3G移动通信中的安全问题
数据通信 刘岵 肖征荣 吕述望
摘要
移动通信中的安全非常重要,文章介绍了3G移动通信系统演进中与用户终端相关的安全问题,对截获IMSI、跟踪UE、强制切换、未加保护的自启动和多播等进行了分析,并指出了移动通信中安全的发展方向。
1、引言
随着移动通信的普及,移动通信中的安全问题正受到越来越多的关注,人们对移动通信中的信息安全也提出了更高的要求。第一代移动通信系统几乎没有采取安全措施,移动台把其电子序列号(ESN)和网络分配的移动台识别号(MIN)以明文方式传送至网络,若二者相符,即可实现用户的接入。用户面临的最大威胁是自己的手机有可能被克隆。第二代数字蜂窝移动通信系统采用基于私钥密码体制的安全机制,在身份认证及加密算法等方面存在着许多安全隐患。以GSM为例,首先,在用户SIM卡和鉴权中心(AUC)中共享的安全密钥可在很短的时间内被破译,从而导致对可物理接触到的SIM卡进行克隆;此外,GSM系统没有提供端到端的加密,只对空中接口部分(即MS和BTS之间)进行加密,在固定网中采用明文传输,给攻击者提供了机会;同时,GSM网络没有考虑数据完整性保护的问题,难以发现数据在传输过程被篡改等问题。
针对这些问题,3G系统提供了更好的安全性保护。随着3GPP的版本从R99演进到R6,再到SAE/LTE,其安全功能也不断得到完善、扩展和加强。
Release99侧重接入网的安全,定义了强制的完整性保护和可选的加密保护。在Release99的安全标准中还定义了UMTS的安全架构,以及如何在各网络单元中实现安全功能。
Release4对Release99中定义的安全架构和安全功能进一步完善,增加了对核心网SS7信令和基于IP的信令的保护。
Release5对Release4中的各种安全标准进一步完善,增加了IMS的安全机制,定义了如何保护用户和IMS之间的SIP信令,以及用户和IMS之间的双向认证机制。在Release5中还明确了在UMTS核心网中与IP相关的安全需求。
Release6对Release5中的各种安全标准进一步完善,增加了通用鉴权架构GAA(GenericAuthentication Architecture)、多媒体广播/组播服务MBMS(Multimedia Broadcast Multicast Service)的安全机制以及UMTS与WLAN互联的安全机制。
SAE/LTE中,安全问题更加突出。对SAE/LTE系统的攻击来源很多,可能来自黑客、运营商的雇员、竞争对手、普通用户、间谍、罪犯等。攻击的动机可能是间谍活动、损害运营商的经营或名誉、错误的操作、掩盖非法活动和恶意破坏等。下面我们就与用户终端相关的安全问题进行分析。
2、截获IMSI
IMSI由国家代码(MCC)、网络代码(MNC)和用户身份代码(MSIN)组成。从用户的私密性角度来看,MSIN唯一地标识了用户,因此应当加以保护。但是,在正确识别用户之前,无法得到用户的信息。在UTRANAKA认证方法中,用户向网络提供自身的标识之前,无法认证网络。因此,在UTRAN中UE无法拒绝网络要求明文IMSI。
传输明文IMSI面临以下问题:攻击者可以收集IMSI,并将IMSI和用户身份关联到一起。由于IMSI是用户在全球范围内唯一性的标识,IMSI提供了很多信息例如归属网络和所属的国家;在移动环境中,截获IMSI的代价很高,但是将来随着网络的不断融合,直接与PC连接的智能卡的广泛使用,攻击可能变得更容易。如果用户设备通过固定网络或WLAN接入,需要将IMSI明文发送到一个未被授权的实体,例如一个特定的WLAN接入点。为了解决这个问题,UE必须能够拒绝来自不可信实体的明文IMSI请求,可以使用公钥或对称密钥来隐藏IMSI,也可以使用类似UMTS中的TMSI机制,一般不使用永久的用户标识。由网络分配临时标识,过程应加以机密性保护。
