CHƯƠNG 2 : AN TOÀN THÔNG TIN TRONG MẠNG LTE
2.3. Điểm yếu trong bảo mật mạng LTE
2.3.1. Điểm yếu trong bảo mật truy nhập LTE
Cải tiến nổi bật nhất của LTE-AKA trong GSM/UMTS-AKA là để ngăn chặn các cuộc tấn công chuyển hướng sử dụng sai trạm gốc bằng cách tăng cường các vectơ xác thực. Tuy nhiên, LTE-AKA vẫn còn thiếu sự riêng tư của các thuê bao và các cơ chế phòng chống tấn công DoS. Trong phần này, tôi xem xét các điểm yếu tồn tại của LTE-AKA.
Hình 2.18 : Sự phân bố của IMSI và dữ liệu xác thực
2.3.2.Sự riêng tư của thuê bao
Mặc dù sử dụng GUTI, UE vẫn phải truyền tải định danh cố định (IMSI) trong bản tin khi đăng ký lần đầu tiên (xem bản tin (2) trong hình trên). Theo truyền thống, các mạng di động 3GPP không cung cấp các cơ chế p để bảo vệ định danh người dùng một cách bí mật chống lại các loại tấn công chủ động. Một kẻ tấn công chủ động với một trạm gốc giả mạo có thể gửi một tin nhắn yêu cầu nhận dạng (tức là, bản tin (1) trong GSM- / UMTS- / LTE-AKA) đến UE. UE luôn luôn đáp ứng với IMSI của nó. Như vậy, nhận dạng thuê bao không được xử lý bảo mật nữa. Tiết lộ của IMSI đem lại những cơ hội mà một kẻ gian có thể có được thông tin thuê bao, thông tin vị trí và thậm chí cả thông tin trò chuyện. Bên cạnh đó, định danh gốc ban đầu (IMSI) có thể được kết nối và suy ra định danh tạm thời (GUTI) dẫn đến sự mất an toàn trong các lần trao đổi thông tin tiếp theo của UE. [9]
3GPP định nghĩa sự phân bố của IMSI giữa hai MME như trong hình trên. Mục đích của thủ tục này là để cung cấp cho một MME mới được thăm (MMEn) với IMSI và các vectơ xác thực từ một MME được truy nhập trước đó (MMEo). MMEn gửi tin nhắn yêu cầu IMSI đến MMEo sau khi nhận GUTIo trong bản tin (1) của LTE-AKA. MMEo sẽ gửi một bản tin phản hồi IMSI bao gồm các IMSI, và các vectơ xác thực chưa sử dụng. Xét về sự riêng tư vị trí, vị trí của UE có thể bị tiết lộ trong một liên kết giao tiếp không an toàn giữa một MMEn và MMEo về nhận dạng vị trí (Tracking Area Identity - TAI) của nó. Khi vị trí riêng tư của một UE bị tiết lội, kẻ tấn công có thể nghe lén hoặc tống tiền các UE.
Các tiêu chuẩn 3GPP LTE hiện tại đã tóm tắt một số trường hợp mà IMSI được tiết lộ trên các kết nối vô tuyến như sau:
- Một UE ban đầu đăng ký trong một MME, và đã không nhận được một GUTI hợp lệ nào.
- Do sự mất động bộ trong cơ sở dữ liệu hoặc lỗi đồng bộ hóa trong một MME, IMSI có thể không được lấy ra từ GUTI.
- Sau khi chuyển vùng đến một MME mới, MME cũ có thể không được liên lạc hoặc không thể lấy IMSI.
Chú ý: Khi UE chuyển đến một MME mới, MME mới yêu cầu IMSI từ MME cũ sử
dụng TMSI và thông tin định tuyến. MME cũ tìm kiếm các thông tin UE trong cơ sở dữ liệu của nó, gửi lại IMSI của UE cho MME mới. Sau khi LTE-AKA, một
GUTI mới sẽ được cấp cho UE một cách an toàn.
