王華華，黃俊霖，何 沛，吳妙靈，張杰棠

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

0 引 言

第四代移動通信技術(shù)以其較高帶寬、較低時(shí)延的優(yōu)勢占領(lǐng)著世界市場，但其技術(shù)規(guī)范中存在固有缺陷，導(dǎo)致目前LTE網(wǎng)絡(luò)仍然存在一些安全隱患和漏洞。不法分子利用這些漏洞給用戶造成了巨大的損失，僅2016年3月，360手機(jī)衛(wèi)士共攔截各類“偽基站”短信1.1億條，平均每天攔截“偽基站”短信354.8萬條[1]?？紤]到移動網(wǎng)絡(luò)的安全性，3GPP在制定5G標(biāo)準(zhǔn)時(shí)對相關(guān)漏洞流程進(jìn)行了改進(jìn)更新，但由于5G初期的非獨(dú)立組網(wǎng)架構(gòu)存在LTE的部分結(jié)構(gòu)[2]，且未來5G仍可能存在LTE遺留的安全問題[3]，所以對通信網(wǎng)絡(luò)安全問題的研究意義深遠(yuǎn)。

移動通信網(wǎng)絡(luò)安全的研究一直是熱點(diǎn)問題[4-5]，拒絕服務(wù)(Denial of service,DoS)攻擊在安全漏洞中屬于常見的一類攻擊[6-8]，它通常使終端、接入網(wǎng)或網(wǎng)絡(luò)無法獲取或提供正常服務(wù)。在文獻(xiàn)[9]中提到一種網(wǎng)絡(luò)尋呼終端的DoS攻擊，通過使用偽基站不斷給終端發(fā)送國際移動用戶標(biāo)識(International Mobile Subscriber Identity,IMSI)進(jìn)行尋呼使其循環(huán)進(jìn)行detach與attach過程，導(dǎo)致終端無法進(jìn)行正常通信，但該攻擊需已知目標(biāo)終端的IMSI。文獻(xiàn)[10]介紹了一種針對終端的DoS攻擊，通過向其偽基站范圍內(nèi)的LTE用戶發(fā)送錯(cuò)誤的跟蹤區(qū)域更新(Tracking Area Update,TAU)拒絕消息，使目標(biāo)終端強(qiáng)制降級為2G或3G網(wǎng)絡(luò)，但該攻擊會觸發(fā)會T3440計(jì)時(shí)器，導(dǎo)致用戶10 s就能恢復(fù)到正常網(wǎng)絡(luò)，不能對目標(biāo)終端造成持久性攻擊。在文獻(xiàn)[11]中攻擊者偽裝成目標(biāo)終端給核心網(wǎng)發(fā)送多條相同的附著請求，使核心網(wǎng)測序列號大于終端的序列號導(dǎo)致終端鑒權(quán)失敗，但該攻擊會觸發(fā)T3420計(jì)時(shí)器，使得用戶僅在15 s后便重新進(jìn)行鑒權(quán)。

本文利用提出了非接入層(Non-access layer,NAS)中兩種危害程度更高的DoS攻擊模型。對鑒權(quán)拒絕DoS攻擊而言，通過搭建LTE中間人系統(tǒng)，偽造鑒權(quán)拒絕消息發(fā)送給目標(biāo)終端，使終端強(qiáng)制降級至2G網(wǎng)絡(luò)并且至少30 min后才會恢復(fù)至LTE網(wǎng)絡(luò)。對網(wǎng)絡(luò)洪泛DoS攻擊來說，通過身份請求消息獲取大量不同終端的合法IMSI，并在短時(shí)間內(nèi)向網(wǎng)絡(luò)發(fā)起多條不同IMSI的附著請求，導(dǎo)致核心網(wǎng)側(cè)進(jìn)程的CPU使用率由30%提升至80%，歸屬用戶服務(wù)器(Home Subscriber Server,HSS)實(shí)體超負(fù)荷運(yùn)行，其他用戶難以接入到該網(wǎng)絡(luò)，造成目標(biāo)網(wǎng)絡(luò)的小范圍通信癱瘓。這兩種非接入層DoS攻擊模型對用戶和網(wǎng)絡(luò)均造成了一定程度的危害，且由于5G初期采用非獨(dú)立組網(wǎng)架構(gòu)，這類攻擊仍然會在5G中存在。

