5G傀儡：在5G核心网络中链式构建隐蔽命令与控制通道

大家读完觉得有帮助记得关注和点赞摘要移动网络对于现代社会至关重要。最新一代移动网络将比前几代更加普及。因此这些网络作为关键基础设施的一部分提供基本的通信服务其安全性至关重要。然而正如近期关于供应链安全和其他挑战的讨论所示这些系统仍然容易被攻破。本文研究了因5G核心网组件被攻破而产生的问题。研究揭示了如何设计基于命令与控制通信的攻击使其无法被检测或阻止。通过这种方式可以对用户的安全和隐私执行各种攻击而目前尚无有效的应对措施。关键词5G, TLS, SBI安全, 网络安全, 性能测量CCS概念: 网络 → 网络测量CCS概念: 安全与隐私 → 安全协议CCS概念: 安全与隐私 → 分布式系统安全CCS概念: 安全与隐私 → 特定领域的安全与隐私架构CCS概念: 网络 → 移动与无线安全1. 引言5G是现代电信服务的重要推动力。该技术将用于从智能手机、智能手表到智能家居和智慧城市的所有类型的通信。物联网将严重依赖蜂窝通信。由于其重要作用5G基础设施被视为关键基础设施需要精心保护。网络故障带来的严重负面影响使其成为攻击者的高价值目标。此外由于5G基础设施的高度复杂性实现高水平的安全性难度很大存在如2G等互联的传统技术通过漫游连接的外国网络存在潜在安全风险的硬件和软件供应链庞大且地理分布广泛的物理基础设施以及所有与计算机系统相关的其他安全威胁如社会工程学和软件漏洞。因此除了预防攻击外检测受损组件并减轻其影响同样重要。这一点尤其关键因为5G网络可能在实际攻击发生前很长时间就已受损例如先前安装的后门可能在政治紧张或战争时期被激活。受损网络结构的命令与控制是一个长期的研究课题已有大量前期研究。然而针对5G特定的命令与控制尚未被研究尽管其危险性更大因为它难以与真实的5G通信区分开来因此难以预防和检测。在这项工作中我们提出一种方法在部分受损的5G核心网中提供命令与控制能力以便在任何需要时执行网络中的各种攻击。示例攻击包括提取用于解密通信的密钥、滥用公共预警系统向公众发送虚假警报消息或获取用户的地理位置以进行追踪。我们解决的研究问题是1. 是否可能仅使用标准化或真实的5G接口和消息在5G核心网内部建立命令与控制通信2. 如果可能该命令与控制通信的开销效率如何3. 命令与控制通信的隐蔽性与其用于传递恶意信息的隐藏通道容量之间如何权衡本文其余部分结构如下。在第2节我们简要概述5G网络的组件和接口。在第3节我们讨论攻击者模型和设计决策。在第4节我们展示了使用我们框架的几种可能的攻击场景并针对这些场景对设计进行了评估。在第5节我们讨论了可能的对策及其为何仅为部分解决方案。第6节总结了我们的发现并展望了未来的工作。2. 5G核心网架构与安全本节简要介绍移动网络特别是5G的架构。移动网络大致可分为三个域用户设备、无线接入网和核心网。虽然UE通常被理解为智能手机但许多其他设备也可被视为UE例如车辆、移动Wi-Fi接入点、智能手表以及其他具有蜂窝连接功能的智能家居和智慧城市设备。RAN是基站由无线电硬件、信号处理设备和所谓的回传链路通常是光纤组成连接到核心网。核心网包含最多样化的组件它们被组织为网络功能。接入与移动性管理功能物理连接到RAN并通过RAN逻辑连接到UE。在5G中控制面和用户面被分离到不同的组件中其中会话管理功能使用分组转发控制协议控制一个或多个用户面功能。UPF将用户数据从RAN路由到数据网络。基于通过UPF传输的数据策略控制功能提供用于计费的计费信息。除了RAN和UPF之外网络开放功能连接到外部应用功能安全边缘保护代理连接到其他移动网络。NF之间通过服务化接口进行通信。该接口使用双向传输层安全协议来保证机密性、真实性和完整性保护。网络存储功能提供服务发现和用于NF之间授权的OAuth2.0令牌。UE安全的主要认证与密钥协商由UE通过AMF发起。AMF连接到认证服务功能AUSF代理与统一数据管理的通信。UDM存储每个UE的长期密钥材料和位置信息。承载用户数据的接口称为用户面u-plane承载控制数据的接口称为控制面c-plane。图1给出了架构概览。