一、概述

第三代合作計劃(3GPP)在2018年3月，發布了第15版移動通信系統規范，為第五代移動通信(5G)奠定了基礎。5G網絡的目標是提供無處不在的高速、低延遲網絡連接，以更好的應用于高清視頻和物聯網的場景，同時服務于大規模通信以及實時控制的需求。因此，最新一代移動通信的設計原則是支持更高承載量、支持更高數據速率、減少延遲、支持大規模設備連接，從而實現觸覺互聯網(Tactile Internet)、增強現實(AR)、虛擬現實(VR)以及智慧車輛互聯。

[[246666]]

與此前的2G、3G和4G(LTE)一樣，安全性對于5G通信網絡和服務至關重要，因為目前，移動系統正在為全世界數十億人提供連接。此外，蜂窩通信網絡是當前新型關鍵基礎設施的連接基石，包括智能電網、第一響應單元(First Responder Units)和先進的軍事自組織網絡。5G的出現將誕生新的網絡和應用，包括用于輔助駕駛或自動駕駛的下一代車載網絡，以及智慧城市和智慧社區。

傳統的2G網絡存在著一些安全弱點，最嚴重的一個問題就是網絡和用戶設備(UE)之間缺乏相互認證。正因如此，從3G開始，安全性便始終成為了移動通信的關鍵設計考慮要素之一。LTE實現了強大的加密和完整性保護算法，支持基于對稱密鑰的相互認證系統，該系統安全的存儲在通用用戶識別模塊(USIM)或SIM中，以及運營商的歸屬用戶服務器(HSS)上。然而，近年來的安全研究又發現了LTE協議固有的一系列漏洞。例如，大量的預身份驗證消息以明文形式發送，并且該消息可以被利用發起拒絕服務(DoS)攻擊，并從用戶設備(UE)處獲得移動用戶的位置信息。

LTE規范的第一版，Release 8，發布于2007年。在很久之后，安全研究人員才發現其主要的安全漏洞，并首次在公開文獻中報告。之所以時隔這么久，一個原因在于沒有可用且價格合理的LTE安全研究工具。直到最近幾年，在個人計算機上運行的LTE軟件庫和能夠使用現有商業軟件定義的無線電外設才達到足夠的成熟度。只有這些環境可以被安全研究者使用，他們才能對LTE進行深入的研究，從而也就能夠取得良好的研究成果，發現許多協議上的漏洞。

在5G網絡的定義和規范建立過程中，安全性被作為一個關鍵的考慮要素和核心問題。自從NR和5GC的通信協議建立以來，他們已經在解決已知的LTE協議漏洞方面付出了大量的努力，特別是在防范國際移動用戶標識符(IMSI)捕獲器Stingrays這一方面。因此，5G協議引入了用戶永久標識符(Subscriber Permanent Identifier，SUPI)和用戶隱藏標識符(Subscriber Concealed Identifier，SUCI)的概念。更重要的是，5G規范中引入了基于公鑰基礎設施(PKI)的安全體系結構，允許驗證和鑒別源自5GC的控制面消息(Control Plane Messages)。

盡管5G協議在努力設計其安全架構，但仍然存在許多不安全協議的邊緣案例。攻擊者可利用這些案例，來對用戶實現拒絕服務攻擊，或者攔截敏感用戶信息。此外，5G協議規范所基于的場景可能難以符合實際，從而導致不安全的網絡配置。具體而言，5G所有安全性的基礎都是SIM卡中保存的運營商公鑰，只有在“全世界所有移動設備的所有SIM卡中都保存了全世界所有運營商的公鑰”這一種情況下，才能保證該協議的絕對安全。此外，所有的運營商也必須負責保證自己的私鑰是安全的。在全世界范圍內，密鑰管理和輪換機制顯然是不可行的，并且也不在標準規范之中。并且，受政治因素影響，密鑰分配機制可能不會被全球所有國家和地區所采用。一旦上述過程中出現了任何問題，都可能會導致不安全的協議實現或ISMI捕獲的風險。

