5G鑒權認證協(xié)議的安全性研究

胡鑫鑫，劉彩霞，彭亞斌，柏 溢，陳 強

(1.中國人民解放軍戰(zhàn)略支援部隊信息工程大學，河南 鄭州 450002; 2.中國人民解放軍61516部隊,北京 100071)

0 引言

鑒權認證協(xié)議作為移動通信網(wǎng)絡安全的第一道防線，其安全性研究一直是業(yè)界關注的重要領域[1]，并伴隨移動通信網(wǎng)的發(fā)展史。Myrto等人[2]在3G鑒權認證協(xié)議中發(fā)現(xiàn)了可鏈接性攻擊，并提出了解決此問題的方案。相關方案增強了3G鑒權認證協(xié)議的安全性，修復了可鏈接性攻擊，但方案所需的通信開銷、計算開銷和存儲開銷很大。Ravishankar等人[3]發(fā)現(xiàn)了AKA協(xié)議的邏輯漏洞，該漏洞利用AUTS計算中的XOR操作來破解用戶的同步序列號值，攻擊者利用該邏輯漏洞可以對用戶實施位置跟蹤并分析用戶通信行為，為了彌補該漏洞，作者提出了3種可能的解決方案。Changhee等人[4]發(fā)現(xiàn)LTE網(wǎng)絡存在可鏈接性攻擊威脅，并提出了解決該威脅的方案，所提方案同時需要額外增加信令流程實現(xiàn)LTE系統(tǒng)的同步故障恢復問題。文獻[5]對5G用戶注冊請求消息交互流程存在的安全問題進行了研究，并提出了解決方案，相關方案需要對5G密鑰層次進行較大的更改。5G AKA是5G網(wǎng)絡采用的身份鑒權認證協(xié)議，其安全脆弱性研究是保證5G網(wǎng)絡和用戶安全通信的重要基礎。

本文對5G AKA協(xié)議的安全性進行了研究，發(fā)現(xiàn)了5G AKA協(xié)議的2個缺陷:一個會帶來可鏈接性攻擊威脅，另一個會帶來SUCI(5G網(wǎng)絡用戶身份標識的一種加密格式)竊聽攻擊威脅。基于5G網(wǎng)絡的安全架構，對所發(fā)現(xiàn)缺陷提出了修復方案，在不需增加額外密鑰的情況下，實現(xiàn)對認證結果消息的加密，使攻擊者無法從認證結果反饋消息中獲取所需信息。本文使用形式化分析工具TAMARIN來分析所提方案的安全性。

1 5G AKA認證協(xié)議簡述

與4G LTE網(wǎng)絡類似，5G網(wǎng)絡主要由用戶終端設備、接入網(wǎng)和核心網(wǎng)組成，核心網(wǎng)又包括服務域網(wǎng)絡和歸屬域網(wǎng)絡。用戶的鑒權認證功能主要由終端設備、服務網(wǎng)絡和歸屬網(wǎng)絡完成。5G網(wǎng)絡的終端設備種類很多，不再局限于傳統(tǒng)的個人通信終端，還包括眾多的物聯(lián)網(wǎng)終端、垂直行業(yè)用戶終端等；服務網(wǎng)絡主要實現(xiàn)用戶的接入管理、會話管理等功能，包括AMF，SEAF，SMF等網(wǎng)元。歸屬網(wǎng)絡主要負責用戶身份認證和身份信息管理。簡化的5G網(wǎng)絡如圖1所示。

