5G偽基站的安全威脅分析及如何預(yù)防與解決

當(dāng)前全球正加速推進(jìn)5G商用落地，大帶寬、低時(shí)延的萬物互聯(lián)時(shí)代即將到來。 5G技術(shù)在為用戶帶來更豐富的業(yè)務(wù)和更好的用戶體驗(yàn)的同時(shí)，其面臨的安全問題不容忽視。其中，偽基站就是一個(gè)巨大的安全問題。

1、偽基站背景和現(xiàn)狀

1.1 偽基站背景

偽基站也就是假基站。偽基站是一種獨(dú)立存在的設(shè)備，它可以通過模擬目標(biāo)基站，依據(jù)相關(guān)協(xié)議向目標(biāo)移動(dòng)臺(tái)發(fā)送信令，獲取目標(biāo)移動(dòng)臺(tái)相關(guān)信息。在目標(biāo)基站的覆蓋范圍內(nèi)，偽基站可以迫使目標(biāo)移動(dòng)臺(tái)小區(qū)重選、位置更新以及切換，從而達(dá)到網(wǎng)絡(luò)詐騙、隱私信息獲取等目的。偽基站通常是由主機(jī)和筆記本電腦或手機(jī)組成的設(shè)備，其可搜尋一定半徑范圍內(nèi)的手機(jī)卡信息。詐騙者偽裝成公眾服務(wù)號(hào)碼主動(dòng)給用戶發(fā)送詐騙信息、虛假?gòu)V告、推銷等短信息，或發(fā)送含有木馬或釣魚網(wǎng)站的鏈接，或者監(jiān)聽用戶通信數(shù)據(jù)（如短信驗(yàn)證碼）等，來登陸用戶手機(jī)銀行賬號(hào)盜走錢財(cái)。

據(jù)統(tǒng)計(jì)，2016年3月，國(guó)內(nèi)某手機(jī)安全軟件單月攔截“偽基站”短信數(shù)量高達(dá)1.1億條。因?yàn)檫@些詐騙短信往往含有高仿銀行或機(jī)構(gòu)官網(wǎng)的“釣魚網(wǎng)站”網(wǎng)址鏈接，所以極具“殺傷力”，不但會(huì)危害人民群眾的人身財(cái)產(chǎn)安全，還會(huì)嚴(yán)重?cái)_亂社會(huì)秩序，甚至威脅國(guó)家信息安全。早在2014年，“偽基站”問題就引起了國(guó)家有關(guān)部門的關(guān)注，并由中央網(wǎng)信辦等九部門在全國(guó)范圍內(nèi)部署開展了“偽基站”專項(xiàng)整治行動(dòng)。2019年8月，全國(guó)無線電管理機(jī)構(gòu)查處“偽基站”違法犯罪案件12起，繳獲“偽基站”設(shè)備15臺(tái)（套）。

1.2 2G/3G/4G偽基站現(xiàn)狀

一般來說，用戶終端會(huì)依據(jù) MR（Measurement Report）選擇信號(hào)強(qiáng)度最強(qiáng)的基站，通過鑒權(quán)認(rèn)證過程后，接入該基站。這一過程需符合通信規(guī)范協(xié)議，偽基站正是“合理”利用規(guī)范協(xié)議來實(shí)施的。從2G到現(xiàn)在的4G+，偽基站也不斷通過技術(shù)變革來對(duì)抗規(guī)范協(xié)議的升級(jí)和各種監(jiān)管手段的實(shí)施（如表1）。

（1） 2G網(wǎng)絡(luò)（以GSM為例）的用戶鑒權(quán)環(huán)節(jié)涉及 RAND（隨機(jī)數(shù)）、 XRES（期望的應(yīng)答參數(shù)，由RAND+Ki按照算法算出）和 Kc（加密密鑰）三個(gè)參數(shù)，是一種網(wǎng)絡(luò)側(cè)對(duì)用戶終端的單向認(rèn)證。鑒權(quán)是否成功是由網(wǎng)絡(luò)對(duì)比判定，鑒權(quán)過程由基站發(fā)起，用戶終端無法去鑒定基站的合法性。因此，偽基站只需要使用大功率強(qiáng)行將用戶從合法基站干擾至偽基站。

