1. Trang chủ
  2. » Luận Văn - Báo Cáo

(Luận văn) nghiên cứu nguy cơ và giải pháp an ninh trong hệ thống di động 4g lte

87 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 87
Dung lượng 2,19 MB

Nội dung

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - lu an va n Âu Xuân Phong ie gh tn to p NGHIÊN CỨU NGUY CƠ VÀ GIẢI PHÁP AN NINH TRONG HỆ THỐNG DI ĐỘNG 4G LTE d oa nl w lu ll u nf va an Chuyên ngành: KỸ THUẬT VIỄN THÔNG Mã số: 60.52.02.08 m oi LUẬN VĂN THẠC SĨ KỸ THUẬT z at nh (Theo định hướng ứng dụng) z an Lu HÀ NỘI - 2017 m co l gm @ NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ VĂN SAN n va ac th si i LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả lu an va n Âu Xuân Phong p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Để hồn thành đề tài luận văn thạc sĩ cách hoàn chỉnh, bên cạnh nỗ lực cố gắng thân cịn có hướng dẫn nhiệt tình Thầy, Cơ, giúp đỡ bạn bè suốt thời gian học tập nghiên cứu thực luận văn thạc sĩ Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến TS Vũ Văn San, Thầy trực tiếp hướng dẫn, bảo tận tình, chu đáo có nhận xét, góp ý quý báu giúp em suốt trình thực luận văn luận văn hoàn thành Em xin gửi làm cảm ơn đến tất Thầy, Cơ giáo Học viện Cơng nghệ Bưu lu Viễn thơng tận tình bảo tạo điều kiện thuận lợi để em nghiên an Hà Nội, 16 tháng 01 năm 2017 n va cứu học tập thời gian qua to p ie gh tn Học viên nl w d oa Âu Xuân Phong ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si iii MỤC LỤC LỜI CAM ĐOAN i DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT vi DANH MỤC CÁC BẢNG viii DANH MỤC CÁC HÌNH ix MỞ ĐẦU CHƯƠNG - NGHIÊN CỨU TỔNG QUAN VỀ SỰ PHÁT TRIỂN VÀ AN lu NINH TRONG MẠNG THÔNG TIN DI ĐỘNG an n va 1.1 Tổng quan phát triển mạng thông tin di động 1.2.1 Tình hình triển khai 4G-LTE giới: gh tn to 1.2 Tình hình triển khai 4G LTE Việt Nam giới ie 1.2.2 Tình hình nghiên cứu thử nghiệm 4G-LTE Việt Nam p 1.3 An ninh ma ̣ng thông tin di đô ̣ng nl w 1.4 Thách thức 4G LTE vấn đề an ninh 12 d oa 1.5 Các chuẩn hóa liên quan tới vấn đề an ninh mạng thông tin di động 4G LTE13 an lu 1.6 Kết luận chương 15 u nf va CHƯƠNG - KIẾN TRÚC MẠNG VÀ CÁC GIAO THỨC CỦA 4G LTE 16 ll 2.1 Kiến trúc tổng quát mạng 4G LTE/SAE 16 m oi 2.2 Các phần tử mạng lõi .17 z at nh 2.2.1 Thực thể quản lý di động MME 18 2.2.2 Cổng phục vụ S-GW 18 z @ 2.2.3 Cổng mạng liệu gói P-GW 19 gm 2.2.4 Chức sách tính cước tài nguyên PCRF 20 m co l 2.2.5 Máy chủ thuê bao thường trú HSS 21 2.3 Mạng truy nhập (E-UTRAN) 21 an Lu 2.4 Các kiến trúc chuyển mạng tương tác mạng .23 2.4.1 Chuyển mạng mạng 4G LTE/SAE .23 n va ac th si iv 2.4.2 Tương tác di động với mạng 2G/3G 24 2.5 Thủ tục truy cập 4G LTE 25 2.5.1 Đăng ký 25 2.5.2 Giải phóng S1 28 2.5.3 Hủy đăng ký 29 2.6 Quản lý di động 30 2.6.1 Chọn ô chọn lại ô 31 2.6.2 Quản lý vị trí đầu cuối di động 31 2.6.3 Cập nhật vùng theo bám (TAU) 32 lu 2.7 Kết luận chương 34 an n va CHƯƠNG - NGHIÊN CỨU NGUY CƠ VÀ GIẢI PHÁP AN NINH TRONG 3.1 Kiến trúc an ninh 4G LTE 35 gh tn to MẠNG DI ĐỘNG 4G/LTE 35 p ie 3.2 Nguy an ninh mạng LTE 37 w 3.2.1 Nguy mạng lõi .39 oa nl 3.2.2 Nguy mạng truy cập 40 d 3.2.3 Nguy thiết bị người dùng (UE) 41 lu va an 3.2.4 Dịch vụ mạng 42 3.3 Giải pháp an ninh mạng LTE 44 u nf 3.3.1 Bảo mật cho giao diện vơ tuyến hệ thống khóa EPS .44 ll m oi 3.3.2 Chuyển giao .57 z at nh 3.3.3 eNodeB 61 3.3.4 An ninh cho VoLTE 64 z 3.3.5 An ninh mạng IP 69 @ gm 3.4 Đề xuất triển khai giải pháp an ninh cho VoLTE mạng 4G-LTE 71 m co l 3.5 Kết luận chương 74 KẾT LUẬN 