張奕鳴 劉彩霞 劉樹新

(中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué) 河南 鄭州 450002)

0 引 言

5G網(wǎng)絡(luò)為了滿足增強移動寬帶、超高可靠超低延遲通信和大規(guī)模機器類通信[1]等應(yīng)用場景的業(yè)務(wù)需求，引入了毫米波、超密集組網(wǎng)、大規(guī)模多輸入多輸出、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、基于服務(wù)化架構(gòu)(SBA)等新技術(shù)和新機制[2-3]。同時，互聯(lián)網(wǎng)開放和共享的一些優(yōu)勢技術(shù)也被5G技術(shù)標準采用，其中RESTful API作為5G SBA架構(gòu)實現(xiàn)的一種關(guān)鍵技術(shù)被3GPP納入5G標準[4-5]。

REST(Representational State Transfer)是互聯(lián)網(wǎng)絡(luò)應(yīng)用程序的一種設(shè)計理念與開發(fā)方式，其概念是Roy Thomas Fielding在2000年所發(fā)表的論文中提出的[6]，F(xiàn)ielding在論文第6節(jié)中詳細描述了如何在互聯(lián)網(wǎng)中使用統(tǒng)一資源標識符(URI)、超文本傳輸協(xié)議(HTTP)和不同數(shù)據(jù)表示格式實現(xiàn)REST，滿足REST開發(fā)方式的API則被稱為RESTful API。當前，RESTful API已經(jīng)在Web服務(wù)和物聯(lián)網(wǎng)等場景得到成熟應(yīng)用。

RESTful API在Web服務(wù)和物聯(lián)網(wǎng)應(yīng)用場景中已經(jīng)發(fā)現(xiàn)面臨諸多安全問題，如：(1) 由于Web服務(wù)的大連接特性和物聯(lián)網(wǎng)終端處理能力受限特性使得RESTful API在這兩種場景中面臨DDoS攻擊威脅；(2) RESTful API的身份驗證機制導(dǎo)致其面臨中間人攻擊威脅；(3) 針對RESTful API輸入?yún)?shù)的注入攻擊威脅；(4) 由于RESTful API使用XML、JSON等序列化方法傳輸請求和響應(yīng)數(shù)據(jù)，使得攻擊者利用XML和JSON自身漏洞對RESTful API發(fā)起攻擊等。

針對RESTful API在Web服務(wù)與物聯(lián)網(wǎng)應(yīng)用場景中的安全威脅，業(yè)界也開展了一些安全增強機制研究。文獻[7]提出基于ID的身份驗證算法，利用URI實現(xiàn)客戶端與服務(wù)器的輕量身份驗證，解決REST的無狀態(tài)特性帶來的復(fù)雜身份驗證問題。文獻[8]提出一種REST安全協(xié)議，采用數(shù)字證書、消息簽名、消息對稱加密方法為RESTful API消息提供機密性、完整性和不可抵賴性保護。文獻[9]提出一種一次性令牌機制，每個REST Web請求都攜帶唯一的不易偽造的一次性令牌，令牌中包含時間戳，并限制合法訪問的時間窗口，降低REST Web服務(wù)遭受中間人攻擊與劫持攻擊的風(fēng)險。文獻[10]引入了RE-CHECKER框架分析軟件定義網(wǎng)絡(luò)控制器中的RESTful服務(wù)的漏洞。文獻[11]提出了一種基于RESTful API的體系結(jié)構(gòu)保護物聯(lián)網(wǎng)設(shè)備安全，物聯(lián)網(wǎng)中間件使用RESTful API對終端進行身份驗證后下發(fā)令牌，并將持有令牌的終端生成的數(shù)據(jù)上傳至云服務(wù)器等。

由于5G網(wǎng)絡(luò)面向海量連接和大規(guī)模通信應(yīng)用場景，網(wǎng)絡(luò)功能(NF)間存在身份驗證機制，控制平面NF間數(shù)據(jù)傳輸使用JSON編碼，故RESTful API在5G場景中也可能面臨相似的安全威脅。此外，RESTful API在5G網(wǎng)絡(luò)應(yīng)用場景的特殊應(yīng)用需求，也會引入新的安全威脅。

