基于對(duì)稱密鑰算法的5G網(wǎng)絡(luò)防偽基站技術(shù)

毛玉欣 游世林 閆新成

摘要：分析了5G網(wǎng)絡(luò)場(chǎng)景下可能的偽基站攻擊方式，提出了一種基于對(duì)稱密鑰算法的偽基站防護(hù)技術(shù)，包括密鑰協(xié)商和傳遞流程、保護(hù)區(qū)信息提供流程和基站小區(qū)的真實(shí)性驗(yàn)證流程。設(shè)計(jì)了用于加密信息的密鑰的產(chǎn)生、傳遞和使用方法，以及用于驗(yàn)證小區(qū)廣播或單播消息真實(shí)性的密鑰產(chǎn)生方法，實(shí)現(xiàn)了針對(duì)小區(qū)發(fā)送的廣播消息或單播消息的真實(shí)性驗(yàn)證，達(dá)到了偽基站識(shí)別的效果。

關(guān)鍵詞：偽基站;對(duì)稱密鑰算法;保護(hù)區(qū)域;共享根密鑰組

Abstract：Thepossibleattackmethodsofthefakebasestationsin5Gnetworkareanalyzed.Atechnicalsolutionforanti-fakebasestationsbasedonsymmetrickeyalgorithmisproposed，includingprotectionkeyagreementandtransmissionprocedure，protectionareainformationprovisionprocedure，andcellauthenticityprocedure.Thegeneration，transmission，anduseofkeyusedtoencryptinformationaredesigned，andthekeygenerationmethodusedtoverifytheauthenticityofthecellisalsodesigned，realizingtheauthenticityverificationofthebroadcastorunicastmessagesentbythecelltoachievefakebasestationrecognition.

Keywords：fakebasestation;symmetrickeyalgorithm;protectionarea;sharedrootkeygroup

移動(dòng)通信經(jīng)歷了從1G到4G的發(fā)展過(guò)程，如今正大力發(fā)展5G，以實(shí)現(xiàn)萬(wàn)物互聯(lián)。傳統(tǒng)移動(dòng)通信主要用于滿足人們語(yǔ)音通信的需求。4G讓人們享受到無(wú)處不在的高速網(wǎng)絡(luò)接入，5G的到來(lái)將使移動(dòng)通信網(wǎng)絡(luò)賦能于更廣泛的行業(yè)。通信技術(shù)的發(fā)展使得網(wǎng)絡(luò)承載的信息和價(jià)值越加豐富，但由此引發(fā)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之增長(zhǎng)。2G網(wǎng)絡(luò)和終端間采用單向認(rèn)證，使終端無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行合法性驗(yàn)證。這導(dǎo)致了偽基站問(wèn)題的爆發(fā)[1]。隨著通信技術(shù)的升級(jí)換代，終端和網(wǎng)絡(luò)間引入雙向認(rèn)證，使網(wǎng)絡(luò)安全性得到增強(qiáng)。然而，偽基站問(wèn)題仍然無(wú)法完全避免。例如，攻擊者通過(guò)干擾終端的3G和4G通信信號(hào)，使得手機(jī)無(wú)法正常使用3G、4G通信信號(hào)。為了保障通信，終端就會(huì)主動(dòng)降頻到2G。如果終端使用2G網(wǎng)絡(luò)進(jìn)行通信，偽基站就可以再次發(fā)揮作用[2]。

由此可見，移動(dòng)蜂窩網(wǎng)絡(luò)演進(jìn)的確使偽基站問(wèn)題得到一定程度的緩解，但是由于巨大的利益驅(qū)動(dòng)，偽基站技術(shù)也在發(fā)展演進(jìn)。本文中我們重點(diǎn)探討5G網(wǎng)絡(luò)場(chǎng)景下的偽基站問(wèn)題和應(yīng)對(duì)解決方案。