75 an Lu Các kết đạt luận văn: .75 n va ac th si v Hướng phát triển: 75 DANH MỤC TÀI LIỆU THAM KHẢO: .76 lu an n va p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si vi DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT lu Viết tắt Tiếng Anh Tiếng Việt 2G 2rd Generation Mạng di động hệ thứ 3G 3rd Generation Mạng di động hệ thứ 4G 4rd Mạng di động hệ thứ 3GPP 3rd Generation Partnership Project AKA Authentication and Key Agreement Nhận thực trao đổi khóa AMF Authentication and Key Agreement Trường nhận thực trao đổi Generation Dự án đối tác hệ thứ Access Stratum Tầng truy nhập AuC Authentication Center Trung tâm nhận thực AUTN Authentication Token Thẻ nhận thực AV Authentication Vector Vecto nhận thực Base Transceiver Station Trạm thu phát gốc (2G) Ciphering Key Khóa mã hóa tn to AS ie n va khóa gh an Field p Circuit switching Chuyển mạch kênh d CS oa nl CK w BTS lu Denial of service Từ chối dịch vụ DDOS Distrubuted denial of service Từ chối dịch vụ phân tán eNB Evolved NodeB EPC Evolved Packet Core EPS Evolved Packet System Hệ thống gói phát triển E-UTRAN Evolved UTRAN Mạng truy nhập GPRS General Packet Radio Service u nf va an DOS Trạm thu phát gốc (LTE) ll oi m Lõi gói phát triển z at nh z Dịch vụ vơ tuyến gói tổng System for Mobile Hệ thống thông tin di động m co l Communications toàn cầu Home Location Register Bộ ghi định vị thường trú an Lu HLR Global gm @ GSM hợp n va ac th si vii HSS Home Subscriber Server Server th bao nhà IK Integrity Key Khóa tồn vẹn IMSI International Mobile Subscriber Nhận dạng thuê bao di động Identity quốc tế International Mobile Equipment Số nhận dạng thiết bị di động IMEI lu an n va quốc tế IMS IP Multimedia Subsystem Phân hệ đa phương tiện LTE Long Term Evolution Tiến hóa dài hạn MAC Message Authentication Code Mã xác thực thông điệp MME Mobile Management Entity Thực thể quản lý di động NAS Network Access security Bảo mật truy nhập mạng NDS Network Domain security Bảo mật miền mạng PCRF Policy and Charging Resource Chức sách tính gh tn to Identity cước tài ngun p ie Function Hạ tầng khóa cơng cộng UE Thiết bị người sử dụng UMTS Universal oa Public key infrastructure d nl PKI w GW) Cổng mạng số liệu P-GW (PDN Packet Data Network Gateway lu User Equipment va an Mobile Hệ thống viễn thông di động toàn cầu RAND Random 128-bit string Chuỗi 128 bit ngẫu nhiên TMSI Temporary ll u nf Telecommunications System m oi Subscriber Mã số nhận dạng tạm thời z at nh Identity Mobile Technical Specification VLR Visitor Location Register Tiêu chuẩn kỹ thuật z TS m co l gm @ Bộ ghi định vị tạm trú an Lu n va ac th si viii DANH MỤC CÁC BẢNG Bảng 1.1 Tổng kết hệ thông tin di động Bảng 1.2 Thí dụ chế an ninh lớp khác ngăn xếp IP 11 lu an n va p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si ix DANH MỤC CÁC HÌNH Hình 1.1 Lộ trình phát triển cơng nghệ thông tin di động lên 4G Hình 2.1: Kiến trúc mạng 4G LTE/SAE 17 Hình 2.2: Các kết nối MME đến nút logic khác chức 18 Hình 2.3: Các kết nối S-GW với nút logic khác chức 19 Hình 2.4: Các kết nối P-GW với nút logic khác chức 20 lu Hình 2.5: Các kết nối PCRF với nút logic khác chức 21 an n va Hình 2.6: Các kết nối eNodeB đến nút logic khác chức 22 tn to Hình 2.7: Các giao diện eNodeB với nút mạng khác 22 ie gh Hình 2.8: Kiến trúc chuyển mạng với P-GW mạng nhà 24 p Hình 2.9: Kiến trúc hệ thống 4G LTE/SAE tương tác với mạng 3GPP khác .25 oa nl w Hình 2.10: Quá trình đăng ký thuê bao 27 d Hình 2.11: Giải phóng kết nối S1 29 lu va an Hình 2.12 Hủy đăng