本文首先介紹5G核心網(wǎng)SBA架構(gòu)，在此基礎(chǔ)上，介紹了REST的特點和SBA架構(gòu)中應(yīng)用RESTful API的具體流程，從DDoS攻擊、JSON安全威脅、中間人攻擊、注入攻擊四個角度分析了RESTful API在5G SBA架構(gòu)中可能存在的安全威脅，最后，分別基于RESTful API請求頻率控制、JSON防護、令牌改進、參數(shù)檢查四個方面給出了在5G應(yīng)用場景針對四類威脅的安全防護方案，為增強RESTful API在5G核心網(wǎng)的應(yīng)用安全提供參考。

1 5G核心網(wǎng)SBA架構(gòu)與RESTful API

3GPP定義了5G網(wǎng)絡(luò)的架構(gòu)，如圖1所示[12]，定義了NF之間交互的兩種表示方法，分別是基于服務(wù)表示和參考點表示。圖1中5G網(wǎng)絡(luò)架構(gòu)可以分為兩部分，分別是用戶平面與控制平面，虛線下方為用戶平面，虛線上方為控制平面。5G網(wǎng)絡(luò)中控制平面NF之間通過基于服務(wù)的表示進行交互，例如接入管理功能(AMF)通過Namf為其他控制平面的NF提供服務(wù)，參考點表示應(yīng)用于用戶平面NF之間的交互，例如接入網(wǎng)((R)AN)通過參考點N3與用戶平面功能(UPF)進行交互，控制平面與用戶平面之間的交互同樣使用參考點表示，參考點分別是N1、N2、N4。

圖1 5G網(wǎng)絡(luò)架構(gòu)

3GPP定義的基于服務(wù)表示方法以基于服務(wù)接口(SBI)作為實現(xiàn)，3GPP對SBI的協(xié)議棧進行了定義[13]。SBI協(xié)議棧自底向上在網(wǎng)絡(luò)層協(xié)議采用IP，傳輸層協(xié)議采用TCP，應(yīng)用層協(xié)議采用HTTP/2.0，采用JSON作為序列化方法，采用OpenAPI3.0作為接口描述語言，采用REST作為API開發(fā)方式[14]。RESTful API有以下幾個主要特點：(1) RESTful API的開發(fā)采用客戶端-服務(wù)器的設(shè)計架構(gòu)；(2) RESTful API的無狀態(tài)性，即服務(wù)器不保存客戶端的信息，客戶端發(fā)送的每一個請求都需要包含所有必需的狀態(tài)信息；(3) 服務(wù)器中的所有資源采用URI進行標識，資源可以是文字、圖片、音頻、視頻、服務(wù)等；(4) 資源的表示形式根據(jù)客戶端的需要進行轉(zhuǎn)換，例如服務(wù)器可向客戶端發(fā)送XML、JSON、TXT等類型的數(shù)據(jù)；(5) 客戶端對資源所進行的操作使用HTTP方法實現(xiàn)，查詢操作采用GET方法，新增操作采用POST方法，修改更新操作采用PUT或PATCH方法，刪除操作采用DELETE方法。

RESTful API設(shè)計方案減少了5G網(wǎng)絡(luò)控制平面NF之間的耦合度和依賴性，符合5G網(wǎng)絡(luò)服務(wù)化的理念，此外，電信運營商可以使用RESTful API將不同地理位置和不同類型的NF組合到網(wǎng)絡(luò)切片中，實現(xiàn)5G網(wǎng)絡(luò)的云化、虛擬化和按需部署。

以AMF通過服務(wù)發(fā)現(xiàn)請求訪問NRF并使用SMF服務(wù)為例，闡述RESTful API應(yīng)用流程，為了便于說明，例中應(yīng)用場景為非漫游。在此場景中，AMF為NF服務(wù)消費者，SMF為NF服務(wù)生產(chǎn)者，NRF為授權(quán)服務(wù)器。NF之間交互如圖2所示。

