5G安全性规范与协议漏洞的全面分析

本文对当前的5G协议安全规范进行了全面分析。作为本次研究的一部分,我们列举了协议存在的漏洞,并将其带入实际场景,分析潜在的安全威胁。

一、概述

第三代合作计划(3GPP)在2018年3月,发布了第15版移动通信系统规范,为第五代移动通信(5G)奠定了基础。5G网络的目标是提供无处不在的高速、低延迟网络连接,以更好的应用于高清视频和物联网的场景,同时服务于大规模通信以及实时控制的需求。因此,最新一代移动通信的设计原则是支持更高承载量、支持更高数据速率、减少延迟、支持大规模设备连接,从而实现触觉互联网(Tactile Internet)、增强现实(AR)、虚拟现实(VR)以及智慧车辆互联。

与此前的2G、3G和4G(LTE)一样,安全性对于5G通信网络和服务至关重要,因为目前,移动系统正在为全世界数十亿人提供连接。此外,蜂窝通信网络是当前新型关键基础设施的连接基石,包括智能电网、第一响应单元(First Responder Units)和先进的军事自组织网络。5G的出现将诞生新的网络和应用,包括用于辅助驾驶或自动驾驶的下一代车载网络,以及智慧城市和智慧社区。

传统的2G网络存在着一些安全弱点,最严重的一个问题就是网络和用户设备(UE)之间缺乏相互认证。正因如此,从3G开始,安全性便始终成为了移动通信的关键设计考虑要素之一。LTE实现了强大的加密和完整性保护算法,支持基于对称密钥的相互认证系统,该系统安全的存储在通用用户识别模块(USIM)或SIM中,以及运营商的归属用户服务器(HSS)上。然而,近年来的安全研究又发现了LTE协议固有的一系列漏洞。例如,大量的预身份验证消息以明文形式发送,并且该消息可以被利用发起拒绝服务(DoS)攻击,并从用户设备(UE)处获得移动用户的位置信息。

LTE规范的第一版,Release 8,发布于2007年。在很久之后,安全研究人员才发现其主要的安全漏洞,并首次在公开文献中报告。之所以时隔这么久,一个原因在于没有可用且价格合理的LTE安全研究工具。直到最近几年,在个人计算机上运行的LTE软件库和能够使用现有商业软件定义的无线电外设才达到足够的成熟度。只有这些环境可以被安全研究者使用,他们才能对LTE进行深入的研究,从而也就能够取得良好的研究成果,发现许多协议上的漏洞。

1.jpg

在5G网络的定义和规范建立过程中,安全性被作为一个关键的考虑要素和核心问题。自从NR和5GC的通信协议建立以来,他们已经在解决已知的LTE协议漏洞方面付出了大量的努力,特别是在防范国际移动用户标识符(IMSI)捕获器Stingrays这一方面。因此,5G协议引入了用户永久标识符(Subscriber Permanent Identifier,SUPI)和用户隐藏标识符(Subscriber Concealed Identifier,SUCI)的概念。更重要的是,5G规范中引入了基于公钥基础设施(PKI)的安全体系结构,允许验证和鉴别源自5GC的控制面消息(Control Plane Messages)。

尽管5G协议在努力设计其安全架构,但仍然存在许多不安全协议的边缘案例。攻击者可利用这些案例,来对用户实现拒绝服务攻击,或者拦截敏感用户信息。此外,5G协议规范所基于的场景可能难以符合实际,从而导致不安全的网络配置。具体而言,5G所有安全性的基础都是SIM卡中保存的运营商公钥,只有在“全世界所有移动设备的所有SIM卡中都保存了全世界所有运营商的公钥”这一种情况下,才能保证该协议的绝对安全。此外,所有的运营商也必须负责保证自己的私钥是安全的。在全世界范围内,密钥管理和轮换机制显然是不可行的,并且也不在标准规范之中。并且,受政治因素影响,密钥分配机制可能不会被全球所有国家和地区所采用。一旦上述过程中出现了任何问题,都可能会导致不安全的协议实现或ISMI捕获的风险。

