1.3 5G网络安全威胁
5G网络安全需要从技术、场景、产业生态维度进行综合分析。
在5G关键技术方面,NFV由于管理控制功能高度集中,因此,存在的安全风险包括功能失效或被非法控制、某个VNF被攻击将会波及其他功能、大量采用开源和第三方软件引入安全漏洞。网络切片由于是在共享的资源上实现逻辑隔离,低防护能力的网络切片可能受到攻击并成为跳板。边缘计算的安全风险在于当部署到相对不安全的物理环境时受到物理攻击的可能性更大,以及由于部署多个应用而存在安全短板。网络能力开放的安全风险在于将用户个人信息、网络数据和业务数据等从网络运营商内部的封闭平台中开放出来造成数据泄露,以及由于采用互联网通用协议引入互联网已有的安全风险。
在eMBB场景下,网络边缘数据流量大幅提升造成现有网络安全设备在流量检测、链路覆盖、数据存储等方面难以满足安全防护需求;在uRLLC场景下,低时延需求造成复杂安全机制部署受限;在mMTC场景下,由于应用覆盖领域广、接入设备多,造成海量多样化终端易被攻击利用,对网络运行安全造成威胁。
5G产业生态主要包括网络运营商、设备供应商、行业应用服务提供商等,其安全基础技术及产业支撑能力的持续创新性和全球协同性对5G安全具有重要影响。
5G网络的风险存在于多个环节,包括空中接口、终端、基站、传输、核心网、网络切片、边缘计算、网络应用平台、网络能力开放平台、网络运营与计费系统等;可能对5G网络发起的安全攻击包括非授权接入、非法窃听、越权访问、资源滥用、信令风暴、DDoS攻击、会话劫持、内容篡改、恶意程序软件、重放攻击等。这些风险和威胁给5G网络安全带来了新的课题和挑战。只有充分了解5G网络中存在的风险,才能对5G网络风险采取针对性的安全防护。例如,虽然5G网络协议在安全防护方面有所加强,但是还存在未加密和完整性保护的消息,这些消息将成为网络攻击的目标,攻击方法包括用户终端身份标识伪造、系统信息的伪造或重放、数据通信中的劫持等。为了应对这些风险,可以采集、分析5G网络测量报告,以实现对安全风险的发现和定位,还可以选择不同的实现方式对测量报告进行分析,以提高网络的安全防护能力。
1.3.1 网络安全威胁分类
作为移动通信网络的一种演进技术,5G网络受到的安全威胁类型包括未经授权访问敏感数据、未经授权处理敏感数据、未经授权接入网络服务。
1.未经授权访问敏感数据(违反机密性)
(1)窃听:入侵者未经检测即拦截网络信息。
(2)伪装:入侵者欺骗授权用户,使用户认为其是获取机密信息的合法系统。
(3)入侵者欺骗合法系统,使系统相信其是获得系统服务或机密信息的授权用户。
(4)流量分析:入侵者观察消息的时间、速率、长度、来源和目的地,以确定用户的位置或了解用户是否正在进行重要的业务交易。
(5)浏览:入侵者在数据存储中搜索敏感信息。
(6)泄露:入侵者通过利用具有对数据的合法接入权限的进程来获取敏感信息。
(7)推断:入侵者通过向系统发送查询或信号来观察系统的反应。例如,入侵者可以主动发起通信会话,然后通过观察无线接口上相关消息的时间、速率、长度、来源或目的地来访问信息。
2.未经授权处理敏感数据(违反完整性)
(1)操纵消息:入侵者可能故意修改、插入、重放或删除消息,干扰或滥用网络服务(导致拒绝服务或降低可用性)。
(2)干预:入侵者可能通过阻塞用户的流量、信令或控制数据来阻止授权用户使用服务。
(3)耗尽资源:入侵者可能通过使服务超载来阻止授权用户使用服务。
(4)滥用权限:用户或服务网络可能会利用其特权来获取未经授权的服务或信息。
(5)滥用服务:入侵者可能滥用某些特殊服务或设施来获取优势或造成网络中断。
(6)否认:用户或网络否认已执行的操作。
3.未经授权接入网络服务
(1)入侵者可以伪装成用户或网络实体来接入服务。
(2)用户或网络实体可以通过滥用接入权限来获得未经授权的服务接入。
1.3.2 安全威胁的主要来源
5G网络的威胁主要来源于无线接口、核心网络和通信终端。
1.无线接口的主要威胁
(1)未经授权访问数据。
(2)完整性受到威胁。
(3)拒绝服务。
(4)未经授权接入服务。
2.核心网络的主要威胁
(1)未经授权访问数据。
(2)完整性受到威胁。
(3)拒绝服务。
(4)否认/抵赖。
(5)未经授权接入服务。
3.通信终端的主要威胁
