一.介绍
各种异构设备产生的数据爆炸,包括智能手机、移动电脑、物联网设备、自动驾驶车辆和智能基础设施,已成为5G网络发展的主要驱动因素。这种以数据为中心的通信网络观念导致了基于服务的架构(SBA)。SBA允许网络功能的云端实现,有助于数据管理,同时提高了超越5G(B5G)网络中的可伸缩性和可编程性。网络的初始架构已经优化,以实现高用户体验质量(QoE),成为5G网络文献中的主要性能指标。然而,安全架构的适应速度并未与支持QoE需求的新无线技术同步。这可能会以新的安全威胁形式或扩大现有漏洞的攻击面的形式,引发严重的安全漏洞。
‘’S-Lab致力于检测和解决5G WiFi网络以及智能终端软件的安全漏洞。我们专注于发现并解决这些系统中的潜在风险,确保其在安全性方面的可靠性。通过深入的测试和分析,我们能够识别并防范可能存在的漏洞,保护客户的网络和终端设备免受潜在的威胁和攻击。无论是针对5G网络还是智能终端软件,S-Lab都提供全面而可靠的安全检测服务,为客户提供安心保障。"
与各种异构设备之间的低延迟和高数据速率的无缝连接通常被视为5G网络的独特特征。QoE旨在评估5G网络在满足这些需求方面的性能。关于QoE的一个普遍接受的概念是根据用户需求及时交付内容。因此,它是比传统的服务质量(QoS)更高级的目标,后者以提供给用户的数据速率和延迟等指标为特征。虽然QoE的定义较为广泛,没有关于系统性度量指标的共识,但我们注意到安全和隐私也是用户体验的重要方面。从这个角度看,我们可以将网络优化问题视为在满足所需QoS的同时,最大化QoE的内容传递,并将安全和隐私作为问题的约束条件。
多种无线接入技术(RAT)是5G网络的显著特征之一,旨在提供高QoE。然而,不同RF传播范围要求的各种应用程序的频谱稀缺性是一个重大挑战。重新分配未充分利用的频谱波段是一个极具时效性的过程,面临着现有用户的抵制,并可能干扰关键的军事和政府用途。频谱共享是解决频谱稀缺性的一种有希望的解决方案,被视为B5G网络实现高QoE的重要推动因素。
借助软件定义的网络(SDN)和网络切片的5G网络的出现要求在多个运营商和服务提供商之间共享网络基础设施,并具有不同的安全策略和隐私需求。因此,在核心网络层面各种安全系统之间的互操作性已成为一个具有挑战性的问题。同样,网络(WiFi和5G)的共存,以及一般的下一代频谱共享系统,要求在多个私有实体之间共享频谱。因此,在接入网络层面上对网络外活动的容忍度也是至关重要的。
在共存网络环境中的未保护频谱共享为潜在对手提供了一个隐蔽通道,这个通道无法被现有的独立网络安全机制检测到。这个隐蔽通道为网络上的安全攻击打开了一个新的表面,针对这些攻击,目前没有任何保护机制。独立网络的安全系统观察和响应网络内活动,而频谱共享程序涉及网络外的频谱访问。因此,没有安全机制的频谱共享允许攻击者利用隐蔽通道部署新的安全攻击和/或使用更高强度和更简单的实现机制进行现有已知攻击。
我们首先回顾了独立的5G和WiFi网络中的一些现有漏洞。接下来,我们将讨论由于未受保护的频谱共享可能出现的一些安全挑战。最后,我们将讨论在保护独立网络隐私的同时,通过密码学证明实现安全共存的挑战。
1. 5G和WiFi 6/6E中的漏洞
安全和隐私是无线网络中交织在一起的概念。隐私是指通过被动观察传输信号推断用户信息的过程。这些信息可能只包括用户的位置和网络流量。在文献中,被动窃听攻击相当于对无线通信的隐私攻击,尤其是在物理层。窃听攻击通常指的是无线通信中的物理层攻击,而隐私是一个更通用的术语,主要用于数据库。在本文中,我们将这两个术语互换使用,因为重点是由于频谱共享导致的无线通信漏洞。
在无线通信的背景下,安全通常指的是主动攻击,例如对手引入高水平干扰或智能干扰信号以操纵用户传输。主要的主动攻击示例包括强制设备使用备用数据通道,例如改变MIMO波束成形系统中波束的方向或通过干扰备用频段改变频率通道。这些攻击反过来可以用于部署中间人攻击(MitM)、伪基站、DoS等。本次调查的重点是频谱共享漏洞,这主要引发了无线网络物理层和MAC层的安全/隐私问题。
2.1. 物理层安全
在现有标准中,用于安全通信的密码学证明是由通信协议栈的不同层中的安全协议提供的。这样的安全措施从认证(用于用户/设备识别)、密钥协商协议开始,以及在第2层(OSI模型中的链路层)进行的通道加密。虽然物理层的安全性一直是一个活跃的研究领域,但由于RF传播通道的不确定性和变化性、设备变化以及在识别(认证)之前对大量设备进行分布式秘密密钥管理等挑战,标准化的框架在该层面上缺乏安全证明。
实现加密物理层的经典方法之一是使用扩频系统,无论是在时间域还是频率域。在直接序列扩频系统(DSSS)中,传输信号的时间域样本使用长度远大于位周期的扩频码进行编码。如果扩频码是秘密的或加密的,DSSS系统除了具有对干扰的弹性和防伪造性能外,还提供了物理层的认证和机密性。一个突出的加密DSSS物理层的例子是全球定位系统(GPS)的Y码和M码军用信号。
多载波扩频系统(MCSS)在频率域中相当于直接序列扩频系统(DSSS)。MCSS系统主要因其能够利用正交频分复用(OFDM)和码分多址(CDMA)技术,提高了频谱效率并增强了对多径衰落和干扰的鲁棒性而备受欢迎。在MCSS物理层中,OFDM信号的子载波使用扩频码进行编码。类似的方法可以用于通过在频率域中加密基带信号的样本或OFDM的子载波来实现加密的物理层。
2.1.1. 信息论安全
信道编码已经成为通信协议栈中物理层的不可或缺组成部分,用于增强和巩固链路的可靠性。3GPP规范在5G增强移动宽带(eMBB)网络中分别使用低密度奇偶校验码(LDPC)和极化码来处理数据和控制信道。已经证明这些编码方案在窃听信道模型下提供了信息论安全性。
