1. Trang chủ
  2. Luận Văn - Báo Cáo

Báo cáo môn thông tin di động đề tài an ninh và bảo mật trong mạng 5g

55 35 1
Báo cáo môn thông tin di động đề tài an ninh và bảo mật trong mạng 5g

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ ĐIỆN TỬ - THÔNG TIN BÁO CÁO MÔN THÔNG TIN DI ĐỘNG Đề tài : An ninh bảo mật mạng 5G Giáo viên hướng dẫn : Ts.Hoàng Trọng Minh Sinh viên : Hoàng Ngọc Hiếu Nguyễn Kỳ Anh Đào Văn Toàn Phùng Ngọc Dũng - GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G LỜI NÓI ĐẦU Sự phát triển mạng 4G kéo theo phát triển ứng dụng khác dựa dung lượng mạng mạnh mẽ Mặc dù, tương lai với diện 5G (thế hệ thứ năm mạng), mạng mạng dự đoán có số lượng đáng kinh ngạc dịch vụ mới, với tác nhân kinh doanh khác nhau, bắt nguồn, khai thác khám phá Năm phân đoạn cho 5G 3GPP xác định , là: IoT ( Internet of Thing ), Truyền thơng quan trọng, Băng thông rộng di động nâng cao, V2X (Vehicle to X) Network Operations Do đó, tạo yêu cầu bảo mật phức tạp khác đáng kể dịch vụ Để đảm bảo thành công triển khai dịch vụ nào, mơ hình bảo mật phải có đặc tính : khả mở rộng, tính linh hoạt, khả tương tác, chống công Trong đề tài tiểu luận nhóm em , nhóm em đề xuất mơ hình bảo mật, gọi TEeUICC, kết hợp TEE (Môi trường thực thi tin cậy) eUICC (Thẻ mạch tích hợp đa nhúng) Bằng cách tận dụng lợi 10 công nghệ này, mơ hình có tiềm cao để đáp ứng yêu cầu bảo mật cho ứng dụng 5G tương lai GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G CỤM TỪ VIẾT TẮT 4G 5G AID APDU API CA D2D DES DTLS eUICC LTE M2M IoT MIMO MNO OCE OEM OS OTA REE SCP RoT TA TEE SE UICC USIM PK.OCE.ECK A PK.SD.ECKA SD S-DEK HW ID PKI The fourth generation of mobile wireless technology The fifth generation of mobile wireless technology Apple ID Application Protocol Data Unit Application Programming Interface Client Application Device-to-Device communication Data Encryption Standard Datagram Transport Layer Security embedded Universal Integrated Circuit Card Long-Term Evolution standard Machine-to-Machine communication Internet of Thing Multiple Input and Multiple Output Mobile Network Operator Off-Card Entity Original Equipment Manufacturer Operating System Over-The-Air Rich Execution Environment Secure Channel Protocol Roots of Trust Trusted Application Trusted Execution Environment Secure Element Universal Integrated Circuit Card Universal Subscriber Identity Module Public Key of the OCE Public Key of the SD Security Domain Session Data Encryption Key Hardware Identity Document GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G MỤC LỤC MỞ ĐẦU LỜI NÓI ĐẦU CỤM TỪ VIẾT TẮT MỤC LỤC DANH MỤC BẢNG BIỂU HÌNH VẼ CHƯƠNG I Tổng quan 5G 1.1 Khái niệm 5G 1.2 Use cases 8 1.3 Cơng nghệ 12 1.4 Kết luận chương 15 CHƯƠNG II Các yêu cầu việc bảo mật 5G 16 2.1 Nền tảng an ninh 5G 16 2.1.1 Các yếu tố an ninh 16 2.1.2 Tầm quan trọng bảo mật 5G 2.2 Những yêu cầu bảo mật 5G 2.2.1 Khả mở rộng 19 2.2.2 Khả linh hoạt 19 2.2.3 Khả tương tác 21 2.3 Kết luận chương 18 19 23 Chương III Các khuyến cáo, đề nghị việc bảo mật 5G 24 3.1 Roots of trust ( RoT) 24 3.1.1 Định nghĩa RoT 24 3.1.2 Nguồn gốc phần cứng việc triển khai tin cậy 3.2 Thẻ thông minh ( Smart card ) 27 3.2.1 Giới thiệu smart card 27 3.2.2 Smart card bảo vệ liệu giao dịch an toàn 26 28 A ) Kiến trúc vi điều khiển an toàn 29 B) Hệ điều hành vi điều khiển an toàn 30 3.2.3 Sự phát triển smart card tương lai 31 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G A ) Một số vấn đề thẻ SIM tương lai B) UICC nhúng 32 33 3.3 Môi trường thực thi tin cậy 35 3.3.1 Định nghĩa 35 3.3.2 Cấu trúc TEE 36 A ) Cấu trúc phần cứng 36 B) Cấu trúc phần mềm 36 3.3.3 Các trường hợp sử dụng tính TEE 38 A ) Bảo mật mạnh mẽ 38 B) Tính linh hoạt cao 38 3.4 Kết luận chương 39 