Mạng thông tin di động thế hệ thứ 5 (5G) với tên gọi chính thức là IMT-2020 được Liên minh Viễn thông quốc tế (ITU-R) thông qua vào năm 2015. 5G được phát triển trên nền tảng 4G với khả năng mở rộng và hỗ trợ đa nền tảng LAS-CDMA (Large Area Synchronized Code Division Multiple Access), UWB (Ultra Wideband), Network-LMDS (Local Multipoint Distribution Service), Ipv6 và BDMA (Beam Division Multiple Access). Với tốc độ nhanh vượt trội, ổn định, đáng tin cậy và khắc phục được vấn đề phủ sóng do dùng sóng vệ tinh, 5G là xu thế công nghệ của tương lai, dự kiến sẽ có 3,5 tỷ các thiết bị sẽ được kết nối 5G (IoT) vào năm 2023, cùng với đó thì 20% tổng lưu lượng theo băng thông rộng di động trên thế giới sẽ là 5G, gấp 1,5 lần tổng lưu lượng hiện nay сủa 4G/3G/2G và số lượng dữ liệu sẽ tăng gấp 8 lần.
Cùng với sự phát triển mạnh mẽ của hệ thống thông tin 5G, các loại hình thông tin cơ động, đa môi trường sẽ được phát triển nhanh chóng, dẫn đến khả năng kiểm soát thông tin ngày càng khó khăn và phức tạp, khả năng lộ, lọt thông tin qua các phương tiện kỹ thuật được sử dụng ngày càng tăng.
Sau đây chúng tôi sẽ tập trung đưa ra một số vấn đề về an toàn và bảo mật trên mạng viễn thông 5G cần được giải quyết trên nền tảng phân tích tổng hợp các nguy cơ mất an toàn và kiến trúc mạng lõi 5G.
Với khả năng hỗ trợ đa nền tảng truy cập và siêu kết nối, 5G chứa đựng nhiều nguy cơ về an ninh. Do số lượng thiết bị truy cập lớn, khả năng kiểm soát an ninh và các lỗ hổng phát sinh từ phía người sử dụng là một trong những vấn đề đối với mạng 5G. Dữ liệu mạng lưới hoàn toàn có thể bị lấy cắp thông qua việc kiểm soát truy cập tại các thiết bị đầu cuối.
Đối với mạng 5G các mối đe dọa xảy ra ở bất kỳ nút nào trong mạng lưới cũng có khả năng đe dọa tới toàn bộ mạng lưới và gây ra các sự cố trên diện rộng. Khi số lượng các nút mạng gia tăng, các kho dữ liệu mà tin tặc có thể xâm nhập cũng tăng theo, đồng thời gia tăng nguy cơ tấn công và mất cắp dữ liệu với quy mô lớn và trong thời gian ngắn.
Ngoài ra đối với mạng 5G, do kết cấu hạ tầng mạng phức tạp và tiềm ẩn nhiều kẽ hở, các dịch vụ trọng yếu có khả năng bị kiểm soát thông qua đó phá hoại kết cấu hạ tầng mạng viễn thông, gây gián đoạn, làm giảm chất lượng đường truyền, ảnh hưởng lớn đến vấn đề an ninh kinh tế, an ninh quốc phòng không chỉ một quốc gia mà có thể cả một nhóm quốc gia, thậm chí an ninh quốc tế. Các loại tấn công từ chối dịch vụ DDoS cũng có thể xảy ra đối với mạng 5G trong các giai đoạn khác nhau. Kẻ chủ đích có thể lợi dụng các lỗ hổng thông tin phát tán mã độc, thông qua mạng liên lạc nhanh chóng xâm nhập vào các nút mạng và các thiết bị đầu cuối, sau khi đã đạt được một khối lượng đủ lớn thì chúng bắt đầu cuộc tấn công.
Các nhà khoa học cũng chỉ ra ngay trong mạng lõi 5G vẫn chứa đựng nhiều lỗ hổng bảo mật tiềm ẩn nguy cơ bị tấn công. Một nhóm các nhà nghiên cứu từ Đại học Purdue và Đại học bang Iowa đã phát hiện 11 loại lỗ hổng khác nhau khi phân tích hoạt động của các giao thức mạng 5G. Các lỗ hổng được phát hiện đã được áp dụng trong thực tế và cho phép các nhà nghiên cứu thực hiện một số cuộc tấn công nhằm theo dõi vị trí của thiết bị, ngắt kết nối 5G trên điện thoại thông minh và truyền cảnh báo sai. Việc tồn tại các lỗ hổng an ninh ngay trong giao thức hoạt động là một trong những vấn đề không thể không giải quyết khi triển khai mạng 5G. Do đó cần xác định các thành phần liên quan đến việc xử lý những vấn đề về bảo mật và an toàn thông tin ngay trong kiến trúc mạng 5G nhằm đưa ra các giải pháp kiểm soát và thay thế tối ưu.
Kiến trúc chức năng mạng đường trục 5G
Hình trên cho thấy kiến trúc chung để xây dựng lõi mạng 5G. Các chức năng thực hiện các cơ chế bảo mật được tô đậm bao gồm:
- Chức năng bảo mật thông dụng (Security Anchor Function - SEAF).
- Chức năng máy chủ xác thực (Authentication Server Functionc - AUSF).
- Chức năng lưu trữ và xử lý thông tin xác thực (Authentication Credential Repository and Processing Function - ARPF).
- Chức năng quản lý bối cảnh bảo mật (Security Context Management Function - SCMF).
- Chức năng quản lý chính sách bảo mật Security Policy Control Function - SPCF).
- Chức năng trích xuất định danh người dùng Subscription Identifier De-concealing Function - SIDF).