1 背景知識

1.1 LTE系統(tǒng)架構(gòu)

LTE系統(tǒng)架構(gòu)如圖1所示。UE是由移動設(shè)備(Mobile Equipment,ME)和全球用戶身份模塊(Universal Subscriber Identity Module,USIM)組成的移動終端設(shè)備。ME存儲國際移動設(shè)備標(biāo)識(International Mobile Equipment Identity,IMEI)，該信息唯一地標(biāo)識設(shè)備身份。USIM是運(yùn)營商提供的用戶識別模塊，該模塊包含加密密鑰、算法和IMSI。

圖1 LTE系統(tǒng)架構(gòu)

演進(jìn)的通用移動通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)陸地?zé)o線接入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,E-UTRAN)中包括許多通過X2接口連接的基站(evolved NodeB,eNodeB)，用來負(fù)責(zé)空中接口相關(guān)的所有功能。作為連接LTE核心網(wǎng)和用戶設(shè)備的中間結(jié)構(gòu)，E-UTRAN通過S1接口與LTE核心網(wǎng)連接，通過Uu接口與用戶設(shè)備相連。

分組核心網(wǎng)(Evolved Packet Core,EPC)管理、處理LTE流程和業(yè)務(wù)。移動性管理實(shí)體(Mobility Management Entity,MME)是EPC中的一個(gè)關(guān)鍵控制平面實(shí)體,主要負(fù)責(zé)會話管理、移動性管理、鑒權(quán)認(rèn)證、附著與去附著等功能。HSS是EPC中用來存儲用戶信息的數(shù)據(jù)庫,例如國際移動用戶標(biāo)識、漫游限制等。當(dāng)UE從一個(gè)基站移動到另一個(gè)基站時(shí)，服務(wù)網(wǎng)關(guān)(Serving Gateway,SGW)可以作為本地錨定點(diǎn)，并協(xié)助完成基站的重排序功能。PGW主要職責(zé)是將UE連接到網(wǎng)絡(luò)，為UE分配網(wǎng)絡(luò)地址，進(jìn)行上、下行鏈路計(jì)費(fèi)等。

1.2 NAS層信令交互

終端若想接入網(wǎng)絡(luò)進(jìn)行通信服務(wù)，需先在網(wǎng)絡(luò)中進(jìn)行注冊。在注冊過程中，終端先進(jìn)行RRC連接，然后進(jìn)行NAS信令交互，其交互流程如圖2所示。

圖2 NAS信令基本過程

終端先向MME發(fā)送包含用戶永久身份標(biāo)識的Attach Request，MME接收到此消息后會向HSS發(fā)送鑒權(quán)信息請求(Authentication Information Request,AIR)來獲取UE的認(rèn)證信息，包括UE的IMSI，MCC、MNC等。當(dāng)接收到AIR時(shí)，HSS驗(yàn)證UE然后計(jì)算鑒權(quán)向量并將其包含在鑒權(quán)信息響應(yīng)(Authentication Information Answer,AIA)中發(fā)送給MME。收到AIA后，LTE網(wǎng)絡(luò)便開啟鑒權(quán)過程，此過程采用了相互認(rèn)證機(jī)制。MME先向UE發(fā)送鑒權(quán)請求消息，該消息中攜帶從HSS獲取的認(rèn)證參數(shù)RAND和AUTN。然后，UE通過驗(yàn)證AUTN來驗(yàn)證網(wǎng)絡(luò)的有效性，并計(jì)算出RES(用戶響應(yīng))。MME將收到的RES與XRES(預(yù)期的用戶響應(yīng))進(jìn)行比較以驗(yàn)證UE，如果RES與XRES不相等，網(wǎng)絡(luò)將向UE發(fā)送Authentication Reject信令；如果RES等于XRES，表明UE和網(wǎng)絡(luò)相互鑒權(quán)成功，之后MME和UE通過選擇的加密和完整性算法完成NAS安全模式過程[11]。在安全模式控制完成之前NAS層的信令以明文傳輸，過程完成后LTE網(wǎng)絡(luò)將建立NAS保護(hù)。