本文对当前的5G协议安全规范进行了全面分析。作为本次研究的一部分,我们列举了协议存在的漏洞,并将其带入实际场景,分析潜在的安全威胁。此外,我们还讨论了5G安全性的要求和前提条件,重点关注了全球采用(Global Adoption)及其产生的结果。最后,我们还分析了无线电接入网安全相关的体系结构和过程。但是,关于5GC安全性的分析不在本文的讨论范畴之内。

本文主要内容如下:第二章中介绍了5G安全体系结构和组成部分,第三章讨论了3GPP Release 15规范中提出的5G安全要求和过程,第四章详细分析了5G规范的主要安全挑战,重点说明了其存在的协议漏洞利用和敏感信息泄漏的潜在风险,第五章分析已知LTE协议漏洞是否会影响到5G的安全性,最后在第六章中总结了我们的研究结果。

二、5G安全体系结构

5G的安全体系结构由用户设备(UE)、无线电接入网络(RAN)、核心网络(CN)和应用组成。该体系结构可以简化为应用层、服务层和传输层。下图为服务层和传输层的简化图:

2.jpg

在整个网络和终端用户组件之中,分别定义了不同的安全特性,这些特性组合在一起,共同创建了一个安全的系统设计方案:

  • 网络访问安全性:(I):使用户设备(UE)能够经过认证,并且安全的访问网络服务的一系列功能或机制。
  • 网络域安全(II):使核心网络节点能够安全地交换信令数据(Signaling Data)和用户平面数据(User Plane Data)的一系列功能。
  • 用户域安全(III):保护用户访问移动设备和移动服务的一系列功能。
  • 基于服务的体系结构(SBA)和域安全性(IV):SBA域中的一系列功能,包括网元注册、发现和授权,以及对基于服务的接口的保护。
  • 安全性的可见与可配置(未在图1标明):使用户能够获知安全功能是否正在运行,同时使用户能够对安全功能进行配置。

5G规范定义了许多网络功能及其接口,允许无线电接入网络(RAN)、核心网络(CN)和外部网络之间的数据流传递。下图展示了简化后的5G网络结构。5G网络功能和安全功能为5G移动通信系统的开发提供了灵活而又安全的设计。

3.jpg

下面列举了一些重要的3GPP网络概念和组件,用于定义和分析5G的安全体系结构、要求和过程:

  • 5G-GUTI:5G全球唯一临时标识符(5G Global Unique Temporary Identifier),考虑到安全需要,用于限制SUPI的信令。
  • 5GC:5G核心网(5G Core)。
  • AKA:认证和密钥协议(Authentication and Key Agreement),用于蜂窝网络中无线网络接入的安全协议。
  • ARPF:认证凭据存储和处理功能(Authentication Credential Repository and Processing Function),将长期安全证书和密钥存储在5G-C中。
  • AUSF:认证服务器功能(Authentication Server Function),用于归属网络的5G安全过程。
  • CP:控制面(Control Plane),用于控制数据信令层面。
  • EAP:可扩展身份验证协议(Extensible Authentication Protocol),认证框架,用于密钥和参数的传输。
  • EPC:演进分组核心网(Evolved Packet Core),LTE无线核心网络。
  • EPS:演进分组系统(Evolved Packet System),LTE无线电接入和核心网络。
  • HE:归属环境(Home Environment),包含用户配置文件、标识符和订阅信息的数据库。
  • IMSI:国际移动用户识别码(International Mobile Subscriber Identity),用于2G、3G、4G系统,作为识别用户的唯一方式。
  • MCC-MNC:移动国家代码-移动网络代码(Mobile Country Code – Mobile Network Code),由基站广播,作为识别运营商的唯一方式。
  • ME:移动设备(Mobile Equipment),移动终端。
  • NAS:非接入层(Non-Access Stratum),与认证、其他安全功能和控制面机制相关的网络层。
  • PKI:公钥基础设施(Public Key Infrastructure),分层密钥的一种,用于创建、管理、分发和使用数字证书以及管理公钥加密。
  • RRC:无线资源控制(Radio Resource Control),在RAN管理上层的无线电资源。
  • SBA:基于服务的体系结构(Service-Based Architecture),支持切片(Slicing)和虚拟化,从而在每个服务的基础上优化网络性能。
  • SEAF:安全锚功能(Security Anchor Function),是5G-C功能之一,创建统一的锚键,提供给UE使用,在网络中用于主要的认证和后续通信保护。
  • SMF:会话管理功能(Session Management Function),是5G-C中SBA的一部分,负责协议数据单元与UE进行交换,包括策略和计费。
  • SN:服务网络(Serving Network),为UE的网络,可以是归属网络或访客网络。
  • SUCI:用户隐藏标识符(Subscription Concealed Identifier),使用运营商的公钥对SUPI进行加密。
  • SUPI:用户永久标识符(Subscription Permanent Identifier),是5G用户的永久身份,相当于IMSI。
  • TAU:跟踪区域更新(Tracking Area Update),由处于空闲状态的UE发送的消息,以通知网络其跟踪区域(TA)。
  • UDM:统一数据管理(Unified Data Management),支持ARPF的5GC功能。
  • UE:用户设备(User Equipment),由ME和USIM组成,提供对用户服务的访问。
  • UP:用户面(User Plane),用户数据信令层面。
  • USIM:通用用户识别模块(Universal Subscriber Identity Module),也称为SIM,硬件安全存储,其中包含IMSI(或SUPI),以及用于用户身份验证和其他AKA功能的密钥。

