Bảo mật mạng thông tin vệ tinh

Trên thế giới, liên lạc vệ tinh khá phổ biến và là một trong những kênh liên lạc thông tin chính của nhiều quốc gia. Kể từ khi được đưa vào sử dụng (giữa những năm 60 của thế kỷ 20) đến nay, công nghệ thông tin vệ tinh đã trải qua các giai đoạn phát triển có tính “cách mạng”.

Dễ nhận biết nhất là các thay đổi lớn trong thiết kế các trạm thu – phát mặt đất (earth station). Từ chỗ ban đầu các trạm thu phát mặt đất cần những anten với đường kính khoảng 30m, nay thu nhỏ lại chỉ còn 0,6m (dùng thu truyền hình trực tiếp), thậm chí có những thiết bị đầu cuối cầm tay với kích thước bỏ túi như điện thoại vệ tinh (Iridium, Globalstar). Quá trình phát triển trạm mặt đất từ năm 1960 đến năm 2000 đã trải qua bốn giai đoạn, giai đoạn đầu là các trạm trunking (Trunking Station), tiếp đến là trạm định tuyến nhỏ (Thin Route Station), sau đó là trạm VSAT (Very Small Aperture Terminal) [1]. Từ năm 2000 đến nay là trạm cá nhân và di động (Mobile and Personal Station).
Trong các loại trạm mặt đất, trạm VSAT hiện được sử dụng rộng rãi nhất vì nó có khả năng cung cấp được nhiều loại dịch vụ, đáp ứng tốt nhu cầu của đại đa số khách hàng, mang lại hiệu quả kinh tế cao và giá thành đầu tư không lớn. Các trạm thông tin vệ tinh mặt đất của Việt Nam chủ yếu sử dụng VSAT. Vì vậy, nội dung của bài báo này giới thiệu sơ bộ về mạng thông tin vệ tinh VSAT và khả năng bảo mật thông tin đối với mạng này.

1. Mô hình liên lạc vệ tinh giữa các trạm VSAT

VSAT là tên thương mại của các trạm mặt đất nhỏ, được đưa vào sử dụng từ những năm 80 của thế kỷ 20. Trên thực tế, VSAT là các thiết bị loại nhỏ, đảm bảo các dịch vụ truyền thông đa dạng với dung lượng hạn chế. Các trạm VSAT liên lạc với nhau bằng sóng vô tuyến RF (radio frequency) qua vệ tinh, với kết nối lên (uplink) từ trạm mặt đất tới vệ tinh, và kết nối xuống (downlink) từ vệ tinh đến trạm mặt đất (hình 1).
Kết nối giữa hai VSAT thông qua vệ tinh, bao gồm kết nối lên và kết nối xuống gọi là một chặng (hop). Tùy thuộc vào cấu trúc luồng thông tin trong mạng, chất lượng và dung lượng kết nối cần đáp ứng, yêu cầu về độ trễ về thời gian của dữ liệu truyền dẫn mà người ta thiết lập mô hình kết nối truyền thông giữa các VSAT sao cho hợp lý. Có hai loại mô hình kết nối chính là dạng lưới (Mesh) và dạng hình sao (star). Ngoài ra, còn có mô hình lai (Hybrid) giữa hai dạng này.


                           Hình 1 : kết nối liên lạc vệ tinh của các VSAT

Kết nối dạng lưới: Trong mô hình này, thông qua vệ tinh, các trạm VSAT có thể trao đổi thông tin với nhau một cách trực tiếp (hình 2). Trong mô hình kết nối này có sự suy giảm và mất mát năng lượng trong quá trình truyền dẫn (bên cạnh đó, các VSAT thường có kích thước nhỏ, năng lượng thu/phát hạn chế) nên chất lượng tín hiệu các VSAT nhận được nhiều khi không đáp ứng yêu cầu thực tế. Vì vậy, mô hình kết nối dạng lưới tính khả thi không cao. Trên thực tế, nếu muốn sử dụng mô hình lưới, các VSAT thường có kích thước tương đối lớn, chi phí đầu tư sẽ cao hơn.