（2） 3G網(wǎng)絡(luò)的用戶鑒權(quán)參數(shù)升級(jí)為五個(gè)，新增的鑒權(quán)參數(shù) IK（完整性密鑰）、 AUTN（認(rèn)證令牌，由序列號(hào)SQN、密鑰AK、管理域字段AMF、認(rèn)證碼MAC組成），提高了鑒權(quán)過程的機(jī)密性和完整性。更重要的是， 3G網(wǎng)絡(luò)增加了用戶終端對(duì)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證 。但是，整個(gè)鑒定過程只能由網(wǎng)絡(luò)方控制和發(fā)起，是一種被動(dòng)防御方式。偽基站可以通過“取標(biāo)識(shí)”的過程（即發(fā)送身份驗(yàn)證請(qǐng)求消息“身份驗(yàn)證請(qǐng)求消息取標(biāo)識(shí)”的過程和發(fā)起）要求用戶提交 IMSI。一旦用戶回復(fù)的明文 IMSI信息被截取，就可用來追蹤和監(jiān)視手機(jī)用戶，引發(fā)隱私泄露問題。

（3）在現(xiàn)網(wǎng)中，攻擊者還可以利用無線資源控制 RRC重定向的降級(jí)攻擊方法，迫使用戶連接到 2G偽基站下，再實(shí)施偽基站詐騙。

（4） 4G網(wǎng)絡(luò)和 3G網(wǎng)絡(luò)在這方面的安全機(jī)制大體一致，在此不再贅述。

綜上所述，結(jié)合當(dāng)前偽基站實(shí)際工作原理，應(yīng)當(dāng)保護(hù)用戶終端 IMSI隱密性、增加用戶終端對(duì)網(wǎng)絡(luò)的強(qiáng)制鑒權(quán)、增強(qiáng)通信過程中信息等完整性保護(hù)，防止用戶接入偽基站或被監(jiān)聽。

2、5G偽基站的威脅分析

2.1 用戶終端身份標(biāo)識(shí)

5G引入用戶隱藏標(biāo)識(shí)符 SUCI（Subion Concealed Identifier）防止用戶真實(shí)身份信息被捕獲，加強(qiáng)用戶屬性的私密性。對(duì)應(yīng) IMSI，終端在 5G中的真實(shí)身份稱為用戶永久標(biāo)識(shí)符 SUPI（Subion Permanent Identifier）。以啟動(dòng)身份驗(yàn)證的流程為例（如圖1）。利用存放在用戶終端的公鑰， SUPI加密成用戶隱藏標(biāo)識(shí)符 SUCI，并經(jīng)由基站 gNB上傳至 5G核心網(wǎng)。在核心網(wǎng)內(nèi)安全錨功能 SEAF，由統(tǒng)一數(shù)據(jù)管理 UDM通過調(diào)用 SIDF破譯 SUCI得到用戶正式身份 SUPI。然后再根據(jù)用戶選擇的認(rèn)證方式提取對(duì)應(yīng)的鑒權(quán)密鑰與鑒權(quán)結(jié)果，最后將結(jié)果反饋給用戶終端，校驗(yàn)鑒權(quán)結(jié)果真?zhèn)?。有效避免用戶身份信息通過明文傳輸方式泄露。

從3GPP協(xié)議角度看，5G SA架構(gòu)才能實(shí)現(xiàn)這種用戶身份信息隱私的保護(hù)。SUCI的生成算法可以采用橢圓曲線集成加密方案，運(yùn)營(yíng)商可自擬方案來滿足需求，甚至選擇null-scheme。結(jié)合現(xiàn)網(wǎng)情況來看，實(shí)現(xiàn)該方法的前提是更換手機(jī)卡，運(yùn)營(yíng)商無法迫使所有用戶換卡。因此，在多種網(wǎng)絡(luò)制式并存的現(xiàn)網(wǎng)條件下，用戶終端身份標(biāo)識(shí)的安全威脅也仍然存在。

