胡鑫鑫，劉彩霞，彭亞斌，柏 溢，陳 強(qiáng)

(1.中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)，河南 鄭州 450002; 2.中國人民解放軍61516部隊,北京 100071)

0 引言

鑒權(quán)認(rèn)證協(xié)議作為移動通信網(wǎng)絡(luò)安全的第一道防線，其安全性研究一直是業(yè)界關(guān)注的重要領(lǐng)域[1]，并伴隨移動通信網(wǎng)的發(fā)展史。Myrto等人[2]在3G鑒權(quán)認(rèn)證協(xié)議中發(fā)現(xiàn)了可鏈接性攻擊，并提出了解決此問題的方案。相關(guān)方案增強(qiáng)了3G鑒權(quán)認(rèn)證協(xié)議的安全性，修復(fù)了可鏈接性攻擊，但方案所需的通信開銷、計算開銷和存儲開銷很大。Ravishankar等人[3]發(fā)現(xiàn)了AKA協(xié)議的邏輯漏洞，該漏洞利用AUTS計算中的XOR操作來破解用戶的同步序列號值，攻擊者利用該邏輯漏洞可以對用戶實(shí)施位置跟蹤并分析用戶通信行為，為了彌補(bǔ)該漏洞，作者提出了3種可能的解決方案。Changhee等人[4]發(fā)現(xiàn)LTE網(wǎng)絡(luò)存在可鏈接性攻擊威脅，并提出了解決該威脅的方案，所提方案同時需要額外增加信令流程實(shí)現(xiàn)LTE系統(tǒng)的同步故障恢復(fù)問題。文獻(xiàn)[5]對5G用戶注冊請求消息交互流程存在的安全問題進(jìn)行了研究，并提出了解決方案，相關(guān)方案需要對5G密鑰層次進(jìn)行較大的更改。5G AKA是5G網(wǎng)絡(luò)采用的身份鑒權(quán)認(rèn)證協(xié)議，其安全脆弱性研究是保證5G網(wǎng)絡(luò)和用戶安全通信的重要基礎(chǔ)。

本文對5G AKA協(xié)議的安全性進(jìn)行了研究，發(fā)現(xiàn)了5G AKA協(xié)議的2個缺陷:一個會帶來可鏈接性攻擊威脅，另一個會帶來SUCI(5G網(wǎng)絡(luò)用戶身份標(biāo)識的一種加密格式)竊聽攻擊威脅?；?G網(wǎng)絡(luò)的安全架構(gòu)，對所發(fā)現(xiàn)缺陷提出了修復(fù)方案，在不需增加額外密鑰的情況下，實(shí)現(xiàn)對認(rèn)證結(jié)果消息的加密，使攻擊者無法從認(rèn)證結(jié)果反饋消息中獲取所需信息。本文使用形式化分析工具TAMARIN來分析所提方案的安全性。

1 5G AKA認(rèn)證協(xié)議簡述

與4G LTE網(wǎng)絡(luò)類似，5G網(wǎng)絡(luò)主要由用戶終端設(shè)備、接入網(wǎng)和核心網(wǎng)組成，核心網(wǎng)又包括服務(wù)域網(wǎng)絡(luò)和歸屬域網(wǎng)絡(luò)。用戶的鑒權(quán)認(rèn)證功能主要由終端設(shè)備、服務(wù)網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)完成。5G網(wǎng)絡(luò)的終端設(shè)備種類很多，不再局限于傳統(tǒng)的個人通信終端，還包括眾多的物聯(lián)網(wǎng)終端、垂直行業(yè)用戶終端等；服務(wù)網(wǎng)絡(luò)主要實(shí)現(xiàn)用戶的接入管理、會話管理等功能，包括AMF，SEAF，SMF等網(wǎng)元。歸屬網(wǎng)絡(luò)主要負(fù)責(zé)用戶身份認(rèn)證和身份信息管理。簡化的5G網(wǎng)絡(luò)如圖1所示。

圖1 簡化的5G網(wǎng)絡(luò)Fig.1 Simplified 5G network

5G網(wǎng)絡(luò)自設(shè)計之初，就增強(qiáng)了安全功能，其中最典型的是增強(qiáng)了用戶身份標(biāo)識訂閱永久標(biāo)識符(SUbscription Permanent Identifier，SUPI)在空中接口的安全性，需要在空中接口傳遞SUPI的場景，終端使用非對稱加密機(jī)制對SUPI進(jìn)行加密，產(chǎn)生訂閱隱藏標(biāo)識符(SUbscription Concealed Identifier，SUCI)，并用SUCI代替SUPI在空中接口傳遞，防止用戶身份信息在空中接口泄漏，相關(guān)加密機(jī)制如圖2所示，具體可參考文獻(xiàn)[6]。此外，5G網(wǎng)絡(luò)明確規(guī)定采用5G AKA和EAP-AKA′兩種協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)和用戶的雙向認(rèn)證功能，所有5G終端必須同時支持。本文重點(diǎn)介紹5G AKA協(xié)議。