                                    Hình 2 : mạng VSAT kết nối dạng lưới

Để khắc phục điểm yếu của mạng dạng lưới (sự suy hao năng lượng tín hiệu), người ta lắp đặt trong mạng một trạm với công suất, dung lượng băng thông lớn hơn VSAT, được gọi là trạm HUB. Trạm HUB có anten với đường kính khoảng từ 4m đến 10m. HUB có khả năng nhận thông tin từ các VSAT trong mạng và truyền tải thông tin đó đến các VSAT cần liên lạc. Khi đó mạng có cấu trúc kết nối dạng sao (hình 3).
Với mạng có cấu trúc dạng sao, liên lạc giữa hai VSAT bất kỳ đều phải thông qua HUB. Kết nối trao đổi dữ liệu giữa HUB và các VSAT có thể diễn ra theo hai chiều. Chiều kết nối từ HUB đến VSAT gọi là kết nối ra ngoài (Outbound link), chiều từ VSAT đến HUB gọi là kết nối vào trong (Inbound link). Cũng có một số trường hợp trao đổi dữ liệu giữa HUB và các VSAT chỉ diễn ra theo một chiều, từ HUB đến VSAT, như đối với các thông tin quảng bá (truyền hình)…


Hình 3: Kết nối hai chiều giữa HUB và các VSAT trong mạng dạng sao

Thông thường, ở mạng dạng lưới, thời gian trễ trong truyền dữ liệu từ VSAT này đến VSAT khác khoảng 0,25s, còn trong mạng dạng sao, thời gian trễ trong truyền dữ liệu giữa hai VSAT khoảng 0,5s, do các dữ liệu đều phải truyền qua HUB.
Đối với mạng dạng lưới, sẽ có một trạm chủ đảm bảo việc quản lý, giám sát chung toàn mạng, ngoài ra còn một trạm đảm nhận chức năng dự phòng (backup) thay thế trạm chủ khi có sự cố xảy ra. Đối với mạng dạng sao, việc giám sát, quản lý điều hành được thực hiện thông qua HUB. Người ta có thể sử dụng một HUB riêng (dedicated) cho mỗi mạng dạng sao, hoặc một HUB dùng chung (shared HUB) cho nhiều mạng sao của các tổ chức khác nhau.
2. Cấu tạo các trạm mặt đất

Trạm VSAT
Trạm VSAT được cấu tạo gồm hai khối riêng biệt là khối trong nhà – IDU (indoor unit) và khối ngoài trời ODU (outdoor unit) (hình 4).
Khối ngoài trời đảm bảo giao tiếp giữa VSAT với vệ tinh, khối trong nhà giao tiếp với các thiết bị đầu cuối hay mạng cục bộ (LAN) của khách hàng.


Hình 4: Cấu trúc của trạm VSAT

Các tham số liên quan đến khối ODU bao gồm: Băng tần số thu/phát (băng Ku, C); Các tham số về anten (kiểu, kích thước, tốc độ gió…); Khuyếch đại công suất năng lượng; Thu nhiễu thấp (Low noise receiver); Các đặc tính chung, nguồn điện, nhiệt độ vận hành.
Các tham số liên quan đến khối IDU bao gồm: Số các cổng; Kiểu các cổng (liên quan đến kết cấu, nguồn điện, chức năng, giao tiếp… thường tuân theo tiêu chuẩn chung); Tốc độ của cổng (tốc độ tối đa mà dữ liệu có thể trao đổi qua cổng).

Trạm HUB
Trạm HUB  có các thành phần giống như VSAT với một số khác biệt về kích thước, công suất và những hệ thống con. Sự khác nhau chủ yếu giữa VSAT và HUB là khối IDU. Khối IDU của HUB có giao tiếp với các máy chủ, mạng PSTN hoặc kênh thuê riêng… Trong IDU của trạm HUB luôn có hệ thống quản lý mạng (NMS – network management system). NMS là thiết bị máy tính cùng với công cụ phần mềm dùng để thực hiện các chức năng quản lý, giám sát, điều hành mạng. Máy tính quản lý này được kết nối với các VSAT trong mạng bằng một mạch ảo cố định, các thông báo quản lý được thường xuyên trao đổi giữa NMS với các trạm VSAT và được gửi cùng với các dữ liệu trong mạng.