关于5G核心组件的更多详细信息见3GPP TS 23.502关于5G流程的详细信息见3GPP TS 23.502关于安全性的详细信息见3GPP TS 33.501。图1. 5G核心网架构概览3. 5G傀儡设计5G傀儡的总体目标是在5G核心网中提供隐蔽的命令与控制能力。为实现此目标5G傀儡系统将在核心网中发送或“捎带”在标准化或真实的消息上使其无法被入侵检测系统检测和过滤为恶意流量。需要在单个5G核心网组件之间建立多个命令与控制通道并将它们链接在一起。链接的通道代表了用于传递信息的路径。路径可分为前向路径和后向路径。前向路径始于一个入口点用于将执行攻击所需的信息例如SUPI、PEI或IP地址传递到相关组件。后向路径用于通过出口点将状态信息或攻击结果信息提取回攻击者。我们将在以下小节中更详细地描述该设计。3.1 攻击者模型在我们的攻击者模型中我们假设攻击者有一次机会接触5G核心组件以修改组件的软件。在这次一次性访问期间攻击者在5G核心网组件上安装了具有命令与控制能力的后门——5G傀儡系统。假设被篡改的软件能够读取和修改传入和传出的5G消息。尽管这假定了一个相当强大的攻击者但这是一个现实的场景因为5G网络是庞大、复杂且部分过时的系统存在各种漏洞和攻击向量。例如供应链攻击、恶意内部人员、针对运营商或维护人员的网络钓鱼攻击或利用软件漏洞。3.2 命令与控制通道系统设计的第一步是识别单个5G核心组件之间可用的潜在隐藏通道集即5G网络的接口。通常有两种类型的接口与5G傀儡相关外部接口和内部接口。外部接口将5G核心组件连接到外部实体。这些接口对于攻击者从核心网外部发送命令和控制消息以及检索状态消息或提取的信息至关重要。本文考虑的外部接口包括UE到gNB或AMF以及UPF到DN。此外除了本文考虑的接口外还有大量外部接口可用于设计隐藏的命令与控制通道例如漫游SEPP到SEPP、NEF、AMF到4G MME以及所有将5G核心连接到传统代际组件的接口以及连接到IMS和m-plane即用于维护和手动配置的管理接入的接口。内部接口连接同一个公共陆地移动网络内的两个5G核心组件。通常5G核心网严重依赖于服务化架构该架构为两个组件之间的通信提供SBI。SBI使用HTTP/2并通过mTLS进行机密性、完整性和认证保护。它使用NRF和OAuth2.0进行授权。除了SBI之外PFCP用于SMF和UPF之间的通信NGAP用于gNB和AMF之间的通信。每个内部和外部接口都有一组标准化通过其传输的消息。每个接口的消息数量众多无法在此一一列举。有关SBI消息的概述请参见3GPP TS 23.502有关PFCP消息的概述请参见3GPP TS 29.244。每条消息中可能的消息和参数数量众多这对5G傀儡来说是一个显著优势因为即使设计了防御机制来检测命令与控制消息用于信息嵌入的确切消息也可以随5G傀儡部署的不同或随时间而变化。此外任何消息都可以成为5G傀儡系统前向或后向路径的一部分。作为隐蔽通道5G傀儡会覆盖已使用的字段或使用可选字段。从隐写术的角度来看这些对应于中描述的隐藏模式E1n1和E1.1n1。然而网络隐写术中使用的许多其他模式也可能被采用范围从将有效载荷嵌入网络冗余中到修改包间延迟以传输秘密信息。有关网络隐写术的全面介绍请参阅。3.3 链接通道与瞬态消息在识别出两个组件之间的通道后就可以通过它传输信息。要在网络中执行复杂的攻击所需的命令与控制通信通常需要经过多个组件传递消息因为最敏感的组件如UDM通常不对外部接口开放。为实现此目标可以将命令与控制通道链接起来。作为链一部分的组件将从传入消息中检索命令与控制信息并存储起来。然后它们将向命令与控制链中的后续组件发送一条消息。此外可以通过隧道传输5G网络中未被攻破的节点来扩展5G傀儡的命令与控制能力。为实现此目标我们利用信息在作为正常流程的一部分被节点未经修改转发这一特性。例如在AKA子流程中SUCI由UE生成并未经修改地发送到UDM。这种瞬态消息使得即使前向或后向路径上的并非所有组件都被攻破也能转发信息。3.4 信息嵌入模式与消息路由为了减少足迹并规避检测和过滤5G傀儡的隐蔽通道仅使用为其定义了真实消息的组件之间的连接。此外5G傀儡仅使用标准化的5G消息来传输隐藏数据。而且所使用的消息是涉及攻击者的完整5G流程例如注册流程或承载建立流程的一部分。