Ngày nay, 5G hướng đến độ trễ thấp hơn, kết nối nhiều thiết bị hơn với mức tiêu thụ năng lượng thấp. Để đạt được các yêu cầu trên, các công nghệ khác nhau đã được áp dụng cho hệ thống 5G như: Mạng không đồng nhất (HetNet); Công nghệ MIMO (multiple-input multiple-output); Công nghệ mmWave; Truyền thông D2D (Device To Device); Mạng SDN; Công nghệ NFV (Network Functions Virtualization) ảo hóa các chức năng mạng. Với các công nghệ mới được sử dụng, mạng 5G đòi hỏi các tính năng và các giải pháp an toàn mới cho các công nghệ này.
Software-Defined Networking (SDN) là công nghệ mạng mới có khả năng phân tách chức năng, ảo hóa mạng và tự động hóa làm cho các mạng trở nên linh hoạt hơn, cho phép các quản trị viên mạng nhanh chóng xử lý các yêu cầu thay đổi thông qua một bộ điều khiển tập trung. Kiến trúc SDN chia làm 3 lớp kết nối thông qua API southbound và northbound: Lớp ứng dụng, Lớp điều khiển và lớp dữ liệu (cơ sở hạ tầng).
Đảm bảo an toàn lớp ứng dụng SDN: Cần thực hiện xác minh nghiêm ngặt các ứng dụng trước khi chúng được cấp quyền truy cập cho các cấu hình mạng. Một số giải pháp cụ thể như:
- Sử dụng hệ thống PermOF, đây là một hệ thống cấp phép chi tiết đặt ranh giới để ứng dụng hoạt động trong các đặc quyền đã xác định của nó. PermOF cung cấp quyền đọc, ghi, thông báo vào hệ thống cho các ứng dụng khác nhau để thực thi kiểm soát quyền.
- Sử dụng bộ điều khiển Rosemary để cung cấp quyền ranh giới hoạt động của ứng dụng giúp cho hệ thống có thể bảo vệ các nền tảng kiểm soát khỏi các ứng dụng độc hại.
- Sử dụng hệ thống FortNOX, đây là một nhân thực thi bảo mật được thực hiện phân quyền dựa trên vai trò cho mỗi ứng dụng OpenFlow. FortNox thực thi quy tắc luồng dựa trên luật với các yêu cầu chèn quy tắc luồng từ ứng dụng OpenFlow với ba cấp độ truy cập.
Đảm bảo an toàn lớp điểu khiển SDN: Lớp điều khiển hoạt động như bộ não của SDN quản lý các chính sách và luồng lưu lượng trên toàn mạng. Do vai trò quan trọng của lớp điều khiển, có nhiều đề xuất và phương pháp tiếp cận để tăng cường an ninh. Cụ thể như đối với Bộ điều khiển SDN gốc Floodlight sử dụng giao thức OpenFlow cần bổ sung nâng cấp thêm tính năng bảo mật SE-Floodlight (Security Enhanced Floodlight).
Tính năng này cung cấp cơ chế phân tách đặc quyền bằng cách thêm một API north-bound có thể lập trình an toàn vào bộ điều khiển SDN. Nó hoạt động như một trung gian giữa ứng dụng và các mặt phẳng dữ liệu bằng cách xác minh các quy tắc luồng do các ứng dụng tạo ra. Cũng như lớp ứng dụng SDN, việc sử dụng một giải pháp mạnh mẽ như Bộ điều khiển Rosemary cũng giúp bảo vệ hệ thống khỏi các ứng dụng độc hại ở lớp điều khiển SDN. Bên cạnh đó, còn có thể áp dụng Hệ thống Avant-Guard sử dụng công cụ di chuyển kết nối để giới hạn các yêu cầu luồng (phiên TCP không thành công) đến lớp điều khiển nhằm giảm thiểu các vấn đề về khả năng mở rộng của control plane và cải thiện khả năng phục hồi chống lại các cuộc tấn công DoS.
Hình 1. Ba lớp kết nối trong kiến trúc SDN
Đảm bảo an toàn Lớp dữ liệu SDN: Lớp này được tạo thành từ các thiết bị vật lý trong mạng nên việc cấu hình lớp dữ liệu có thể bị thay đổi bởi các ứng dụng, nên phải giữ an toàn cho nó khỏi các ứng dụng trái phép. Do đó, các cơ chế đảm bảo an toàn xác thực và ủy quyền được áp dụng cho các ứng dụng như: FortNox cung cấp cơ chế trong bộ điều khiển để kiểm tra các mâu thuẫn trong quy tắc luồng được tạo ra bởi các ứng dụng; FlowChecker kiểm tra và xác định sự mâu thuẫn trong quy tắc luồng trong OpenFlow, phát hiện các cấu hình chuyển mạch sai.