经典密码和加密算法(包括公钥和对称密钥)提供了基于窃听者在不知道秘密密钥的情况下尝试解码加密消息的不可行计算复杂性的安全证明。信息论安全性依赖于合法接收者和窃听者观察到的不同信道条件。保密容量定义为从发送方到预期接收者和从发送方到窃听者之间通信信道的(信息论)容量之差。直觉上,如果合法接收者观察到的信道容量更大,它可以携带窃听者无法接收到的信息,而不管其可用的计算能力如何。
由信道编码方案提供的信息安全性基于强保密或弱保密进行评估。如果发送码字和窃听者接收的消息之间的互信息趋近于零(对于渐近长码字),则实现了强保密。弱保密是指码字的平均每比特互信息趋近于零的情况。一个实现窃听者信道容量的编码方案也可以提供完美保密性。基于这种关系,已经在和中提出了实现弱保密性的LDPC编码设计,而在中引入的LDPC码在预期接收者观察到的信道无噪声时提供了强保密性。所有这些方案都假定窃听者信道采用二元擦除信道(BEC)模型。
极化码在二元无记忆信道中也被证明可以在窃听者的主要信道不强于预期接收者的主要信道时实现弱保密性。在二元无记忆信道中,已经引入了多块极化编码方案,除了在此信道中保证可靠性外,还实现了强保密性。此外,极化码在提供强保密性的同时,实现了带有机密消息的广播信道的容量区域(在离散无记忆模型下)还对极化-极化和极化-LDPC码的串联进行了研究,以实现接近保密容量的最小差距。
由于信息论保密性依赖于通信信道条件,因此可以被侵入射频环境的攻击者所操纵。即使是被动窃听者也可以通过使用更先进的射频信号处理技术来胜过合法接收者。尽管保密容量是通道中信息流的理论极限,但仍取决于接收信号的信噪比(SINR)。接收信号的质量还取决于天线增益、射频前端噪声系数、信号同步、滤波和解码算法。因此,通过采用更高质量的射频前端电路、具有更高增益天线的波束成形以及更高计算复杂度的信号处理算法,窃听者可能会建立与合法接收者接近质量的通信信道。在这个视角下,我们注意到信息论保密性并非完全独立于接收器的复杂度。
主动窃听者也可以通过降低合法接收者的信道条件严重影响通道保密性。窃听者可以简单地增加合法接收者的干扰水平,同时保持自己接收端的通道条件。通过使用自干扰抵消技术或针对合法接收者的定向干扰的波束成形,可以实施这种攻击。我们注意到,在共存网络环境中增加干扰水平特别容易,因为这些环境会容忍来自未知源(来自共存网络)的更高水平的干扰。因此,主动窃听者可以将保密容量降低为零。
另一种主动窃听者可能会降低对信道状态信息(CSI)的估计。信道编码方案需要对CSI的完全了解才能提供承诺的保密速率。在大多数无线网络中,CSI是通过周期性训练阶段中的导频信号进行估计的。主动窃听者可能只干扰训练阶段,即所谓的导频污染,以降低信道估计的准确性 。时分双工(TDD)网络中的导频污染攻击已将下行传输的保密速率降低至接近零。
2.1.2 波束成形
波束成形是5G网络中新无线电(NR)物理层的主要特征之一。波束成形的主要承诺在于通过增强链路可靠性提供显著更高的数据速率。波束成形通过提供大型天线增益、形成直接视线通道以减轻多径衰落,并通过空间分工复用减少干扰,从而增加了信噪比(因此提高了可靠性)。然而,一些研究也声称可以使用波束成形来增强物理层安全性。直觉上,波束成形允许在发射器和预期接收者之间构建高度定向(因此是秘密的)通道,最小化信息(信号功率)泄漏到其他方向。
图1 操纵攻击中,主动的窃听者导致基站波束指向攻击者(Eve),而不是预期的用户
从信息论保密性的角度看
波束成形导致信号功率的高度定向传输和减少多径衰落效应,使预期接收者获得了稳定的信道条件,而对于位于不同方向的窃听者则导致信道明显恶化。因此,波束成形提高了保密容量,并潜在地提高了数据安全性。例如,的模拟结果显示,在毫米波通信中,波束成形可以实现每秒多千兆比特的保密速率。
窃听者还可以利用波束成形与合法发射器和接收器构建秘密通道,以形成中间人(MitM)位置。这样的攻击者难以被合法网络用户检测到。这与全向通信形成对比,后者窃听者和合法发射器的传输均可被相应接收器检测到。在这种情况下,分析传输模式可以揭示主动攻击者的存在。然而,波束成形可能会便利中间人攻击的位置。
除了中间人攻击者,波束成形实现的可靠性和保密容量可能会因为导频污染攻击而显著降低,这与信道状态信息(CSI)估计类似。在这种情况下,主动窃听者通过导频污染攻击使方向性波束偏离预期接收者的方向,指向自己的接收器。攻击如图1所示。攻击者(Eve)在基站的训练(信道估计)阶段引起干扰。结果是,基站波束指向Eve而不是合法用户。在这种情况下,预期接收者观察到的信道条件优势减弱,保密速率显著降低。此外,由于波束方向的偏离,提供给预期接收者的更高信道容量也会降低。
另一种被动窃听者可能会利用定向波束的反射来破坏波束成形提供的数据安全性。已经表明,高度定向的毫米波的反射可以被窃听者利用,显著降低保密容量。该研究在毫米波软件定义无线电(SDR)平台上进行实验表明,设备如手机或笔记本电脑的厘米级物体或金属表面可以产生足够强度的反射,将保密容量降低32%。此外,在预期接收者方向存在小信号阻挡的情况下,保密容量可能降低至零。
2.2. 5G接入安全
无线网络中的接入安全由身份验证和密钥协商(AKA)协议来保护,这构成了第二层安全的基础。3GPP标准定义了一个可扩展的身份验证协议(EAP),称为EAP-AKA',用于将非3GPP接入网络与4G网络集成。一个广泛使用的非3GPP接入网络是WLAN,它在WiFi保护接入(WPA2)中也采用了EAP框架。EAP-AKA'也是5G网络中支持的接入安全机制之一,除了5GAKA这个非常类似的协议。主要的区别在于5G-AKA中服务网络的SEAF在将UE的响应发送到家庭网络之前也会验证UE的响应。
EAP-AKA'的整体流程如图2所示。接下来,我们将审查几种对接入网络安全的攻击。
2.2.1. 身份保密
