• 移动通信空口协议不可能全部实施信道加密,公开信息泄露不可避免;多个代际移动通信空中接口技术体制并存,无线空口安全问题异常复杂。

  • 移动通信接入网存在明显的安全脆弱性:用户终端鉴权前的数据通信不加密;移动终端与核心网之间的双向鉴权实际上不存在;无线空口信道加密算法强度不够。

  • 移动通信接入网络存在各种疏漏或渗透可能性,需要信息安全人员研究形成可能防御机制与预置措施。

目前移动通信网络处于多类通信技术体制并存、多种无线接入网络并立的持续演进状态。

接入网络侧的加密鉴权、完整性保护措施、密钥分配等安全机制已经相对完善,但用户终端鉴权前不加密,以及无线信号测量与网络通信能力协商等公开信息渠道的存在,使得具备无线被动监测与主动侵扰能力的攻击者依然得以渗透利用、并发起无线接入网络攻击,实现部分机密性信息有效获取和拒绝服务效果。

针对移动通信接入网络面临的安全风险,笔者特别就移动通信接入网络空中接口协议脆弱性与攻击机理进行了深度分析。

一、移动通信网络整体视图

首先,笔者给出移动通信网络的整体视图,并就其中的关键要素进行解释,为后续阐述提供基本概念,以形成对移动通信网络整体视角上的认知同步。

图1移动通信网络整体视图

用户终端(User Equipment,UE),是用于与移动通信网进行通信并使用其移动业务的终端设备,其基带处理器用于承载多个代际的移动通信技术协议栈,其用户身份识别模块SIM(第2代移动通信技术使用)/通用身份识别模块USIM(第3、4代移动通信技术使用)用于标识移动用户身份并存储认证信息,其中包括用户永久身份识别码IMSI(国际移动用户识别码)、对称加密密钥等。除UE永久身份信息之外,出于用户敏感信息保护等因素考虑,接入移动通信网络的用户终端UE还会分配临时身份TMSI(临时移动用户标识符),用于基站寻呼和核心网通信。

无线接入网络(Radio Access Network,RAN),用于连接用户终端UE和移动通信核心网络、提供数据通路和服务通道,主要由各类基站设施组成。其中:第2代移动通信网使用BTS、第3代移动通信网使用nodeB、第4代移动通信网使用eNodeB作为用户终端的入网访问点。为便于移动性管理,移动核心网对多个基站设施使用小区制进行通信组织,其中:使用电路交换技术的第2代、第3代移动通信网使用位置区LA;使用分组交换技术的第4代移动通信网使用跟踪区TA,第2代、第3代移动通信网使用路由区LA。

核心网络(Core Network,CN),主要提供用户终端移动性管理、语音呼叫、互联网连接与数据服务等功能,由负责移动性管理、通信连接和安全防护的核心网元组成,其中归属位置寄存器HLR(第2代移动通信网使用)或归属位置服务器HSS(第3代、第4代移动通信网使用)是用来存储用户终端位置信息、认证数据和归属映射关系的集中式数据库,其安全控制功能主要由认证中心AuC承接;GSM(第2代移动通信网典型代表)和UMTS(第3代移动通信网典型代表)使用7号信令系统完成包括呼叫构建、用户漫游、移动性管理等移动通信业务流程。7号信令系统安全机制设计非常不充分,当前7号信令系统已经实现IP承载;LTE(第4代移动通信网典型代表)开始全面使用IP技术改造核心网络基础设施,比如由基于SIP协议的IP多媒体系统IMS承接语音、视频、文字消息等移动数据业务等。

无线信道(Radio Channel)GSM、UMTS和LTE等移动通信网络在无线频段、调制方式、无线空口接入方式上有显著差异,但是在无线信道设计上都使用3类逻辑信道:①广播控制信道,用于向用户终端发布基站位置、当前小区和邻近小区信息以及网络配置信息;②寻呼信道,用于寻找发现语音呼叫、移动数据传输的标的用户终端;③专用信道,用于单个用户终端与通信网络进行专项数据交换,如果数据交换由移动通信网发起,专用信道是唯一进行进行数据加密和完整性保护的信道。

