Liên lạc D2D có nhiều thuận lợi trong mạng di động. Đầu tiên, nó có thể mở rộng phủ sóng với mỗi thiết bị trong mạng di động như là một cầu nối để truyền dữ liệu tới nút cục bộ bên ngoài của thiết bị phủ sóng. Thứ hai, liên lạc D2D giúp giảm thiểu năng lượng tiêu thụ của trạm cơ sở bằng việc truyền dữ liệu trực tiếp giữa các thiết bị. Cuối cùng, hiệu quả của việc khôi phục tần số tương ứng được tăng cường [1]. Trong liên lạc D2D, khoảng cách giữa các thiết bị ngắn hơn khoảng cách giữa các thiết bị và trạm cơ sở. Điều này có nghĩa là sự can thiệp của tần số vô tuyến giảm trong trường hợp liên lạc D2D, nó giúp truyền đa dữ liệu sử dụng cùng một tần số vô tuyến. Hơn nữa, liên lạc D2D là công nghệ liên lạc lõi của V2X [2]. Do những ưu điểm này, mạng 5G cũng bao gồm công nghệ liên lạc D2D như mạng 4G/LTE.
Tuy nhiên, kiểu liên lạc D2D trong thiết bị di động có một số thách thức an ninh [1]. Cơ chế liên lạc D2D bao gồm 3 thủ tục, dò tìm thiết bị, thiết lập kết nối và truyền dữ liệu. Trong quá trình này, không có quá trình xác thực danh tính thiết bị. Khi thiết bị gửi yêu cầu thiết lập kết nối để truyền dữ liệu, nút khác trả lời bằng việc gửi thông báo xác nhận. Hơn nữa, liên lạc D2D không sử dụng việc mã hóa để xác thực và bảo mật thông báo cho tính toàn vẹn trong quá trình liên lạc. Điều này có nghĩa là kẻ tấn công có thể điều hành các cuộc tấn công như ẩn danh, nghe lén, lộ lọt tính riêng tư, các cuộc tấn công tự do và lộ lọt vị trí. Bên cạnh đó, công nghệ IoT kết hợp với mạng 5G để giải quyết nhu cầu dịch vụ, và nó đáp ứng truyền thông máy số lượng lớn mMTC (massive Machine Type Communications) và truyền thông thời gian trễ thấp và độ tin cậy cực cao URLLC (Ultra-Reliable And Low-Latency Communications), là các trường hợp sử dụng trong mạng 5G [4]. Tuy nhiên, ứng dụng IoT với nhiều dữ liệu nhạy cảm và các thiết bị IoT có nguồn tài nguyên hạn chế trong nhóm hiệu suất, bộ nhớ và năng lượng tiêu thụ. Các tính năng của IoT làm cho các thách thức bảo mật nói trên trở nên quan trọng hơn và khó giải quyết hơn, vì các giải pháp an ninh điển hình không thể thực thi hoặc xử lý đúng cách. Để vượt qua các thách thức an ninh của liên lạc D2D trong mạng 5G IoT, chúng ta cần một hệ thống liên lạc D2D an toàn chứa quy trình xác thực phù hợp giữa các thiết bị. Hơn nữa, xét về nguồn lực hạn chế tài nguyên, thì mật mã hạng nhẹ là giải pháp phù hợp. Mã hóa AEAD [5] có thể cung cấp không chỉ bảo mật dữ liệu mà còn cung cấp tính toàn vẹn dữ liệu và xác thực bằng việc sử dụng mã xác thực MAC với dữ liệu liên kết trong quá trình xử lý mã hóa. Các thuật toán mã hóa hạng nhẹ giúp thực thi để bảo mật liên lạc D2D và có thể sử dụng hiệu quả liên lạc.
Trong nội dung này tác giả sẽ phân tích cơ chế bảo mật liên lạc D2D cho mạng 5G IoT dựa vào mật mã hạng nhẹ AEAD (Hình 1). Các thành phần trong liên lạc D2D bao gồm các thành phần của mạng 5G: thiết bị người dùng UE, nút trung gian gNB, chức năng truy cập và quản lý di động (AMF/ SEAF) và quản lý dữ liệu người dùng (UDM). UE là thiết bị di động trong mạng 5G và là thiết bị thực tế để liên lạc trực tiếp với các thiết bị khác trong hệ thống, trong khi gNB là trạm cơ sở đáp ứng kết nối UE tới mạng di động.
