Translated from English to Vietnamese - www.onlinedoctranslator.

com

311

Bảo vệ
Peter Schneider

Nokia, München, Đức

7.1 Trình điều khiển, Yêu cầu và Tầm nhìn Bảo mật Cấp cao

7.1.1 Trình điều khiển bảo mật 5G

Có sự đồng thuận rộng rãi rằng mạng Thế hệ thứ năm (5G) phải an toàn, theo nghĩa là nó bảo
vệ quyền riêng tư của người dùng cũng như tính bảo mật và tính toàn vẹn của lưu lượng mà nó
truyền tải, nhưng cũng theo nghĩa là nó được bảo vệ chống lại bất kỳ hình thức nào. của cuộc
tấn công mạng có thể ảnh hưởng đến tính khả dụng và tính toàn vẹn của mạng hoặc tính bảo
mật của dữ liệu mà mạng lưu trữ. Chương này phác thảo các yêu cầu và động lực bảo mật 5G,
đồng thời trình bày tầm nhìn cũng như kiến trúc bảo mật 5G, được xây dựng trên tài liệu từ
[1]. Nó đưa ra mô tả về các tính năng bảo mật 5G được chỉ định bởi Dự án Đối tác Thế hệ Thứ ba
(3GPP) cho Hệ thống 5G, tập trung vào việc thể hiện sự khác biệt với Hệ thống Gói Tiến hóa
(EPS). Cuối cùng, nó cung cấp cái nhìn sâu hơn về các vấn đề bảo mật hiện không được 3GPP
tập trung nhiều nhưng lại rất phù hợp với mạng 5G: Mạng được xác định bằng phần mềm an
toàn (SDN), xây dựng trên tài liệu từ [29] và Ảo hóa chức năng mạng an toàn (NFV).

Vốn dĩ, giao tiếp không dây dễ bị tổn thương và cần được bảo vệ cụ thể khỏi bị chặn và
giả mạo. Do đó, kể từ thế hệ mạng di động thứ hai, Hệ thống truyền thông di động toàn
cầu (GSM), mã hóa được sử dụng trên giao diện vô tuyến để bảo mật thông tin liên lạc của
người dùng. Trong hai thế hệ mạng di động tiếp theo, Hệ thống Viễn thông Di động Toàn
cầu (UMTS) và Tiến hóa Dài hạn (LTE), kiến trúc bảo mật đã được tăng cường đáng kể.
Bên cạnh việc mã hóa lưu lượng người dùng, UMTS và LTE còn cung cấp khả năng xác
thực lẫn nhau giữa thiết bị đầu cuối di động và mạng, cũng như bảo vệ tính toàn vẹn và
mã hóa cho lưu lượng điều khiển. Thực tế phổ biến trong các mạng di động hiện đại là
bảo mật liên lạc quản lý mạng giữa thành phần mạng và hệ thống quản lý, sử dụng các
giao thức như Secure Shell (SSH) [27] hoặc Transport Layer Security (TLS) [13]. Các tính
năng bảo mật của UMTS và LTE không chỉ đảm bảo mức độ bảo mật và quyền riêng tư cao
cho người đăng ký mà quan trọng hơn là còn giúp các mạng như vậy trở nên mạnh mẽ
trước các hình thức tấn công khác nhau chống lại tính toàn vẹn và tính sẵn có của các dịch
vụ mà chúng cung cấp.

Được chỉ định cách đây gần 10 năm, các khái niệm bảo mật EPS không bộc lộ bất kỳ sai
sót lớn nào, dẫn đến câu hỏi tại sao các khái niệm bảo mật mới có thể lại cần thiết cho

5G cho thế giới kết nối,Ấn bản đầu tiên.

Biên tập bởi Devaki Chandramouli, Rainer Liebhart và Juho Pirskanen. © 2019
John Wiley & Sons Ltd. Được xuất bản năm 2019 bởi John Wiley & Sons Ltd.
3125G cho thế giới kết nối

thế hệ mạng di động tiếp theo. Như một câu trả lời ngắn gọn, một mặt, chính sự hỗ
trợ của nhiều trường hợp sử dụng mới và mặt khác việc áp dụng các mô hình mạng
mới khiến cần phải xem xét lại một số yếu tố của phương pháp bảo mật hiện tại.

Trong khi EPS được thiết kế chủ yếu để hỗ trợ trường hợp sử dụng băng thông rộng di động (tức là
truy cập Internet băng thông rộng), 5G nhắm đến nhiều trường hợp sử dụng bổ sung với nhiều yêu
cầu cụ thể. Một số trường hợp sử dụng, chẳng hạn như giao thông xe cộ hoặc điều khiển nhà máy,
đặt ra yêu cầu cao nhất về độ tin cậy của mạng. Mạng sống của con người có thể phụ thuộc vào tính
sẵn có và tính toàn vẹn của dịch vụ mạng được các ứng dụng đó sử dụng.
Để hỗ trợ từng trường hợp sử dụng một cách tối ưu, các khái niệm bảo mật sẽ cần phải linh
hoạt hơn. Ví dụ: các cơ chế bảo mật được sử dụng cho độ trễ cực thấp, các ứng dụng quan
trọng có thể không phù hợp khi triển khai Internet of Things (IoT) quy mô lớn, nơi thiết bị di
động là những cảm biến rẻ tiền, có ngân sách năng lượng rất hạn chế và chỉ thỉnh thoảng
truyền dữ liệu.
Để hỗ trợ hiệu quả các mức hiệu suất và tính linh hoạt mới cần thiết cho mạng 5G, cần phải
hiểu rằng các mô hình mạng mới phải được áp dụng, chẳng hạn như SDN và NFV. Đồng thời,
những kỹ thuật mới này cũng mang đến những mối đe dọa mới. Ví dụ: khi áp dụng NFV, tính
toàn vẹn của các chức năng mạng ảo (VNF) và tính bảo mật của dữ liệu của chúng có thể phụ
thuộc phần lớn vào các thuộc tính cách ly của trình ảo hóa hoặc nói chung hơn là vào tính toàn
vẹn và chính xác của toàn bộ phần mềm đám mây cây rơm. Trước đây, các lỗ hổng trong các
thành phần phần mềm như vậy đã xuất hiện khá thường xuyên. Trên thực tế, việc cung cấp một
môi trường NFV an toàn, hoàn toàn đáng tin cậy vẫn là một thách thức lớn. Về phần mình, SDN
mang đến mối đe dọa rằng các ứng dụng điều khiển có thể tàn phá trên quy mô lớn bằng cách
tương tác sai hoặc có ác ý với bộ điều khiển mạng trung tâm.

Một động lực khác cho bảo mật 5G là hệ sinh thái đang thay đổi. Các mạng hiện tại bị chi phối
bởi các triển khai nguyên khối lớn, mỗi triển khai được kiểm soát bởi một nhà khai thác mạng
duy nhất sở hữu cơ sở hạ tầng mạng đồng thời cung cấp tất cả các dịch vụ mạng. Ngược lại,
mạng 5G có thể có nhiều bên liên quan chuyên biệt cung cấp dịch vụ mạng cho người dùng
cuối, như minh họa trong Hình 7.1.

Thẳng đứng Thẳng đứng Thẳng đứng

Người dùng cuối Nhà cung cấp dịch vụ viễn thông

Người dùng cuối

Nhà cung cấp IaaS/PaaS

Người dùng cuối

Người dùng cuối Nhà cung cấp cơ sở hạ tầng RAN Nhà cung cấp cơ sở hạ tầng đám mây

Nhà cung cấp mạng lưới vận tải

Hình 7.1Các bên liên quan cung cấp dịch vụ 5G

 Bảo vệ313

Có thể có các nhà cung cấp cơ sở hạ tầng chuyên dụng (InP) được tách riêng khỏi các nhà cung cấp dịch vụ
viễn thông lưu trữ một số nhà cung cấp dịch vụ với tư cách là đối tượng thuê trên cơ sở hạ tầng dùng chung.
Ngược lại, các nhà cung cấp dịch vụ Telco không chỉ có thể cung cấp dịch vụ liên lạc cho người dùng cuối mà
còn có thể cung cấp các mạng ảo hoàn chỉnh hoặc các lát mạng chuyên dụng cho các ứng dụng cụ thể, chẳng
hạn như ứng dụng IoT công nghiệp. Các phần mạng này có thể được vận hành bởi các ngành dọc, tức là các
doanh nghiệp không thuộc ngành viễn thông như các doanh nghiệp hậu cần hoặc các công ty sản xuất. Một
công ty sản xuất có thể vận hành một mạng di động ảo chuyên dùng cho các ứng dụng IoT công nghiệp tại
các nhà máy của chính mình. Khía cạnh bảo mật ở đây là việc xây dựng và duy trì các mối quan hệ tin cậy mới
giữa các bên liên quan khác nhau để đảm bảo sự tương tác đáng tin cậy và không gặp sự cố, mang lại dịch vụ
an toàn cho người dùng cuối.

7.1.2 Yêu cầu bảo mật 5G

Khi xác định một khái niệm bảo mật, thông thường một trong những bước đầu tiên là xác định
các yêu cầu bảo mật. Phần này không nhằm mục đích tập hợp một danh sách đầy đủ các yêu
cầu bảo mật mà chỉ nêu bật một số yêu cầu cấp cao và nguồn của chúng.
Nguồn chính của các yêu cầu 5G là Sách trắng 5G của Liên minh Mạng di động thế
hệ tiếp theo (NGMN) [2]. Bài viết này nhấn mạnh rằng trong mạng 5G, “hiệu suất
nâng cao dự kiến sẽ được cung cấp cùng với khả năng kiểm soát một môi trường
rất không đồng nhất và khả năng, cùng với những khả năng khác, đảm bảo an ninh
và tin cậy, danh tính và quyền riêng tư”. Vì vậy, một mặt, các cơ chế bảo mật cần phải
tuân thủ các yêu cầu tổng thể của 5G, bao gồm các quy trình mặt phẳng điều khiển
cực nhanh, độ trễ mặt phẳng người dùng cực thấp và hiệu suất năng lượng cao nhất.
Mặt khác, [2] rõ ràng yêu cầu nhiều cải tiến về bảo mật so với các mạng ngày nay, ví
dụ:
• 'Cải thiện khả năng phục hồi và tính sẵn sàng của mạng trước các mối đe dọa dựa trên tín hiệu';
• 'Cải thiện độ bền của hệ thống trước các cuộc tấn công gây nhiễu thông minh đối với các tín hiệu và kênh vô
tuyến'; Và
• 'Cải thiện tính bảo mật của các nút di động nhỏ 5G.'

Sau đó, Liên minh NGMN đã thúc đẩy một nhóm làm việc về bảo mật 5G đưa ra ba
tài liệu chuyên dụng (được gọi là “gói”) [3] với các khuyến nghị về bảo mật 5G. Chúng
liên quan đến các chủ đề như cải tiến bảo mật tiềm năng của mạng truy cập, bảo vệ
từ chối dịch vụ (DoS), phân chia mạng, điện toán biên di động, độ trễ thấp và trải
nghiệm người dùng nhất quán.
Rõ ràng, các khái niệm bảo mật EPS là điểm khởi đầu cũng như chuẩn mực cho bảo mật 5G,
đối với trường hợp sử dụng băng thông rộng di động sẽ vẫn có tầm quan trọng lớn. 5G rõ ràng
phải có khả năng cung cấp ít nhất mức độ bảo vệ tương tự khi cần thiết như EPS, do đó, các tính
năng bảo mật EPS là cơ sở bảo mật tự nhiên cho mạng 5G. Trên hết, thật bổ ích khi xem lại các
tính năng bảo mật đã được thảo luận nhưng chưa được áp dụng cho EPS. Cuộc thảo luận này
được trình bày trong [5] và bao gồm các tính năng như bảo vệ nhận dạng thuê bao di động
quốc tế (IMSI), bảo vệ tính toàn vẹn của mặt phẳng người dùng hoặc đảm bảo không từ chối
các yêu cầu dịch vụ. Bắt IMSI có nghĩa là lừa điện thoại di động tiết lộ danh tính của người đăng
ký, IMSI, bằng cách thực hiện một cuộc tấn công tích cực liên quan đến việc sử dụng trạm gốc
giả. Chống từ chối các yêu cầu dịch vụ có nghĩa là người dùng không thể từ chối một cách hợp
lý rằng họ đã thực hiện một yêu cầu dịch vụ, vì nguồn gốc yêu cầu có thể được chứng minh,
thường bằng cách sử dụng chữ ký số.
3145G cho thế giới kết nối