Mặt khác, bản tin yêu cầu nhận dạng IMSI này là bắt buộc để phục hồi từ những trường hợp khi mạng phục vụ bị mất kết nối giữa định danh tạm thời của UE và các IMSI. 3GPP đã thảo luận một cơ chế cho phép một MME có thể phục hồi từ tình trạng trước đó trong khi cung cấp cơ chế bảo vệ chống lại các cuộc tấn công chủ động. Nhiều tài liệu đề xuất cơ chế bảo vệ dựa trên khóa công khai,như thế sẽ phải sử dụng UE với chứng nhận khóa công khai hoặc nếu không thì ít nhất các HSS/AuC phải có khóa công khai. Trong môi trường mở của các mạng LTE, cơ sở hạ tầng khóa công khai phải được trải rộng khắp tất cả các nhà khai thác với các thỏa thuận chuyển vùng lẫn nhau. Như vậy, 3GPP sẽ phải xem xét nhiều yếu tố về hiệu năng và chi phí khi bắt buộc phải sử dụng một cơ sở hạ tầng tốn kém như vậy.
Hình 2.19 : Luồng bản tin giao tiếp trong LTE-AKA
Trong LTE AKA, một MME phải chuyển tiếp yêu cầu của UE tới HSS/AuC ngay cả trước khi UE được chứng thực bởi MME. Rõ ràng MME chỉ có thể xác thực một UE sau đã nhận được và giải mã một cách chính xác (bản tin (6) trong hình). Ý nghĩa quan trọng của hạn chế này là các cuộc tấn công DoS tới HSS/AuC và MME là có thể xảy ra. Kẻ tấn công DoS (ngụy trang một UE hợp pháp) tấn công một HSS/AuC bằng cách gửi IMSI giả. Sau đó, các HSS phải lãng phí năng lực tính toán của nó để tạo ra các vectơ xác thực dư thừa, mặt khác MME phải lãng phí bộ nhớ đệm của nó bằng việc phải chờ đợi quá lâu cho một phản hồi đúng hoặc sai từ UE tương ứng.
2.3.4.Điểm yếu trong bảo mật chuyển giao LTE
Điểm yếu này có thể giúp kẻ gian tấn công phá vỡ sự đồng bộ trong chuyển giao giữa các eNodeB (inter-eNodeB):
Hình 2.20 : Luồng bản tin giao tiếp của chuyển giao inter-eNodeB trong LTE
Giả định trong mô hình này một kẻ gian kiểm soát một trạm gốc giả mạo bằng cách thỏa hiệp với một eNodeB thương mại hoặc triển khai một eNodeB cá nhân. Ngay từ đầu, kẻ gian lôi kéo một UE tới vùng kênh vô tuyến của eNodeB giả mạo. Mục tiêu của cuộc tấn công eNodeB giả mạo này là để làm gián đoạn việc cập nhật giá trị NCC, bỏ lại các eNodeB đích đã bị mất đồng bộ và các khóa của phiên giao dịch trong tương lai dễ bị tiết lộ. Đổi lại, các cuộc tấn công eNodeB giả mạo cho phép kẻ địch buộc các eNodeB đích từ bỏ việc bảo mật trước đó bằng cách chỉ thực hiện chuyển giao ngang các khóa khởi thủy ban đầu. Việc làm mới giá trị NCC là
cần thiết để giữ tính bảo mật trước đó của việc định tuyến (móc nối) các khóa chuyển giao có thể bị gián đoạn bởi bản tin giữa các eNodeB (2) hoặc bản tin từ một MME tới một eNodeB đích (6) bị tấn công.