Trong mô hình hệ thống (Hình 1), gNB chia sẻ khóa công khai của họ với các gNB khác thuận lợi và sử dụng khóa riêng của họ để sinh token D2D (D2DTKgNBx) thông qua ECDSA. Nó tương ứng với bước thứ 0 trong hệ thống D2D, quá trình này thực hiện với mỗi UE. Sau khi sinh token D2D, quy trình liên lạc D2D có 3 bước: dò tìm thiết bị, thiết lập kết nối và bảo mật dữ liệu truyền.
Hình 1. Mô hình hệ thống bảo mật liên lạc D2D đối với mạng 5G IoT
Bước 0: Đầu tiên, mỗi UE gửi yêu cầu sinh token D2D tới gNB, yêu cầu này chứa định danh ẩn SUCI của người dùng. Khi gNB nhận được yêu cầu sinh token D2D, gNB tiến hành kiểm tra định danh ẩn SUCI của UE (Hình 2) bằng việc sử dụng 5G-AKA[4]. Chủ thể thực thi kiểm tra là AMF/SEAF, bằng việc so sánh SUCI được gửi bởi người dùng và SUCI được lưu trong UDM. Khi kiểm tra SUCI hoàn thành, kết quả truyền tới gNB, lúc này gNB sinh thẻ D2D và truyền nó tới UE yêu cầu. Việc sinh token D2D sử dụng ECDSA để ký thông báo chứa giá trị SUCI bằng khóa riêng của gNB (PRK) với việc sử dụng ECDSA giúp rút ngắn thời gian tính toán và giảm dung lượng lưu trữ khóa so với việc sử dụng thuật toán RSA [3]. Token D2D có thể cũng đưa ra giả mạo tới UE với giá trị được sinh thông qua thuật toán mật mã bằng việc sử dụng định danh UE giống như SUCI. Token D2D được phát hành có thể kiểm tra nếu SUCI của UE và khóa công khai của gNB đã biết.
Hình 2. Sinh token D2D
Sau khi sinh token xong, gNB sẽ gửi token này tới các UE tương ứng để chuẩn bị cho quá trình liên lạc D2D gồm 3 bước tiếp theo được mô tả trong Hình 3.
Bước 1: Dò tìm thiết bị, là quá trình dò tìm các thiết bị ở gần để thực thi liên lạc D2D. Do đó, mỗi UE muốn phát một thông báo yêu cầu thực hiện liên lạc D2D và các UE trong trạng thái có khả năng giao tiếp D2D truyền thông điệp phản hồi tới thông báo yêu cầu nhận D2D. Tại đây, tin nhắn quảng bá hoặc thông báo phản hồi bao gồm thẻ D2D được phát hành trong bước 0 và SUCI của nó. Nếu nhận được thông báo phản hồi cho thông báo yêu cầu phát hành đã phát, quá trình chuyển sang bước tiếp theo.
Bước 2: Thiết lập kết nối để thiết lập phiên liên lạc giữa các thiết bị. Trong bước này, đầu tiên là kiểm tra token D2D giữa hai thiết bị. Việc kiểm tra token D2D ở đây tương tự với kiểm tra định danh thực thi trong quá trình sinh token D2D, nhưng việc xác thực này chỉ cần thực thi trong gNB mà không cần kết nối với mạng lõi. Token D2D có thể kiểm tra sử dụng khóa công khai của gNB để giải mã thông báo chứa SUCI cụ thể:
D2DTKgNBx = ECDSA(SUCI, PUKgNBx), (bước 2.2 trong Hình 3).
Khi kiểm tra token D2D được hoàn tất, khóa bí mật được trao đổi sử dụng thuật toán ECDH để dẫn xuất từ các khóa bí mật của hai UE (Bước 2.3 Hình 3). Do đó, ngay khi kẻ tấn công khai thác được dữ liệu truyền trong quá trình trao đổi khóa, khóa bí mật cũng không được dẫn xuất. Khóa bí mật này sử dụng để mã hóa/giải mã dữ liệu giữa hai UE mà không qua mạng lõi ở bước thứ 3 trong mô hình D2D (Hình 3).