这三个规则确保隐藏的命令与控制通道难以与真实的5G流程区分开来。5G傀儡系统遵循这三个原则的模式被称为基于诱导消息的命令与控制通信。一个可选目标是命令与控制不需要任何额外消息。5G傀儡可以通过将所需的命令与控制信息捎带到真实消息和流程上来实现这一点从而进一步降低检测和过滤的风险。这种模式被称为基于捎带的命令与控制通信。在PB3C模式下需要特别小心因为网络中可能存在多条用于构建命令与控制通道的路径。由于无法预知只能估计即将发生的流程我们无法提前知道最快的路径。因此我们提出了三种简单的路由选项这些选项不假设网络拓扑的先验知识即由以太网网络中的生成树协议等协议提供的可能路径路径泛洪最快的选项同时也提供了一定的冗余性即在所有可用路径上发送消息。此方法的可行性取决于预期的命令与控制消息数量。如果5G傀儡用于触发攻击执行此选项将是可行的。另一方面如果5G傀儡用于定期泄露状态更新或用户面数据即目标的网络流量此选项在IM3C模式由于大量额外消息和PB3C模式由于高延迟下都可能导致问题。轮询轮询依次使用所有合适的路径。这减少了消息总数但不提供冗余且所选路径可能不是最快的。估计增强型轮询此变体基于权重使用所有合适的路径。权重代表路径的估计速度。最优权重的估计取决于预期或监控的网络负载、特定流程的频率以及可用于命令与控制的受损节点集。还可以对权重进行额外调整例如减少特定组件上的负载以提高隐蔽性。这些考虑特定于PB3C模式因为IM3C模式中的消息是在需要时创建和发送的因此除了常规网络延迟外预计不会有其他延迟。然而在IM3C模式下对于一次攻击也必须从所有可用路径中选择一条路径。这条路径的选择可以基于隐蔽性或性能考虑例如最小化特定组件上的负载或所需流程的数量。总的来说PB3C模式更隐蔽而IM3C模式在攻击执行的时序上更快、更具确定性。3.5 信息嵌入5GPP命令与控制消息的嵌入可以通过多种方式实现。在本文中我们排除了建立隐藏通道和任何非5G特定协议即HTTP、TLS、IP和其他底层协议以及支持PFCP的UDP协议栈的选项。相反我们专注于注册流程因为它在任何5G部署中都使用得相当频繁。特定的攻击或更高的性能可能需要考虑更多的流程或消息。其他5G协议例如RRC、PDCP或GTP-C也可能适合嵌入命令与控制消息。以下小节包含对不同接口上发送和接收的网络消息嵌入能力的结构化分析以及用于命令与控制通信的轻量级协议。3.5.1 外部接口UPF和UE组件被用作入口和出口接口这意味着恶意信息可以通过它们进入或泄露出去。UPF包含一个通往DN特别是互联网的用户面接口。因此UPF可以自由地与攻击者控制下的外部实体例如任何网站或FTP服务器交换信息。UE可以是一个简单的调制解调器带有连接到5G网络的SIM卡。如果需要在较低层协议例如RRC协议中嵌入信息来修改控制面可以使用像srsRAN或OpenAirInterface这样的开源软件来发送和接收对协议栈进行了任意修改的5G消息。因此我们认为在这些接口上可用的任何信息都可被攻击者提取。3.5.2 服务化接口SBI包含大量选项可以将比特嵌入网络消息中。根据所使用的模式攻击者的可能性有所不同在IM3C模式下攻击者可以修改任何可用参数从而实现强大的命令与控制能力。即使在PB3C模式下只更改可选或不重要的参数在SBI上命令与控制的潜力也很大。例如作为注册流程一部分的Nsmf_PDUSession_Create消息用于通知SMF相关参数以提供会话管理并正确配置UPF。它包含21个可选参数其中一些是整个容器包含许多进一步的参数。对此请求的响应包含多达8个参数这些参数也包括进一步的容器。表1提供了作为注册流程一部分的SBI消息用于嵌入恶意信息的容量概览。表1. 作为注册流程一部分的SBI消息用于嵌入恶意信息的容量概览消息请求参数响应参数必需可选必需可选Nudm_UECM_Registration721-Nudm_SDM_Get311-Nudm_SDM_Subscribe21--Npcf_AMPolicyControl_Create11-25Nsmf_PDUSession_Create126106Nudm_SDM_Info311-请注意参数数量仅是指示可用于命令与控制的容量一个参数可以是单个值也可以是一个包含更多参数甚至更多容器的容器。