2 攻擊模型

2.1 針對終端的DoS攻擊模型

LTE注冊過程中，鑒權(quán)過程是以明文在空口中進(jìn)行傳輸?shù)?，攻擊者通過在真實(shí)終端和網(wǎng)絡(luò)之間搭建一套中間人偽系統(tǒng)對目標(biāo)終端和網(wǎng)絡(luò)端的注冊流程進(jìn)行中繼，并在收到鑒權(quán)響應(yīng)后偽造鑒權(quán)拒絕消息發(fā)送給目標(biāo)終端，從而使目標(biāo)終端強(qiáng)制降級至2G甚至脫離網(wǎng)絡(luò)。攻擊模型框圖如圖3所示。

圖3 針對終端DoS攻擊的模型框圖

目標(biāo)終端初始駐留在現(xiàn)網(wǎng)的小區(qū)中，并在空閑狀態(tài)下周期性測量周邊小區(qū)的信號質(zhì)量。偽基站利用系統(tǒng)消息廣播自身的信號質(zhì)量與小區(qū)信息，目標(biāo)終端在廣播消息中得到相鄰小區(qū)信息并按一定時(shí)間間隔對鄰小區(qū)功率進(jìn)行測量取值，同時(shí)計(jì)算這些值的平均值以判斷它們是否滿足S準(zhǔn)則。偽基站中的參數(shù)都是可以人為調(diào)節(jié)且可利用硬件設(shè)施去放大發(fā)射增益，因此偽基站滿足S準(zhǔn)則，目標(biāo)終端成功小區(qū)重選至中間人攻擊系統(tǒng)中。此后目標(biāo)終端、中間人攻擊系統(tǒng)和現(xiàn)網(wǎng)，三者進(jìn)行如圖4所示的NAS層的信令交互。

圖4 針對終端DoS攻擊的信令交互

在接入進(jìn)中間人攻擊系統(tǒng)后，目標(biāo)終端發(fā)送Attach Request信令給偽核心網(wǎng)，由于此信令是以臨時(shí)移動用戶識別碼(Temporary Mobile Subscriber Identity,TMSI)進(jìn)行附著的消息，偽核心網(wǎng)偽造一條身份請求信令經(jīng)由偽基站發(fā)送給目標(biāo)終端，終端接收后以攜帶IMSI的Identity Response進(jìn)行回復(fù)，從而獲取其IMSI。接著，攻擊者通過中間人系統(tǒng)將獲取到的IMSI傳遞給偽終端，使偽終端代替目標(biāo)終端向真實(shí)網(wǎng)絡(luò)發(fā)起附著過程。由于該附著請求消息中包含目標(biāo)終端的IMSI，因此網(wǎng)絡(luò)將向偽終端發(fā)起身份認(rèn)證過程，偽終端收到后通過中間人系統(tǒng)轉(zhuǎn)發(fā)至目標(biāo)終端，驗(yàn)證該信令后，目標(biāo)終端向偽網(wǎng)絡(luò)發(fā)送鑒權(quán)響應(yīng)。攻擊者收到鑒權(quán)響應(yīng)后，選擇不處理該消息并偽造鑒權(quán)拒絕，使目標(biāo)終端脫離任何LTE網(wǎng)絡(luò)。根據(jù)文獻(xiàn)[12-13]所述，終端在收到鑒權(quán)拒絕消息后將開啟T3247定時(shí)器，同時(shí)將NAS層狀態(tài)轉(zhuǎn)換至EMM-DEREGISTEDRED。由于T3247定時(shí)器的周期長達(dá)30～60 min，因此在此期間目標(biāo)終端將會無法接受來自LTE網(wǎng)絡(luò)的通信服務(wù)。