圖2 AMF-NRF-SMF交互

5G核心網(wǎng)NF服務(wù)訪問授權(quán)采用OAuth2.0框架，5G核心網(wǎng)控制平面中的NF服務(wù)消費者通過RESTful API請求使用NF服務(wù)生產(chǎn)者的服務(wù)須經(jīng)過NRF授權(quán)且NF服務(wù)消費者與NRF之間授權(quán)的方式是OAuth2.0框架的Client Credentials，即NF服務(wù)消費者和NF服務(wù)生產(chǎn)者首先須要在NRF中注冊，注冊完成后NF服務(wù)消費者使用Nnrf_NFDiscovery_Request請求獲取NRF中已注冊的NF服務(wù)生產(chǎn)者信息，然后NF服務(wù)消費者使用Nnrf_AccessToken_GET_Request向NRF請求訪問令牌，NRF對NF服務(wù)消費者進行鑒權(quán)，若通過鑒權(quán)，則向NF服務(wù)消費者下發(fā)訪問令牌，NF服務(wù)消費者需要將訪問令牌與服務(wù)請求一同發(fā)送至NF服務(wù)生產(chǎn)者，NF服務(wù)生產(chǎn)者驗證令牌完整性后執(zhí)行服務(wù)。根據(jù)RFC 6749[15]和3GPP的定義[16]，5G核心網(wǎng)控制平面的NF在OAuth2.0框架中的角色如下：(1) NRF為Authorization server；(2) NF服務(wù)消費者為Client；(3) NF服務(wù)生產(chǎn)者為Resource server。

2 5G核心網(wǎng)Restful API安全威脅

RESTful API的無狀態(tài)特性提高了服務(wù)器可擴展性，服務(wù)器可以以此為基礎(chǔ)實現(xiàn)負載均衡，減輕流量壓力；RESTful API使用URI標識服務(wù)器資源，簡化了資源的發(fā)現(xiàn)過程；客戶端使用已有HTTP協(xié)議的方法對資源進行操作，提高了RESTful API的兼容性，這些優(yōu)勢使RESTful API在現(xiàn)代軟件架構(gòu)設(shè)計中越來越重要。但與此同時引入了因RESTful API設(shè)計漏洞而產(chǎn)生的安全威脅。分布式拒絕服務(wù)(DDoS)攻擊尤為普遍和顯著，其本質(zhì)是攻擊者利用與受害主機的資源不對稱特性，控制5G網(wǎng)絡(luò)中不同位置的多臺假冒NF同時對受害NF發(fā)起惡意請求，導(dǎo)致受害NF資源耗盡，無法為合法NF提供正常服務(wù)[17]。JSON是5G核心網(wǎng)SBI協(xié)議棧中的序列化方法，即通過RESTful API發(fā)送請求和響應(yīng)數(shù)據(jù)的編碼方式是JSON，故其安全漏洞會成為攻擊者通過RESTful API攻擊5G網(wǎng)絡(luò)的途徑。中間人攻擊是5G網(wǎng)絡(luò)安全威脅中一個重要部分，攻擊者可以建立中間人監(jiān)聽訪問令牌從而非法請求服務(wù)。RESTful API的輸入?yún)?shù)會受到注入攻擊的威脅，注入攻擊的根本原因是系統(tǒng)對用戶的輸入驗證不足，可以根據(jù)輸入內(nèi)容分類為以SQL語句作為輸入的SQL注入[18]、以系統(tǒng)無法處理的錯誤數(shù)據(jù)作為輸入的錯誤數(shù)據(jù)注入[19]、以惡意可執(zhí)行代碼作為輸入的惡意代碼注入等。5G核心網(wǎng)RESTful API安全威脅如圖3所示，以下對安全威脅進行詳細說明。

圖3 5G核心網(wǎng)RESTful API安全威脅

2.1 DDoS攻擊威脅

在5G核心網(wǎng)中，假設(shè)攻擊者控制多臺假冒NF在多個PLMN中的NRF中進行注冊，注冊完成后同時請求同一個PLMN中NRF的同一個服務(wù)RESTful API，如圖4所示，若該受害NRF的RESTful API運行需要消耗較多資源，例如服務(wù)發(fā)現(xiàn)RESTful API，則受害NRF可能會由于本身資源的耗盡而無法為合法NF提供正常服務(wù)。

圖4 DDoS攻擊

2.2 JSON安全威脅

利用當前最新發(fā)現(xiàn)的JSON漏洞CVE-2020-10663，攻擊者可以在5G網(wǎng)絡(luò)NF的JSON解析器中創(chuàng)建惡意對象。3GPP規(guī)定了當前5G核心網(wǎng)控制面中PLMN之間JSON消息數(shù)據(jù)傳輸由SEPP和IPX進行保護[16]，SEPP使用JWE[21]對JSON數(shù)據(jù)進行機密性和完整性保護，IPX使用JWS[22]對修改后JSON數(shù)據(jù)進行數(shù)字簽名，如圖5所示。但在同一個PLMN核心網(wǎng)內(nèi)控制平面NF之間JSON數(shù)據(jù)傳輸并沒有受到保護，在SBI協(xié)議棧中是否采用TLS仍在討論中[23]。如果不使用TLS機制，攻擊者可以通過監(jiān)聽和嗅探等方式獲取JSON數(shù)據(jù)，若JSON數(shù)據(jù)中包含地理位置、身份標識等用戶敏感信息，則會危害用戶隱私。即使使用TLS機制，攻擊者可以將偽造的TLS證書安裝在PLMN的核心網(wǎng)中，從而使用攻擊者的公鑰對所有數(shù)據(jù)包進行加密，并使用攻擊者的私鑰(由偽造的TLS證書提供)對其進行解密[24]。因此，攻擊者可以讀取所有加密的JSON數(shù)據(jù)。