此外单个值可以是1比特信息也可以是包含128比特的IPv6地址。因此有多种选项可以将信息嵌入到真实的SBI消息中以满足不同的性能、延迟和隐蔽性要求。3.5.3 Uu、N2和N1接口Uu无线电接口物理连接UE和gNBRRC协议是通信中最重要的协议。UE的初始注册请求包括数百个可选参数这些参数可能被滥用于命令与控制通信。接入层安全模式命令流程中包含的其他消息也可用于双向通信。N2接口连接gNB和AMF。除了RAN和5G核心之间配置所需的必需消息外此接口还用于在UE和AMF之间中继消息。例如NGAP协议可用于嵌入信息以在gNB上执行攻击。N1接口逻辑上连接UE和AMF并使用NAS协议。NAS协议包含各种可用于嵌入秘密信息的消息例如转发的注册请求。其他消息如NAS SMC、身份请求和响应消息作为注册流程的一部分也可被使用。3.5.4 N4接口SMF和UPF之间的N4接口使用PFCP进行通信。此接口定义了14个流程共24条消息包括周期性心跳消息。因此在N4接口上建立命令与控制通信有多种选项。由于本文的重点是注册流程相关消息是与会话管理相关的消息即PFCP会话建立请求和PFCP会话建立响应。PFCP会话建立请求消息由SMF在注册流程期间发起。它包括26个强制和可选参数。UPF以PFCP会话建立响应消息响应其中包括14个强制和可选参数。如果UPF需要发起通信可以使用PFCP会话报告请求消息来嵌入秘密信息。此消息包括12个参数包括可用于隐藏信息传输的容器并由PFCP会话报告响应消息应答该消息包括七个参数其中一些是包含更多参数的容器。3.5.5 5G傀儡协议通常在受损节点之间传输信息的协议可以针对各种场景例如支持的攻击类型进行优化。然而我们提出了轻量级协议5GPP它提供基本的网络协议属性以实现命令与控制通信。在设计5GPP时考虑了以下需求R1 安全性为了增加检测5GPP的难度并增加分析命令与控制消息的复杂性参数被加密。然而消息的完整性、可用性和真实性不在考虑范围内。R2 路由根据不同的场景可以使用不同的路由选项以实现命令与控制消息传递的动态优化例如在攻击执行速度和隐蔽性之间进行权衡。R3 并发性可以并行执行多个攻击并接收其结果。R4 攻击类型支持多种不同的攻击。R5 动态路径协议中可配置出口节点如果可能的话也可配置执行节点以实现更精细的攻击场景。入口节点被隐式地选择为第一个接收命令与控制消息的节点。R6 消息拆分可以将大的有效载荷拆分为多条消息以便在真实消息中只有少量空间可用于信息嵌入时也能进行命令与控制。R7 转发限制每条消息仅转发有限次数以防止无限循环无限循环会增加网络负载并降低命令与控制通信的隐蔽性。5GPP使用一个20比特的头部和一个动态的有效载荷大小具体取决于执行的攻击。表2显示了5GPP头部的结构。表2. 5GPP头部结构比特位类型解释安全性1-4密钥ID用于加密的对称密钥公开5-6路由选项PF: 1, RR: 2, RR-W: 3, 等公开7-9TTL跳数限制公开10拆分指示未拆分: 1, 拆分: 2加密11-13执行点UDM: 1, AMF: 2, 等加密14-16攻击ID最多8个同步攻击加密17-18攻击类型UDM密钥提取: 1, PWS: 2, 等加密19-20出口点UE: 1, UPF: 2, SEPP: 3, NEF: 4加密5GPP的安全性由一个对称密钥提供该密钥在节点被攻破时由攻击者部署。最多可以部署16个不同的密钥以便只有相关节点或节点组能够解密攻击参数。防止泄露执行节点和出口节点非常重要因为它们会泄露哪些其他节点已被攻破的信息。对于路由可以使用第3.4节中讨论的选项。生存时间是一个值n ∈ ℕ在转发消息之前在每个节点中递减并且在经过最多n个节点后消息被丢弃以防止无限循环。我们假设攻击者配置受损节点从消息中已知的消息和参数中检索5GPP头部。通常如果受损节点没有关于嵌入信息位置的信息头部开头的魔术数字例如4比特和头部末尾用于验证消息内容的校验和例如6比特足以识别和验证恶意信息。4. 分析与评估为了分析和评估仅模拟了所讨论的5G傀儡功能的一个子集。