Kể từ Phiên bản 15, 3GPP SA1 chỉ định các yêu cầu dịch vụ cho hệ thống 5G trong [6], với
phần dành riêng về bảo mật. Có nhiều yêu cầu bảo mật khác nhau được liệt kê nhằm mở rộng
những gì đã được yêu cầu cho các thế hệ mạng di động trước đây. Ví dụ: hiện nay cần có khả
năng bảo vệ danh tính thuê bao trước các cuộc tấn công đang hoạt động, tức là ngăn chặn việc
bắt IMSI. Hơn nữa, hệ thống 5G yêu cầu phải hỗ trợ khung bảo mật độc lập về quyền truy cập
và bao gồm cơ chế để nhà điều hành ủy quyền cho các thuê bao của các mạng khác nhận dịch
vụ tạm thời (ví dụ: đối với các dịch vụ quan trọng), ngay cả khi không có quyền truy cập vào
mạng gia đình của họ.
Đối với việc xác thực cho Thiết bị người dùng (UE) được đính kèm thông qua Mạng
truy cập vô tuyến mặt đất (E-UTRAN) của Hệ thống viễn thông di động toàn cầu đã
tiến hóa, EPS chỉ hỗ trợ EPS AKA (Thỏa thuận khóa và xác thực EPS). Đối với 5G, yêu
cầu phải hỗ trợ các phương pháp xác thực thay thế với các loại thông tin xác thực
khác nhau, nhắm vào các thiết bị IoT trong các tình huống triển khai biệt lập, ví dụ
như tại các nhà máy của nhà máy. Hơn nữa, mạng được yêu cầu hỗ trợ cơ chế tiết
kiệm tài nguyên để xác thực các nhóm thiết bị IoT.
Tài liệu [6] cũng đề cập đến lĩnh vực cắt mạng và yêu cầu cách ly lát cắt, theo nghĩa
là lưu lượng truy cập cũng như các hoạt động quản lý trong một lát cắt không có tác
động đáng kể đến các lát cắt khác. Trong bối cảnh này, [6] cũng xem xét sự tham gia
của bên thứ ba và yêu cầu mạng hỗ trợ quản lý lát cắt (tạo, sửa đổi, xóa) bởi các bên
thứ ba đó. Hơn nữa, trong mạng 5G riêng tư, việc sử dụng danh tính, thông tin xác
thực và phương thức xác thực do bên thứ ba kiểm soát phải được hỗ trợ.
Như đã đề cập trước đó, khi áp dụng NFV, các mối đe dọa bảo mật mới sẽ phát sinh và
cần được giảm thiểu. Các yêu cầu bảo mật tương ứng có thể được tìm thấy trong các
thông số kỹ thuật do Nhóm Đặc tả Công nghiệp (ISG) NFV của Viện Tiêu chuẩn Viễn thông
Châu Âu (ETSI) cung cấp. Ngay từ năm 2013, [7] đã đưa ra danh sách các yêu cầu bảo mật
nhằm giải quyết các mối đe dọa NFV mới. Trong số những thứ khác, danh sách này đề cập
đến các biện pháp bảo vệ chống lại các lỗ hổng bảo mật trong lớp ảo hóa, bảo vệ dữ liệu
được lưu trữ trên bộ lưu trữ dùng chung hoặc được truyền qua tài nguyên mạng dùng
chung, bảo vệ các giao diện mới được hiển thị bằng cách áp dụng kiến trúc ETSI NFV, bao
gồm các thành phần quản lý và điều phối, và các cơ chế cách ly các nhóm VNF khác nhau
chạy trên cùng cơ sở hạ tầng NFV.
Sau đó, các thông số kỹ thuật của nhóm bảo mật của ETSI NFV được trình bày chi tiết
hơn về các mối đe dọa và các yêu cầu bảo mật tương ứng. Ví dụ: [8] liệt kê “các lĩnh vực
quan tâm tiềm năng”, bao gồm xác nhận và thực thi cấu trúc liên kết (của biểu đồ bao
gồm các NFV và các kết nối của chúng), khởi động an toàn của nền tảng NFV, AAA (Xác
thực, Ủy quyền và Kế toán ) cơ chế dành cho người dùng NFV (người thuê), khóa riêng
trong hình ảnh VNF nhân bản hoặc cửa hậu thông qua chức năng giám sát và kiểm tra ảo
hóa. Một đặc điểm kỹ thuật khác, [9], cung cấp “hướng dẫn về bảo mật và tin cậy” và liệt
kê các mục tiêu tin cậy và bảo mật NFV cấp cao.
Một danh sách rất đầy đủ các yêu cầu bảo mật được đưa ra bởi [10], chỉ rõ những
gì cần thiết để cho phép thực thi an toàn các thành phần VNF nhạy cảm trong môi
trường NFV. Yêu cầu cơ bản là việc triển khai Root of Trust dựa trên phần cứng
(HBRT) chống giả mạo, chống giả mạo, giống như Mô-đun nền tảng đáng tin cậy
(TPM), xem [11]. HBRT nhằm hỗ trợ khởi động an toàn cũng như quản lý khóa mật
mã có độ bảo mật cao (tạo khóa, lưu trữ khóa) và thực thi các hoạt động mã hóa
bằng cách sử dụng các khóa được lưu trữ an toàn. Nhiều yêu cầu khác được chỉ định,
bao gồm xác thực người dùng môi trường NFV, kiểm soát truy cập dựa trên thuộc
tính như được chỉ định trong [12], bảo mật truyền thông bằng TLS [13], xác minh
 Bảo vệ315

nguồn gốc và tính toàn vẹn của tất cả các thành phần phần mềm trước khi cài đặt và thực thi chúng, ghi nhật
ký an toàn và nhiều thành phần khác.
Tổng quan ngắn gọn về các yêu cầu bảo mật được đưa ra trong phần này tập trung
vào Liên minh NGMN, 3GPP SA1 và ETSI NFV làm nguồn yêu cầu và cho thấy rõ rằng
hiện đã có một lượng đáng kể các yêu cầu bảo mật 5G đa dạng và có phần thách
thức. Cơ quan này sẽ được tăng cường hơn nữa bởi các yêu cầu bảo mật liên quan
đến nhiều cơ chế và giao thức bổ sung do các tổ chức khác chỉ định, chẳng hạn như
Lực lượng đặc nhiệm kỹ thuật Internet (IETF), dự kiến sẽ trở nên phù hợp với mạng
5G trong tương lai.

7.1.3 Tầm nhìn bảo mật 5G

Xem xét các yêu cầu và trình điều khiển bảo mật 5G, ba đặc điểm chính của “bảo mật 5G
nên là gì” nổi lên: Bảo mật tích hợp, tính linh hoạt và tự động hóa tối cao, như được minh
họa trong Hình 7.2.

7.1.3.1 Bảo mật tích hợp tối cao

Mạng 5G phải hỗ trợ mức độ bảo mật và quyền riêng tư rất cao cho người dùng (không
giới hạn ở con người) và hoạt động liên lạc của họ. Đồng thời, các mạng phải có khả năng
chống chịu cao trước mọi loại tấn công mạng. Để giải quyết thách thức kép này, bảo mật
không thể chỉ được coi là một tiện ích bổ sung; thay vào đó, bảo mật phải được coi là một
phần của kiến trúc tổng thể và được tích hợp vào kiến trúc ngay từ đầu. Dựa trên kiến
trúc mạng an toàn, việc triển khai an toàn từng chức năng mạng riêng lẻ (NF) cũng rất cần
thiết. Các nhà khai thác mạng cần các phương pháp đảm bảo, tức là các phương tiện để
đánh giá các thuộc tính bảo mật của NF mà họ triển khai, để đảm bảo mức độ bảo mật
cao cần thiết cho mạng của họ.

7.1.3.2 Cơ chế bảo mật linh hoạt

Bảo mật 5G phải linh hoạt. Thay vì cách tiếp cận một kích thước phù hợp cho tất cả, thiết
lập bảo mật phải hỗ trợ tối ưu từng loại dịch vụ. Điều này đòi hỏi phải sử dụng các mạng
ảo riêng lẻ – các lát mạng – cho các ứng dụng riêng lẻ, cũng như việc điều chỉnh

Bảo mật 5G

Tăng cường độ bền

chống lại các cuộc tấn công mạng
Tích hợp tối ưu Đảm bảo an ninh
bảo vệ
Quyền riêng tư nâng cao

Mã hóa mặt phẳng người dùng tùy chọn và

Nhận dạng thay thế Bảo mật linh hoạt bảo vệ tính toàn vẹn
và xác thực cơ chế
thủ tục Cơ chế bảo mật được tối ưu hóa cho
ứng dụng riêng lẻ

Tự động hóa
Phối hợp an ninh toàn diện Tự thích ứng, thông minh
và quản lý kiểm soát an ninh

Hình 7.2Tầm nhìn bảo mật cấp cao 5G.

3165G cho thế giới kết nối

của cấu hình bảo mật trên mỗi lát mạng. Các tính năng bảo mật tuân theo tính linh hoạt này có
thể bao gồm các cơ chế xác định và xác thực thiết bị di động và/hoặc đăng ký của chúng hoặc
để xác định cách bảo vệ lưu lượng truy cập của người dùng. Ví dụ: một số ứng dụng có thể dựa
vào tính năng bảo vệ lưu lượng do mạng cung cấp. Các ứng dụng này có thể không chỉ yêu cầu
mã hóa, như trong trường hợp EPS, mà còn yêu cầu bảo vệ tính toàn vẹn của mặt phẳng người
dùng. Tuy nhiên, các ứng dụng khác có thể sử dụng bảo mật đầu cuối trên lớp ứng dụng. Họ có
thể muốn từ chối bảo mật mặt phẳng người dùng khi kết thúc mạng vì nó không cung cấp sự
bảo vệ bổ sung cho tải trọng lớp ứng dụng mà thay vào đó làm tăng thời gian xử lý và mức tiêu
thụ năng lượng của thiết bị di động.

7.1.3.3 Tự động hóa bảo mật

Là một khía cạnh của tự động hóa bảo mật, việc điều phối và quản lý bảo mật toàn
diện tự động sẽ được yêu cầu để đối phó với sự phức tạp của việc quản lý bảo mật
một cách hiệu quả và nhất quán trên toàn mạng trải rộng trên nhiều miền cơ sở hạ
tầng độc lập và bao gồm rất nhiều VNF có thể được phân bổ. động trong các lĩnh vực
khác nhau này. Quản lý bảo mật toàn diện bao gồm nhiệm vụ chỉ định và phân phối
các chính sách bảo mật cho các chức năng bảo mật ảo và vật lý, đồng thời duy trì tính
nhất quán của chúng trong thiết lập mạng động.
Khía cạnh tự động hóa quan trọng khác là tự động hóa các biện pháp kiểm soát bảo mật. Sẽ cần có các
biện pháp kiểm soát bảo mật thông minh, thích ứng để phát hiện và giảm thiểu các mối đe dọa chưa được
biết đến – những mối đe dọa sẽ cố gắng khai thác bất kỳ điểm yếu và sai sót nào có thể được tìm thấy bất
chấp mọi nỗ lực để loại trừ chúng. Những loại biện pháp kiểm soát bảo mật mang tính dự đoán này có thể
tận dụng khả năng phân tích và học máy để có thể tự thích ứng nhằm đối phó với các mối đe dọa bảo mật
luôn thay đổi và ngày càng phát triển.

7.2 Kiến trúc bảo mật 5G tổng thể

Có thể vẫn còn quá sớm để mô tả kiến trúc bảo mật hoàn chỉnh cho mạng 5G trong
tương lai. Tuy nhiên, nhiều yếu tố của kiến trúc này đã xuất hiện hoặc có thể đoán trước
được – chúng sẽ được thảo luận trong phần hiện tại và các phần tiếp theo.
Có thể khá giả định rằng trong mạng di động 5G, hầu hết các NF sẽ được triển khai trong môi
trường đám mây. Các môi trường đám mây này không bị giới hạn ở các đám mây trung tâm mà
còn bao gồm việc triển khai đám mây biên có tính phân tán cao để hỗ trợ tính toán biên gần với
các thiết bị di động. Bên ngoài các đám mây, thiết bị trạm gốc sẽ được triển khai để cung cấp
vùng phủ sóng vô tuyến cho các thiết bị di động. Các lớp thời gian thực của ngăn xếp vô tuyến
có thể được triển khai trong thiết bị trạm gốc chuyên dụng bên ngoài các đám mây biên, gần
với đầu vô tuyến từ xa. Các lớp không theo thời gian thực như lớp Giao thức hội tụ dữ liệu gói
(PDCP) cung cấp bảo mật giao diện vô tuyến có thể được triển khai dưới dạng VNF trong đám
mây biên. Kiến trúc phân chia này được tận dụng bởi sự phân chia cấp cao của giao thức vô
tuyến theo quy định của 3GPP. Hình 7.3 cung cấp một cái nhìn sơ đồ về kiến trúc này và mô tả
các thành phần bảo mật có thể có. Việc nghiên cứu chi tiết từng vấn đề đó nằm ngoài phạm vi
của cuốn sách này. Do đó, phần này sẽ đưa ra mô tả tổng quan và các khía cạnh quan trọng
nhất sẽ được thảo luận chi tiết hơn trong các phần tiếp theo.
 Bảo vệ317

Thông tin nhận dạng và thông tin xác thực của người đăng ký và thiết bị, xác thực và ủy quyền,
thỏa thuận khóa và phân cấp khóa, đàm phán bảo mật

Bảo mật NFV

Đảm bảo an ninh cho

5G Đám mây biên môi trường NFV
Bảo mật cắt mạng

Chống giả mạo Tăng cường độ bền của mặt phẳng điều khiển
nền tảng phần cứng Quyền riêng tư của người đăng ký được nâng cao

Thuật toán tiền điện tử

Bảo mật lớp vật lý
Bảo vệ chống nhiễu
Đám mây trung tâm

Bảo mật SDN

Quản lý và điều phối bảo mật Kiểm
soát bảo mật thông minh, tự thích ứng

Hình 7.3Các thành phần của kiến trúc bảo mật 5G.

