王華華,黃俊霖,何 沛,吳妙靈,張杰棠
(重慶郵電大學(xué) 通信與信息工程學(xué)院,重慶 400065)
第四代移動通信技術(shù)以其較高帶寬、較低時(shí)延的優(yōu)勢占領(lǐng)著世界市場,但其技術(shù)規(guī)范中存在固有缺陷,導(dǎo)致目前LTE網(wǎng)絡(luò)仍然存在一些安全隱患和漏洞。不法分子利用這些漏洞給用戶造成了巨大的損失,僅2016年3月,360手機(jī)衛(wèi)士共攔截各類“偽基站”短信1.1億條,平均每天攔截“偽基站”短信354.8萬條[1]??紤]到移動網(wǎng)絡(luò)的安全性,3GPP在制定5G標(biāo)準(zhǔn)時(shí)對相關(guān)漏洞流程進(jìn)行了改進(jìn)更新,但由于5G初期的非獨(dú)立組網(wǎng)架構(gòu)存在LTE的部分結(jié)構(gòu)[2],且未來5G仍可能存在LTE遺留的安全問題[3],所以對通信網(wǎng)絡(luò)安全問題的研究意義深遠(yuǎn)。
移動通信網(wǎng)絡(luò)安全的研究一直是熱點(diǎn)問題[4-5],拒絕服務(wù)(Denial of service,DoS)攻擊在安全漏洞中屬于常見的一類攻擊[6-8],它通常使終端、接入網(wǎng)或網(wǎng)絡(luò)無法獲取或提供正常服務(wù)。在文獻(xiàn)[9]中提到一種網(wǎng)絡(luò)尋呼終端的DoS攻擊,通過使用偽基站不斷給終端發(fā)送國際移動用戶標(biāo)識(International Mobile Subscriber Identity,IMSI)進(jìn)行尋呼使其循環(huán)進(jìn)行detach與attach過程,導(dǎo)致終端無法進(jìn)行正常通信,但該攻擊需已知目標(biāo)終端的IMSI。文獻(xiàn)[10]介紹了一種針對終端的DoS攻擊,通過向其偽基站范圍內(nèi)的LTE用戶發(fā)送錯(cuò)誤的跟蹤區(qū)域更新(Tracking Area Update,TAU)拒絕消息,使目標(biāo)終端強(qiáng)制降級為2G或3G網(wǎng)絡(luò),但該攻擊會觸發(fā)會T3440計(jì)時(shí)器,導(dǎo)致用戶10 s就能恢復(fù)到正常網(wǎng)絡(luò),不能對目標(biāo)終端造成持久性攻擊。在文獻(xiàn)[11]中攻擊者偽裝成目標(biāo)終端給核心網(wǎng)發(fā)送多條相同的附著請求,使核心網(wǎng)測序列號大于終端的序列號導(dǎo)致終端鑒權(quán)失敗,但該攻擊會觸發(fā)T3420計(jì)時(shí)器,使得用戶僅在15 s后便重新進(jìn)行鑒權(quán)。
本文利用提出了非接入層(Non-access layer,NAS)中兩種危害程度更高的DoS攻擊模型。對鑒權(quán)拒絕DoS攻擊而言,通過搭建LTE中間人系統(tǒng),偽造鑒權(quán)拒絕消息發(fā)送給目標(biāo)終端,使終端強(qiáng)制降級至2G網(wǎng)絡(luò)并且至少30 min后才會恢復(fù)至LTE網(wǎng)絡(luò)。對網(wǎng)絡(luò)洪泛DoS攻擊來說,通過身份請求消息獲取大量不同終端的合法IMSI,并在短時(shí)間內(nèi)向網(wǎng)絡(luò)發(fā)起多條不同IMSI的附著請求,導(dǎo)致核心網(wǎng)側(cè)進(jìn)程的CPU使用率由30%提升至80%,歸屬用戶服務(wù)器(Home Subscriber Server,HSS)實(shí)體超負(fù)荷運(yùn)行,其他用戶難以接入到該網(wǎng)絡(luò),造成目標(biāo)網(wǎng)絡(luò)的小范圍通信癱瘓。這兩種非接入層DoS攻擊模型對用戶和網(wǎng)絡(luò)均造成了一定程度的危害,且由于5G初期采用非獨(dú)立組網(wǎng)架構(gòu),這類攻擊仍然會在5G中存在。
LTE系統(tǒng)架構(gòu)如圖1所示。UE是由移動設(shè)備(Mobile Equipment,ME)和全球用戶身份模塊(Universal Subscriber Identity Module,USIM)組成的移動終端設(shè)備。ME存儲國際移動設(shè)備標(biāo)識(International Mobile Equipment Identity,IMEI),該信息唯一地標(biāo)識設(shè)備身份。USIM是運(yùn)營商提供的用戶識別模塊,該模塊包含加密密鑰、算法和IMSI。