15G網(wǎng)絡(luò)場(chǎng)景下的偽基站威脅分析

第三代合作伙伴計(jì)劃（3GPP）定義了5G網(wǎng)絡(luò)架構(gòu)[3]。5G網(wǎng)絡(luò)包括無(wú)線接入網(wǎng)絡(luò)（RAN）和5G核心網(wǎng)（5GC），如圖1所示。RAN主要由5G基站（gNB）組成。5GC主要包含統(tǒng)一數(shù)據(jù)管理（UDM）、接入管理功能（AMF）/安全錨定功能（SEAF）、會(huì)話管理功能（SMF）、用戶面功能（UPF）、策略控制功能（PCF）等網(wǎng)絡(luò)功能。用戶設(shè)備（UE）一般由移動(dòng)設(shè)備（ME）和全球用戶身份模塊（USIM）組成。gNB和AMF/SEAF通常位于UE的服務(wù)網(wǎng)絡(luò)，UDM等則位于用戶的歸屬網(wǎng)絡(luò)。

5G網(wǎng)絡(luò)下的廣播消息或單播消息有可能導(dǎo)致偽基站攻擊出現(xiàn)。當(dāng)UE處于連接模式或進(jìn)入連接模式時(shí)，在安全上下文激活完成之前，可能會(huì)發(fā)生偽基站攻擊。小區(qū)周期性廣播同步信號(hào)和系統(tǒng)信息，UE則基于同步信號(hào)檢測(cè)小區(qū)。如果檢測(cè)到的小區(qū)信號(hào)質(zhì)量高于定義門限，則UE根據(jù)小區(qū)選擇標(biāo)準(zhǔn)對(duì)所有候選小區(qū)進(jìn)行選擇，并駐留到信號(hào)質(zhì)量最好的小區(qū)。由于UE只檢測(cè)信號(hào)質(zhì)量，因此偽基站可以很容易地利用高質(zhì)量信號(hào)來(lái)誘使UE駐留[4]。

gNB將業(yè)務(wù)信息，例如公共警告系統(tǒng)（PWS）消息、地震和海嘯預(yù)警系統(tǒng)（ETWS）消息、車用無(wú)線通信技術(shù)（V2X）消息等，通過(guò)系統(tǒng)信息塊（SIB）發(fā)送給駐留UE。偽基站可篡改合法廣播消息中攜帶的這些服務(wù)信息或者偽造虛假的服務(wù)信息。如果UE駐留到偽基站上，就會(huì)存在如下安全威脅：

（1）PWS攜帶的信息可能包含虛假信息、垃圾短信等，進(jìn)而誤導(dǎo)用戶點(diǎn)擊欺詐網(wǎng)站的鏈接。此外，攻擊者還可通過(guò)偽基站來(lái)傳播虛假信息以制造社會(huì)恐慌。

（2）UE駐留到偽基站后，無(wú)法獲得正常的廣播服務(wù)，如檢測(cè)緊急呼叫、ETWS消息、V2X消息等。

（3）虛假?gòu)V播消息也可能對(duì)終端的軟件系統(tǒng)實(shí)施攻擊，例如通過(guò)構(gòu)造復(fù)雜消息來(lái)觸發(fā)軟件系統(tǒng)的已知漏洞，使操作系統(tǒng)或者應(yīng)用軟件被劫持或阻塞。

（4）降級(jí)攻擊。gNB向UE發(fā)送消息，請(qǐng)求UE的接入安全能力。UE在安全模式（SMC）完成前給gNB反饋UE能力信息。此時(shí)，偽基站可以作為“中間人”捕獲該消息，將UE的真實(shí)接入安全能力調(diào)低并反饋給真實(shí)的gNB，以降低UE接入到網(wǎng)絡(luò)的安全能力。

（5）5G雖然使用用戶簽約隱藏標(biāo)識(shí)（SUCI）來(lái)替代用戶簽約永久標(biāo)識(shí)（SUPI）發(fā)送給網(wǎng)絡(luò)，但這種替代并非強(qiáng)制。當(dāng)SUPI的保護(hù)模式設(shè)置為“null-scheme”時(shí)，SUPI仍然使用明文在網(wǎng)絡(luò)中傳遞[5]。如果此時(shí)網(wǎng)絡(luò)并沒(méi)有建立安全傳輸模式，例如接入層安全（AS）、非接入層安全（NAS），則SUPI有可能在傳輸時(shí)暴露，從而造成隱私泄露。