圖1 簡化的5G網(wǎng)絡Fig.1 Simplified 5G network

5G網(wǎng)絡自設計之初，就增強了安全功能，其中最典型的是增強了用戶身份標識訂閱永久標識符(SUbscription Permanent Identifier，SUPI)在空中接口的安全性，需要在空中接口傳遞SUPI的場景，終端使用非對稱加密機制對SUPI進行加密，產(chǎn)生訂閱隱藏標識符(SUbscription Concealed Identifier，SUCI)，并用SUCI代替SUPI在空中接口傳遞，防止用戶身份信息在空中接口泄漏，相關加密機制如圖2所示，具體可參考文獻[6]。此外，5G網(wǎng)絡明確規(guī)定采用5G AKA和EAP-AKA′兩種協(xié)議實現(xiàn)網(wǎng)絡和用戶的雙向認證功能，所有5G終端必須同時支持。本文重點介紹5G AKA協(xié)議。

圖2 SUPI加密/解密方案Fig.2 SUPI encryption/decryption scheme

根據(jù)5G安全標準[6]，5G AKA協(xié)議的交互過程如下，協(xié)議在不同交互過程傳遞的安全參數(shù)加圖3所示。協(xié)議執(zhí)行過程如下：

① 歸屬地網(wǎng)絡HN產(chǎn)生認證向量AV(RAND，AUTN，HXRES*，KAUSF)并將其發(fā)送給服務網(wǎng)絡SN；

② 服務網(wǎng)絡將AV(RAND，AUTN，HXRES*，KAUSF)中的2個參數(shù)RAND，AUTN和另外2個參數(shù)ngKSI和ABBA組合成鑒權請求發(fā)送給UE；

③ UE進行消息認證碼MAC校驗和同步序列號SQN校驗，若二者都校驗成功，則計算生成響應消息RES*發(fā)送給SN,并由SN傳遞給HN進行校驗；

④ 若HN和SN都校驗成功，則鑒權成功，UE和網(wǎng)絡可以進行后面的正常業(yè)務；

⑤ 若SQN校驗失敗，則UE明文返回同步失敗消息并附上AUTS；

⑥ 若MAC校驗失敗，則UE明文返回MAC校驗失敗。

EAP-AKA′協(xié)議類似于5G AKA，也依賴于基于共享根密鑰的質(zhì)詢/響應機制實現(xiàn)網(wǎng)絡和用戶的雙向身份認證，采用同步序列號以防止重放攻擊，SQN、MAC檢查機制和同步故障恢復機制也相似。二者之間的主要區(qū)別是某些信令消息和密鑰計算方法不同。

本文主要對5G AKA協(xié)議 SQN、MAC驗證機制和同步故障恢復過程的安全性進行研究，因此，在5G AKA中發(fā)現(xiàn)的安全缺陷及和修復方案也適用于EAP-AKA′協(xié)議。

圖3 5G AKA協(xié)議Fig.3 5G AKA protocol

2 5G AKA協(xié)議的2種安全缺陷

本節(jié)分析5G AKA協(xié)議的2種安全缺陷，以及由此可能導致的攻擊威脅。

2.1 鑒權認證響應消息明文傳遞的安全缺陷

圖3所示的5G AKA協(xié)議執(zhí)行過程中，步驟⑤和步驟⑥包含了終端給網(wǎng)絡反饋的身份認證響應消息。經(jīng)研究，該消息在空中接口以明文形式傳輸，如果攻擊者通過某種技術手段在空中接口竊聽該消息，就可以基于認證結果信息(成功或失敗)以及失敗原因等信息分析終端當前所處的狀態(tài)，具體包括目標用戶收到的鑒權向量是否與其匹配，如果不匹配則會得到匹配失敗原因。

攻擊者利用5G AKA協(xié)議的上述安全缺陷發(fā)起的攻擊過程及信息分析過程如圖4所示。結合5G AKA協(xié)議交互流程及消息參數(shù)具體說明如下：

① 攻擊者將嗅探工具放置在目標UE附近，并從空中接口竊聽目標UE的明文認證請求消息。此消息包含RAND和AUTN的2個關鍵數(shù)據(jù)，攻擊者將消息保存在本地。

② 攻擊者使用在步驟①中捕獲的RAND和AUTN構建認證請求消息。然后在目標用戶可能出現(xiàn)的任何地方廣播偽造的認證請求消息，惡意gNodeB附近的所有UE將收到身份驗證請求消息。