因此,在LTE/SAE的安全设计中,应当防止对用户标识和位置信息的主动攻击(例如IMSI截获),引入一种低成本且有效的方法。
跟踪UE
3、跟踪UE
跟踪UE的方式有3种:跟踪用户的临时标识;利用IMSI/TMSI和RNTI之间的联系;利用IP地址和TMSI/IMSI/RNTI。
对抗这些攻击的办法是对分配临时标识符的过程进行加密保护。为了完全消除威胁,需要对从UE到网络的测量报告进行保护,否则攻击者可以预测UE将切换到新小区并追踪UE到新小区。
除了对所有的NAS信令加密外,还有以下2种解决方案:(1)在生成新的临时标识符之前,网络与用户共享密钥。这种预共享密钥用于生成加密用户临时标识符所用的密钥。在生成加密密钥的过程中引入某些新的参数,以确保所生成的密钥是新的。加密后的临时标识符通过分配临时标识符的消息发送。新的参数也可以在该消息中。UE使用预共享密钥和新的参数推导出加密密钥,从而得到用户的临时标识符。(2)在生成新的临时标识符之前,网络与用户共享密钥。通过预共享密钥,在网络和UE推导出新的临时标识符。在生成加密密钥的过程中需要引入某些新的参数,以确保所生成的密钥是新的。在分配临时标识符的消息中,只包含新的参数。
为了防止当前有效的(可能是不安全分配的)RNTI与将来的TMSI关联起来,即从LTE_ACTIVE迁移到LTE_IDLE后,在LTE_IDLE状态下的MM信令(例如周期性的TA更新)泄露TMSI,当核心网激活NAS加密后需要重新分配TMSI。因此,为了防止在LTE_ACTIVE和LTE_IDLE会话之间用户被跟踪,要求有:每次迁移到LTE_ACTIVE,激活NAS安全后重新分配TMSI,并安全地传送到UE;为了减轻NAS信令的开销,需要研究在每次小区切换后,重新分配的TMSI数量是否够,并需要研究切换的频度。
此RNTI只能与MM过程中使用的明文TMSI关联起来,该MM过程发起到LTE_ACTIVE的状态迁移,这样就防止了后向跟踪,因为攻击者不能再获得与旧TMSI相关的IMSI。
如果意外泄露了IMSI,上述要求无法防止被动的攻击者跟踪用户。假定攻击者(不包括被攻破的eNodeB)不能向MME请求与在LTE_ACTIVE状态下被跟踪的TMSI相关的IMSI,因为会在NAS中对MM信令加以完整性保护。类似,当处于LTE_ACTIVE状态时,UE不应响应请求IMSI或TMSI的寻呼,从而保护新分配的TMSI在LTE_ACTIVE会话期间不被泄露给主动攻击者。在此,假定在LTE_IDLE状态下受保护的MM信令基于内部关联的RNTI-TMSI表(S1接口)经过eNodeB路由到NAS。
但是存在这样一种情况,当用户进入LTE_IDLE状态后,主动攻击者能够成功地再次进行攻击。在需要通过TMSI来识别的第一条MM信令(例如跟踪区域更新)后,主动攻击者可以要求用户通过IMSI来标识自己。如果RNTI的分配没有安全保护,攻击者会在下一个LTE_ACTIVE周期内跟踪用户。在此周期后,攻击者如果不重新发起主动攻击,将无法被动地跟踪用户。
另一种方法是隐藏IP地址。如果IP地址以明文方式进行交换,则IP地址的更新频率应与重新分配TMSI的频率相当。但频繁的IP地址变化可能对IP层之上有不利影响。
对LTE_ACTIVE状态下通过RNTI跟踪用户,使用安全的RNTI再分配机制可以进一步限制对特定用户的跟踪。主动攻击者可以利用LTE_IDLE状态进行攻击。被动攻击者需要利用意外泄露的IMSI。在这种情形下,对RNTI的传输和分配不加以保护是可以接受的。