圖2 SUPI加密/解密方案Fig.2 SUPI encryption/decryption scheme

根據(jù)5G安全標(biāo)準(zhǔn)[6]，5G AKA協(xié)議的交互過程如下，協(xié)議在不同交互過程傳遞的安全參數(shù)加圖3所示。協(xié)議執(zhí)行過程如下：

① 歸屬地網(wǎng)絡(luò)HN產(chǎn)生認(rèn)證向量AV(RAND，AUTN，HXRES*，KAUSF)并將其發(fā)送給服務(wù)網(wǎng)絡(luò)SN；

② 服務(wù)網(wǎng)絡(luò)將AV(RAND，AUTN，HXRES*，KAUSF)中的2個參數(shù)RAND，AUTN和另外2個參數(shù)ngKSI和ABBA組合成鑒權(quán)請求發(fā)送給UE；

③ UE進(jìn)行消息認(rèn)證碼MAC校驗和同步序列號SQN校驗，若二者都校驗成功，則計算生成響應(yīng)消息RES*發(fā)送給SN,并由SN傳遞給HN進(jìn)行校驗；

④ 若HN和SN都校驗成功，則鑒權(quán)成功，UE和網(wǎng)絡(luò)可以進(jìn)行后面的正常業(yè)務(wù)；

⑤ 若SQN校驗失敗，則UE明文返回同步失敗消息并附上AUTS；

⑥ 若MAC校驗失敗，則UE明文返回MAC校驗失敗。

EAP-AKA′協(xié)議類似于5G AKA，也依賴于基于共享根密鑰的質(zhì)詢/響應(yīng)機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)和用戶的雙向身份認(rèn)證，采用同步序列號以防止重放攻擊，SQN、MAC檢查機(jī)制和同步故障恢復(fù)機(jī)制也相似。二者之間的主要區(qū)別是某些信令消息和密鑰計算方法不同。

本文主要對5G AKA協(xié)議 SQN、MAC驗證機(jī)制和同步故障恢復(fù)過程的安全性進(jìn)行研究，因此，在5G AKA中發(fā)現(xiàn)的安全缺陷及和修復(fù)方案也適用于EAP-AKA′協(xié)議。

圖3 5G AKA協(xié)議Fig.3 5G AKA protocol

2 5G AKA協(xié)議的2種安全缺陷

本節(jié)分析5G AKA協(xié)議的2種安全缺陷，以及由此可能導(dǎo)致的攻擊威脅。

2.1 鑒權(quán)認(rèn)證響應(yīng)消息明文傳遞的安全缺陷

圖3所示的5G AKA協(xié)議執(zhí)行過程中，步驟⑤和步驟⑥包含了終端給網(wǎng)絡(luò)反饋的身份認(rèn)證響應(yīng)消息。經(jīng)研究，該消息在空中接口以明文形式傳輸，如果攻擊者通過某種技術(shù)手段在空中接口竊聽該消息，就可以基于認(rèn)證結(jié)果信息(成功或失敗)以及失敗原因等信息分析終端當(dāng)前所處的狀態(tài)，具體包括目標(biāo)用戶收到的鑒權(quán)向量是否與其匹配，如果不匹配則會得到匹配失敗原因。

攻擊者利用5G AKA協(xié)議的上述安全缺陷發(fā)起的攻擊過程及信息分析過程如圖4所示。結(jié)合5G AKA協(xié)議交互流程及消息參數(shù)具體說明如下：

① 攻擊者將嗅探工具放置在目標(biāo)UE附近，并從空中接口竊聽目標(biāo)UE的明文認(rèn)證請求消息。此消息包含RAND和AUTN的2個關(guān)鍵數(shù)據(jù)，攻擊者將消息保存在本地。

② 攻擊者使用在步驟①中捕獲的RAND和AUTN構(gòu)建認(rèn)證請求消息。然后在目標(biāo)用戶可能出現(xiàn)的任何地方廣播偽造的認(rèn)證請求消息，惡意gNodeB附近的所有UE將收到身份驗證請求消息。

