基于对称密钥算法的5G网络防伪基站技术
2021-09-24毛玉欣游世林闫新成
毛玉欣 游世林 闫新成
摘要:分析了5G网络场景下可能的伪基站攻击方式,提出了一种基于对称密钥算法的伪基站防护技术,包括密钥协商和传递流程、保护区信息提供流程和基站小区的真实性验证流程。设计了用于加密信息的密钥的产生、传递和使用方法,以及用于验证小区广播或单播消息真实性的密钥产生方法,实现了针对小区发送的广播消息或单播消息的真实性验证,达到了伪基站识别的效果。
关键词:伪基站;对称密钥算法;保护区域;共享根密钥组
Abstract:Thepossibleattackmethodsofthefakebasestationsin5Gnetworkareanalyzed.Atechnicalsolutionforanti-fakebasestationsbasedonsymmetrickeyalgorithmisproposed,includingprotectionkeyagreementandtransmissionprocedure,protectionareainformationprovisionprocedure,andcellauthenticityprocedure.Thegeneration,transmission,anduseofkeyusedtoencryptinformationaredesigned,andthekeygenerationmethodusedtoverifytheauthenticityofthecellisalsodesigned,realizingtheauthenticityverificationofthebroadcastorunicastmessagesentbythecelltoachievefakebasestationrecognition.
Keywords:fakebasestation;symmetrickeyalgorithm;protectionarea;sharedrootkeygroup
移动通信经历了从1G到4G的发展过程,如今正大力发展5G,以实现万物互联。传统移动通信主要用于满足人们语音通信的需求。4G让人们享受到无处不在的高速网络接入,5G的到来将使移动通信网络赋能于更广泛的行业。通信技术的发展使得网络承载的信息和价值越加丰富,但由此引发的网络安全风险也随之增长。2G网络和终端间采用单向认证,使终端无法对网络进行合法性验证。这导致了伪基站问题的爆发[1]。随着通信技术的升级换代,终端和网络间引入双向认证,使网络安全性得到增强。然而,伪基站问题仍然无法完全避免。例如,攻击者通过干扰终端的3G和4G通信信号,使得手机无法正常使用3G、4G通信信号。为了保障通信,终端就会主动降频到2G。如果终端使用2G网络进行通信,伪基站就可以再次发挥作用[2]。
由此可见,移动蜂窝网络演进的确使伪基站问题得到一定程度的缓解,但是由于巨大的利益驱动,伪基站技术也在发展演进。本文中我们重点探讨5G网络场景下的伪基站问题和应对解决方案。
15G网络场景下的伪基站威胁分析
第三代合作伙伴计划(3GPP)定义了5G网络架构[3]。5G网络包括无线接入网络(RAN)和5G核心网(5GC),如图1所示。RAN主要由5G基站(gNB)组成。5GC主要包含统一数据管理(UDM)、接入管理功能(AMF)/安全锚定功能(SEAF)、会话管理功能(SMF)、用户面功能(UPF)、策略控制功能(PCF)等网络功能。用户设备(UE)一般由移动设备(ME)和全球用户身份模块(USIM)组成。gNB和AMF/SEAF通常位于UE的服务网络,UDM等则位于用户的归属网络。
5G网络下的广播消息或单播消息有可能导致伪基站攻击出现。当UE处于连接模式或进入连接模式时,在安全上下文激活完成之前,可能会发生伪基站攻击。小区周期性广播同步信号和系统信息,UE则基于同步信号检测小区。如果检测到的小区信号质量高于定义门限,则UE根据小区选择标准对所有候选小区进行选择,并驻留到信号质量最好的小区。由于UE只检测信号质量,因此伪基站可以很容易地利用高质量信号来诱使UE驻留[4]。
gNB将业务信息,例如公共警告系统(PWS)消息、地震和海啸预警系统(ETWS)消息、车用无线通信技术(V2X)消息等,通过系统信息块(SIB)发送给驻留UE。伪基站可篡改合法广播消息中携带的这些服务信息或者伪造虚假的服务信息。如果UE驻留到伪基站上,就会存在如下安全威胁:
(1)PWS携带的信息可能包含虚假信息、垃圾短信等,进而误导用户点击欺诈网站的链接。此外,攻击者还可通过伪基站来传播虚假信息以制造社会恐慌。