Сác chức năng của SEAF, SCMF và SPCF được kết hợp trong mô-đun quản lý truy cập và di động (AMF);
Các chức năng ARPF và SIDF được thực thi bên trong cơ sở dữ liệu thống nhất (UDM).
Chức năng bảo mật thông dụng
Cùng với AUSF, SEAF cung cấp cơ chế xác thực thiết bị đầu cuối người dùng (UE) khi được đăng ký (đính kèm) cho bất kỳ công nghệ truy cập nào. Trong 4G-LTE, việc xử lý truy cập được thực thi theo cấu trúc non - 3GPP có chức năng tương tự như SEAF: ePDG - để truy cập không tin cậy; TWAG - đối với truy cập tin cậy.
Chức năng máy chủ xác thực
AUSF hoạt động như một máy chủ xác thực, phân tích các yêu cầu từ SEAF và chuyển chúng sang cho ARPF. Chức năng AUFE được thực thi kết hợp với việc cập nhật kho lưu trữ xác thực trên (ARPF).
Kho lưu trữ và xử lý thông tin xác thực
Đảm bảo khả năng lưu trữ khóa bí mật cá nhân (KI) và các tham số của thuật toán mã hóa, cũng như tạo ra các vectơ xác thực theo thuật toán 5G - AKA hoặc EAP-AKA. ARPF được đặt trong trung tâm dữ liệu của một nhà khai thác viễn thông được bảo vệ khỏi các ảnh hưởng vật lý bên ngoài và theo quy định được đồng bộ và tích hợp trong một cơ sở dữ liệu thống nhất.
Chức năng quản lý bối cảnh bảo mật
Cung cấp quản lý vòng đời bối cảnh bảo mật cho mạng viễn thông 5G.
Chức năng trích xuất định danh người dùng
Đảm bảo sự linh hoạt và tính hiệu dụng trong việc áp dụng chính sách bảo mật cho các thiết bị đầu cuối người dùng (UE), trong đó có tính đến khả năng đảm bảo của mạng, tầm quan trọng, tính chất của các UE cũng như các yêu cầu của một dịch vụ cụ thể (ví dụ: Mức độ bảo vệ được cung cấp có thể khác nhau cho các thuê bao của dịch vụ liên lạc quan trọng và cho các thuê bao truy cập băng thông rộng không dây thông thường). SPCF thực thi việc áp dụng các chính sách bảo mật bao gồm: Chọn AUSF, chọn thuật toán xác thực, chọn thuật toán mã hóa dữ liệu và kiểm soát toàn vẹn, xác định độ dài và vòng đời của khóa.
Chức năng truy xuất danh tính của người dùng (SIDF)
Cung cấp truy xuất thuê bao vĩnh viễn cho các dịch vụ (5G SUPI) từ số nhận dạng ẩn (SUCI) nhận được như một phần của yêu cầu đối với quy trình xác thực “Xác thực thông tin xác thực”.
Trên cơ sở phân tích các nguy cơ cũng như kiến trúc bảo mật mạng lõi 5G, chúng ta có thể tổng hợp các vấn đề về an toàn và bảo mật mạng 5G khi triển khai thực tế bao gồm:
1. Xác thực mạng của người dùng.
2. Xác thực mạng bởi người dùng.
3. Phối hợp các khóa mật mã giữa mạng và thiết bị đầu cuối người dùng.
4. Mã hóa và kiểm soát toàn vẹn lưu lượng báo hiệu ở cấp RRC (giữa UE và gNb).
5. Mã hóa và kiểm soát toàn vẹn lưu lượng tín hiệu ở cấp độ NAS (giữa UE và AMF).
6. Mã hóa và kiểm soát toàn vẹn lưu lượng người dùng (giữa UE và gNb).
7. Bảo vệ ID người dùng.
8. Bảo vệ giao diện giữa các thành phần mạng khác nhau theo khái niệm miền bảo mật mạng được mô tả trong 3GPP TS33.310. Bảo vệ cho N2, N3 và Xn.
9. Cô lập các lớp khác nhau của kiến trúc mạng và định nghĩa các cấp bảo mật của mỗi lớp.
10. Bảo vệ tín hiệu và lưu lượng người dùng giữa mạng eNb 4G-LTE và mạng 5G gNb theo kịch bản “Tùy chọn 3” di chuyển từ 4G sang 5G, bao gồm đàm phán khóa mã hóa, mã hóa và kiểm soát toàn vẹn.
11. Xác thực người dùng và bảo vệ lưu lượng ở cấp độ dịch vụ cuối (IMS, V2X - Phương tiện đến mọi thứ, IoT...).
Đứng trước nhu cầu nghiên cứu, ứng dụng khoa học và công nghệ để phát triển kinh tế, tăng cường quốc phòng, an ninh và trật tự - an toàn xã hội, các nhu cầu triển khai Chính phủ điện tử, chuyển đổi số và yêu cầu nâng cao năng lực tiếp cận cuộc cách mạng công nghiệp lần thứ 4, nhằm phát huy hiệu quả của hệ thống mạng viễn thông di động 5G nói trên, công tác bảo mật và an toàn thông tin cần được triển khai với nhiều giải pháp mang tính đặc thù, với độ tin cậy cao, tập trung không chỉ vào các ứng dụng và thiết bị đầu cuối mà cả trên cơ sở hạ tầng mạng lõi. Trong đó, có thể tính toán đến cả việc thay thế và làm chủ các thuật toán và tham số mật mã khi sử dụng nó trong các mạng chuyên dùng của Chính phủ, nhằm hạn chế khả năng lây lan lỗi trên diện rộng từ bên ngoài.
TÀI LIỆU THAM KHẢO 1. 3GPP TS 33.501 - Security architecture and procedures for 5G system (Release 15) |