2.2 針對網(wǎng)絡(luò)端的DoS攻擊模型

攻擊者先利用識別響應(yīng)獲取不同終端的IMSI,然后發(fā)送大量包含不同IMSI的附著請求，使網(wǎng)絡(luò)中的實(shí)體MME和HSS重復(fù)發(fā)送多條的AIA和AIR，核心網(wǎng)對每條AIR消息都會生成相應(yīng)的鑒權(quán)向量用于后續(xù)的鑒權(quán)過程。短時(shí)間太多的AIA和AIR消息以及鑒權(quán)向量的生成都需要消耗大量硬件資源，這樣的結(jié)果就會導(dǎo)致網(wǎng)絡(luò)信令造成擁塞以及小區(qū)內(nèi)的其他合法終端很難注冊到網(wǎng)絡(luò)中，更有可能造成核心網(wǎng)崩潰。攻擊者執(zhí)行如圖5所示的主動攻擊過程。

圖5 針對網(wǎng)絡(luò)端DoS攻擊的信令交互

3 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)利用裝有Ubuntu16.04系統(tǒng)的兩臺計(jì)算機(jī)、軟件開源的無線電工具srsLTE[14]和商用硬件設(shè)備USRP B210[15]來完成針對上述DoS攻擊的測試。利用openGPS軟件查看真實(shí)LTE基站距離目標(biāo)終端306 m，偽基站距離目標(biāo)終端50 m內(nèi)。表1列出了整個(gè)實(shí)驗(yàn)中涉及的關(guān)鍵數(shù)據(jù)。

表1 實(shí)驗(yàn)中涉及的關(guān)鍵數(shù)據(jù)

3.1 鑒權(quán)拒絕DoS攻擊

整個(gè)實(shí)驗(yàn)攻擊場景如圖6所示，左下角是一臺小米MIX 2S手機(jī)，作為目標(biāo)終端；第一臺計(jì)算機(jī)在Ubuntu 16.04環(huán)境下執(zhí)行修改的srsenb程序，并通過一臺USRP B210充當(dāng)偽基站外接設(shè)備用來進(jìn)行信號的收發(fā)；右邊計(jì)算機(jī)中運(yùn)行修改后的srsepc和srsue程序。因?yàn)楹罄m(xù)偽核心網(wǎng)和偽終端需要分別傳遞來自目標(biāo)終端和來自現(xiàn)網(wǎng)的信令，因此利用Linux進(jìn)程間通信的共享內(nèi)存方式(采用此方式時(shí)延能達(dá)到最低)去完成srsepc和srsue的信令交互，同時(shí)外接一臺USRP B210充當(dāng)偽終端的信號收發(fā)設(shè)備。

圖6 鑒權(quán)拒絕DoS攻擊場景照片

該攻擊對連入中間人系統(tǒng)的目標(biāo)終端小米MIX 2S執(zhí)行鑒權(quán)拒絕DoS攻擊，通過Cellular-Pro軟件查看信令交互。從圖7的信令流程可知，目標(biāo)終端連入到偽網(wǎng)絡(luò)并向偽網(wǎng)絡(luò)發(fā)送了鑒權(quán)響應(yīng)，在發(fā)送鑒權(quán)響應(yīng)過后偽網(wǎng)絡(luò)偽造Authentication Reject信令并成功將該信令發(fā)送至終端。