不同世代的蜂窝网络都在保护用户身份方面付出了很大的努力。国际移动用户识别码(IMSI)是SIM卡的唯一标识。在5G网络中的一个等效标识是订户永久标识符(SUPI),它不仅限于蜂窝服务,还可以在不同的5G环境中使用,比如物联网网络。为了保护用户的隐私,5G网络采用订阅隐藏标识符(SUCI),其中包含了使用用户家庭网络的公钥加密的SUPI的版本。在首次连接到网络(UE传输SUCI)并启动无线信道加密后,UE被分配一个全球唯一临时标识符(GUTI)以防止频繁传输SUCI。
虽然定义临时标识符(如4G/5G网络中的GUTI)减少了由于频繁传输而暴露SUCI的机会,但是GUTI的值仍然具有很长的生命周期。因此,暴露GUTI(例如,通过窃听通信信道)可能会向对手提供用户/设备的软标识。特别是,在结合攻击中,用户的位置保密性被破坏,除了GUTI之外,攻击者还可以攻击用户的隐私并获取诸如电话号码、网络活动、电话和短信等信息。此外,即使GUTI值被刷新,攻击者也可以跟踪用户。因此,长生命周期的GUTI的泄露可能会产生与IMSI捕获攻击相似的效果。
图2 基于可扩展认证协议(EAP)的5G网络访问安全,以及协议的不同攻击点
尽管5G网络采用SUCI和GUTI来保护设备的永久标识,但在5G网络中,UE仍然可能以明文传输SUPI(或等效的IMSI)。在未经身份验证的紧急呼叫情况下,SUPI的安全性不能保证,UE可能会传输明文SUPI。紧急服务适用于身份验证失败的UE和不能或可能无法进行身份验证的场景。在共存网络环境中,攻击者可以主动访问频谱,并引入故障,而不被识别为对手。因此,通过制造紧急情况,例如通过引入故障导致身份验证失败,攻击者可以强制UE以明文传输SUPI/IMSI。通过窃听通信信道,攻击者可以获取IMSI。此外,攻击者还可以建立伪造的基站,伪装成合法的gNB,并使UE直接向攻击者发送IMSI的紧急服务请求。
2.2.2. 国际移动用户识别码(IMSI)破解
尽管在5G网络中使用的标识(SUCI)是加密的,但攻击者仍可以使用不同技术的组合来破解隐藏的IMSI。IMSI是一个49位的标识符,其中18位是已知潜在攻击者的共同国家代码。此外,一种称为ToRPEDO(TRacking via Paging mEssage DistributiOn)的侧信道攻击可以在不到10次呼叫的情况下恢复IMSI的7位,即使在每次呼叫后临时移动用户标识(TMSI)发生变化的情况下。攻击基于跟踪设备的寻呼时机(在低功耗空闲状态下对待处理服务的定期轮询)。寻呼时机的时间段对应于与IMSI的7位相关的蜂窝设备。因此,攻击者可以通过观察寻呼时机的时序及相应的IMSI的7位来验证设备是否在附近(粗粒度的位置信息)。
IMSI的剩余24位可以通过利用5G身份验证机制的安全漏洞进行暴力破解攻击获得。攻击者拥有家庭网络的公钥后,可以通过加密IMSI的猜测并将其发送到核心网络进行识别来伪造一个SUCI。网络的响应要么是AUTH_REQUEST(身份在网络中有效),要么是REGISTRATION_REJECT(无效的身份)。如果收到AUTH_REQUEST响应,则将其转发给设备,以验证所猜测的SUCI是否属于受害者设备。设备的响应要么是AUTH_RESPONSE(身份属于设备),要么是AUTH_FAIL(错误的身份)。使用ToRPEDO的实际攻击已成功地在74小时内恢复了IMSI。
2.2.3. 位置保密性
上述的ToRPEDO攻击可以提供有关蜂窝设备的粗粒度位置信息。攻击者可以进一步利用射频信号处理技术,如到达角(AoA)估计和接收信号强度(RSS),获取和跟踪设备的细粒度位置。另一种补充攻击称为可追踪性攻击,也可用于验证特定设备(已经使用ToRPEDO进行了特征化)是否在攻击者的附近。
可追踪性攻击利用了5G网络的EAP身份验证机制的漏洞,如图2所示。通过窃听设备的通信,在初始身份验证期间,攻击者将挑战消息(RAND,AUTN)与设备绑定。为了验证设备的存在并跟踪设备的位置,攻击者可以向设备重播挑战消息。如果设备在附近,它将以SYNC_FAIL消息响应。因此,攻击者可以在不需要与核心网络进行消息交换的情况下跟踪用户。
2.2.4. 拒绝服务(DoS)
由于5G网络预计将为大量设备提供连接,从移动设备到物联网设备,因此DoS(拒绝服务)和分布式DoS(DDoS)也已成为更严重和更有效的安全攻击,其实施机制更为简单。这些攻击属于无侵入性精密网络武器(UPCW)的范畴,在物联网时代已成为严重的网络安全威胁。这些攻击通常需要较低的先前攻击情报收集和先前定位利用,同时对网络性能造成更有效的破坏。UPCW攻击可以耗尽和超载网络核心(例如身份验证服务器)和设备的资源,如DDoS、电话拒绝服务(TDoS)和休眠拒绝服务(DoSL)。
图2显示了针对5G网络身份验证协议的DoS目标的示例。攻击者(伪造基站)可以向设备发送大量的身份验证请求消息,并超载设备的计算资源。另一方面,如果攻击者将此类消息发送给多个(物联网)设备(或通过已安装的恶意软件强制设备),那么设备将向网络核心(SEAF在服务网络中)发送其GUTI。在任何情况下,服务网络将发送SUPI(对应于GUTI)或SUCI到家庭网络以生成相应的身份验证向量。仅在将大量身份验证请求传输到网络核心后,网络的通信和计算资源将会被耗尽。同样,如果向设备发送大量身份验证请求,它将被迫频繁计算响应,从而超载其计算和电源资源。
对于物联网设备,这将导致电池耗尽,即所谓的DoSL攻击。除了操纵设备以超载网络外,攻击者还可以收集大量的GUTI和/或SUCI并向网络核心发送身份验证请求。此外,攻击者可能使用伪造或感染恶意软件的设备发送虚假SUCI。如图2所示,服务网络将把SUCI发送到家庭网络以解密隐藏的标识符并验证SUCI的真实性。因此,网络核心的资源将被耗尽。在这种情况下,攻击者甚至无需与设备进行通信。
