王華華，黃俊霖，何 沛，吳妙靈，張杰棠

(重慶郵電大學 通信與信息工程學院，重慶 400065)

0 引 言

第四代移動通信技術以其較高帶寬、較低時延的優(yōu)勢占領著世界市場，但其技術規(guī)范中存在固有缺陷，導致目前LTE網(wǎng)絡仍然存在一些安全隱患和漏洞。不法分子利用這些漏洞給用戶造成了巨大的損失，僅2016年3月，360手機衛(wèi)士共攔截各類“偽基站”短信1.1億條，平均每天攔截“偽基站”短信354.8萬條[1]?？紤]到移動網(wǎng)絡的安全性，3GPP在制定5G標準時對相關漏洞流程進行了改進更新，但由于5G初期的非獨立組網(wǎng)架構存在LTE的部分結構[2]，且未來5G仍可能存在LTE遺留的安全問題[3]，所以對通信網(wǎng)絡安全問題的研究意義深遠。

移動通信網(wǎng)絡安全的研究一直是熱點問題[4-5]，拒絕服務(Denial of service,DoS)攻擊在安全漏洞中屬于常見的一類攻擊[6-8]，它通常使終端、接入網(wǎng)或網(wǎng)絡無法獲取或提供正常服務。在文獻[9]中提到一種網(wǎng)絡尋呼終端的DoS攻擊，通過使用偽基站不斷給終端發(fā)送國際移動用戶標識(International Mobile Subscriber Identity,IMSI)進行尋呼使其循環(huán)進行detach與attach過程，導致終端無法進行正常通信，但該攻擊需已知目標終端的IMSI。文獻[10]介紹了一種針對終端的DoS攻擊，通過向其偽基站范圍內(nèi)的LTE用戶發(fā)送錯誤的跟蹤區(qū)域更新(Tracking Area Update,TAU)拒絕消息，使目標終端強制降級為2G或3G網(wǎng)絡，但該攻擊會觸發(fā)會T3440計時器，導致用戶10 s就能恢復到正常網(wǎng)絡，不能對目標終端造成持久性攻擊。在文獻[11]中攻擊者偽裝成目標終端給核心網(wǎng)發(fā)送多條相同的附著請求，使核心網(wǎng)測序列號大于終端的序列號導致終端鑒權失敗，但該攻擊會觸發(fā)T3420計時器，使得用戶僅在15 s后便重新進行鑒權。

本文利用提出了非接入層(Non-access layer,NAS)中兩種危害程度更高的DoS攻擊模型。對鑒權拒絕DoS攻擊而言，通過搭建LTE中間人系統(tǒng)，偽造鑒權拒絕消息發(fā)送給目標終端，使終端強制降級至2G網(wǎng)絡并且至少30 min后才會恢復至LTE網(wǎng)絡。對網(wǎng)絡洪泛DoS攻擊來說，通過身份請求消息獲取大量不同終端的合法IMSI，并在短時間內(nèi)向網(wǎng)絡發(fā)起多條不同IMSI的附著請求，導致核心網(wǎng)側進程的CPU使用率由30%提升至80%，歸屬用戶服務器(Home Subscriber Server,HSS)實體超負荷運行，其他用戶難以接入到該網(wǎng)絡，造成目標網(wǎng)絡的小范圍通信癱瘓。這兩種非接入層DoS攻擊模型對用戶和網(wǎng)絡均造成了一定程度的危害，且由于5G初期采用非獨立組網(wǎng)架構，這類攻擊仍然會在5G中存在。

1 背景知識

1.1 LTE系統(tǒng)架構

LTE系統(tǒng)架構如圖1所示。UE是由移動設備(Mobile Equipment,ME)和全球用戶身份模塊(Universal Subscriber Identity Module,USIM)組成的移動終端設備。ME存儲國際移動設備標識(International Mobile Equipment Identity,IMEI)，該信息唯一地標識設備身份。USIM是運營商提供的用戶識別模塊，該模塊包含加密密鑰、算法和IMSI。

圖1 LTE系統(tǒng)架構

演進的通用移動通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)陸地無線接入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,E-UTRAN)中包括許多通過X2接口連接的基站(evolved NodeB,eNodeB)，用來負責空中接口相關的所有功能。作為連接LTE核心網(wǎng)和用戶設備的中間結構，E-UTRAN通過S1接口與LTE核心網(wǎng)連接，通過Uu接口與用戶設備相連。