Để giá trị NCC của eNodeB đích mất đi sự đồng bộ, eNodeB giả mạo cố tình đặt một giá trị rất cao cho giá trị NCC ký hiệu là ψ và gửi nó đến eNodeB đích trong bản tin yêu cầu chuyển giao (xem bản tin (2) trong hình). Tôi giả định giá trị ψ là một giá trị rất cao trong khoảng giá trị cao nhất cho phép của NCC. Kẻ gian sẽ gửi đến UE giá trị NCC gốc ký hiệu là ψ và bằng cách đồng bộ giá trị NCC sai (tức là ψ) để nó không thực hiện suy diễn khóa theo chiều dọc. Giá trị NCC từ bản tin (6)nhỏ hơn đáng kể so với giá trị nhận được từ eNodeB giả mạo (ví dụ, ω + 1 << ψ). Kết quả là sự chênh lệch này làm cho eNodeB đích và UE sinh ra khóa phiên tiếp theo dựa vào KeNodeB hiện tại thay vì trên khóa NHω+1 mới. Trong trường hợp đó, eNodeB được thỏa hiệp sẽ chiếm hữu KeNodeB vì sự sự bảo mật trước đó của KeNodeB đã bị mất. eNodeB giành được KeNodeB này có thể được biết được khóa tiếp theo KeNodeB*s bởi vì giá trị € có thể được thể hiện thông qua các thông tin lớp vật lý. Sau nỗ lực phá vỡ đồng bộ ban đầu, kẻ gian phải duy trì cuộc tấn công để UE gửi giá trị NCC ban đầu (tức là ω) trong khi tiếp tục theo dõi UE. Sự tự hiệu chỉnh của UE là không thể tránh khỏi bởi vì kẻ tấn công theo dõi nó để điều khiển lưu lượng dữ liệu giữa một UE chuyển vùng và các eNodeB đích. Đến thời điểm này, kẻ gian không còn cần phải giả mạo bản tin giữa các eNodeBthật mà vẫn có được thông tin giao tiếp của UE.
Kẻ gian cũng có thể phá vỡ sự đồng bộ giá trị NCC bằng cách thực thi bản tin (6) như trong hình. Một eNodeBgiả mạo bởi các phương pháp vừa thảo luận sẽ ở một vị trí để thực thi nhại lại IP và làm kẻ ở giữa tấn công vào giao diện S1-C để thay đổi bản tin cập nhật giá trị NCC từ một MME đến eNodeB đích. Một tin nhắn giả mạo bao gồm một giá trị NCC thấp hơn giá trị NCC hiện tại sẽ làm cho eNodeB đích không thừa nhận giá trị NCC mới. Việc sử dụng miền bảo mật cho bản tin (5) hoặc (6) có thể là một cơ chế tốt để bảo vệ chống lại các cuộc tấn công này. Tuy nhiên, kẻ tấn công chỉ cần khởi động một cuộc tấn công DoS trên giao diện S1-C để ngăn chặn eNodeB đích nhận các giá trị NCC được cập nhật trong bản tin (6). Tấn công dạng này khó phòng chống nhưng với sự phát triển của công nghệ an ninh, tính khả thi của các cuộc tấn công DoS này không cao và mức độ ảnh hưởng cũng được hạn chế đến mức thấp nhất, không thể gây ra tình trạng tê liệt hoàn toàn 1 eNodeB được.
Kết luận:
An toàn thông tin được xây dựng dựa trên 3 nguyên tắc quan trọng là tính bảo mật, tính toàn vẹn và tính sẵn sàng. Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể quy tụ theo ba nhóm sau: Bảo vệ an toàn thông tin bằng các biện pháp hành chính; Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng); Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
Chương này đã thảo luận tới các vấn đề đảm bảo an toàn thông tin trong mạng, các nguyên lý an toàn hệ thống thông tin và các quy trình kỹ thuật bảo mật của hệ thống thông tin. Nguyên tắc sử dụng khóa công cộng, khóa công khai, khóa bí mật và thuật toán băm. Áp dụng những biện pháp này vào trong công tác bảo mật thông tin trong mạng LTE gồm bảo mật nhận dạng người dùng, bảo mật thiết bị người dùng, các thuộc tính bảo mật AS và NAS trong EPS cũng như các biện pháp, kỹ thuật khác nhằm đảm bảo thông tin trong mạng LTE. Chương cũng nghiên cứu và đánh giá các điểm yếu về an toàn bảo mật của mạng LTE, cụ thể có 3 điểm yếu: - Có thể tiết lộ IMSI và thông tin vị trí của UE.