2.2.5. 切换安全性
在动态环境中,切换过程的安全性对于5G(以及更高版本)和WiFi(特别是广域和企业)网络是一个主要挑战。特别是在高移动性应用中,复杂的认证和握手协议的延迟是无法容忍的。另一方面,设备在切换过程中最容易受到安全攻击,例如伪基站和DoS,因为它们的连接能力最弱。现有的安全架构利用初始认证过程作为简化切换过程安全机制的信任基础。尽管这种方法与未来零信任架构的视角相矛盾,但它满足了延迟敏感应用所需的延迟要求。
图3 5G网络中切换的安全协议
具有针对重放攻击和干扰攻击的不同弱点
5G网络切换过程中的安全握手如图3所示。当从源gNB到目标gNB做出基于路径检测、信道条件和用户位置的切换决策时,安全握手就会启动。源gNB使用物理小区标识(PCI)和绝对射频信道号(ARFCN)通过密钥派生函数(KDF)从当前密钥KgNB导出会话密钥K∗gNB。然后,源gNB将新密钥和下一跳链路计数器(NCC)发送给目标gNB。这个过程提供了前向安全性;拥有当前密钥并不会泄露有关以前会话密钥的信息。然而,后向安全性并不被保证;如果对手妥协了源gNB,那么所有未来的会话密钥都会被泄露。为了解决这个问题,切换机制还包括设备切换到目标gNB后的gNB内部过程(用户设备和目标gNB之间)。然而,gNB内部过程仍然需要大量的通信开销和计算复杂性。
2.3. WiFi 6/6E 访问安全
WiFi网络的访问安全也是基于第二层安全性(认证),类似于5G网络。在第三代中,WiFi系统利用了基于EAP的认证框架在WPA2中,而第四代WiFi则采用了基于Simultaneous Authentication of Equals(SAE)的WPA3,在IEEE 802.11中进行了标准化。虽然WPA2框架存在与5G网络类似的EAP漏洞,但WPA3也容易受到降级攻击、DoS和侧信道攻击的影响,因为计算复杂性较高。以下简要介绍了使用WPA2和/或WPA3保护的WiFi网络访问安全的几种攻击。
1.重放消息造成的手动切换失败
上述切换过程的一个主要漏洞是因伪基站(gNB)重放消息而导致失败。攻击者截获gNB之间的第一条消息,即(K∗gNB, NCC),并在UE即将在两个gNB之间切换时重放此消息。目标gNB无法验证此消息的真实性。因此,它使用与UE一起接收的会话密钥。它还将接收到的NCC发送回UE。然而,这个NCC与UE的本地计数器不同(因为它是一个重播消息),切换失败。在类似的攻击中,称为干扰或解同步攻击,对手可以改变NCC的值,这同样会导致切换失败。这些攻击是通过在切换过程中激活的伪造gNB来实施的。
2.WiFi网络的访问安全
WiFi 6/6E网络的访问安全也是基于第二层安全性(认证),类似于5G网络。在第三代中,WiFi系统利用了基于EAP的认证框架在WPA2中,而第四代WiFi则采用了基于Simultaneous Authentication of Equals(SAE)的WPA3,在IEEE 802.11中进行了标准化。虽然WPA2框架存在与5G网络类似的EAP漏洞,但WPA3也容易受到降级攻击、DoS和侧信道攻击的影响,因为计算复杂性较高。以下简要介绍了使用WPA2和/或WPA3保护的WiFi网络访问安全的几种攻击。
“ S-Lab是一家专业的测试实验室,专注于发现和解决5G WiFi网络安全漏洞以及智能终端软件安全问题。我们拥有广泛的测试经验和专业知识,能够针对5G WiFi网络和智能终端软件展开全面的安全测试。通过深入分析和检测,我们致力于识别并解决潜在的安全风险,确保您的网络和设备免受威胁。无论是针对5G网络还是智能终端,S-Lab均能为您提供可靠的安全测试服务,让您的系统和设备处于安全可靠的状态。”
2.3.1. 伪造接入点(AP)
WiFi网络访问安全中一个众所周知且有效的攻击是伪造AP,通常称为“恶意双胞胎”。由于AP的信标数据包未加密,攻击者可以轻松获取网络名称(SSID)和其MAC地址(BSSID)。因此,攻击者可能冒充合法AP(LAP)并迫使设备连接到伪造AP(例如,通过发射更高信号强度)。如果设备已经连接到LAP,攻击者可以进行退役攻击,促使设备连接到伪造AP。
尽管WiFi的安全机制(尤其是第三代及更早版本)容易受到恶意双胞胎攻击,但也有有效的保护技术可用于检测伪造AP。例如,验证WiFi客户端(用户设备)与不同AP的重复关联,当合法AP和伪造AP都连接到相同信道的客户端时就会发生这种情况。此外,网络的安全策略规则可能会阻止设备在没有进行网络的双向身份验证时与AP进行通信。但需要注意的是,所有这些规定都是特定实施的,并不能提供加密保证来抵御各种类型的攻击。
除了中间人(MitM)攻击之外,恶意双胞胎还可以对WiFi访问安全进行一种更简单且有效的攻击,称为服务阻断。在这种攻击中,攻击者并不与WiFi设备关联,而是破坏WPA2的认证过程,导致任何与LAP的连接都被阻止。
图4 在WPA2保护的WiFi中,利用恶意双胞胎协助的服务阻断攻击,攻击基于EAP的认证握手
图4显示了针对WiFi的WPA2认证协议的服务阻塞攻击流程。WiFi STA(设备)向LAP发送探测和认证请求以初始化连接。LAP在每个请求后都会做出相应的响应。如图所示,在客户端发送认证请求后,合法接入点和恶意伪装的接入点(恶意双胞胎)都向客户端发送探测响应。同样,认证/关联响应消息也会根据图4中的时间线由LAP和恶意双胞胎发送给客户端。恶意双胞胎的响应在图中从中部以红色水平线显示到WiFi STA。在收到STA的认证响应后,STA启动4路EAP握手协议。无论客户端是先从LAP还是恶意双胞胎收到EAP握手协议的消息1,它都会回复消息2。然而,一旦从另一个接入点(恶意双胞胎或合法接入点)收到另一个消息1,握手协议将失败,并导致与合法接入点的连接中断。