本文對當前的5G協議安全規范進行了全面分析。作為本次研究的一部分，我們列舉了協議存在的漏洞，并將其帶入實際場景，分析潛在的安全威脅。此外，我們還討論了5G安全性的要求和前提條件，重點關注了全球采用(Global Adoption)及其產生的結果。最后，我們還分析了無線電接入網安全相關的體系結構和過程。但是，關于5GC安全性的分析不在本文的討論范疇之內。

本文主要內容如下：第二章中介紹了5G安全體系結構和組成部分，第三章討論了3GPP Release 15規范中提出的5G安全要求和過程，第四章詳細分析了5G規范的主要安全挑戰，重點說明了其存在的協議漏洞利用和敏感信息泄漏的潛在風險，第五章分析已知LTE協議漏洞是否會影響到5G的安全性，最后在第六章中總結了我們的研究結果。

二、5G安全體系結構

5G的安全體系結構由用戶設備(UE)、無線電接入網絡(RAN)、核心網絡(CN)和應用組成。該體系結構可以簡化為應用層、服務層和傳輸層。下圖為服務層和傳輸層的簡化圖：

在整個網絡和終端用戶組件之中，分別定義了不同的安全特性，這些特性組合在一起，共同創建了一個安全的系統設計方案：

• 網絡訪問安全性(I)：使用戶設備(UE)能夠經過認證，并且安全的訪問網絡服務的一系列功能或機制。
• 網絡域安全(II)：使核心網絡節點能夠安全地交換信令數據(Signaling Data)和用戶平面數據(User Plane Data)的一系列功能。
• 用戶域安全(III)：保護用戶訪問移動設備和移動服務的一系列功能。
• 基于服務的體系結構(SBA)和域安全性(IV)：SBA域中的一系列功能，包括網元注冊、發現和授權，以及對基于服務的接口的保護。
• 安全性的可見與可配置(未在圖1標明)：使用戶能夠獲知安全功能是否正在運行，同時使用戶能夠對安全功能進行配置。

5G規范定義了許多網絡功能及其接口，允許無線電接入網絡(RAN)、核心網絡(CN)和外部網絡之間的數據流傳遞。下圖展示了簡化后的5G網絡結構。5G網絡功能和安全功能為5G移動通信系統的開發提供了靈活而又安全的設計。

下面列舉了一些重要的3GPP網絡概念和組件，用于定義和分析5G的安全體系結構、要求和過程：

• 5G-GUTI：5G全球唯一臨時標識符(5G Global Unique Temporary Identifier)，考慮到安全需要，用于限制SUPI的信令。
• 5GC：5G核心網(5G Core)。
• AKA：認證和密鑰協議(Authentication and Key Agreement)，用于蜂窩網絡中無線網絡接入的安全協議。
• ARPF：認證憑據存儲和處理功能(Authentication Credential Repository and Processing Function)，將長期安全證書和密鑰存儲在5G-C中。
• AUSF：認證服務器功能(Authentication Server Function)，用于歸屬網絡的5G安全過程。
• CP：控制面(Control Plane)，用于控制數據信令層面。
• EAP：可擴展身份驗證協議(Extensible Authentication Protocol)，認證框架，用于密鑰和參數的傳輸。
• EPC：演進分組核心網(Evolved Packet Core)，LTE無線核心網絡。
• EPS：演進分組系統(Evolved Packet System)，LTE無線電接入和核心網絡。
• HE：歸屬環境(Home Environment)，包含用戶配置文件、標識符和訂閱信息的數據庫。
• IMSI：國際移動用戶識別碼(International Mobile Subscriber Identity)，用于2G、3G、4G系統，作為識別用戶的唯一方式。
• MCC-MNC：移動國家代碼-移動網絡代碼(Mobile Country Code – Mobile Network Code)，由基站廣播，作為識別運營商的唯一方式。
• ME：移動設備(Mobile Equipment)，移動終端。
• NAS：非接入層(Non-Access Stratum)，與認證、其他安全功能和控制面機制相關的網絡層。
• PKI：公鑰基礎設施(Public Key Infrastructure)，分層密鑰的一種，用于創建、管理、分發和使用數字證書以及管理公鑰加密。
• RRC：無線資源控制(Radio Resource Control)，在RAN管理上層的無線電資源。
• SBA：基于服務的體系結構(Service-Based Architecture)，支持切片(Slicing)和虛擬化，從而在每個服務的基礎上優化網絡性能。
• SEAF：安全錨功能(Security Anchor Function)，是5G-C功能之一，創建統一的錨鍵，提供給UE使用，在網絡中用于主要的認證和后續通信保護。
• SMF：會話管理功能(Session Management Function)，是5G-C中SBA的一部分，負責協議數據單元與UE進行交換，包括策略和計費。
• SN：服務網絡(Serving Network)，為UE的網絡，可以是歸屬網絡或訪客網絡。
• SUCI：用戶隱藏標識符(Subscription Concealed Identifier)，使用運營商的公鑰對SUPI進行加密。
• SUPI：用戶永久標識符(Subscription Permanent Identifier)，是5G用戶的永久身份，相當于IMSI。
• TAU：跟蹤區域更新(Tracking Area Update)，由處于空閑狀態的UE發送的消息，以通知網絡其跟蹤區域(TA)。
• UDM：統一數據管理(Unified Data Management)，支持ARPF的5GC功能。
• UE：用戶設備(User Equipment)，由ME和USIM組成，提供對用戶服務的訪問。
• UP：用戶面(User Plane)，用戶數據信令層面。
• USIM：通用用戶識別模塊(Universal Subscriber Identity Module)，也稱為SIM，硬件安全存儲，其中包含IMSI(或SUPI)，以及用于用戶身份驗證和其他AKA功能的密鑰。