（6）拒絕服務(wù)（DoS）攻擊。偽基站可通過(guò)不斷向UE反饋拒絕消息來(lái)拒絕UE的附著請(qǐng)求，從而制造DoS攻擊。

在上述威脅中，預(yù)防（1）和（3）需要對(duì)SIB消息實(shí)施鑒權(quán)，預(yù)防（2）需要UE駐留小區(qū)時(shí)進(jìn)行偽基站檢測(cè)，預(yù)防（4）需要對(duì)UE和網(wǎng)絡(luò)之間的能力協(xié)商消息進(jìn)行保護(hù)，預(yù)防（5）需要防止UE駐留到偽基站上，預(yù)防（6）需要驗(yàn)證基站向UE返回的消息的真實(shí)性。

綜上分析，5G系統(tǒng)如果要防止偽基站帶來(lái)的安全威脅，就需要對(duì)單播或者廣播消息進(jìn)行保護(hù)，從而防止UE駐留到偽基站上。

2基于對(duì)稱算法的防偽基站技術(shù)方案

2.1方案概述

目前移動(dòng)通信網(wǎng)絡(luò)主要使用非對(duì)稱密鑰算法為無(wú)線信令提供數(shù)字簽名方案以實(shí)現(xiàn)偽基站防護(hù)[6-7]。但非對(duì)稱密鑰算法對(duì)計(jì)算資源開銷過(guò)大，這對(duì)終端和無(wú)線設(shè)備等計(jì)算能力有限的設(shè)備而言勢(shì)必增加了處理負(fù)擔(dān)。本文中，我們研究了一種基于對(duì)稱密鑰算法的偽基站防護(hù)技術(shù)，其核心思想為：在歸屬網(wǎng)絡(luò)的協(xié)助下，服務(wù)網(wǎng)絡(luò)向ME動(dòng)態(tài)提供加密的用于驗(yàn)證無(wú)線信令真實(shí)性的密鑰。gNB為無(wú)線信令使用對(duì)稱密鑰算法生成一個(gè)消息認(rèn)證碼（MAC-I），然后由ME在USIM的協(xié)助下使用驗(yàn)證無(wú)線信令真實(shí)性的密鑰來(lái)驗(yàn)證MAC-I，以判斷無(wú)線信令是否是偽基站發(fā)出的信令。技術(shù)方案包含如下關(guān)鍵步驟：

（1）服務(wù)網(wǎng)絡(luò)向ME提供用于驗(yàn)證無(wú)線信令真實(shí)性的密鑰;

（2）用于驗(yàn)證無(wú)線信令真實(shí)性的密鑰是加密的，無(wú)法被ME解密，只能由USIM完成解密;

（3）USIM存儲(chǔ)的加密密鑰具備和長(zhǎng)期密鑰（LTK）相同的安全要求;

（4）加密密鑰和用于驗(yàn)證無(wú)線信令真實(shí)性的密鑰需要周期性更新;