ký khởi xướng UE 30 ll u nf Hình 2.13: Cập nhật vùng theo bám (TAU) 33 oi m Hình 3.1: Mơ hình an ninh tổng quát 4G LTE 36 z at nh Hình 3.2 Hệ sinh thái 4G LTE 37 Hình 3.3 Giải pháp bảo mật cho EPS 44 z gm @ Hình 3.4 Hệ thống phân cấp khóa LTE 47 l Hình 3.5: Q trình tạo khóa an ninh 48 m co Hình 3.6: Thủ tục yêu cầu chế độ an ninh NAS 50 an Lu Hình 3.7: Thủ tục yêu cầu chế độ an ninh AS 53 n va ac th si 62 lựa chọn bắt đầu trình bảo vệ Trong trình chuyển giao trạm phát có hỗ trợ X2 S1, trạm phát đích thay đổi thuật toán an ninh thứ tự thuật toán cấu hình trạm phát đích khơng giống với trạm phát nguồn Việc thay đổi thuật toán an ninh diễn thay đổi trạm phát phục vụ, chuyển giao mà không thay đổi trạm phát phục vụ khơng cần thiết phải thay đổi thuật tốn an ninh Trong chuyển giao có hỗ trợ X2, trạm phát nguồn cung cấp khả an ninh UE thuật toán an ninh sử dụng Trạm phát đích kiểm tra, cần thiết phải thay đổi thuật tốn gửi yêu cầu tới trạm phát nguồn qua lu tin yêu cầu chuyển giao [TS36.331] Nói cách khác, trạm phát đích gửi an n va tin yêu cầu chuyển giao tới trạm phát nguồn, trạm phát nguồn chuyển tin tới thực diễn thiết lập cấu hình an ninh cho phiên thơng tin với trạm phát gh tn to UE Theo cách này, UE biết thuật toán an ninh trước chuyển giao ie đích Như vậy, báo hiệu mức AS tin liệu mặt phẳng người sử dụng p bảo vệ toàn thời gian thuật toán thay đổi nl w Trong trường hợp trạm phát nguồn nằm ảnh hưởng kẻ cơng, oa gửi thơng tin sai lệch tới trạm phát đích khả an ninh UE Với d thông tin sai lệch đó, trạm phát đích lựa chọn thuật tốn an ninh yếu, lu va an giảm thiểu độ an toàn Để tránh trường hợp này, trạm phát đích gửi tới UE thơng u nf tin khả an ninh UE UE kiểm tra nâng mức cảnh báo, ghi ll lại thông tin kiện với người quản trị Các tiêu chuẩn không yêu cầu mạng m oi phải hủy trình chuyển giao trường hợp z at nh Trường hợp chuyển giao có S1, thông tin trạm phát nguồn trạm phát đích thực thơng qua MME Nếu thay đổi MME phục vụ MME nguồn z gm @ gửi thông tin khả an ninh UE tới MME đích với thơng tin ngữ cảnh UE MME đích sau gửi thơng tin khả an ninh UE tới trạm phát đích l đích thực việc an Lu Đường trục nối đến eNode địi hỏi an ninh cao vì: m co Do đó, trạm phát gốc khơng cung cấp thơng tin thuật tốn an ninh mà MME n va ac th si 63 Vai trò eNodeB LTE mạnh sô với NodeB 3G UMTS: LTE - eNodeB bao gồm NodeB RNC - ùng phù cần mở rộng liên tục - Chia sẻ hạ tầng Vì khơng thể ln ln tin cậy an ninh lớp vật lý eNodeB cần phải bảo vệ liên kết đường trục tốt Các yêu cầu sau áp dụng cho eNodeB: lu an - Giao thức an ninh: ESP [RFC 4303] - Chế độ an ninh: tunnel (bắt buộc) với truyền tải (tùy chọn) - Phiên IKE: IKEv2 n va Hình 3.11 cho thấy tiến hành cấp chứng nhận an ninh cho eNodeB p ie gh tn to d oa nl w ll u nf va an lu m oi Hình 3.11 Quá trình cấp chứng nhận an ninh cho eNodeB z at nh Các biện pháp sau áp dụng cho an ninh nút chuyển tiếp: Nhận thực tương hỗ: - AKA sử dụng (đăng nhập nút chuyển tiếp) - Các uỷ nhiệm an ninh lưu UICC - Thiết lập ràng buộc nút chuyển tiếp USIM - Dựa khóa chia sẻ trước đối xứng hay - Dựa chứng nhận z - m co l gm @ an Lu n va ac th si 64 Hình 3.12 An ninh nút chuyển tiếp 3.3.4 An ninh cho VoLTE VoLTE (Voice-over-LTE) giải pháp giọng nói cho mạng di động LTE, tiến hành triển khai toàn giới Nó làm lại dịch vụ gọi từ chuyển mạch kênh truyền thống cho viễn thơng thành chuyển mạch gói cho Internet lu VoIP Trong phần này, tiến hành nghiên cứu an ninh VoLTE Có nhiều an n va lỗ hổng hai mặt phẳng điều khiển mặt