③ UE收到消息后，將進行消息認證碼檢查和序列號檢查。驗證完成后，由于密鑰協(xié)商過程尚未完成，UE以明文形式返回認證響應。僅當從AUTN獲得的xMAC與使用SQNHN重新計算的MAC相等時，MAC檢查才能成功。當執(zhí)行SQN檢查時，UE將確定SQNHN是否在正確的范圍內(nèi)，如果SQNHN>SQNUE，則SQN檢查成功。當以上2個檢查均成功時，UE將返回RES*=Response(K，RAND，SNN)，其中Response( )表示復雜的密鑰推導函數(shù)，SNN表示服務網(wǎng)絡名稱。如果MAC和xMAC不相等，則UE以MAC驗證失敗來回應網(wǎng)絡。如果MAC檢查成功,但是SQNHN不在正確的范圍內(nèi)，則UE將以同步失敗來回應網(wǎng)絡，步驟②中接收到的重播認證請求消息將通過目標UE的MAC檢查，但SQN檢查將不會通過，因為SQNHN

攻擊者可能利用此漏洞來判定目標用戶是否在某個具體位置。例如，如果在目標用戶可能出現(xiàn)的辦公區(qū)域、家庭或大型活動場地附近實施攻擊，則可以判斷當前用戶的特定位置而不會被用戶感知。

2.2 SUCI請求認證向量的安全缺陷

SUCI請求認證向量的安全缺陷歸根結底也是由空中接口的開放性導致的。5G終端用戶接入網(wǎng)絡之前，需要按圖3所示流程與網(wǎng)絡進行雙向身份認證，在這個過程中，用戶使用SUCI向網(wǎng)絡發(fā)起注冊請求，由于明文傳遞，這一信息容易被攻擊者捕獲。當攻擊者在目標用戶附近或者運營商更新SUCI間隔太長，攻擊者容易利用捕獲的用戶注冊請求消息請求網(wǎng)絡的真實認證向量。這個缺陷如果被攻擊者利用，則可以構造用戶位置嗅探攻擊，具體攻擊步驟說明如圖5所示。

(1) 對手假設

攻擊者攔截目標用戶的真實注冊請求消息(包括SUCI)，并且構建惡意UE以及正確配置的惡意gNodeB。惡意UE和惡意gNodeB之間可以存在專用通信信道。

(2) 攻擊流程

在攻擊的第一階段，攻擊者在目標用戶可能出現(xiàn)的小區(qū)中連續(xù)監(jiān)聽，以獲得目標用戶的真實注冊請求消息，該消息中包含用戶SUCI。此消息是為隨后的重放攻擊準備的，因為請求消息包含目標用戶的標識信息。在第二階段，攻擊者利用更強的信號在目標小區(qū)附近部署惡意基站。受害UE將釋放先前的RRC連接并連接到具有最強信號功率的gNodeB，即惡意gNodeB。然后，攻擊者將注銷請求的第三比特位置為“1”，并發(fā)送給受害者UE，隨即UE將發(fā)起注冊請求。在第三階段，當受害者UE發(fā)起注冊請求時，攻擊者通過惡意gNodeB丟棄該消息，并將先前截獲的注冊請求消息發(fā)送給惡意UE。惡意UE通過空中接口將消息發(fā)送給合法的gNodeB。根據(jù)正常的認證過程，網(wǎng)絡將向受害UE發(fā)起認證請求(包括AUTN和RAND等)，惡意UE通過惡意gNodeB將該消息發(fā)送給受害UE。在接收到消息之后，受害UE將執(zhí)行MAC驗證并返回認證響應消息。由于響應消息是明文的，因此攻擊者可以通過觀察消息的內(nèi)容來判斷認證是否成功。如果認證響應內(nèi)容是RES*，則認證成功，并且受害UE是目標UE;如果認證響應內(nèi)容是Mac_failure，則證明受害UE不是目標UE。