不同的RNTI重新分配方法复杂度不同。因此假定在能够安全地将RNTI传送到UE之前,初始的RNTI(可以是初始的MAC-ID)分配是由eNodeB进行的。下述两种方案可以安全地再分配RNTI:(1)使用RRC加密:在空中接口安全激活后,重新分配RNTI并安全传送到UE(涉及从LTE_IDLE和LTE_DETACHED到LTE_ACTIVE的状态迁移)。(2)在UE和eNodeB使用派生函数来生成后续保密的RNTI,使用这样的RNTI不需要传送新的RNTI值。潜在的问题是当生成新的RNTI时,由于RNTI的长度有限,需要避免碰撞。可以使用由eNodeB选定的RAND来解决这一问题。在eNodeB经过若干次叠代来重选RAND,从而生成未用过的RAND值。这样的派生函数可以是新RNTI=HASH(旧RNTI,RRC完整性密钥,RAND)。
以上两个方案有助于防止:即首先被动地识别和定位某人,然后通过此人使用过的无线标识符来跟踪他的位置。LTE/SAE支持与现有3GPP系统同样级别的用户标识符的保密性,如IDLE模式信令和使用临时用户标识符附着/再附着。
4、强制切换
在LTE中存在下述两种安全问题:(1)由于UE曾经连接到被攻破的eNodeB,并且此后RRC密钥没有改变,那么攻击者就拥有当前使用的RRC密钥。被攻破的eNodeB以当前提供服务的eNodeB的名义向UE发送虚假的切换命令,要求UE切换到:被攻破的eNodeB,然后中断与UE的连接;同一SAE/LTE接入网内的另一个eNodeB,而该eNodeB未准备接纳UE,也导致UE的连接中断。这两种情况UE都被拒绝服务。(2)被攻破的eNodeB发出很强的信号,使得附近的UE都切换到该eNodeB。一旦切换完成,被攻破的eNodeB中断连接。结果是在被攻破的eNodeB附近的UE都被拒绝服务。
对于第一种攻击,如果攻击者知道用户的RNTI,那么他只能在UE连接到另一个eNodeB时定位该用户。如果NAS参与RNTI的分配,那么拥有RRC密钥的攻击者无法得到RNTI,除非他能从时间关系中或有限的RNTI范围内猜测出。可以将RNTI的分配分为两个步骤,临时RNTI的分配不涉及NAS,当具备NAS安全后,NAS参与长效RNTI的分配。
即使攻击者拥有RNTI,并且当前eNodeB中断了与UE的连接,UE将试图与最合适的eNodeB建立新的连接。如果UE在建立新连接后使用相同的RRC密钥,攻击者就可以多次重复同样的攻击。如果UE在与安全的eNodeB建立新连接后使用新的RRC密钥,攻击者无法再次发起攻击。
此外,上述攻击要求攻击者向每个UE单独发送虚假的切换命令。与之相反,对当前提供服务的eNodeB的无线电干扰会影响附近的所有UE。
攻击者可以将攻击范围扩大,而不限于受他控制的被攻破的eNodeB。但这种扩大相当有限,因为攻击者要求用户必须在某个时刻附着到被攻破的eNodeB。NAS介入RNTI的分配有助于减轻此威胁,但是不能完全防止。
对于第二种攻击,其效果类似于第一种攻击,用户被拒绝服务。但是,第一种攻击的受害者只是曾经附着到被攻破的eNodeB的UE,而且攻击者必须明确定位每个受害者。与此不同,在被攻破的eNodeB附近的所有UE都可能是第二种攻击的受害者,同时被拒绝服务。
强制切换到传统网络
5、强制切换到传统网络
攻击者可能强制一个具有传统RAT的LTEUE切换到安全性较弱的传统网络。攻击者能够生成RRC信令,可以向UE发起重配置过程,将UE引入攻击者选定的小区或网络。这种攻击可以起到拒绝服务的作用或者允许一个选定的网络“捕获”UE。