Ảo hóa chức năng mạng NFV có thể làm tăng số lượng người dùng, nâng cao dịch vụ và an toàn mạng. Phương án đảm bảo an toàn đầu tiên là sử dụng phương pháp cắt để phân tách lưu lượng của các dịch vụ hoặc các phân đoạn mạng dựa trên các bảo mật ưu tiên. Phương án thứ hai là các triển khai các các chức năng mạng ảo (Virtual network functions - VNF) để tăng khả năng mở rộng và tính sẵn sàng của hệ thống nhằm giải quyết các cuộc tấn công DoS/DDoS. Việc chia nhỏ mạng cho các dịch vụ khác nhau được coi là thế mạnh của 5G so với các mạng thế hệ trước. Dưới đây là giải pháp đảm bảo an toàn cho các thành phần trong công nghệ NFV.
Giải pháp cho Hệ thống ảo: So với hệ thống vật lý, hệ thống ảo khó giám sát hơn nhưng cũng có những ưu điểm riêng về mặt an toàn. Hệ thống ảo có thể dễ dàng di chuyển hoặc sao chép để giảm thiểu tác động của các cuộc tấn công. Chính vì vậy, cần đưa ra một quy định quản lý thực thi chính sách an toàn trong môi trường VNF và xây dựng hệ thống phần mềm cho NFV để người sử dụng đưa ra chính xác các đánh giá và thực thi yêu cầu mà không cần xử lý các cấu hình an toàn mạng phức tạp.
Giải pháp cho phần mềm giám sát máy ảo: Do vai trò trung tâm trong việc quản lý, truy cập và phân bổ các tài nguyên máy ảo của phần mềm giám sát (hypervisor), lựa chọn cơ bản để tăng cường tính an toàn của nó chính là hạn chế tiếp xúc máy ảo và các hệ thống khác. OpenVirteX đã đưa ra một nền tảng ảo hóa mạng cung cấp cho khách hàng SDN ảo. Nền tảng này hoạt động tương tự như triển khai OpenFlow SDN, hypervisor hoạt động giống như bộ điều khiển trong OpenFlow, trong đó người dùng có các control và data plane riêng của họ. Giải pháp này khiến bộ điều khiển SDN có khả năng bao quát các hoạt động của hypervisor và có thể dễ dàng theo dõi các lỗ hổng bảo mật.
Công nghệ điện toán đám mây trong mạng di động 5G chiếm vai trò trọng tâm trong các tổ chức nghiên cứu làm việc về 5G và các ngành công nghiệp công nghệ liên quan. Với các công nghệ cung cấp dịch vụ và tài nguyên giúp chia sẻ dữ liệu trong thời gian thực giữa các thiết bị và lưu trữ ảo trên đám mây. Dưới đây là những giải pháp đảm bảo an toàn cho các thành phần trong công nghệ Cloud.
Đảm bảo an toàn cho ảo hóa: Các mối đe dọa bảo mật liên quan đến ảo hóa chủ yếu nằm trên các phần của máy ảo. Điều quan trọng là trong việc đảm bảo an toàn cho các nền tảng ảo hóa là phải mở rộng tất cả các biện pháp đảm bảo an toàn trên hệ điều hành của máy vật lý sang hệ điều hành của máy ảo, chỉ khi đó hiệu quả của chiến lược an toàn mới được đảm bảo. Vì vậy, cần xây dựng hệ thống giám sát an toàn để kiểm soát luồng thông tin và giao tiếp giữa các máy ảo trên các máy khác nhau, cũng như cần triển khai proxy tường lửa để giảm thiểu tấn công DoS trong các hệ thống ảo hóa.
Phòng tránh tấn công xâm nhập đám mây: Có thể giảm thiểu sự xâm nhập đám mây bằng cách xây dựng các IDS hoạt động kết hợp với các cơ chế kiểm soát khác trong môi trường điện toán đám mây. Thiết kế các hệ thống IDS để liên tục giám sát các hoạt động trong môi trường đám mây và sẽ xác định bất kỳ hình thức hoạt động độc hại nào vi phạm chính sách. Xây dựng các ứng dụng đám mây có khả năng xác định và bỏ qua các yêu cầu xâm nhập bất hợp pháp.
Phòng tránh Tấn công nội bộ: Nhà cung cấp dịch vụ có quyền truy cập vào các máy chủ vật lý mà dữ liệu người dùng được lưu trữ. Tuy nhiên nội bộ nhà cung cấp có thể mắc lỗi khiến thông tin của người dùng bị sử dụng sai mục địch. Do đó việc thực hiện kiểm tra thường xuyên và theo định kỳ cùng với việc đánh dấu thời gian và chữ ký số trên dữ liệu đám mây, có thể giúp giảm thiểu khả năng lạm dụng và sử dụng bất chính dữ liệu đám mây.