Chương IV Nâng cáo giải pháp bảo mật phía thiết bị 4.1 Các giải pháp bảo mật 40 4.2 Cấu trúc giải pháp an ninh nâng cao (TEeUICC) 42 4.2.1 API yếu tố bảo mật TEE 4.2.2 Kênh an toàn API 4.2.3 Giao thức kênh an toàn A ) Giao thức tổng quan B) Xác thực 43 45 46 46 47 4.3 Một số trường hợp sử dụng thực tế 50 4.3.1 Smart home ( nhà thông minh ) 50 4.3.2 Connected car ( kết nối xe ô tô ) 51 3.4 Kết luận chương 53 Kết luận hướng phát triển 54 Danh mục tài liệu tham khảo 55 40 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G DANH MỤC BẢNG BIỂU, HÌNH VẼ Hình 1.1 Cơng nghệ 5G 12 Hình 1.2 Cơng nghệ MIMO khổng lồ Hình 1.3 Cơng nghệ Multi RAT 13 14 Hình 1.4 Giao tiếp D2D nâng cao 14 Hình 1.5 Cơng nghệ phân chia mạng 15 Hình 2.1 Bộ ba CIA 17 Hình 2.2 Sơ đồ trình bảo mật CIA 17 Hình 2.3 Thẻ thơng minh 22 Hình 3.1 Kiến trúc cơ sở hạ tầng PublicKey 25 Hình 3.2 So sánh thuật tốn mật mã 27 Hình 3.3 Ví dụ smart card 28 Hình 3.4 Sơ đồ khối VĐK an tồn nhúng smart card Hình 3.5 Sơ đồ khối hệ điều hành thẻ thông minh 31 Hình 3.6 Cấu hình thay đổi linh hoạt eSIM 32 29 Hình 3.7 eUICC lưu trữ nhiều cấu hình MNO 33 Hình 3.8 Kiến trúc cấp phép từ xa eUICC 33 Hình 3.9 Hệ số dạng MFF2 34 Hình 3.10 Kiến trúc phần cứng TEE 36 Hình 3.11 Kiến trúc phần mềm TEE 37 Hình 3.12 So sánh bảo mật & khả sử dụng giải pháp 39 GV: TS.HỒNG TRỌNG MINH Hình 4.1 Kiến trúc TEeUICC AN NINH VÀ BẢO MẬT TRONG MẠNG 5G 42 Hình 4.2 Mơ hình API bảo mật TEE Hình 4.3 Kênh an tồn API 44 46 Hình 4.4 Xác thực SPC 11 47 Hình 4.5 Xác thực SCP 11 48 Hình 4.6 Xác thực SCP 11 48 Hình 4.7 Mơ hình smart home 50 Hình 4.8 Mơ hình connected car 52 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G CHƯƠNG I TỔNG QUAN VỀ 5G 1.1 KHÁI NIỆM VỀ 5G - - - 5G hệ công nghệ truyền thông di động sau hệ 4G, hoạt động băng tần 28, 38 60 GHz Theo nhà sáng chế, mạng 5G có tốc độ nhanh khoảng 100 lần so với mạng 4G nay, giúp mở nhiều khả hấp dẫn Mạng 5G xem chìa khóa để vào giới mạng Internet vạn vật (IoT), cảm biến yếu tố quan trọng để trích xuất liệu từ đối tượng từ mơi trường Hàng tỷ cảm biến tích hợp vào thiết bị gia dụng, hệ thống an ninh, thiết bị theo dõi sức khỏe, khóa cửa thiết bị đeo… Theo dự kiến yêu cầu mạng 5G, có khác biệt lớn hệ với hệ 5G bao gồm:  Mức tiêu thụ pin thấp hơn, tăng tuổi thọ pin  Xác suất tắc nghẽn thấp  Độ trễ giảm bớt đáng kể so với LTE  Tốc độ nhanh hơn, cung cấp nhiều kết nối ổn định đáng tin cậy hơn, phạm vi bao phủ tốt tốc độ liệu cao viền tế bào giúp cho giải vấn đề liên quan đến diện tích phủ sóng (thậm chí biển, nơi trạm phát sóng đất liền khơng thể phủ sóng bắt tín hiệu 5G)  An toàn hơn, tiết kiệm lượng, bổ sung thêm tính cho phần cứng  Đồng thời truyền nhiều đường truyền liệu  Khoảng tốc độ liệu 1Gbps di động  Hiệu phổ hệ thống cao đáng kể so với 4G  Web khơng dây tồn cầu (WWWW: World Wide Wireless Web), ứng dụng web không dây dựa bao gồm đầy đủ khả đa phương tiện vượt tốc độ 4G để kết nối nơi trái đất  Các ứng dụng kết hợp với cảm biến nhân tạo thông minh (AI), sống người bao phủ cảm biến nhân tạo giao tiếp với điện thoại di động thông minh Khả tương tác linh hoạt hỗ trợnhiều loại thiết bị khác máy tính bảng, thiết bị đeo tay, …  Không gây hại cho sức khỏe người  Lệ phí lưu lương truy cập rẻ chi phí triển khai sở hạ tầng thấp Thế hệ 5G công nghệ mà cung cấp tất ứng dụng có thể, cách sử dụng thiết bị bao quát, kết nối hầu hết sở hạ tầng thông tin liên lạc tồn tại.Các thiết bị đầu cuối 5G đa cấu hình lại kích hoạt nhận thức vơ tuyến.Nó có phần mềm xác định phương pháp điều chế vô tuyến.Các mạng di động 5G tập trung vào việc phát triển thiết bị đầu cuối cho truy cập công nghệ mạng không dây khác lúc kết hợp luồng khác từ cơng nghệ khác GV: TS.HỒNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G 