7.2.1 Bảo mật giữa thiết bị di động và mạng

Các tính năng bảo mật liên quan đến giao diện giữa thiết bị di động và mạng phải được
tiêu chuẩn hóa trong Nhóm làm việc SA3 của 3GPP. Phần 7.3 mô tả những gì dự kiến sẽ
được 3GPP quy định cho 5G Giai đoạn 1 tại thời điểm viết cuốn sách này, trong khi phần
này cung cấp cái nhìn tổng quan hơn, đồng thời xem xét các cơ chế tiêu chuẩn hóa trong
tương lai.
Bảo mật giữa các thiết bị di động và mạng (vô tuyến và lõi) bao gồm xác thực và do đó bao
gồm các loại nhận dạng (đối với đăng ký, thiết bị hoặc người dùng con người), thông tin xác
thực có thể được sử dụng cũng như các tùy chọn có sẵn để lưu trữ chúng trên thiết bị di động .
Cách tiếp cận hiện tại với ứng dụng Mô-đun nhận dạng thuê bao toàn cầu (USIM) trên Thẻ mạch
tích hợp đa năng (UICC), thường được gọi là “thẻ Mô-đun nhận dạng thuê bao (SIM)” sẽ tiếp tục
đóng vai trò quan trọng, đặc biệt đối với việc sử dụng băng thông rộng di động. trường hợp.
Ngoài ra, các loại nền tảng phần cứng chống giả mạo khác để lưu trữ an toàn danh tính và
thông tin đăng nhập cũng như để thực thi thuật toán một cách an toàn có thể được thêm vào
để hỗ trợ tối ưu các trường hợp sử dụng như triển khai IoT trên quy mô lớn.

Để hỗ trợ tính linh hoạt hơn trong thiết lập bảo mật, việc đàm phán bảo mật giữa thiết bị di động và
mạng phải đủ linh hoạt để cho phép, ví dụ: thiết bị di động “chọn không tham gia” bảo mật lưu lượng
máy bay của người dùng bị chấm dứt mạng. Tính linh hoạt cao hơn cũng có thể được yêu cầu đối với
các thuật toán mật mã. Mặc dù các thuật toán được sử dụng trong EPS vẫn hoạt động tốt và không bị
đe dọa bởi các cuộc tấn công đã biết, nhưng các thuật toán mới có thể cần được bổ sung, đặc biệt là
các thuật toán được gọi là thuật toán mật mã nhẹ. Chúng đề cập đến các thuật toán giúp giảm thiểu
mức tiêu thụ năng lượng cho các hoạt động tiền điện tử mà không làm mất đi tính bảo mật. Chúng rất
quan trọng trong bối cảnh của các thiết bị IoT. Các lý do khác để xem xét lại việc lựa chọn các thuật
toán mật mã có thể là sự xuất hiện của các phương pháp tính toán mới.
3185G cho thế giới kết nối

các kỹ thuật, chẳng hạn như điện toán lượng tử hoặc phát hiện các cuộc tấn công mới hoặc các phương pháp
phân tích mật mã hiệu quả hơn cho các thuật toán đã chọn.
Đối với lưu lượng điều khiển, việc bảo vệ tính toàn vẹn bằng mật mã là rất quan trọng để ngăn chặn
các cuộc tấn công giả mạo, chiếm đoạt kết nối hoặc mạo danh. Mã hóa cũng rất quan trọng trong
trường hợp này để bảo vệ thông tin người dùng riêng tư được truyền trong mặt phẳng điều khiển.
Các giao thức mặt phẳng điều khiển phải được thiết kế và triển khai để dự đoán tất cả các loại hành vi
nguy hiểm của điện thoại di động – ngay cả những hành vi đã được xác thực thành công là thiết bị
thuê bao hợp pháp. Không thể dựa vào hành vi tuân thủ tiêu chuẩn của thiết bị di động vì những thiết
bị này thường không được chủ sở hữu biết, có thể bị phần mềm độc hại làm hỏng và có thể tấn công
mạng.
Giống như trong EPS, bảo mật trên giao diện vô tuyến sẽ dựa vào các giao thức mật mã
nằm ở trên cùng của ngăn xếp giao thức lớp 2. Đây là một lĩnh vực nghiên cứu thú vị để
điều tra xem các cơ chế bảo mật lớp vật lý có thể nâng cao kiến trúc bảo mật ở mức độ
nào, ví dụ như bằng cách cung cấp bảo mật bổ sung cho giao tiếp trên các lớp thấp nhất,
nơi mà các mạng di động hiện tại không có sẵn biện pháp bảo vệ bằng mật mã. Ví dụ:
trong EPS, giao tiếp này bao gồm các thông báo điều khiển trên lớp Kiểm soát truy cập
phương tiện (MAC), qua đó các thiết bị di động thông báo cho trạm gốc về lượng dữ liệu
chúng muốn truyền tại một thời điểm nhất định và qua đó các trạm gốc thông báo cho
thiết bị di động. khối tài nguyên vô tuyến nào họ phải sử dụng để truyền dữ liệu. Các đặc
tính vật lý riêng lẻ của kênh truyền giữa trạm cơ sở và thiết bị di động được xác thực có
thể được giám sát để phát hiện khi một tin nhắn lớp dưới không được bảo vệ đến được
gửi bởi một số thiết bị tấn công thay vì thiết bị di động được xác thực, hợp pháp.

7.2.2 Bảo mật trong Đám mây Telco

Vì hầu hết các NF dự kiến sẽ chạy trong môi trường NFV nên các cơ chế bảo mật NFV sẽ đóng
một vai trò quan trọng trong kiến trúc bảo mật mạng di động 5G. Chúng được thảo luận ở
Phần 7.5. Khả năng kết nối bên trong và giữa các trung tâm dữ liệu dự kiến sẽ được kiểm soát
thông qua SDN, đòi hỏi một phương pháp bảo mật SDN hợp lý. Các cơ chế bảo mật dành riêng
cho SDN được giải thích trong Phần 7.4. Trong bối cảnh cắt mạng, các cơ chế bảo mật phải đảm
bảo sự cách ly nghiêm ngặt giữa các lát mạng khác nhau chạy trên cơ sở hạ tầng dùng chung.
Điều này là cần thiết để ngăn chặn các máy ảo trong một lát ảnh hưởng đến các máy ảo trong
các lát khác. Nó cũng được yêu cầu ngăn thông tin rò rỉ giữa các lát trên các kênh bên, ví dụ
thông qua bộ nhớ vật lý được sử dụng tuần tự bởi các lát khác nhau, trong đó thông tin được
lưu trữ bởi một lát có thể không bị xóa sạch khi một lát khác truy cập vào bộ nhớ. Bạn có thể
tìm thêm thông tin chi tiết về bảo mật cắt mạng trong Phần 7.6.
Khi NF không còn bị ràng buộc với phần cứng cụ thể mà có thể được khởi tạo trên các nền
tảng phần cứng khác nhau, việc đảm bảo hoạt động an toàn, phù hợp của chúng có thể khó
khăn hơn. Theo nghĩa này, NFV có thể có tác động đáng kể đến các phương pháp đảm bảo an
ninh cần tính đến việc phân bổ động các chức năng phần mềm này cho các cơ sở hạ tầng phần
cứng khác nhau.
Việc quản lý và điều phối bảo mật toàn diện tự động sẽ trở nên quan trọng trong việc triển khai
mạng di động 5G dựa trên đám mây trên quy mô lớn. Sẽ có nhiều chức năng bảo mật khác nhau, bao
gồm tường lửa ảo hóa hoặc vật lý và hệ thống phát hiện xâm nhập cũng như các chức năng bảo mật
trong bộ ảo hóa hoặc các thành phần khác của phần mềm ảo hóa. Tất cả những điều này phải được
cấu hình một cách nhất quán, với tất cả các chính sách riêng lẻ đóng góp một cách có ý nghĩa vào khái
niệm phòng thủ tổng thể và phải được thực hiện linh hoạt.
 Bảo vệ319

thích ứng với những thay đổi của cấu trúc liên kết mạng, như việc di chuyển VNF sang các tài nguyên vật lý
khác.
Cuối cùng, sẽ có những mối đe dọa không thể đoán trước cố gắng khai thác những điểm yếu có thể tồn tại
bất chấp sự cẩn trọng liên quan đến việc thiết kế và triển khai mạng. Hơn nữa, các cuộc tấn công DoS có thể
được thực hiện ngay cả khi không có lỗ hổng cụ thể, bằng cách đơn giản làm tràn ngập các thành phần mạng
hoặc toàn bộ mạng bằng lưu lượng truy cập. Những cuộc tấn công như vậy không có tính chất lý thuyết. Các
botnet di động gây ra mối đe dọa thực sự cho mạng di động. Botnet là một tập hợp lớn các thiết bị có khả
năng bị hỏng do kẻ tấn công kiểm soát, có thể thực hiện các cuộc tấn công quy mô lớn nhằm vào các máy
chủ hoặc dịch vụ mạng cụ thể. Để đối phó với những mối đe dọa mới như vậy, cần có các biện pháp kiểm soát
bảo mật thông minh, tự động và tự thích ứng. Bằng cách giám sát chặt chẽ những gì đang xảy ra trong
mạng, tức là phân tích luồng lưu lượng và hành vi của thiết bị di động và nút mạng, đồng thời, theo phương
pháp học máy, xem xét loại bất thường nào xảy ra trước các sự cố bảo mật trong quá khứ, các biện pháp
kiểm soát bảo mật thông minh sẽ có thể phát hiện các hoạt động độc hại – ngay cả những hoạt động chưa
từng được biết đến trước đây – ở giai đoạn đầu và kích hoạt các cơ chế nhằm giảm thiểu các mối đe dọa đó
cũng như duy trì tính toàn vẹn và tính khả dụng của mạng.

7.3 Cơ chế bảo mật cụ thể của 3GPP

Vì tiêu chuẩn hóa nhằm mục đích đảm bảo khả năng tương tác, nên cơ chế bảo mật 3GPP tập
trung vào việc bảo mật các giao diện do 3GPP chỉ định. Trong số đó, giao diện vô tuyến có thể
được coi là giao diện có nguy cơ tuyệt chủng cao nhất vì những kẻ tấn công cục bộ vốn có thể
truy cập được nó. Do đó, phương pháp bảo mật giao diện giữa UE và mạng là một lĩnh vực
chính của kiến trúc bảo mật 3GPP và nó không chỉ bao gồm các thuật toán mã hóa được sử
dụng để bảo mật lưu lượng truy cập trên giao diện này mà còn cả xác thực lẫn nhau giữa thiết
bị di động và mạng, bao gồm cả có nghĩa là che giấu danh tính đăng ký để ngăn chặn việc theo
dõi.
3GPP chỉ định bảo mật 5G trong [18]. Bảo mật 5G sử dụng lại nhiều cơ chế được chỉ định cho
EPS trong [15] và [16]. Một mô tả tuyệt vời về bảo mật EPS được đưa ra trong [4].

7.3.1 Bảo mật giữa UE và Mạng

7.3.1.1 Xác thực dựa trên EAP
Một thay đổi lớn so với EPS là việc giới thiệu khuôn khổ Giao thức xác thực mở rộng (EAP,
xem [20]) cho Thỏa thuận khóa và xác thực lẫn nhau (AKA) giữa UE và mạng. EAP có thể
mở rộng theo nghĩa là các phương thức xác thực khác nhau có thể được sử dụng trong
khuôn khổ này. Trong EPS, EAP với phương thức xác thực EAP-AKA'[21] chỉ được chỉ định
cho truy cập không phải 3GPP. Nhằm mục đích độc lập truy cập, trong 5G, nó có thể được
sử dụng trên bất kỳ loại truy cập nào. EAP-AKA'là phương thức xác thực EAP bắt buộc phải
được hỗ trợ trong 5G, nhưng các phương thức khác, chẳng hạn như EAP-TLS, cũng có thể
được triển khai cho một số trường hợp, ví dụ như trong mạng riêng.
Về phía mạng, EAP được xử lý bởi Chức năng neo bảo mật (SEAF), đóng vai trò là
trình xác thực EAP trong mạng phục vụ (có thể là mạng khách hoặc mạng gia đình
tùy thuộc vào thiết bị đầu cuối có chuyển vùng hay không) và Chức năng máy chủ xác
thực ( AUSF), hoạt động như máy chủ xác thực, trong mạng gia đình (xem Chương 4
để thảo luận chi tiết về kiến trúc mạng 5G). Trong 5G giai đoạn 1, SEAF
3205G cho thế giới kết nối

được cho là được kết hợp với Chức năng quản lý truy cập và di động (AMF). AUSF
liên lạc với Kho lưu trữ thông tin xác thực và Chức năng xử lý (ARPF) bên trong
Quản lý dữ liệu hợp nhất (UDM) chứa thông tin xác thực dài hạn của UE và thực
hiện tất cả quá trình xử lý yêu cầu quyền truy cập vào các thông tin xác thực này.
Chính UDM/ARPF sẽ quyết định quy trình xác thực (EAP-AKA'so với 5G AKA) và
tùy thuộc vào quyết định này, tài liệu xác thực phù hợp sẽ được tạo và gửi đến
AUSF. Trong trường hợp EAP-AKA', đây là Vector xác thực (AV) bao gồm các khóa
được gọi là Khóa mật mã (CK') và Khóa toàn vẹn (IK') được lấy từ thông tin xác
thực dài hạn.
Việc trao đổi xác thực được mô tả trong Hình 7.4.
Trong quá trình xử lý EAP, UE và mạng gia đình, được đại diện bởi AUSF, xác thực
lẫn nhau và lấy ra một khóa chung, được gọi là EMSK (Khóa phiên chính mở rộng),
theo cách khóa này vẫn được ẩn đối với bất kỳ nút trung gian nào. Từ EMSK, AUSF lấy
được khóa gọi là KAUSFvà từ khóa này một khóa khác gọi là KSEAFđược chuyển từ AUSF
trong mạng gia đình tới SEAF trong mạng phục vụ. Khóa này được liên kết với nhận
dạng mạng cung cấp, bằng cách đưa Mã định danh mạng cung cấp (SN id) vào đầu
vào của thuật toán phái sinh khóa. Hơn nữa, hằng số “5G:” là một phần của đầu vào,
liên kết khóa với EAP-AKA'chạy trong hệ thống 5G (trái ngược với chạy EPS AKA).
Trong trường hợp EAP-AKA', nhận dạng mạng phục vụ cũng được xem xét khi lấy
khóa CK'và IK'trong ARPF. AUSF nhận các khóa này trước khi bắt đầu quá trình xác
thực. SEAF bắt nguồn từ KSEAFmột phím KAMFvà chuyển nó tới AMF. Từ KAMF, phím K
NASencvà KNASintsau đó được tạo ra để mã hóa và bảo vệ tính toàn vẹn của lưu lượng

báo hiệu Tầng không truy cập (NAS).