Công nghệ MIMO là trang bị cho trạm gốc một số lượng lớn các ăng ten có thể phục vụ cho số lượng lớn các thiết bị đầu cuối của người dùng với cùng một dải tần. Đi kèm với số lượng thiết bị khổng lồ, MIMO rất dễ bị khai thác tấn công nghe trộm: Nghe trộm thụ động và nghe trộm chủ động. Có 2 giải pháp chính để phát hiện kẻ nghe trộm đang hoạt động:
Giải pháp thứ nhất là, khai thác tính ngẫu nhiên có kiểm soát bằng cách truyền các tín hiệu ước tính kênh truyền ngẫu nhiên để phát hiện những kẻ nghe trộm đang hoạt động. Người dùng hợp pháp truyền một chuỗi ký hiệu ngẫu nhiên của khóa dịch chuyển pha ngẫu nhiên cho phép trạm gốc phát hiện kẻ nghe trộm. Hạn chế của phương pháp này là nó phải chịu chi phí truyền các chuỗi ngẫu nhiên bổ sung.
Giải pháp thứ hai là, xây dựng các bộ định dạng, điều hướng sóng sao cho những người dùng hợp pháp nhận được tương đương với giá trị đã thoả thuận. Các trạm cơ sở hợp tác có thể phát hiện ra các hoạt động nghe trộm. Các phương pháp học máy cũng có thể được áp dụng để phát hiện các cuộc tấn công nghe trộm đang hoạt động.
Trong quá trình phát triển mạng 5G, để đáp ứng yêu cầu và dịch vụ mạng, 5G sử dụng các công nghệ mới như các khái niệm điện toán đám mây tiên tiến MEC, SDN, NFV, MIMO massive... Sự đa dạng của công nghệ mạng mới làm tăng cảnh quan về mối đe dọa an ninh, và do đó phải tìm kiếm các giải pháp, đảm bảo an toàn mới để kết nối hiệu quả và an toàn. Trên đây là một số giải pháp, nghiên cứu đảm bảo an toàn công nghệ mạng để cải thiện an toàn mạng 5G và làm cơ sở để tiếp tục các nghiên cứu trong tương lai.
TÀI LIỆU THAM KHẢO 1. 3GPP TS 23.502 - Procedures for the 5G System (Release 16) July 2020 2. Ijaz Ahmad, Shahriar Shahabuddin, Tanesh Kumar, sJude Okwuibe, Andrei Gurtov, Mika Ylianttila “Security for 5G and Beyond”, IEEE Communications Surveys & Tutorials Vol. 21, 2019. 3. IEEE Journal on Selected Areas in Communications Vol. 36, 2018. 4. IEEE Communications Surveys & Tutorials Vol. 19, 2017. 5. IEEE Communications Letters, vol. 21, 2017. 6. Muhammad Arif, Ari Pouttu, Ijaz Ahmad, Olli Liinamaa, Mika Ylianttila, “On the Demonstration and Evaluation of ServiceBased Slices in 5G Test Network using NFV,” in workshop on Future Networking Workshop for 5G and Beyond Testbed and Trials, 2019 IEEE WCNC. IEEE, 2019. |
TS. Đỗ Cao Khánh, Học viện Kỹ thuật mật mã
08:00 | 25/12/2020
15:00 | 30/06/2023
08:00 | 08/09/2022
08:00 | 19/08/2020
07:00 | 12/05/2022
09:00 | 25/03/2019
10:00 | 15/09/2023
10:00 | 10/07/2023
08:00 | 26/09/2024
Mới đây, Discord đã giới thiệu giao thức DAVE (Discord Audio and Video End-to-End Encryption), một giao thức mã hóa đầu cuối tùy chỉnh (E2EE) được thiết kế để bảo mật các cuộc gọi âm thanh và video trên nền tảng này trước các nguy cơ nghe lén và ngăn chặn trái phép từ tác nhân bên ngoài.
14:00 | 31/05/2024
Song hành cùng với sự phát triển của công nghệ thông tin thì việc phòng, chống tội phạm cũng đã có những bước tiến mạnh mẽ về công nghệ. Đồng thời cũng tồn tại nhiều bài toán khó và một trong số đó là việc nhận diện nhanh chóng tội phạm, đối tượng tình nghi ở những địa điểm công cộng như bến xe, bến tàu, nhà ga, sân bay,… Giải quyết được bài toán này càng sớm càng tốt sẽ mang lại rất nhiều ý nghĩa trong công tác phòng, chống tội phạm. Bài báo sẽ giới thiệu một giải pháp nhận dạng mặt người dựa trên giải thuật Adaboost và các đặc trưng Haar-like qua đó giúp quá trình phát hiện tội phạm chính xác và nhanh chóng hơn.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
10:00 | 30/12/2024