(3) 可能后果

通過此攻擊，攻擊者可以驗證目標用戶是否在當前小區(qū)中。每當攻擊者想要確定目標用戶的位置時，攻擊者就可以啟動攻擊以實現(xiàn)目標用戶的位置跟蹤。此外，如果受害UE是目標UE，則攻擊者可以允許目標UE完成后續(xù)注冊過程。當目標UE的所有流量都通過攻擊者偽造的網(wǎng)絡(惡意gNodeB和惡意UE)時，攻擊者可以分析流量以構建目標用戶服務使用習慣簡檔(例如電話呼叫、文本消息和數(shù)據(jù)服務)。

3 修復方案及分析

3.1 5G AKA安全性改進方案

通過第2節(jié)介紹的缺陷及相應的攻擊可以發(fā)現(xiàn)，5G AKA協(xié)議消息明文傳遞容易被攻擊者利用，而5G AKA協(xié)議運行時UE和網(wǎng)絡尚未完成密鑰協(xié)商，因此又難以對消息內(nèi)容進行加密。而5G網(wǎng)絡采用PKI機制來保護用戶永久身份信息，其中使用的公私鑰對和臨時公私鑰對可以被用來修復前文介紹的缺陷。基于這一思想，本文提出改進的5G AKA方案，使得協(xié)議中2種身份認證失敗消息對攻擊者無法區(qū)分，方案如圖6所示。

圖6 本文提出的5G AKA協(xié)議修復方案Fig.6 5G AKA protocol proposed scheme

具體說明如下：

① UE收到認證請求消息(RAND,AUTN)后，驗證MAC和SQN。如果二者均通過，則UE將根據(jù)3GPP TS33.501[6]中的A.4計算RES→f2(K,R)并從RES計算出RES*。否則，UE生成新的隨機數(shù)rand，并轉到步驟②。

其中，“||”表示2個操作數(shù)的串聯(lián)。

④ 將RES*發(fā)送到SN / HN。

在上述修復方案中，MAC-S被包含在認證失敗消息中以證明該消息源自真實UE。在MAC-S計算中使用新的隨機數(shù)rand來防止可能的鏈接攻擊：如果使用了AV中的RAND，則攻擊者會在短時間內(nèi)重播相同的0身份驗證請求2次(SQNUE不變)。2次獲得相同的MAC-S，并據(jù)此捕獲目標用戶。此外，隨機數(shù)rand還可以被用來使用公共密鑰加密SQNUE，以防止彩虹表攻擊。

3.2 改進方案的安全性和效率分析

為證明所提出方案能夠修復第2節(jié)發(fā)現(xiàn)的2種協(xié)議缺陷，本文使用TAMARIN證明器[7]進行形式化驗證。TAMARIN證明器是用于安全協(xié)議符號建模和分析的強大工具，它以安全協(xié)議模型為輸入，并在其中指定了以不同角色運行協(xié)議的代理(例如，協(xié)議發(fā)起者、響應者和受信任密鑰服務器)所采取的操作，攻擊者的能力以及協(xié)議的規(guī)范、所需的安全屬性。然后，使用TAMARIN自動構建證據(jù)，即使任意多個協(xié)議角色實例以及攻擊者的動作并行交錯，該協(xié)議也能實現(xiàn)其指定的屬性。TAMARIN中的觀測等效屬性通過證明入侵者無法區(qū)分這2個系統(tǒng)來對2個系統(tǒng)進行推理，如果滿足了認證響應消息的觀察等效性，則攻擊者無法區(qū)分鑒權協(xié)議中的用戶響應消息，從而無法據(jù)此確定用戶位置。

提出修復方案的形式化描述如下所示:

1.ruleue_receive_authReq_mac_or_sqn_check_fail:

2. let

3. MACS=f1_star(～k,)

4. Rst_syn=

5. Rst_mac=

6. RES_star_syn_fail=

7. RES_star_mac_fail=

8. in

9. [!Pk(～idHN,pk_HN),

10. Fr(～rand),

11. Fr(～Sqn_UE),

12. Fr(～RES_star_syn_fail),

13. Fr(～RES_star_mac_fail)]

14. --[ Secret(～RES_star_syn_fail) ]->

15. [ Out(pk_HN),

16. Out( ～RES_star_mac_fail ),

17. Out(aenc( diff(～RES_star_syn_fail,～RES_star_mac_fail),pk_HN ) )]

18.lemmaB_is_secret:

19. " All B #i.(

20. Secret(B) @ #i ==>

21. not( Ex #j.K(B) @ #j ) )"

第1～17行描述了協(xié)議改進方案的認證響應消息，即圖6改進方案中使用網(wǎng)絡公鑰pk_HN對身份驗證失敗消息進行加密的過程。為證明觀測的等效性，在TAMARIN中使用了diff(,)運算符，第18～21行描述了期望驗證的安全性質(zhì)，即響應消息對攻擊者的不可分辨屬性。驗證結果如圖7所示，實驗結果表明攻擊者無法區(qū)分2種錯誤消息，這證明了所提出方案的安全性。

圖7 安全性質(zhì)分析結果Fig.7 Security property analysis result

對于安全協(xié)議而言，除了需要滿足所需的安全性外，還需要考慮效率問題，即通信開銷、存儲開銷和計算開銷需要在用戶設備和網(wǎng)絡可接受的范圍內(nèi)。通信開銷指UE需要通過無線電發(fā)送的數(shù)據(jù)的長度，計算開銷是指針對安全協(xié)議運行所需要的計算量，存儲開銷是指在安全協(xié)議運行過程中所需存儲空間。因此，本文對所提5G AKA協(xié)議修復方案進行了效率分析，分析結果如表1所示。可以看到3GPP提出的解決方案和本文所提方案各有優(yōu)缺點。3GPP方案所需通信開銷為Lfail_reason+LCONC+LMACS，本文所提解決方案通信開銷為Lfail_reason+LSQN+Lrand+LMACS，由于LCONC=LSQN，因此相比于3GPP方案，本文方案增加了Lrand，因此通信開銷有所增加。計算開銷方面，5G AKA需要運行6次的偽隨機函數(shù)，即6H，而改進方案需要5次的偽隨機函數(shù)和1次非對稱加密，即5H+ENCAsy，二者基本相當。存儲開銷方面，3GPP方案需要存儲AK,AK*,MAC,MACS,RES*,pbN，而本文方案為AK,MAC,MACS,RES*,pbN，可見本文方案小于3GPP標準中的方案。

表1 效率分析結果
Tab.1 Efficiency analysis result

開銷5G AKA本文方案通信開銷Lfail_reason+LCONC+LMACSLfail_reason+LSQN+Lrand+ LMACS計算開銷6H5H+ENCAsy存儲開銷AK,AK*,MAC,MACS,RES*,pbNAK,MAC,MACS,RES*,pbN

4 結束語

本文發(fā)現(xiàn)了5G網(wǎng)絡鑒權認證協(xié)議中的2個安全缺陷。借助鑒權認證響應消息明文傳遞的安全缺陷，攻擊者可以根據(jù)用戶終端響應消息來確定目標用戶是否在特定小區(qū)；借助鑒權協(xié)議中用戶利用SUCI請求認證向量的安全缺陷，攻擊者可以嗅探用戶位置。為修復所發(fā)現(xiàn)的2個缺陷，本文提出了5G AKA安全性增強方案，該方案利用現(xiàn)有的5G網(wǎng)絡PKI機制而無需添加密鑰，重新設計了認證失敗消息，并分析了該方案的安全性以及通信、計算和存儲的開銷。分析結果表明，本文所提方案提高了5G網(wǎng)絡通信安全性，在減少存儲開銷的同時，僅增加了較小的通信開銷和計算開銷。