5G規範安全性和協議漏洞分析（下篇）

在上篇文章中我們介紹了5G安全體系結構及3GPP 5G規範安全需求及實現，本篇文章將繼續為大家解讀5G的安全挑戰和潛在漏洞以及LTE協議漏洞利用對5G的影響。

四、5G的安全挑戰和潛在漏洞

在第二章和第三章中我們已經分析過，5G行動網路實現了類似於LTE系統的安全架構，並在建立信任和安全性方面與之相比有了明顯的提升。準5G通訊系統的所有安全功能都基於對稱金鑰，這些金鑰安全地儲存在SIM和HSS中。基於共享金鑰Ks，4G UE可以認證網路的合法性，同時網路也可以認證UE。加密保護和完整性保護的金鑰是從Ks派生的。基於此的對稱金鑰安全體系結構會導致通訊終端（UE）在NAS附加密碼握手（NAS Attach Cryptographic Handshake）之前無法驗證交換的任何資訊的真實性和有效性。這一點，也被廣泛認為是造成大多數已知LTE協議漏洞利用的根本原因。

在5G安全體系結構中，有效應對了這一預認證訊息的挑戰，並使得IMSI捕獲器在5G通訊環境中失效。通過引入運營商公鑰和證書的概念，5G系統基於5G PKI架構的保護，提供了終端使用者和移動運營商建立根信任的工具。藉助燒錄到SIM卡中的公鑰和證書，運營商可以使用他們的金鑰來生成和簽署訊息，並且這些訊息可以被UE驗證。此外，5G UE能對其自身進行識別，而無需完全公開SUPI。

這種新的安全框架和體系結構被認為是保護新興5G行動網路的基礎。但是，我們對其安全體系結構進行了更深入的分析，隨後發現了仍需解決的一些安全漏洞。下面的表格中列出了一些5G的安全挑戰，以及其根本原因和造成的影響。包括LTE在內的任何通訊協議，無論其安全體系有多強大，無論加密演算法的複雜程度有多高，但只要存在一個邊緣情況或不安全功能，整個系統的安全性都會瞬間瓦解。例如，在LTE中，IMSI應該僅在行動電話第一次開機時才會傳送，但是存在這樣的情況：網路可以通過預認證訊息，請求UE使用IMSI識別其自身。

只有在全球範圍內都保證5G規範的合規，5G的安全基礎架構才具有可靠保障。這要求運營商必須在每一張SIM卡中內建所有國家中全部運營商的公鑰或證書。然而，更有可能的是，一些運營商不會實施全部5G安全功能，或者根據3GPP TR 33.899的要求嚴格執行，不實施其範圍之外的要求。此外，預計還有一些國家會禁用某些特定國家或運營商的證書，目前已經有這樣實踐的案例。綜上所述，全球採用並嚴格實施5G安全功能和實現的可能性極小。

由於SIM卡不會儲存所有移動運營商和國家的公鑰或證書，因此UE和運營商有兩個選擇：一是明確阻止不存在相應資訊的運營商，同時也要處理由此產生的公關和輿論影響；二是允許這種邊緣情況存在，同時也就意味著對整體的安全性產生了一定影響。而5G安全規範採用的是後者，明確規定：如果沒有為使用者的USIM提供服務網路，那麼使用者身份將不受傲虎。值得注意的是，這也就意味著，在5G中仍有可能捕獲到IMSI或SUPI。

此外，除了是否能有效實施PKI之外，研究人員已經發現了5G所定義的加密操作中的一個漏洞。研究人員使用驗證工具來分析5G AKA演算法，最終證明該協議未能滿足要求中明確的若干安全目標。該研究還表明，5G協議缺乏其他一些關鍵的安全屬性。這些發現都給5G帶來了壓力。與LTE的情況不同，大多數安全研究過程中發現的協議缺陷都是在協議被定義、實施、全球範圍內部署之後才發現的，而此次5G的漏洞則是在規範編寫期間發現的漏洞，並且許多安全研究社群仍然在致力於漏洞的尋找。

五、LTE協議漏洞利用對5G的影響

LTE安全架構旨在應對前幾代規範中存在的問題。第一代行動網路（1G）缺乏對加密的支援，這是引入2G數字行動通訊的主要原因之一。舊版2G網路不支援相互身份驗證，並且使用了過時的加密演算法。如今，隨著基站和UE協議棧的開源，越來越多研究人員可以比以前更輕鬆地發現移動通訊系統漏洞。LTE使用了更強的加密演算法，並加入了UE與eNodeB之間的顯式相互認證，從而實現特定功能，以保證行動網路和訊息的機密性和不可抵賴性。這使得4G LTE與前幾代相比更加安全。