1.2 USE CASES 5G hỗ trợ vô số trường hợp sử dụng với nhiều loại ứng dụng khả thay đổi thuộc tính hiệu suất chúng: Từ ứng dụng video nhạy cảm với độ trễ đến độ trễ cực thấp, từ ứng dụng giải trí tốc độ cao xe đến khả di chuyển theo yêu cầu đối tượng kết nối từ ứng dụng nỗ lực cao đến ứng dụng siêu đáng tin cậy sức khỏe an toàn Hơn nữa, ca sử dụng phân phối nhiều loại thiết bị (ví dụ: điện thoại thơng minh, thiết bị đeo được, cảm biến) mơi trường hồn tồn khơng đồng Để đơn giản hơn, 5G chia thành ba nhóm chính: Truy cập băng thơng rộng di động - Phân đoạn 5G bao gồm việc sử dụng thiết bị di động loạt tình đa dạng, đặc biệt bao gồm tình thách thức khu vực mật độ cao, tính di động cao 5G dự kiến cung cấp dịch vụ khu vực đơng dân cư (ví dụ: tịa nhà nhiều tầng, trung tâm thành phố đô thị dày đặc buổi kiện), nơi hàng nghìn người km vuông ( 𝑘𝑘2) sống làm việc phương tiện tốc độ cao ( chẳng hạn tàu hỏa, máy bay) Sau số trường hợp sử dụng điển hình chức này:  Smart Office : Trong văn phòng tương lai, dự kiến hầu hết thiết bị kết nối không dây Người dùng tương tác thông qua nhiều thiết bị kết nối không dây, điều đặt kịch hàng trăm người dùng yêu cầu băng thông cực cao cho dịch vụ cần hiệu suất tốc độ cao ứng dụng sử dụng nhiều băng thông, xử lý lượng lớn liệu đám mây giao tiếp tức video  Live stream in public event : Trường hợp sử dụng đặc trưng mật độ kết nối cao địa điểm tổ chức kiện có quy mơ lớn (chẳng hạn sân vận động cơng viên hội trường) Vài trăm nghìn người dùng km2 hỗ trợ, tích hợp thơng tin vật lý ảo thông tin vận động viên nhạc sĩ, v.v., kiện Mọi người xem video phát lại độ nét cao (HD), chia sẻ video trực tiếp đăng ảnh HD lên mạng xã hội Các ứng dụng yêu cầu kết hợp mật độ kết nối cực cao, tốc độ ngày cao độ trễ thấp  High speed transportation : Sau năm 2020, tất loại phương tiện giao thông cải thiện nhiều tốc độ, đảm bảo kết nối liên tục cho khách du lịch tính quan trọng Trong di chuyển, hành khách sử dụng Internet di động chất lượng cao để thu thập thơng tin, giải trí làm việc Truyền thơng quan trọng - Nhóm trường hợp sử dụng thường liên quan đến yêu cầu siêu tin cậy siêu độ trễ Nó bao gồm máy bay khơng người lái kiểm sốt khơng lưu, GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G thực tế ảo điều khiển đám mây, nhà máy thông minh, robot hợp tác, an tồn cơng cộng, giao thơng kết nối sức khỏe điện tử Tuy nhiên, trường hợp sử dụng có nhu cầu cụ thể, ví dụ: u cầu nhiều thuộc tính thơng lượng cực cao, tính di động, độ tin cậy quan trọng, v.v  Ví dụ: trường hợp sử dụng lái xe tự hành yêu cầu giao tiếp siêu đáng tin cậy u cầu phản ứng tức (dựa tương tác thời gian thực), để ngăn ngừa tai nạn đường Những thứ khác, chẳng hạn máy tính từ xa, với yêu cầu nghiêm ngặt độ trễ, cần liên kết giao tiếp mạnh mẽ với tính khả dụng cao Sau số trường hợp sử dụng điển hình :  Automotive driving: Các ứng dụng từ phương tiện đến phương tiện (V2V), phương tiện đến sở hạ tầng (V2I) ứng dụng Hệ thống giao thông thông minh (ITS) khác yêu cầu độ trễ thấp - thấp nhiều so với LTE cung cấp Ơ tơ khơng người lái hệ ô tô hỗ trợ người lái cần hệ thống an toàn thời gian thực trao đổi liệu với phương tiện sở hạ tầng khác xung quanh chúng  Robot kết hợp tự động hóa cơng nghiệp: Tự động hóa bổ sung cho người, khơng cơng việc có nhiệm vụ lặp lặp lại (ví dụ: sản xuất, vận chuyển, hậu cần, hỗ trợ văn phịng / hành chính) mà ngành dịch vụ Khi mạng 5G triển khai, robot truyền thống lập trình để thực chức cụ thể thay mơ hình kết nối với đám mây Những robot có quyền truy cập vào sức mạnh tính tốn gần khơng giới hạn, làm cho chúng linh hoạt hơn, khả dụng mang lại nhiều lợi nhuận sở hữu vận hành Đối với nhiều tình chế tạo rơ bốt, thời gian phản ứng 1ms dự đốn  Drones ( máy bay