三、3GPP 5G规范安全需求及实现

5G的安全体系结构是在定义了一系列安全要求、功能和实现的基础之上构建的。因此,我们将继续进行分析。下面列出了5G无线电接入网络(RAN)的主要安全要求和相应的实现。在其中,包含了一些可能导致安全漏洞的要求和实现,我们将会在后续章节中进一步讨论这些安全漏洞及其潜在影响。

1. 通用安全需求:

缓解Bidding Down攻击。
相互进行认证。用户设备、访问和服务网络授权。
允许未经认证的紧急服务。实现:在身份验证过程中,使用EAP-AKA和5G AKA方法。

2. 用户设备与5G基站(UE and gNB)

安全需求:

  • 通过加密,保护用户和信令数据。一旦连接到5G基站,就考虑启用用户设备安全功能和服务网络的安全功能。支持零加密(Null Encryption)。保密性保护可以选择是否启用。
  • 用户和信令数据完整性保护和重放保护。一旦连接到5G基站,就考虑启用用户设备安全功能和服务网络的安全功能。支持零完整性保护(Null Integrity Protection)。用户数据的完整性保护可以选择是否启用。RRC和NAS信令保护强制启用,但存在例外,比如未经认证的紧急会话。

实现:从密钥体系中导出、分发和协商密钥,支持128位和256位密钥加密。对于网络实体中的每一个密钥,用户设备负责存储相应的密钥,根密钥存储在USIM中。

3. 用户设备(UE)

安全需求:

  • 通过使用防篡改的安全硬件组件,实现对用户凭据的安全存储和安全处理。
  • 通过使用临时或隐藏的用户标识符(5G-GUTI和SUPI)获取用户隐私。支持零计划(Null-scheme)方案,在归属网络未提供公钥时使用,该归属网络控制用户隐私及密钥的提供和更新。

实现:如果由归属运营商提供,USIM将存储用于隐藏SUPI的归属网络公钥。

4. 5G基站(gNB)

安全需求:

  • 通过证书授权设置和配置,属于可选项。
  • 密钥管理,可选用基于5G PKI的架构。
  • 密钥的安全环境,UP和CP数据存储及处理。
    实现:认证和密钥导出可以由网络发起,因为操作方决定什么时间存在活动的NAS连接。

(1) 核心框架

5G的安全实现基于分层的密钥派生、分发和管理框架之上。密钥存储在很多网络实体之中。长期密钥K由UDM层的ARPF负责存储,USIM保留该对称密钥在用户那里的副本。其他的所有密钥,都是从该密钥派生而来的。