Hình 3. Toàn bộ quá trình liên lạc mật D2D
Bước 3: Bảo mật dữ liệu truyền là bước cuối cùng của liên lạc D2D, thực thi liên lạc mã hóa dữ liệu hạng nhẹ AEAD và tạo MAC để xác thực tính toàn vẹn dữ liệu. Hơn nữa, AEAD sử dụng thêm thông tin về phiên và các bên liên lạc, gọi là dữ liệu liên kết AD, do đó mã hóa AEAD cung cấp tính xác thực, nghĩa là thông báo được truyền từ đúng các bên ở thời điểm kết nối. Trong hệ thống mật liên lạc D2D, AD bao gồm token D2D và chuỗi ngữ cảnh thông tin và thứ tự quản lý thông tin mỗi lần truyền (Hình 4).
Hình 4. Định dạng dữ liệu khi truyền dữ liệu
Khi nhận được văn bản mã hóa bằng cách sử dụng AD định dạng như mô tả (Hình 4), UE có thể kiểm tra xem UE khác có thực hiện liên lạc D2D đã nhận được dữ liệu bảo mật (Hình 3).
Trong [3], Byoungjin Seok cùng cộng sự tiến hành thử nghiệm, đánh giá hiệu quả của liên lạc D2D và mô phỏng năng lượng tiêu thụ thông qua các thuật toán mã AEAD gồm: Mã hóa AEAD (AES-GCM) và bốn mã hóa hạng nhẹ AEAD (ASCON, Spook, GIFT[1]COFB và SpoC).
Kết quả chỉ ra rằng thời gian xử lý của hệ thống liên lạc mật sử dụng 3 thuật toán mã hóa hạng nhẹ AEAD (ASCON, Spook và GIFT-COFB) là nhanh hơn AES-GCM (Optimized) (Hình 5). Cụ thể, GIFT-COFB cho thấy hiệu suất nhanh hơn khoảng 18.71% so với AES-GCM khi cùng truyền dữ liệu 10KB.
Hình 5. Thời gian xử lý của hệ thống liên lạc D2D
Bảng 1. Kết quả thực thi của các thuật toán mã hóa AEAD
Tuy nhiên, vì mạng 5G IoT có tài nguyên hạn chế, hiệu suất tốt của thuật toán mật mã có thể không phủ sóng tất cả các thiết bị 5G IoT. Điều này có nghĩa là thuật toán mật mã có thể thực thi nhẹ và phải giả định rằng năng lượng tiêu thụ nhỏ. Trong tài liệu [6] chỉ ra kết quả thực thi phần cứng của mã khối AEAD. Mặc dù thuật toán Spook nhanh hơn thuật toán AES-GCM (Optimized) nhưng thuật toán Spook có chi phí thực thi cao nhất, như trong Bảng 1.
Hình 6 chỉ ra năng lượng tiêu thụ theo lượng dữ liệu dựa trên hiệu quả năng lượng trong Bảng 1. Về mức tiêu thụ năng lượng, GIFT-COFB và ASCON tiêu thụ năng lượng ít hơn AES-GCM, nhưng SpoC và Spook tiêu thụ năng lượng nhiều hơn AES-GCM. Xem xét thuật toán GIFT-COFB và ASCON thấy rằng hai thuật toán này có hiệu suất tốt hơn AES-GCM trong mô phỏng năng lượng tiêu thụ (Hình 6). Do đó, GIFT-COFB hoặc ASCON có thể là thuật toán mã hóa hạng nhẹ áp dụng cho bảo mật dữ liệu trong liên lạc D2D, vì hiệu quả, thời gian xử lý và năng lượng tiêu thụ của hai thuật toán này theo phân tích ở trên là phù hợp với môi trường có tài nguyên hạn chế trong liên lạc D2D 5G IoT.
