• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    5G網(wǎng)絡(luò)認證協(xié)議和非接入層協(xié)議安全性探究

    2021-07-19 09:36:22辛冠群劉義
    電腦知識與技術(shù) 2021年14期
    關(guān)鍵詞:攻擊者消息安全性

    辛冠群 劉義

    摘要:5G網(wǎng)絡(luò)正逐漸成為社會的基礎(chǔ)設(shè)施,在全球范圍內(nèi)提高了網(wǎng)絡(luò)通信速度,但5G網(wǎng)絡(luò)安全問題也受到了廣泛關(guān)注,其使用開放性架構(gòu)和靈活的協(xié)議結(jié)構(gòu),讓5G網(wǎng)絡(luò)面臨著諸多挑戰(zhàn)?;诖耍撐氖紫葘?G網(wǎng)絡(luò)協(xié)議安全現(xiàn)狀進行了簡單的分析,然后分析了認證協(xié)議的安全性,并提出改進建議。最后對非接入層協(xié)議的安全性進行分析,提出修復(fù)方案。

    關(guān)鍵詞:5G網(wǎng)絡(luò);認證協(xié)議;非接入層協(xié)議;安全性;修復(fù)方案

    中圖分類號:TP393? ? ? ? 文獻標識碼:A

    文章編號:1009-3044(2021)14-0028-02

    5G網(wǎng)絡(luò)逐漸向全國范圍商業(yè)部署,滿足人們對通信網(wǎng)絡(luò)傳輸效率的需要,5G網(wǎng)絡(luò)將推動移動通信網(wǎng)絡(luò)進一步發(fā)展。相應(yīng)地,5G網(wǎng)絡(luò)安全問題成為目前關(guān)注的重要問題。在5G網(wǎng)絡(luò)中使用的結(jié)構(gòu)、技術(shù)以及協(xié)議等都為新建構(gòu)的,將成為保護5G網(wǎng)絡(luò)安全的重點關(guān)注對象,尤其是5G網(wǎng)絡(luò)運行依賴于龐大的協(xié)議體系,協(xié)議缺陷是非法分子破壞網(wǎng)絡(luò)安全的主要目標。因此需要針對協(xié)議安全性展開分析。

    1 5G網(wǎng)絡(luò)認證協(xié)議和非接入層協(xié)議安全現(xiàn)狀

    1.1 安全管理現(xiàn)狀

    5G網(wǎng)絡(luò)通信時代,也意味著其他類型的網(wǎng)絡(luò)技術(shù)廣泛出現(xiàn)和革新,這類新型的網(wǎng)絡(luò)技術(shù)在應(yīng)用中很可能會偏離原有的技術(shù)創(chuàng)建思想和構(gòu)造思維。在目前的安全管理過程中,考慮到民用5G網(wǎng)絡(luò)通信技術(shù)通常會以無線通信的形式傳遞信息,且終端大部分為移動通信設(shè)施,因此會借助5G通信技術(shù)傳遞各類攻擊性手段,此時這類攻擊手段很可能出現(xiàn)在現(xiàn)有的網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議下,導(dǎo)致攻擊性程序在短時間內(nèi)大規(guī)模傳遞[1]。另外在安全管理工作的落實中,5G網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議如正常使用,那么就意味著生成的各類信息、數(shù)據(jù)以及操作數(shù)據(jù)都會被系統(tǒng)收集,這類信息被收集之后,很可能被非法利用,顯然不利于用戶數(shù)據(jù)的安全保護。

    1.2 攻擊形式預(yù)期

    在當前的5G技術(shù)發(fā)展中,各類數(shù)據(jù)的傳遞速度方面已經(jīng)出現(xiàn)了大幅度的提高,因此在當前的信息處理過程,現(xiàn)有的網(wǎng)絡(luò)通信機制也面臨著多種攻擊手段的威脅。比如基于大數(shù)據(jù)技術(shù)的APT攻擊,在5G網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議下,如果整個系統(tǒng)在運行中會通過所有信息的處理與加工,那么在信息處理過程中,這類新型的攻擊方法,可以直接通過通信網(wǎng)絡(luò)系統(tǒng)直接傳遞或捕捉信息??梢灶A(yù)見的是,由于5G通信技術(shù)中,大規(guī)模通信天線廣泛應(yīng)用,導(dǎo)致大量地被占用,很可能成為各類攻擊手段的信息傳遞隱蔽信道,此時相關(guān)攻擊手段的審查難度驟增,并且造成的影響很可能在短時間內(nèi)影響大量用戶。