圖5 PLMN間JSON消息保護

2.3 中間人攻擊威脅

上文舉例說明了5G核心網(wǎng)中AMF使用RESTful API在NRF中注冊并獲取訪問令牌進而請求SMF服務(wù)。如果攻擊者在AMF和NRF之間插入非法的監(jiān)聽設(shè)備，如圖6所示，NRF對AMF鑒權(quán)成功后，會將訪問令牌通過Nnrf_AccessToken_Get_Response消息發(fā)送至AMF，此時若攻擊者通過監(jiān)聽設(shè)備獲取到了AMF的訪問令牌，則攻擊者可以控制假冒AMF攜帶訪問令牌使用SMF的服務(wù)而不被檢測到，若NRF下發(fā)的是敏感服務(wù)的訪問令牌，例如AMF的獲取用戶地理位置的服務(wù)，則攻擊者可以獲取到用戶的地理位置進而追蹤用戶。

圖6 中間人攻擊

2.4 注入攻擊威脅

在5G核心網(wǎng)中攻擊者可以利用某些NF沒有對RESTful API的輸入?yún)?shù)進行嚴格檢查的漏洞，在RESTful API的輸入?yún)?shù)中注入惡意數(shù)據(jù)從而獲取敏感信息。試想，攻擊者通過中間人攻擊獲取到特定NF服務(wù)(例如AMF的Namf_MT服務(wù))訪問令牌后，使用訪問令牌所規(guī)定權(quán)限范圍之外的NF服務(wù)(例如AMF的Namf_Location服務(wù))構(gòu)造惡意請求，攻擊者將惡意請求與訪問令牌一同發(fā)送至NF服務(wù)生產(chǎn)者端，由于訪問令牌是合法的，若NF服務(wù)生產(chǎn)者沒有嚴格檢查令牌中權(quán)限范圍參數(shù)與請求服務(wù)是否匹配，則NF服務(wù)生產(chǎn)者會執(zhí)行攻擊者的惡意請求，這可能導(dǎo)致用戶的敏感信息被竊取，若攻擊者構(gòu)造的惡意請求包含NF服務(wù)生產(chǎn)者無法處理的越界參數(shù)，則可能導(dǎo)致其崩潰，如圖7所示。

圖7 注入攻擊

3 5G核心網(wǎng)RESTful API安全防護機制

針對上文分析的RESTful API在5G核心網(wǎng)存在的安全威脅，基于業(yè)界對RESTful API在Web與物聯(lián)網(wǎng)安全研究方法，本文結(jié)合5G網(wǎng)絡(luò)SBA架構(gòu)特點，對四類安全威脅提出了對應(yīng)的安全防護機制。

3.1 DDoS攻擊威脅防護機制

針對上文分析的DDoS攻擊威脅，NF服務(wù)生產(chǎn)者應(yīng)對來自同一個令牌的RESTful API請求頻率做出相應(yīng)的限制，可以根據(jù)RESTful API所占用資源的不同進行等級劃分，對占用資源高的RESTful API請求頻率設(shè)定更嚴格的閾值，對資源占用低的RESTful API請求頻率設(shè)定較為寬松的閾值。若單位時間內(nèi)來自同一個令牌的請求超過RESTful API請求頻率閾值，則NF服務(wù)生產(chǎn)者使用HTTP狀態(tài)碼“429 Too Many Requests”作為響應(yīng)且拒絕執(zhí)行服務(wù)，如圖8所示。此外，NRF可加入防火墻機制，依據(jù)NF服務(wù)請求內(nèi)容(例如惡意源IP地址、惡意NF ID、未知PLMN ID等)劃分出惡意NF服務(wù)消費者，過濾惡意NF服務(wù)消費者的請求，降低NF服務(wù)生產(chǎn)者RESTful API濫用風(fēng)險。