在WPA安全系统中进行相互认证时,使用预共享的对等主密钥(PMK)来生成称为对等瞬态密钥(PTK)的会话密钥,使用随机数SNonce(在AP端)和ANonce(在客户端)。密钥重新安装攻击是通过重放EAP握手协议中的消息3来部署的,这导致重置Nonce和重放计数器。结果是,已经在使用中的先前PTK将被安装用于后续通信。然而,对于成功的攻击,攻击者需要处于中间人的位置,在重新传输消息3之前阻止消息4到达AP。根据所使用的安全协议,密钥重新安装允许进一步的重放攻击、解密和伪造消息。尽管有几种特定于实现的规定来检测和防止消息3的重播,但许多硬件平台仍然容易受到密钥重新安装攻击的影响。例如,大多数安全的实现可能只接受消息3的加密版本进行重传。例如,OpenBSD、OS X和macOS要求对消息3进行加密。然而,在进行密钥刷新操作期间,握手协议(例如CPU)和数据机密性协议(例如网络接口控制器)之间的组件存在竞争条件,仍然可以利用密钥重新安装攻击。
在图5中显示了密钥刷新期间密钥重新安装攻击的流程,其中消息3也是加密的。密钥刷新交换与4路EAP握手类似,不同之处在于现在使用当前密钥加密消息。如图所示,在第1阶段,图表的第1阶段建立了初始密钥。在第2阶段(当需要密钥刷新时),启动了带有加密消息的EAP握手。攻击的目标是握手的(加密)消息3。攻击者需要形成中间人位置。在这种情况下,当消息3(使用当前PTK加密)从AP传输到客户端时,攻击者阻止了消息。因此,AP重新传输消息3。在这一点上,攻击者立即将两条消息同时传输到客户端设备。无线网络接入控制器(NIC)解密消息(使用当前PTK),然后发送给CPU。在收到第一条消息后,CPU刷新PTK。类似地,CPU接收到第二条消息(该消息被加密,但是使用旧的PTK),然后重新安装PTK。这导致与PTK关联的Nonce值重新从1开始。即使在要求在重新键入期间对消息3进行加密的安全实现上,上述密钥重新安装攻击也是由于系统中不同安全模块之间的竞争条件造成的。
具体来说,现代NIC支持用于数据机密性的高级加密协议。然而,不同安全组件之间的分离即使采取了强制加密消息的规定,也会产生新的安全漏洞。
2.3.3. DoS 攻击
针对密钥重新安装攻击,WiFi联盟推出了WPA3,其中包括基于SAE框架的Dragonfly握手协议的变种,用于WiFi安全系统。此外,它定义了一种过渡模式,支持WPA3和WPA2以实现向后兼容。虽然基于SAE的WiFi握手协议承诺提供改进的安全性,但产生了大量的计算开销,导致了DoS攻击。因此,在商用现成设备(COTS)上实现WPA3安全性是具有挑战性的。
图5 在WPA2保护的WiFi中,基于EAP的认证握手的密钥重新安装攻击,涉及中间人(MitM)
WPA3的Dragonfly握手支持从预共享密钥/密码和相互认证中派生密钥的椭圆曲线密码学(ECC)和有限域密码学(FFC)。Dragonfly协议使用尝试递增循环机制将密码的哈希转换为椭圆曲线(或乘法群)上的有效点。为了防止时序攻击,在这个过程中需要大量的操作(数量级比替代方法大)。因此,Dragonfly还采用了一种防塞机制,防止攻击者利用大量开销展开DoS攻击。然而,防塞机制并不能保证免受DoS攻击。在一个实验中,使用了一个具有700MHz CPU的Raspberry Pi B+作为攻击专业AP(拥有1200MHz CPU)的对抗站。实验结果显示,攻击者每秒只需伪造8次Dragonfly协议的提交交换,即可将AP的CPU使用率提高到100%。
2.3.4. 降级攻击
在过渡模式中,同时支持WPA3和WPA2,两者的认证协议使用相同的密码。因此,通过进行降级攻击(例如伪造信标消息并强制WiFi设备使用WPA2),可以攻击WPA2安全协议来恢复密码。为防止降级攻击,过渡模式下WPA2握手包括一个具有所有支持的协议套件列表的Robust Security Network Element (RSNE)。因此,客户设备可以检测到对手伪造的信标消息。
上述防御机制仍然容易受到降级攻击的影响。攻击者可以向客户端发送带有WPA2-only网络的信标,其SSID是支持WPA3的合法AP。由于握手的第一个消息没有经过认证,客户端将连接到攻击者的AP并发送经过认证的第二个消息。在这一点上,攻击者可以利用第二个消息进行离线字典攻击以恢复密码。在这种攻击中,对手甚至不需要处于中间人的位置。
该降级攻击针对椭圆曲线或乘法群的集合。SAE框架定义了不同的群组,由用户进行优先级排序和配置。选择群组的协商机制可以被攻击者利用,以强制进行特定攻击更有利的群组选择。这种攻击部署在中间人的位置上,攻击者可以阻止某些协商交换,只允许与优选群组对应的消息通过。考虑到不同的群组可能对侧信道攻击(例如时序攻击和缓存攻击)显示出不同类型的漏洞,这一点尤其重要。因此,攻击者可以迫使用户选择最容易受到此类攻击影响的群组。
3.共存和非授权频谱共享加剧了安全挑战
在共存网络环境中的频谱共享给独立网络的安全系统增加了额外的攻击面。独立网络的安全的第一层是认证框架(第2层),它假设任何频谱访问都属于同一网络,并且必须经过验证。频谱共享的主要挑战源于现有安全框架无法识别来自网络外部的访问。然而,在共存环境中,网络实体(基站或设备)必须首先与其他网络(很可能具有独立和私有安全机制)竞争获取频谱。只有获得访问权限后,网络的安全框架才能对访问进行验证和授权。在这种环境下,敌对方可以作为合法实体竞争频谱,而独立网络中没有安全机制可以检测到这种攻击者。这种漏洞在图6中有概念性地描述。