我们使用路径泛洪路由实现了PB3C模式。我们使用注册流程包括身份请求和响应、AKA和SMC如图2所示。此设置排除了N32/SEPP以及NEF入口和出口节点并将网络中可到达的组件总体集合限制为UE、gNB、AMF、AUSF、UDM、SMF和UPF。尽管如此使用这些组件仍可执行多种攻击。模拟使用Python和networkx以及matplotlib进行可视化实现。4.1 环境表示5G核心环境由元组E表示定义为E (Procedures, CompromisedNodes)集合CompromisedNodes决定了哪些5G组件将存储和转发恶意信息。Procedures是5G网络所有流程的有序集合。每个流程是一个元组包含该流程中所有消息按发送顺序。单条消息m由下式给出m (Source, Target, AvailableSpace)其中Source是发送消息的5G核心组件Target是接收组件AvailableSpace指示可用于将有效载荷嵌入消息的比特数。流程中消息的顺序对5G傀儡的有效性和效率至关重要因为信息只有在发送节点发送特定消息之前到达该节点才能在该消息中转发。因此为攻击选择流程对攻击的可用路径和时间行为有巨大影响。图2. 所实现注册流程的信令图。蓝色实线注册流程黑色实线身份子流程红色虚线AKA子流程绿色点划线SMC子流程黄色虚线N4用户面配置。基于在这项工作中我们使用注册流程并按照图2所示实现。请注意此流程的实现可能因移动网络而异略有不同。我们的实现方式如下注册由UE注册消息a.发起该消息由gNB接收并转发给AMF。AMF请求UE的身份黑色实线。之后AMF发起AKA子流程红色虚线以建立安全上下文成功后接着进行SMC子流程绿色点划线以启用消息保护。然后AMF使用注册状态信息更新UDMb.、PCFc.和SMFd.以实现数据路由和计费。在SMF使用从AMF接收到的必要信息配置UPF黄色虚线后数据连接被激活。最后AMF向UDMe.、UEf.、PCFg.确认注册并在UE再次确认后向UDMh.确认。4.2 攻击表示一次攻击A表示为元组A (Entry, Execution, Exit, ForwardBits, BackwardBits)这里Entry是恶意信息进入5G傀儡网络的节点。如前所述可能的入口是UPF和UE。Execution参数定义了能够执行预期攻击的组件。如果恶意信息到达执行节点则攻击完成。执行节点也可以滥用其他组件的正常流程来执行攻击例如触发定位流程以获取用户的位置。攻击完成后恶意信息例如提取的信息或攻击状态通过5G傀儡网络返回到Exit节点。ForwardBits表示在执行节点执行攻击所需的比特数BackwardBits表示需要传回出口节点的比特数。如果核心网组件被攻破则可能发生大量攻击。在随后的段落中我们描述了三个示例攻击A1、A2和A3以展示整体概念和需要做出的设计选择。表3列出了攻击A1到A3的参数。有关移动网络中其他攻击的概述请参阅。表3. 用于模拟的示例攻击参数概览攻击攻击路径攻击执行 (比特)入口执行出口前向后向A1: 密钥提取UEUDMUE128192A2: UE定位UPFAMFUE96112A3: PWS滥用UEgNB-32-4.2.1 A1提取长期密钥材料移动网络安全严重依赖于对称密码学。对称长期密钥k存储在最终用户侧的UICC和5G核心网中的UDM中。会话密钥即k gNB、k SEAF、k AUSF、k AMF详情参见TS 33.501附录A是从长期密钥和附加信息派生的这些附加信息可以通过被动无线电监测轻松获取。因此5G的安全性依赖于k的安全性。如果k被泄露用户数据例如互联网流量将容易被窃听。在此攻击场景中攻击者通过入口点向5G核心网发送目标标识符例如SUPI、SUCI或PEI。网络将此信息传递给受损的UDM。UDM为相应的SUPI提取k并将其发送到网络的出口点。攻击者在出口点接收k。这个只有一个受损功能的5G傀儡基本能力示例展示了如何基于来自核心边界的参数即目标信息提取5G核心网深处的信息。4.2.2 A2获取用户位置信息用户或UE的位置是高度敏感的信息。泄露用户位置可能被用于用户追踪和行为分析。