phẳng liệu, bị khai thác đối thủ dễ dàng truy cập liệu miễn phí, tắt truy cập liệu liên tục, gh tn to để phá vỡ liệu thoại mạng lưới hoạt động Đặc biệt, thấy p ie chinh phục gọi diễn ra, vv [5],[6] Các nguy VoLTE nl w V1 Lỗ hổng điều khiển truy cập phần cứng phần mềm điện thoại: d oa Điều khiển truy cập mặt phẳng điều khiển giúp đảm bảo độc quyền an lu sử dụng tín hiệu VoLTE đích thực Tuy nhiên, nhiều thiết bị thiếu kiểm va sốt truy cập truy cập tới mặt phẳng điều khiển VoLTE Hình mơ tả việc ll u nf thực thiết bị di động Có tùy chọn để kiểm soát truy cập vào điện thoại: oi m phần cứng (chipset 3G/4G) phần mềm (hệ điều hành, ứng dụng) z at nh z m co l gm @ an Lu n va ac th si 65 lu an Hình 3.13: Kiểm sốt truy cập VoLTE thiết bị n va Đối với gọi CS, tất tín hiệu xử lý chipset, không tiếp xúc tn to với hệ điều hành ứng dụng, nên chiếm quyền điều khiển chúng, gh trừ phần cứng bị tổn hại hay có chế độ gỡ lỗi đặc biệt nhà phát triển p ie Ngược lại, tín hiệu VoLTE tiếp xúc với hệ điều hành di động, gọi w giao diện VoLTE, tạo dành riêng cho VoLTE.Có nhiều lý để tiếp cận phần oa nl mềm: VoLTE thông qua giao thức Internet (IP SIP) hỗ trợ tốt hệ d điều hành (ví dụ, thư viện android.net.sip), chương trình phần mềm đáp ứng an lu thay đổi linh hoạt thông tin phong phú cho hệ điều hành ứng dụng để tối va ưu hóa hiệu suất Theo thiết kế, có tín hiệu hãng qua giao diện ll u nf VoLTE nhập chipset nằm bên Tuy nhiên, giao diện VoLTE không oi m vững chống lại khơng có thẩm quyền truy cập ứng dụng khơng có đặc quyền z at nh khác dễ dàng có thơng tin giao diện VoLTE Trong thực tế, thơng tin lấy trực tiếp từ thiết lập mạng lưới hệ điều hành Ví dụ, điện z thoại Android, địa IP lấy từ / proc / net / if_inet6, địa IP máy chủ gm @ hiệu từ bảng định tuyến (/ proc / net / ipv6_route) l Hơn nữa, khả thi đối thủ để đưa liệu không VoLTE m co gói tin (màu đỏ đứt nét hình) Những kẻ cơng khơng có gốc đặc quyền có an Lu thể định điểm đến với VoLTE liên quan máy chủ Với bảng định tuyến mặc định với quy định họ, ứng dụng khơng có đặc quyền n va ac th si 66 tiêm gói vào VoLTE tín hiệu khơng ghi tên, gói tin chuyển đến máy chủ VoLTE Với đặc quyền root, kẻ thù thêm quy tắc định tuyến đến đích cho giao diện VoLTE Do ơng tiêm gói tin đến mục tiêu thơng qua tín hiệu khơng ghi tên Lưu ý kiểm tra tất ba loại phổ biến giao thông thực nghiệm nghiên cứu phần này: UDP, TCP, ICMP V2 Định tuyến chuyển tiếp thiếu chặt chẽ mạng: Điểm yếu nằm phía bên mạng định tuyến chuyển tiếp gói tin Nó dẫn đến hai hậu bất ngờ Đầu tiên, lưu lượng truyền qua VoLTE chưa xác minh lu thời điểm chạy Các gói điều khiển khơng xác thực chuyển tiếp mạng an n va Nếu khơng có thời gian chạy lọc, gói liệu không cần thiết phải máy chủ tắc định tuyến mạng di động dễ bị lạm dụng Điện thoại VoLTE cần trao gh tn to VoLTE lõi IMS, vào qua VoLTE mà không cần ghi tên Thứ hai, quy ie đổi tin báo hiệu với thông qua máy chủ VoLTE Khi quy tắc định p tuyến hướng vào nhau, điện thoại tồn cho người mang tín hiệu cổng 4G, điện nl w thoại giao tiếp với mà không cần đến máy chủ báo hiệu cho d oa phép trực tiếp, truyền thơng di động-tới-di động Có khả định tuyến quy tắc an lu để phần lại Internet tồn tại; tạo điều kiện truy cập liệu di động đến va Internet thông qua VoLTE tín hiệu khơng ghi tên u nf V3 Lạm dụng việc khơng tốn sử dụng VoLTE: Tín hiệu điều khiển ll VoLTE miễn phí Bất kỳ gói liệu qua VoLTE mang tín hiệu miễn phí, khơng m oi cần biết điểm đến họ máy chủ báo hiệu VoLTE hay không Do đó, chẳng z at nh hạn