圖1 LTE系統(tǒng)架構(gòu)
演進(jìn)的通用移動通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)陸地?zé)o線接入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,E-UTRAN)中包括許多通過X2接口連接的基站(evolved NodeB,eNodeB),用來負(fù)責(zé)空中接口相關(guān)的所有功能。作為連接LTE核心網(wǎng)和用戶設(shè)備的中間結(jié)構(gòu),E-UTRAN通過S1接口與LTE核心網(wǎng)連接,通過Uu接口與用戶設(shè)備相連。
分組核心網(wǎng)(Evolved Packet Core,EPC)管理、處理LTE流程和業(yè)務(wù)。移動性管理實(shí)體(Mobility Management Entity,MME)是EPC中的一個(gè)關(guān)鍵控制平面實(shí)體,主要負(fù)責(zé)會話管理、移動性管理、鑒權(quán)認(rèn)證、附著與去附著等功能。HSS是EPC中用來存儲用戶信息的數(shù)據(jù)庫,例如國際移動用戶標(biāo)識、漫游限制等。當(dāng)UE從一個(gè)基站移動到另一個(gè)基站時(shí),服務(wù)網(wǎng)關(guān)(Serving Gateway,SGW)可以作為本地錨定點(diǎn),并協(xié)助完成基站的重排序功能。PGW主要職責(zé)是將UE連接到網(wǎng)絡(luò),為UE分配網(wǎng)絡(luò)地址,進(jìn)行上、下行鏈路計(jì)費(fèi)等。
終端若想接入網(wǎng)絡(luò)進(jìn)行通信服務(wù),需先在網(wǎng)絡(luò)中進(jìn)行注冊。在注冊過程中,終端先進(jìn)行RRC連接,然后進(jìn)行NAS信令交互,其交互流程如圖2所示。
圖2 NAS信令基本過程
終端先向MME發(fā)送包含用戶永久身份標(biāo)識的Attach Request,MME接收到此消息后會向HSS發(fā)送鑒權(quán)信息請求(Authentication Information Request,AIR)來獲取UE的認(rèn)證信息,包括UE的IMSI,MCC、MNC等。當(dāng)接收到AIR時(shí),HSS驗(yàn)證UE然后計(jì)算鑒權(quán)向量并將其包含在鑒權(quán)信息響應(yīng)(Authentication Information Answer,AIA)中發(fā)送給MME。收到AIA后,LTE網(wǎng)絡(luò)便開啟鑒權(quán)過程,此過程采用了相互認(rèn)證機(jī)制。MME先向UE發(fā)送鑒權(quán)請求消息,該消息中攜帶從HSS獲取的認(rèn)證參數(shù)RAND和AUTN。然后,UE通過驗(yàn)證AUTN來驗(yàn)證網(wǎng)絡(luò)的有效性,并計(jì)算出RES(用戶響應(yīng))。MME將收到的RES與XRES(預(yù)期的用戶響應(yīng))進(jìn)行比較以驗(yàn)證UE,如果RES與XRES不相等,網(wǎng)絡(luò)將向UE發(fā)送Authentication Reject信令;如果RES等于XRES,表明UE和網(wǎng)絡(luò)相互鑒權(quán)成功,之后MME和UE通過選擇的加密和完整性算法完成NAS安全模式過程[11]。在安全模式控制完成之前NAS層的信令以明文傳輸,過程完成后LTE網(wǎng)絡(luò)將建立NAS保護(hù)。
LTE注冊過程中,鑒權(quán)過程是以明文在空口中進(jìn)行傳輸?shù)?,攻擊者通過在真實(shí)終端和網(wǎng)絡(luò)之間搭建一套中間人偽系統(tǒng)對目標(biāo)終端和網(wǎng)絡(luò)端的注冊流程進(jìn)行中繼,并在收到鑒權(quán)響應(yīng)后偽造鑒權(quán)拒絕消息發(fā)送給目標(biāo)終端,從而使目標(biāo)終端強(qiáng)制降級至2G甚至脫離網(wǎng)絡(luò)。攻擊模型框圖如圖3所示。