khơng người lái ) : Tốc độ cực nhanh, đáng tin cậy 5G mở tiềm to lớn giao thông vận tải bầu trời, đặc biệt việc sử dụng máy bay khơng người lái Chính phủ tổ chức cứu trợ thiên tai sử dụng máy bay không người lái kết nối 5G để hỗ trợ nỗ lực khẩn cấp Máy bay không người lái bầu trời liên lạc chia sẻ thông tin thời gian thực với đội mặt đất, tăng tốc độ hiệu nhiệm vụ tìm kiếm cứu nạn Máy bay khơng người lái khai thác cho hoạt động hậu cần, chẳng hạn giao hàng tự động tuyến đường khơng có / dân cư Mạng hỗ trợ vơ số máy bay không người lái tự hành để điều hướng bầu trời địa phương bạn cách an toàn chí gửi thơng báo đến thiết bị bạn để thông báo xuất chúng Một phương pháp bay không người lái tuyệt vời khác 5G triển khai máy bay không người lái internet, để cung cấp kết nối phổ biến đáng tin cậy 10 GV: TS.HOÀNG TRỌNG MINH - AN NINH VÀ BẢO MẬT TRONG MẠNG 5G Mặc dù TEE cung cấp môi trường thực thi lưu trữ cách ly giải pháp tốt chống lại cơng SW, khơng có khả chống cơng vật lý Ví dụ, việc thiếu nhớ điện tĩnh TEE có nghĩa counters lưu trữ, mở đường cho cơng phát lại Vì mặt cơng thiết bị 5G gia tăng, dẫn đến cơng từ chối dịch vụ lớn đề cập chương Ngoài ra, nhiều trường hợp sử dụng, đặc biệt liệu quan trọng, SE chẳng hạn eUICC cung cấp lưu trữ chống giả mạo giải pháp thiếu Một lần nữa, nhược điểm TEE trình xử lý mơ liên quan có nghĩa độ trễ tăng lên Thời gian ủy quyền mạng thực thể khác wisẽ trở nên chậm khơng phù hợp với mục đích phân khúc truyền thơng quan trọng - Ngồi ra, eUICC cho phép truy cập thiết bị bị tắt nguồn bị khóa thơng qua giao diện NFC Bộ nhớ điện tĩnh bên SE cung cấp trường điện từ mà thiết bị đầu cuối phát đủ để thực trình xác thực Đây tính tốt mở tiềm eUICC phân khúc MOBILE ID Rõ ràng eUICC mang lại tất lợi ích từ giải pháp trưởng thành UICC mạng di động, sử dụng để bảo vệ lớp netw ork tất trường hợp sử dụng, tiến tới cung cấp xác thực dịch vụ mạng cho giao tiếp đầu cuối giúp triển khai nhiều tảng khác di động, TV thông minh, xe cộ, v.v Tuy nhiên, chi phí eUICC vấn đề thiết bị giá rẻ, điển hình cảm biến giá rẻ - Điều quan trọng cần lưu ý TEE không loại trừ lẫn SE Cùng với eUICC, TEE đạt đến mức độ bảo mật chứng nhận chưa có cung cấp giải pháp tích hợp, tiện lợi cho người tiêu dùng cuối  Dựa đó, tơi trình bày giải pháp bảo mật tích hợp TEE với eUICC, gọi TEeUICC, để cung cấp bảo mật nâng cao cho xác thực, lưu trữ bảo vệ xem nội dung an toàn Lợi ích mơ hình dễ dàng nhận để làm điều đó, địi hỏi kiến trúc thiết kế chí cịn cẩn thận để đảm bảo hoạt động tương tác bảo mật liền mạch 41 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G 4.2 KIẾN TRÚC GIẢI PHÁP AN NINH NÂNG CAO ( TEeUICC ) - Hệ thống phức tạp khó thiết kế, triển khai cấu hình an tồn Hình kiến trúc đề xuất TEeUICC: Hình 4.1 Kiến trúc TEeUICC - eUICC chứa số ứng dụng, gọi Applet (USIM, SIM, v.v.) có khả cung cấp "root-of-trust" dịch vụ triển khai MNO dựa khóa mật mã, chứng chỉ, sách bảo mật, mã PIN, v.v Trong kiến trúc đề xuất, applet đóng vai trị quan trọng việc tạo điều kiện cho tin tưởng vào dịch vụ cung cấp Nó chịu trách nhiệm fhoặc xác thực người dùng, xác thực giao dịch, lưu trữ khóa mật mã để bảo mật nội dung thiết lập thông tin liên lạc an tồn thơng qua kênh an tồn với TA cư trú TEE Nền tảng chống giả mạo eUICC đủ để lưu trữ liệu người dùng ứng dụng cách an toàn 42 GV: TS.HOÀNG TRỌNG MINH - AN NINH VÀ BẢO MẬT TRONG MẠNG 5G TEE cung cấp môi trường an toàn để lưu trữ ứng dụng đáng tin cậy TA (Trusted Application ) ký mật mã, tải an toàn chịu trách nhiệm hoạt động nhạy cảm bảo mật Nó đóng vai trị quan trọng việc nắm bắt an tồn thơng tin đăng nhập người dùng mã PIN mật thực hoạt động nhạy cảm bảo mật giải mã nội dung bảo mật, xử lý tất người dùng tương tác phụ trợ trước giao dịch