(1)使用被盗终端:入侵者可能使用被盗终端和通用集成电路卡(UICC,Universal Integrated Circuit Card)来获得未经授权的服务接入;用户可以将有效的通用用户标识模块(USIM,Universal Subscriber Identity Module)与被盗终端一起使用以接入服务。
(2)借用终端和UICC:借用已被授权使用的设备的用户可能会超出约定的使用限制,从而滥用其特权。
(3)操纵终端的身份:用户可以修改终端的国际移动设备识别码(IMEI,International Mobile Equipment Identity),并使用有效的USIM来接入服务。
(4)终端上数据的完整性受威胁:入侵者可以修改、插入或删除终端上存储的应用过程和/或数据,可以从本地或远程获得对终端的接入,并且可能涉及破坏物理或逻辑控制。
(5)USIM上数据的完整性受威胁:入侵者可以修改、插入或删除USIM存储的应用过程和/或数据,可以从本地或远程获得对USIM的接入。
(6)监听UICC终端接口:入侵者可能监听UICC终端接口。
(7)伪装成UICC终端接口上数据的预期接收者:入侵者可能伪装成USIM或终端,以拦截UICC终端接口上的数据。
(8)在UICC终端接口上处理数据:入侵者可以在UICC终端接口上修改、插入、重放或删除用户流量。
(9)终端或UICC/USIM中某些用户数据的机密性受威胁:入侵者可能访问用户在终端或UICC中存储的个人用户数据,如电话簿。
(10)UICC/USIM中身份验证数据的机密性受威胁:入侵者可能访问服务提供商存储的身份验证数据,如身份验证密钥。
1.3.3 通信网络的安全风险评估
通信网络相关安全风险可以归为以下几类。
(1)伪装:使用他人账号获得未经授权的服务接入权(从他人账号中扣除费用)。
(2)窃听:可能会导致用户数据流量机密性或诸如拨号号码、位置数据等与呼叫相关的信息受到损害。
(3)签约欺诈:用户大量使用服务而无意付费。
由于网络风险是长期持续的,因此,通信网络的安全风险评估不仅集中在无线接口,还需要对系统的其他部分进行评估,形成端到端的安全风险评估体系。
以下列出了移动通信网络中被评估为具有较高级别的威胁清单。
(1)窃听用户流量:入侵者可能在无线接口上窃听用户流量。
(2)监听信号或控制数据:入侵者可能在无线接口上监听信号或控制数据。这可用于访问安全管理数据或其他信息,这些数据或信息可能对系统进行主动攻击。
(3)冒充通信参与者:入侵者可能冒充网络元素,以拦截无线接口上的用户流量、信令数据或控制数据。
(4)被动流量分析:入侵者可以在无线接口上观察消息的时间、速率、长度、来源或目的地,以获取信息接入权。
(5)伪装成另一个用户:入侵者可能伪装成另一个用户朝向网络,首先伪装成一个朝向用户的基站,然后在执行身份验证后劫持用户的连接。
(6)监听信号或控制数据:入侵者可以在任何系统接口(有线或无线)上监听信号数据或控制数据。这可用于接入安全管理数据,从而可能对系统进行其他攻击。
(7)通过伪装成应用过程和/或数据的始发者来操纵终端或USIM行为:入侵者可能伪装成恶意应用过程和/或下载到终端或USIM的数据的始发者。
(8)伪装成用户:入侵者可能冒充用户使用为该用户授权的服务。入侵者可能已经从其他实体(如服务网络、归属网络甚至用户本人)获得了帮助。
(9)伪装成服务网络:入侵者可能假冒服务网络或服务网络基础结构的一部分,目的可能是使用授权用户的接入尝试来亲自获得对服务的接入。
(10)滥用用户特权:用户可能滥用特权来获得对服务的未授权接入或只是简单地密集使用其签约而无意付款。
(11)使用被盗终端:入侵者可能使用被盗终端和UICC来获得未经授权的服务接入;用户可以将有效的USIM与被盗终端一起使用以接入服务。
(12)操纵终端的身份:用户可以修改终端的IMEI,并使用有效的USIM来接入服务。
(13)终端上数据的完整性受威胁:入侵者可以修改、插入或删除终端上存储的应用过程和/或数据,可以从本地或远程获得对终端的接入,并且可能涉及破坏物理或逻辑控制。
(14)USIM上数据的完整性受威胁:入侵者可以修改、插入或删除USIM存储的应用过程和/或数据,可以从本地或远程获得对USIM的接入。
(15)UICC/USIM上身份验证数据的机密性受威胁:入侵者可能希望接入服务提供商存储的身份验证数据,如身份验证密钥。