(2) 认证和归属控制

3GPP建立了EAP-AKA和5G AKA的认证方法,并要求5G UE和5GC必须支持这两种认证方法。这些安全模式用于相互身份验证和后续服务安全性保证。5G UE在其注册请求中需要使用安全的5G-GUTI或SUCI,并从中选择一种认证方法来启动认证过程。当使用EAP-AKA时,UE作为对等体,而5GC SEAF和AUSF分别作为传递服务器和后端认证服务器。5G AKA则是通过向归属网络提供UE从访客网络成功认证的证明,来增强EPS AKA的安全性。

增加的归属控制(Home Control)被认为能够有效防止某些类型的欺骗。拟定的5G框架中支持实施这样的过程,但它们被认为超出了标准规范的范围:归属网络采取什么样的方式进行认证确认(或不进行认证确认)取决于运营商的策略,而不是标准化的过程。针对其他的安全实现,也有很多功能超出了协议规范的范围,可能会导致不安全的边缘情况发生。

(3) 安全上下文

5G安全规范为不同的场景定义了许多安全上下文,包括单个5G服务网络、跨多个服务网络、5G和EPS网络之间。当UE向两个服务网络注册时,这两个网络必须独立地维护和使用其自身的安全上下文。当UE注册到同一个公共陆地移动网(Public Land Mobile Network)中的两个服务网络时(3GPP和非3GPP),UE会与这些网络建立两个独立的NAS平面连接,但会使用由一组密钥和安全算法组成的公共NAS安全上下文。

(4) 状态转换和网络切换

此外,还定义了在状态转换和网络切换的过程中,维持或忽略安全上下文的实现方式。规范中提出,如何配置切换过程中的安全性,取决于运营商的策略。这一部分实际上要在运营商的安全需求中体现,因此在切换期间的安全性是一个可选项,没有通过标准来强制执行,这可能导致许多运营商实施不安全的切换过程。

(5) 非接入层

在公共NAS安全上下文中,具有其中每个NAS连接的参数,支持对两个活动NAS连接的加密分离和重放保护。NAS使用128位加密算法来保证完整性和机密性。但是需要注意的是,这里也支持零加密和零完整性保护。如果UE不存在NAS安全上下文,那么初始的NAS消息将会以明文发送,其中包含用户标识符(例如SUCI或GUTI)和UE安全特性等内容。

(6) 无线资源控制

RRC的完整性和机密性保护由UE和nGB之间的分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层提供,并且PDCP下面的层不会受到完整性保护。当完整性保护启用时,除非所选的完整性保护算法是NIA0(零完整性保护),否则应该同时启用重放保护。RRC完整性检查会同时在ME和gNB中执行。如果在完整性保护启动后,发现有消息没有通过完整性检查,那么相关消息会被丢弃。

(7) 用户层

在PDU会话建立过程中,SMF应为gNB的协议数据单元(PDU)会话提供用户面(UP)安全策略。如果没有为数据无线承载(DRB)激活用户面完整性保护,那么gNB和UE就不会为DRB实现完整性保护。如果没有为DRB激活用户面加密,那么gNB和UE就不会加密DRB业务的流量。本地SMF能够覆盖从归属SMF接收的用户面安全策略中的机密性选项。

(8) 用户ID隐私保护

SUCI是5G永久用户标识SUPI的隐藏版本,从而防止暴露SUPI。SUCI使用运营商的公钥,由SUPI生成。零保护方案适用于三种情况:未认证的紧急会话、归属网络进行了相应配置、尚未提供运营商公钥。

5G规范还定义了临时标识符5G-GUTI,从而尽最大程度防止SUPI或SUCI的泄露。5G-GUTI将由UE触发重新分配,而重分配的时间间隔是在具体实现中确定的。