ủy quyền Khóa phiên mật mã sử dụng TA truy xuấtứng dụng fr om eUICC sau xác thực lẫn TA TEE ứng dụng eUICC - Có hai phương pháp để thiết lập giao tiếp eUICC TEE:  EUICC kết nối riêng với TEE truy cập TA mà không cần sử dụng tài nguyên từ REE (Rich Excution Enviroment)  EUICC kết nối với REE truy cập TA cách sử dụng tài nguyên REE Bất kỳ thông tin liên lạc trải qua REE - coi khơng an tồn Kênh liên lạc eUICC TEE tiếp xúc với cơng SW cơng HW, u cầu sử dụng kênh an toàn để thiết lập liên lạc an toàn Trong kiến trúc trên, tác vụ đạt cách sử dụng: TEE Secure Element API, Secure Channel API Secure Channel Protocol '11' Chúng tiến tới để mô tả chi tiết chế - Mục đích API đơn giản hóa việc phát triển Ứng dụng tin cậy cách sử dụng Phần tử bảo mật 4.2.1 API yếu tố bảo mật TEE  API Phần tử bảo mật TEE lớp mỏng cho phép hỗ trợ giao tiếp với Các phần tử bảo mật (SE) kết nối với thiết bị mà TEE triển khai  API không định physical layer sử dụng để giao tiếp với SE  API TEE Secure Element xác định giao diện hiển thị cho Ứng dụng Đáng tin cậy cách sử dụng TEE Core AP Nó khơng hạn chế phương pháp thực kết nối thực tế Ví dụ: kết nối trực tiếp đến trình điều khiển nói chuyện với phần cứng bên TEE gián tiếp thông qua sở cư trú REE 43 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G  Các hàm xác định TEE Secure Element API nhóm lại thành bốn lớp đại diện cho cấp độ truy cập khác : o Lớp SEService : Cấp độ dịch vụ điểm vào API, sử dụng để kết nối với API TEE SE có quyền truy cập vào danh sách trình đọc SE o Lớp SEReader : Cấp độ trình đọc trình bày danh sách trình đọc có sẵn ứng dụng lựa chọn Phiên mở Phần tử bảo mật chèn vào trình đọc o Lớp SESession : Cấp độ phiên thể phiên kết nối với SE có sẵn thiết bị o Lớp SEChannel : Mức kênh ứng dụng sử dụng để trao đổi APDU (Đơn vị liệu giao thức ứng dụng) với ứng dụng SE Hình 4.2 Mơ hình API bảo mật TEE  Mơ hình sử dụng API TEE SE sau : o Ứng dụng đáng tin cậy (TA) có quyền truy cập vào API TEE SE Nó tạo lớp SEService 44 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G o TA liệt kê độc giả có sẵn Đầu đọc khe cắm mà SEs kết nối (theo cách tháo rời khơng thể tháo rời) Khi TA chọn Trình đọc, ứng dụng mở phiên trình đọc o Tiếp theo, TA truy xuất ATR SE khớp với ATR biết, bắt đầu mở kênh với applets SE o Để mở kênh, TA sử dụng AID applet sử dụng applet mặc định kênh mở o Sau , TA bắt đầu truyền APU đến applet o Sau hoàn tất, TA đóng kênh có chí phiên kết nối với SEService  Các số sử dụng hàm API TEE SE : o TEE_Result : trả kết hàm thành công lỗi o TEE_SEReaderProperties: thơng tin trình đọc Phần tử bảo mật o TEE_SEAID: ID applet nằm Phần tử bảo mật o TEE_ SEServiceHandle 4.2.2 Kênh an toàn API - API Kênh Bảo mật cung cấp chức cho CA sử dụng để thiết lập giao tiếp kênh an toàn TEE Phần tử Bảo mật Phiên kênh an toàn thực TEE hoạt động hoàn toàn minh bạch theo quan điểm TA - Thiết kế API kênh an toàn cho phép sử dụng giao thức kênh an toàn khác Tuy nhiên, kiến trúc TEeUICC Giao thức kênh an tồn '11' sử dụng thuật tốn ECC chọn để thiết lập giao tiếp - Các thông số sử dụng hàm API Kênh an toàn là:  TEE_SC_Params: xác định parameters cần thiết để thiết lập kênh an toàn, bao gồm: loại kênh an toàn, ID, mức độ bảo mật, tham chiếu khóa thẻ khóa thiết bị  TEE_SC_OID: xác định loại giao thức sử dụng cho kênh an toàn  TEE_SC_SecurityLevel: bảng liệt kê liệt kê Cấp độ bảo mật áp dụng cho kênh an toàn  TEE_SC_CardKeyRef: xác định tham chiếu đến khóa thẻ sử 45 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G dụng cho kênh an toàn  TEE_SC_DeviceKeyRef: xác định tham chiếu đến khóa thiết bị sử dụng cho kênh an toàn  TEE_SC_KeyType: bảng liệt kê liệt kê tùy chọn cho loại khóa  TEE_SC_KeySetRef: xác định khóa với Key-MAC Key-ENC theo