现有的共存网络的频谱共享解决方案不包括任何安全机制,而是专注于网络性能指标,特别是体验质量(QoE)。它们将安全性条款推迟到通信协议栈上层的访问安全框架中。这导致了一个即时的漏洞,如图6(a)所示;在这样的环境中,攻击者与合法网络用户共存是不可避免的。攻击者与合法网络用户的共存是频谱共享系统的新攻击面,在独立网络中是不存在的。这种观点揭示了在频谱共享中需要安全机制的必要性,因为在访问频谱之后,网络内部的安全机制才是相关的。为了强调安全频谱共享的重要性,我们简要回顾了攻击者利用未受保护的频谱共享并部署新攻击或利用更大影响和更简单机制的现有已知攻击的机会。
3.1. 频谱共享系统的安全性
由于5G和WiFi网络的共存是新兴趋势,为了解决下一代无线网络中的频谱稀缺问题,有限的研究研究了共存对网络安全的影响。传统的频谱共享(SS)系统与共存网络环境密切相关,是一个更传统的网络解决方案,用于提高频谱利用效率,与拥有许可频谱带的独立网络相对。传统SS系统与共存网络环境之间的主要区别在于两种方案中的不对称与对称频谱访问。传统SS系统包括占主导地位或主用户(PU),他们与辅助用户(SU)共享频谱。这被称为两层频谱共享机制。频谱访问的优先级始终属于PU。只有在没有PU存在时,次级用户才能使用频谱。虽然这种方案允许在没有PU用户的地理区域或时间段内重复使用频谱,但仍无法在两个(或更多)网络的用户之间进行细粒度的频谱共享,这可能会提高整体网络容量。
共存网络方案为两个或多个网络的用户提供频谱的细粒度访问,包括频率和时间领域,采用公平(对称机制)的方式,如下一节所述。由于两个网络对频谱的访问是对称的,各自的用户经历的中断较少,进而提高了整体网络容量。关于5G和WiFi共存环境中可实现的网络吞吐量的研究可参考。然而,共存的安全性影响与传统的SS系统类似,因为两种方案共享相同的频段。因此,预期类似于SS系统的安全挑战也会转移到共存网络方案中。在本节中,我们回顾了此类SS系统已知的安全挑战。
图6 比较(a)未保护的和(b)安全的频谱共享,以确定攻击者是否能够访问(劫持)频谱
在两层频谱共享中的一个众所周知的攻击是主用户仿真(PUE),即攻击者模拟并发送主用户的信号。虽然主用户可以通过主网络的安全机制检测到此攻击,但辅助用户没有机制来验证PUE的访问是否合法。因此,PUE攻击者可以阻止辅助用户访问频谱。这也被称为动态频谱访问(DSA)DoS攻击。PUE攻击还可以被利用来部署更复杂的攻击,例如频谱蜜罐。在这种攻击中,攻击者通过占用其他频道强制辅助用户使用目标信道。这种攻击可以用于促进中间人攻击,或者简单地操纵辅助用户在目标信道中产生更多干扰。
除了PUE,辅助用户还可能对主用户产生增加的(潜在的不希望的)干扰。如果辅助用户无法感知到主用户的信号,例如由于多径衰落通道,它将访问频谱,这反过来会对主用户造成有害干扰。一种解决方案是在辅助用户访问频谱时使用分布式感知和集中决策机制。在这种情况下,所有辅助用户向集中式频谱访问系统(SAS)报告他们的频谱感知结果,SAS会授权辅助用户进行传输(如果未检测到主用户信号)。然而,这种机制容易受到频谱感知数据篡改(SSDF)攻击的影响,攻击者会冒充辅助用户并向SAS发送虚假数据。
频谱共享的自然结果是可能发生窃听攻击(主动或被动)。为了防止在共享频谱中的干扰,网络的信号必须能够被外部用户检测到。通过这种方式,外部用户也可以分析网络活动和流量,这违反了用户的隐私。除了位置信息之外,攻击者还可以拦截合法用户的信号以提取私密和/或敏感信息。在MIMO系统中的一种解决方案是使用波束成形建立高保密容量的数据通道,如第2.1.2节所述。智能(友好的)干扰信号也被用于这些系统以增加保密容量。一个例子是在合法通信对之间的信道的空洞中发送人工噪声。然而,这些技术需要对信道状态信息(CSI)进行估计,这可能成为主动窃听攻击的目标。
关于频谱共享安全性的大部分现有研究都研究了多层系统(非对称频谱访问)中的漏洞。虽然共存环境中也存在类似的漏洞,但在具有对称频谱访问的共存网络中存在特定的安全问题。在接下来的章节中,我们将回顾共存环境特定的潜在漏洞部分,同时也揭示了与多层系统的相似之处。
3.2. 频谱劫持
由于频谱共享发生在独立网络中任何安全机制激活之前,攻击者可以伪装成一个合法的网络实体,共享频谱而不被识别为对手。这导致了一种频谱劫持攻击,在独立网络中没有类似的情况。这种共存的漏洞严重降低了服务质量(QoE),而共存网络的主要承诺是提供高质量的服务保证。除了降低QoE之外,频谱劫持攻击还可能对公共安全和关键任务的通信构成严重威胁。5G和WiFi 6/6E网络中无缝连接和低延迟的承诺是与公共安全相关的技术的基本要求,包括自动驾驶车辆、智能城市和基础设施、紧急响应者以及监控系统。这些应用程序中的许多也对延迟敏感,即及时交付内容对其运行是至关重要的要求。然而,最简单的频谱劫持攻击可以破坏网络的连通性,或者至少在提供所需服务方面引入较大的延迟。
独立网络中的独立安全机制和隐私要求促成了频谱劫持攻击。抵御此类攻击的一种解决方案是使用可信的第三方为不同网络(5G和WiFi 6/6E)提供访问安全服务(即身份验证服务)。通过这种方式,每个网络都可以使用从可信方获得的访问令牌来验证访问的合法性。然而,这种方法需要对网络的安全架构进行重大改变,这似乎是不切实际的。此外,独立网络中的隐私要求在保护标识符和网络流量方面,阻止了用户信息在网络之间的共享。
3.3. 服务降级
共存攻击者可以利用未受保护的频谱共享来引起不同网络传输之间的干扰,从而导致服务质量(QoS)降低(高延迟和低吞吐量)。为了理解这种攻击,我们考虑5G和WiFi 6/6E共存中频谱共享现有解决方案的主要思想,如图7所示。
每个无线设备首先使用一组基于LBT的协议争夺空闲频谱。WiFi 6系统支持单用户(SU)和多用户(MU)两种模式。在SU模式下,每个WiFi站点(STA)单独争夺频谱。WiFi 6/6E的MU模式与5G网络的上行OFDMA非常相似。在此模式下,WiFi AP或5G gNB争夺频谱。在成功获得空闲频谱后,AP/gNB会在OFDMA单元中安排其用户。