圖3 針對終端DoS攻擊的模型框圖
目標(biāo)終端初始駐留在現(xiàn)網(wǎng)的小區(qū)中,并在空閑狀態(tài)下周期性測量周邊小區(qū)的信號質(zhì)量。偽基站利用系統(tǒng)消息廣播自身的信號質(zhì)量與小區(qū)信息,目標(biāo)終端在廣播消息中得到相鄰小區(qū)信息并按一定時(shí)間間隔對鄰小區(qū)功率進(jìn)行測量取值,同時(shí)計(jì)算這些值的平均值以判斷它們是否滿足S準(zhǔn)則。偽基站中的參數(shù)都是可以人為調(diào)節(jié)且可利用硬件設(shè)施去放大發(fā)射增益,因此偽基站滿足S準(zhǔn)則,目標(biāo)終端成功小區(qū)重選至中間人攻擊系統(tǒng)中。此后目標(biāo)終端、中間人攻擊系統(tǒng)和現(xiàn)網(wǎng),三者進(jìn)行如圖4所示的NAS層的信令交互。
圖4 針對終端DoS攻擊的信令交互
在接入進(jìn)中間人攻擊系統(tǒng)后,目標(biāo)終端發(fā)送Attach Request信令給偽核心網(wǎng),由于此信令是以臨時(shí)移動用戶識別碼(Temporary Mobile Subscriber Identity,TMSI)進(jìn)行附著的消息,偽核心網(wǎng)偽造一條身份請求信令經(jīng)由偽基站發(fā)送給目標(biāo)終端,終端接收后以攜帶IMSI的Identity Response進(jìn)行回復(fù),從而獲取其IMSI。接著,攻擊者通過中間人系統(tǒng)將獲取到的IMSI傳遞給偽終端,使偽終端代替目標(biāo)終端向真實(shí)網(wǎng)絡(luò)發(fā)起附著過程。由于該附著請求消息中包含目標(biāo)終端的IMSI,因此網(wǎng)絡(luò)將向偽終端發(fā)起身份認(rèn)證過程,偽終端收到后通過中間人系統(tǒng)轉(zhuǎn)發(fā)至目標(biāo)終端,驗(yàn)證該信令后,目標(biāo)終端向偽網(wǎng)絡(luò)發(fā)送鑒權(quán)響應(yīng)。攻擊者收到鑒權(quán)響應(yīng)后,選擇不處理該消息并偽造鑒權(quán)拒絕,使目標(biāo)終端脫離任何LTE網(wǎng)絡(luò)。根據(jù)文獻(xiàn)[12-13]所述,終端在收到鑒權(quán)拒絕消息后將開啟T3247定時(shí)器,同時(shí)將NAS層狀態(tài)轉(zhuǎn)換至EMM-DEREGISTEDRED。由于T3247定時(shí)器的周期長達(dá)30~60 min,因此在此期間目標(biāo)終端將會無法接受來自LTE網(wǎng)絡(luò)的通信服務(wù)。
攻擊者先利用識別響應(yīng)獲取不同終端的IMSI,然后發(fā)送大量包含不同IMSI的附著請求,使網(wǎng)絡(luò)中的實(shí)體MME和HSS重復(fù)發(fā)送多條的AIA和AIR,核心網(wǎng)對每條AIR消息都會生成相應(yīng)的鑒權(quán)向量用于后續(xù)的鑒權(quán)過程。短時(shí)間太多的AIA和AIR消息以及鑒權(quán)向量的生成都需要消耗大量硬件資源,這樣的結(jié)果就會導(dǎo)致網(wǎng)絡(luò)信令造成擁塞以及小區(qū)內(nèi)的其他合法終端很難注冊到網(wǎng)絡(luò)中,更有可能造成核心網(wǎng)崩潰。攻擊者執(zhí)行如圖5所示的主動攻擊過程。
圖5 針對網(wǎng)絡(luò)端DoS攻擊的信令交互
實(shí)驗(yàn)利用裝有Ubuntu16.04系統(tǒng)的兩臺計(jì)算機(jī)、軟件開源的無線電工具srsLTE[14]和商用硬件設(shè)備USRP B210[15]來完成針對上述DoS攻擊的測試。利用openGPS軟件查看真實(shí)LTE基站距離目標(biāo)終端306 m,偽基站距離目標(biāo)終端50 m內(nèi)。表1列出了整個(gè)實(shí)驗(yàn)中涉及的關(guān)鍵數(shù)據(jù)。
表1 實(shí)驗(yàn)中涉及的關(guān)鍵數(shù)據(jù)