SCP02 SCP03 Hình 4.3 kênh an toàn API - Kênh an toàn API gồm ba chức :  TEE_SESecureChannelOpen: Thiết lập kênh an toàn , kênh an toàn thiết lập kênh giao tiếp định tham số TEE_SEChannelHandle  TEE_SESecureChannelGetSecurityLevel: Trả mức bảo mật thiết lập với SE seChannelHandle xác định  TEE_SESecureChannelClose: Chấm dứt kênh an toàn thiết lập cho SE 4.2.3 Giao thức kênh an toàn ( Secure Channel Protocol “11” ) A) Tổng quan giao thức - Giao thức kênh an toàn '11' (SCP11) thiết kế cách sử dụng Mật mã đường cong Elliptic (ECC) để xác thực lẫn khởi tạo kênh an toàn AES để nhắn tin an toàn - ECC cung cấp sức mạnh bảo mật phù hợp để thiết lập khóa phiên cho ba biến thể AES: AES-128, AES-192 AES-256 46 GV: TS.HOÀNG TRỌNG MINH - AN NINH VÀ BẢO MẬT TRONG MẠNG 5G Thuật tốn thỏa thuận khóa đường cong Elliptic (ECKA) sử dụng SCP11 để thiết lập khóa phiên Thuật toán thực thi hai lần, lần - - - - - để tạo phím tạm thời lần để tạo phím tĩnh SCP11 cung cấp hai lựa chọn thực bao gồm :  SCP11a : cung cấp xác thực lẫn thực thể thẻ ( OCE ) thẻ  SCP11b : cung cấp xác thực thẻ cho OCE ( Off_Card Entity ) B) Xác thực Xác thực thực thơng qua q trình bắt đầu Kênh bảo mật cung cấp đảm bảo cho thực thể giao tiếp với thực thể xác thực OCE (Thực thể thẻ) xác thực SD (Miền bảo mật) cách cung cấp chứng cách cung cấp APDU (App Protocol Data Unit ) sau thiết lập kênh an tồn với mac xác SD xác thực cho OCE cách cung cấp chứng cách tạo biên lai kết thúc thủ tục thành lập Mỗi khóa phiên tạo dựa khóa tạm thời để đảm bảo bí mật chuyển tiếp hồn hảo Nó đảm bảo tính bảo mật liên tục liệu trao đổi phiên khóa riêng tư tĩnh bị xâm phạm thời điểm sau Q trình xác thực thực thông qua ba bước mô tả đây:  Bước : Truy xuất chứng OCE eUICC : Hình 4.4 Các bước xác thực SCP 11 47 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G o Trước thiết lập kênh an toàn, SD cung cấp chứng cho OCE o Chứng truy xuất từ SD cách sử dụng lệnh GET DATA Khi liệu nhận được, OCE trích xuất PK SD ECKA ( public key of security domain ECKA ) để sử dụng tương lai  Bước 2: Truy xuất chứng eUICC OCE : Hình 4.5 Các bước xác thực SCP 11 o Trong bước này, OCE phải cung cấp cho SD chứng cách sử dụng lệnh PERFORM SECURITY OPERATION trước thiết lập kênh an tồn o Vì TEE cung cấp khả lưu trữ an toàn cách ly với Rich OS, chứng SD lưu trữ liên tục TEE  Bước Thực xác thực lẫn OCE eUICC : 48 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G Hình 4.6 Các bước xác thực SCP 11 o Lệnh MUTUAL AUTHENTICATE sử dụng để gửi khóa cơng khai tạm thời OCE đến SD, để kích hoạt thiết lập khóa, để cung cấp thơng tin xác thực thẻ cho OCE để xác định mức độ bảo mật cần thiết cho tất lệnh o Lệnh MUTUAL AUTHENTICATE chấm dứt phiên kênh secure diễn (bất kỳ giao thức kênh an toàn sử dụng) lệnh thành cơng, bắt đầu phiên kênh an tồn Tất liệu truyền tuân theo định dạng TLV o Cấu trúc APDU (App Protocol Data Unit ) thách thức phản ứng sau : o Chanllenge message chứa thơng tin để kích hoạt q trình xác thực, bao gồm :  Mã định danh Secure Channel Protocol ( SCP ), thơng số SCP, trình điều kiện sử dụng khoá loại khoá  Khoá tạm thời ePK.OCE.ECKA khố cơng khai – riêng tư tạm thời OCE tạo  Sau nhân chanllenge message từ OCE, SD xác minh thực thao tác mật mã để tạo thông báo phản hồi : 49 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G  SD xác minh giá trị cung cấp cho mã định danh SCP, thơng số SCP, trình điều kiện sử dụng khóa loại khóa  SD tạo cặp khóatạm thời eSK.SD.ECKA ePK.SD.ECKA  Ở bước , SD có quyền sở hữu PK Sd ECKA, SK Sd ECKA, PK OCE (bằng tiếng Anh) ECKA ePK.OCE.ECKA  SD tính tốn ShS bí mật chia sẻ tĩnh từ PK OCE (bằng tiếng Anh) ECKA SK Sd ECKA (bằng tiếng Anh)  SD tính tốn bí mật chia sẻ tạm thời từ ePK.OCE.ECKA eSK.SD.ECKA  SD nối