一、前言

為深入貫徹習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想，支撐5G高質(zhì)量發(fā)展，深入落實(shí)5G應(yīng)用“揚(yáng)帆”行動(dòng)計(jì)劃部署，加強(qiáng)5G應(yīng)用安全示范推廣，工業(yè)和信息化部近日啟動(dòng)5G網(wǎng)絡(luò)運(yùn)行安全能力提升專項(xiàng)行動(dòng)，旨在解決新形勢(shì)下網(wǎng)絡(luò)運(yùn)行安全風(fēng)險(xiǎn)增多、運(yùn)行維護(hù)難度加大等突出問題。博智電信網(wǎng)絡(luò)靶場(chǎng)已為某BD高校、某省公安廳等客戶解決新形勢(shì)下網(wǎng)絡(luò)運(yùn)行安全風(fēng)險(xiǎn)增多、運(yùn)行維護(hù)難度加大等突出問題，助力構(gòu)建風(fēng)險(xiǎn)可控、響應(yīng)快速、制度健全的信息通信網(wǎng)絡(luò)，推動(dòng)網(wǎng)絡(luò)運(yùn)行安全治理模式向事前預(yù)防轉(zhuǎn)型。

二、博智電信網(wǎng)絡(luò)靶場(chǎng)

網(wǎng)絡(luò)安全是一個(gè)攻防對(duì)抗的過程，為了應(yīng)對(duì)5G網(wǎng)絡(luò)可能出現(xiàn)的安全攻擊，防御者必須想辦法先于攻擊者發(fā)現(xiàn)系統(tǒng)弱點(diǎn)，防患于未然。在這種思路下，博智電信網(wǎng)絡(luò)靶場(chǎng)應(yīng)運(yùn)而生。

博智電信網(wǎng)絡(luò)靶場(chǎng)針對(duì)5G電信網(wǎng)絡(luò)的特點(diǎn)，對(duì)網(wǎng)絡(luò)設(shè)備、協(xié)議、拓?fù)洹⒘髁亢托袨檫M(jìn)行高仿真，通過“拖拉拽連線”的方式快速搭建攻防場(chǎng)景。靶場(chǎng)內(nèi)置流量子系統(tǒng)提供威脅報(bào)文生成和報(bào)文注入能力，全方面支撐5G網(wǎng)絡(luò)安全攻防研究。博智電信網(wǎng)絡(luò)靶場(chǎng)系統(tǒng)包含六大子系統(tǒng)如圖所示，包含無線網(wǎng)子系統(tǒng)（4/5G）、IP承載網(wǎng)子系統(tǒng)、控制中心子系統(tǒng)、電信業(yè)務(wù)子系統(tǒng)、流量子系統(tǒng)、IPMAN子系統(tǒng)。

三、5G攻防實(shí)戰(zhàn)研究

博智電信網(wǎng)絡(luò)靶場(chǎng)為了全面檢驗(yàn)5G安全，根據(jù)標(biāo)準(zhǔn)5G組網(wǎng)方案構(gòu)建5G端到端環(huán)境，包含5G終端、5G無線接入網(wǎng)（RAN）、核心網(wǎng)、承載網(wǎng)，以及5G垂直行業(yè)應(yīng)用。根據(jù)5G場(chǎng)景要求，靶場(chǎng)可以模擬驗(yàn)證5G終端安全、5G無線安全、用戶平面功能（UPF）下沉安全、切片安全、5G漫游互聯(lián)安全等。下面針對(duì)5G網(wǎng)絡(luò)安全典型的兩種安全攻防場(chǎng)景，使用博智電信網(wǎng)絡(luò)靶場(chǎng)進(jìn)行攻防研究。

