5G规范安全性和协议漏洞分析（上篇）

一、概述

第三代合作计划(3GPP)在2018年3月，发布了第15版移动通信系统规范，为第五代移动通信(5G)奠定了基础。5G网络的目标是提供无处不在的高速、低延迟网络连接，以更好的应用于高清视频和物联网的场景，同时服务于大规模通信以及实时控制的需求。因此，最新一代移动通信的设计原则是支持更高承载量、支持更高数据速率、减少延迟、支持大规模设备连接，从而实现触觉互联网(Tactile Internet)、增强现实(AR)、虚拟现实(VR)以及智慧车辆互联。

与此前的2G、3G和4G(LTE)一样，安全性对于5G通信网络和服务至关重要，因为目前，移动系统正在为全世界数十亿人提供连接。此外，蜂窝通信网络是当前新型关键基础设施的连接基石，包括智能电网、第一响应单元(First Responder Units)和先进的军事自组织网络。5G的出现将诞生新的网络和应用，包括用于辅助驾驶或自动驾驶的下一代车载网络，以及智慧城市和智慧社区。

传统的2G网络存在着一些安全弱点，最严重的一个问题就是网络和用户设备(UE)之间缺乏相互认证。正因如此，从3G开始，安全性便始终成为了移动通信的关键设计考虑要素之一。LTE实现了强大的加密和完整性保护算法，支持基于对称密钥的相互认证系统，该系统安全的存储在通用用户识别模块(USIM)或SIM中，以及运营商的归属用户服务器(HSS)上。然而，近年来的安全研究又发现了LTE协议固有的一系列漏洞。例如，大量的预身份验证消息以明文形式发送，并且该消息可以被利用发起拒绝服务(DoS)攻击，并从用户设备(UE)处获得移动用户的位置信息。

LTE规范的第一版，Release 8，发布于2007年。在很久之后，安全研究人员才发现其主要的安全漏洞，并首次在公开文献中报告。之所以时隔这么久，一个原因在于没有可用且价格合理的LTE安全研究工具。直到最近几年，在个人计算机上运行的LTE软件库和能够使用现有商业软件定义的无线电外设才达到足够的成熟度。只有这些环境可以被安全研究者使用，他们才能对LTE进行深入的研究，从而也就能够取得良好的研究成果，发现许多协议上的漏洞。

在5G网络的定义和规范建立过程中，安全性被作为一个关键的考虑要素和核心问题。自从NR和5GC的通信协议建立以来，他们已经在解决已知的LTE协议漏洞方面付出了大量的努力，特别是在防范国际移动用户标识符(IMSI)捕获器Stingrays这一方面。因此，5G协议引入了用户永久标识符(Subscriber Permanent Identifier，SUPI)和用户隐藏标识符(Subscriber Concealed Identifier，SUCI)的概念。更重要的是，5G规范中引入了基于公钥基础设施(PKI)的安全体系结构，允许验证和鉴别源自5GC的控制面消息(Control Plane Messages)。

尽管5G协议在努力设计其安全架构，但仍然存在许多不安全协议的边缘案例。攻击者可利用这些案例，来对用户实现拒绝服务攻击，或者拦截敏感用户信息。此外，5G协议规范所基于的场景可能难以符合实际，从而导致不安全的网络配置。具体而言，5G所有安全性的基础都是SIM卡中保存的运营商公钥，只有在“全世界所有移动设备的所有SIM卡中都保存了全世界所有运营商的公钥”这一种情况下，才能保证该协议的绝对安全。此外，所有的运营商也必须负责保证自己的私钥是安全的。在全世界范围内，密钥管理和轮换机制显然是不可行的，并且也不在标准规范之中。并且，受政治因素影响，密钥分配机制可能不会被全球所有国家和地区所采用。一旦上述过程中出现了任何问题，都可能会导致不安全的协议实现或ISMI捕获的风险。

本文对当前的5G协议安全规范进行了全面分析。作为本次研究的一部分，我们列举了协议存在的漏洞，并将其带入实际场景，分析潜在的安全威胁。此外，我们还讨论了5G安全性的要求和前提条件，重点关注了全球采用(Global Adoption)及其产生的结果。最后，我们还分析了无线电接入网安全相关的体系结构和过程。但是，关于5GC安全性的分析不在本文的讨论范畴之内。

本文主要内容如下：第二章中介绍了5G安全体系结构和组成部分，第三章讨论了3GPP Release 15规范中提出的5G安全要求和过程，第四章详细分析了5G规范的主要安全挑战，重点说明了其存在的协议漏洞利用和敏感信息泄漏的潜在风险，第五章分析已知LTE协议漏洞是否会影响到5G的安全性，最后在第六章中总结了我们的研究结果。