圖7 遭受鑒權(quán)拒絕DoS攻擊后的信令交互

目標(biāo)終端收到鑒權(quán)拒絕后，強(qiáng)制降級為2G網(wǎng)絡(luò)并長時(shí)間保持這種狀態(tài)。圖8是小米MIX 2S遭受鑒權(quán)拒絕DoS攻擊的前后對比。正常情況下，終端在LTE網(wǎng)絡(luò)下進(jìn)行通信和數(shù)據(jù)業(yè)務(wù)，遭受攻擊后目標(biāo)終端靜默降級至2G，直到重新啟動或者重新插拔SIM卡才可恢復(fù)。

圖8 遭受攻擊后小米MIX 2S的網(wǎng)絡(luò)前后對比

為了驗(yàn)證此DoS攻擊的普遍性，對四種不同基帶芯片的手機(jī)iPhone X、iPhone 11、華為榮耀20和小米10進(jìn)行多次測試，測試結(jié)果如表2所示。使用不同基帶芯片的終端在遭受鑒權(quán)拒絕DoS攻擊后都會被強(qiáng)制降級至2G網(wǎng)絡(luò)，但是對終端進(jìn)行飛行模式后接入網(wǎng)絡(luò)后的情況有所相同。其中，使用高通驍龍X20基帶芯片的小米MIX 2S、使用Intel XMM7660基帶芯片的iPhone 11以及使用高通驍龍X55基帶芯片的小米10在通過飛行模式后，會重新接入到LTE網(wǎng)絡(luò)；而使用高通MDM9655基帶芯片的iPhone X和使用麒麟980基帶芯片的華為榮耀20在飛行模式后仍只能接入到2G網(wǎng)絡(luò)，直到終端重新開機(jī)或者插拔USIM卡才能連接到LTE網(wǎng)絡(luò)。

表2 不同手機(jī)遭到鑒權(quán)拒絕DoS攻擊后的情況

基帶芯片的作用是對基帶信號進(jìn)行編解碼，完成通信終端的信息處理功能?；鶐酒圃焐潭际歉鶕?jù)協(xié)議的要求去制作芯片，但是協(xié)議在某些細(xì)節(jié)處沒有描述，因此制造商根據(jù)理解制造，也就造成了表2差異化的結(jié)果。如iPhone11在經(jīng)過降級、飛行模式后的會重新接入到LTE網(wǎng)絡(luò)中，而華為榮耀20卻仍為2G網(wǎng)絡(luò)。

鑒權(quán)拒絕DoS攻擊利用中間人系統(tǒng)對終端發(fā)起拒絕服務(wù)，網(wǎng)絡(luò)幾乎無法檢測到它，因此它并不會對網(wǎng)絡(luò)端造成損害。雖然在攻擊系統(tǒng)關(guān)閉后，設(shè)備可以通過重新啟動或重新插入U(xiǎn)SIM卡來重新獲得移動服務(wù)，但是當(dāng)攻擊者保持系統(tǒng)長期啟動并在T3247定時(shí)器到期后持續(xù)向目標(biāo)終端發(fā)動此攻擊，目標(biāo)終端將長時(shí)間處于無法服務(wù)的狀態(tài)，對目標(biāo)終端造成了極大的安全隱患。

3.2 網(wǎng)絡(luò)洪泛DoS攻擊

網(wǎng)絡(luò)洪泛DoS攻擊利用偽基站向目標(biāo)小區(qū)循環(huán)發(fā)送Identity Request消息，獲取大量不同終端的合法IMSI。圖9為獲取到的其中一臺終端的IMSI結(jié)果截屏。