UE SXEMAAFF/A/LÀ
MF AAUUSSSFF UU
DDM / PFF
M/AARRP

Yêu cầu thành lập

kết nối báo hiệu
Yêu cầu xác thực

Yêu cầu xác thực

Quyết định: Chúng tôi e EAP-AKA'

Phản hồi xác thực

Phản hồi xác thực (EAP- (AV có CK',IK′)
Yêu cầu/còn gọi là′-Thử thách)
Yêu cầu EAP
hay còn gọi là′-Thử thách

Phản hồi EAP

hay còn gọi là′-Thử thách
Yêu cầu xác thực (EAP-
Phản hồi/AKA′-Thử thách)

Phản hồi xác thực

(EAP-Thành công, KSEAF)
EAP-Thành công

Yêu cầu xác nhận xác thực

UDM: S xé UE
xác thực trạng thái

Phản hồi xác nhận xác thực

Hình 7.4Xác thực lẫn nhau giữa UE và mạng bằng EAP-AKA'.

 Bảo vệ321

UE cũng biết về id SN và đây là lần chạy xác thực 5G và nó sử dụng các dẫn
xuất tương tự như mạng để tạo KSEAF, KAMF, KNASencvà KNASint. Khi UE có thể kiểm tra
thành công tính toàn vẹn của tin nhắn từ mạng được bảo vệ bởi KNASint, UE nhận
được sự đảm bảo từ mạng nhà rằng UE chia sẻ KSEAF, KAMF, KNASencvà KNASintvới
mạng phục vụ cụ thể có mã định danh được sử dụng làm đầu vào cho đạo hàm
của KSEAF.
Cần lưu ý rằng UE luôn xác thực với mạng gia đình của mình trong quá trình
xác thực EAP, trái ngược với EPS AKA, trong đó việc xác thực được thực hiện giữa
UE và mạng phục vụ, dựa trên tài liệu xác thực mà mạng gia đình cung cấp cho
mạng phục vụ.
Hơn nữa, EAP giữa UE và AUSF trong mạng gia đình cho phép UE và AUSF giữ lại khóa
chỉ được chia sẻ giữa UE và AUSF mà mạng khách không biết. Mặc dù hiện tại không được
3GPP chỉ định, nhưng khóa như vậy có thể được sử dụng để thiết lập các liên kết bảo mật
trực tiếp giữa UE và mạng gia đình.
EAP-AKA'xác thực dựa trên phải được hỗ trợ trong UE và trong các thực thể mạng phục vụ (tức là
AMF/SEAF), nhưng không nhất thiết phải trong các thực thể Mạng di động mặt đất công cộng gia đình
(HPLMN) như AUSF và ARPF/UDM. Vì vậy, nhà điều hành không sử dụng EAP-AKA'
đối với những người đăng ký của chính họ không phải triển khai nó trong AUSF và ARPF/UDM.
Tuy nhiên, thuê bao nước ngoài chuyển vùng trong mạng của nhà mạng này sẽ không bị ngăn
sử dụng EAP-AKA', dựa trên sự hỗ trợ bắt buộc trong AMF/SEAF.

7.3.1.2 5G AKA
Bên cạnh EAP, phiên bản nâng cao của EPS AKA, được gọi là 5G AKA, phải được UE và
các thực thể mạng phục vụ hỗ trợ. Khác với EPS AKA, 5G AKA có thể được sử dụng
qua 3GPP cũng như truy cập không phải 3GPP. Một phần của Thực thể quản lý di
động (MME) và Máy chủ thuê bao gia đình (HSS) trong EPS-AKA do SEAF/AMF và
AUSF/ARPF/UDM trong 5G AKA đảm nhận. Giống như xác thực 5G dựa trên EAP, 5G
AKA liên kết khóa mà nó tạo ra với nhận dạng mạng phục vụ và với hằng số “5G:.”
Khác với EPS AKA, kết quả mong đợi (được gọi là XRES*) trong thử thách AKA không
phải là một phần của Vector xác thực được truyền từ mạng gia đình đến mạng phục
vụ mà chỉ là hàm băm một chiều của nó, được gọi là HXRES*. Điều này đủ để mạng
truy cập xác minh xem UE có cung cấp câu trả lời chính xác hay không (được gọi là
RES*) cho thử thách AKA, vì mạng phục vụ có thể áp dụng cùng một hàm băm cho
RES* và so sánh kết quả với HXRES*. 5G AKA chỉ định một thông báo xác nhận xác
thực, trong đó mạng phục vụ chuyển RES* khi nhận được từ UE đến mạng gia đình.
Điều này chứng minh cho mạng gia đình rằng UE thực sự có mặt trong mạng phục
vụ vì mạng phục vụ không thể tự tính toán RES*. Tùy thuộc vào chính sách của nó,
mạng gia đình có thể không thừa nhận rằng UE có trong mạng phục vụ nếu không
có xác nhận xác thực thành công. Ví dụ: nó có thể từ chối các yêu cầu đăng ký từ UE
trong mạng phục vụ nếu không có xác thực nào được xác nhận gần đây qua mạng
phục vụ. Đây là một lợi thế so với EPS AKA, trong đó mạng phục vụ lừa đảo có thể xác
nhận sai rằng UE đang kết nối với nó và có thể tính phí mạng gia đình, bằng cách
trước tiên yêu cầu vectơ xác thực rồi gửi yêu cầu Cập nhật vị trí.

Trao đổi xác thực 5G AKA được hiển thị bằng Hình 7.5.
Sau khi chuyển các vectơ xác thực tới SEAF, 5G AKA yêu cầu một chuyến đi khứ hồi
bổ sung giữa SEAF/AMF và AUSF. Lý do cho điều này là trong 5G, việc phục vụ
3225G cho thế giới kết nối

UE S EAF/AM F AUSF bạn

DM/ARP F

Yêu cầu thành lập

kết nối báo hiệu
Yêu cầu xác thực

Yêu cầu xác thực

Quyết định: Bạn se 5G AKA

Phản hồi xác thực

Phản hồi xác thực (AV với XRES*, KAUSF)
(AV với HXRES*, KSEAF)
Thử thách 5G AKA

Phản hồi 5G AKA (RES*)

Máy tính e HRES*,

tương đương với HXRES* ?
Yêu cầu xác thực (RES*)

RES* bằng tới XRES* ?

Phản hồi xác thực

Yêu cầu xác nhận xác thực
(Thành công)

UDM: S xé UE
xác thực trạng thái

Phản hồi xác nhận xác thực

Hình 7.5Xác thực lẫn nhau giữa UE và mạng bằng 5G AKA.

mạng chỉ nhận được mã định danh đăng ký không bị che giấu (xem phần về Quyền
riêng tư nhận dạng đăng ký) sau khi mạng gia đình xác nhận xác thực thành công và
nó cần mã định danh này để lấy khóa KAMF.

7.3.1.3 Bảo mật tầng truy cập (AS)

Một phím KgNBđược tính từ KAMFbởi AMF và chuyển đến gNB (trạm gốc 5G) làm khóa
gốc cho bảo mật Access Stratum (AS), tức là cho phép bảo vệ lưu lượng giữa UE và
gNB. Trong chuyển giao giữa các ô khác nhau của cùng một gNB, khóa này không
cần thay đổi. Khi chuyển giao cho các gNB khác, một K mớigNBphải được bắt nguồn,
tốt nhất là sử dụng đầu vào mới mà gNB cũ chưa biết. Đây được gọi là dẫn xuất khóa
“dọc” và cần có sự tham gia của AMF. Giống như trong EPS, cũng có một dẫn xuất
khóa “ngang” mà không có sự tham gia của AMF. Biến thể này nhanh hơn nhưng có
nhược điểm nhỏ là K bị xâm phạmgNBtại gNB cũ có nghĩa là K mớigNBcũng bị xâm
phạm.
Giống như trong EPS, bảo vệ tính toàn vẹn và mã hóa được chỉ định cho tín hiệu Điều khiển
tài nguyên vô tuyến (RRC), sử dụng các khóa tương ứng lấy từ KgNB. Trong 5GS, có thể bảo mật
tín hiệu AS ngay cả khi không có thiết lập Đường truyền vô tuyến dữ liệu (DRB) vì những lý do
sau:

1. Hỗ trợ kết nối báo hiệu AS an toàn để mạng thực hiện chuyển hướng ngay cả khi UE được
đăng ký mà không có DRB. Ví dụ: việc không mã hóa và bảo vệ tính toàn vẹn của thông báo
phát hành RRC bằng chuyển hướng có thể dẫn đến việc kẻ tấn công gửi UE đến một ô
“nhầm”. Chuyển hướng trong LTE không được bảo mật. Vì vậy, các cuộc tấn công là có thể.
 Bảo vệ323

2. Thiết lập bảo mật AS là cần thiết trong trường hợp truy cập không phải 3GPP để thiết lập liên kết
Trao đổi khóa Internet phiên bản 2 (IKEv2) ngay cả trước khi Phiên/DRB của Đơn vị dữ liệu giao
thức (PDU) được thiết lập. Do đó, việc cho phép hỗ trợ thiết lập bảo mật AS cho các kết nối chỉ báo
hiệu là điều cần thiết để kích hoạt quy trình đăng ký chung cho truy cập 3GPP và không phải 3GPP.

Khác với EPS, đối với lưu lượng truy cập trên mặt phẳng người dùng, không chỉ phải hỗ trợ mã hóa
mà còn phải hỗ trợ bảo vệ tính toàn vẹn - mặc dù cả hai đều là “tùy chọn để sử dụng”. Việc sử dụng
loại bảo vệ nào được sử dụng tùy thuộc vào chính sách của mạng. Ví dụ: để truy cập vào một mạng dữ
liệu cụ thể, chính sách có thể không sử dụng mã hóa vì mạng dữ liệu này vẫn thiết lập một đường
hầm được bảo vệ hướng tới UE và nhà điều hành mạng dữ liệu cũng như nhà điều hành mạng 5G đã
đồng ý về việc không sử dụng mặt phẳng người dùng AS bảo vệ vì lý do này. Nói chung, bảo vệ mặt
phẳng người dùng được sử dụng và các khóa để mã hóa mặt phẳng người dùng và bảo vệ tính toàn
vẹn được lấy từ K.gNB.
Một gNB có thể được chia thành một đơn vị trung tâm và phân tán (CU-DU). Trong trường hợp này,
điểm cuối của bảo mật AS sẽ nằm trong CU, có nhiều khả năng được bảo vệ vật lý hơn (như bị khóa
trong một tòa nhà kiên cố). Ngoài ra, RRC và lưu lượng mặt phẳng người dùng cũng được bảo vệ
bằng bảo mật AS trên giao diện CU-DU (được gọi là F1). Tuy nhiên, vì không phải tất cả lưu lượng truy
cập tại giao diện này sẽ được bảo vệ theo cách này nên tính bảo mật, bảo vệ toàn vẹn và bảo vệ phát
lại được yêu cầu trên giao diện này, cũng như trên giao diện giữa mặt phẳng điều khiển CU và mặt
phẳng người dùng CU (được gọi là E1), nếu các giao diện như vậy được thực hiện. Điều này có thể đạt
được bằng các phương tiện được mô tả cho các giao diện không dựa trên dịch vụ trong Phần 7.3.2.

7.3.1.4 Thuật toán phân cấp chính và mật mã

Tổng quan về hệ thống phân cấp khóa 5G được đưa ra trong Hình 7.6.

Networ k bạnE
Snhận dạng e Snhận dạng e

Khóa dài hạn K

ARPF USIM
CK, IK
ARPF TÔI
KAUSF CK', IK'
5G hay còn gọi là EAP-AKA'
AUSF KAUSF TÔI

K SEAF
SEAF TÔI
KAMF

AMF KNASintKNASenc TÔI

KN3IWF KgNB

N3IWF TÔI gNB KRRCintKRRCenc KUPint KUPenc TÔI

Hình 7.6Hệ thống phân cấp khóa 5G.