- Có thể bị tấn công làm mất đồng bộ trong quá trình chuyển giao khóa gây lộ khóa bí mật.
- Có thể bị tấn công từ chối dịch vụ tại các khâu xác thực và chuyển giao khóa gây ảnh hưởng đến chất lượng dịch vụ.
CHƯƠNG 3: NÂNG CAO BẢO MẬT MẠNG LTE 3.1.Tăng tính bảo mật trong mạng LTE 3.1.Tăng tính bảo mật trong mạng LTE
3.1.1.Tăng tính riêng tư trong xác thực và thỏa thuận khóa (PE-AKA)
Qua nghiên cứu và tham khảo các tài liệu khoa học, tôi giới thiệu một cơ chế tăng tính nhận dạng người dùng một cách bí mật để cung cấp sự riêng tư cho thuê bao mà vẫn đạt được nguyên tắc thiết kế của 3GPP về mạng 4G. Mặc dù có thể sửa lại kịch bản đồng bộ hoặc kịch bản không đồng bộ để cung cấp tính riêng tư cho thuê bao và bảo vệ thông tin IMSI không bị lộ ra dưới dạng text, nhưng muốn đạt được nguyên tắc thiết kế của 3GPP về mạng 4G thì không thể thay đổi các kịch bản gốc này.
3.1.2.Tăng cường quản lý nhận dạng
Tôi giới thiệu Phương thức xác thực khóa tăng tính riêng tư ( PE-AKA) để cải thiện tính bảo mật cũng như tính riêng tư của người dùng. Cơ chế PE-AKA sử dụng RMSI (Random Mobile Subscriber Identity) ẩn danh để như là biệt danh thay thế cho IMSI. Được thể hiện trong hình (b), thêm một thành phần nhận dạng thuê bao trung gian vào trong cấu trúc nhận dạng hiện tại của LTE-AKA trong hình (a).
Hình 3.1: Cấu trúc của quản lý định danh và phân cấp
Trong kịch bản này, một IMSI rõ (plain IMSI) không bao giờ bị để lộ ra qua bất kỳ giao diện nào và một MME không có thông tin gì về IMSI. MME chỉ có thông tin về GUTI và RMSI được thể hiện trong hình (c). GUTIở đây đóng vai trò tương tự như trong cơ chế LTE-AKA cho việc nhận dạng tạm thời giữa UE và MME. Mỗi RMSI cùng với IMSI được lưu trữ trong cả UE và HSS/AuC. MME chỉ biết đến RMSI và các GUTI hiện tại trong có trong cơ sở dữ liệu của nó.HSS/AuC làm mới RMSI bất cứ khi nào UE thay đổi MME phục vụ nó.
3.1.3.PE-AKA
MME “mới” tạo ra một số ngẫu nhiên RANDMME và gửi nó đi cùng với bản tin yêu cầu nhận dạng user (user identity request message) (bản tin 1 trong hình) đến UE. UE cũng tạo ra một số ngẫu nhiên của mình là RANDUE và tính toán AK, MACUE như trong hình. AK được tính dựa trên hàm f3 với khóa bí mật K là đầu vào
của RANDUE và RANDMME. Tiếp đó, UE gửi (bản tin
2 trong hình). MME tiếp đó truyền bản tin vừa nhận được cùng với SN-ID, RANDMME đến HSS/AuC. HSS/AuC lấy lại IMSI dựa vào RMSI nhận được trong cơ sở dữ liệu của nó (thủ tục này sẽ chi tiết hơn vào phần sau).
Hình 3.2: Bản tin trao đổi trong PE-AKA
Sử dụng IMSI này, HSS/AuC lấy ra khóa bí mật K của UE, tính toán ra MACUE. Nếu so sánh thấy giá trị vừa tính được với giá trị MACUE lấy ra từ AUTNUE đã nhận được trước đó giống nhau thì UE được xác thựcbởi HSS/AuC. Sau đó, HSS/AuC tạo ra vector xác thực {RANDHSS, AUTNHSS, XRES, KASME} và 2 số ngẫu nhiên RANDUE ,RANDHSS sẽ được sử dụng đồng thời khi HSS/AuC tính toán RMSI tiếp theo (tạm gọi là RMSI*) như được thể hiện trong biểu thức (3). Tạm gọi RMSI mới là RMSIn+1 (là RMSI thứ (n+1)) nếu RMSI hiện tại đang được gọi là RMSI thứ n của PE-AKA.