圖9 獲得的IMSI結(jié)果

隨后將獲得的多個(gè)IMSI值包含在多條附著請求消息中，并在短時(shí)間內(nèi)同時(shí)發(fā)送給運(yùn)行網(wǎng)絡(luò)端的srsepc。了解到Linux中可使用top命令對計(jì)算機(jī)中運(yùn)行的進(jìn)程進(jìn)行性能分析，并能實(shí)時(shí)顯示每個(gè)進(jìn)程中資源使用情況，其中CPU的使用率和進(jìn)程使用的物理內(nèi)存和總內(nèi)存的百分比(MEM)是展示當(dāng)前進(jìn)程占用資源的重要參數(shù)。運(yùn)行狀態(tài)下的srsepc也是屬于計(jì)算機(jī)的進(jìn)程，因此本文使用top命令對核心網(wǎng)側(cè)的進(jìn)程占用CPU的使用率和MEM進(jìn)行了實(shí)時(shí)監(jiān)測。在測試過程中，每隔1 s對核心網(wǎng)進(jìn)程占用的CPU使用率和MEM進(jìn)行實(shí)時(shí)記錄，繪制出了CPU、MEM隨時(shí)間變化的折線，如圖10所示。

圖10 核心網(wǎng)進(jìn)程的CPU占有率及MEM變化關(guān)系

從測試結(jié)果可以看出，前10 s核心網(wǎng)進(jìn)程的CPU占用率維持在30%左右，處于正常運(yùn)行狀態(tài)；在11 s后系統(tǒng)遭受網(wǎng)絡(luò)洪泛DoS攻擊，大量以合法IMSI附著的UE涌入到核心網(wǎng)側(cè)，HSS在短時(shí)間內(nèi)收到大量來自MME發(fā)送過來的信令消息，導(dǎo)致核心網(wǎng)消耗大量資源，使得其進(jìn)程的CPU占用率達(dá)到80%；在35 s時(shí)，實(shí)驗(yàn)關(guān)閉了充當(dāng)攻擊者的srsue程序，隨后核心網(wǎng)進(jìn)程的CPU使用率和MEM恢復(fù)到正常水平。

由于此攻擊消耗了核心網(wǎng)側(cè)的大量資源，合法用戶很難去連接到網(wǎng)絡(luò)。同時(shí)，在短時(shí)間內(nèi)大量的用戶注入同一網(wǎng)絡(luò)，造成HSS在生成身份驗(yàn)證信息過程中產(chǎn)生沉重的計(jì)算負(fù)荷，核心網(wǎng)隨時(shí)可能會崩潰。由此可見，與只影響用戶終端的鑒權(quán)拒絕DoS攻擊不同，網(wǎng)絡(luò)洪泛DoS攻擊不僅會影響終端，而且會損壞網(wǎng)絡(luò)端。

4 結(jié) 論

本文分析了非接入層相關(guān)信令的漏洞，提出了針對終端和網(wǎng)絡(luò)的DoS攻擊模型。在針對終端的鑒權(quán)拒絕DoS攻擊中，攻擊者可以輕松地不間斷實(shí)施此類攻擊，很長時(shí)間內(nèi)拒絕給用戶提供LTE通信服務(wù)。預(yù)防此類DoS攻擊的一種方法是在終端側(cè)建立一個(gè)基站白名單，只有當(dāng)基站通過加密和完整性算法后終端才將其加入到白名單中，否則終端不接受和處理除名單外的基站消息。另一種減少此DoS攻擊帶來的損失就是減少定時(shí)器的時(shí)間，因?yàn)楫?dāng)前協(xié)議規(guī)定值對于用戶來說太長，因此設(shè)置合理的定時(shí)器時(shí)間也是有效方法。

在針對網(wǎng)絡(luò)端的DoS攻擊中，利用大量獲得的IMSI注冊同一網(wǎng)絡(luò)造成核心網(wǎng)嚴(yán)重負(fù)載，這種攻擊不僅會使終端難以接入網(wǎng)絡(luò)，網(wǎng)絡(luò)端也瀕臨崩潰。同時(shí)，5G網(wǎng)絡(luò)初期采用非獨(dú)立組網(wǎng)架構(gòu)，攻擊者仍可以利用非接入層的漏洞去發(fā)起DoS攻擊，所以該攻擊在5G系統(tǒng)下可能依舊存在。由于上述攻擊具有普遍適用性，此研究可為通信網(wǎng)絡(luò)改進(jìn)提供相關(guān)基礎(chǔ)。