圖8 RESTful API請求頻率限制

3.2 JSON安全威脅防護機制

針對上文分析的JSON安全威脅，5G核心網(wǎng)NF應(yīng)具備對第三方功能進行細粒度快速升級的能力，若有JSON漏洞被挖掘，則5G核心網(wǎng)應(yīng)能夠?qū)λ惺褂肑SON功能的NF進行快速升級，安裝JSON漏洞補丁。此外，同一PLMN核心網(wǎng)內(nèi)NF間JSON數(shù)據(jù)傳輸應(yīng)使用JWE[21]進行保護，JWE可以同時保護JSON數(shù)據(jù)的機密性和完整性，防止攻擊者獲取到用戶的敏感數(shù)據(jù)，如圖9所示。

圖9 JSON防護

3.3 中間人攻擊威脅防護機制

針對上文分析的中間人攻擊威脅，即攻擊者獲取到NRF發(fā)送至NF服務(wù)消費者的訪問令牌，從而攜帶訪問令牌使用NF服務(wù)生產(chǎn)者的服務(wù)。提出一種改進訪問令牌的安全機制，如圖10所示。NF服務(wù)消費者請求訪問令牌之前，生成隨機數(shù)R并使用散列算法計算隨機數(shù)的散列值H，將H與散列算法名稱Hashname連同訪問令牌請求一同發(fā)送至NRF。NRF對NF服務(wù)消費者鑒權(quán)成功后，將散列值H與散列算法名稱Hashname放入訪問令牌中發(fā)送至NF服務(wù)消費者，當NF服務(wù)消費者向NF服務(wù)生產(chǎn)者請求服務(wù)時，將隨機數(shù)R與訪問令牌一同發(fā)送至NF生產(chǎn)者，NF服務(wù)生產(chǎn)者成功驗證訪問令牌完整性后，將散列值H與散列算法名稱Hashname取出，使用相同散列算法計算R的散列值H′，若散列值H′與H相同，則允許NF服務(wù)消費者使用服務(wù)，并將服務(wù)響應(yīng)返回至NF服務(wù)消費者，否則拒絕提供服務(wù)。

圖10 改進訪問令牌

通過改進令牌的安全機制，攻擊者即使獲取到NRF向NF服務(wù)消費者下發(fā)的訪問令牌，由于無法獲知NF服務(wù)消費者生成的隨機數(shù)R，故無法使用NF服務(wù)生產(chǎn)者的服務(wù)。

3.4 注入攻擊威脅防護機制

針對上文分析的注入攻擊威脅，NF服務(wù)生產(chǎn)者驗證NF服務(wù)消費者訪問令牌完整性的同時，應(yīng)嚴格檢查NF服務(wù)消費者請求RESTful API中輸入?yún)?shù)是否與令牌保持一致或者是否存在安全威脅。例如檢查NF服務(wù)消費者請求RESTful API訪問資源的權(quán)限是否在令牌所規(guī)定權(quán)限之內(nèi)，驗證RESTful API輸入的參數(shù)數(shù)量、類型、長度、數(shù)值是否在NF服務(wù)生產(chǎn)者所允許范圍之內(nèi)。若NF服務(wù)消費者請求的訪問權(quán)限超過了訪問令牌權(quán)限范圍或NF服務(wù)消費者輸入?yún)?shù)越界，則NF服務(wù)生產(chǎn)者應(yīng)拒絕NF服務(wù)消費者的服務(wù)請求并返回錯誤消息，如圖11所示。

圖11 RESTful API檢查機制

4 結(jié) 語

5G網(wǎng)絡(luò)將內(nèi)生安全作為重要的設(shè)計理念之一，因此5G網(wǎng)絡(luò)在設(shè)計之初必須全面考慮可能存在的安全威脅。針對RESTful API在5G應(yīng)用場景中相關(guān)安全研究較少的不足，本文在梳理5G網(wǎng)絡(luò)服務(wù)化架構(gòu)與RESTful API應(yīng)用方法的基礎(chǔ)上，分析了5G網(wǎng)絡(luò)RESTful API 的4種主要安全威脅，包括DDOS攻擊威脅、JSON安全威脅、中間人攻擊威脅和注入攻擊威脅，并提出了相應(yīng)的安全防護機制，為5G網(wǎng)絡(luò)的發(fā)展完善提供了參考。未來將會針對5G服務(wù)化架構(gòu)相關(guān)協(xié)議和應(yīng)用場景安全做進一步研究。