在5G中UDM保存有限的用户位置信息然而LFM能够在实践中将用户位置精确到几米理论上可达几厘米。因此LFM是攻击者的有价值目标。在此攻击场景中攻击者再次通过入口点向网络发送目标信息。网络将信息传递给受损的AMFAMF向LFM请求位置信息并通过出口点泄露位置信息。有趣的是AMF本身无权访问用户的位置信息。相反AMF需要代表攻击者滥用正常的定位流程来定位目标。这是一个恶意命令与控制通信与真实5G核心网流程相结合以实现攻击目标的示例。4.2.3 A3滥用公共预警系统在PWS也称为小区广播中gNB发送消息以警告特定小区中的所有UE。为此它使用SIB消息这些消息在每个小区中频繁广播以便于小区选择与重选。PWS中真实性的通用安全问题在中讨论。PWS添加了额外的SIB消息即SIB6、SIB7、SIB8这些消息由小区中的UE接收和处理并将触发警报。在拥挤地区发布虚假警报可能引发恐慌因此构成物理安全风险。在此场景中攻击者不发送目标信息而是发送要触发的警报类型以及可选地在收到警报的UE显示屏上显示的警报消息。这表明存在没有目标信息的攻击更有趣的是5G傀儡可以轻松扩展以包括在RAN即gNB中的命令与控制能力。4.3 攻击成功与路径选择基于所选环境E和攻击A我们可以确定攻击成功的条件。以下方法找到可用于5G傀儡编排的路径首先识别受损核心组件的集合。其次识别所有至少包含两个受损组件之间消息的流程。第三识别这些流程中的所有消息。第四验证这些消息中的每一条是否至少可以嵌入1比特的命令与控制信息。在IM3C模式下此步骤是可选的因为消息中的任何信息都可以被修改因为消息是由攻击者诱导的并非网络正常运行所需。第五由此构建一个网络连接图。在此图中网络组件表示为节点消息表示为有向边。这就是5G傀儡网络。在任意两个5G核心网组件之间可能同时存在前向和后向路径或者只存在其中一种或者根本不存在路径。这需要考虑以确定网络中可能的攻击集。是否可以在5G傀儡网络中执行攻击可以通过基本的图遍历算法如深度优先搜索或广度优先搜索来检查。图3. 模拟工具中使用networkx库可视化的5G傀儡攻击成功与路径选择仿真结果。左图通过发送消息可用的整体5G网络。中图5G傀儡可用的那部分5G网络。右图实际选择的攻击路径。在此我们考虑注册流程并在图3中可视化该方法图的左部分可视化了通过E中包含的消息可到达的整体5G核心网部分。因此该网络代表了可能的执行、入口和出口节点。对于注册流程包含的组件有UE、gNB、AMF、SMF、PCF、UPF、AUSF和UDM。由此最重要的组件都出现在基于注册流程构建的5G傀儡网络中。图3的中间窗格可视化了在命令与控制消息路径从入口点UE开始并且只有受损组件可以接收、存储和转发恶意信息的情况下剩余的5G傀儡网络。如第3.3节所述可以使用瞬态消息绕过此限制。在图的右侧部分可以看到从入口点UE橙色节点开始并在出口点UE橙色节点结束的实际攻击路径。边的方向指示信息流颜色指示是前向路径红色、后向路径蓝色还是两者兼有紫色中的信息流。对于消息的路由我们使用了第3.4节中提出的路径泛洪算法。展示的攻击是A1即具有SUPI目标64比特、SUPI出口点64比特和5GPP头部20比特的UDM密钥提取攻击。假设注册流程中的每条消息都有64比特的容量用于嵌入命令与控制信息。在此示例中前向和后向路径相似UE ↔ AMF ↔ UDM。由于路径泛洪前向路径上的信息也被传送到AUSF后向路径上的信息被传送到SMF。如果在5GPP中密钥ID选择得当这些组件都无法解密攻击信息。此场景还展示了5GPP中生存时间参数的必要性以防止命令与控制消息无限循环。在PB3C模式下使用路径泛洪作为路由算法UDM密钥提取攻击可以在四个连续的注册流程内执行。对于给定的E和A我们开发的5G傀儡模拟工具可以确定攻击总体上能否成功图的中心部分如果可以还能确定最优的前向和后向路径以及完成攻击所需的具体流程数量。4.4 5G傀儡性能开发的5G傀儡模拟工具还能够更改消息中使用的空间以分析更激进的信息嵌入即每条消息更多信息的影响这是与隐蔽性的权衡。此外该工具可用于评估对于给定的E和A嵌入信息以满足攻击者目标的要求。图4概述了第4.2节中介绍的攻击A1、具有IPv4出口点的A1、具有IPv6出口点的A1、A2和A3。