（5）ME將用于驗(yàn)證無(wú)線信令真實(shí)性的加密密鑰和無(wú)線信令發(fā)送給USIM驗(yàn)證。

通過(guò)對(duì)消息設(shè)置完整性校驗(yàn)來(lái)實(shí)現(xiàn)對(duì)廣播消息（例如MIB、SIB和告警消息等）和下行絕對(duì)無(wú)線頻道編號(hào)（DL_ARFCN）的保護(hù)。當(dāng)UE駐留到gNB的一個(gè)小區(qū)時(shí)，服務(wù)網(wǎng)絡(luò)僅給USIM提供有限數(shù)量的密鑰。這使得UE只能處理密鑰對(duì)應(yīng)gNB發(fā)送的經(jīng)過(guò)完整性保護(hù)的廣播消息，可有效減少UE處理發(fā)送消息的gNB數(shù)量，減輕UE處理負(fù)擔(dān)。這些gNB覆蓋的區(qū)域被稱為保護(hù)區(qū)（PA），具體可參考本文2.4.1節(jié)內(nèi)容。當(dāng)攻擊者捕獲PA中某個(gè)小區(qū)的廣播消息時(shí)，攻擊者只能模擬該小區(qū)使用相同的DL_ARFCN頻率向同一PA下的某個(gè)UE廣播無(wú)法更改的消息，從而使攻擊變得困難，同時(shí)使攻擊者（偽基站）容易被定位和被網(wǎng)絡(luò)檢測(cè)到。當(dāng)UE在一個(gè)重放系統(tǒng)消息的偽小區(qū)駐留時(shí)，UE將使用本文2.5.2節(jié)中描述的單播消息真實(shí)性驗(yàn)證流程檢測(cè)到該小區(qū)是偽小區(qū)，然后重新選擇其他小區(qū)進(jìn)行駐留。在同一PA中廣播捕獲的告警消息也可能是一種安全威脅。對(duì)此，可通過(guò)在告警消息中添加時(shí)間和區(qū)域等信息，以避免重放威脅。

2.2技術(shù)框架

圖2描述的是基于對(duì)稱密鑰算法的5G網(wǎng)絡(luò)場(chǎng)景下防偽基站技術(shù)方案，包括4個(gè)流程：（1）保護(hù)密鑰協(xié)商（PKA）流程、（2）保護(hù)密鑰傳輸（PKT）流程、（3）PA信息提供（PAIP）流程和（4）小區(qū)真實(shí)性驗(yàn)證（CA）流程。其中，流程（1）和（2）一并執(zhí)行，流程（2）始終在流程（1）之后，流程（3）為服務(wù)網(wǎng)絡(luò)向ME提供PA信息的流程，流程（4）包括針對(duì)廣播消息和單播消息的真實(shí)性驗(yàn)證過(guò)程。

CKp是用于加密服務(wù)網(wǎng)絡(luò)向ME提供信息的密鑰，由歸屬網(wǎng)絡(luò)和USIM協(xié)商產(chǎn)生，并且在USIM上存儲(chǔ)時(shí)具備與根密鑰LTK相同的安全需求，即USIM應(yīng)防止CKp泄露。

服務(wù)網(wǎng)絡(luò)向ME提供的PA信息包括被gNB用于無(wú)線信令完整性保護(hù)的密鑰。PA信息中的密鑰在被CKp加密后提供給ME。ME接收之后必須由USIM完成解密。ME將PA信息和無(wú)線信令發(fā)送給USIM，然后由USIM進(jìn)行小區(qū)真實(shí)性驗(yàn)證。CKp和被gNB使用的密鑰必須定期更新，以便密鑰在被攻破時(shí)即時(shí)失效。此外，該技術(shù)方案還具有另外的作用，比如在5G安全上下文激活之前，可對(duì)無(wú)線信令上傳輸?shù)拿舾行畔⑦M(jìn)行加密傳輸。

2.3PKA和PKT流程

圖3展示了在UE向網(wǎng)絡(luò)發(fā)起注冊(cè)的過(guò)程中完成的PKA和PKT流程。假設(shè)在漫游場(chǎng)景下，AMF/SEAF所在的漫游服務(wù)網(wǎng)絡(luò)和AUSF/UDM所在的歸屬網(wǎng)絡(luò)之間的漫游接口具備完整性、機(jī)密性和抗重放保護(hù)能力。

（1）UE發(fā)送網(wǎng)絡(luò)注冊(cè)請(qǐng)求消息給服務(wù)網(wǎng)絡(luò)AMF/SEAF。如果UE決定更新CKp，則請(qǐng)求消息需要攜帶一個(gè)說(shuō)明密鑰協(xié)商的標(biāo)記。