Hình 6. Năng lượng tiêu thụ của các thuật toán AEAD
KẾT LUẬN
Bài báo đã phân tích mô hình bảo mật liên lạc D2D cho mạng 5G IoT. Mô hình bảo mật gồm các bước như sinh token, dò tìm thiết bị, thiết lập kết nối và bảo mật dữ liệu D2D với thiết kế dựa vào hệ mật khóa công khai ECC và mã hóa hạng nhẹ AEAD. Đồng thời, bài báo đi tổng hợp kết quả thực thi một số thuật toán mã AEAD. Từ đó, đưa ra khuyến nghị đề xuất có thể sử dụng thuật toán GIFT-COFB và ASCON để đảm bảo liên lạc mật D2D cho 5G IoT.
|
TÀI LIỆU THAM KHẢO [1]. Tehrani, M.N.; Uysal, M.; Yanikomeroglu, H. Device-to[1]device communication in 5G cellular networks:Challenges, solutions, and future directions. IEEE Commun. Mag. 2014, 52, 86–92. [2]. Chen, S.; Hu, J.; Shi, Y.; Peng, Y.; Fang, J.; Zhao, R.; Zhao, L. Vehicle-to-everything (V2X) services supported by LTE[1]based systems and 5G. IEEE Commun. Stand. Mag. 2017, 1, 70–76. [3]. Byoungjin Seok, Jose Costa Sapalo Sicato, Tcydenova Erzhena, Canshou Xuan, Yi Pan, Jong Hyuk Park, Secure D2D Communication for 5G IoT Network Based on Lightweight Cryptograph, Applied Scieces. 2020, 10, 217; doi:10.3390/app10010217. [4]. Security Architecture and Procedures for 5G System, document 3GPP, TS 33.501. Accessed: Jan. 26, 2019. [Online]. Available: http://www.3gpp.org/DynaReport/33501.htmnetworks,‘‘IEEE Access,vol.7,pp.64040–64052,2019. [5]. NIST Computer Security Resource Center. Lightweight Cryptography Project. Available online: https://csrc.nist.gov/projects/lightweight-cryptography, 8 December 2019. [6]. Tschofenig, H.; Pegourie-Gonnard, M.; Unit, I.B. Performance of State-of-the-Art Cryptography on ARM[1]based Microprocessors. In Proceedings of the NIST Lightweight Cryptography Workshop 2015 Session VII: Implementations & Performance, Gaithersburg, MD, USA, 20–21 July 2015. |
Trần Thị Ngà (Học viện Kỹ thuật mật mã)
13:00 | 05/09/2022
07:00 | 12/06/2023
08:00 | 06/11/2023
08:00 | 10/07/2023
08:00 | 25/12/2020
10:00 | 10/07/2023
10:00 | 10/07/2023
14:00 | 14/07/2023
13:00 | 20/11/2023
07:00 | 12/05/2022
09:00 | 13/10/2023
13:00 | 30/05/2023
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
11:00 | 27/01/2023
Nhà máy thông minh hay sản xuất thông minh là sự phát triển vượt bậc từ một hệ thống sản xuất truyền thống sang một hệ thống sản xuất thông minh dựa trên dữ liệu có thể kết nối và xử lý liên tục, được thu thập từ các máy móc thiết bị sản xuất, đến các quy trình sản xuất và kinh doanh. Việc kết nối với điện toán đám mây và môi trường Internet mang lại nhiều lợi thế cho hệ thống, tuy nhiên nó cũng dẫn đến nguy cơ bị tấn công mạng. Các cuộc tấn công mạng vào các hệ thống sản xuất công nghiệp có thể làm tê liệt dây chuyền vận hành và từ chối hoạt động truy cập vào dữ liệu quan trọng. Do đó, cần thiết lập các biện pháp bảo mật mạnh mẽ để phát hiện và bảo vệ trước các mối đe dọa an ninh từ các cuộc tấn công độc hại vào hạ tầng mạng và các thiết bị công nghiệp đối với sự phát triển của mô hình nhà máy thông minh.
12:00 | 23/09/2022
Gmail là dịch vụ thư điện tử phổ biến hiện nay với hàng triệu người sử dụng, do vậy việc đảm bảo an toàn thông tin cho người dùng được Google rất chú trọng phát triển với nhiều tính năng hỗ trợ. Trong đó, Confidential Mode hay được gọi là Chế độ bảo mật là một tính năng hữu ích trong việc thiết lập các tùy chọn email gửi đi. Tính năng này tập trung vào quyền riêng tư, cho phép người dùng đặt ngày hết hạn và mật mã cho thư điện tử.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
18:00 | 22/09/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
