Nghiên cứu các vấn đề bảo mật trong hệ thống thông tin di động 4G LTE

Năm 2017, nhóm nghiên cứu tại Viện Khoa học kỹ thuật bưu điện thuộc Học viện Công nghệ bưu chính viễn thông do ThS. Lê Xuân Trung làm chủ nhiệm, đã thực hiện đề tài: “Nghiên cứu các vấn đề bảo mật trong hệ thống thông tin di động 4G LTE”.

Đề tài đã nghiên cứu các vấn đề bảo mật trong hệ thống thông tin di động 4G LTE, trong đó đã hệ thống lại các vấn đề bảo mật của hệ thống GSM và 3G UMTS. Các vấn đề bảo mật khi thay đổi trạng thái: đăng ký và xóa đăng ký, chuyển đổi trạng thái giữa idle và connected, trạng thái idle di động, chuyển giao được nghiên cứu. Các giải thuật mã hóa trong EPS bao gồm giải thuật Null, giải thuật mã hóa, giải thuật toàn vẹn cũng được đề cập. Từ đó, đề tài đã tổng hợp các nguy cơ bảo mật ở mạng LTE và trình bày các giải pháp bảo vệ mạng LTE một cách hiệu quả để khắc phục các nguy cơ này. Cuối cùng, đề tài đã đưa ra khuyến nghị với nhà mạng, người sử dụng và Bộ thông tin truyền thông.

Để bảo vệ mạng thông tin di động 4G và bảo vệ khách hàng, các nhà mạng di động 4G cần phải:

- Hiểu biết sâu sắc về kiến trúc bảo mật 4G LTE, các tính năng bảo mật ở miền mạng truy nhập, miền mạng, miền người sử dụng, miền dịch vụ; phân tích các nguy cơ khác nhau và các giải pháp bảo vệ cho mạng di động 4G LTE;

- Tiến hành một phương pháp có hệ thống để thực hiện các giải pháp bảo mật trong mạng của mình; các giải pháp bảo mật các điểm đơn lẻ là không đủ;

- Phân chia mạng thành các vùng bảo mật logic, bằng sơ đồ phân chia này, nhà mạng di động có thể đánh giá mức độ quan trọng của thông tin trong mỗi vùng, các kiểu tấn công trong mỗi vùng và cơ chế bảo vệ tốt nhất trong mỗi vùng;

- Cần xác định kiểu lưu lượng và các dịch vụ dữ liệu được cung cấp, sau đó phân tích các nguy cơ bảo mật cụ thể đối với các dịch vụ này nhằm quyết định lựa chọn giải pháp bảo mật phù hợp;

- Thận trọng lựa chọn, thay đổi các chính sách bảo mật phù hợp phản ánh đúng các nguy cơ bảo mật trong mạng của mình; và phản ánh tốt các nguy cơ bảo mật mới;

- Triển khai đa dạng các sản phẩm bảo mật trong mạng như các bức tường lửa, các hệ thống phát hiện và ngăn ngừa xâm nhập (IDP), các mạng riêng ảo (VPN) ở các điểm phù hợp trong mạng;

- Các nhà mạng di động cần hợp tác với nhau, hợp tác với các nhà cung cấp dịch vụ Internet (ISP), và các nhà cung cấp dịch vụ viễn thông khác để đảm bảo rằng mức độ bảo mật nhỏ nhất vẫn rất mạnh chống lại các tấn công;

Người sử dụng nên:

- Người dùng đầu cuối nên cài các phần mềm diệt virus để giảm thiểu rủi ro bị mất dữ liệu, mất các thông tin nhạy cảm.

- Tắt GPS khi không thực sự cần thiết để tránh lộ thông tin về vị trí cá nhân;

- Không cài đặt các phần mềm từ nguồn không đáng tin cậy;

- Cập nhật phần mềm theo định kỳ của nhà sản xuất thiết bị để đảm bảo tính bảo mật và vá lỗi hệ thống;

- Thông tin đến nhà mạng trong trường hợp có thông tin tính cước hoặc thiết bị UE xuất hiện tín hiệu bất thường.

Về việc tiêu chuẩn hoá theo các khuyến nghị của các tổ chức tiêu chuẩn quốc tế, Bộ Thông tin và Truyền thông nên xem xét xây dựng một bộ tiêu chuẩn về bảo mật mạng 4G LTE và khuyến nghị các nhà mạng di động 4G LTE thực hiện theo các đặc tả kỹ thuật sau đây:

- Kiến trúc bảo mật của mạng 4G cần được xây dựng dựa trên một tập các tính năng bảo mật và các cơ chế bảo vệ được định nghĩa ở đặc tả 3GPP TR33.401 “System Architecture Evolution (SAE); Security architecture” và TR33.402 “ Security aspects of non-3GPP accesses”;

- Bảo mật lớp báo hiệu và điều khiển NAS và AS: xây dựng dựa trên tài liệu của 3GPP TS 24.301 Non-Access-Stratum (NAS) protocol for Evolved Packet System (EPS); Stage 3.

- Bảo mật truy nhập mạng: Nhà mạng có quyền lựa chọn các thuật toán tạo khoá và xác thực AKA. Thuật toán phải đáp ứng được các yêu cầu được đặc tả ở TS 33.105 “Cryptographic algorithm requirements”. Để đạt được sự liên hoạt động giữa các sự thực hiện USIM khác nhau và HSS, sẽ trở nên dễ dàng hơn nếu sử dụng một thuật toán tiêu chuẩn.

- Bảo mật miền mạng: Đối với bảo mật miền mạng có thể tham khảo các đặc tả sau: TR33.805 Study on Security Assurance methodology for 3GPP network products và TR33.806 Pilot development of Security Assurance Specification (SCAS) for MME (Mobility Management Entity) network product class. Phương pháp cơ bản để bảo mật miền mạng IPsec. IPsec được đặc tả trong các tiêu chuẩn của RFC 2401-2412. Các cơ chế bảo mật IPsec được sử dụng trong kiến trúc bảo mật 3GPP cho cả bảo mật các mạng dựa trên IP và bảo mật truy nhập IMS. IPsec là phần bắt buộc ở IPv6, và lựa chọn ở IPv4. Các thuộc tính bảo mật của IMS được đặc tả trong 3GPP 33.203 “IMS access security” bắt đầu ở phiên bản 5. Khuyến nghị về các thuộc tính bảo mật IMS nên thực hiện theo các đặc tả kỹ thuật của 3GPP.

Có thể tìm đọc toàn văn Báo cáo kết quả nghiên cứu của Đề tài (Mã số 14583/2017) tại Cục Thông tin Khoa học và Công nghệ Quốc gia.

NASATI