分組核心網(wǎng)(Evolved Packet Core,EPC)管理、處理LTE流程和業(yè)務。移動性管理實體(Mobility Management Entity,MME)是EPC中的一個關鍵控制平面實體,主要負責會話管理、移動性管理、鑒權認證、附著與去附著等功能。HSS是EPC中用來存儲用戶信息的數(shù)據(jù)庫,例如國際移動用戶標識、漫游限制等。當UE從一個基站移動到另一個基站時，服務網(wǎng)關(Serving Gateway,SGW)可以作為本地錨定點，并協(xié)助完成基站的重排序功能。PGW主要職責是將UE連接到網(wǎng)絡，為UE分配網(wǎng)絡地址，進行上、下行鏈路計費等。

1.2 NAS層信令交互

終端若想接入網(wǎng)絡進行通信服務，需先在網(wǎng)絡中進行注冊。在注冊過程中，終端先進行RRC連接，然后進行NAS信令交互，其交互流程如圖2所示。

圖2 NAS信令基本過程

終端先向MME發(fā)送包含用戶永久身份標識的Attach Request，MME接收到此消息后會向HSS發(fā)送鑒權信息請求(Authentication Information Request,AIR)來獲取UE的認證信息，包括UE的IMSI，MCC、MNC等。當接收到AIR時，HSS驗證UE然后計算鑒權向量并將其包含在鑒權信息響應(Authentication Information Answer,AIA)中發(fā)送給MME。收到AIA后，LTE網(wǎng)絡便開啟鑒權過程，此過程采用了相互認證機制。MME先向UE發(fā)送鑒權請求消息，該消息中攜帶從HSS獲取的認證參數(shù)RAND和AUTN。然后，UE通過驗證AUTN來驗證網(wǎng)絡的有效性，并計算出RES(用戶響應)。MME將收到的RES與XRES(預期的用戶響應)進行比較以驗證UE，如果RES與XRES不相等，網(wǎng)絡將向UE發(fā)送Authentication Reject信令；如果RES等于XRES，表明UE和網(wǎng)絡相互鑒權成功，之后MME和UE通過選擇的加密和完整性算法完成NAS安全模式過程[11]。在安全模式控制完成之前NAS層的信令以明文傳輸，過程完成后LTE網(wǎng)絡將建立NAS保護。

2 攻擊模型

2.1 針對終端的DoS攻擊模型

LTE注冊過程中，鑒權過程是以明文在空口中進行傳輸?shù)?，攻擊者通過在真實終端和網(wǎng)絡之間搭建一套中間人偽系統(tǒng)對目標終端和網(wǎng)絡端的注冊流程進行中繼，并在收到鑒權響應后偽造鑒權拒絕消息發(fā)送給目標終端，從而使目標終端強制降級至2G甚至脫離網(wǎng)絡。攻擊模型框圖如圖3所示。

圖3 針對終端DoS攻擊的模型框圖

目標終端初始駐留在現(xiàn)網(wǎng)的小區(qū)中，并在空閑狀態(tài)下周期性測量周邊小區(qū)的信號質(zhì)量。偽基站利用系統(tǒng)消息廣播自身的信號質(zhì)量與小區(qū)信息，目標終端在廣播消息中得到相鄰小區(qū)信息并按一定時間間隔對鄰小區(qū)功率進行測量取值，同時計算這些值的平均值以判斷它們是否滿足S準則。偽基站中的參數(shù)都是可以人為調(diào)節(jié)且可利用硬件設施去放大發(fā)射增益，因此偽基站滿足S準則，目標終端成功小區(qū)重選至中間人攻擊系統(tǒng)中。此后目標終端、中間人攻擊系統(tǒng)和現(xiàn)網(wǎng)，三者進行如圖4所示的NAS層的信令交互。

圖4 針對終端DoS攻擊的信令交互

在接入進中間人攻擊系統(tǒng)后，目標終端發(fā)送Attach Request信令給偽核心網(wǎng)，由于此信令是以臨時移動用戶識別碼(Temporary Mobile Subscriber Identity,TMSI)進行附著的消息，偽核心網(wǎng)偽造一條身份請求信令經(jīng)由偽基站發(fā)送給目標終端，終端接收后以攜帶IMSI的Identity Response進行回復，從而獲取其IMSI。接著，攻擊者通過中間人系統(tǒng)將獲取到的IMSI傳遞給偽終端，使偽終端代替目標終端向真實網(wǎng)絡發(fā)起附著過程。由于該附著請求消息中包含目標終端的IMSI，因此網(wǎng)絡將向偽終端發(fā)起身份認證過程，偽終端收到后通過中間人系統(tǒng)轉發(fā)至目標終端，驗證該信令后，目標終端向偽網(wǎng)絡發(fā)送鑒權響應。攻擊者收到鑒權響應后，選擇不處理該消息并偽造鑒權拒絕，使目標終端脫離任何LTE網(wǎng)絡。根據(jù)文獻[12-13]所述，終端在收到鑒權拒絕消息后將開啟T3247定時器，同時將NAS層狀態(tài)轉換至EMM-DEREGISTEDRED。由于T3247定時器的周期長達30～60 min，因此在此期間目標終端將會無法接受來自LTE網(wǎng)絡的通信服務。

