跟踪UE
3、跟踪UE
跟踪UE的方式有3种:跟踪用户的临时标识;利用IMSI/TMSI和RNTI之间的联系;利用IP地址和TMSI/IMSI/RNTI。
对抗这些攻击的办法是对分配临时标识符的过程进行加密保护。为了完全消除威胁,需要对从UE到网络的测量报告进行保护,否则攻击者可以预测UE将切换到新小区并追踪UE到新小区。
除了对所有的NAS信令加密外,还有以下2种解决方案:(1)在生成新的临时标识符之前,网络与用户共享密钥。这种预共享密钥用于生成加密用户临时标识符所用的密钥。在生成加密密钥的过程中引入某些新的参数,以确保所生成的密钥是新的。加密后的临时标识符通过分配临时标识符的消息发送。新的参数也可以在该消息中。UE使用预共享密钥和新的参数推导出加密密钥,从而得到用户的临时标识符。(2)在生成新的临时标识符之前,网络与用户共享密钥。通过预共享密钥,在网络和UE推导出新的临时标识符。在生成加密密钥的过程中需要引入某些新的参数,以确保所生成的密钥是新的。在分配临时标识符的消息中,只包含新的参数。
为了防止当前有效的(可能是不安全分配的)RNTI与将来的TMSI关联起来,即从LTE_ACTIVE迁移到LTE_IDLE后,在LTE_IDLE状态下的MM信令(例如周期性的TA更新)泄露TMSI,当核心网激活NAS加密后需要重新分配TMSI。因此,为了防止在LTE_ACTIVE和LTE_IDLE会话之间用户被跟踪,要求有:每次迁移到LTE_ACTIVE,激活NAS安全后重新分配TMSI,并安全地传送到UE;为了减轻NAS信令的开销,需要研究在每次小区切换后,重新分配的TMSI数量是否够,并需要研究切换的频度。
此RNTI只能与MM过程中使用的明文TMSI关联起来,该MM过程发起到LTE_ACTIVE的状态迁移,这样就防止了后向跟踪,因为攻击者不能再获得与旧TMSI相关的IMSI。
如果意外泄露了IMSI,上述要求无法防止被动的攻击者跟踪用户。假定攻击者(不包括被攻破的eNodeB)不能向MME请求与在LTE_ACTIVE状态下被跟踪的TMSI相关的IMSI,因为会在NAS中对MM信令加以完整性保护。类似,当处于LTE_ACTIVE状态时,UE不应响应请求IMSI或TMSI的寻呼,从而保护新分配的TMSI在LTE_ACTIVE会话期间不被泄露给主动攻击者。在此,假定在LTE_IDLE状态下受保护的MM信令基于内部关联的RNTI-TMSI表(S1接口)经过eNodeB路由到NAS。
但是存在这样一种情况,当用户进入LTE_IDLE状态后,主动攻击者能够成功地再次进行攻击。在需要通过TMSI来识别的第一条MM信令(例如跟踪区域更新)后,主动攻击者可以要求用户通过IMSI来标识自己。如果RNTI的分配没有安全保护,攻击者会在下一个LTE_ACTIVE周期内跟踪用户。在此周期后,攻击者如果不重新发起主动攻击,将无法被动地跟踪用户。
另一种方法是隐藏IP地址。如果IP地址以明文方式进行交换,则IP地址的更新频率应与重新分配TMSI的频率相当。但频繁的IP地址变化可能对IP层之上有不利影响。
对LTE_ACTIVE状态下通过RNTI跟踪用户,使用安全的RNTI再分配机制可以进一步限制对特定用户的跟踪。主动攻击者可以利用LTE_IDLE状态进行攻击。被动攻击者需要利用意外泄露的IMSI。在这种情形下,对RNTI的传输和分配不加以保护是可以接受的。
不同的RNTI重新分配方法复杂度不同。因此假定在能够安全地将RNTI传送到UE之前,初始的RNTI(可以是初始的MAC-ID)分配是由eNodeB进行的。下述两种方案可以安全地再分配RNTI:(1)使用RRC加密:在空中接口安全激活后,重新分配RNTI并安全传送到UE(涉及从LTE_IDLE和LTE_DETACHED到LTE_ACTIVE的状态迁移)。(2)在UE和eNodeB使用派生函数来生成后续保密的RNTI,使用这样的RNTI不需要传送新的RNTI值。潜在的问题是当生成新的RNTI时,由于RNTI的长度有限,需要避免碰撞。可以使用由eNodeB选定的RAND来解决这一问题。在eNodeB经过若干次叠代来重选RAND,从而生成未用过的RAND值。这样的派生函数可以是新RNTI=HASH(旧RNTI,RRC完整性密钥,RAND)。
以上两个方案有助于防止:即首先被动地识别和定位某人,然后通过此人使用过的无线标识符来跟踪他的位置。LTE/SAE支持与现有3GPP系统同样级别的用户标识符的保密性,如IDLE模式信令和使用临时用户标识符附着/再附着。
4、强制切换
在LTE中存在下述两种安全问题:(1)由于UE曾经连接到被攻破的eNodeB,并且此后RRC密钥没有改变,那么攻击者就拥有当前使用的RRC密钥。被攻破的eNodeB以当前提供服务的eNodeB的名义向UE发送虚假的切换命令,要求UE切换到:被攻破的eNodeB,然后中断与UE的连接;同一SAE/LTE接入网内的另一个eNodeB,而该eNodeB未准备接纳UE,也导致UE的连接中断。这两种情况UE都被拒绝服务。(2)被攻破的eNodeB发出很强的信号,使得附近的UE都切换到该eNodeB。一旦切换完成,被攻破的eNodeB中断连接。结果是在被攻破的eNodeB附近的UE都被拒绝服务。
对于第一种攻击,如果攻击者知道用户的RNTI,那么他只能在UE连接到另一个eNodeB时定位该用户。如果NAS参与RNTI的分配,那么拥有RRC密钥的攻击者无法得到RNTI,除非他能从时间关系中或有限的RNTI范围内猜测出。可以将RNTI的分配分为两个步骤,临时RNTI的分配不涉及NAS,当具备NAS安全后,NAS参与长效RNTI的分配。
即使攻击者拥有RNTI,并且当前eNodeB中断了与UE的连接,UE将试图与最合适的eNodeB建立新的连接。如果UE在建立新连接后使用相同的RRC密钥,攻击者就可以多次重复同样的攻击。如果UE在与安全的eNodeB建立新连接后使用新的RRC密钥,攻击者无法再次发起攻击。
此外,上述攻击要求攻击者向每个UE单独发送虚假的切换命令。与之相反,对当前提供服务的eNodeB的无线电干扰会影响附近的所有UE。
攻击者可以将攻击范围扩大,而不限于受他控制的被攻破的eNodeB。但这种扩大相当有限,因为攻击者要求用户必须在某个时刻附着到被攻破的eNodeB。NAS介入RNTI的分配有助于减轻此威胁,但是不能完全防止。
对于第二种攻击,其效果类似于第一种攻击,用户被拒绝服务。但是,第一种攻击的受害者只是曾经附着到被攻破的eNodeB的UE,而且攻击者必须明确定位每个受害者。与此不同,在被攻破的eNodeB附近的所有UE都可能是第二种攻击的受害者,同时被拒绝服务。
网友评论