                                    Hình 5: Cấu trúc trạm HUB

3. Bảo mật thông tin trong mạng VSAT
Các thông tin trong mạng VSAT được truyền tải thông qua kết nối sử dụng tần số vô tuyến, do đó việc thu trộm thông tin rất dễ dàng xảy ra. Biện pháp ngăn chặn hiệu quả nhất là ứng dụng mật mã để bảo vệ các dữ liệu được gửi/ nhận qua các trạm VSAT (ở đây chỉ xem xét vấn đề bảo mật liên lạc nội bộ trong mạng VSAT). Có hai biện pháp mật mã có thể sử dụng là bảo mật ngay tại trạm VSAT (HUB) và bảo mật ở các thiết bị đầu cuối của khách hàng.
Thực hiện các biện pháp mật mã ngay tại trạm VSAT (HUB): Theo sơ đồ liên lạc và cấu tạo của các VSAT (HUB) chúng ta thấy chức năng bảo mật có thể tích hợp vào trong khối IDU, thực hiện ở phần kết nối giữa khối IDU và ODU, hoặc trước các giao diện giữa khối IDU với các thiết bị của khách hàng. Do cách đầu tiên rất phức tạp và tính khả thi không cao nên trong thực tế, cách tiếp cận tốt nhất là việc mã hóa/giải mã được thực hiện ngay trước các giao diện của khối IDU với các thiết bị của khách hàng (hình 6).