ShSe ShS để tạo thành ShS bí mật chia sẻ tạo thành đầu vào cho q trình Dẫn xuất khóa, tạo khóa phiên khóa nhận o Response message chứa :  ePK.SD.ECKA  Biên lai OCE xác minh Biên lai tạo cách tính mac liệu (nối khóa nhận, S- ENC, S-MAC, S-RMAC, S-DEK) cách sử dụng khóa nhận o Sau nhận thơng báo phản hồi từ SD, OCE xác minh thực thao tác mật mã để hoàn tất trình xác thực lẫn :  OCE tính tốn ShS bí mật chia sẻ tĩnh từ PK Sd ECKA SK OCE ECKA  OCE tính tốn ShSe bí mật chia sẻ tạm thời từ ePK.SD.ECKA eSK.OCE.ECKA  OCE xác minh biên lai để hồn tất quy trình xác thực lẫn  OCE lấy khóa phiên AES từ ShSe ShS o Kể từ hồn thành, khố phiên AES sử dụng để bảo mật thông tin liên lạc OCE SD 4.3 CÁC TRƯỜNG HỢP SỬ DỤNG THỰC TẾ - Trong phần , chúng em giới thiệu số trường hợp sử dụng thực tế hưởng lợi từ việc triển khai TEeUICC, bao gồm :  Tự động hoá gia đình  Xe kết nối 4.3.1 Nhà thơng minh ( smart home ) 50 GV: TS.HOÀNG TRỌNG MINH - AN NINH VÀ BẢO MẬT TRONG MẠNG 5G Đối với hệ thống tự động hóa gia đình, TEeUICC triển khai tốt trung tâm tự động hóa gia đình, điều khiển tất thiết bị thơng minh (TV, tủ lạnh, cảm biến, v.v.) xử lý thông tin tương tác với người tiêu dùng cách thân thiện Hình 4.7 Mơ hình Smart Home - Khi bạn tin tưởng vào thiết bị, giúp bạn dễ dàng di chuyển nhiều chức hấp dẫn sang - từ khóa digital đến camera an ninh điều nhiệt , v.v - Đối với ứng dụng lưu trữ liệu nhạy cảm cao, yêu cầu bảo mật nghiêm ngặt Ví dụ :  Hệ thống cửa vào thông minh : Quản lý khóa bước vào thời đại kỹ thuật số, bạn rời khỏi vào nhà mà khơng cần chìa khóa thiết bị vật lý, cấp quyền truy cập tạm thời cho khách ngăn người khơng ủy quyền ngồi Một camera cửa trước với micrơ, h ub thơng minhvà khóa khơng dây hoạt động cần thiết Hồ sơ người dùng đăng ký lưu trữ máy chủ nhận dạng trung tâm tự động hóa gia đình nhận dạng khuôn mặt xác thực in giọng nói xác thực sinh trắc học nói chung thực trung tâm để tự động cấp quyền cho khóa thơng minh Người dùng chưa đăng ký u cầu quyền truy cập thơng qua tin nhắn trung tâm thông minh gửi đến thiết bị cầm tay người dùng đăng ký TEE xử lý thơng tin sinh trắc học đầu vào cách an toàn để so sánh với liệu bí mật lưu trữtrên eUICC Chuỗi quy trình bảo mật 51 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G hoàn chỉnh đảm bảo xác thực người dùng cấp quyền truy cập tăng tiện lợi hệ thống gia đình  Giám sát video gia đình : Webcam cơng cụ hữu ích giúp giám sát hoạt động ngơi nhà bạn, tình người lạ chặn người dùng quay video vô nguy hiểm Thông qua kết hợp TEE eUICC, bạn tóm gọn sách lại luồng video mã hóa lưu trữ lưu trữ bảo mật TEE bạn người dùng xác thực có quyền truy cập vào liệu 4.3.2 Xe kết nối ( connected car ) - Ơ tơ ngày thơng minh, kết nối với có nhiều thiết bị âm Ơ tơ giao tiếp, giao lưu cộng tác với thứ khác, bao gồm phương tiện khác, đèn giao thông, điểm đỗ xe nhà bán lẻ Đến lượt họ, họ tham gia vào hệ thống giao thông thông minh rộng lớn (ITS) Hình 4.8 Mơ hình connected car - Với việc TEeUICC triển khai phận điều khiển xe hơi, khơng đảm bảo an tồn, hiệu quảvà thoải mái cho người lái xe ô tô hành 52 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G khách, mà để đảm bảo quyền riêng tư bảo mật liệu họ Các tính quan trọng hầu hết xe đại, chẳng hạn Bluetooth, truy cập Internet, GPS hướng dẫn lối sống trợ lý cá nhân ảo, yêu cầukết nối tant nhược điểm với mạng viễn thơng Tuy nhiên, kết nối mạng phơi bày hệ thống vận hành an toàn quan trọng khác, chẳng hạn chẩn đoán sức khỏe xe cộ phanh tự động, đó, khiến hoạt động xe dễ bị cơng Những nhiệm vụ đạt thông qua việc sử dụng eUICC, giải pháp hoàn thiện kết nối mạng - TEeUICC cung cấp khả bảo vệ mạnh mẽ chống lại thao túng kênh liên lạc an toàn xác thực cho ứng dụng, chẳng hạn cập nhật phần mềm