（2）如果UE注冊(cè)到網(wǎng)絡(luò)而發(fā)起注冊(cè)流程，或者AMF/SEAF收到Flag標(biāo)記，則發(fā)起PKT流程。AMF/SEAF向UDM發(fā)送CKp請(qǐng)求消息（UE密鑰傳輸請(qǐng)求），并攜帶SUPI。

（3）UDM收到請(qǐng)求消息后，會(huì)根據(jù)LTK產(chǎn)生一個(gè)CKp和一個(gè)隨機(jī)數(shù)（NONCE）。

（4）UDM向AMF/SEAF返回NONCE和CKp，以完成PKT流程。AMF/SEAF上報(bào)CKp給防偽基站功能（AFBF）。AFBF可以是運(yùn)營(yíng)和管理（OAM）平臺(tái)功能，也可以是專用網(wǎng)絡(luò)功能。AFBF通過(guò)CKp加密KRBS（參考2.4.1定義）得到加密的EKRBS。

（5）AMF/SEAF向UE發(fā)送注冊(cè)成功消息，并攜帶NONCE。

（6）UE接收NONCE。如果UE支持AFBF，則ME將NONCE發(fā)送給USIM。

（7）USIM啟動(dòng)CKp初始化過(guò)程。USIM使用NONCE和LTK計(jì)算產(chǎn)生密鑰CKp。這種計(jì)算方法與UDM計(jì)算CKp的方法相同。同時(shí)USIM應(yīng)能夠防止CKp外泄。

（8）USIM產(chǎn)生CKp之后向ME返回指示。

2.4PAIP流程

2.4.1PA保護(hù)區(qū)域

我們將每個(gè)PA下的gNB進(jìn)行分組，并將組稱為共享根密鑰組（SRKG）。每個(gè)SRKG由bsGKI標(biāo)識(shí)，同時(shí)SRKG下的每個(gè)gNB由bsGNI標(biāo)識(shí)。如圖4所示，而每個(gè)gNB僅屬于一個(gè)SRKG，每個(gè)SRKG可以屬于一個(gè)或多個(gè)PA。

在對(duì)gNB分組的情況下，每個(gè)SRKG具備一個(gè)密鑰KRBS。該密鑰被SRKG下的每個(gè)gNB共享。基于KRBS派生出SRKG下每個(gè)gNB的密鑰KBS可用于基站保護(hù)。服務(wù)網(wǎng)絡(luò)向ME提供的PA信息中僅包含KRBS的加密密鑰EKRBS，以減少提供給ME的加密密鑰數(shù)量。

任何注冊(cè)區(qū)域（RA）均被一個(gè)且唯一一個(gè)PA完全覆蓋，因此在UE注冊(cè)過(guò)程中，服務(wù)網(wǎng)絡(luò)可以向ME提供PA的加密密鑰。圖5描述了RA與PA之間的關(guān)系。

在注冊(cè)期間（包括初始注冊(cè)、移動(dòng)性或周期性注冊(cè)）或者其他初始NAS消息處理過(guò)程中，AMF應(yīng)向ME提供PA信息，其中PA信息包括bsGKI列表、對(duì)應(yīng)的EKRBS列表以及密鑰有效期。有效期用于防止偽基站破解gNB的KBS去欺騙UE。當(dāng)給密鑰加上有效期時(shí)，即使上述密鑰被破解，密鑰也已到期。因此，設(shè)置的有效期應(yīng)足夠短，以使密鑰在一定期限內(nèi)不被破解。

在密鑰到期前，服務(wù)網(wǎng)絡(luò)應(yīng)更改SRKG的根密鑰KRBS。為了提高性能，一個(gè)PA應(yīng)包含和其全覆蓋下的跟蹤區(qū)毗連的gNB。這樣，當(dāng)UE位于跟蹤區(qū)邊緣時(shí)，UE也能獲取每個(gè)毗連gNB的密鑰。同時(shí)PA劃分的范圍也不宜過(guò)大，這是因?yàn)樘蟮腜A會(huì)很難減輕基于重放廣播無(wú)線信令的偽基站攻擊。