我们假设AMF、UDM、SMF、UDM、gNB和AUSF被攻破并且UE被用作入口和出口点。对于具有IPv4和IPv6出口点的A1UPF被用作出口节点。图4. 不同有效载荷大小下示例攻击的性能。对于嵌入消息的比特数较低的情况一些攻击需要多达22个注册流程才能按攻击要求传输信息。如果只有最小比特数21比特可用一些攻击需要多达612个注册流程才能完成攻击。另一方面对于每条消息嵌入48比特或更多的情况大多数攻击可以在少于15个流程内完成见图4。由于注册流程在5G网络中相当频繁地发生用于初始注册、在指定时间段后重新注册定时器T3512以及在安全上下文或GUTI无法映射后我们估计任何攻击都可以在几秒钟内完成。4.5 5G傀儡协议开销分析5GPP提供了几个基本属性以方便路由、机密性、动态攻击配置等。然而20比特的5GPP头部给5G傀儡命令与控制通信带来了开销。表4提供了针对攻击A1-3的一些示例头部。大多数参数不是特定于攻击的而是特定于场景的可以根据需要进行调整例如出口点或生存时间。下面几段讨论了头部开销的三个示例。表4. 不同攻击类型的5GPP头部示例比特位类型A1 (SUPI出口)A1 (IP出口)A3 (PWS)1-4密钥ID任意 (1-16)任意 (1-16)任意 (1-16)5-6路由选项任意 (1-4)任意 (1-4)任意 (1-4)7-9生存时间任意 (1-8)任意 (1-8)任意 (1-8)10拆分指示任意 (1-2)任意 (1-2)任意 (1-2)11-13执行点11214-16攻击ID任意 (1-8)任意 (1-8)任意 (1-8)17-18攻击类型11219-20出口点121A1 (SUPI出口点)有效载荷包括目标SUPI和充当出口点的UE的SUPI。每个SUPI长度为64比特因此20比特的头部在前向路径上将导致20/128 15.6%的开销由于提取的密钥也是128比特在后向路径上的开销为20/(12864) 10.4%。后向路径上的最大数据包大小为212比特。A1 (IP出口点)有效载荷包括目标SUPI和出口点的IP地址。这要么是32比特的IPv4地址要么是128比特的IPv6地址导致前向路径开销分别为20.8%或10.4%。前向路径上的总数据包大小为116比特IPv4或212比特IPv6。后向路径的开销分别为20/(1283220) 11.1%IPv4或20/276 7.2%IPv6。A3 (PWS)有效载荷是应激活PWS的目标小区ID。由于未使用出口点只需要小区标识符22–32比特根据小区标识符的不同开销为62–90%总数据包大小为42–52比特。PWS也可能被滥用来发送特定的文本消息这将需要更多的空间来嵌入警告消息的类型和文本消息本身。通过在协议中定义进一步的攻击类型可以轻松地将此攻击包含在5GPP中。总之20比特的开销通常并不显著但在某些有效载荷较小的场景中例如PWS滥用攻击它可能高达90%。由于在这些情况下消息总大小相当小例如PWS滥用攻击仅为42比特因此这不是一个关键问题。我们还得出结论对于评估的攻击即使是最长的有效载荷276比特的消息信息嵌入空间也足够了如果可用比特数较少则可以将有效载荷拆分到多条消息中。拆分有效载荷时每条消息只需要21比特的空间20用于头部1用于有效载荷导致最大开销为20/1 2000%。然而这不太可能因为通常有更多的空间可用于嵌入信息。4.6 瞬态消息攻击AKA案例研究5GPP提供了几个基本的网络协议属性。然而对于极度优化的攻击可以定义其他协议或消息。一个在AKA中几乎无法检测的UDM密钥提取攻击示例可能如下工作UE可以桥接AMF和AUSF因为它们都会将UE提供的未经修改的SUCI转发直到到达UDM。因此只需要攻破UDM。在攻破期间攻击者在UDM中存储一个对称密钥k_attack。SUCI中包含的MAC标签有64比特。攻击者使用AES用密钥k_attack加密目标SUPI64比特并将密文嵌入SUCI中的MAC标签参数中。如果UDM从攻击者的SUPI接收到注册请求它将按请求执行注册但不会验证用于消息完整性保护的MAC标签而是使用k_attack解密MAC标签以提取目标SUPI。