    1.3 影響范圍擴展

    在5G網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議的使用中,由于該項技術(shù)本身就具有良好的安全性與科學性,但是從取得的結(jié)果上來看,要通過針對所有信息的協(xié)調(diào)與構(gòu)造,所建立的管理規(guī)范、管理方法與安全檢查方案要更加完整。從結(jié)果上來看,由于各類信息的傳遞速度、范圍以及信息鏈條的建設(shè)方面,都具有良好的作用優(yōu)勢,可以認為,已經(jīng)產(chǎn)生了的網(wǎng)絡(luò)攻擊手段與網(wǎng)絡(luò)攻擊的工作缺陷都會得到蔓延,使得大量用戶在使用5G通信技術(shù)時,暴露在不安全環(huán)境。

    1.4 統(tǒng)穩(wěn)定性影響

    在5G網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議的構(gòu)造中,由于其運行穩(wěn)定性會從根本上決定用戶體驗以及取得的成果,因此針對安全性的概念本文做出了適當?shù)恼{(diào)整,即如果5G通信系統(tǒng)無法保持運行穩(wěn)定時,則認為當前該設(shè)備處于不安全運行狀態(tài)[2]。在5G網(wǎng)絡(luò)認證協(xié)議與非接入層協(xié)議上,整個通信系統(tǒng)會在短時間內(nèi)傳遞大量的數(shù)據(jù),此時整個系統(tǒng)的運行壓力驟增,特定情況下協(xié)議無法響應(yīng),當此時會使得整個5G通信系統(tǒng)無法穩(wěn)定運行,使得系統(tǒng)的運行安全性下降。

    2 5G網(wǎng)絡(luò)認證協(xié)議安全性分析及改進建議

    2.1 安全性分析

    1)響應(yīng)消息銘文傳遞認證缺陷

    在5G網(wǎng)絡(luò)AKA協(xié)議認證身份上,使用明文方式傳輸,若不法分子通過竊聽確認驗證結(jié)果,能夠分析失敗的原因,依次為攻擊目標進行攻擊。協(xié)議執(zhí)行過程中,終端會反饋身份認證的響應(yīng)消息,通過明文方式傳輸,若攻擊者利用技術(shù)手段對認證結(jié)果竊聽,可以根據(jù)認證結(jié)果以及失敗原因?qū)K端狀態(tài)進行分析,了解目標用戶的認證向量。攻擊者需要建立信號發(fā)送設(shè)備和接受設(shè)備,如USRP,可以接受身份認證請求數(shù)據(jù),竊聽身份認證響應(yīng)。攻擊者使用嗅探工具在目標附近竊聽,通過對目標明文認證消息進行竊聽,包括AUTN和RAND兩個數(shù)據(jù),將數(shù)據(jù)保存在本地。非法分子捕獲數(shù)據(jù)后,建立認證請求消息,利用廣播偽造認證請求,向所有UE發(fā)送請求信息。收到消息后UE檢查序列號和認證碼,當AUTN得到的xMAC等于SQNhn的M認證碼,檢查成功。在執(zhí)行SQN檢查時,UE確認SQNhn是否正確,若處于正確范圍值,檢查成功[3]。檢查成功后UE將返回回應(yīng)。若認證碼不同,會回應(yīng)驗證失敗。其他UE由于認證碼失敗出現(xiàn)驗證失敗結(jié)果,會向非法分子發(fā)送失敗信息。非法分子根據(jù)回應(yīng),判斷目標UE是否在目標范圍內(nèi),確認目標位置后,能夠進行網(wǎng)絡(luò)攻擊。