2.4.2PA信息表示

結(jié)合2.4.1對(duì)PA的定義，如圖6所示，PA信息是一組gNB信息的結(jié)合，表示形式為：PA=（，，……）。

每個(gè)gNB信息都由gNB標(biāo)識(shí)（IDi，i=a，b，c，...）和使用CKp加密的根密鑰（KRBS[i]，i=a，b，c，...）組成。在移動(dòng)過(guò)程中，UE獲取的PA信息在不斷更新。當(dāng)UE從一個(gè)PA移動(dòng)到另外一個(gè)PA時(shí)，ME向服務(wù)網(wǎng)絡(luò)發(fā)出PA更新請(qǐng)求。

服務(wù)網(wǎng)絡(luò)在響應(yīng)消息中將更新的PA信息提供給ME。

2.4.3PAIP流程

服務(wù)網(wǎng)絡(luò)向ME提供PA信息的預(yù)置條件有兩個(gè)：

（1）服務(wù)網(wǎng)絡(luò)通過(guò)OAM平臺(tái)或?qū)Ｓ镁W(wǎng)絡(luò)功能提供每個(gè)gNB對(duì)應(yīng)的bsGKI和bsGNI;

（2）服務(wù)網(wǎng)絡(luò)通過(guò)OAM平臺(tái)或?qū)Ｓ镁W(wǎng)絡(luò)功能管理SRKG的密鑰及其他相關(guān)信息。

KBS的產(chǎn)生方式為：KBS=HMAC-SHA-256（KRBS，）。其中，是兩個(gè)參數(shù)的串接，根據(jù)2.4.1節(jié)中的定義，為gNB標(biāo)識(shí)。KRBS為gNB的根密鑰，即gNB所在SRKG的密鑰。每個(gè)gNB根據(jù)標(biāo)識(shí)和KRBS使用密鑰派生算法派生得到KBS。KBS用于對(duì)無(wú)線信令進(jìn)行加密和完整性處理。

圖7描述的是UE與服務(wù)網(wǎng)絡(luò)之間的共享密鑰提供流程，具體包括5個(gè)步驟：

（1）在PKT流程中，CKp從歸屬網(wǎng)絡(luò)發(fā)送到服務(wù)網(wǎng)絡(luò)。

（2）UE向AMF/SEAF發(fā)送注冊(cè)請(qǐng)求，該消息能夠觸發(fā)PKA和PKT過(guò)程。

（3）如果AMF/SEAF支持AFBF，那么AMF/SEAF就可以獲取PA信息，即覆蓋UE當(dāng)前駐留跟蹤區(qū)的PA{bsGKI，EKRBS，expiry}列表。其中，EKRBS使用CKp加密的KRBS;expiry指示EKRBS的有效期，即在有效期到期后，EKRBS必須更新。

（4）AMF/SEAF向UE返回注冊(cè)成功消息，并且消息中攜帶PA信息。

（5）如果ME支持AFBF，那么ME將保存PA信息。

2.5CA流程

2.5.1廣播消息真實(shí)性驗(yàn)證流程

圖8是廣播消息真實(shí)性驗(yàn)證流程，具體包括6個(gè)步驟：

（1）gNB決定通過(guò)一個(gè)小區(qū)廣播一條消息，例如MIB或SIB。該消息包含gNB標(biāo)識(shí)。如果消息長(zhǎng)度加上DL_ARFCN長(zhǎng)度后大于32B，那么gNB產(chǎn)生網(wǎng)絡(luò)側(cè)哈希值（HASHNW）的方式為：HASHNW=SHA-256（DL_ARFCN||message）。

gNB根據(jù)KBS計(jì)算出MAC-I，以及DL_ARFCN串接消息（其長(zhǎng)度小于等于32B），或者HASHNW（其長(zhǎng)度大于32B）。