(2)UE驻留到伪基站后,无法获得正常的广播服务,如检测紧急呼叫、ETWS消息、V2X消息等。
(3)虚假广播消息也可能对终端的软件系统实施攻击,例如通过构造复杂消息来触发软件系统的已知漏洞,使操作系统或者应用软件被劫持或阻塞。
(4)降级攻击。gNB向UE发送消息,请求UE的接入安全能力。UE在安全模式(SMC)完成前给gNB反馈UE能力信息。此时,伪基站可以作为“中间人”捕获该消息,将UE的真实接入安全能力调低并反馈给真实的gNB,以降低UE接入到网络的安全能力。
(5)5G虽然使用用户签约隐藏标识(SUCI)来替代用户签约永久标识(SUPI)发送给网络,但这种替代并非强制。当SUPI的保护模式设置为“null-scheme”时,SUPI仍然使用明文在网络中傳递[5]。如果此时网络并没有建立安全传输模式,例如接入层安全(AS)、非接入层安全(NAS),则SUPI有可能在传输时暴露,从而造成隐私泄露。
(6)拒绝服务(DoS)攻击。伪基站可通过不断向UE反馈拒绝消息来拒绝UE的附着请求,从而制造DoS攻击。
在上述威胁中,预防(1)和(3)需要对SIB消息实施鉴权,预防(2)需要UE驻留小区时进行伪基站检测,预防(4)需要对UE和网络之间的能力协商消息进行保护,预防(5)需要防止UE驻留到伪基站上,预防(6)需要验证基站向UE返回的消息的真实性。
综上分析,5G系统如果要防止伪基站带来的安全威胁,就需要对单播或者广播消息进行保护,从而防止UE驻留到伪基站上。
2基于对称算法的防伪基站技术方案
2.1方案概述
目前移动通信网络主要使用非对称密钥算法为无线信令提供数字签名方案以实现伪基站防护[6-7]。但非对称密钥算法对计算资源开销过大,这对终端和无线设备等计算能力有限的设备而言势必增加了处理负担。本文中,我们研究了一种基于对称密钥算法的伪基站防护技术,其核心思想为:在归属网络的协助下,服务网络向ME动态提供加密的用于验证无线信令真实性的密钥。gNB为无线信令使用对称密钥算法生成一个消息认证码(MAC-I),然后由ME在USIM的协助下使用验证无线信令真实性的密钥来验证MAC-I,以判断无线信令是否是伪基站发出的信令。技术方案包含如下关键步骤:
(1)服务网络向ME提供用于验证无线信令真实性的密钥;
(2)用于验证无线信令真实性的密钥是加密的,无法被ME解密,只能由USIM完成解密;
(3)USIM存储的加密密钥具备和长期密钥(LTK)相同的安全要求;
(4)加密密钥和用于验证无线信令真实性的密钥需要周期性更新;
(5)ME将用于验证无线信令真实性的加密密钥和无线信令发送给USIM验证。
通过对消息设置完整性校验来实现对广播消息(例如MIB、SIB和告警消息等)和下行绝对无线频道编号(DL_ARFCN)的保护。当UE驻留到gNB的一个小区时,服务网络仅给USIM提供有限数量的密钥。这使得UE只能处理密钥对应gNB发送的经过完整性保护的广播消息,可有效减少UE处理发送消息的gNB数量,减轻UE处理负担。这些gNB覆盖的区域被称为保护区(PA),具体可参考本文2.4.1节内容。当攻击者捕获PA中某个小区的广播消息时,攻击者只能模拟该小区使用相同的DL_ARFCN频率向同一PA下的某个UE广播无法更改的消息,从而使攻击变得困难,同时使攻击者(伪基站)容易被定位和被网络检测到。当UE在一个重放系统消息的伪小区驻留时,UE将使用本文2.5.2节中描述的单播消息真实性验证流程检测到该小区是伪小区,然后重新选择其他小区进行驻留。在同一PA中广播捕获的告警消息也可能是一种安全威胁。对此,可通过在告警消息中添加时间和区域等信息,以避免重放威胁。
2.2技术框架
图2描述的是基于对称密钥算法的5G网络场景下防伪基站技术方案,包括4个流程:(1)保护密钥协商(PKA)流程、(2)保护密钥传输(PKT)流程、(3)PA信息提供(PAIP)流程和(4)小区真实性验证(CA)流程。其中,流程(1)和(2)一并执行,流程(2)始终在流程(1)之后,流程(3)为服务网络向ME提供PA信息的流程,流程(4)包括针对广播消息和单播消息的真实性验证过程。
CKp是用于加密服务网络向ME提供信息的密钥,由归属网络和USIM协商产生,并且在USIM上存储时具备与根密钥LTK相同的安全需求,即USIM应防止CKp泄露。
服务网络向ME提供的PA信息包括被gNB用于无线信令完整性保护的密钥。PA信息中的密钥在被CKp加密后提供给ME。ME接收之后必须由USIM完成解密。ME将PA信息和无线信令发送给USIM,然后由USIM进行小区真实性验证。CKp和被gNB使用的密钥必须定期更新,以便密钥在被攻破时即时失效。此外,该技术方案还具有另外的作用,比如在5G安全上下文激活之前,可对无线信令上传输的敏感信息进行加密传输。
2.3PKA和PKT流程
图3展示了在UE向网络发起注册的过程中完成的PKA和PKT流程。假设在漫游场景下,AMF/SEAF所在的漫游服务网络和AUSF/UDM所在的归属网络之间的漫游接口具备完整性、机密性和抗重放保护能力。
(1)UE发送网络注册请求消息给服务网络AMF/SEAF。如果UE决定更新CKp,则请求消息需要携带一个说明密钥协商的标记。
(2)如果UE注册到网络而发起注册流程,或者AMF/SEAF收到Flag标记,则发起PKT流程。AMF/SEAF向UDM发送CKp请求消息(UE密钥传输请求),并携带SUPI。
(3)UDM收到请求消息后,会根据LTK产生一个CKp和一个随机数(NONCE)。
(4)UDM向AMF/SEAF返回NONCE和CKp,以完成PKT流程。AMF/SEAF上报CKp给防伪基站功能(AFBF)。AFBF可以是运营和管理(OAM)平台功能,也可以是专用网络功能。AFBF通过CKp加密KRBS(参考2.4.1定义)得到加密的EKRBS。
(5)AMF/SEAF向UE发送注册成功消息,并携带NONCE。
(6)UE接收NONCE。如果UE支持AFBF,则ME将NONCE发送给USIM。
(7)USIM启动CKp初始化过程。USIM使用NONCE和LTK计算产生密钥CKp。这种计算方法与UDM计算CKp的方法相同。同时USIM应能够防止CKp外泄。
(8)USIM产生CKp之后向ME返回指示。
2.4PAIP流程
2.4.1PA保護区域
我们将每个PA下的gNB进行分组,并将组称为共享根密钥组(SRKG)。每个SRKG由bsGKI标识,同时SRKG下的每个gNB由bsGNI标识。如图4所示,而每个gNB仅属于一个SRKG,每个SRKG可以属于一个或多个PA。
在对gNB分组的情况下,每个SRKG具备一个密钥KRBS。该密钥被SRKG下的每个gNB共享。基于KRBS派生出SRKG下每个gNB的密钥KBS可用于基站保护。服务网络向ME提供的PA信息中仅包含KRBS的加密密钥EKRBS,以减少提供给ME的加密密钥数量。
任何注册区域(RA)均被一个且唯一一个PA完全覆盖,因此在UE注册过程中,服务网络可以向ME提供PA的加密密钥。图5描述了RA与PA之间的关系。
在注册期间(包括初始注册、移动性或周期性注册)或者其他初始NAS消息处理过程中,AMF应向ME提供PA信息,其中PA信息包括bsGKI列表、对应的EKRBS列表以及密钥有效期。有效期用于防止伪基站破解gNB的KBS去欺骗UE。当给密钥加上有效期时,即使上述密钥被破解,密钥也已到期。因此,设置的有效期应足够短,以使密钥在一定期限内不被破解。
在密钥到期前,服务网络应更改SRKG的根密钥KRBS。为了提高性能,一个PA应包含和其全覆盖下的跟踪区毗连的gNB。这样,当UE位于跟踪区边缘时,UE也能获取每个毗连gNB的密钥。同时PA划分的范围也不宜过大,这是因为太大的PA会很难减轻基于重放广播无线信令的伪基站攻击。
2.4.2PA信息表示
结合2.4.1对PA的定义,如图6所示,PA信息是一组gNB信息的结合,表示形式为:PA=(
每个gNB信息都由gNB标识(IDi,i=a,b,c,...)和使用CKp加密的根密钥(KRBS[i],i=a,b,c,...)组成。在移动过程中,UE获取的PA信息在不断更新。当UE从一个PA移动到另外一个PA时,ME向服务网络发出PA更新请求。
服务网络在响应消息中将更新的PA信息提供给ME。
2.4.3PAIP流程
服务网络向ME提供PA信息的预置条件有两个:
(1)服务网络通过OAM平台或专用网络功能提供每个gNB对应的bsGKI和bsGNI;
(2)服务网络通过OAM平台或专用网络功能管理SRKG的密钥及其他相关信息。
KBS的产生方式为:KBS=HMAC-SHA-256(KRBS,
图7描述的是UE与服务网络之间的共享密钥提供流程,具体包括5个步骤:
(1)在PKT流程中,CKp从归属网络发送到服务网络。
(2)UE向AMF/SEAF发送注册请求,该消息能够触发PKA和PKT过程。
(3)如果AMF/SEAF支持AFBF,那么AMF/SEAF就可以获取PA信息,即覆盖UE当前驻留跟踪区的PA{bsGKI,EKRBS,expiry}列表。其中,EKRBS使用CKp加密的KRBS;expiry指示EKRBS的有效期,即在有效期到期后,EKRBS必须更新。
(4)AMF/SEAF向UE返回注册成功消息,并且消息中携带PA信息。
(5)如果ME支持AFBF,那么ME将保存PA信息。
2.5CA流程
2.5.1广播消息真实性验证流程
图8是广播消息真实性验证流程,具体包括6个步骤:
(1)gNB决定通过一个小区广播一条消息,例如MIB或SIB。该消息包含gNB标识
gNB根据KBS计算出MAC-I,以及DL_ARFCN串接消息(其长度小于等于32B),或者HASHNW(其长度大于32B)。
(2)gNB广播消息,同时消息携带
(3)ME通过小区接收广播消息,同时消息携带
(4)如果DL_ARFCN長度加上接收消息的长度大于32B,则ME将首先计算HASHMS(与gNB计算HASHNW的方式相同),然后发送EKRBS、
(5)USIM先根据存储的CKp解密EKRBS并得到KRBS,然后从KRBS和
(6)USIM将XMAC-I反馈给ME。ME会比较XMAC-I和MAC-I,如果两者相等,则ME会处理广播消息;否则,ME会在缓存中将该小区标记为高危小区。
对网络认证成功后,UE应检查缓存中的可疑或高危小区是否在PA中。如果不在,则缓存中的小区被标记为可疑小区,否则UE将进行小区验证。如果验证失败,UE在缓存中将该小区标记为伪小区;如果验证成功,该小区将从缓存中被移除。UE可以将缓存中的可疑、高危和伪小区告知给服务网络。
2.5.2单播消息真实性验证流程
只有在UE和gNB无法获取AS安全上下文的情况下,单播消息真实性验证流程才会生效。图9是单播消息真实性验证流程,具体包括7个步骤。
(1)ME尝试驻留在一个小区上,并决定向该小区发送消息1。ME产生一个随机字符串NONCE。NONCE可被作为连续下行消息的重放保护参数。
(2)ME可以决定对消息1中的敏感信息进行保护。ME将EKRBS,
(3)ME向小区发送消息1。其中,消息1携带NONCE,并且消息1是部分加密的。
(4)gNB收到消息1。如果消息1是部分加密的,则gNB解密加密部分以获得明文信息。
(5)gNB决定向UE发送消息2。gNB获取temp-message=(NONCE||message2),并按照2.5.1描述的方式计算temp-message的MAC-I。
(6)gNB将消息2发送给UE。其中,消息2携带MAC-I。
(7)ME接收消息2,并按照2.5.1中的步骤4—6进行消息真实性验证。验证过程用temp-message=(NONCE||message2)替代消息2。
3结束语
本文描述了5G网络场景中由攻击广播消息或单播消息产生的伪基站问题,进而提出了针对广播信息和单播信息进行真实性验证的方法以抵御伪基站攻击。此外,本文还研究了使用对称密钥算法对广播消息和单播消息进行机密性或者完整性防护的实现过程,包括用于保护密钥的协商和传递过程、PA信息表示和提供过程,以及针对广播信息或单播信息的真实性验证过程。相对于使用非对称算法对无线消息进行防护的方法,对称密钥算法具有对网络资源要求少的优势,是值得推荐的技术方案。随着技术的不断演进,伪基站攻击方法还会不断发展,相应的防护方案需要进行不断完善。
参考文献
[1]李赓,赵玉萍,孙春来,等.一种基于伪信令的伪基站抑制方法研究与分析[J].信息网络安全,2014,(9):12-16
[2]刘长波,张敏,常力元,等.5G伪基站威胁分析及安全防护建议[J].移动通信,2019,43(10):58-61
[3]3GPP.Systemarchitectureforthe5Gsystem:3GPPTS23.501[S].2020
[4]李宁.基于GSM基站信息的伪基站侦测系统[D].成都:西华大学,2016
[5]3GPP.Securityarchitectureandproceduresfor5Gsystem:3GPPTS33.501[S].2020
[6]IEEE.IEEEstandardforidentity-basedcryptographictechniquesusingpairings:IEEE1363.3[S].2013
[7]IETF.Ellipticcurve-basedcertificatelesssignaturesforidentity-basedencryption:IETFRFC6507[S].2012
作者簡介
毛玉欣,中兴通讯股份有限公司资深系统架构师;主要研究方向为5G网络安全和虚拟化安全;参与多项国际技术标准的制定;拥有发明专利70余项、国际标准提案50余项。
游世林,中兴通讯股份有限公司资深技术预研工程师;从事IMS、LTE、5G安全方面的标准预研和产品研发工作;参与多项国际技术标准的制定;拥有发明专利和标准提案数十项。
闫新成,中兴通讯股份有限公司网络安全首席系统架构专家、移动网络与移动多媒体技术国家重点实验室未来网络研究中心副主任,教授级高工;从事电信行业20年,曾主持国家科技重大专项5G安全课题;获得多项科技奖励,拥有专利40余项。