然而，LTE中也存在漏洞，並且該漏洞已經存在了一段時間，儘管直到近期才被公開討論。由於該標準具有開放性，同時也有很多SDR軟體庫可以被研究人員使用，所以產生了許多出色的LTE安全性分析成果。儘管LTE的加密演算法和相互認證更為強大，但UE和基站會交換大量的預認證資訊，這些訊息可被利用來發起拒絕服務（DoS）攻擊、捕獲IMSI或將連線降級到不安全的GSM鏈路。此外，研究人員還發現了LTE中新的隱私洩露和位置洩露問題。下表中總結了過去幾年中確認的一些主要LTE協議漏洞，並分析這些漏洞會如何影響5G網路。

大多數LTE協議的安全漏洞，是由3GPPP的安全工作組進行研究和分析。作為該研究的成果，5G行動網路的具體安全目標是：解決IMSI捕獲問題、預認證訊息漏洞和位置洩露漏洞。但5G行動網路中沒有考慮利用無線網路臨時識別符號（RNTI）的裝置和使用者跟蹤，因為RNTI理論上是用於防止隱私洩露的臨時ID。然而，最近的研究表明，通過RNTI可以對使用者進行跟蹤。

在LTE協議規範中，還發現了存在漏洞的邊緣情況，儘管這種情況很少出現，但仍然受到協議的支援。舉例來說，儘管UE不太可能使用其IMSI作為識別符號來發送附加請求資訊，但協議描述了發生這種情況的特定場景。例如，當EPC丟失了UE的TMSI時，在網路從錯誤中恢復的過程中，網路就可以觸發移動裝置，使其能夠以明確的IMSI重新發送附加請求訊息。簡而言之，大多數常用的LTE協議漏洞利用都是由於支援不安全邊緣情況的協議，並且在建立安全連線之前對UE預設信任而產生的。

同樣，正如本文所分析的，5G規範根據前幾代中存在的挑戰，定義了新的安全功能。儘管這些安全功能非常複雜，並且能夠抵禦攻擊者，但5G協議中依然包含許多支援的邊緣情況，在這些情況下可以繞過所有安全功能。如第四章中所述，只要有一個運營商或國家不遵守規範，那麼全世界範圍內的5G UE都有可能遭受到欺騙攻擊，從而進入到不安全的通訊模式。

5G的安全規範忽略了一些大多數安全功能都實現的細節。例如，如何對使用者USIM中運營商公鑰進行管理，這一點就不在規範的範圍之內。同樣，證書的結構、是否對金鑰進行旋轉以及如何旋轉，這些也沒有包含在規範內。此外，由於5G支援零加密和零完整性保護，導致進入到不安全的通訊模式，攻擊者可以像LTE那樣對其進行漏洞利用。

六、總結

隨著通訊技術的不斷髮展，如今即將步入5G時代，無線通訊安全也顯得至關重要。最常用的語音通話、大量的即時資料傳輸和控制通訊系統，這些都對使用者資料的完整性和隱私性有比較嚴格的要求。此外的一些應用，例如戰術通訊、第一響應自組織網路和執行關鍵任務的物聯網，同樣有較高安全性的需求。

本文對近期釋出的5G規範進行了深入分析，並強調了在規範中存在不能實際落地的要求，從而會導致一些不安全的邊緣情況。儘管其目標是解決LTE網路已知的安全漏洞，但實際上5G規範仍然可能受到相同型別的對抗性攻擊。

最重要的一點，是要保證5G標準不支援不安全的邊緣情況。特別是，在任何情況下都不應該允許零認證、零加密、降級攻擊和IMSI/SUPI捕獲。安全機制如果想要取得成功，不能依賴於不可實際落地的要求，也不能允許可選的實現。儘管5G安全架構已經在防止隱私洩露這一方面取得了重大飛躍，但仍需要安全研究人員和開發人員來解決移動通訊系統的已知漏洞和新發現漏洞。標準化機構、研究人員、監管機構、通訊行業需要共同努力，以實現未來行動通訊與控制系統的安全設計、安全開發和安全部署。