（2）gNB廣播消息，同時(shí)消息攜帶和MAC-I。

（3）ME通過(guò)小區(qū)接收廣播消息，同時(shí)消息攜帶和MAC-I。ME檢查bsGKI是否在保存的PA信息列表中。如果檢查失敗，ME在緩存中將該小區(qū)標(biāo)記為可疑小區(qū);如果檢查成功，則繼續(xù)步驟4。

（4）如果DL_ARFCN長(zhǎng)度加上接收消息的長(zhǎng)度大于32B，則ME將首先計(jì)算HASHMS（與gNB計(jì)算HASHNW的方式相同），然后發(fā)送EKRBS、到USIM。如果已經(jīng)計(jì)算HASHME，則ME也會(huì)將HASHMS發(fā)送給USIM;否則，ME將把DL_ARFCN和接收到的消息串接發(fā)送給USIM。EKRBS和bsGKI對(duì)應(yīng)表示由bsGKI標(biāo)識(shí)的SRKG密鑰。

（5）USIM先根據(jù)存儲(chǔ)的CKp解密EKRBS并得到KRBS，然后從KRBS和中派生出KBS，再根據(jù)KBS計(jì)算出XMAC-I。USIM計(jì)算XMAC-I的方式與gNB基于KBS的計(jì)算MAC-I方式相同。

（6）USIM將XMAC-I反饋給ME。ME會(huì)比較XMAC-I和MAC-I，如果兩者相等，則ME會(huì)處理廣播消息;否則，ME會(huì)在緩存中將該小區(qū)標(biāo)記為高危小區(qū)。

對(duì)網(wǎng)絡(luò)認(rèn)證成功后，UE應(yīng)檢查緩存中的可疑或高危小區(qū)是否在PA中。如果不在，則緩存中的小區(qū)被標(biāo)記為可疑小區(qū)，否則UE將進(jìn)行小區(qū)驗(yàn)證。如果驗(yàn)證失敗，UE在緩存中將該小區(qū)標(biāo)記為偽小區(qū);如果驗(yàn)證成功，該小區(qū)將從緩存中被移除。UE可以將緩存中的可疑、高危和偽小區(qū)告知給服務(wù)網(wǎng)絡(luò)。

2.5.2單播消息真實(shí)性驗(yàn)證流程

只有在UE和gNB無(wú)法獲取AS安全上下文的情況下，單播消息真實(shí)性驗(yàn)證流程才會(huì)生效。圖9是單播消息真實(shí)性驗(yàn)證流程，具體包括7個(gè)步驟。

（1）ME嘗試駐留在一個(gè)小區(qū)上，并決定向該小區(qū)發(fā)送消息1。ME產(chǎn)生一個(gè)隨機(jī)字符串NONCE。NONCE可被作為連續(xù)下行消息的重放保護(hù)參數(shù)。

（2）ME可以決定對(duì)消息1中的敏感信息進(jìn)行保護(hù)。ME將EKRBS，、敏感信息和NONCE發(fā)送給USIM。其中，是從小區(qū)發(fā)送的廣播消息（比如SIB或者M(jìn)IB）中獲取的。同時(shí)，EKRBS和bsGKI相對(duì)應(yīng)。USIM解密EKRBS得到KRBS，并根據(jù)KRBS和派生得到KBS。然后USIM根據(jù)KBS派生出Ke，并將Ke返回給ME。ME根據(jù)Ke和NONCE生成密鑰流，并對(duì)敏感信息和密鑰流進(jìn)行異或計(jì)算，以實(shí)現(xiàn)對(duì)敏感信息的加密。

（3）ME向小區(qū)發(fā)送消息1。其中，消息1攜帶NONCE，并且消息1是部分加密的。

（4）gNB收到消息1。如果消息1是部分加密的，則gNB解密加密部分以獲得明文信息。

（5）gNB決定向UE發(fā)送消息2。gNB獲取temp-message=（NONCE||message2），并按照2.5.1描述的方式計(jì)算temp-message的MAC-I。