qua mạng an toàn, đảm bảo tính bảo mật liệu ứng dụng bảo vệ quyền riêng tư người tiêu dùng - Trong tương lai, việc thu thập liệu liên quan đến ô tô ngày trở nên quan trọng ứng dụng khác nhau, chẳng hạn bảo trì dự đốn Dữ liệu (ví dụ: thơng số liệu thời gian chạy) tiết lộ nhiều chuyên môn cốt lõi nhà sản xuất xe mục tiêu dành riêng cho hoạt động gián điệp ngành Hoặc thông tin người tiêu dùng liên quan đến vị trí địa lý (nơi xe đến đến ) cần bảo vệ Những liệu dễ dàng lưu trữ lưu trữ an toàn lớn TEE cung cấp 4.4 KẾT LUẬN CHƯƠNG - Nhóm em mơ tả TEeUICC, kiến trúc bảo mật để bảo mật thiết bị cách sử dụng giải pháp chứng minh security eUICC với TEE giới thiệu gần Nhóm em chứng minh TEeUICC đáp ứng mục tiêu bảo vệ thiết bị, thiết bị ngoại vi ứng dụng khỏi công SW HW, cung cấp môi trường đáng tin cậy để cung cấp băng phục vụ nhạy cảm với bảo mật Nhóm trình bày số trường hợp sử dụng thực tế mơ hình đề xuất cách tích hợp vào trung tâm nhà thơng minh điều khiển ô tô, sử dụng khả bảo mật TEE eUICC 53 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G KẾT LUẬN Bài tiểu luận nhóm em yêu cầu thách thức bảo mật rộng 5G so với hệ trước, phản ánh phạm vi rộng nhiều trường hợp sử dụng tiềm mối đe dọa tiềm ẩn Các giải pháp bảo mật yêu cầu phải mở rộng để triển khai hàng tỷ thiết bị kết nối đảm bảo tin tưởng tất thực thể hệ sinh thái Nó thách thức để thực tảng khác nhau, từ thiết bị giá rẻ đồng hồ thông minh đo sáng thông minh thiết bị phức tạp máy bay không người lái, ô tô kết nối, cung cấp khả linh hoạt sức mạnh xử lý, độ trễ khối lượng lưu trữ an toàn Ngoài ra, để hỗ trợ giao tiếp M2M 5G, khả tương tác tính thiết yếu cần đưa vào thiết kế hệ thống bảo mật.Mặc dù lợi TEeUICC đáng ý, cần cải tiến lớn để áp dụng rộng rãi 5G HƯỚNG PHÁT TRIỂN Giảm độ trễ bảo mật nhiệm vụ quan trọng Số lượng thực thể tham gia vào hoạt động bảo mật làm tăng độ trễ điều với TEeUICC nơi xác thực xảy người dùng,nhà cung cấp dịch vụ điện tử, TEE eUICC Để phù hợp với yêu cầu độ trễ thấp nhiều ứng dụng 5G, model nên có chế thông minh giúp quản lý linh hoạt trình xác thực Đặc biệt, tình từ xa surgery eHealth, cảnh báo va chạm lái xe ô tô điều khiển robot nhà máy thơng minh, hệ thống phải có khả xác định mức độ liên lạc khẩn cấp để cung cấp xác thực phù hợp Nó điều khiển trực tiếp REE eUICC (bypass TEE) kiện quan trọng sử dụng hoạt động mật mã đơn giản với thời gian tính tốn Tuy nhiên, việc xem xét nằm phạm vi luận án Hy vọng tiểu luận cung cấp tầm nhìn tồn diện yêu cầu bảo mật 5G, giúp tất tác nhân liên quan có định đắn để không phù hợp với mục tiêu họ mà cịn đảm bảo an ninh cho tồn giới kết nối 54 GV: TS.HOÀNG TRỌNG MINH AN NINH VÀ BẢO MẬT TRONG MẠNG 5G TÀI LIỆU THAM KHẢO [1] 5G SECURITY BY “ ĐẶNG HOÀI SƠN ” [2] GSMA Intelligence, "Hiểu biết 5G: Quan điểm tiến công nghệ tương lai di động," tháng 2014 năm XNUMX [3] Volker Held, "5G kích hoạt dung lượng lớn, kết nối," ngày 20 tháng Tư năm 2016 [4] Emil Björnson, "Quản lý tài nguyên vô tuyến hệ thống truyền thông MIMO lớn" [5] Symantec, "Nguồn gốc niềm tin cho Internet of Things (IoT)" [6] Hoovers Research, "Phân tích thị trường thẻ thơng minh tồn cầu 2016 - Dự báo đến năm 2022," tháng 2016 năm XNUMX [7] Daniela Terracciano Amedeo Veneroso, "Công nghệ thẻ thông minh," ngày 23 tháng 2016 năm XNUMX [8] Beecharm Research, "Lợi ích đặc điểm kỹ thuật SIM nhúng GSMA cho lĩnh vực tiện ích" [9] SIMalliance, "Bảo mật 5G - Đưa lựa chọn đắn để phù hợp với nhu cầu bạn" [10] GlobalPlatform, "TEE Secure Element API Version 1.1.1," tháng Mười năm 2016 [11] Wikipedia, "Cơ sở hạ tầng khóa cơng khai", [Trực tuyến] Có sẵn: https://en.wikipedia.org/wiki/Public_key_infrastructure 55

Ngày đăng: 20/09/2023, 15:42

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan