与4G移动通信技术主要实现人与人通信不同,5G以其高带宽、低时延和超高密度连接能力,将通信服务对象全面扩展至人与物、物与物,开启了万物互联的新时代。5G作为“新基建”的重要组成部分,在我国新时代的建设进程中,发挥着极为重要的作用。5G商用在给科技、经济等社会各领域带来深刻变革的同时,也给国家公共安全、网络安全以及数据安全等带来挑战。基础网络设备是网络稳定运行的根基,设备若存在安全问题,将给整个网络系统与使用网络的用户带来安全风险。因此,针对5G网络设备(包括无线与核心网)制定全面、有效的安全能力评测方案非常必要。
5G网络设备安全风险分析
5G继承了4G网络的安全架构,提供了比4G更强的安全能力,包括增强的用户隐私保护、增强的完整性保护等,但同时也继承了4G网络的部分脆弱性。此外,5G网络引入了新技术,也带来新的安全风险。
5G基站设备主要存在空口用户数据窃听篡改、空口DDoS攻击、伪基站或者其它攻击源对空口的恶意干扰、基站数据传输未加密完保等安全隐患,可能造成终端用户隐私数据或者行业应用关键数据泄露、通信数据流量被窃听篡改等。5G核心网设备主要用于存储用户身份标识、位置信息、服务信息、能力信息等众多隐私信息以及通信数据,管理用户的接入及会话,转发用户流量数据等。5G核心网设备若未得到有效保护,可能造成用户隐私信息泄露、被篡改以及非法滥用等。
5G核心网引入了网络功能虚拟化、网络切片、边缘计算、服务化架构、网络能力开放等新技术,网络架构有了重大变化,带来了新的安全挑战。网络基础设施虚拟化使5G核心网设备形态不再局限于专用硬件,模糊了传统网络边界,边界隔离与防护不足会使外部的入侵对核心网造成破坏,进而影响5G核心网设备的稳定运行。网络能力开放使得核心网数据从封闭平台扩展到开放平台,用户个人信息泄露的风险增大。服务化架构网元使用了服务化架构技术,提高了核心网的灵活性和开放性,但也使设备可能被攻击的接口增多。边缘计算导致UPF设备暴露在不安全的环境中,受到物理攻击的可能性增大,可能会影响整个边缘计算网络的安全运行。
5G网络设备安全评测体系
为保证产业链各方对移动通信网络的信任,维护设备供应商的良性竞争,全球移动通信协会(GSMA)和第三代合作伙伴计划(3GPP)合作开展了网络安全保障计划(NESAS)。欧盟已经确定将NESAS作为网络安全统一认证框架5G安全认证基线参考,美国、西班牙、瑞典以及我国相关安全实验室都在推动NESAS体系。NESAS主要包括审计评估和测试评估两部分。安全审计及评估机制相关规范由NESAS负责编制,测试评估标准则引用了3GPP制定的SCAS(Security Assurance Specification)系列规范。在测试评估阶段,安全测试实验室根据3GPP定义的SCAS系列标准对网络设备的安全能力进行测试,并生成测试报告。
5G网络设备安全评测内容
依据3GPP制定的SCAS系列规范,5G网络设备的安全评测内容可以分为通用安全要求、基站特定安全要求、核心网特定安全要求3部分。通用安全要求主要指基站设备和核心网设备均适用的安全能力需求,主要包括数据和信息保护、可用性和完整性保护、操作系统及Web服务的安全、脆弱性、鲁棒性/模糊性、软件包安全性等。基站设备的特定安全需求包括空口信令加密完保、空口数据传输保护、网络切换安全、隔离安全等。核心网设备的特定安全需求包括服务化架构安全、信令加密完保、切换安全、用户面数据保护、用户标识安全、漫游安全、切片隔离安全等。
5G网络设备安全评测方法
根据5G网络设备的安全评测内容,从用户面、信令面、管理面对5G网络无线设备和核心网设备进行评测,构建针对设备、接口、协议的全方位评测体系,主要评测方法包括扫描测试、模拟攻击测试、模糊测试、协议分析测试、空口测试、信令流量模拟测试等。
扫描测试
扫描测试主要是通过端口扫描、漏洞扫描、源代码扫描等方式查看5G基站及5G核心网设备是否存在不安全的服务/端口、安全缺陷、未修复的已知漏洞以及潜在的安全风险,从代码、系统、服务层面验证设备的安全性。
模拟攻击测试
模拟攻击测试主要是通过构造攻击报文发送给被测设备,检测设备是否具备防护能力,可以利用预认证消息发起DoS攻击、利用空加密/空完整性算法消息发起攻击、构建异常流程/异常字段进行攻击。模拟攻击测试主要应用于操作系统安全、Web服务安全、网络设备防护安全等基础安全要求的检测,以及操作系统和Web服务的安全配置、网络设备的隔离属性等加固安全需求的检测。
模糊测试
模糊测试主要通过发送、嗅探、解剖和伪造网络数据包,自动生成、突变建模以及智能的测试用例生成,揭示其他测试方法遗漏的隐藏错误,主要用于检测设备健壮性,如通过遍历协议信元的各种取值,构造并发送大量恶意/随机的数据到达被测设备,以此探查设备中可能存在的未知安全问题。
协议分析测试
协议分析测试主要是捕获设备接口的报文并分析,查看设备的处理流程是否符合预期,主要用于被测设备协议功能一致性的检测。
空口测试
空口测试主要是通过修改终端的安全参数配置和安全能力设置等,构造异常的协议报文并发送给被测基站,查看基站的处理是否符合预期,主要用于基站协议功能一致性测试中异常场景的触发,如信令完保校验失败、信令空完保禁止接入、信令抗重放、数据完保校验失败、数据抗重放等。
信令流量模拟测试
信令流量模拟测试类主要通过模拟5G接口协议和构造5G流量,为被测核心网网元构造端到端模拟测试环境,或通过构造异常的协议报文或者流量并发送给被测核心网设备,查看被测核心网网元的处理是否符合预期,主要用于加密和完整性保护、鉴权流程等异常信令的构造和分析,如UE安全能力协商一致性测试。
SCAS规范定义了5G网络设备可能存在未知的安全威胁及脆弱性,5G设备需具备的基础安全能力,需要构建全面客观的检测工具集,一方面可以全面客观地验证5G网络设备是否满足规范要求的安全能力,另一方面可以辅助5G网络设备安全问题的发现及测试验证技术的研发。
小结
5G网络设备安全是关乎网络空间安全的关键因素,在我国“新基建”发展机遇期,应全面深入分析5G设备面临的安全风险及威胁,持续跟踪NESAS和SCAS评测要求和方法,加大5G安全技术和测试验证技术的研发投入,用客观的评测方法发现5G网络设备的安全问题,提升设备安全水平。