一、概述

第三代合作计划（3GPP）在 2018 年 3 月，发布了第 15 版移动通信系统规范，为第五代移动通信（5G）奠定了基础。5G 网络的目标是提供无处不在的高速、低延迟网络连接，以更好的应用于高清视频和物联网的场景，同时服务于大规模通信以及实时控制的需求。因此，最新一代移动通信的设计原则是支持更高承载量、支持更高数据速率、减少延迟、支持大规模设备连接，从而实现触觉互联网（Tactile Internet）、增强现实（AR）、虚拟现实（VR）以及智慧车辆互联。

与此前的 2G、3G 和 4G ( LTE ) 一样，安全性对于 5G 通信网络和服务至关重要，因为目前，移动系统正在为全世界数十亿人提供连接。此外，蜂窝通信网络是当前新型关键基础设施的连接基石，包括智能电网、第一响应单元（First Responder Units）和先进的军事自组织网络。5G 的出现将诞生新的网络和应用，包括用于辅助驾驶或自动驾驶的下一代车载网络，以及智慧城市和智慧社区。

传统的 2G 网络存在着一些安全弱点，最严重的一个问题就是网络和用户设备（UE）之间缺乏相互认证。正因如此，从 3G 开始，安全性便始终成为了移动通信的关键设计考虑要素之一。LTE 实现了强大的加密和完整性保护算法，支持基于对称密钥的相互认证系统，该系统安全的存储在通用用户识别模块（USIM）或 SIM 中，以及运营商的归属用户服务器（HSS）上。然而，近年来的安全研究又发现了 LTE 协议固有的一系列漏洞。例如，大量的预身份验证消息以明文形式发送，并且该消息可以被利用发起拒绝服务（DoS）攻击，并从用户设备（UE）处获得移动用户的位置信息。

LTE 规范的第一版，Release 8，发布于 2007 年。在很久之后，安全研究人员才发现其主要的安全漏洞，并首次在公开文献中报告。之所以时隔这么久，一个原因在于没有可用且价格合理的 LTE 安全研究工具。直到最近几年，在个人计算机上运行的 LTE 软件库和能够使用现有商业软件定义的无线电外设才达到足够的成熟度。只有这些环境可以被安全研究者使用，他们才能对 LTE 进行深入的研究，从而也就能够取得良好的研究成果，发现许多协议上的漏洞。

在 5G 网络的定义和规范建立过程中，安全性被作为一个关键的考虑要素和核心问题。自从 NR 和 5GC 的通信协议建立以来，他们已经在解决已知的 LTE 协议漏洞方面付出了大量的努力，特别是在防范国际移动用户标识符（IMSI）捕获器 Stingrays 这一方面。因此，5G 协议引入了用户永久标识符（Subscriber Permanent Identifier，SUPI）和用户隐藏标识符（Subscriber Concealed Identifier，SUCI）的概念。更重要的是，5G 规范中引入了基于公钥基础设施（PKI）的安全体系结构，允许验证和鉴别源自 5GC 的控制面消息（Control Plane Messages）。

尽管 5G 协议在努力设计其安全架构，但仍然存在许多不安全协议的边缘案例。攻击者可利用这些案例，来对用户实现拒绝服务攻击，或者拦截敏感用户信息。此外，5G 协议规范所基于的场景可能难以符合实际，从而导致不安全的网络配置。具体而言，5G 所有安全性的基础都是 SIM 卡中保存的运营商公钥，只有在 " 全世界所有移动设备的所有 SIM 卡中都保存了全世界所有运营商的公钥 " 这一种情况下，才能保证该协议的绝对安全。此外，所有的运营商也必须负责保证自己的私钥是安全的。在全世界范围内，密钥管理和轮换机制显然是不可行的，并且也不在标准规范之中。并且，受政治因素影响，密钥分配机制可能不会被全球所有国家和地区所采用。一旦上述过程中出现了任何问题，都可能会导致不安全的协议实现或 ISMI 捕获的风险。

