu ngẫu nhiên của khóa dịch chuyển pha ngẫu nhiên cho phép trạm gốc phát hiện kẻ nghe trộm. Hạn chế của phương pháp này là nó phải chịu chi phí truyền các chuỗi ngẫu nhiên bổ sung.
Giải pháp thứ hai là, xây dựng các bộ định dạng, điều hướng sóng sao cho những người dùng hợp pháp nhận được tương đương với giá trị đã thoả thuận. Các trạm cơ sở hợp tác có thể phát hiện ra các hoạt động nghe trộm. Các phương pháp học máy cũng có thể được áp dụng để phát hiện các cuộc tấn công nghe trộm đang hoạt động.
KẾT LUẬN
Trong quá trình phát triển mạng 5G, để đáp ứng yêu cầu và dịch vụ mạng, 5G sử dụng các công nghệ mới như các khái niệm điện toán đám mây tiên tiến MEC, SDN, NFV, MIMO massive... Sự đa dạng của công nghệ mạng mới làm tăng cảnh quan về mối đe dọa an ninh, và do đó phải tìm kiếm các giải pháp, đảm bảo an toàn mới để kết nối hiệu quả và an toàn. Trên đây là một số giải pháp, nghiên cứu đảm bảo an toàn công nghệ mạng để cải thiện an toàn mạng 5G và làm cơ sở để tiếp tục các nghiên cứu trong tương lai.
TÀI LIỆU THAM KHẢO 1. 3GPP TS 23.502 - Procedures for the 5G System (Release 16) July 2020 2. Ijaz Ahmad, Shahriar Shahabuddin, Tanesh Kumar, sJude Okwuibe, Andrei Gurtov, Mika Ylianttila “Security for 5G and Beyond”, IEEE Communications Surveys & Tutorials Vol. 21, 2019. 3. IEEE Journal on Selected Areas in Communications Vol. 36, 2018. 4. IEEE Communications Surveys & Tutorials Vol. 19, 2017. 5. IEEE Communications Letters, vol. 21, 2017. 6. Muhammad Arif, Ari Pouttu, Ijaz Ahmad, Olli Liinamaa, Mika Ylianttila, “On the Demonstration and Evaluation of ServiceBased Slices in 5G Test Network using NFV,” in workshop on Future Networking Workshop for 5G and Beyond Testbed and Trials, 2019 IEEE WCNC. IEEE, 2019. |