三、3GPP 5G規范安全需求及實現

5G的安全體系結構是在定義了一系列安全要求、功能和實現的基礎之上構建的。因此，我們將繼續進行分析。下面列出了5G無線電接入網絡(RAN)的主要安全要求和相應的實現。在其中，包含了一些可能導致安全漏洞的要求和實現，我們將會在后續章節中進一步討論這些安全漏洞及其潛在影響。

1. 通用

安全需求：

• 緩解Bidding Down攻擊。
• 相互進行認證。
• 用戶設備、訪問和服務網絡授權。
• 允許未經認證的緊急服務。

實現：在身份驗證過程中，使用EAP-AKA和5G AKA方法。

2. 用戶設備與5G基站(UE and gNB)

安全需求：

• 通過加密，保護用戶和信令數據。一旦連接到5G基站，就考慮啟用用戶設備安全功能和服務網絡的安全功能。支持零加密(Null Encryption)。保密性保護可以選擇是否啟用。
• 用戶和信令數據完整性保護和重放保護。一旦連接到5G基站，就考慮啟用用戶設備安全功能和服務網絡的安全功能。支持零完整性保護(Null Integrity Protection)。用戶數據的完整性保護可以選擇是否啟用。RRC和NAS信令保護強制啟用，但存在例外，比如未經認證的緊急會話。

實現：從密鑰體系中導出、分發和協商密鑰，支持128位和256位密鑰加密。對于網絡實體中的每一個密鑰，用戶設備負責存儲相應的密鑰，根密鑰存儲在USIM中。

3. 用戶設備(UE)

安全需求：

• 通過使用防篡改的安全硬件組件，實現對用戶憑據的安全存儲和安全處理。
• 通過使用臨時或隱藏的用戶標識符(5G-GUTI和SUPI)獲取用戶隱私。支持零計劃(Null-scheme)方案，在歸屬網絡未提供公鑰時使用，該歸屬網絡控制用戶隱私及密鑰的提供和更新。

實現：如果由歸屬運營商提供，USIM將存儲用于隱藏SUPI的歸屬網絡公鑰。

4. 5G基站(gNB)

安全需求：

• 通過證書授權設置和配置，屬于可選項。
• 密鑰管理，可選用基于5G PKI的架構。
• 密鑰的安全環境，UP和CP數據存儲及處理。

實現：認證和密鑰導出可以由網絡發起，因為操作方決定什么時間存在活動的NAS連接。

(1) 核心框架

5G的安全實現基于分層的密鑰派生、分發和管理框架之上。密鑰存儲在很多網絡實體之中。長期密鑰K由UDM層的ARPF負責存儲，USIM保留該對稱密鑰在用戶那里的副本。其他的所有密鑰，都是從該密鑰派生而來的。