ngồi ý muốn truyền liệu xử lý VoLTE tín hiệu bỏ qua toán chế để truy cập PS liệu bình thường Thơng thường, truy cập liệu di z gm @ động trừ tiền dựa khối lượng (ví dụ, số lượng byte truyền đi) Kể từ VoLTE tiếp tục cung cấp gọi dịch vụ, thường áp dụng tính cước theo thời l m co gian, tương tự cho gọi CS truyền thống Do đó, có thời gian gọi mặt phẳng liệu thu thập để toán Bản tin điều khiển VoLTE sử dụng an Lu để tạo điều kiện cho gọi thoại nên miễn cước Hơn nữa, số tín n va ac th si 67 hiệu chí cịn trao đổi trước gọi thành lập, ví dụ, SIP-INVITE, SIP-INVITE-OK, thông điệp SIP INVITE-ACK sử dụng để thiết lập gọi Tuy vậy, việc thực hành cung cấp tín hiệu VoLTE miễn phí có sơ hở Các nhà khai thác không thực thi tất gói tin qua kênh mang báo hiệu VoLTE có tin điều khiển thực Thậm chí tệ hơn, chưa có chế hiệu để hạn chế lưu lượng qua Kết là, điều dễ dàng bị lạm dụng để làm cho dịch vụ liệu "tự do" V4 Lam dụng QoS cao tín hiệu VoLTE: Một tính bật VoLTE khả đảm bảo cao chất lượng cho gọi thoại Mỗi kênh mang lu kết hợp với định danh lớp QoS (QCI), xác định đặc điểm an n va gói IP mức độ ưu tiên, đảm bảo băng thơng, trễ gói gói Kênh mang tín web, video streaming) có mức thấp (mức 9) Truy cập liệu VoLTE bị khai gh tn to hiệu VoLTE có độ ưu tiên cao (mức 1) truyền liệu (ví dụ, trang ie thác ngăn chặn liệu PS bình thường với quyền ưu tiên Lưu ý hai p thuộc thể loại tốc độ bit không đảm bảo, đó, kênh mang thoại với QCI = nl w có tốc độ bít đảm bảo (GBR) GBR kênh mang cấp tài nguyên mạng d oa chuyên dụng qua radio liên kết có dây có chất lượng âm đảm bảo lu cách đảm bảo tỷ lệ trung bình cho khoảng thời gian va an Dịch vụ liệu miễn phí: để lấy quyền truy cập liệu bên (Mobile u nf – to – Internet) nội (Mobile – to – mobile) ll Tấn công từ chối dịch vụ liệu: nhằm đánh sập dịch vj liệu hoạt m oi động máy nạn nhân cách tận dụng truy cập mức cao việc truyền liệu z at nh VoLTE bị khác thác Kẻ công chèn lưu lượng lớn vào kênh mang tín hiệu tới kênh mang tín hiệu nạn nhân Nó thâu tóm tồn băng thơng downlink dịch vụ z gm @ liệu nạn nhân, gây từ chối dịch vụ liệu Overcharging liệu: khiến nạn nhân trả mức cước phí nhiều l m co bình thường cách chèn liệu vào kênh mang dịch vụ - tín hiệu nạn nhân Kiểu công khác DoS liệu chỗ, DoS gửi nhiều liệu tới kênh mang tín an Lu hiệu máy nạn nhân n va ac th si 68 lu an n va tn to Hình 3.14: Minh họa hình thức công Để khắc phục nguy tiềm ẩn VoLTE,cần thực số biện p ie gh Giải pháp an ninh: w pháp sau: oa nl Thứ nhất, gateway 4G thực thi quy định nghiêm ngặt cho route thông d thường cho kênh mang Điều để uỷ quyền cho lưu lượng thực an lu kênh mang tín hiệu/thoại chuyển tiếp gateway 4G điện va thoại máy chủ truyền tín hiệu cổng truyền thơng IMS Nó giúp loại ll u nf bỏ V2 Tuy nhiên, khơng sửa chữa V1, cịn dễ bị tổn thương công oi m DoS, gây lãng phí tài ngun vơ tuyến Điều đòi hỏi nâng cấp gateway 4G z at nh thực cách thêm vào lọc cho kênh mang VoLTE Nó cần nỗ lực nhiều thêm tất hợp lệ máy chủ vào danh sách trắng z Thứ hai, nhà điều hành dừng thực hành sách tín hiệu tự chi @ gm phí tín hiệu tương tự lưu lượng liệu Điều loại trừ V3 phần lớn l giảm động sử dụng để khai thác VoLTE cho việc truy cập liệu Tuy nhiên, điều m co địi hỏi việc nâng cấp hệ thống tốn Gateway 4G nên cho phép an Lu kế toán cho hệ thống báo gói Thách thức khơng phải mặt kỹ thuật mà kinh doanh thực hành Trong mạng LTE, hợp lý người n va ac th si 69 tiêu dùng đăng ký với kế hoạch liệu cho truy cập Internet Một giải pháp bổ sung cho phép VoLTE khối