认证前数据传输和安全措施(Pre Authentication Traffic and Security Establishment)。除非由移动通信网络发起的无线连接,移动数据通信都不加密,也没有完整性保护措施,更没有认证,只有用于特定移动终端的专用信道才是加密的,而包括广播信道、寻呼信道、无线通信资源分配和底层信令的其他传输都没有加密和完整性措施保护,这里将认证会话构建之前所有无线数据传输定义为“认证前数据传输”。UMTS移动通信网络使用认证与密钥交换协议AKA建立认证会话,该协议是典型的“挑战-应答”安全协议,用于认证参与通信过程的双方并生成用于数据通信的会话密钥,该会话密钥由存储在用户身份模块SIM中的对称加密密钥生成,具体AKA协议取决于SIM使用的密钥算法、移动网络运营商的AuC和无线接入技术体制。

GSM移动通信网络只构建用户终端认证,不进行网络认证;UMTS和LTE移动通信网络都构建双向认证。GSM移动通信网络中COMP128算法是事实加密标准,UMTS和LTE移动通信网络的会话密钥生成需要用户终端UE和通用用户身份模块USIM共同配合完成,并使用更加先进的TUAK生成算法。

移动性管理和寻呼(Mobility Management and Paging)。如果移动终端没有主动数据传输或语音呼叫,终端将自动进入待机状态,此时移动通信网络只能掌握移动终端大致位置(处于哪个位置区LA中);移动终端需要时刻监听无线寻呼信道,做好接入语音呼叫、接收短消息、收取基站发送的寻呼消息的准备;如果接到寻呼消息,移动终端就会主动请求建立专用信道,为即将到来的无线数据传输作准备。此时,如果终端漫游到其他位置区(电路交换网络),终端需要向通信网络发起位置区更新业务流程,通知通信网络其物理位置的变化情况;此外,移动终端正常情况下每24小时要主动向通信网络发起位置区更新业务流程,以确保通信网络知晓其位置变化。对于分组交换网络的路由区RA或追踪区TA,其移动性管理过程大体相同;而基站广播信道中也会定期更新邻近小区列表和中心频率情况,便于各个移动终端更快地发现邻近小区。

二、移动通信接入网络存在三大安全风险

移动终端与基站子系统、核心网络移动性管理实体之间,在鉴权流程之前数据传输不加密,是各个代际移动通信技术体制均存在的安全暴露面,而且是无法封堵或调整的系统脆弱性,因为加密与完整性保护措施实施前,无线空口通信需要事先协商好网络通信能力、终端自身状态、参考信号强度、物理移动位置、加密保护要求等基本通信参数,否则鉴权与密钥验证AKA流程就不具备实施的基础。

攻击者打穿无线空中接口很难,但是利用无线空口的公开信息展开终端位置信息推断、篡改网络能力参数迫使终端失能等渗透攻击活动,还是有可能实现的。

(一)用户终端鉴权前的数据通信不加密

自2G GSM网络开始就已经有用户终端UE接入核心网络前的鉴权流程AKA,3G UMTS网络和4G EPC网络都对鉴权流程进行持续完善,提高其加密与完整性保护措施强度,增加加密算法协商种类与密钥层次,区分细分信令数据与用户数据的保护强度。但是,用户终端UE与核心网络之间的上下行链路却是在鉴权流程完成后、双方就加密算法和密钥进行协商后才实现移动数据传输的加密与完整性保护。在此之间,UE与核心网之间的所有信令数据既不加密,也没有完整性保护,也没有鉴权认证。在这个阶段,用户终端UE对核心网络完全信任,对其信令数据的恶意利用就可以实施包括降级攻击、定位信息窃取攻击等攻击活动。

最典型的攻击案例就是伪基站,这不仅仅是2G GSM网络时代利用其单向认证缺陷进行攻击,而是在当前移动通信网络环境下利用鉴权流程发起前移动数据不加密的攻击窗口进行攻击。比如,在移动通信核心网络未对用户终端UE实施鉴权流程前,需要了解掌握UE的身份标识信息(比如IMSI);对于核心网络而言,可以使用“身份信息请求”等合法业务流程去获取,但攻击者则很难获得该权限,不过也可以通过“连接性攻击”,通过UE的临时身份标识TMSI来获取其永久身份标识IMSI,或者利用重复发起寻呼请求的方式来判定目标用户终端UE是否在信号邻近区域(这接近于定位攻击),再或者由于鉴权流程时基站使用广播信道和寻呼信道发出的数据都是未加密,攻击者可以通过互联网数据流量来多次发起“短呼叫”(Short Call),即发起呼叫请求在对方振铃前挂断,核心网就不断对目标UE进行寻呼请求,从而得到目标UE的临时身份标识TMSI。