四、5G的安全挑战和潜在漏洞

在第二章和第三章中我们已经分析过,5G移动网络实现了类似于LTE系统的安全架构,并在建立信任和安全性方面与之相比有了明显的提升。准5G通信系统的所有安全功能都基于对称密钥,这些密钥安全地存储在SIM和HSS中。基于共享密钥Ks,4G UE可以认证网络的合法性,同时网络也可以认证UE。加密保护和完整性保护的密钥是从Ks派生的。基于此的对称密钥安全体系结构会导致通信终端(UE)在NAS附加密码握手(NAS Attach Cryptographic Handshake)之前无法验证交换的任何信息的真实性和有效性。这一点,也被广泛认为是造成大多数已知LTE协议漏洞利用的根本原因。

在5G安全体系结构中,有效应对了这一预认证消息的挑战,并使得IMSI捕获器在5G通信环境中失效。通过引入运营商公钥和证书的概念,5G系统基于5G PKI架构的保护,提供了终端用户和移动运营商建立根信任的工具。借助烧录到SIM卡中的公钥和证书,运营商可以使用他们的密钥来生成和签署消息,并且这些消息可以被UE验证。此外,5G UE能对其自身进行识别,而无需完全公开SUPI。

这种新的安全框架和体系结构被认为是保护新兴5G移动网络的基础。但是,我们对其安全体系结构进行了更深入的分析,随后发现了仍需解决的一些安全漏洞。下面的表格中列出了一些5G的安全挑战,以及其根本原因和造成的影响。包括LTE在内的任何通信协议,无论其安全体系有多强大,无论加密算法的复杂程度有多高,但只要存在一个边缘情况或不安全功能,整个系统的安全性都会瞬间瓦解。例如,在LTE中,IMSI应该仅在移动电话第一次开机时才会发送,但是存在这样的情况:网络可以通过预认证消息,请求UE使用IMSI识别其自身。

4.jpg

只有在全球范围内都保证5G规范的合规,5G的安全基础架构才具有可靠保障。这要求运营商必须在每一张SIM卡中内置所有国家中全部运营商的公钥或证书。然而,更有可能的是,一些运营商不会实施全部5G安全功能,或者根据3GPP TR 33.899的要求严格执行,不实施其范围之外的要求。此外,预计还有一些国家会禁用某些特定国家或运营商的证书,目前已经有这样实践的案例。综上所述,全球采用并严格实施5G安全功能和实现的可能性极小。

由于SIM卡不会保存所有移动运营商和国家的公钥或证书,因此UE和运营商有两个选择:一是明确阻止不存在相应信息的运营商,同时也要处理由此产生的公关和舆论影响;二是允许这种边缘情况存在,同时也就意味着对整体的安全性产生了一定影响。而5G安全规范采用的是后者,明确规定:如果没有为用户的USIM提供服务网络,那么用户身份将不受傲虎。值得注意的是,这也就意味着,在5G中仍有可能捕获到IMSI或SUPI。

此外,除了是否能有效实施PKI之外,研究人员已经发现了5G所定义的加密操作中的一个漏洞。研究人员使用验证工具来分析5G AKA算法,最终证明该协议未能满足要求中明确的若干安全目标。该研究还表明,5G协议缺乏其他一些关键的安全属性。这些发现都给5G带来了压力。与LTE的情况不同,大多数安全研究过程中发现的协议缺陷都是在协议被定义、实施、全球范围内部署之后才发现的,而此次5G的漏洞则是在规范编写期间发现的漏洞,并且许多安全研究社区仍然在致力于漏洞的寻找。

五、LTE协议漏洞利用对5G的影响

LTE安全架构旨在应对前几代规范中存在的问题。第一代移动网络(1G)缺乏对加密的支持,这是引入2G数字移动通信的主要原因之一。旧版2G网络不支持相互身份验证,并且使用了过时的加密算法。如今,随着基站和UE协议栈的开源,越来越多研究人员可以比以前更轻松地发现移动通信系统漏洞。LTE使用了更强的加密算法,并加入了UE与eNodeB之间的显式相互认证,从而实现特定功能,以保证移动网络和消息的机密性和不可抵赖性。这使得4G LTE与前几代相比更加安全。