2.2 系統(tǒng)信息SI的“偽造”或“重放”

系統(tǒng)信息 SI由 Master Information Block （MIB）和多個(gè) System Information Blocks（SIBs）組成，包括了小區(qū)選擇參數(shù)、鄰區(qū)信息、信道配置信息、公共安全信息PWS等。小區(qū)周期性地向用戶終端廣播同步信號(hào)和系統(tǒng)信息。處于 RRC_IDLE或 RRC_INACTIVE模式時(shí)，用戶終端會(huì)監(jiān)聽系統(tǒng)信息 SI并選擇一個(gè)小區(qū)附著。這種不加密的廣播形式傳播的消息，容易被利用攻擊（偽造消息或重放）。小區(qū)廣播虛假預(yù)警消息就是一個(gè)典型的例子。

盡管 3GPP TR 33.96提出應(yīng)用數(shù)字簽名機(jī)制這個(gè)方法，但仍存在一些時(shí)間同步機(jī)制、公鑰分發(fā)管理、終端開銷等挑戰(zhàn)。

2.3 數(shù)據(jù)通信中的“中繼”

無法簡(jiǎn)單獲取用戶終端身份，偽基站還可借助惡意終端，以“中繼”的形式，在用戶終端和網(wǎng)絡(luò)之間進(jìn)行加密數(shù)據(jù)的透?jìng)鳎瑢?shí)現(xiàn)身份認(rèn)證。如圖2所示，在上行鏈路，偽基站接收正常用戶終端的通信數(shù)據(jù)，并經(jīng)由偽終端透?jìng)鹘o合法基站；在下行鏈路，偽終端接收合法基站的通信數(shù)據(jù)，并通過偽基站將接收數(shù)據(jù)“透明轉(zhuǎn)發(fā)”給合法終端。在這種情況下，通信雙方都是難以感知到的。不難想象，針對(duì)沒有做完整性保護(hù)的信息，或在沒有開啟完整性保護(hù)的情況下，還可以直接篡改數(shù)據(jù)，實(shí)施中間人攻擊。

3、5G偽基站的安全建議

3.1 制定統(tǒng)一系統(tǒng)信息簽名機(jī)制

盡管針對(duì)系統(tǒng)信息 SI的安全性問題在 3GPP中討論研究過，但是，考慮到各國(guó)實(shí)際監(jiān)管尺度不同，對(duì)終端、設(shè)備以及消息發(fā)送機(jī)構(gòu)的要求也不盡相同。因此 3GPP并未制定統(tǒng)一的技術(shù)規(guī)范，國(guó)內(nèi)也尚未形成統(tǒng)一簽名機(jī)制。這方面的工作還有賴于國(guó)內(nèi)標(biāo)準(zhǔn)組織、行業(yè)協(xié)會(huì)政策面的推動(dòng)。

針對(duì)小區(qū)廣播安全機(jī)制，一般會(huì)設(shè)置根密鑰和消息密鑰兩級(jí)密鑰，使用數(shù)字簽名算法和雜湊算法，網(wǎng)絡(luò)用私鑰對(duì)發(fā)送信息內(nèi)容的散列進(jìn)行簽名，終端用公鑰對(duì)接收到的消息進(jìn)行驗(yàn)證，確保消息完整性及不被偽造。具體如下：

（1）兩級(jí)密鑰設(shè)置。根密鑰由密鑰管理中心 KMC生成，長(zhǎng)期有效。根私鑰保存在 KMC，根公鑰由終端廠家設(shè)置在終端中，用于驗(yàn)證密鑰管理消息；消息密鑰由KMC生成，有固定的更新周期，可按需更新。根私鑰簽發(fā)消息公鑰通過周期發(fā)送小區(qū)廣播測(cè)試消息發(fā)給終端，并利用預(yù)置在終端中的根公鑰對(duì)消息公鑰進(jìn)行驗(yàn)證。

（2）密鑰分發(fā)/更新機(jī)制。根密鑰可采用權(quán)威網(wǎng)站公布公鑰及摘要，由終端廠家獲取，預(yù)置在終端中。利用已有的小區(qū)廣播通道下發(fā)公鑰，成本低可實(shí)現(xiàn)。