整個(gè)實(shí)驗(yàn)攻擊場景如圖6所示,左下角是一臺小米MIX 2S手機(jī),作為目標(biāo)終端;第一臺計(jì)算機(jī)在Ubuntu 16.04環(huán)境下執(zhí)行修改的srsenb程序,并通過一臺USRP B210充當(dāng)偽基站外接設(shè)備用來進(jìn)行信號的收發(fā);右邊計(jì)算機(jī)中運(yùn)行修改后的srsepc和srsue程序。因?yàn)楹罄m(xù)偽核心網(wǎng)和偽終端需要分別傳遞來自目標(biāo)終端和來自現(xiàn)網(wǎng)的信令,因此利用Linux進(jìn)程間通信的共享內(nèi)存方式(采用此方式時(shí)延能達(dá)到最低)去完成srsepc和srsue的信令交互,同時(shí)外接一臺USRP B210充當(dāng)偽終端的信號收發(fā)設(shè)備。
圖6 鑒權(quán)拒絕DoS攻擊場景照片
該攻擊對連入中間人系統(tǒng)的目標(biāo)終端小米MIX 2S執(zhí)行鑒權(quán)拒絕DoS攻擊,通過Cellular-Pro軟件查看信令交互。從圖7的信令流程可知,目標(biāo)終端連入到偽網(wǎng)絡(luò)并向偽網(wǎng)絡(luò)發(fā)送了鑒權(quán)響應(yīng),在發(fā)送鑒權(quán)響應(yīng)過后偽網(wǎng)絡(luò)偽造Authentication Reject信令并成功將該信令發(fā)送至終端。
圖7 遭受鑒權(quán)拒絕DoS攻擊后的信令交互
目標(biāo)終端收到鑒權(quán)拒絕后,強(qiáng)制降級為2G網(wǎng)絡(luò)并長時(shí)間保持這種狀態(tài)。圖8是小米MIX 2S遭受鑒權(quán)拒絕DoS攻擊的前后對比。正常情況下,終端在LTE網(wǎng)絡(luò)下進(jìn)行通信和數(shù)據(jù)業(yè)務(wù),遭受攻擊后目標(biāo)終端靜默降級至2G,直到重新啟動或者重新插拔SIM卡才可恢復(fù)。
圖8 遭受攻擊后小米MIX 2S的網(wǎng)絡(luò)前后對比
為了驗(yàn)證此DoS攻擊的普遍性,對四種不同基帶芯片的手機(jī)iPhone X、iPhone 11、華為榮耀20和小米10進(jìn)行多次測試,測試結(jié)果如表2所示。使用不同基帶芯片的終端在遭受鑒權(quán)拒絕DoS攻擊后都會被強(qiáng)制降級至2G網(wǎng)絡(luò),但是對終端進(jìn)行飛行模式后接入網(wǎng)絡(luò)后的情況有所相同。其中,使用高通驍龍X20基帶芯片的小米MIX 2S、使用Intel XMM7660基帶芯片的iPhone 11以及使用高通驍龍X55基帶芯片的小米10在通過飛行模式后,會重新接入到LTE網(wǎng)絡(luò);而使用高通MDM9655基帶芯片的iPhone X和使用麒麟980基帶芯片的華為榮耀20在飛行模式后仍只能接入到2G網(wǎng)絡(luò),直到終端重新開機(jī)或者插拔USIM卡才能連接到LTE網(wǎng)絡(luò)。
表2 不同手機(jī)遭到鑒權(quán)拒絕DoS攻擊后的情況
基帶芯片的作用是對基帶信號進(jìn)行編解碼,完成通信終端的信息處理功能?;鶐酒圃焐潭际歉鶕?jù)協(xié)議的要求去制作芯片,但是協(xié)議在某些細(xì)節(jié)處沒有描述,因此制造商根據(jù)理解制造,也就造成了表2差異化的結(jié)果。如iPhone11在經(jīng)過降級、飛行模式后的會重新接入到LTE網(wǎng)絡(luò)中,而華為榮耀20卻仍為2G網(wǎng)絡(luò)。
鑒權(quán)拒絕DoS攻擊利用中間人系統(tǒng)對終端發(fā)起拒絕服務(wù),網(wǎng)絡(luò)幾乎無法檢測到它,因此它并不會對網(wǎng)絡(luò)端造成損害。雖然在攻擊系統(tǒng)關(guān)閉后,設(shè)備可以通過重新啟動或重新插入U(xiǎn)SIM卡來重新獲得移動服務(wù),但是當(dāng)攻擊者保持系統(tǒng)長期啟動并在T3247定時(shí)器到期后持續(xù)向目標(biāo)終端發(fā)動此攻擊,目標(biāo)終端將長時(shí)間處于無法服務(wù)的狀態(tài),對目標(biāo)終端造成了極大的安全隱患。