lượng hạn ngạch liệu cho chương trình thoại Khi khối lượng hạn ngạch này, phải gánh chịu khơng phí phụ thêm hạn ngạch dựa trường hợp sử dụng thơng thường khối lượng tín hiệu cho gọi thường nhỏ Cách tiếp cận khơng địi hỏi người dùng phải nhận thức thay đổi tốn tình lành tính, lạm dụng VoLTE cho số lượng lớn giao hàng khối lượng xác định tính phí phụ thêm Thứ ba, liên quan đến cơng DoS, gọi cho chế để đảm lu bảo phân bổ nguồn lực lưu lượng Một phương pháp thực thi chế an n va hoãn Một lưu lượng phát giả lưu lượng rác, khối lượng định Khi chạy, tài nguyên yêu cầu lớn hạn mức, ưu tiên gh tn to hạch toán, nguồn truy trở lại khối lượng vượt ngưỡng ie giảm Chương trình làm giảm, khơng loại bỏ lãng phí nguồn lực ưu p tiên Lý tưởng nhất, an toàn cần thực thiết bị để ngăn chặn lưu lượng nl w không xác thực gửi Tuy nhiên, điều nâng cao hình thức d oa khai thác truy cập bị chặn tận dụng chế hoãn phần mềm an lu độc hại triển khai nạn nhân va 3.3.5 An ninh mạng IP ll u nf Để bảo vệ cho lưu lượng sở IP giao diện mạng truy oi m nhập/ truyền tải (E-UTRAN), mạng lõi (EPC), hay mạng lõi với nhau, z at nh 3GPP đưa chức NDS/IP (trừ giao diện S1-U giao diện bảo vệ 3GPP) NDS định nghĩa tiêu chuẩn 3GPP TS 33.210 chức z thuộc nhóm an ninh II @ m co l gm Đối với mạng LTE, kiến trúc NDS triển khai sau: an Lu n va ac th si 70 lu an Hình 3.15 Kiến trúc triển khai NDS mạng LTE va Mạng LTE chia thành hai loại miền an ninh gồm miền E-UTRAN n miền EPC Trong đó: ie gh tn to • Miền EPC: Tại biên đặt SEG (Security Gateway), miền có NE node mạng triển khai: ví dụ MME, p • Miền E-UTRAN: Do số lượng miền EUTRAN lớn kết nối với qua nl w mạng lưới phức tạp tồn hai giao diện S1 X2 nên giải pháp d oa đặt SEG biên miền EUTRAN khơng hợp lý Vì miền an lu E-UTRAN có NE node mạng (eNodeB) va • Giao diện Za (giữa SEG) song hành giao diện S8 Home-PLMN u nf Visited-PLMN, Home-PGW Visited-PGW ll • Giao diện Zb (giữa NE NE SEG) song hành giao diện m oi S1 X2 mạng LTE nhà cung cấp Giao diện phải z at nh triển khai giống với giao diện Za, không cần đầy đủ chức SEG z l bảo vệ mặt vật lý (cùng mạng LAN) gm @ • Giao diện Zb SEG NE EPC tùy chọn node m co • NDS/IP khơng đảm bảo an ninh cho kết nối EPC Internet (giao diện SGi) NDS/IP cung cấp dịch vụ an ninh sau: an Lu • Nhận thực liệu gốc: bảo vệ node khỏi liệu không rõ nguồn gốc n va ac th si 71 • Tồn vẹn liệu: bảo vệ liệu truyền không bị thay đổi (man-inthemiddle) • Bảo vệ chống lại q trình replay • An ninh liệu: bảo vệ chống lại việc đánh cắp liệu (eavesdropping) • Bảo vệ giới hạn chống lại việc phân tích luồng liệu Các chế bảo vệ thực thông qua IPsec, đặc biệt IPsec ESP (Encapsulating Security Payload) chế độ đường hầm, với IKE (Internet Key Exchange) sử dụng để thiết lập mối liên hệ an ninh IPsec SEG SEG NE IPsec EPS cung cấp tính bảo vệ an ninh, mà tính lu an tập hợp nhiều thuật tốn an ninh: n va • Nhận thực: cung cấp ban đầu thông qua nhận thực tương hỗ trao đổi khóa to an ninh SEG SEG NE sử dụng giao thức IKE, thông qua gói, ví dụ sử dụng SHA-1 p ie gh tn AH (Authentication Header) gói tin IPsec để đảm bảo nhận thực • Tồn vẹn: cung cấp thơng qua chế băm gói mã hóa IPsec, ví dụ SHA-1 oa nl w • An ninh: cung cấp thơng qua việc mã hóa IPsec đóng gói gói tin, ví dụ AES d • Anti-replay an lu SEG (Security Gateway: cổng an ninh) đặt biên giới miền an ninh va có nhiệm vụ tập trung tất lưu lượng vào miền mạng NE (Network Entity: ll u nf thực thể mạng) nút mạng thuộc E-UTRAN, EPC IMS oi m eNodeB, MME, S-CSCF Các SEG thực IKE1 