已经完全控制某个系统的攻击者可以引导其他系统的UE到自己控制的网络,然后通过这个被攻破的系统进行更严重的安全攻击。通过这种方式,强制切换可以扩展多种对其他安全系统的UE进行攻击的方式。而单个安全性差的网络成为一个薄弱点,不仅自身安全存在问题,而且会影响在它覆盖区域内的网络。
在LTE/SAE确定的3种安全相关中的NAS信令和用户层安全与无线层无关。如果NAS和用户层安全的应用不局限在LTERAT,对于攻击者来说这种切换攻击就失去了吸引力。即使在破坏了无线层安全之后,攻击者也不能发送或窃听用户层数据和NAS信令,因为它们受到另外的安全层面的保护。
因此LTE/SAEUE从与3GPPRAT无关的安全增强机制中受益,而传统的2G/3G只能继续依赖特定承载的安全。
为了防止上述的强制切换攻击,在架构上应允许UE在传统RAT上应用NAS信令和用户层安全。这意味着安全关联的终结网元应在与传统RAT互联的网元之上。3GPPSA2中仍在继续讨论SAE的架构,最终的架构尚未确定,架构方案可能影响不同RAT之间的移动性。
6、未加保护的自启动和多播信令
在UTRAN中,启动安全模式之前从网络收到的信息没有受到保护,即自启动信令是未受保护的。类似地,从网络发出的点对多点信息,如当UE处于空闲状态时触发它切换到其他eNodeB的信息或从RNC发出的GROUP_RELEASE之类的信息,缺乏保护。
对这些信令的保护需要:RAN节点的公钥和使用签名;数据源认证机制,如TESLA;其他针对特定问题的对称密钥方法。
如果不使用这些保护措施有可能面临DoS攻击,即UE将被欺骗到假的eNodeB,或者UE将从网络去附着等。这种DoS攻击的效果比无线电干扰更持久,UE将丢失呼叫,直到用户主动触发一个向外的通话。
上述策略只针对持久的DoS攻击,还需要研究可以识别这种与广播多播相关的安全问题的方法,并加入到系统中。
7、结束语
未来3G移动通信系统演进中的安全机制方向基本上已经确定,主要包括轻量、灵活的认证、授权、审计和计费(AAAA)机制;建立WPKI体系公钥基础设施PKI在保证信息安全、身份认证、信息完整性和不可抵赖性等方面得到了普遍的认同;建立核心网之间的安全认证机制。移动通信系统的整个安全体系仍是建立在假定网络内部绝对安全的基础之上,当用户漫游时,核心网络之间假定相互信任,鉴权中心依附于交换子系统。
未来的安全中心应能独立于系统设备、具有开放的接口,能独立地完成双向鉴权、端到端数据加密等安全功能,甚至对网络内部人员也是透明的;采用更为先进的密码体制;移动通信网络的安全措施更加体现面向用户的理念,用户能自己选择所要的保密级别,安全参数由网络默认或用户个性化设定。
随着移动通信的普及,移动通信中的安全问题正受到越来越多的关注,人们对移动通信中的信息安全也提出了更高的要求。第一代移动通信系统几乎没有采取安全措施,移动台把其电子序列号(ESN)和网络分配的移动台识别号(MIN)以明文方式传送至网络,若二者相符,即可实现用户的接入。用户面临的最大威胁是自己的手机有可能被克隆。第二代数字蜂窝移动通信系统采用基于私钥密码体制的安全机制,在身份认证及加密算法等方面存在着许多安全隐患。以GSM为例,首先,在用户SIM卡和鉴权中心(AUC)中共享的安全密钥可在很短的时间内被破译,从而导致对可物理接触到的SIM卡进行克隆;此外,GSM系统没有提供端到端的加密,只对空中接口部分(即MS和BTS之间)进行加密,在固定网中采用明文传输,给攻击者提供了机会;同时,GSM网络没有考虑数据完整性保护的问题,难以发现数据在传输过程被篡改等问题。
网友评论