作为一个具有瞬态特性的后向通道可以使用认证请求其中在UDM中生成的RAND128比特和AUTN128比特参数被未经修改地转发到UE。这两个参数总共256比特因此可以同时传送两个提取的密钥每个128比特。为了防止检测提取的密钥使用AES和k_attack加密。攻击者可以使用k_attack解密在UE处接收到的提取密钥以获取目标SUPI的对称长期密钥k。这种方法允许几乎不可检测的密钥提取因为注册流程以常规方式完成并且信息被嵌入到高熵参数中同时由于加密信息本身也具有高熵。5. 对策如前一节所示这种隐藏通信非常难以检测。特别是当使用瞬态消息时关键组件如UDM行为的不可验证性导致了巨大的攻击面。基于这些假设我们提出了两种可能的检测方法特定行为分析和影子功能。本节将讨论这两种方法。5.1 特定行为分析虽然许多现有的入侵检测系统对单个NF进行异常检测但据我们看来这些系统过于宽泛无法检测此类单次攻击。特别是瞬态路径只需要一条或几条消息因此将保持在噪声水平以下。这些攻击很可能需要一种能在单指令级别运行的精细调优的检测算法。对于前面介绍的UDM示例这可能是一个经过训练的系统用于审计AES-NI指令集的使用情况。这假设UDM是在运营商控制的基础设施上运行的软件。虽然软件本身仍然是一个黑盒但运营商可以使用已知的安全请求训练一个系统将每次AES-NI调用与给定的源函数关联起来。基于此训练信息在生产环境中任何与此训练信息的偏差都可能触发警报并阻止执行。虽然这种方法应该能够检测此类攻击但如果攻击者知道确切的操作他们可以加固其软件。在此示例中恶意代码有时可以执行恶意内部函数同时丢弃其结果从而将其添加到允许列表中而不会在测试中触发失败。此外每个新软件版本都需要大量的重新训练这可能会延迟安全修复并引入额外成本。5.2 影子功能另一种方法类似于现代处理器采用的影子栈。不是仅从单个可能不可信的供应商购买设备而是从不同的供应商采购该功能的另一个实例。如果精心选择两个供应商例如不同的势力范围、不同的供应链等那么两者被以相同方式篡改的可能性将大大降低。因此这个单独的实例可以用作检查生产功能合理性的手段。这种检查涉及复制一定百分比的请求并将复制的消息转发给独立的影子实例。如果此实例具有与生产实例相同的状态那么对于大多数请求输出应该是相同或相似的。如果影子实例的响应与生产功能意外偏离这可能会触发警报并阻止响应。与之前的方法类似这也存在一定的局限性。根据需要影子的功能同步状态可能简单也可能复杂。只要涉及随机性影子功能也需要一种重用主实例所选值的方法这可能需要两个供应商的支持。此外由于对标准解释不同不同的供应商可能对同一请求做出不同的响应这再次需要一个包含已知良好请求和响应的训练阶段。与之前的方法不同这些差异不太可能随着每个后续软件版本而改变从而减少了所需的训练工作量。虽然这两种方法都不是完美的但理论上它们应该能够检测此类攻击。其实用性取决于网络运营商所拥有的确切系统。6. 结论与未来工作在这项工作中我们介绍了一种针对5G特定命令与控制通信的方法——5G傀儡。我们讨论了若干问题包括可用的接口、流程和消息攻击成功性路径选择和路由以及性能和隐蔽性并描述了实现和部署该方法的途径。我们发现5G傀儡能够通过真实的接口、流程和消息提供命令与控制能力。此外选择消息、路径和嵌入位置的选项非常广泛。虽然只给出了示例性解决方案但广泛的多样性表明有效的对策实施起来非常复杂并且5G傀儡很可能能够以无法检测的方式部署。从提供的讨论中除了第5节讨论的对策外还可以得出三点建议。首先作为大多数攻击的核心组件AMF在整体系统安全中扮演着至关重要的角色。因此AMF应该得到最严格的保护和监控例如通过定期审计和基于主机的入侵检测。其次瞬态消息允许绕过一些最安全且最难攻破的组件如AKA子流程中所讨论的。因此在网络监控方面应重点关注未经修改即转发的信息。第三可以通过避免在最易受攻击的攻击路径中使用瞬态消息参数来防止信息桥接。在前面讨论的基于AKA的UDM密钥提取的背景下一个例子是将SEAF、AUSF和UDM纳入RAND和AUTN的生成中。这样这些参数就无法使用瞬态消息。相反攻击者需要攻破攻击路径上的每个组件。然而这需要改变AKA流程的标准化。