2.2 針對網(wǎng)絡端的DoS攻擊模型

攻擊者先利用識別響應獲取不同終端的IMSI,然后發(fā)送大量包含不同IMSI的附著請求，使網(wǎng)絡中的實體MME和HSS重復發(fā)送多條的AIA和AIR，核心網(wǎng)對每條AIR消息都會生成相應的鑒權向量用于后續(xù)的鑒權過程。短時間太多的AIA和AIR消息以及鑒權向量的生成都需要消耗大量硬件資源，這樣的結果就會導致網(wǎng)絡信令造成擁塞以及小區(qū)內(nèi)的其他合法終端很難注冊到網(wǎng)絡中，更有可能造成核心網(wǎng)崩潰。攻擊者執(zhí)行如圖5所示的主動攻擊過程。

圖5 針對網(wǎng)絡端DoS攻擊的信令交互

3 實驗結果

實驗利用裝有Ubuntu16.04系統(tǒng)的兩臺計算機、軟件開源的無線電工具srsLTE[14]和商用硬件設備USRP B210[15]來完成針對上述DoS攻擊的測試。利用openGPS軟件查看真實LTE基站距離目標終端306 m，偽基站距離目標終端50 m內(nèi)。表1列出了整個實驗中涉及的關鍵數(shù)據(jù)。

表1 實驗中涉及的關鍵數(shù)據(jù)

3.1 鑒權拒絕DoS攻擊

整個實驗攻擊場景如圖6所示，左下角是一臺小米MIX 2S手機，作為目標終端；第一臺計算機在Ubuntu 16.04環(huán)境下執(zhí)行修改的srsenb程序，并通過一臺USRP B210充當偽基站外接設備用來進行信號的收發(fā)；右邊計算機中運行修改后的srsepc和srsue程序。因為后續(xù)偽核心網(wǎng)和偽終端需要分別傳遞來自目標終端和來自現(xiàn)網(wǎng)的信令，因此利用Linux進程間通信的共享內(nèi)存方式(采用此方式時延能達到最低)去完成srsepc和srsue的信令交互，同時外接一臺USRP B210充當偽終端的信號收發(fā)設備。

圖6 鑒權拒絕DoS攻擊場景照片

該攻擊對連入中間人系統(tǒng)的目標終端小米MIX 2S執(zhí)行鑒權拒絕DoS攻擊，通過Cellular-Pro軟件查看信令交互。從圖7的信令流程可知，目標終端連入到偽網(wǎng)絡并向偽網(wǎng)絡發(fā)送了鑒權響應，在發(fā)送鑒權響應過后偽網(wǎng)絡偽造Authentication Reject信令并成功將該信令發(fā)送至終端。

圖7 遭受鑒權拒絕DoS攻擊后的信令交互

目標終端收到鑒權拒絕后，強制降級為2G網(wǎng)絡并長時間保持這種狀態(tài)。圖8是小米MIX 2S遭受鑒權拒絕DoS攻擊的前后對比。正常情況下，終端在LTE網(wǎng)絡下進行通信和數(shù)據(jù)業(yè)務，遭受攻擊后目標終端靜默降級至2G，直到重新啟動或者重新插拔SIM卡才可恢復。

圖8 遭受攻擊后小米MIX 2S的網(wǎng)絡前后對比

為了驗證此DoS攻擊的普遍性，對四種不同基帶芯片的手機iPhone X、iPhone 11、華為榮耀20和小米10進行多次測試，測試結果如表2所示。使用不同基帶芯片的終端在遭受鑒權拒絕DoS攻擊后都會被強制降級至2G網(wǎng)絡，但是對終端進行飛行模式后接入網(wǎng)絡后的情況有所相同。其中，使用高通驍龍X20基帶芯片的小米MIX 2S、使用Intel XMM7660基帶芯片的iPhone 11以及使用高通驍龍X55基帶芯片的小米10在通過飛行模式后，會重新接入到LTE網(wǎng)絡；而使用高通MDM9655基帶芯片的iPhone X和使用麒麟980基帶芯片的華為榮耀20在飛行模式后仍只能接入到2G網(wǎng)絡，直到終端重新開機或者插拔USIM卡才能連接到LTE網(wǎng)絡。