(二)移动终端与核心网之间的双向鉴权实际上不存在

GSM移动通信网络只进行单向认证,移动终端UE很容易被虚假网络(比如伪基站)欺骗;UMTS移动通信网的鉴权与密钥协商AKA流程进行了双向认证,有效阻断了原本在2G移动网络中普通存在的中间人攻击MITM活动。但是,利用鉴权流程前无线数据通信不加密的脆弱性,攻击者能够发起降级攻击(Downgrade Attack),迫使UMTS或LTE核心网络调低安全等级或使用非加密算法(EEA0/EIA0),实际使用GSM网络提供移动数据服务。

移动通信网是网络中心架构,绝大多数通信业务决策流程由核心网发起并实施。如果移动终端UE无从验证接入网络的真实性,终端UE对核心网络的绝对信任使得虚假网络欺骗的技术难度迅速降低,通过伪基站方式进行核心网络攻击渗透即使在当前移动通信网络中也同样有效。

伪基站通过禁绝小区广播信息、调高小区切换信号阈值等技巧,持续“吸附”移动终端UE始终停留在伪基站创建的虚假网络内,移动终端UE可能对此并无觉察,其所有的语音呼叫和短信消息都通过伪基站转接到外部真实移动通信网络。伪基站也可以通过恶意曲解终端UE信号测量报告等方法来降低无线通信效率,迫使终端UE使用非加密算法(EEA0/EIA0)进行移动数据保护,伪基站就能够进一步获取终端UE的加密密钥。如果伪基站具备7号信令协议栈攻击能力,甚至能够在移动数据流量中插入或删改通信数据。

(三)无线空口信道加密算法强度不够

密码系统的设计最起码应该遵循柯尔霍夫定律,即密码系统就算被所有人知道系统的运作步骤,仍然是安全的。或者说密码系统的对抗强度应该完全依赖于密钥的对抗强度,而不依赖于密码算法。

但是,GSM网络系统使用的所有鉴权加密算法,除A5/3、A5/4加密算法之外,都可以在数分钟之内使用通用计算平台破解。A5/1加密算法使用三个级联的线性反馈移位寄存器产生64位(Bit)长度的随机数,使用彩虹表可以实时破解;A5/2加密算法是将随机数长度缩短,其加密速度并未提升且加密强度依然很差,使用唯密文攻击可以实时破解。A5/3加密算法使用KASUMI密钥流生成器,当前不可破解是因为其破解需要获取226规模的数据。GSM网络使用的GEAx系列加密算法的加密强度和破解难度,与A5系列相应的加密算法相同。此外,GSM网络中加密能力和用户终端都未进行完整性保护,攻击者完全可能篡改加密算法(比如A5/3加密算法)协商的握手过程,阻止其协商成功,强制其降级使用A5/1加密算法。

UMTS和LTE网络在加密算法强度上进行了重大改进,完全遵循柯尔霍夫定律。截至目前,只有基于KASUMI密钥流生成器的UEA1算法被证实可破解,其他加密算法破解所需的数据规模都远远超出当前计算能力。

最后,几乎所有代际的移动通信网络系统都保留有不加密的加密算法,比如UMTS网络的UEA0算法、LTE网络的EEA0算法,用于在无线信道质量极差情况下移除加密措施,或是紧急通信场景;由于最终是核心网元负责选择加密算法,用户终端实际上并不觉察是否使用加密措施,所以各类移动通信网络标准都规定用户终端UE应该有加密提示。如果不使用加密措施应该有告警,但实际上所有移动运营商和终端设备生产商都没有落地执行此标准要求。

三、移动通信接入网络的渗透途径

移动通信接入网络,空中接口协议是各个移动运营商严防死守的重点阵地,综合过往经验和攻防实践观察,真实成功的攻击案例特别稀少。但是,终端鉴权前无线信道不加密,实际上为攻击者提供了相当便捷、相当从容的攻击机会。

下面是两种相对简单的可能渗透途径:

(一)未进行加密保护的基站寻呼信道

在LTE移动通信网络中,用户移动终端UE在待机状态时,能够接收到基站eNodeB广播的跟踪区编码TAC和服务区编码CID(核心网使用),从而确定自己所在位置;UE会主动向核心网汇报自身所在的跟踪区TA(在LTE网络中由多个相邻服务区组合形成),核心网会下发UE所在位置的TA列表,此外还会下发SAE移动用户临时标识S-TMSI,作为终端的标识用于寻呼流程。

寻呼机制是移动通信网络历史最悠久的支撑技术,用于核心网呼叫移动终端,从而实现被叫;还可以用来通知移动终端核心网络系统信息发生变化,触发移动终端重新接收系统信息。当核心网元MME需要定位某台移动终端UE并发起某种移动通信业务(比如语音呼叫),MME并不清楚UE是与哪个eNodeB基站建立的无线连接,MME就使用S-TMSI(属于终端全球唯一身份标识GUTI的一部分)作为移动终端UE的身份标识来寻呼终端,并把寻呼消息在某个跟踪区TA中的所有eNodeB基站上广播,同时启动定时器T3413,希望移动终端UE在定时器超时之前有回应。而后所有eNodeB基站在寻呼信道PDSCH中发出寻呼帧,在业务流程上体现为RRC寻呼消息,消息体内包含有用来标识UE身份的S-TMSI或IMSI,如果之前终端UE有分配S-TMSI就使用S-TMSI,如果没有分配过就只能使用IMSI,这实际上是有风险的。

图2用户终端寻呼信令流程

移动终端UE只有处于待机状态,才需要接收解码来自MME的RRC寻呼消息(处于连接状态的UE不需要寻呼,MME直接推送网络服务就好)。如果UE检测到消息体内使用的身份标识是IMSI,UE就发起新的终端附着流程来获取GUTI(其中包含有S-TMSI);如果UE检测到GUTI,就发起“随机接入”(Random Access)流程、向基站eNodeB来申请建立新的无线信道,基站eNodeB会返回“RRC连接构建”消息来配置无线信道资源,便于后续的信令数据交换;移动终端UE收到“RRC连接构建”后,移动终端UE完成RRC三次握手操作并发送“RRC连接构建完成”(带有“服务请求”消息)消息给基站eNodeB。此时移动终端UE从待机状态切换到连接状态,基站eNodeB把“服务请求”消息推送到MME,MME中止定时器T3413,寻呼过程完成。之后,基站eNodeB就发起“安全连接构建”业务流程建立起安全上下文,并推送相应的网络服务到终端UE上。

(二)长期被攻防双方忽略的终端信号测量报告

移动通信网络中终端是否进行切换,是由基站根据移动设备的测量报告来决定。终端有多种测量项目(RSRP/RSRQ/SINR)和多种方法(周期性/事件)来测量服务小区和邻近小区信号质量。在联机状态,终端信号测量事件受到基站的控制,测量什么、怎么测量、测量结果如何处理,都由基站来决定;在待机状态,信号测量只是终端唤醒时刻进行,在进行小区选择或小区重选时终端需要测量RSRP(小区参考信号的强度),在LTE网络的R9版本还需要测量RSRQ(小区参考信号的接收质量),测量范围可能涉及当前服务小区和周围邻区。

用户终端受基站请求进行网络信号测量,并使用RRC协议回送给基站,这些RRC协议流程并不受到加密和完整性措施保护,外部攻击者可以自由获取到这些信号测量报告。信号测量报告是LTE网络进行切换时的必要支撑;通常情况下,由基站eNodeB发出RRC消息约定用户终端UE进行何种信号属性的测量。此外,LTE网络内核心网元和基站设施进行切换,以及LTE网络与其他代际移动通信网进行异系统互操作时,有可能出现信号连接失效,此时用户终端侦测到此现象就会形成“无线链路失效”RLF报告,并将RLF报告推送到基站eNodeB。信号测量报告、RLF报告等都会最终推送到移动通信核心网络的运维管理系统中。虽然在LTE网络标准规范中要求,用于承接RLF报告推送的“终端信息响应”流程都需要使用AS安全上下文,但实际上几乎所有移动通信运营商都没有落实此安全措施要求。

事实上,无论是信号测量报告还是无线链路失效报告,其中都包括LTE网络服务小区和邻近小区的标识码CGI,甚至包括移动终端UE的定位信息等。攻击者使用这些信息,比如其中的无线信号强度指标RSSI可以绘制形成服务小区的大体地理范围,进而将用户终端UE所在的跟踪区TA识别出来。