針對(duì)重放攻擊問題，建議添加時(shí)間或地理信息等，由終端對(duì)比本地時(shí)間或地理位置來判斷消息的有效性。

3.2 合理利用位置信息解決中繼攻擊

針對(duì)認(rèn)證中繼攻擊，可由網(wǎng)絡(luò)側(cè)AMF（接入和移動(dòng)管理功能）比較判斷用戶終端和基站的位置信息匹配合理性。具體來說：

（1）在注冊(cè)過程中，用戶終端經(jīng)由基站發(fā)送注冊(cè)請(qǐng)求給AMF，該請(qǐng)求經(jīng)由N2接口時(shí)會(huì)包含基站位置信息，由此 AMF可以獲取基站位置信息。

（2）在完成認(rèn)證后， AMF發(fā)送 NAS Security Mode命令給用戶，讓用戶終端上報(bào)自己的實(shí)際位置。

（3） AMF判斷兩個(gè)位置信息的合理性。

此外，考慮到用戶位置信息的隱私性，應(yīng)限制位置信息精度范圍。

測(cè)量報(bào)告 MR（Measurement Report）是用戶終端對(duì)基站的感知，是基站切換的依據(jù)。 3GPP TR 38.331提出，網(wǎng)絡(luò)會(huì)配置用戶終端進(jìn)行測(cè)量，基于 SSB上報(bào)每個(gè) SSB的測(cè)量結(jié)果、基于 SSB的每個(gè)小區(qū)的測(cè)量結(jié)果（如信號(hào)強(qiáng)度）和 SSB Index。

當(dāng)用戶終端處在活躍狀態(tài)時(shí)，在切換準(zhǔn)備階段，用戶終端會(huì)測(cè)量鄰區(qū)的信息并選擇一個(gè)待切換的目標(biāo)基站。當(dāng)用戶終端發(fā)生位置移動(dòng)，離開源基站小區(qū)，即將進(jìn)入新基站小區(qū)時(shí)，用戶終端會(huì)發(fā)送測(cè)量報(bào)告給源基站。源基站根據(jù)測(cè)量報(bào)告，嘗試與目標(biāo)基站建立 X2/Xn連接。源基站查看配置數(shù)據(jù)庫(kù)，查找目標(biāo)基站的IP地址信息，并建立 X2/Xn連接。如果目標(biāo)基站是偽基站，可能在配置數(shù)據(jù)庫(kù)中沒有相關(guān)信息，或建立 X2/Xn連接失敗，切換是無法完成的。這樣就導(dǎo)致周邊基站的切換成功率和用戶體驗(yàn)速率下降，甚至掉線，嚴(yán)重影響用戶感知。

基于 MR上報(bào)小區(qū)信號(hào)強(qiáng)度、基站切換的失敗記錄、小區(qū)編號(hào)規(guī)則等信息，網(wǎng)絡(luò)側(cè)可以統(tǒng)計(jì)分析出信號(hào)異常（-3?dB以下）、無法正常切換的次數(shù)等偽基站判別指標(biāo)。進(jìn)一步，利用小區(qū)經(jīng)緯度和方位角信息，還可推測(cè)出偽基站的位置信息，便于現(xiàn)場(chǎng)勘查確認(rèn)。

4、結(jié)束語

依據(jù) 3GPP協(xié)議規(guī)范來看， 5G偽基站問題基本上已得到解決。但是，從技術(shù)規(guī)范到現(xiàn)網(wǎng)設(shè)備和終端的部署更新還需要時(shí)間，尤其是 5G核心網(wǎng)的部署。結(jié)合現(xiàn)網(wǎng)實(shí)際來看，多種通信制式將會(huì)并存較長(zhǎng)一段時(shí)間，設(shè)備的實(shí)際應(yīng)用條件和配置情況也還未可知。此外，安全攻防對(duì)抗升級(jí)是網(wǎng)絡(luò)安全的常態(tài)。因此，對(duì)偽基站問題仍舊不能松懈。

責(zé)任編輯：gt