本文对当前的 5G 协议安全规范进行了全面分析。作为本次研究的一部分，我们列举了协议存在的漏洞，并将其带入实际场景，分析潜在的安全威胁。此外，我们还讨论了 5G 安全性的要求和前提条件，重点关注了全球采用（Global Adoption）及其产生的结果。最后，我们还分析了无线电接入网安全相关的体系结构和过程。但是，关于 5GC 安全性的分析不在本文的讨论范畴之内。

本文主要内容如下：第二章中介绍了 5G 安全体系结构和组成部分，第三章讨论了 3GPP Release 15 规范中提出的 5G 安全要求和过程，第四章详细分析了 5G 规范的主要安全挑战，重点说明了其存在的协议漏洞利用和敏感信息泄漏的潜在风险，第五章分析已知 LTE 协议漏洞是否会影响到 5G 的安全性，最后在第六章中总结了我们的研究结果。

二、5G 安全体系结构

5G 的安全体系结构由用户设备（UE）、无线电接入网络（RAN）、核心网络（CN）和应用组成。该体系结构可以简化为应用层、服务层和传输层。下图为服务层和传输层的简化图：

在整个网络和终端用户组件之中，分别定义了不同的安全特性，这些特性组合在一起，共同创建了一个安全的系统设计方案：

1、网络访问安全性（I）：使用户设备（UE）能够经过认证，并且安全的访问网络服务的一系列功能或机制。

2、网络域安全（II）：使核心网络节点能够安全地交换信令数据（Signaling Data）和用户平面数据（User Plane Data）的一系列功能。

3、用户域安全（III）：保护用户访问移动设备和移动服务的一系列功能。

4、基于服务的体系结构（SBA）和域安全性（IV）：SBA 域中的一系列功能，包括网元注册、发现和授权，以及对基于服务的接口的保护。

5、安全性的可见与可配置（未在图 1 标明）：使用户能够获知安全功能是否正在运行，同时使用户能够对安全功能进行配置。

5G 规范定义了许多网络功能及其接口，允许无线电接入网络（RAN）、核心网络（CN）和外部网络之间的数据流传递。下图展示了简化后的 5G 网络结构。5G 网络功能和安全功能为 5G 移动通信系统的开发提供了灵活而又安全的设计。

下面列举了一些重要的 3GPP 网络概念和组件，用于定义和分析 5G 的安全体系结构、要求和过程：

（1）5G-GUTI：5G 全球唯一临时标识符（5G Global Unique Temporary Identifier），考虑到安全需要，用于限制 SUPI 的信令。

（2）5GC：5G 核心网（5G Core）。

（3）AKA：认证和密钥协议（Authentication and Key Agreement），用于蜂窝网络中无线网络接入的安全协议。

（4）ARPF：认证凭据存储和处理功能（Authentication Credential Repository and Processing Function），将长期安全证书和密钥存储在 5G-C 中。

（5）AUSF：认证服务器功能（Authentication Server Function），用于归属网络的 5G 安全过程。

（6）CP：控制面（Control Plane），用于控制数据信令层面。

（7）EAP：可扩展身份验证协议（Extensible Authentication Protocol），认证框架，用于密钥和参数的传输。

（8）EPC：演进分组核心网（Evolved Packet Core），LTE 无线核心网络。

（9）EPS：演进分组系统（Evolved Packet System），LTE 无线电接入和核心网络。

（10）HE：归属环境（Home Environment），包含用户配置文件、标识符和订阅信息的数据库。

（11）IMSI：国际移动用户识别码（International Mobile Subscriber Identity），用于 2G、3G、4G 系统，作为识别用户的唯一方式。

（12）MCC-MNC：移动国家代码 - 移动网络代码（Mobile Country Code – Mobile Network Code），由基站广播，作为识别运营商的唯一方式。

（13）ME：移动设备（Mobile Equipment），移动终端。

（14）NAS：非接入层（Non-Access Stratum），与认证、其他安全功能和控制面机制相关的网络层。

（15）PKI：公钥基础设施（Public Key Infrastructure），分层密钥的一种，用于创建、管理、分发和使用数字证书以及管理公钥加密。

（16）RRC：无线资源控制（Radio Resource Control），在 RAN 管理上层的无线电资源。

（17）SBA：基于服务的体系结构（Service-Based Architecture），支持切片（Slicing）和虚拟化，从而在每个服务的基础上优化网络性能。