3245G cho thế giới kết nối

Ở bước đầu tiên, các khóa có tên CK và IK được lấy từ khóa dài hạn K, trong mạng
và trên USIM. 5G AKA và EAP-AKA'sử dụng các cách khác nhau để lấy KAUSF
từ CK và IK. Các dẫn xuất tiếp theo là chung cho cả hai phương pháp. Về phía UE,
CK và IK được chuyển từ USIM đến phần ME (Thiết bị di động) của UE, nơi thực
hiện các dẫn xuất tiếp theo.
Đối với cả bảo mật NAS và AS, 5G giai đoạn 1 chỉ định ba cặp thuật toán mã hóa
giống nhau như trong EPS (mỗi cặp bao gồm một thuật toán mã hóa và bảo vệ tính
toàn vẹn), tức là ba cặp thuật toán dựa trên ba thuật toán mã hóa AES (Nâng cao).
Tiêu chuẩn mã hóa), SNOW 3G và ZUC, trong đó AES và SNOW 3G bắt buộc phải hỗ
trợ. Trong tương lai, có thể hợp lý khi bổ sung thêm các thuật toán khác, ví dụ như
các thuật toán mật mã nhẹ, như đã đề cập trong Phần 7.2, hoặc các thuật toán có
khóa dài hơn 128 bit. Thông số kỹ thuật cho phép dễ dàng đưa vào các thuật toán
mới khi điều này được yêu cầu.

7.3.1.5 Bảo mật cho truy cập không đáng tin cậy không phải 3GPP

Truy cập không đáng tin cậy không phải 3GPP yêu cầu liên kết bảo mật IPsec [23] được
thiết lập giữa UE và một thực thể trong mạng lõi. Trong 5G, thực thể này là Chức năng
tương tác phi 3GPP (N3IWF). Một ngăn xếp giao thức đã được chỉ định cho phép trao đổi
các thông báo báo hiệu NAS trong quá trình thiết lập liên kết bảo mật IPsec bằng IKEv2
[22]. Bằng cách này, cả EAP-AKA'và 5G AKA có thể được sử dụng để xác thực, với các dẫn
xuất chính được hiển thị trong Hình 7.6. Tuy nhiên, thay vì khóa KgNB
được sử dụng trong truy cập 3GPP, khóa KN3IWFđược bắt nguồn và chuyển đến N3IWF.
Khóa này sau đó được sử dụng làm MSK (Khóa phiên chính) trong quá trình bắt tay IKEv2
để xác thực thiết lập liên kết IPsec.

7.3.1.6 Bảo mật cho Kiến trúc Không độc lập với EPS (EN-DC)
Các khái niệm bảo mật cho EN-DC (Mạng truy cập vô tuyến mặt đất của hệ thống
viễn thông di động toàn cầu đã tiến hóa – Đài phát thanh mới – Kết nối kép) rất giống
với các khái niệm trong EPS DC. Chúng được mô tả trong [15], bắt đầu từ Phiên bản
15. Đối với mỗi phiên UE sử dụng EN-DC, MeNB (eNB chính) tạo khóa cho SgNB (gNB
thứ cấp) dựa trên KeNBvà một bộ đếm. Nó chuyển khóa tới SgNB và bộ đếm tới UE,
cùng với chỉ báo thuật toán nào sẽ được sử dụng giữa UE và SgNB. Vì EN-DC cũng hỗ
trợ sóng mang vô tuyến báo hiệu được kết thúc tại SgNB nên các khóa để bảo vệ tính
toàn vẹn và mã hóa RRC được lấy tại SgNB và UE, cũng như khóa để mã hóa DRB.
Bảo vệ tính toàn vẹn cho DRB không được kích hoạt trong EN-DC.

7.3.1.7 Quyền riêng tư của mã định danh đăng ký

Các thế hệ mạng di động trước đây bảo vệ số nhận dạng đăng ký, IMSI, bằng cách sử dụng số
nhận dạng tạm thời. Tuy nhiên, trong một số trường hợp nhất định, chẳng hạn như lỗi MME giữ
mã định danh tạm thời hiện tại, bắt buộc phải sử dụng IMSI và gửi nó ở dạng rõ ràng. Điều này
cho phép các cuộc tấn công bắt IMSI thụ động, nhưng nghiêm trọng hơn, một cuộc tấn công
chủ động sử dụng trạm gốc giả được thiết kế có mục đích (“công cụ bắt IMSI”), giả vờ là mạng
hợp pháp, có thể lừa UE tiết lộ IMSI. Các đề xuất về cách khắc phục vấn đề này đã được đưa ra –
nhưng chưa được thống nhất – khi bảo mật UMTS và bảo mật EPS được chỉ định.

5G thay đổi tình trạng này bằng cách giới thiệu Mã định danh cố định đăng ký
(SUPI) và Mã định danh ẩn đăng ký (SUCI). UE tính toán SUCI
 Bảo vệ325

bằng cách mã hóa từng phần riêng lẻ của SUPI, bằng khóa chung được cung cấp trên
UE. Phần Mã quốc gia di động (MCC) cộng với Mã mạng di động (MNC) của SUPI
không được mã hóa, do đó mạng phục vụ có thể xác định mạng gia đình của thuê
bao. Mạng gia đình sở hữu khóa riêng tương ứng và có thể xác định SUPI bằng cách
giải mã SUCI dựa trên khóa riêng. Sau đó, 5G-GUTI (Mã định danh tạm thời duy nhất
toàn cầu thế hệ thứ năm) được mạng phân bổ và nó được sử dụng để xác định bối
cảnh UE và bảo vệ tính bảo mật của người đăng ký. AMF phân bổ 5G-GUTI cho UE
ngay sau khi UE được đăng ký thành công. UE được yêu cầu cung cấp 5G-GUTI chứ
không phải SUPI hoặc SUCI nếu nó đang cố gắng đăng ký trong cùng một Mạng di
động mặt đất công cộng (PLMN) tương đương hoặc tương đương. Để tránh bị theo
dõi dựa trên GUTI, bắt buộc phải thường xuyên thay đổi nó một cách khó lường. Các
thủ tục báo hiệu NAS hỗ trợ việc truyền giấu GUTI mới được chỉ định tới UE sau khi sử
dụng GUTI ở dạng rõ ràng. Không cần phải sử dụng GUTI ở dạng rõ ràng nhiều lần,
tức là có thể ngăn chặn việc theo dõi qua GUTI. Tin nhắn phân trang sử dụng Nhận
dạng thuê bao di động tạm thời S thế hệ thứ năm 5G-S-TMSI có nguồn gốc từ GUTI
để nhận dạng duy nhất UE. UE sử dụng 5G-S-TMSI trong các tin nhắn RRC để cho
phép Mạng truy cập vô tuyến (RAN) chọn một AMF thích hợp để gửi tin nhắn NAS
được gói gọn trong tin nhắn RRC. Một lần nữa, sau khi 5G-S-TMSI xuất hiện ở định
dạng rõ ràng như vậy, cần phải phân bổ ngay một 5G-GUTI mới, không thể đoán
trước.

7.3.1.8 Cách sử dụng UICC

Trong EPS, việc sử dụng UICC trong UE để lưu trữ an toàn thông tin xác thực dài hạn và thực
hiện các thuật toán bảo mật nhất định là bắt buộc. Theo trạng thái thông số kỹ thuật hiện tại,
bắt buộc phải sử dụng UICC trong 5G, nhưng tiêu chuẩn đề cập rằng việc sử dụng một giải
pháp phần cứng khác, SSP (Nền tảng bảo mật thông minh) hiện đang được ETSI tiêu chuẩn hóa,
cũng có thể được chỉ định, với điều kiện là tiêu chí bảo mật nhất định sẽ được đáp ứng.

7.3.1.9 Xác thực phụ

Các thế hệ mạng di động trước đây chỉ định phương thức truyền tải thông tin để xác
thực giữa UE và mạng dữ liệu gói bên ngoài (được kết nối qua các điểm tham chiếu
Gi hoặc SGi) trong Tùy chọn cấu hình giao thức (PCOss), tức là bên trong các tin nhắn
báo hiệu được chỉ định 3GPP. Xác thực dựa trên PCO này khá hạn chế. Trong 5G, nó
được thay thế bằng cái gọi là “xác thực phụ”, dựa trên EAP. Tin nhắn EAP có thể được
trao đổi trong các tin nhắn quản lý phiên giữa UE và SMF (Chức năng quản lý phiên),
hoạt động như trình xác thực EAP. SMF có thể chuyển tiếp các tin nhắn EAP đến máy
chủ AAA đóng vai trò là máy chủ xác thực bên trong mạng dữ liệu bên ngoài. Việc sử
dụng xác thực thứ cấp dựa trên EAP là một cải tiến đáng kể so với xác thực dựa trên
PCO về tính linh hoạt và bảo mật.

7.3.2 Bảo mật cho giao diện mạng

7.3.2.1 Giao diện không dựa trên dịch vụ
Trong EPS, giao diện mạng được bảo mật bằng IKE/IPsec ([22, 23]). Điều này là bắt buộc nếu các giao
diện trải rộng trên các miền bảo mật khác nhau, ví dụ: nếu một giao diện nằm giữa hai PLMN khác
nhau. Theo quy định, lưu lượng báo hiệu phải được bảo vệ toàn vẹn và nếu thông tin nhạy cảm (chẳng
hạn như khóa hoặc số nhận dạng đăng ký) được vận chuyển thì cũng phải được mã hóa.
3265G cho thế giới kết nối

Đáng chú ý, cho đến nay, loại bảo vệ này chưa được triển khai nhiều cho lưu lượng liên PLMN,
khiến PLMN dễ bị tấn công bởi nhiều loại tấn công khác nhau được thực hiện thông qua các
mạng kết nối. Bảo mật giao diện mạng dựa trên IKE/IPsec đã được áp dụng trong 5G. Trên các
giao diện giữa các gNB hoặc giữa RAN và Mạng lõi, việc bảo vệ tính toàn vẹn và mã hóa là bắt
buộc đối với tất cả các loại lưu lượng, trừ khi các giao diện này được bảo vệ theo cách khác, ví
dụ: “được bảo vệ vật lý”, một điều kiện khó có thể đáp ứng khi triển khai RAN cổ điển. Tuy nhiên,
trong việc triển khai đám mây biên, thực tế các cơ chế bảo vệ khác có thể trở nên hiệu quả, ví dụ
như bảo vệ “bán buôn” lưu lượng giữa các đám mây biên và đám mây trung tâm.

7.3.2.2 Giao diện dựa trên dịch vụ

Trong Kiến trúc dựa trên dịch vụ (SBA), hãy xem Chương 4 để biết mô tả chi tiết về
SBA, Chức năng mạng (NF) giao tiếp bằng Giao thức truyền siêu văn bản (HTTP)/2
[24] và vì HTTP thường dựa vào TLS [13] để bảo mật, hỗ trợ TLS dựa trên chứng chỉ
phía máy chủ và máy khách đã được bắt buộc đối với tất cả các NF. Giống như IKE/
IPsec, TLS cũng có thể được thay thế bằng các hình thức bảo vệ khác. Xác thực lẫn
nhau (rõ ràng thông qua TLS hoặc ngầm, ví dụ: dựa trên thực tế là các thực thể giao
tiếp trong một miền bảo mật duy nhất), là bắt buộc đối với các yêu cầu Đăng ký dịch
vụ và Khám phá dịch vụ của NF đối với NRF (Chức năng lưu trữ mạng).
Để ủy quyền các yêu cầu dịch vụ của NF tiêu dùng đối với NF của nhà sản xuất, một
cách tiếp cận dựa trên Ủy quyền mở 2.0 (OAuth 2.0) [26] đã được áp dụng, trong đó
NF tiêu dùng (Khách hàng OAuth) yêu cầu mã thông báo ủy quyền từ NRF ( Máy chủ
ủy quyền OAuth) và trình bày nó cho nhà sản xuất NF (dưới dạng Máy chủ tài nguyên
OAuth) khi yêu cầu dịch vụ. NF tiêu dùng phải xác thực NF nhà sản xuất khi yêu cầu
dịch vụ, trong khi NF nhà sản xuất chỉ có thể dựa vào mã thông báo và xác thực của
NF tiêu dùng phải xảy ra trước khi mã thông báo được chuyển đến NF tiêu dùng.