Với bản tin (4) nhận được, MME lưu giá trị RMSI*, XRES, KASME, sau đó chuyển tiếp đi giá trị còn lại trong vector là AUTNHSS và RANDHSS. Đối với bản tin (5), đầu tiên UE sẽ tính giá trị AK như quá trình trong UMTS-AKA và cho ra RMSI. UE sẽ bị khai thác tiếp giá trị RMSIn+1 tại quá trình PE-AKA tiếp theo. Còn lại toàn bộ PE-AKA giống hệt như LTE-AKA.
3.1.4.Lấy IMSI từ RMSI
Trong phần này giới thiệu thủ tục lấy ra giá trị IMSI dựa vào RMSI trên HSS/AuC. Trong quá trình này, một bảng cơ sở dữ liệu (database) được gộp vào HSS/AuC, bảng này chứa 3 thông tin nhận dạng cho mỗi UE. Nội dung của bảng được đưa ra như sau:
IdentityTable(RMSIn, RMSIn+1, IMSI) với RMSIn và RMSIn+1 là thông số nhận dạng thuê bao tương ứng trong MME hiện tại và MME tiếp theo. Qua việc nhận được bản tin (3) trong hìnhtrên, HSS/AuC có thể dễ dàng lấy ra được IMSI tương ứng từ IdentityTable bởi vì RMSIn chính là chỉ số của bảng. Khi HSS/AuC chuẩn bị dữ liệu cho bản tin (4), nó tạo ra RMSIn+1theo biểu thức (3). Sau đó, HSS/AuC sắp xếp lại bảng IdentityTable bằng cách thay giá trị RMSIn-1 bằng giá trị RMSInvà RMSIn bằng giá trị RMSIn+1. Chú ý rằng RMSI hiện tại trong LTE-AKA thứ n là RMSIn. Sau quá trình PE-AKA, UE và MME có thể tiếp tục tạo ra RMSI
cùng với SN-ID.
Giải pháp này xóa bỏ sự phân bố của IMSI và dữ liệu xác thực khỏi LTE- AKA bởi vì trong bảo mật của LTE, vector xác thực (bao gồm cả KASME) không cần luân chuyển từ MME này sang MME khác. Hơn nữa, thủ tục này giả định rằng mối liên kết giữa các MME với nhau được đảm bảo chắc chắn an toàn. Nhưng trong thực tế, điều này có thể không đúng, đặc biệt là khi 2 MME được quản lý bởi những nhà cung cấp dịch vụ khác nhau. Các chính sách và các giải thuật cho bảo mật cho từng MME riêng biệt có thể khác nhau bởi các nhà cung cấp dịch vụ và nhà khai thác dịch vụ có thể đồng thời kết nối vào EPC. Như vậy các thông tin bảo mật có thể sẽ bị tiết lộ mỗi khi UE chuyển đổi giữa các MME phục vụ nó. Tóm lại MME rõ ràng không cần biết về IMSI và IMSI vẫn nằm trong HSS/AuC.
3.1.5.Đồng bộ lại (ReSynchronization)
Để tránh bị mất đồng bộ và lặp lại việc tác động lên quản lý khóa chuyển giao LTE, tôi giới thiệu giải pháp đồng bộ lại.
Như được thể hiện trong biểu thức (4), trước tiên chúng ta thêm vào giá trị NCC trong chiết xuất khóa chuyển giao để nhấn mạnh điểm yếu tấn công mất đồng bộ hoặc tấn công lặp lại:
Dưới sự tấn công mất đồng bộ, eNodeB đích có thể biết giá trị không chính