（18）SEAF：安全锚功能（Security Anchor Function），是 5G-C 功能之一，创建统一的锚键，提供给 UE 使用，在网络中用于主要的认证和后续通信保护。

（19）SMF：会话管理功能（Session Management Function），是 5G-C 中 SBA 的一部分，负责协议数据单元与 UE 进行交换，包括策略和计费。

（20）SN：服务网络（Serving Network），为 UE 的网络，可以是归属网络或访客网络。

（21）SUCI：用户隐藏标识符（Subscription Concealed Identifier），使用运营商的公钥对 SUPI 进行加密。

（22）SUPI：用户永久标识符（Subscription Permanent Identifier），是 5G 用户的永久身份，相当于 IMSI。

（23）TAU：跟踪区域更新（Tracking Area Update），由处于空闲状态的 UE 发送的消息，以通知网络其跟踪区域（TA）。

（24）UDM：统一数据管理（Unified Data Management），支持 ARPF 的 5GC 功能。

（25）UE：用户设备（User Equipment），由 ME 和 USIM 组成，提供对用户服务的访问。

（26）UP：用户面（User Plane），用户数据信令层面。

（27）USIM：通用用户识别模块（Universal Subscriber Identity Module），也称为 SIM，硬件安全存储，其中包含 IMSI（或 SUPI），以及用于用户身份验证和其他 AKA 功能的密钥。

三、3GPP 5G 规范安全需求及实现

5G 的安全体系结构是在定义了一系列安全要求、功能和实现的基础之上构建的。因此，我们将继续进行分析。下面列出了 5G 无线电接入网络（RAN）的主要安全要求和相应的实现。在其中，包含了一些可能导致安全漏洞的要求和实现，我们将会在后续章节中进一步讨论这些安全漏洞及其潜在影响。

（1）通用

安全需求：

a. 缓解 Bidding Down 攻击。

b. 相互进行认证。

c. 用户设备、访问和服务网络授权。

d. 允许未经认证的紧急服务。

实现：

在身份验证过程中，使用 EAP-AKA 和 5G AKA 方法。

（2）用户设备与 5G 基站（UE and gNB）

a. 通过加密，保护用户和信令数据。一旦连接到 5G 基站，就考虑启用用户设备安全功能和服务网络的安全功能。支持零加密（Null Encryption）。保密性保护可以选择是否启用。

b. 用户和信令数据完整性保护和重放保护。一旦连接到 5G 基站，就考虑启用用户设备安全功能和服务网络的安全功能。支持零完整性保护（Null Integrity Protection）。用户数据的完整性保护可以选择是否启用。RRC 和 NAS 信令保护强制启用，但存在例外，比如未经认证的紧急会话。

从密钥体系中导出、分发和协商密钥，支持 128 位和 256 位密钥加密。对于网络实体中的每一个密钥，用户设备负责存储相应的密钥，根密钥存储在 USIM 中。

（3）用户设备（UE）

a. 通过使用防篡改的安全硬件组件，实现对用户凭据的安全存储和安全处理。

b. 通过使用临时或隐藏的用户标识符（5G-GUTI 和 SUPI）获取用户隐私。支持零计划（Null-scheme）方案，在归属网络未提供公钥时使用，该归属网络控制用户隐私及密钥的提供和更新。

实现：如果由归属运营商提供，USIM 将存储用于隐藏 SUPI 的归属网络公钥。

（4）5G 基站（gNB）

a. 通过证书授权设置和配置，属于可选项。

b. 密钥管理，可选用基于 5G PKI 的架构。

c. 密钥的安全环境，UP 和 CP 数据存储及处理。

认证和密钥导出可以由网络发起，因为操作方决定什么时间存在活动的 NAS 连接。

3.1 核心框架

5G 的安全实现基于分层的密钥派生、分发和管理框架之上。密钥存储在很多网络实体之中。长期密钥 K 由 UDM 层的 ARPF 负责存储，USIM 保留该对称密钥在用户那里的副本。其他的所有密钥，都是从该密钥派生而来的。