四、移动通信接入网渗透攻击机理

(一)运用基于优先级的小区重选机制构建可用的伪基站

移动终端UE进行小区重选的原因,通常情况下是因为无线网络的覆盖范围有限,比如当前LTE网络虽然部署速度很快,但是其4G信号的覆盖范围远远落后于GSM或UMTS网络的覆盖范围,当处于待机状态的多模终端移动出eNodeB基站覆盖范围后,就需要重选小区,驻留到UMTS或GSM网络中,继续得到移动通信网络的服务;而多模终端回到eNodeB基站覆盖范围后,还需要通过重选小区重新驻留到LTE网络中。

这里我们希望研制能够强制“吸附”用户终端UE的伪基站,在LTE网络环境下遇到新的技术难题,主要是源自于LTE空中接口标准方面的改进,为了减少用户终端UE搜寻eNodeB基站的能量消耗,如果UE邻近有eNodeB基站,就不进行基站搜寻,直接使用物理位置邻近的基站即可。这个改进机制使得伪基站即使调高信号强度,也难以强制用户终端UE重新搜寻基站。

对于此问题,可能解决方法是,利用LTE release 8版本规范中的绝对优先级重选机制。其技术要求是处于待机状态的用户终端UE需要周期性地搜寻具有最高优先级频率的基站并连接使用,即使是UE距离某个真实eNodeB基站更加接近,伪基站只需要调高最高优先级频率,也能够强制UE使用伪基站。这些优先级频率定义在eNodeB基站广播信息SIB的第4、5、6、7类信息中,攻击者可以通过被动监测收取基站广播信息SIB,从中找到相应的优先级频率即可。

此外,伪基站还可以在广播信号中使用与UE正在使用eNodeB基站完全相同的移动国家码MCC和移动网络码MNC,让用户终端UE误以为是同样的移动运营商。通常情况下,当UE侦测到新的跟踪区TA时,会发起“跟踪区更新TAU请求”到eNodeB基站;伪基站为了在用户终端UE同样引发TAU请求,在广播信号中需要使用与现有基站不同的TA码。

(二)基于信号测量报告尝试获取终端位置信息

移动通信网络大规模建设及优化过程中,快速发现网络连续覆盖及深度覆盖能力不足,有效提升网络覆盖性能是网络建设需要面临的重要问题。信号测量报告原本用于无线网络性能分析,GSM/UMTS网络中测量报告对测量采样点的分布存在较大不确定性,对测量报告的使用多是停留在统计指标上(比如弱覆盖采样点的占比),并不能确定弱覆盖采样点的位置;LTE网络中信号测量报告对跟踪区TA、基站天线到达角AOA等测量项进行了细粒度规划,直接使用测量报告数据就能够进行较为精确的采样点定位,从而摆脱了GPS定位的限制。

信号测量报告是用户移动终端UE通过控制信道在业务信道上以一定时间间隔向基站周期上报所在小区的下行信号强度、信号质量等物理信息,基站将终端上报的下行物理信息和自身收集的上行物理信息上传给基站控制器,由其收集和统计。ITU 3GPP对信号测量报告的内容进行了详细定义,并且对设备的测量能力、测量项目和测量机制进行了严格规范,当前只涉及空中接口协议部分,只包括用户终端UE和基站两类设备。在LTE网络中,每个测量报告主要包括参考信号接收功率、参考信号接收质量、时间提前量、eNB接收干扰功率、eNB无线到达角、UE发射功率余量、上下行丢包率、上下行信噪比等内容。

对于测量报告中这些信号数据,攻击者无需突破所谓无线信道加密措施,这些信号数据是公开可自由获取的;基于这些信号数据,可以综合评估某个特定小区无线链路上行、下行的网络性能与无线环境,甚至可以通过测量信号强弱分布来绘制小区地理区划,如果将测量报告的事件型测量与周期性测量关联起来,能够进行移动性深度分析;如果将测量报告与S1接口的用户面数据关联起来,能够得到基于用户终端的测量报告,进而就能够展开用户终端的位置信息获取。