表2 不同手機遭到鑒權拒絕DoS攻擊后的情況

基帶芯片的作用是對基帶信號進行編解碼，完成通信終端的信息處理功能?；鶐酒圃焐潭际歉鶕?jù)協(xié)議的要求去制作芯片，但是協(xié)議在某些細節(jié)處沒有描述，因此制造商根據(jù)理解制造，也就造成了表2差異化的結果。如iPhone11在經(jīng)過降級、飛行模式后的會重新接入到LTE網(wǎng)絡中，而華為榮耀20卻仍為2G網(wǎng)絡。

鑒權拒絕DoS攻擊利用中間人系統(tǒng)對終端發(fā)起拒絕服務，網(wǎng)絡幾乎無法檢測到它，因此它并不會對網(wǎng)絡端造成損害。雖然在攻擊系統(tǒng)關閉后，設備可以通過重新啟動或重新插入USIM卡來重新獲得移動服務，但是當攻擊者保持系統(tǒng)長期啟動并在T3247定時器到期后持續(xù)向目標終端發(fā)動此攻擊，目標終端將長時間處于無法服務的狀態(tài)，對目標終端造成了極大的安全隱患。

3.2 網(wǎng)絡洪泛DoS攻擊

網(wǎng)絡洪泛DoS攻擊利用偽基站向目標小區(qū)循環(huán)發(fā)送Identity Request消息，獲取大量不同終端的合法IMSI。圖9為獲取到的其中一臺終端的IMSI結果截屏。

圖9 獲得的IMSI結果

隨后將獲得的多個IMSI值包含在多條附著請求消息中，并在短時間內(nèi)同時發(fā)送給運行網(wǎng)絡端的srsepc。了解到Linux中可使用top命令對計算機中運行的進程進行性能分析，并能實時顯示每個進程中資源使用情況，其中CPU的使用率和進程使用的物理內(nèi)存和總內(nèi)存的百分比(MEM)是展示當前進程占用資源的重要參數(shù)。運行狀態(tài)下的srsepc也是屬于計算機的進程，因此本文使用top命令對核心網(wǎng)側的進程占用CPU的使用率和MEM進行了實時監(jiān)測。在測試過程中，每隔1 s對核心網(wǎng)進程占用的CPU使用率和MEM進行實時記錄，繪制出了CPU、MEM隨時間變化的折線，如圖10所示。

圖10 核心網(wǎng)進程的CPU占有率及MEM變化關系

從測試結果可以看出，前10 s核心網(wǎng)進程的CPU占用率維持在30%左右，處于正常運行狀態(tài)；在11 s后系統(tǒng)遭受網(wǎng)絡洪泛DoS攻擊，大量以合法IMSI附著的UE涌入到核心網(wǎng)側，HSS在短時間內(nèi)收到大量來自MME發(fā)送過來的信令消息，導致核心網(wǎng)消耗大量資源，使得其進程的CPU占用率達到80%；在35 s時，實驗關閉了充當攻擊者的srsue程序，隨后核心網(wǎng)進程的CPU使用率和MEM恢復到正常水平。

由于此攻擊消耗了核心網(wǎng)側的大量資源，合法用戶很難去連接到網(wǎng)絡。同時，在短時間內(nèi)大量的用戶注入同一網(wǎng)絡，造成HSS在生成身份驗證信息過程中產(chǎn)生沉重的計算負荷，核心網(wǎng)隨時可能會崩潰。由此可見，與只影響用戶終端的鑒權拒絕DoS攻擊不同，網(wǎng)絡洪泛DoS攻擊不僅會影響終端，而且會損壞網(wǎng)絡端。

4 結 論

本文分析了非接入層相關信令的漏洞，提出了針對終端和網(wǎng)絡的DoS攻擊模型。在針對終端的鑒權拒絕DoS攻擊中，攻擊者可以輕松地不間斷實施此類攻擊，很長時間內(nèi)拒絕給用戶提供LTE通信服務。預防此類DoS攻擊的一種方法是在終端側建立一個基站白名單，只有當基站通過加密和完整性算法后終端才將其加入到白名單中，否則終端不接受和處理除名單外的基站消息。另一種減少此DoS攻擊帶來的損失就是減少定時器的時間，因為當前協(xié)議規(guī)定值對于用戶來說太長，因此設置合理的定時器時間也是有效方法。

在針對網(wǎng)絡端的DoS攻擊中，利用大量獲得的IMSI注冊同一網(wǎng)絡造成核心網(wǎng)嚴重負載，這種攻擊不僅會使終端難以接入網(wǎng)絡，網(wǎng)絡端也瀕臨崩潰。同時，5G網(wǎng)絡初期采用非獨立組網(wǎng)架構，攻擊者仍可以利用非接入層的漏洞去發(fā)起DoS攻擊，所以該攻擊在5G系統(tǒng)下可能依舊存在。由于上述攻擊具有普遍適用性，此研究可為通信網(wǎng)絡改進提供相關基礎。