3.1 基于漫游互聯(lián)安全場(chǎng)景研究

兩個(gè)5G核心網(wǎng)之間的5G互聯(lián)使用基于REST (REpresentational State Transfer) API和HTTP/2的N32接口。N32網(wǎng)絡(luò)提供了與Diameter和SS7網(wǎng)絡(luò)一樣的互連，考慮到互連訪問的問題，如果不實(shí)施訪問控制，N32也會(huì)遇到與234G同樣的安全問題。控制另一個(gè)網(wǎng)絡(luò)的權(quán)限是任何網(wǎng)絡(luò)互連的關(guān)鍵安全原則。

對(duì)于前幾代核心網(wǎng)絡(luò)，一直存在攻擊者使用漫游網(wǎng)絡(luò)互通接口發(fā)起位置跟蹤、用戶數(shù)據(jù)竊取、流量劫持、用戶擾亂等攻擊行為。通信網(wǎng)絡(luò)發(fā)展到5G時(shí)代，基本的通信原則和功能沒有改變，比如獲取位置信息，4G網(wǎng)絡(luò)HSS通過s6a接口向MME獲取用戶的位置信息，而5G時(shí)代UDM向AMF通過Namf向amf獲取用戶位置信息，如下表所示。

使用博智電信網(wǎng)絡(luò)靶場(chǎng)搭建了基于漫游互聯(lián)安全場(chǎng)景。

攻擊機(jī)通過漫游互聯(lián)接口經(jīng)過SEPP對(duì)5G核心網(wǎng)發(fā)起HTTP2協(xié)議攻擊行為。攻擊機(jī)偽造特定的HTTP2報(bào)文從UDM網(wǎng)元中獲取到某用戶的SUPI號(hào)碼、GPSI號(hào)碼、簽約數(shù)據(jù)、注冊(cè)deregCallbackUri信息等，然后根據(jù)deregCallbackUri偽造去注冊(cè)報(bào)文發(fā)送給AMF，致使用戶斷連5G網(wǎng)絡(luò)。

3.2 用戶平面功能（UPF）下沉安全場(chǎng)景

5GC基于控制面與用戶面分離式架構(gòu)，UPF需要下沉到網(wǎng)絡(luò)邊緣，增大了暴露風(fēng)險(xiǎn)。N4的建立流程是由SMF下發(fā)給UPF的，如果UPF中沒有配置完善的網(wǎng)元認(rèn)證機(jī)制，攻擊者則可以偽裝SMF向UPF發(fā)起攻擊。PFCP協(xié)議所支持的業(yè)務(wù)流程包括會(huì)話建立流程、會(huì)話修改流程、會(huì)話刪除流程和會(huì)話報(bào)告流程。攻擊者在利用偽造的SMF與UPF建立連接后，可利用會(huì)話修改流程引導(dǎo)用戶面數(shù)據(jù)包的轉(zhuǎn)發(fā)，進(jìn)行數(shù)據(jù)竊取，也可利用會(huì)話刪除流程導(dǎo)致某些用戶被拒絕服務(wù)。

使用博智電信網(wǎng)絡(luò)靶場(chǎng)搭建了用戶平面功能（UPF）下沉安全場(chǎng)景。

攻擊者抵近UPF設(shè)備，攻擊機(jī)偽裝成SMF使用PFCF協(xié)議對(duì)UPF發(fā)起攻擊行為，攻擊流程如下：1，攻擊機(jī)使用探測(cè)掃描工具探測(cè)UPF存在的PFCP協(xié)議接口。2，攻擊機(jī)嘗試使用PFCF_Association_Setup_Request消息與網(wǎng)絡(luò)接口建立PFCP鏈路。3，攻擊機(jī)嘗試偽造發(fā)送PFCP_Session_Establishment_Request消息從回復(fù)的Response報(bào)文中猜想SEID分配規(guī)則和范圍。4，然后向目標(biāo)接口偽造發(fā)送PFCP_Session_Delete_Request報(bào)文，對(duì)猜想的SEID范圍發(fā)起DDOS攻擊。如果命中SEID后，使用此SEID的用戶業(yè)務(wù)會(huì)中斷。