7.3.2.3 Bảo mật kết nối

Trong trường hợp chuyển vùng, các giao diện dựa trên dịch vụ được sử dụng giữa các NF
trong PLMN khác nhau. Để bảo mật kết nối PLMN, một thực thể mới có tên Secure Edge
Protection Proxy (SEPP) đã được chỉ định. Tất cả lưu lượng mặt phẳng điều khiển giữa hai
PLMN phải được trao đổi thông qua điểm tham chiếu N32 giữa hai SEPP thuộc hai PLMN.
SEPP đóng vai trò là điểm vào duy nhất của PLMN. Nó ẩn các chi tiết về cấu trúc liên kết
của PLMN mà nó thuộc về và thực hiện các cơ chế bảo mật cần thiết cho giao diện N32.
Loại thứ hai bao gồm việc sử dụng TLS trực tiếp tới SEPP khác hoặc hướng tới trung gian
bước nhảy tiếp theo trong mạng kết nối. Tuy nhiên, hiện tại cũng có sự đồng thuận trong
3GPP SA3 để chỉ định các cơ chế bảo mật trên lớp ứng dụng. Đối với các giao diện dựa
trên dịch vụ, các thành phần thông tin được chứa trong nội dung thông báo HTTP. Một số
thành phần thông tin này có thể cần được đọc hoặc thậm chí được sửa đổi bởi các nút
trung gian trong mạng kết nối. Do đó, việc bảo vệ có chọn lọc các phần tử thông tin khác
nhau có thể hữu ích, ví dụ như áp dụng bảo vệ tính toàn vẹn nhưng không mã hóa các
phần tử thông tin cần được đọc nhưng không được sửa đổi bởi các bên trung gian và chỉ
cung cấp mã hóa cho các phần tử thông tin không liên quan đến quyết định định tuyến
của các bên trung gian . Các nguyên tắc tương tự cũng có thể áp dụng cho bất kỳ giao
diện dựa trên Đường kính nào (xem [25] để biết thêm chi tiết về giao thức Đường kính).
 Bảo vệ327

7.3.3 Tóm tắt và Triển vọng

Kiến trúc bảo mật 3GPP 5G được xây dựng mạnh mẽ trên kiến trúc bảo mật EPS đã được
chứng minh tốt nhưng cũng giới thiệu nhiều tính năng mới như:

• Giới thiệu EAP như một khung xác thực truy cập độc lập;
• Giới thiệu tính năng bảo vệ tính toàn vẹn cho mặt phẳng người dùng giữa UE và mạng (bắt
buộc phải hỗ trợ, tùy chọn sử dụng);
• “Ngăn chặn IMSI” bằng cách sử dụng danh tính đăng ký được mã hóa;
• Bảo mật cho SBA;
• Cải thiện hỗ trợ cho bảo mật liên PLMN.
Các cải tiến bảo mật 5G bổ sung đã được thảo luận trong quá trình nghiên cứu bảo mật 3GPP 5G
[19]. Các cải tiến trong tương lai có thể bao gồm tùy chọn chấm dứt bảo mật mặt phẳng người dùng
giữa UE và mạng không nằm trong RAN mà trong UPF bên trong lõi, nhằm vào các tình huống trong
đó các lát mạng lõi khác nhau có thể được vận hành bởi các bên khác nhau chia sẻ RAN, trong trường
hợp này, Bảo mật mặt phẳng người dùng bị chấm dứt trong một lát lõi riêng lẻ sẽ không bị ảnh
hưởng bởi các cuộc tấn công vào RAN được chia sẻ. Nhiều tính năng bảo mật hơn liên quan đến các
tình huống cắt mạng liên quan đến nhiều bên thứ ba cũng có thể cần được chỉ định. Một lĩnh vực khác
cần cải tiến là bảo mật được tối ưu hóa cho các trường hợp sử dụng mới, chẳng hạn như các ứng
dụng IoT lớn và Giao tiếp có độ trễ thấp cực kỳ đáng tin cậy (URLLC). Điều này có thể bao gồm các
thuật toán mật mã nhẹ mới, phương thức xác thực mới và các cách mới để lưu trữ thông tin xác thực
đăng ký trên thiết bị di động.

7.4 Bảo mật SDN

Với chức năng điều khiển nút mạng SDN có thể được tách biệt khỏi chức năng chuyển tiếp.
Chức năng điều khiển của các nút mạng như bộ chuyển mạch, bộ định tuyến hoặc cổng có thể
được thực hiện tại một địa điểm tập trung. Hơn nữa, SDN bao gồm khái niệm về khả năng lập
trình mạng, tức là các chức năng điều khiển tập trung cung cấp các giao diện có thể được các
ứng dụng phần mềm khác sử dụng để điều khiển mạng. SDN có thể áp dụng cho cơ sở hạ tầng
đám mây, cụ thể là các mạng cung cấp kết nối giữa các giá đỡ và phiến máy chủ bên trong
trung tâm dữ liệu, cũng như các mạng kết nối các trung tâm dữ liệu. SDN cũng có thể áp dụng
cho các bộ chuyển mạch ảo được triển khai trong bộ ảo hóa để cung cấp kết nối mạng giữa các
máy ảo chạy trên cùng một phiên bản bộ ảo hóa. Một phiên bản cụ thể của SDN, được gọi là
OpenFlow (OF), đã được Tổ chức Mạng Mở (ONF) chỉ định. Thông số kỹ thuật của họ được công
bố công khai trên trang web của tổ chức. Công việc của ONF cũng bao gồm “Bảo mật dự án”,
tạo ra một số thông số kỹ thuật, đặc biệt là [14], cung cấp cái nhìn tổng quan tốt về các vấn đề
bảo mật OpenFlow. Trong khi [14] nhấn mạnh rõ ràng vào các giao thức OpenFlow, phần sau
đây sẽ đưa ra một cuộc thảo luận tổng quát hơn về các khía cạnh bảo mật SDN.

7.4.1 Tách mặt phẳng chuyển tiếp và mặt phẳng điều khiển

Do sự tách biệt giữa mặt phẳng chuyển tiếp và mặt điều khiển, SDN giới thiệu giao diện giữa bộ
điều khiển SDN và bộ chuyển mạch SDN. Giao diện này làm tăng bề mặt tấn công của toàn bộ
hệ thống. Nó có thể cho phép các cuộc tấn công vào tính toàn vẹn và bảo mật của
3285G cho thế giới kết nối

bộ điều khiển để chuyển đổi giao tiếp, tấn công DoS hoặc tấn công nhằm giành quyền kiểm soát các
bộ chuyển mạch và bộ điều khiển bằng cách khai thác các lỗ hổng trong phần mềm giao thức hoặc
cấu hình giao diện. Tuy nhiên, việc bảo mật một giao diện như vậy là một nhiệm vụ phổ biến và các
phương tiện phù hợp luôn sẵn có, chẳng hạn như sử dụng TLS [13] để thực hiện xác thực lẫn nhau và
bảo vệ thông tin liên lạc hợp pháp bằng mật mã, do đó bảo vệ khỏi mọi sự ngăn chặn và loại trừ tất cả
các thông tin liên lạc bị giả mạo bởi phần mềm độc hại. các bên thứ ba.

7.4.2 Kiểm soát tập trung

Việc tách mặt phẳng chuyển tiếp và mặt phẳng điều khiển cho phép (một cách logic) tập trung việc
điều khiển mạng. Mặc dù kiểm soát tập trung có thể góp phần thống nhất các chính sách bảo mật và
do đó cải thiện an ninh mạng tổng thể, kiểm soát tập trung cũng sẽ làm tăng tác động của một số
cuộc tấn công nhất định, cụ thể là các cuộc tấn công thành công trong việc làm hỏng hoặc xâm phạm
các bộ điều khiển trung tâm đó. Do đó, thiết kế và triển khai an toàn để giảm thiểu rủi ro về lỗ hổng là
điều cần thiết đối với bộ điều khiển.

7.4.3 Bộ điều khiển chạy trong môi trường đám mây

SDN cho phép triển khai bộ điều khiển trên máy ảo trong môi trường đám mây. Trong trường hợp
này, bộ điều khiển sẽ phải đối mặt với các mối đe dọa hiện diện trong môi trường như vậy và có thể bị
xâm phạm thông qua môi trường này. Xem Phần 7.5 để biết thảo luận chi tiết về bảo mật NFV. Về mặt
tích cực, môi trường đám mây có thể giúp khắc phục các cuộc tấn công DoS bằng cách phân bổ động
các tài nguyên bổ sung cho bộ điều khiển.

7.4.4 Kiểm soát chi tiết và linh hoạt

SDN cho phép kiểm soát chi tiết và linh hoạt các luồng trong mạng. Điều này tạo điều kiện
thuận lợi cho việc triển khai các giải pháp bảo mật có thể áp dụng các chính sách động cho các
luồng, chẳng hạn như chuyển hướng, giới hạn tốc độ hoặc chặn. Phải cẩn thận để các chính
sách chi tiết không gây ra sự phức tạp không cần thiết và khả năng xảy ra lỗi trong cấu hình
mạng.

7.4.5 Khả năng lập trình mạng thông qua giao diện bộ điều khiển hướng Bắc

SDN giới thiệu cái gọi là giao diện hướng bắc, nơi các ứng dụng có quyền truy cập
vào bộ điều khiển SDN. Điều này cho phép triển khai các giải pháp bảo mật mới tận
dụng khả năng thực thi tập trung, đồng thời kiểm soát chi tiết và linh hoạt trên mạng
thông qua bộ điều khiển SDN.
Mặt khác, khái niệm về một số ứng dụng khác nhau, bao gồm các ứng dụng của bên thứ ba
(có thể không nằm dưới sự kiểm soát hoàn toàn của nhà điều hành mạng) thực hiện kiểm soát
mạng sẽ đặt ra các vấn đề bảo mật, bao gồm xác thực ứng dụng, ủy quyền yêu cầu và giải
quyết các vấn đề bảo mật. những yêu cầu mâu thuẫn nhau. Những vấn đề này chắc chắn có thể
giải quyết được, nhưng các giải pháp phải được thiết kế và triển khai hết sức thận trọng để
tránh hành vi sai lầm do kiểm soát mạng nhiều bên gây ra.
Như đã thảo luận trong bối cảnh kiểm soát tập trung, thiết kế và triển khai an toàn là điều
cần thiết cho bộ điều khiển SDN. Điều này áp dụng cho giao diện hướng bắc, để ngăn chặn
 Bảo vệ329

Ứng dụng Ứng dụng Ứng dụng

mật mã
sự bảo vệ
Bảo mật ảo hóa/
môi trường đám mây

Xác thực âm thanh và

Bức tường lửa

khái niệm ủy quyền
Bộ điều khiển SDN an toàn
Triển khai mạnh mẽ
và kiểm soát quá tải

Mạng điều khiển

mật mã
sự bảo vệ

Công tắc SDN

Công tắc SDN Công tắc SDN

Triển khai mạnh mẽ
và kiểm soát quá tải

Hình 7.7Cơ chế bảo mật SDN.

các ứng dụng độc hại có thể xâm phạm bộ điều khiển thông qua giao diện này và sau đó
thể hiện quyền kiểm soát trái phép đối với tài nguyên mạng.
Hình 7.7 trực quan hóa các biện pháp bảo mật SDN được đề xuất. Trong số này, thiết bị
cần thiết nhất là bộ điều khiển SDN có khả năng chống quá tải và tấn công mạnh mẽ,
đồng thời triển khai các cơ chế ủy quyền và xác thực hợp lý tại giao diện hướng bắc của
nó. Tường lửa bổ sung xung quanh bộ điều khiển có thể được sử dụng để chống lại các
cuộc tấn công điển hình có thể xảy ra trong mạng TCP/IP, ví dụ như cuộc tấn công lũ lụt
TCP SYN, trong đó kẻ tấn công trong mạng cố gắng làm cạn kiệt một số tài nguyên mạng
nhất định của nạn nhân, tại đây bộ điều khiển SDN. Việc triển khai mạnh mẽ và kiểm soát
quá tải cũng áp dụng cho các nút triển khai lớp dữ liệu, bộ chuyển mạch SDN. Lưu lượng
giữa các ứng dụng và bộ điều khiển cũng như giữa bộ điều khiển và thiết bị chuyển mạch
có thể được bảo vệ bằng mật mã bằng các kỹ thuật tiên tiến như TLS. Mặc dù nỗ lực thực
tế để áp dụng các giao thức mật mã có thể không đáng kể trong bối cảnh này, nhưng cần
lưu ý rằng cũng cần phải có giải pháp quản lý khóa, bao gồm việc tạo, phân phối và bảo trì
tài liệu khóa dài hạn – cặp khóa riêng/chung và chứng chỉ trong trường hợp TLS. Tuy
nhiên, giải pháp quản lý khóa như vậy có thể được yêu cầu độc lập với việc sử dụng SDN
để đảm bảo việc quản lý các thành phần mạng.
Tóm lại, SDN mang đến những thách thức bảo mật mới cho mạng, khi nhiều ứng dụng
đa dạng được thừa nhận để “lập trình mạng”, tức là kiểm soát tài nguyên mạng thông qua
các giao diện hướng bắc. Tuy nhiên, SDN có thể cho phép linh hoạt hơn và
3305G cho thế giới kết nối

triển khai hiệu quả các giải pháp bảo mật nếu các giải pháp đó có thể được triển khai dưới dạng
ứng dụng phần mềm sử dụng bộ điều khiển SDN mà không cần dựa vào các thiết bị bảo mật
truyền thống. Dựa trên điều này, SDN có tiềm năng làm cho mạng trở nên an toàn hơn.

7.5 Bảo mật NFV

Như đã chỉ ra, việc áp dụng NFV đặt ra những mối đe dọa mới đáng kể. Với lớp ảo
hóa và các thực thể phần mềm mới cụ thể như trình quản lý cơ sở hạ tầng ảo, trình
quản lý VNF và bộ điều phối NFV, tổng số phần mềm có thể dễ bị tấn công tăng lên
đáng kể. Quan trọng hơn nữa, khái niệm chia sẻ cơ sở hạ tầng vật lý có thể tập hợp
các ứng dụng khác nhau theo một cách khá khó đoán. Do đó, các ứng dụng độc hại
có thể cố gắng tấn công các ứng dụng khác bằng cách sử dụng cùng tài nguyên vật
lý, chẳng hạn như bộ nhớ vật lý. Mục tiêu và mục đích của phần mềm ảo hóa là làm
cho việc chia sẻ cơ sở hạ tầng trở nên minh bạch đối với tất cả các ứng dụng. Tuy
nhiên, các lỗi trong phần mềm này có thể cho phép vi phạm thành công kiểu cách ly
này.