（6）gNB將消息2發(fā)送給UE。其中，消息2攜帶MAC-I。

（7）ME接收消息2，并按照2.5.1中的步驟4—6進(jìn)行消息真實(shí)性驗(yàn)證。驗(yàn)證過(guò)程用temp-message=（NONCE||message2）替代消息2。

3結(jié)束語(yǔ)

本文描述了5G網(wǎng)絡(luò)場(chǎng)景中由攻擊廣播消息或單播消息產(chǎn)生的偽基站問(wèn)題，進(jìn)而提出了針對(duì)廣播信息和單播信息進(jìn)行真實(shí)性驗(yàn)證的方法以抵御偽基站攻擊。此外，本文還研究了使用對(duì)稱密鑰算法對(duì)廣播消息和單播消息進(jìn)行機(jī)密性或者完整性防護(hù)的實(shí)現(xiàn)過(guò)程，包括用于保護(hù)密鑰的協(xié)商和傳遞過(guò)程、PA信息表示和提供過(guò)程，以及針對(duì)廣播信息或單播信息的真實(shí)性驗(yàn)證過(guò)程。相對(duì)于使用非對(duì)稱算法對(duì)無(wú)線消息進(jìn)行防護(hù)的方法，對(duì)稱密鑰算法具有對(duì)網(wǎng)絡(luò)資源要求少的優(yōu)勢(shì)，是值得推薦的技術(shù)方案。隨著技術(shù)的不斷演進(jìn)，偽基站攻擊方法還會(huì)不斷發(fā)展，相應(yīng)的防護(hù)方案需要進(jìn)行不斷完善。

參考文獻(xiàn)

[1]李賡，趙玉萍，孫春來(lái)，等.一種基于偽信令的偽基站抑制方法研究與分析[J].信息網(wǎng)絡(luò)安全，2014，（9）：12-16

[2]劉長(zhǎng)波，張敏，常力元，等.5G偽基站威脅分析及安全防護(hù)建議[J].移動(dòng)通信，2019，43（10）：58-61

[3]3GPP.Systemarchitectureforthe5Gsystem：3GPPTS23.501[S].2020

[4]李寧.基于GSM基站信息的偽基站偵測(cè)系統(tǒng)[D].成都：西華大學(xué)，2016

[5]3GPP.Securityarchitectureandproceduresfor5Gsystem：3GPPTS33.501[S].2020

[6]IEEE.IEEEstandardforidentity-basedcryptographictechniquesusingpairings：IEEE1363.3[S].2013

[7]IETF.Ellipticcurve-basedcertificatelesssignaturesforidentity-basedencryption：IETFRFC6507[S].2012

作者簡(jiǎn)介

毛玉欣，中興通訊股份有限公司資深系統(tǒng)架構(gòu)師;主要研究方向?yàn)?G網(wǎng)絡(luò)安全和虛擬化安全;參與多項(xiàng)國(guó)際技術(shù)標(biāo)準(zhǔn)的制定;擁有發(fā)明專利70余項(xiàng)、國(guó)際標(biāo)準(zhǔn)提案50余項(xiàng)。

游世林，中興通訊股份有限公司資深技術(shù)預(yù)研工程師;從事IMS、LTE、5G安全方面的標(biāo)準(zhǔn)預(yù)研和產(chǎn)品研發(fā)工作;參與多項(xiàng)國(guó)際技術(shù)標(biāo)準(zhǔn)的制定;擁有發(fā)明專利和標(biāo)準(zhǔn)提案數(shù)十項(xiàng)。

閆新成，中興通訊股份有限公司網(wǎng)絡(luò)安全首席系統(tǒng)架構(gòu)專家、移動(dòng)網(wǎng)絡(luò)與移動(dòng)多媒體技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室未來(lái)網(wǎng)絡(luò)研究中心副主任，教授級(jí)高工;從事電信行業(yè)20年，曾主持國(guó)家科技重大專項(xiàng)5G安全課題;獲得多項(xiàng)科技獎(jiǎng)勵(lì)，擁有專利40余項(xiàng)。