四、安全防御機(jī)制

針對(duì)上文分析的兩種在5G核心網(wǎng)存在的安全威脅，結(jié)合5G網(wǎng)絡(luò)SBA架構(gòu)特點(diǎn)，提出了對(duì)應(yīng)的安全防護(hù)機(jī)制。

4.1. 基于SEPP的安全機(jī)制

SEPP即安全邊界防護(hù)代理，是5G漫游安全架構(gòu)的重要組成部分，是運(yùn)營(yíng)商核心網(wǎng)控制面之間的邊界網(wǎng)關(guān)。SEPP是一個(gè)非透明代理，實(shí)現(xiàn)跨運(yùn)營(yíng)商網(wǎng)絡(luò)中網(wǎng)絡(luò)功能服務(wù)消費(fèi)者與網(wǎng)絡(luò)功能服務(wù)提供者之間的安全通信，負(fù)責(zé)運(yùn)營(yíng)商之間控制平面接口上的消息過濾和策略管理，提供了網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間信令的端到端保護(hù)，防范外界獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)。基于SEPP的安全機(jī)制主要包括消息過濾、訪問控制和拓?fù)潆[藏。

消息過濾：在5G漫游過程中，運(yùn)營(yíng)商需要在其SEPP上對(duì)來訪的協(xié)議消息進(jìn)行過濾和控制。

訪問控制：SEPP需要實(shí)現(xiàn)對(duì)通信對(duì)端運(yùn)營(yíng)商數(shù)據(jù)的校驗(yàn)，包括判斷消息來源的真實(shí)性、所請(qǐng)求的信息是否只限于對(duì)端運(yùn)營(yíng)商用戶和本網(wǎng)運(yùn)營(yíng)商用戶等。

拓?fù)潆[藏：漫游場(chǎng)景涉及跨PLMN之間的NF通信，在通信過程中，為避免對(duì)端PLMN基于FQDN信息，獲取本端的拓?fù)湫畔ⅲ枰猄EPP將所有發(fā)往其他PLMN消息中的本端NF的FQDN進(jìn)行拓?fù)潆[藏。

4.2. 基于UPF下沉抵近攻擊防御方法

針對(duì)基礎(chǔ)設(shè)施的安全威脅，在物理基礎(chǔ)設(shè)施安全方面，部署的機(jī)房通過加鎖、視頻監(jiān)控、人臉識(shí)別以及人員管理等保證物理環(huán)境安全，遵循通用安全中的物理環(huán)境安全設(shè)計(jì)要求。同時(shí)通過如下的安全措施保障服務(wù)器或主機(jī)的安全：

1.服務(wù)器開啟防盜防拆、惡意斷電、設(shè)備重啟及網(wǎng)絡(luò)端口的告警。

2.禁用硬件服務(wù)器的本地串口、本地調(diào)試口、USB接口等本地維護(hù)端口，防止惡意攻擊者的接入和破壞。

3.在條件允許的情況下，部署可信計(jì)算保證物理服務(wù)器的可信。

4.服務(wù)器的I/O開啟訪問控制，并采用IEEE 802.1X協(xié)議，對(duì)連接的物理設(shè)備進(jìn)行認(rèn)證，防止不安全的、非法的或者偽裝的網(wǎng)絡(luò)設(shè)備接入到邊緣計(jì)算網(wǎng)絡(luò)中。

五、總結(jié)

在安全對(duì)抗中，人是最關(guān)鍵的因素。安全人才的技能必須通過不斷的人機(jī)對(duì)抗、人人對(duì)抗才能快速形成和提升。博智電信網(wǎng)絡(luò)靶場(chǎng)能夠讓安全研究人員發(fā)掘更深層次的5G安全漏洞、探索 5G最佳安全配置實(shí)踐、驗(yàn)證5G安全解決方案有效性，為5G安全提供全面的研究土壤，推動(dòng)5G安全研究的發(fā)展。