3.2 认证和归属控制

3GPP 建立了 EAP-AKA 和 5G AKA 的认证方法，并要求 5G UE 和 5GC 必须支持这两种认证方法。这些安全模式用于相互身份验证和后续服务安全性保证。5G UE 在其注册请求中需要使用安全的 5G-GUTI 或 SUCI，并从中选择一种认证方法来启动认证过程。当使用 EAP-AKA 时，UE 作为对等体，而 5GC SEAF 和 AUSF 分别作为传递服务器和后端认证服务器。5G AKA 则是通过向归属网络提供 UE 从访客网络成功认证的证明，来增强 EPS AKA 的安全性。

增加的归属控制（Home Control）被认为能够有效防止某些类型的欺骗。拟定的 5G 框架中支持实施这样的过程，但它们被认为超出了标准规范的范围：归属网络采取什么样的方式进行认证确认（或不进行认证确认）取决于运营商的策略，而不是标准化的过程。针对其他的安全实现，也有很多功能超出了协议规范的范围，可能会导致不安全的边缘情况发生。

3.3 安全上下文

5G 安全规范为不同的场景定义了许多安全上下文，包括单个 5G 服务网络、跨多个服务网络、5G 和 EPS 网络之间。当 UE 向两个服务网络注册时，这两个网络必须独立地维护和使用其自身的安全上下文。当 UE 注册到同一个公共陆地移动网（Public Land Mobile Network）中的两个服务网络时（3GPP 和非 3GPP），UE 会与这些网络建立两个独立的 NAS 平面连接，但会使用由一组密钥和安全算法组成的公共 NAS 安全上下文。

3.4 状态转换和网络切换

此外，还定义了在状态转换和网络切换的过程中，维持或忽略安全上下文的实现方式。规范中提出，如何配置切换过程中的安全性，取决于运营商的策略。这一部分实际上要在运营商的安全需求中体现，因此在切换期间的安全性是一个可选项，没有通过标准来强制执行，这可能导致许多运营商实施不安全的切换过程。

3.5 非接入层

在公共 NAS 安全上下文中，具有其中每个 NAS 连接的参数，支持对两个活动 NAS 连接的加密分离和重放保护。NAS 使用 128 位加密算法来保证完整性和机密性。但是需要注意的是，这里也支持零加密和零完整性保护。如果 UE 不存在 NAS 安全上下文，那么初始的 NAS 消息将会以明文发送，其中包含用户标识符（例如 SUCI 或 GUTI）和 UE 安全特性等内容。

3.6 无线资源控制

RRC 的完整性和机密性保护由 UE 和 nGB 之间的分组数据汇聚协议（Packet Data Convergence Protocol，PDCP）层提供，并且 PDCP 下面的层不会受到完整性保护。当完整性保护启用时，除非所选的完整性保护算法是 NIA0（零完整性保护），否则应该同时启用重放保护。RRC 完整性检查会同时在 ME 和 gNB 中执行。如果在完整性保护启动后，发现有消息没有通过完整性检查，那么相关消息会被丢弃。

3.7 用户层

在 PDU 会话建立过程中，SMF 应为 gNB 的协议数据单元（PDU）会话提供用户面（UP）安全策略。如果没有为数据无线承载（DRB）激活用户面完整性保护，那么 gNB 和 UE 就不会为 DRB 实现完整性保护。如果没有为 DRB 激活用户面加密，那么 gNB 和 UE 就不会加密 DRB 业务的流量。本地 SMF 能够覆盖从归属 SMF 接收的用户面安全策略中的机密性选项。

3.8 用户 ID 隐私保护

SUCI 是 5G 永久用户标识 SUPI 的隐藏版本，从而防止暴露 SUPI。SUCI 使用运营商的公钥，由 SUPI 生成。零保护方案适用于三种情况：未认证的紧急会话、归属网络进行了相应配置、尚未提供运营商公钥。

5G 规范还定义了临时标识符 5G-GUTI，从而尽最大程度防止 SUPI 或 SUCI 的泄露。5G-GUTI 将由 UE 触发重新分配，而重分配的时间间隔是在具体实现中确定的。

本篇文章先介绍到这里，下篇文章我们将讲述 5G 的安全挑战和潜在漏洞以及 LTE 协议漏洞利用对 5G 的影响。