Hình 6: Ứng dụng mật mã giữa giao diện của IDU và thiết bị của khách hàng

Các thiết bị mật mã trong trường hợp này đóng vai trò như các thiết bị mã luồng. Tùy từng loại giao diện (RJ45, G.723, RS232,…) và tốc độ luồng dữ liệu khác nhau mà cần phải sử dụng các thiết bị mã khác nhau.Các thuật toán mã hóa, giao thức trao đổi khóa và các biện pháp nghiệp vụ cũng cần được áp dụng tùy thuộc vào mô hình trao đổi dữ liệu cụ thể cũng như mức độ yêu cầu về đảm bảo bí mật thông tin. Vấn đề phức tạp cần xử lý ở đây là việc lựa chọn sử dụng và phân phối khóa mã. Chúng ta xem xét hai trường hợp phân phối khóa:
-Trường hợp 1: Chỉ có hai VSAT liên lạc với nhau (site – to – site): Trong trường hợp này, giả định là tại mỗi thời điểm một VSAT chỉ liên lạc với một VSAT khác. Khi đó vấn đề trao đổi khóa không phức tạp và có thể dễ dàng triển khai. Nhưng trên thực tế ít xảy ra trường hợp liên lạc như vậy.
-Trường hợp 2: Nhiều VSAT liên lạc với nhau (Site-to-Multisite), khi đó, một VSAT có thể trao đổi thông tin đồng thời với  nhiều VSAT khác. Có hai khả năng xảy ra. Khả năng thứ nhất là mỗi cặp VSAT liên lạc với nhau bằng cặp khóa riêng. Như vậy khi trong mạng có N trạm VSAT thì tối đa có thể có N(N-1)/2 lần thỏa thuận trao đổi khóa (nếu sử dụng trao đổi khóa tự động dựa trên nền tảng mật mã khóa công khai) điều này rất khó thực hiện vì khi số trạm VSAT đủ lớn thì số các cặp khoá tăng lên đáng kể. Khi đó mỗi trạm cần tiến hành một khối lượng công việc rất lớn để thực hiện thoả thuận khoá. Đó là chưa tính đến những trường hợp một số trạm cùng một lúc ngừng hoạt động hoặc một số trạm đồng thời tham gia liên lạc. Nếu sử dụng khóa chia sẻ trước, thì tại mỗi VSAT phải lưu trữ tới (N-1) bộ khóa. Vấn đề sinh khóa phiên và đồng bộ khóa sẽ gây ra rất phức tạp trong triển khai thực tế. Khả năng thứ 2 là các VSAT thỏa thuận với nhau sử dụng một khóa chung chỉ định (gọi là khóa bảng). Khóa dùng để mã hóa được lựa chọn ngẫu nhiên trong bảng (dựa vào chỉ số bảng). Đây là giải pháp được nhiều hãng chế tạo thiết bị mật mã áp dụng [2] và được đánh giá cao. Ở đây, việc tạo bảng và quản lý sử dụng nó là hết sức quan trọng, mức độ an toàn của bảng cũng cần phải được xem xét kỹ.
Thực hiện các biện pháp mật mã ở các thiết bị đầu cuối của khách hàng: Chức năng mã hóa/giải mã được tích hợp ngay trong thiết bị của khách hàng (gọi là bảo mật thiết bị đầu cuối).
Đối với trường hợp mạng VINASAT, giao thức truyền thông được sử dụng là TCP/IP, do vậy bảo mật các ứng dụng (thiết bị) đầu cuối trong mạng VINASAT bao gồm: Bảo mật VoIP, Video Conference (trên mạng IP), Fax-IP, và bảo mật các ứng dụng, dữ liệu trên mạng IP… Trong đó vấn đề bảo mật VoIP được đặc biệt quan tâm vì thông tin thoại là mô hình liên lạc phổ dụng nhất trong mạng và đặc điểm liên lạc thoại đòi hỏi đáp ứng thời gian thực.
Để đảm bảo liên lạc thoại thời gian thực, trong thiết kế chương trình quản lý các hoạt động VSAT, dữ liệu thoại phải luôn được ưu tiên ở mức cao (về băng thông). Việc áp dụng các biện pháp mã hóa phù hợp để thông tin về dữ liệu thoại luôn được hệ thống phân tách, ưu tiên về kênh truyền mà vẫn đáp ứng được yêu cầu về bảo mật là rất cần thiết. Thiết lập hệ thống thoại mật trên mạng đã được đề cập trong một số tài liệu [3].
Để thông tin thoại đạt được chất lượng cao, một yêu cầu đặt ra là thời gian trễ dữ liệu (bao gồm trễ kênh truyền, xử lý tín hiệu, mã hóa…) không vượt quá 0,6s. Trong khi đó, trễ do kênh truyền đã chiếm khoảng 0,5s dẫn đến thời gian dành cho xử lý tín hiệu, mã hóa sẽ không quá 0,1s. Đây là vấn đề không dễ giải quyết, cần có sự đầu tư, nghiên cứu một cách hệ thống mới có thể đề xuất được giải pháp kỹ thuật phù hợp, đáp ứng các yêu cầu thực tế đặt ra.
Giải quyết trọn vẹn bài toán bảo mật trong mạng vệ tinh VSAT là vấn đề phức tạp, cần áp dụng tổng thể nhiều biện pháp. Như đã nêu ở trên, có thể tiến hành các biện pháp mật mã tại trạm VSAT, tức là thực hiện ở giữa giao diện khối IDU và thiết bị đầu cuối của khách hàng (gọi là bảo mật giao diện). Tuy nhiên, biện pháp này có mức bảo mật chưa cao, áp dụng mật mã ở đây chỉ có thể bảo đảm ở mức an toàn nghiệp vụ. Để đáp ứng được mức bảo mật cao, tốt nhất nên thực hiện tại các thiết bị đầu cuối của khách hàng. Do vậy, vấn đề nghiên cứu, thiết kế, chế tạo các sản phẩm, có ứng dụng bảo mật để đảm bảo an ninh liên lạc đầu cuối cần phải được quan tâm đầu tư thích đáng

KS. Vũ Văn Xứng

About the Author: Le Thi Ngoc Ha