二、5G安全体系结构

5G的安全体系结构由用户设备(UE)、无线电接入网络(RAN)、核心网络(CN)和应用组成。该体系结构可以简化为应用层、服务层和传输层。下图为服务层和传输层的简化图：

在整个网络和终端用户组件之中，分别定义了不同的安全特性，这些特性组合在一起，共同创建了一个安全的系统设计方案：

• 网络访问安全性(I)：使用户设备(UE)能够经过认证，并且安全的访问网络服务的一系列功能或机制。
• 网络域安全(II)：使核心网络节点能够安全地交换信令数据(Signaling Data)和用户平面数据(User Plane Data)的一系列功能。
• 用户域安全(III)：保护用户访问移动设备和移动服务的一系列功能。
• 基于服务的体系结构(SBA)和域安全性(IV)：SBA域中的一系列功能，包括网元注册、发现和授权，以及对基于服务的接口的保护。
• 安全性的可见与可配置(未在图1标明)：使用户能够获知安全功能是否正在运行，同时使用户能够对安全功能进行配置。

5G规范定义了许多网络功能及其接口，允许无线电接入网络(RAN)、核心网络(CN)和外部网络之间的数据流传递。下图展示了简化后的5G网络结构。5G网络功能和安全功能为5G移动通信系统的开发提供了灵活而又安全的设计。

下面列举了一些重要的3GPP网络概念和组件，用于定义和分析5G的安全体系结构、要求和过程：

• 5G-GUTI：5G全球唯一临时标识符(5G Global Unique Temporary Identifier)，考虑到安全需要，用于限制SUPI的信令。
• 5GC：5G核心网(5G Core)。
• AKA：认证和密钥协议(Authentication and Key Agreement)，用于蜂窝网络中无线网络接入的安全协议。
• ARPF：认证凭据存储和处理功能(Authentication Credential Repository and Processing Function)，将长期安全证书和密钥存储在5G-C中。
• AUSF：认证服务器功能(Authentication Server Function)，用于归属网络的5G安全过程。
• CP：控制面(Control Plane)，用于控制数据信令层面。
• EAP：可扩展身份验证协议(Extensible Authentication Protocol)，认证框架，用于密钥和参数的传输。
• EPC：演进分组核心网(Evolved Packet Core)，LTE无线核心网络。
• EPS：演进分组系统(Evolved Packet System)，LTE无线电接入和核心网络。
• HE：归属环境(Home Environment)，包含用户配置文件、标识符和订阅信息的数据库。
• IMSI：国际移动用户识别码(International Mobile Subscriber Identity)，用于2G、3G、4G系统，作为识别用户的唯一方式。
• MCC-MNC：移动国家代码-移动网络代码(Mobile Country Code – Mobile Network Code)，由基站广播，作为识别运营商的唯一方式。
• ME：移动设备(Mobile Equipment)，移动终端。
• NAS：非接入层(Non-Access Stratum)，与认证、其他安全功能和控制面机制相关的网络层。
• PKI：公钥基础设施(Public Key Infrastructure)，分层密钥的一种，用于创建、管理、分发和使用数字证书以及管理公钥加密。
• RRC：无线资源控制(Radio Resource Control)，在RAN管理上层的无线电资源。
• SBA：基于服务的体系结构(Service-Based Architecture)，支持切片(Slicing)和虚拟化，从而在每个服务的基础上优化网络性能。
• SEAF：安全锚功能(Security Anchor Function)，是5G-C功能之一，创建统一的锚键，提供给UE使用，在网络中用于主要的认证和后续通信保护。
• SMF：会话管理功能(Session Management Function)，是5G-C中SBA的一部分，负责协议数据单元与UE进行交换，包括策略和计费。
• SN：服务网络(Serving Network)，为UE的网络，可以是归属网络或访客网络。
• SUCI：用户隐藏标识符(Subscription Concealed Identifier)，使用运营商的公钥对SUPI进行加密。
• SUPI：用户永久标识符(Subscription Permanent Identifier)，是5G用户的永久身份，相当于IMSI。
• TAU：跟踪区域更新(Tracking Area Update)，由处于空闲状态的UE发送的消息，以通知网络其跟踪区域(TA)。
• UDM：统一数据管理(Unified Data Management)，支持ARPF的5GC功能。
• UE：用户设备(User Equipment)，由ME和USIM组成，提供对用户服务的访问。
• UP：用户面(User Plane)，用户数据信令层面。
• USIM：通用用户识别模块(Universal Subscriber Identity Module)，也称为SIM，硬件安全存储，其中包含IMSI(或SUPI)，以及用于用户身份验证和其他AKA功能的密钥。

三、3GPP 5G规范安全需求及实现

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!