对于已经与某个合法eNodeB基站建立无线链接的用户终端UE而言,可以使用伪基站技术实施无线信道侵扰,强迫该用户终端重新发起附着流程,与伪基站eNodeB*建立无线连接。在此过程中,用户终端UE完成RRC连接构建过程后,开始发起与伪基站eNodeB*的“跟踪区位置更新”TAU流程,而后用户终端状态更新为“已经连接”CONNECTED。此时,攻击者通过构建“RRC连接重新配置”消息,消息体中带有周边多个不同(至少三个)的小区标识CGI和相应的无线承载、传输信道、物理信道等信号资源配置信息,通过伪基站eNodeB*发送给用户终端UE;用户终端UE收到RRC连接重配置消息后,开始测量计算周边多个小区的无线信号强度,形成信号测量报告并回送伪基站eNodeB*

根据信号测量报告中用户终端UE的无线信号强度,以及周边多个邻区的信号强度情况,可以通过三角定位方法(前提是至少掌握3个以上周边小区基站铁塔位置坐标)来推测用户终端UE的精确位置。此外,如果用户终端支持3GPP标准中的终端定位信息收集(locationInfo-r10)特性,信号测量报告中就自带终端的GPS信息,就无需再进行三角定位,直接得到用户终端UE的准确定位信息了。

(三)基于无线链路失效报告方式的渗透机理

无线链路失效对于移动通信网络空中接口而言是重大事故,通常都是无线信号覆盖在特殊地域出现盲区或者基站信号发射装置出现故障引发的。如果用户终端UE在信号测量过程中发现参考信号接收功率RSRP过低,或者由于信号强度过低已经无法接收物理下行链路控制信道PDCCH、物理下行链路共享信道PDSCH的无线数据,用户终端UE就研判应该是无线链路失效;对于基站eNodeB而言,如果来自用户终端UE的探测参考信号SRS强度低于基站最初配置,或者基站无法在PDSCH信道上收到UE的任何反馈,就研判无线链路失效。

要利用无线链路失效报告方式进行攻击渗透,攻击者需要具备无线信道主动侵扰能力。这里依然需要使用伪基站,而且至少需要两个以上的伪基站(分别是eNodeB-1、eNodeB-2),在用户终端UE同处于某个服务小区内,通过调高伪基站的发射功率或重新设置其优先级,强制用户终端UE与eNodeB-2分别建立起RRC无线连接。此时,攻击者将eNodeB-2关闭、eNodeB-1打开,制造出无线链路失效事故,用户终端UE也研判形成无线链路失效RLF事件。而后,用户终端UE发起对伪基站eNodeB-1的RRC连接构建过程并更新终端状态为“连接”CONNECTED,再发起与伪基站eNodeB-1的“跟踪区位置更新”TAU流程;伪基站eNodeB-1在收到TAU流程消息时,立即关闭eNodeB-1,同时打开eNodeB-2。此时,用户终端UE再次研判为无线链路失效RLF事件并启动RLF计时器(T310):

图3使用两个伪基站欺骗用户终端无线链路失效

用户终端UE在RLF定位时过期后,将生成RLF报告并更新为“待机”IDLE状态。在此情况下,用户终端UE将进行小区重选并重新附着在伪基站eNodeB-2,用户终端UE再次进入“连接”CONNECTED状态,并在之后发起的“跟踪区位置更新”TAU消息中标识RLF报告已经完成。攻击者收到TAU消息后,即刻发出“终端信息请求”(UE Information Request)消息,要求用户终端UE提交RLF报告;用户终端UE收到后返回“终端信息响应”(UE Information Response)消息,消息体内附带有RLF报告。RLF报告内实际包含有用户终端UE的GPS坐标信息,这是LTE标准技术规范中要求的,攻击者使用这种方法即可侦知用户终端UE的精准定位信息。

(四)利用网络移动性管理漏洞进行空中DOS攻击的机理

对于进入EPS网络环境的用户终端UE而言,确保其移动性管理,使得核心网络可以随时找到终端,将来自移动互联网或其他终端的语音呼叫数据、移动业务数据发给它;移动化管理需要在核心网络内指定锚点,确保所有终端都能够找到它,这个锚点在EPC网络内就是MME,基站eNodeB只是提供无线信道和相应承载,与移动性管理无涉。

用户终端在移动过程中,需要随时将其位置更新变化情况报告给MME网元,这个过程使用专用信令流程TAU来管理;用户终端会将自身状态、身份标识、服务要求、所处跟踪区TA、安全信息等内容在TAU消息中通知MME,终端至少包括待机、连接两种状态、服务要求至少也包括EPS服务、非EPS服务等两类服务模式,终端UE在相应的状态-服务组合问题上需要保持相对一致,当然这与当地移动运营商所能够提供的网络能力也有关系。如果MME认可终端上报位置更新请求,包括对其各种服务要求和网络能力要求等,MME就返回“TAU接受”消息;否则就返回“TAU拒绝”消息。比如如果带有USIM模块的终端请求EPS服务,而当地运营商不支持LTE网络,MME就会返回“TAU拒绝”消息,但是这里有个安全漏洞,就是TAU信令流程是有鉴权环节且进行加密和完整性保护的,但是“TAU拒绝”消息没有做完整性保护。

此外,在LTE网络的终端附着信令流程中,终端UE在“附着请求”AR消息中列举了对核心网络的服务能力(比如3G UMTS、4G LTE等)、安全机制、信号强度等方面的要求,如果核心网络能够满足这些要求,附着流程才能继续,这些网络能力要求协商是在终端鉴权流程之前,没有加密措施保护;鉴权前无线空口协议数据非加密问题是重大安全暴露面,外部攻击完全有能力自由篡改这些能力要求,通过中间人攻击来使得终端附着流程失效,终端无法接入EPC核心网络,或者在安全机制做手脚,要求取消之后的鉴权流程,无线空口协议交互完全不加密等。

由MME网元发出的“TAU拒绝”消息不在无线空口鉴权保护范围内;MME网元并未对终端身份作出鉴权,以确保“TAU拒绝”消息发到正确的终端上;理论上讲,基站eNodeB无线信号覆盖范围内所有用户终端有可以收到该消息。

图4利用TAU拒绝消息发动LTE降级攻击技术机理

这里可以运用伪基站实现无线信道主动侵扰能力,强迫用户终端UE向伪基站发起TAU更新信令流程,这个信令流程在NAS安全上下文中展开,受到加密措施和完整性保护;而后伪基站直接向UE回复“TAU拒绝”消息,并将消息类型设置为7(LTE服务无法提供),强迫UE静默使用GSM或3G网络服务。如果UE使用USIM模块,除了重新启动拔除并更换为SIM模块,否则连GSM或3G网络服务都无法使用。

图5利用TAU拒绝消息发动网络降级攻击技术机理

更进一步,伪基站还可以向UE回复“TAU拒绝”消息,并将消息类型设置为8(LTE服务与非LTE服务均无法提供),强迫UE直接进行紧急服务模式,UE从无线接入网络内移除,MME无法感知到UE的位置和状态,直到UE移动到新的跟踪区TA,脱离伪基站的信号范围,才能够重新进行小区重选并入网。

结语

当前全球移动通信网络正处于LTE网络部署加速但信号覆盖范围还有待提升,GSM网络部署正在逐渐下降,WCDMA网络正处于应用高峰的演进阶段。移动通信网络内上述三种通信制式(包括核心网和无线接入网)全部同时存在,几乎所有用户终端都支持多模态通信制式,视所处无线信号环境进行相应的模态切换。

移动通信国际标准化组织3GPP对于无线接入网络的安全性保障措施进行重度设计,但是移动通信空口协议不可能全部实施信道加密(信道加密需要终端安装加密模块),无线空口存在公开信息泄露不可避免;同时,多个代际移动通信空中接口技术体制的并存,也使得无线空口安全问题异常复杂,即使LTE接入网络在AKA信令流程、加密算法协商等方面进行了重大改进,也有可能因为无线信号环境通信质量不佳、或者攻击者设置相应的诱骗环境使得移动终端使用GSM或UMTS通信制式,从而调低其加密强度、降低其攻击难度。

可以说,移动通信接入网络并不如我们想像般的坚不可摧或者固若金汤,而是存在各种疏漏或渗透可能性,依然需要信息安全从业人员进一步展开深入研究,发掘形成可能防御机制与预置措施。

关于作者

贺小川:虎符智库专家、奇安信集团副总工程师。长期从事网络信息安全攻防一线工作,获军队科技进步二等奖1项、三等奖2项,在国际会议与国内核心期刊上发表学术论文12篇、EI检索8篇。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。