7.5.1 Cung cấp phần mềm đám mây có độ bảo mật cao

Do đó, điều bắt buộc là lớp ảo hóa, ví dụ như lớp ảo hóa, phải được triển khai với sự cẩn trọng
cao nhất để giảm thiểu khả năng xảy ra lỗ hổng. Tương tự như vậy, tất cả phần mềm ảo hóa
(đôi khi được gọi là ngăn xếp đám mây) phải hoạt động tốt và mạnh mẽ, đồng thời dự đoán
hành vi sai sót hoặc thậm chí có hại của tất cả phần mềm ứng dụng có thể truy cập vào giao
diện lập trình ứng dụng phần mềm đám mây. Kết quả phải là một nền tảng NFV có độ an toàn
cao.
Giống như phần mềm của các thành phần mạng không ảo hóa, VNF phải được thiết kế và
triển khai có lưu ý đến vấn đề bảo mật, tuân theo các quy trình tạo sản phẩm bao gồm các bước
như phân tích mối đe dọa cho chức năng tương ứng, đặc tả khái niệm bảo mật, mã hóa an
toàn, tăng cường, kiểm tra và kiểm tra an ninh. Các bước như vậy sẽ không đảm bảo không có
lỗi nhưng chúng được cho là sẽ giảm đáng kể số lượng lỗi có thể bị khai thác. Chúng cũng có
thể cung cấp cho các nhà khai thác mạng mức độ đảm bảo rằng hệ thống sẽ được an toàn
trước sự xâm phạm của những kẻ tấn công. Cái gọi là đảm bảo an ninh này rõ ràng phải xem
xét sự phân chia giữa nền tảng NFV và phần mềm ứng dụng, đồng thời xem xét rằng VNF có
thể chạy trên các nền tảng phần cứng và/hoặc phần mềm khác nhau.

7.5.2 Đảm bảo tính toàn vẹn của hệ thống NFV

Dựa vào quy trình tạo nhận thức bảo mật phức tạp và được triển khai tốt có thể không đủ
để triển khai 5G dựa trên NFV – có thể cần phải thiết lập niềm tin mạnh mẽ hơn vào tính
toàn vẹn của triển khai cụ thể. Dựa trên TPM (xem [11]) hoạt động như HBRT, tính toàn
vẹn của nền tảng NFV có thể được đảm bảo khi khởi động. Sau đó, ví dụ như trước khi
khởi chạy một VNF nhất định, tính toàn vẹn của nền tảng có thể được xác minh bằng cơ
chế chứng thực từ xa. Rõ ràng, hình ảnh VNF cũng cần được xác minh – kẻ tấn công có thể
đã giả mạo hình ảnh trước khi VNF được khởi chạy. Hơn nữa, phải đảm bảo rằng
 Bảo vệ331

VNF có thể bị ràng buộc với nền tảng đã được xác minh (hoặc tập hợp các nền tảng đã được xác minh) – nếu
không, nó có thể được di chuyển sang một nền tảng bị xâm nhập có thể tấn công thành công VNF, ví dụ như
đọc dữ liệu bí mật của VNF. Có sẵn các phương tiện để đạt được mục tiêu này. Bạn đọc quan tâm có thể tham
khảo [17].

7.5.3 VNF và phân luồng giao thông

Về cơ bản, đám mây an toàn cung cấp sự phân tách các VNF, nhưng trong cơ sở hạ tầng dùng chung, đó chỉ
là sự phân tách logic. Có thể có trường hợp một VNF hoặc một tập hợp VNF cụ thể được coi là quá nhạy cảm
đến mức phải loại trừ mọi cuộc tấn công kênh bên, ví dụ như thông qua một trình ảo hóa dễ bị tấn công.
Trong trường hợp này, tài nguyên vật lý chuyên dụng có thể được gán cho một VNF hoặc một tập hợp VNF,
không được chia sẻ bởi các VNF khác. Điều này phải trả giá bằng việc giảm hiệu quả tài nguyên. Nó có thể
được chấp nhận ở các trung tâm dữ liệu trung tâm lớn với nguồn tài nguyên dồi dào. Tuy nhiên, khi nói đến
việc triển khai đám mây biên phân tán, quy mô nhỏ, tài nguyên có thể khan hiếm đến mức việc dành riêng
các tài nguyên phần cứng cụ thể để một ứng dụng cụ thể sử dụng không phải là một lựa chọn hợp lệ.

Các mạng phức tạp thường sử dụng phân tách lưu lượng làm cơ chế bảo mật. Ví dụ: lưu lượng Vận hành
và Bảo trì (O&M) có thể được tách biệt hoàn toàn khỏi lưu lượng mặt phẳng người dùng, sử dụng các mạng
ảo khác nhau. Do đó, lưu lượng máy bay độc hại của người dùng không thể làm ảnh hưởng đến hoạt động
vận hành và bảo trì của mạng. Khái niệm này hoàn toàn có thể áp dụng cho các mạng dựa trên NFV. Trình ảo
hóa có thể hỗ trợ các bộ chuyển mạch ảo khác nhau trong một phiên bản trình ảo hóa duy nhất, dành riêng
cho các loại lưu lượng truy cập khác nhau. Các thiết bị chuyển mạch ảo và vật lý có thể hỗ trợ các Mạng cục
bộ ảo (VLAN) khác nhau và Mạng riêng ảo (VPN) có thể được tạo trong các mạng truyền tải diện rộng, do đó
cho phép tạo các mạng đầu cuối được tách biệt hoàn toàn cho các loại lưu lượng khác nhau, chẳng hạn như
lưu lượng máy bay người dùng, lưu lượng máy bay điều khiển và lưu lượng O&M.

7.5.4 Vùng bảo mật

Một biện pháp bảo mật mạng nổi tiếng khác là bảo mật chu vi và lọc lưu lượng truy cập
nội bộ mạng để tạo các vùng bảo mật khác nhau trong mạng. Ví dụ: một vùng có thể chứa
tất cả các thành phần mạng cần liên lạc với các đồng nghiệp bên ngoài mạng và vùng
khác có thể bao gồm các nút chỉ có mối quan hệ giao tiếp nội bộ mạng. Khái niệm này có
thể được chuyển vào môi trường NFV. Thay vì các thiết bị tường lửa vật lý, tường lửa ảo
hóa thường sẽ được áp dụng và hệ thống phát hiện xâm nhập ảo hóa có thể kiểm tra lưu
lượng truy cập để tìm các mối đe dọa tiềm ẩn. Về chức năng, các thiết bị bảo mật ảo hóa
như vậy tương đương với các thiết bị vật lý. Chúng có lợi thế về khả năng mở rộng linh
hoạt, cho phép chúng đối phó tốt hơn với lũ lưu lượng truy cập độc hại. Mặt khác, người
ta có thể lập luận rằng chúng gặp nguy hiểm hơn vì chúng có thể bị tấn công thông qua
cơ sở hạ tầng chung mà chúng sử dụng. Sự tách biệt giữa các vùng bảo mật khác nhau
được tạo thông qua tường lửa nội bộ mạng chỉ là một điều hợp lý. Tuy nhiên, như đã chỉ
ra ở trên, với chi phí giảm hiệu quả sử dụng tài nguyên, việc phân tách vật lý có thể được
thực hiện đối với vùng an ninh đặc biệt nhạy cảm.

7.5.5 Bảo vệ bằng mật mã

Để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu khi truyền hoặc lưu trữ, có thể sử dụng các cơ
chế mật mã. Đối với lưu lượng truy cập qua các điểm tham chiếu do 3GPP chỉ định, giữa
3325G cho thế giới kết nối

thiết bị di động và mạng, loại bảo vệ này đã được thảo luận trong Phần 7.3. Tuy nhiên,
nhiều giao diện bên trong mạng dựa trên NFV sẽ không được chuẩn hóa. Các giao diện
như vậy tồn tại giữa các VNF, nhưng cũng tồn tại giữa các thành phần VNF khác nhau có
thể được triển khai dưới dạng các máy ảo khác nhau và có thể chạy trên các nền tảng vật
lý khác nhau, được kết nối với nhau bằng mạng. Việc áp dụng bảo vệ bằng mật mã trên
tất cả các giao diện này dường như khó khả thi – không chỉ về mặt nỗ lực tính toán và độ
trễ mà còn về mặt quản lý khóa. Hơn nữa, cần lưu ý rằng những kẻ tấn công bên trong
môi trường NFV không nhất thiết phải tấn công lưu lượng đang truyền tải - có thể sẽ bổ
ích hơn nhiều nếu chúng thử tấn công chính các máy ảo, chẳng hạn như bằng cách cố
gắng truy cập vào bộ nhớ của chúng trong khi có dữ liệu liên quan trong văn bản rõ ràng.
Do đó, các mạng ảo hóa có thể dựa vào bảo mật mạng do cơ sở hạ tầng đám mây cung
cấp, điều này đảm bảo rằng VPN được chỉ định để kết nối một nhóm máy ảo cụ thể không
thể bị truy cập bởi bất kỳ máy ảo hoặc kẻ tấn công bên ngoài nào khác. Cơ sở hạ tầng đám
mây có thể lần lượt áp dụng bảo vệ bằng mật mã khi cần thiết. Ví dụ: các sợi kết nối các
trung tâm dữ liệu phân tán được phơi bày về mặt vật lý và có thể trở thành đối tượng của
nhiều hình thức khai thác khác nhau. Do đó, việc mã hóa tất cả lưu lượng truy cập qua các
sợi này phải được áp dụng, rất có thể là cho lưu lượng tổng hợp, do đó giảm đáng kể độ
phức tạp của việc quản lý khóa so với mã hóa riêng lẻ các luồng lưu lượng riêng lẻ.

Liên quan đến việc lưu trữ dữ liệu lâu dài, ví dụ như trên mảng đĩa dùng chung, việc dựa
vào bảo mật cơ sở hạ tầng chung có thể là đủ. Để tăng cường bảo mật, mã hóa riêng lẻ
với các khóa được duy trì trong VNF có vẻ là một lựa chọn hợp lý, vì nó yêu cầu kẻ tấn
công, ngoài việc truy cập bất hợp pháp vào dữ liệu được lưu trữ, còn tấn công thành công
VNF và lấy khóa.

7.5.6 Vận hành và quản lý an toàn

Vận hành và quản lý an toàn là rất quan trọng đối với các mạng không ảo hóa cũng như
mạng ảo hóa. Trong trường hợp thứ hai, tính chất động của mạng và sự phức tạp của việc
có nhiều lát mạng khác nhau có thể chia sẻ cùng một cơ sở hạ tầng đặt ra một thách thức
cụ thể. Như đã thảo luận trong Phần 7.2, mức độ tự động hóa cao có thể giúp giải quyết
thách thức này.

7.6 Bảo mật cắt mạng

7.6.1 Cách ly
Khi cắt một mạng, tức là tạo nhiều mạng ảo trên cơ sở hạ tầng vật lý chung, mục đích điển
hình là mỗi mạng ảo này độc lập với các mạng ảo khác. Nếu chúng ta giả sử có nhiều bên
thuê mạng, trong đó các bên khác nhau vận hành các phần khác nhau thì việc cách ly lát
mạng sẽ trở thành khía cạnh bảo mật quan trọng. Chúng ta có thể phân biệt hai khía cạnh
cách ly – cách ly tài nguyên và cách ly bảo mật. Điều đầu tiên đề cập đến thực tế là các tài
nguyên được gán cho một lát mạng (chẳng hạn như tài nguyên máy tính, lưu trữ và kết
nối mạng) không thể bị “chiếm đoạt” bởi bất kỳ lát cắt nào khác. Điều này không có nghĩa
là mỗi lát luôn có sẵn lượng tài nguyên cố định như nhau. Thay vào đó, Thỏa thuận cấp độ
dịch vụ (SLA) giữa toán tử lát cắt và InP có thể chỉ định chẳng hạn
 Bảo vệ333

lượng tài nguyên tối thiểu luôn được đảm bảo và có thể chỉ định thêm các điều khoản và
điều kiện cho việc sử dụng các tài nguyên bổ sung. Việc cách ly tài nguyên đảm bảo rằng
SLA được đáp ứng, ngay cả trong trường hợp các lát khác có thể gặp tình trạng quá tải
hoặc bị tấn công DoS. Cách ly bảo mật đề cập đến thuộc tính mà thông tin trong một lát
không thể được truy cập hoặc sửa đổi bởi các lát khác có cùng cơ sở hạ tầng.
Như đã chỉ ra trong Phần 7.5, bảo mật NFV hợp lý có thể đảm bảo cả hai loại cách
ly trong môi trường NFV. Đối với việc vận chuyển giữa các triển khai đám mây phân
tán, các kỹ thuật VPN có thể được áp dụng để đảm bảo sự cô lập, trong đó SDN cho
phép kiểm soát rất năng động và linh hoạt các VPN khác nhau chia sẻ cùng một cơ sở
hạ tầng truyền tải. Các lát cũng có thể chia sẻ thiết bị không ảo hóa, ví dụ như thiết bị
trạm gốc xử lý các lớp giao thức thấp hơn. Ở đây, sự cách ly cần được đảm bảo bằng
các cơ chế dành riêng cho thiết bị tương ứng. Ví dụ: khi nhiều lát chia sẻ một ô, một
bộ lập lịch vô tuyến chung có thể được cấu hình để thực hiện các chính sách lập lịch
nhằm đảm bảo rằng mỗi lát nhận được tài nguyên vô tuyến trong ô này theo SLA
hợp lệ cho lát.
Rõ ràng, sự cô lập hoạt động tốt hơn khi sử dụng ít tài nguyên phổ biến hơn. Do đó, không chia sẻ
cơ sở hạ tầng vật lý sẽ là phương pháp cách ly tốt nhất, nhưng điều này rõ ràng là không cần bàn cãi
khi xét đến những lợi ích to lớn được mong đợi từ việc chia sẻ cơ sở hạ tầng. Tuy nhiên, trong một số
trường hợp, có thể hợp lý nếu sử dụng sự tách biệt về mặt vật lý, chẳng hạn như tách biệt về mặt vật
lý các cơ sở dữ liệu đăng ký khác nhau được sử dụng bởi các lát khác nhau.
Nếu chúng tôi giả sử một mô hình trong đó InP cho các tổ chức bên thứ ba thuê các phần, chẳng
hạn như các ngành dọc, thì khi có cơ chế cách ly âm thanh, một phần được tổ chức bên thứ ba sử
dụng có thể được tách biệt khỏi các phần khác. Tuy nhiên, không có sự cô lập riêng đối với chính InP,
người kiểm soát cơ sở hạ tầng và có thể truy cập tất cả thông tin được xử lý trên đó. Vì vậy, các bên
thứ ba vận hành các lát cắt phải tin tưởng InP không chỉ thực hiện các biện pháp phù hợp để đảm bảo
sự cách ly giữa các lát cắt mà còn đảm bảo rằng khả năng truy cập của InP không bị lạm dụng để truy
cập dữ liệu riêng tư của bên thứ ba. Trong số những vấn đề khác, điều này có nghĩa là mối đe dọa từ
những người nội bộ độc hại trong tổ chức InP cũng phải được xem xét và giảm thiểu một cách thích
hợp.