图7 基于“先听后发”(LBT)协议的频谱访问
以实现5G和WiFi 6/6E的共存
共存网络中频谱共享机制的主要挑战是隐藏节点问题。如果一个网络的基站对另一个网络是隐藏节点,很可能两个网络都在相同的OFDMA单元中安排其各自的用户。因此,两个网络中的传输会相互干扰。在独立网络中,使用介质访问控制(MAC)协议检测和/或避免隐藏节点。然而,在共存环境中,由于网络的独立MAC协议以及它们之间缺乏信息共享,网络间隐藏节点是不可避免的。这可能引起共存环境中的安全问题。
共存网络中的隐藏节点问题可以被攻击者利用来严重降低QoS。即使基站实际上并不处于隐藏节点位置,利用潜在的隐藏节点存在的简单攻击也可以导致服务降级。假设基站争夺频谱,并且AP/gNB成功获取了某些信道(例如,OFDMA单元)。攻击者可以伪造gNB/AP的控制通道数据包,并在已经被AP/gNB占用的相同信道上安排各自网络的用户。结果是,两个网络的用户在相同的OFDMA单元中进行传输。尽管已安排的用户仍然使用LBT协议进行传输,但这种情况可能会大幅降低QoS。首先,用户必须等待信道释放,这会增加网络延迟。其次,在传播延迟较长的较广区域中,来自不同网络的数据包碰撞很可能发生。第三,不同网络的无线设备可能处于隐藏节点位置,导致不同网络的数据包碰撞。
3.4. 伪中间人攻击
在先前章节讨论的无线网络访问安全的现有攻击中,大多数都是由中间人(MitM)攻击者启用或促成的。一个突出的例子是针对WiFi的WPA2和WPA3安全性的密钥重新安装和降级攻击。在这些攻击中,对手需要有选择地阻止、传输或重播身份验证握手协议中的消息。从WPA3到WPA2的降级攻击可能不需要中间人位置,但由此攻击者更有效,检测几率较低。同样,利用恶意双胞胎对WiFi的服务阻塞攻击,在中间人攻击位置上可能更有效。
我们讨论了恶意双胞胎的存在会导致WiFi设备的重复关联,这可能引起对恶意AP存在的警告。然而,在中间人攻击位置上的恶意双胞胎更难以检测。
中间人攻击者还可以对5G网络的访问安全造成严重威胁。例如,重播消息以传输大量的重新认证请求,对UE或核心网络进行DoS攻击。
虽然在这种情况下中间人攻击并非必需,但它可以通过分析基站的频谱活动来降低检测攻击者的几率。尽管5G网络进行了数项安全增强,但流氓基站或等效的中间人攻击者仍然被视为对网络的严重威胁。
对手可以利用共存环境形成类似中间人(伪中间人)的位置,具有类似的攻击能力。通过利用隐藏节点问题,攻击者在上行传输期间可能会为基站产生干扰,同时还能接收用户的消息。类似的攻击可以针对选定的用户设备在下载传输中展开。然后,攻击者可以选择性地向基站/设备重播消息。这与经典中间人攻击略有不同,后者是攻击者拦截用户和基站之间的整个通信。
对手还可以采用类似的机制来促进流氓基站的部署。攻击者通过产生干扰来阻塞基站的通信频道,同时与用户进行通信。在此期间,攻击者可以说服用户连接到流氓基站。在这些情景中,基站无法区分来自共享频谱的合法网络的干扰还是攻击者的恶意干扰。
3.4.1. 物理层安全
现有的安全规范中并没有包括物理层安全的标准化协议。然而,目前正在进行研究并对利用射频(RF)特征作为物理层安全的认证协议感兴趣。5G和WiFi 6中新无线电(NR)物理层中这些技术的重要例子是射频指纹和波束成形,用于设备的唯一识别。虽然这些解决方案看起来很有前景,但仍然有待解决的挑战,包括设备、时间和射频传播通道上的不确定性和变异性。
图8 利用波束成形和共存网络环境,在部署有效的中间人(MitM)位置
物理层安全机制仍然针对独立网络,共存环境挑战了它们的有效性。例如,这些技术可以为在网络内部进行设备认证提供额外的识别信息。然而,在共存环境中,来自网络域外的未知设备仍必须被视为合法设备。与其他攻击一样,这可能降低了这类安全机制的有效性。
4.缓解策略
在下一代无线网络高度动态的环境下解决安全挑战是一个多方面的优化问题,受到QoE约束。在这个问题中经常遇到的三难问题如图9所示。在区块链安全性的背景下(通过替换可访问性为去中心化),也讨论了类似的三难问题。
无缝连接(可访问性)是5G/6G网络的主要承诺,通过多RAT技术实现。可扩展性是无线网络的不可避免的特性,因为它们预计在物联网时代支持大量移动设备。在保持隐私的同时提供安全性预计会在网络和设备上产生最小的通信和计算开销。改善这些属性中的任何两个可能需要在第三个属性中做出妥协,特别是在当前静态安全框架的背景下。
目前针对现有安全问题的解决方案往往会牺牲图9中的某个属性。它们可能需要更多的消息交换,或者更复杂的加密算法,用于身份验证和识别的集中安全性,这会增加延迟并降低可访问性属性。部分解决方案需要预共享秘密密钥,这对于预计在网络中运行的数十亿设备而言是一个挑战(可扩展性挑战)。基于零信任架构(ZTA)的下一代网络安全模型,如所讨论的,可能提供一种达到这个三难问题的最佳点(甜蜜点)的机制。
现有安全解决方案的更为关键的问题是对所有网络资源所有权的假设,以及对共存特性(特别是在介质访问控制(MAC)方面)的忽视。后者是一个严重的问题,因为任何解决方案都必须容忍来自共存网络的未知访问。此外,由于严格的隐私约束,网络的身份以及相应的机密信息和使用要求无法在网络运营商之间共享。
因此,在实践中,基于合作介质访问的解决方案是具有挑战性的。因此,一个安全的共存框架应该处理未知访问,同时保护个别网络用户的安全性。接下来,我们将首先回顾一些现有的针对独立网络安全问题的解决方案,这些问题在前面的章节中已经讨论过。接下来,我们将讨论可接受的解决方案的要求,以解决共存环境中的安全挑战。
4.1. 物理层安全解决方案