然而,LTE中也存在漏洞,并且该漏洞已经存在了一段时间,尽管直到近期才被公开讨论。由于该标准具有开放性,同时也有很多SDR软件库可以被研究人员使用,所以产生了许多出色的LTE安全性分析成果。尽管LTE的加密算法和相互认证更为强大,但UE和基站会交换大量的预认证信息,这些消息可被利用来发起拒绝服务(DoS)攻击、捕获IMSI或将连接降级到不安全的GSM链路。此外,研究人员还发现了LTE中新的隐私泄露和位置泄露问题。下表中总结了过去几年中确认的一些主要LTE协议漏洞,并分析这些漏洞会如何影响5G网络。

5.jpg

大多数LTE协议的安全漏洞,是由3GPPP的安全工作组进行研究和分析。作为该研究的成果,5G移动网络的具体安全目标是:解决IMSI捕获问题、预认证消息漏洞和位置泄露漏洞。但5G移动网络中没有考虑利用无线网络临时标识符(RNTI)的设备和用户跟踪,因为RNTI理论上是用于防止隐私泄露的临时ID。然而,最近的研究表明,通过RNTI可以对用户进行跟踪。

在LTE协议规范中,还发现了存在漏洞的边缘情况,尽管这种情况很少出现,但仍然受到协议的支持。举例来说,尽管UE不太可能使用其IMSI作为标识符来发送附加请求信息,但协议描述了发生这种情况的特定场景。例如,当EPC丢失了UE的TMSI时,在网络从错误中恢复的过程中,网络就可以触发移动设备,使其能够以明确的IMSI重新发送附加请求消息。简而言之,大多数常用的LTE协议漏洞利用都是由于支持不安全边缘情况的协议,并且在建立安全连接之前对UE默认信任而产生的。

同样,正如本文所分析的,5G规范根据前几代中存在的挑战,定义了新的安全功能。尽管这些安全功能非常复杂,并且能够抵御攻击者,但5G协议中依然包含许多支持的边缘情况,在这些情况下可以绕过所有安全功能。如第四章中所述,只要有一个运营商或国家不遵守规范,那么全世界范围内的5G UE都有可能遭受到欺骗攻击,从而进入到不安全的通信模式。

5G的安全规范忽略了一些大多数安全功能都实现的细节。例如,如何对用户USIM中运营商公钥进行管理,这一点就不在规范的范围之内。同样,证书的结构、是否对密钥进行旋转以及如何旋转,这些也没有包含在规范内。此外,由于5G支持零加密和零完整性保护,导致进入到不安全的通信模式,攻击者可以像LTE那样对其进行漏洞利用。

六、总结

随着通信技术的不断发展,如今即将步入5G时代,无线通信安全也显得至关重要。最常用的语音通话、大量的即时数据传输和控制通信系统,这些都对用户数据的完整性和隐私性有比较严格的要求。此外的一些应用,例如战术通信、第一响应自组织网络和执行关键任务的物联网,同样有较高安全性的需求。

本文对近期发布的5G规范进行了深入分析,并强调了在规范中存在不能实际落地的要求,从而会导致一些不安全的边缘情况。尽管其目标是解决LTE网络已知的安全漏洞,但实际上5G规范仍然可能受到相同类型的对抗性攻击。

最重要的一点,是要保证5G标准不支持不安全的边缘情况。特别是,在任何情况下都不应该允许零认证、零加密、降级攻击和IMSI/SUPI捕获。安全机制如果想要取得成功,不能依赖于不可实际落地的要求,也不能允许可选的实现。尽管5G安全架构已经在防止隐私泄露这一方面取得了重大飞跃,但仍需要安全研究人员和开发人员来解决移动通信系统的已知漏洞和新发现漏洞。标准化机构、研究人员、监管机构、通信行业需要共同努力,以实现未来移动通信与控制系统的安全设计、安全开发和安全部署。

---------------- The End ----------------
坚持原创技术分享,打赏一杯咖啡钱呗。Donate click here.