(2) 認證和歸屬控制

3GPP建立了EAP-AKA和5G AKA的認證方法，并要求5G UE和5GC必須支持這兩種認證方法。這些安全模式用于相互身份驗證和后續服務安全性保證。5G UE在其注冊請求中需要使用安全的5G-GUTI或SUCI，并從中選擇一種認證方法來啟動認證過程。當使用EAP-AKA時，UE作為對等體，而5GC SEAF和AUSF分別作為傳遞服務器和后端認證服務器。5G AKA則是通過向歸屬網絡提供UE從訪客網絡成功認證的證明，來增強EPS AKA的安全性。

增加的歸屬控制(Home Control)被認為能夠有效防止某些類型的欺騙。擬定的5G框架中支持實施這樣的過程，但它們被認為超出了標準規范的范圍：歸屬網絡采取什么樣的方式進行認證確認(或不進行認證確認)取決于運營商的策略，而不是標準化的過程。針對其他的安全實現，也有很多功能超出了協議規范的范圍，可能會導致不安全的邊緣情況發生。

(3) 安全上下文

5G安全規范為不同的場景定義了許多安全上下文，包括單個5G服務網絡、跨多個服務網絡、5G和EPS網絡之間。當UE向兩個服務網絡注冊時，這兩個網絡必須獨立地維護和使用其自身的安全上下文。當UE注冊到同一個公共陸地移動網(Public Land Mobile Network)中的兩個服務網絡時(3GPP和非3GPP)，UE會與這些網絡建立兩個獨立的NAS平面連接，但會使用由一組密鑰和安全算法組成的公共NAS安全上下文。

(4) 狀態轉換和網絡切換

此外，還定義了在狀態轉換和網絡切換的過程中，維持或忽略安全上下文的實現方式。規范中提出，如何配置切換過程中的安全性，取決于運營商的策略。這一部分實際上要在運營商的安全需求中體現，因此在切換期間的安全性是一個可選項，沒有通過標準來強制執行，這可能導致許多運營商實施不安全的切換過程。

(5) 非接入層

在公共NAS安全上下文中，具有其中每個NAS連接的參數，支持對兩個活動NAS連接的加密分離和重放保護。NAS使用128位加密算法來保證完整性和機密性。但是需要注意的是，這里也支持零加密和零完整性保護。如果UE不存在NAS安全上下文，那么初始的NAS消息將會以明文發送，其中包含用戶標識符(例如SUCI或GUTI)和UE安全特性等內容。

(6) 無線資源控制

RRC的完整性和機密性保護由UE和nGB之間的分組數據匯聚協議(Packet Data Convergence Protocol，PDCP)層提供，并且PDCP下面的層不會受到完整性保護。當完整性保護啟用時，除非所選的完整性保護算法是NIA0(零完整性保護)，否則應該同時啟用重放保護。RRC完整性檢查會同時在ME和gNB中執行。如果在完整性保護啟動后，發現有消息沒有通過完整性檢查，那么相關消息會被丟棄。

(7) 用戶層

在PDU會話建立過程中，SMF應為gNB的協議數據單元(PDU)會話提供用戶面(UP)安全策略。如果沒有為數據無線承載(DRB)激活用戶面完整性保護，那么gNB和UE就不會為DRB實現完整性保護。如果沒有為DRB激活用戶面加密，那么gNB和UE就不會加密DRB業務的流量。本地SMF能夠覆蓋從歸屬SMF接收的用戶面安全策略中的機密性選項。

(8) 用戶ID隱私保護

SUCI是5G永久用戶標識SUPI的隱藏版本，從而防止暴露SUPI。SUCI使用運營商的公鑰，由SUPI生成。零保護方案適用于三種情況：未認證的緊急會話、歸屬網絡進行了相應配置、尚未提供運營商公鑰。

5G規范還定義了臨時標識符5G-GUTI，從而盡最大程度防止SUPI或SUCI的泄露。5G-GUTI將由UE觸發重新分配，而重分配的時間間隔是在具體實現中確定的。

本篇文章先介紹到這里，下篇文章我們將講述5G的安全挑戰和潛在漏洞以及LTE協議漏洞利用對5G的影響。