正如第2.1节所讨论的,加密的物理层可以通过密码学证明保护模拟信号免受拦截。然而,这种解决方案在密钥协商和分发方面遇到可扩展性问题,因为预计无线网络将支持数量庞大的设备。诸如Diffie-Hellman(D-H)之类的密钥交换协议可以帮助生成密钥,但是,需要公钥基础设施和相关的证书机构仍然是一个问题。考虑到下一代网络中存在大量私有的5G纳米基站和WiFi接入点,情况更加严峻。此外,DH协议和相关的公钥密码学会在通信和计算方面产生巨大的开销,尤其是对于资源受限的设备。
通信信道的保密容量,尤其是5G网络新射频物理层中的波束成形技术,可以用于实现密钥协商协议。基站向合法用户传输随机序列,而窃听者则试图伪造用户的训练信号以导致波束方向偏离。然后,基站使用窃听者的传输来估计信息泄露并相应地调整密钥长度。
图9 在巩固安全性同时在动态无线网络中提供期望的服务质量(QoE)时经常遇到的三难问题
在多输入多输出(MIMO)系统中引入人工噪声(AN)和匹配滤波器预编码是对抗信道污染的常见方法。研究表明,在某些正交条件下,此技术可以防止窃听者降低保密率。这些技术通常需要对信道状态信息(CSI)有着完全的了解。也有研究员采用半盲技术来估计合法用户的信号,该技术不需要CSI。类似数据辅助技术可用于在大规模MIMO系统中训练阶段的上行信道估计中。
4.2. 访问安全解决方案
为了在第2层认证机制中提供完美的前向保密性,有研究者提出将D-H密钥交换协议集成到5G-AKA中。该方案还保护来自具有长期密钥的被动窃听者的会话密钥。该技术可以防止5G-AKA协议中的挑战随机数泄露,因此防止了被动窃听攻击中的会话密钥泄露。会话密钥是由长期密钥和挑战随机数生成的。在认证开始时采用密钥协商交换的方法,与WPA3使用Dragonfly握手协议而不是D-H协议的类似方法一样。
还可以使用D-H密钥交换来保护免受身份泄露和重放攻击的方案。在D-H握手中生成的会话密钥用于加密标识符,从而保证了身份机密性。此外,与5G核心网络的消息交换伴随着消息认证码(MAC),可以防止伪造消息并防范重放攻击。消息SYNC_FAIL和MAC_FAIL的加密也可以防止在第2.2.3节中讨论的可追踪性攻击。
解决公钥机制的挑战,特别是建立信任的解决方案,通常使用区块链。将区块链技术与公钥基础设施(PKI)证书相结合已经成为实现设备对设备和车辆通信中轻量且可信平台的热门解决方案。有研究者在车载自组网(VANET)中记录与用户访问权限相关的证书的区块链结构,该结构还保证了用户的身份隐私。类似的方法也基于以太坊区块链中开发。
跨层身份验证技术也引起了关注,作为保护身份和位置保密性、防止消息伪造、窃听和恶意基站的手段。这些技术将PLA(如前一节所讨论的)与第2层身份验证机制集成在一起在这些技术中,物理层特征被用作第2层身份验证机制中的指纹参数,用于初始识别和随机生成。
为了解决5G网络动态性的问题,有研究者介绍了一个在PLA和上层身份验证机制之间耦合的跨层机制。该工作利用了物理层的多个指纹特征来提高可靠性和稳定性。此外,上层身份验证机制还用于更新PLA的模型参数,以适应计算复杂性较低的环境。这采用与分离方法相反的方法,后者在第2层验证成功后才使用PLA。
”S-Lab是专注于网络安全的实验室,致力于发现并解决5G WiFi网络和智能终端软件中的安全漏洞。我们拥有先进的测试技术,能够深入分析5G网络中的安全隐患,同时针对智能终端软件进行全面检测,发现并修复潜在的安全漏洞。我们的团队专业且经验丰富,致力于保障用户数据和网络安全,为客户提供可靠的安全解决方案。无论是5G网络还是智能终端软件,S-Lab都是您信赖的安全合作伙伴。“
学术引用
E. Hof, S. Shamai, Secrecy-achieving polar-coding, in: 2010 IEEE Information Theory Workshop, IEEE, 2010, pp. 1–5.
J. Jagannath, N. Polosky, A. Jagannath, F. Restuccia, T. Melodia, Machine learning for wireless communications in the Internet of Things: A comprehensive survey, Ad Hoc Networks 93 (2019) 101913.
Ramezanpour, Keyvan, Jithin Jagannath, and Anu Jagannath. "Security and privacy vulnerabilities of 5G/6G and WiFi 6: Survey and research directions from a coexistence perspective." Computer Networks 221 (2023): 109515.
M. Andersson, V. Rathi, R. Thobaben, J. Kliewer, M. Skoglund, Nested polar codes for wiretap and relay channels, IEEE Communications Letters 14 (8) (2010) 752–754.
Z. Liu, H. Lee, M. O. Khyam, J. He, D. Pesch, K. Moessner, W. Saad, H. V. Poor, et al., 6G for Vehicle-to-Everything (V2X) Communications: Enabling Technologies, Challenges, and Opportunities, arXiv preprint arXiv:2012.07753 (2020).
阅读 133