7.6.2 Cơ sở hạ tầng cách ly lát nâng cao

Ví dụ: một ngành dọc có thể cần cung cấp kết nối 5G cho các ứng dụng Công nghiệp 4.0 (I
4.0) tại các nhà máy của ngành dọc và vì mục đích này, hãy thuê một phần mạng phù hợp
từ một nhà điều hành mạng cung cấp cơ sở hạ tầng cùng với các NF tạo thành lát mạng.
Ngành dọc trở thành đối tượng thuê của nhà điều hành mạng. Phần này cung cấp khả
năng kết nối giữa các thiết bị I 4.0 và Mạng dữ liệu (DN) được vận hành bởi ngành dọc lưu
trữ các máy chủ ứng dụng I 4.0. Nếu các ứng dụng có độ nhạy cảm cao, ngành dọc có thể
không chỉ tin tưởng vào nhà điều hành mạng để đảm bảo sự cách ly mà còn mong muốn
sự cách ly tốt hơn, có thể thực thi được. Như được mô tả trong [28] và được nêu ở phần
sau, có nhiều cách khác nhau để đạt được điều này.

7.6.2.1 Bảo mật vượt trội

Một lựa chọn rõ ràng cho ngành dọc trong trường hợp này là sử dụng bảo mật Over-The-Top
(OTT), trong đó các liên kết bảo mật đầu cuối giữa thiết bị di động và máy chủ ứng dụng được
thiết lập trên các lớp giao thức mạng. Một ví dụ phổ biến về bảo mật OTT được áp dụng bởi các
thuê bao dịch vụ dữ liệu di động là việc sử dụng TLS [13] để bảo mật.
3345G cho thế giới kết nối

duyệt web. Trong kịch bản ngành dọc, bảo mật OTT yêu cầu ngành dọc vận hành một cơ sở dữ
liệu riêng chứa số nhận dạng và thông tin xác thực cho tất cả các thiết bị được kết nối, đồng
thời cung cấp các số nhận dạng và thông tin xác thực này trên thiết bị di động. Cơ sở dữ liệu
này phải được triển khai trên nền tảng do chính ngành dọc kiểm soát – chạy nó trên đám mây
của một số InP sẽ loại bỏ được sự cô lập mong muốn.
Bảo mật OTT không góp phần cô lập tài nguyên, nhưng nó có thể cung cấp sự bảo vệ bí
mật và toàn vẹn cho lưu lượng truy cập của người thuê ngay cả đối với nhà điều hành
mạng. Tuy nhiên, nhà điều hành mạng vẫn có thể truy xuất nhiều siêu dữ liệu, ví dụ: thuê
bao nào có quyền truy cập vào mạng dữ liệu của ngành dọc, vị trí, thời gian và khối lượng
liên lạc, mối quan hệ liên lạc, v.v.

7.6.3 Các khía cạnh khác

Khái niệm cắt nhằm mục đích cung cấp các mạng ảo được tối ưu hóa cho các ứng dụng cụ
thể. Sự tối ưu hóa này cũng có thể áp dụng cho các cơ chế bảo mật. Hơn nữa, các lát cắt
có thể có các mức đảm bảo an ninh riêng lẻ, tập trung nỗ lực đảm bảo an ninh vào những
ứng dụng có ý nghĩa nhất. Mức độ đảm bảo của một slice bị giới hạn bởi mức độ đảm bảo
của cơ sở hạ tầng cơ bản.
Mặc dù một lát có thể gọn gàng, dễ vận hành và kiểm soát, nhưng toàn bộ mạng lưu
trữ nhiều lát lại phức tạp hơn nhiều so với mạng truyền thống, không bị chia cắt. Do đó,
bề mặt tấn công sẽ lớn hơn trong một mạng bao gồm nhiều phần, đặc biệt là trong các
tình huống mạng có nhiều bên thuê, trong đó các bên thứ ba như các ngành dọc vận
hành các phần riêng lẻ. Các giao diện và quy trình do nhà điều hành mạng cung cấp cho
bên thứ ba để quản lý các lát cắt phải được bảo mật cẩn thận và các hoạt động quản lý
phải được cấp phép. Tương tự, khi các lát cắt do ngành dọc điều khiển có giao diện với các
phần chung của mạng do nhà điều hành kiểm soát, các giao diện này phải được bảo mật
và quyền truy cập phải được cấp phép. Điều tương tự cũng đúng đối với giao tiếp giữa các
phần theo nghĩa giao tiếp giữa các mạng (ảo) do các tổ chức khác nhau (nhà điều hành
mạng hoặc bên thứ ba) điều hành. Các thủ tục cắt cụ thể khác có thể làm tăng bề mặt tấn
công và do đó phải được bảo mật, bao gồm các thủ tục lựa chọn lát cắt và các thủ tục xác
thực và ủy quyền dành riêng cho việc cắt.

Với tính năng cách ly lát âm thanh, một cuộc tấn công DoS trên một lát duy nhất sẽ không
ảnh hưởng đến các lát khác trong cùng mạng. Tuy nhiên, một lát được thiết kế cho một ứng
dụng “nhỏ”, như dành cho một số lượng nhỏ thiết bị di động và/hoặc lượng lưu lượng truy cập
thấp có thể dễ dàng bị choáng ngợp bởi một cuộc tấn công tràn ngập, so với một mạng lớn,
không bị chia cắt. Các cuộc tấn công DoS chống lại các lát cắt cụ thể có thể được thực hiện ngay
cả khi các lát cắt đó không được mạng hiển thị rõ ràng, bởi vì sự tồn tại của các lát cắt cụ thể có
thể khó che giấu về lâu dài.
Một mối đe dọa có thể phát sinh trong trường hợp kết nối đồng thời của UE với nhiều
lát là việc chuyển tiếp lưu lượng độc hại giữa các lát khác nhau thông qua UE. Tuy nhiên,
điều này có nghĩa là UE có hành vi nguy hiểm, có thể do một số phần mềm độc hại đã
được cài đặt. Vì dù sao thì mạng hoặc lát cắt cũng cần được bảo vệ khỏi hành vi độc hại
hoặc sai sót của UE nên không cần có biện pháp bảo mật cụ thể nào để chống lại mối đe
dọa này.
 Bảo vệ335

7.7 Cơ sở hạ tầng mạng riêng

Để đạt được mức độ cách ly cao hơn do bảo mật OTT cung cấp, ngành dọc có thể triển khai cơ sở hạ tầng
mạng 5G của riêng mình. Về nguyên tắc, một mạng 5G riêng hoàn chỉnh có thể được triển khai trong nhà
máy, tại bến cảng hoặc sân bay, nếu vấn đề sử dụng phổ tần được giải quyết, ví dụ như phổ tần không được
cấp phép được sử dụng hoặc phổ tần được cấp phép được phân bổ theo chiều dọc ở một khu vực hoặc khu
vực nhất định. Nó cho phép các mạng riêng như vậy tránh triển khai USIM, đồng thời cho phép chúng không
sử dụng cơ chế bảo mật 3GPP (AKA) mà sử dụng bất kỳ phương thức EAP phù hợp nào. Trong khi một số
thiết bị I 4.0 có thể không bao giờ rời khỏi nhà máy, những thiết bị khác cũng có thể cần kết nối bên ngoài
nhà máy và có thể yêu cầu dịch vụ liên tục đối với một số dịch vụ đang sử dụng.

Người giới thiệu

1Sách trắng Nokia, “Thách thức và cơ hội bảo mật cho mạng di động 5G”,
2017, có tại https://resources.nokia.com/asset/201049https://www.ngmn.org/5gwhite-
paper/5g-white-paper.html.
2Liên minh mạng di động thế hệ tiếp theo, “Sách trắng 5G”, Phiên bản 1.0 ngày 17 tháng 2 năm
2015, có tại https://www.ngmn.org/5g-white-paper/5g-white-paper.html.
3Liên minh mạng di động thế hệ tiếp theo, “Gói khuyến nghị bảo mật 5G-
age #1”, “Gói khuyến nghị bảo mật 5G số 2: Phân chia mạng”, “Bảo mật 5G
– Điện toán biên di động/Độ trễ thấp/Trải nghiệm người dùng nhất quán”, (có sẵn tại
https://www.ngmn.org/de/publications/technology.html).
4Forsberg, D., Horn, G., Moeller, WD và Niemi, V. (2013).Bảo mật LTE, 2e. Wiley.
53GPP TR 33.821: “Cơ sở lý luận và theo dõi các quyết định bảo mật trong Phát triển dài hạn
(LTE) Tiến hóa kiến trúc hệ thống RAN/3GPP (SAE)”.
63GPP TS 22.261: “Yêu cầu dịch vụ đối với hệ thống 5G”.
7ETSI GS NFV 004: “Ảo hóa chức năng mạng; Yêu cầu ảo hóa”.
số 8GS NFV-SEC 001: “Ảo hóa chức năng mạng; Bảo mật NFV; Trạng thái vấn đề-
tâm trí”.
9GS NFV-SEC 003: “Ảo hóa chức năng mạng; Bảo mật NFV; An ninh và
Hãy tin tưởng vào sự hướng dẫn”.

10GS NFV-SEC 012: “Ảo hóa chức năng mạng; Phát hành 3; Bảo vệ; Hệ thống
đặc tả kiến trúc để thực thi các thành phần NFV nhạy cảm”.
11ISO/IEC 11889-1:2015: “Công nghệ thông tin – Mô-đun nền tảng tin cậy
thư viện – Phần 1: Kiến trúc”.
12NIST SP 800-162: “Hướng dẫn về Định nghĩa và Định nghĩa Kiểm soát Truy cập Dựa trên Thuộc tính (ABAC)
Những cân nhắc”.
13IETF RFC 5246: “Giao thức bảo mật lớp vận chuyển (TLS)”.
14Tổ chức Mạng Mở TR 511: “Các nguyên tắc và thực hành để bảo mật
Mạng được xác định bằng phần mềm”.
153GPP TS 33.401: “Tiến hóa kiến trúc hệ thống 3GPP (SAE); Kiến trúc an ninh”.
163GPP TS 33.402: “Tiến hóa kiến trúc hệ thống 3GPP (SAE); Các khía cạnh an ninh của
truy cập không phải 3GPP”.
3365G cho thế giới kết nối

17Sách trắng Nokia: “Hệ thống NFV đáng tin cậy”, có tại https://resources.ext.nokia
. com/tài sản/201400.
183GPP TS 33.501: “Quy trình và kiến trúc bảo mật cho hệ thống 5G”.
193GPP TR 33.899: “Nghiên cứu các khía cạnh bảo mật của hệ thống thế hệ tiếp theo”.
20IETF RFC 3748: “Giao thức xác thực mở rộng (EAP)”.
21IETF RFC 5488: “Phương thức giao thức xác thực mở rộng được cải tiến cho thiết bị thứ ba
Thỏa thuận khóa và xác thực thế hệ (EAP-AKA')”.
22IETF RFC 7296: “Giao thức trao đổi khóa Internet phiên bản 2 (IKEv2)”.
23IETF RFC 4301: “Kiến trúc bảo mật cho giao thức Internet”.
24IETF RFC 7540: “Giao thức truyền siêu văn bản phiên bản 2 (HTTP/2)”.
25IETF RFC 6733: “Giao thức cơ sở đường kính”.
26IETF RFC 6749: “Khung ủy quyền OAuth2.0”.
27IETF RFC 4251: “Kiến trúc giao thức Secure Shell (SSH)”.
28Schneider, P., Mannweiler, C. và Kerboef, S. (2018). Cung cấp mạng di động 5G mạnh mẽ
cách ly lát mạng cho các dịch vụ bên thứ ba có độ nhạy cao. TRONG:Kỷ yếu của IEEE
WCNC. ISBN: 978-1-5386-4068-5.
29Nokia, “Xây dựng Đám mây Telco An toàn”, 2014, có tại https://resources.nokia.com/
tài sản/200289.