③ UE收到消息后，將進(jìn)行消息認(rèn)證碼檢查和序列號檢查。驗證完成后，由于密鑰協(xié)商過程尚未完成，UE以明文形式返回認(rèn)證響應(yīng)。僅當(dāng)從AUTN獲得的xMAC與使用SQNHN重新計算的MAC相等時，MAC檢查才能成功。當(dāng)執(zhí)行SQN檢查時，UE將確定SQNHN是否在正確的范圍內(nèi)，如果SQNHN>SQNUE，則SQN檢查成功。當(dāng)以上2個檢查均成功時，UE將返回RES*=Response(K，RAND，SNN)，其中Response( )表示復(fù)雜的密鑰推導(dǎo)函數(shù)，SNN表示服務(wù)網(wǎng)絡(luò)名稱。如果MAC和xMAC不相等，則UE以MAC驗證失敗來回應(yīng)網(wǎng)絡(luò)。如果MAC檢查成功,但是SQNHN不在正確的范圍內(nèi)，則UE將以同步失敗來回應(yīng)網(wǎng)絡(luò)，步驟②中接收到的重播認(rèn)證請求消息將通過目標(biāo)UE的MAC檢查，但SQN檢查將不會通過，因為SQNHN

攻擊者可能利用此漏洞來判定目標(biāo)用戶是否在某個具體位置。例如，如果在目標(biāo)用戶可能出現(xiàn)的辦公區(qū)域、家庭或大型活動場地附近實(shí)施攻擊，則可以判斷當(dāng)前用戶的特定位置而不會被用戶感知。

2.2 SUCI請求認(rèn)證向量的安全缺陷

SUCI請求認(rèn)證向量的安全缺陷歸根結(jié)底也是由空中接口的開放性導(dǎo)致的。5G終端用戶接入網(wǎng)絡(luò)之前，需要按圖3所示流程與網(wǎng)絡(luò)進(jìn)行雙向身份認(rèn)證，在這個過程中，用戶使用SUCI向網(wǎng)絡(luò)發(fā)起注冊請求，由于明文傳遞，這一信息容易被攻擊者捕獲。當(dāng)攻擊者在目標(biāo)用戶附近或者運(yùn)營商更新SUCI間隔太長，攻擊者容易利用捕獲的用戶注冊請求消息請求網(wǎng)絡(luò)的真實(shí)認(rèn)證向量。這個缺陷如果被攻擊者利用，則可以構(gòu)造用戶位置嗅探攻擊，具體攻擊步驟說明如圖5所示。

(1) 對手假設(shè)

攻擊者攔截目標(biāo)用戶的真實(shí)注冊請求消息(包括SUCI)，并且構(gòu)建惡意UE以及正確配置的惡意gNodeB。惡意UE和惡意gNodeB之間可以存在專用通信信道。

(2) 攻擊流程

在攻擊的第一階段，攻擊者在目標(biāo)用戶可能出現(xiàn)的小區(qū)中連續(xù)監(jiān)聽，以獲得目標(biāo)用戶的真實(shí)注冊請求消息，該消息中包含用戶SUCI。此消息是為隨后的重放攻擊準(zhǔn)備的，因為請求消息包含目標(biāo)用戶的標(biāo)識信息。在第二階段，攻擊者利用更強(qiáng)的信號在目標(biāo)小區(qū)附近部署惡意基站。受害UE將釋放先前的RRC連接并連接到具有最強(qiáng)信號功率的gNodeB，即惡意gNodeB。然后，攻擊者將注銷請求的第三比特位置為“1”，并發(fā)送給受害者UE，隨即UE將發(fā)起注冊請求。在第三階段，當(dāng)受害者UE發(fā)起注冊請求時，攻擊者通過惡意gNodeB丟棄該消息，并將先前截獲的注冊請求消息發(fā)送給惡意UE。惡意UE通過空中接口將消息發(fā)送給合法的gNodeB。根據(jù)正常的認(rèn)證過程，網(wǎng)絡(luò)將向受害UE發(fā)起認(rèn)證請求(包括AUTN和RAND等)，惡意UE通過惡意gNodeB將該消息發(fā)送給受害UE。在接收到消息之后，受害UE將執(zhí)行MAC驗證并返回認(rèn)證響應(yīng)消息。由于響應(yīng)消息是明文的，因此攻擊者可以通過觀察消息的內(nèi)容來判斷認(rèn)證是否成功。如果認(rèn)證響應(yīng)內(nèi)容是RES*，則認(rèn)證成功，并且受害UE是目標(biāo)UE;如果認(rèn)證響應(yīng)內(nèi)容是Mac_failure，則證明受害UE不是目標(biāo)UE。