網(wǎng)絡(luò)洪泛DoS攻擊利用偽基站向目標(biāo)小區(qū)循環(huán)發(fā)送Identity Request消息,獲取大量不同終端的合法IMSI。圖9為獲取到的其中一臺終端的IMSI結(jié)果截屏。
圖9 獲得的IMSI結(jié)果
隨后將獲得的多個(gè)IMSI值包含在多條附著請求消息中,并在短時(shí)間內(nèi)同時(shí)發(fā)送給運(yùn)行網(wǎng)絡(luò)端的srsepc。了解到Linux中可使用top命令對計(jì)算機(jī)中運(yùn)行的進(jìn)程進(jìn)行性能分析,并能實(shí)時(shí)顯示每個(gè)進(jìn)程中資源使用情況,其中CPU的使用率和進(jìn)程使用的物理內(nèi)存和總內(nèi)存的百分比(MEM)是展示當(dāng)前進(jìn)程占用資源的重要參數(shù)。運(yùn)行狀態(tài)下的srsepc也是屬于計(jì)算機(jī)的進(jìn)程,因此本文使用top命令對核心網(wǎng)側(cè)的進(jìn)程占用CPU的使用率和MEM進(jìn)行了實(shí)時(shí)監(jiān)測。在測試過程中,每隔1 s對核心網(wǎng)進(jìn)程占用的CPU使用率和MEM進(jìn)行實(shí)時(shí)記錄,繪制出了CPU、MEM隨時(shí)間變化的折線,如圖10所示。
圖10 核心網(wǎng)進(jìn)程的CPU占有率及MEM變化關(guān)系
從測試結(jié)果可以看出,前10 s核心網(wǎng)進(jìn)程的CPU占用率維持在30%左右,處于正常運(yùn)行狀態(tài);在11 s后系統(tǒng)遭受網(wǎng)絡(luò)洪泛DoS攻擊,大量以合法IMSI附著的UE涌入到核心網(wǎng)側(cè),HSS在短時(shí)間內(nèi)收到大量來自MME發(fā)送過來的信令消息,導(dǎo)致核心網(wǎng)消耗大量資源,使得其進(jìn)程的CPU占用率達(dá)到80%;在35 s時(shí),實(shí)驗(yàn)關(guān)閉了充當(dāng)攻擊者的srsue程序,隨后核心網(wǎng)進(jìn)程的CPU使用率和MEM恢復(fù)到正常水平。
由于此攻擊消耗了核心網(wǎng)側(cè)的大量資源,合法用戶很難去連接到網(wǎng)絡(luò)。同時(shí),在短時(shí)間內(nèi)大量的用戶注入同一網(wǎng)絡(luò),造成HSS在生成身份驗(yàn)證信息過程中產(chǎn)生沉重的計(jì)算負(fù)荷,核心網(wǎng)隨時(shí)可能會崩潰。由此可見,與只影響用戶終端的鑒權(quán)拒絕DoS攻擊不同,網(wǎng)絡(luò)洪泛DoS攻擊不僅會影響終端,而且會損壞網(wǎng)絡(luò)端。
本文分析了非接入層相關(guān)信令的漏洞,提出了針對終端和網(wǎng)絡(luò)的DoS攻擊模型。在針對終端的鑒權(quán)拒絕DoS攻擊中,攻擊者可以輕松地不間斷實(shí)施此類攻擊,很長時(shí)間內(nèi)拒絕給用戶提供LTE通信服務(wù)。預(yù)防此類DoS攻擊的一種方法是在終端側(cè)建立一個(gè)基站白名單,只有當(dāng)基站通過加密和完整性算法后終端才將其加入到白名單中,否則終端不接受和處理除名單外的基站消息。另一種減少此DoS攻擊帶來的損失就是減少定時(shí)器的時(shí)間,因?yàn)楫?dāng)前協(xié)議規(guī)定值對于用戶來說太長,因此設(shè)置合理的定時(shí)器時(shí)間也是有效方法。
在針對網(wǎng)絡(luò)端的DoS攻擊中,利用大量獲得的IMSI注冊同一網(wǎng)絡(luò)造成核心網(wǎng)嚴(yán)重負(fù)載,這種攻擊不僅會使終端難以接入網(wǎng)絡(luò),網(wǎng)絡(luò)端也瀕臨崩潰。同時(shí),5G網(wǎng)絡(luò)初期采用非獨(dú)立組網(wǎng)架構(gòu),攻擊者仍可以利用非接入層的漏洞去發(fā)起DoS攻擊,所以該攻擊在5G系統(tǒng)下可能依舊存在。由于上述攻擊具有普遍適用性,此研究可為通信網(wǎng)絡(luò)改進(jìn)提供相關(guān)基礎(chǔ)。