IKE2 (IKE: Internet Key z at nh Exchange) cung cấp khả lưu giữ khóa lâu dài Giao diện Zb định nghĩa để cung cấp truy nhập an ninh cho an ninh nội mạng z 3.4 Đề xuất triển khai giải pháp an ninh cho VoLTE mạng 4G- gm @ LTE m co l Tại Việt Nam nay, nhà cung cấp dịch vụ thông tin di động lớn VinaPhone, MobiPhone Viettel có hạ tầng mạng lưới 3G dựa tảng an Lu UMTS nên việc tiếp tục triển khai LTE hạ tầng có sẵn giải pháp mang lại hiểu n va ac th si 72 kinh tế Trong thực tế triển khai mạng 4G, nhà mạng thực thi nhiều giải pháp an ninh mạng 4G LTE, nhằm cung cấp dịch vụ tốt tới tay người dùng Cụ thể, VNPT xây dựng áp dụng giải pháp an ninh như: - Thực xây dựng chế an ninh lớp khác cho không bị an ninh chế bị phá vỡ Các chế mật mã hóa, nhận thực thiết bị, nhận thực truy cập áp dụng lớp liên kết, phương pháp tường lửa, IPSec, hạ tầng áp dụng cho lớp mạng, giải pháp chữ kí điện tự, an ninh giao dịch điện tử áp dụng cho lớp ứng dụng… lu an - Tuân thủ chuẩn hóa vấn đề an ninh mạng thông tin di động 4G LTE va An ninh EPS theo [TS33.401], Tiêu chuẩn an ninh cho trạm phát n gốc đưa [TS33.320], khóa EPS AKA [TS33.102] Các yêu to gh tn cầu an ninh EPS đưa [TS22.278] p ie [TS33.401] Sử dụng công cụ RNAS công tác quản lý cập nhật thông tin phát - nl w triển trạm giúp cập nhật thông tin online, nâng cao khả phối hợp oa đơn vị, phận tham gia triển khai dự án, quản lý công tác quy hoạch, d phát triển hạ tầng triển khai dự án 4G Hệ thống có chức cập lu va an nhật thông tin phát triển trạm dự án, trạm quy hoạch, từ phân bổ thiết Nghiên cứu sản xuất thiết bị đầu cuối (SmartBox, STB…) với uplink ll m - u nf bị, anten, nguồn acc quy phù hợp oi 4G, làm chủ công nghệ, đảm bảo an ninh; đẩy mạnh cung cấp dịch vụ theo z at nh mơ hình full VMP với đầy đủ tính năng, cho phép người sử dụng tận dụng tối đa sức mạnh băng thông mạng 4G z Thực giám sát mạng lưới, quản lý cân tải Sử dụng chế xác gm @ - thực mạnh mẽ, ủy quyền mã hóa hệ điều hành l Thực bảo mật gateway tránh truy cập trái phép hay công, trộm cắp dịch vụ m co - an Lu Để đảm bảo an toàn an ninh triển khai mạng LTE, nhà mạng n va ac th si 73 cần có giải pháp, sách phù hợp: - Dựa an ninh EPS UMTS làm sở, xây dựng, sử dụng giải pháp an ninh EPS an tồn mềm dẻo Phần tử khóa bị ràng buộc EPS sử dụng: o Chuẩn bị cho mật mã 256 bit mạnh o Một chế quan trọng, cập nhật chuyển giao LTE o An ninh backhaul o Đề phịng vụ cơng eNBs o Tích hợp an ninh cho truy nhập khơng phải 3GPP lu - Tuân thủ áp dụng khuyến nghị 3GPP an ninh mạng di động: an n va Việc sử dụng thiết bị áp dụng theo tiêu chuẩn đem lại nhiều lợi ích kỹ - Nhà mạng cần có biện pháp đảm bảo an tồn cho vị trí đặt trạm phát: Mạng gh tn to thuật kinh tế thiết bị áp dụng giải pháp bảo mật độc quyền ie LTE thiết kế để cung cấp dung lượng mạng vùng phủ gần khơng có giới p hạn, phải triển khai (cell) có kích thước nhỏ Điều đồng nghĩa với nl w việc mạng LTE phải đặt trạm phát nhiều địa điểm bao gồm điểm công oa cộng trung tâm mua sắm, sân bay đường phố Các địa điểm phải d đối mặt với nguy tiếp cận trái phép với trạm phát người khơng có thẩm quyền, lu va an làm ảnh hưởng tới an ninh mạng Do vậy, mạng LTE cần khả phát thiết bị u nf giả mạo Truy cập local cho phép người sử dụng truy nhập tạm trú mạng ll hợp tác từ thiết bị 3GPP Lựa chọn lưu lượng IP offload đạt tối ưu m oi đường lưu lượng cho người sử dụng lưu lượng internet mà khơng có ý định đạt z at nh dịch vụ mạng lõi nhà vận hành - Tn thủ, sử dụng thuật tốn mã hóa cho bảo vệ: SNOW 3G dựa vào UEA1 z gm @ UIA1; AES dựa vào UEA2 UIA2 Các biện pháp, sách đảm bảo an ninh cho miền an ninh đề cập l m co cần thiết Hiện nay, dịch vụ VoLTE phát triển mạnh mẽ, song song với nhiều nguy an ninh xuất hiệ bị tin tặc công khai thác, cần an Lu thiết phải có sách, giải pháp an ninh để ngăn chặn Cụ thể, cần thiết nâng n va ac th si 74 cấp 4G gateway bổ sung thêm lọc cho kênh mang VoLTE Ngừng sử dụng sách tín hiệu tự tín hiệu tính cước lưu lượng liệu Đối với thiết bị đầu cuối, xây dụng quyền hạn VoLTE, cho phép trình quay số truy cập giao diện VoLTE nâng cấp chipset điện thoại hạn chế điều khiển truy cập Bổ sung chế quản lý phiên theo thời gian thực, để ngăn chặn công sử dụng tin SIP SUBCRIBE bất thường VoLTE 3.5 Kết luận chương Nội dung chương tập trung sâu vào nghiên cứu, mô tả nguy an ninh giải pháp an ninh mạng 4G LTE: mạng lõi, mạng truy cập, mạng IMS, lu an VoLTE Từ đưa số đề xuất triển khai mạng 4G LTE Việt Nam n va p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si 75 KẾT LUẬN Các kết đạt luận văn: - Tìm hiểu khái quát tổng quan hệ thống thông tin di động, đặc biệt yêu cầu thách thức đặt mạng 4G LTE - Nghiên cứu kiến trúc, phần tử hoạt động mạng 4G - Nghiên cứu nguy an ninh mạng mạng 4G LTE - Nghiên cứu giải pháp an ninh mạng 4G LTE: kiến trúc an LTE lu ninh, kiến trúc khóa, tạo khóa, chế bảo vệ liệu báo hiệu bảo vệ liệu người an dùng va n - Đề xuất số vấn đề giải pháp an ninh VoLTE triển khai 4G LTE tn to Việt Nam p ie gh Hướng phát triển: - Nghiên cứu, áp dụng giải pháp an ninh vào giai đoạn triển khai Trên sở luận văn, nghiên cứu thêm thuật tốn mã hóa, oa - nl w thử nghiệm 4G LTE VNPT, đánh giá phù hợp áp dụng rộng rãi toàn quốc d chế bảo vệ mềm dẻo cho VoLTE, giúp đảm bảo an toàn sử dụng dịch vụ va an lu người dùng u nf Một lần em xin chân thành cảm ơn giúp đỡ nhiệt tình thầy giáo ll TS Vũ Văn San thầy cô trường Học viện Công nghệ Bưu m oi Viễn thơng giúp đỡ em suốt q trình học tập hồn thiện luận văn z at nh Hà Nội, ngày tháng năm 2016 Học viên thực z m co l gm @ an Lu n va ac th si 76 DANH MỤC TÀI LIỆU THAM KHẢO: [1] Bùi Trung Thành, (2014), An ninh mạng LTE [2] Nguyễn Phạm Anh Dũng, (2006), An ninh thông tin di động, NXB Bưu điện; [3] Nguyễn Phạm Anh Dũng, (2011), Bài giảng Thông tin di động,Học Viện Cơng nghệ Bưu Viễn thơng; [4] Anastasios Bikos, Nicolas Sklavos, (March 2013), LTE/SAE security issues on 4G wireless networks [5] Bonmin Koo, Sekwon Kim, Hwankuk Kim, (2014), Security and lu Countermeasures against SIP-Message-based Attacks on the VoLTE an [6] Chi-Yu Li, Guan-Hua Tu, Chunyi Peng, Zengwen Yuan, Yuanjie Li, va n (2015)Insecurity of Voice Solution VoLTE in LTE Mobile Networks; p ie gh tn to [7] Dan Forsberg, Gunther Horn, Wolf-Dietrich Moeller, Valtteri Niemi (2010), LTE Sercurity, Wiley; [8] 3GPP TS 33.401 v12.9.0 3GPP System Architechture Evolution (SAE); Sercurity architecture (Release 12); [9] 3GPP TS 33.102 v11.5.13G Security; Security architecture (Release 11); [10] 3GPP TS 33.278 v12.4.0Technical Specification Group Services and System Aspects; Service requirements for the Evolved Packet System (EPS) (Release 12); [11] 3GPP TS 29.272 v12.2.0Evolved Packet System (EPS); Mobility d oa nl w u nf va an lu Management Entity (MME) and Serving GPRS Support Node (SGSN) related ll oi m interfaces based on Diameter protocol (Release 12); Node B (HeNB) (Release 12); z at nh [12] 3GPP TS 33.320 v12.0.0 Security of Home Node B (HNB)/ Home evolved z m co l gm @ an Lu n va ac th si

Ngày đăng: 12/07/2023, 17:28