(3) 可能后果

通過此攻擊，攻擊者可以驗證目標(biāo)用戶是否在當(dāng)前小區(qū)中。每當(dāng)攻擊者想要確定目標(biāo)用戶的位置時，攻擊者就可以啟動攻擊以實(shí)現(xiàn)目標(biāo)用戶的位置跟蹤。此外，如果受害UE是目標(biāo)UE，則攻擊者可以允許目標(biāo)UE完成后續(xù)注冊過程。當(dāng)目標(biāo)UE的所有流量都通過攻擊者偽造的網(wǎng)絡(luò)(惡意gNodeB和惡意UE)時，攻擊者可以分析流量以構(gòu)建目標(biāo)用戶服務(wù)使用習(xí)慣簡檔(例如電話呼叫、文本消息和數(shù)據(jù)服務(wù))。

3 修復(fù)方案及分析

3.1 5G AKA安全性改進(jìn)方案

通過第2節(jié)介紹的缺陷及相應(yīng)的攻擊可以發(fā)現(xiàn)，5G AKA協(xié)議消息明文傳遞容易被攻擊者利用，而5G AKA協(xié)議運(yùn)行時UE和網(wǎng)絡(luò)尚未完成密鑰協(xié)商，因此又難以對消息內(nèi)容進(jìn)行加密。而5G網(wǎng)絡(luò)采用PKI機(jī)制來保護(hù)用戶永久身份信息，其中使用的公私鑰對和臨時公私鑰對可以被用來修復(fù)前文介紹的缺陷。基于這一思想，本文提出改進(jìn)的5G AKA方案，使得協(xié)議中2種身份認(rèn)證失敗消息對攻擊者無法區(qū)分，方案如圖6所示。

圖6 本文提出的5G AKA協(xié)議修復(fù)方案Fig.6 5G AKA protocol proposed scheme

具體說明如下：

① UE收到認(rèn)證請求消息(RAND,AUTN)后，驗證MAC和SQN。如果二者均通過，則UE將根據(jù)3GPP TS33.501[6]中的A.4計算RES→f2(K,R)并從RES計算出RES*。否則，UE生成新的隨機(jī)數(shù)rand，并轉(zhuǎn)到步驟②。

其中，“||”表示2個操作數(shù)的串聯(lián)。

④ 將RES*發(fā)送到SN / HN。

在上述修復(fù)方案中，MAC-S被包含在認(rèn)證失敗消息中以證明該消息源自真實(shí)UE。在MAC-S計算中使用新的隨機(jī)數(shù)rand來防止可能的鏈接攻擊：如果使用了AV中的RAND，則攻擊者會在短時間內(nèi)重播相同的0身份驗證請求2次(SQNUE不變)。2次獲得相同的MAC-S，并據(jù)此捕獲目標(biāo)用戶。此外，隨機(jī)數(shù)rand還可以被用來使用公共密鑰加密SQNUE，以防止彩虹表攻擊。

3.2 改進(jìn)方案的安全性和效率分析

為證明所提出方案能夠修復(fù)第2節(jié)發(fā)現(xiàn)的2種協(xié)議缺陷，本文使用TAMARIN證明器[7]進(jìn)行形式化驗證。TAMARIN證明器是用于安全協(xié)議符號建模和分析的強(qiáng)大工具，它以安全協(xié)議模型為輸入，并在其中指定了以不同角色運(yùn)行協(xié)議的代理(例如，協(xié)議發(fā)起者、響應(yīng)者和受信任密鑰服務(wù)器)所采取的操作，攻擊者的能力以及協(xié)議的規(guī)范、所需的安全屬性。然后，使用TAMARIN自動構(gòu)建證據(jù)，即使任意多個協(xié)議角色實(shí)例以及攻擊者的動作并行交錯，該協(xié)議也能實(shí)現(xiàn)其指定的屬性。TAMARIN中的觀測等效屬性通過證明入侵者無法區(qū)分這2個系統(tǒng)來對2個系統(tǒng)進(jìn)行推理，如果滿足了認(rèn)證響應(yīng)消息的觀察等效性，則攻擊者無法區(qū)分鑒權(quán)協(xié)議中的用戶響應(yīng)消息，從而無法據(jù)此確定用戶位置。

提出修復(fù)方案的形式化描述如下所示:

1.ruleue_receive_authReq_mac_or_sqn_check_fail:

2. let

3. MACS=f1_star(～k,)

4. Rst_syn=

5. Rst_mac=

6. RES_star_syn_fail=

7. RES_star_mac_fail=

8. in

9. [!Pk(～idHN,pk_HN),

10. Fr(～rand),

11. Fr(～Sqn_UE),

12. Fr(～RES_star_syn_fail),

13. Fr(～RES_star_mac_fail)]

14. --[ Secret(～RES_star_syn_fail) ]->

15. [ Out(pk_HN),

16. Out( ～RES_star_mac_fail ),

17. Out(aenc( diff(～RES_star_syn_fail,～RES_star_mac_fail),pk_HN ) )]

18.lemmaB_is_secret:

19. " All B #i.(

20. Secret(B) @ #i ==>

21. not( Ex #j.K(B) @ #j ) )"

第1～17行描述了協(xié)議改進(jìn)方案的認(rèn)證響應(yīng)消息，即圖6改進(jìn)方案中使用網(wǎng)絡(luò)公鑰pk_HN對身份驗證失敗消息進(jìn)行加密的過程。為證明觀測的等效性，在TAMARIN中使用了diff(,)運(yùn)算符，第18～21行描述了期望驗證的安全性質(zhì)，即響應(yīng)消息對攻擊者的不可分辨屬性。驗證結(jié)果如圖7所示，實(shí)驗結(jié)果表明攻擊者無法區(qū)分2種錯誤消息，這證明了所提出方案的安全性。

圖7 安全性質(zhì)分析結(jié)果Fig.7 Security property analysis result

對于安全協(xié)議而言，除了需要滿足所需的安全性外，還需要考慮效率問題，即通信開銷、存儲開銷和計算開銷需要在用戶設(shè)備和網(wǎng)絡(luò)可接受的范圍內(nèi)。通信開銷指UE需要通過無線電發(fā)送的數(shù)據(jù)的長度，計算開銷是指針對安全協(xié)議運(yùn)行所需要的計算量，存儲開銷是指在安全協(xié)議運(yùn)行過程中所需存儲空間。因此，本文對所提5G AKA協(xié)議修復(fù)方案進(jìn)行了效率分析，分析結(jié)果如表1所示?？梢钥吹?GPP提出的解決方案和本文所提方案各有優(yōu)缺點(diǎn)。3GPP方案所需通信開銷為Lfail_reason+LCONC+LMACS，本文所提解決方案通信開銷為Lfail_reason+LSQN+Lrand+LMACS，由于LCONC=LSQN，因此相比于3GPP方案，本文方案增加了Lrand，因此通信開銷有所增加。計算開銷方面，5G AKA需要運(yùn)行6次的偽隨機(jī)函數(shù)，即6H，而改進(jìn)方案需要5次的偽隨機(jī)函數(shù)和1次非對稱加密，即5H+ENCAsy，二者基本相當(dāng)。存儲開銷方面，3GPP方案需要存儲AK,AK*,MAC,MACS,RES*,pbN，而本文方案為AK,MAC,MACS,RES*,pbN，可見本文方案小于3GPP標(biāo)準(zhǔn)中的方案。

表1 效率分析結(jié)果
Tab.1 Efficiency analysis result

開銷5G AKA本文方案通信開銷Lfail_reason+LCONC+LMACSLfail_reason+LSQN+Lrand+ LMACS計算開銷6H5H+ENCAsy存儲開銷AK,AK*,MAC,MACS,RES*,pbNAK,MAC,MACS,RES*,pbN

4 結(jié)束語

本文發(fā)現(xiàn)了5G網(wǎng)絡(luò)鑒權(quán)認(rèn)證協(xié)議中的2個安全缺陷。借助鑒權(quán)認(rèn)證響應(yīng)消息明文傳遞的安全缺陷，攻擊者可以根據(jù)用戶終端響應(yīng)消息來確定目標(biāo)用戶是否在特定小區(qū)；借助鑒權(quán)協(xié)議中用戶利用SUCI請求認(rèn)證向量的安全缺陷，攻擊者可以嗅探用戶位置。為修復(fù)所發(fā)現(xiàn)的2個缺陷，本文提出了5G AKA安全性增強(qiáng)方案，該方案利用現(xiàn)有的5G網(wǎng)絡(luò)PKI機(jī)制而無需添加密鑰，重新設(shè)計了認(rèn)證失敗消息，并分析了該方案的安全性以及通信、計算和存儲的開銷。分析結(jié)果表明，本文所提方案提高了5G網(wǎng)絡(luò)通信安全性，在減少存儲開銷的同時，僅增加了較小的通信開銷和計算開銷。