    2)SUCI請求認證向量

    5G網(wǎng)絡(luò)將用戶SUPI進行加密處理為SUCI,5G認證協(xié)議在請求認證向量上存在安全缺陷。5G網(wǎng)絡(luò)終端在連接網(wǎng)絡(luò)前,需要進行雙向身份認證,認證之前用戶需要向網(wǎng)絡(luò)發(fā)送請求,通過明文方式進行傳遞,更容易被非法分子捕捉。非法分子在運營商和目標附近間隔太久,非法分子很容易通過捕捉用戶請求消息獲得真實認證向量。攻擊者只需要攔截真實注冊請求,并構(gòu)建惡意UE和gNodeB,兩者之間能夠通過私信鏈路進行連接。通過攻擊,非法分子能夠?qū)τ脩粑恢眠M行判斷,當非法分子想要確定目標用戶位置,可以啟動攻擊進行位置跟蹤,攻擊者允許目標UE進行后續(xù)注冊,當所有流量可以通過攻擊者網(wǎng)絡(luò),非法分子能夠?qū)α髁窟M行分析,建立用戶的數(shù)據(jù)服務(wù)、電話呼叫以及文本消息等。

    2.2 修復(fù)方案

    對于上述缺陷,本文嘗試提出了修復(fù)方案,安全缺陷主要體現(xiàn)在明文傳遞上,明文傳遞很容易被攻擊者利用,5G網(wǎng)絡(luò)運行協(xié)議時,UE和網(wǎng)絡(luò)還沒有完成密鑰協(xié)商,無法對消息內(nèi)容加密處理。在5G網(wǎng)絡(luò)中使用PKI機制對用戶身份信息進行保護,其中臨時公私鑰以及公私鑰對均可以被用于修復(fù)安全缺陷。從這一角度出發(fā),如果身份認證失敗信息難以區(qū)分,可避免非法分子的攻擊。當UE受到認證請求后,對MAC和SQN認證消息無法準確識別,從而難以進行攻擊。當UE受到認證請求后,對MAC和SQN進行驗證,當兩者都通過時,UE會計算RES→f(K,R),從而計算出RES,否則將生成新隨機數(shù)。不管MAC認證失敗還是成功,RES都會被發(fā)送給SN/HN。在上述解決方案中,MAC被包含在認證失敗的信息中,使用隨機數(shù)預(yù)防攻擊行為。短時間內(nèi)重復(fù)使用同一個身份驗證,兩次都會得到相同的結(jié)果。

    3 5G網(wǎng)絡(luò)非接入層協(xié)議安全性

    3.1 安全攻擊

    在非接入層協(xié)議中,主要存在以下幾類攻擊。

    1)位置跟蹤攻擊

    非法分子通過偽造gNodeB以及UE,在5G網(wǎng)絡(luò)和受害UE中構(gòu)建完整通信鏈路,形成中間人。在第一階段,非法分子在受害UE區(qū)域竊聽,受害UE通過認證后網(wǎng)絡(luò)發(fā)出SMC流程,由于沒有加密處理,非法分子可以在空口對消息進行識別和保存。第二階段非法分子確認目標位置,迫使受害UE和惡意gNodeB連接,建立RRC后UE發(fā)起注冊。正常認證時,惡意UE和gNodeB可以傳輸消息。在SMC流程中,非法分子發(fā)送安全模式命令消息,若UE收到消息,可以判斷UE的位置。確認目標位置后能夠?qū)ζ湮恢眠M行跟蹤。

    2)注冊注銷攻擊

    非法分子通過合法gNodeB發(fā)送注銷請求,包含目標UE的5G-GUTI,便于UE收到請求消息。非法分子在UE搭建的高強度信號功率gNodeB附近時,可以連接UE,廣播請求信息,讓 UE無法進行通信服務(wù)。通過注銷攻擊可能造成大規(guī)模DoS,造成gNodeB信令風暴,不利于運營商的服務(wù)質(zhì)量。注冊攻擊通過建立惡意UE和目標RRC連接,非法分子在RRC接收信息中建立請求消息,便于發(fā)送認證請求。等待UE返回認證響應(yīng)消息,持續(xù)連接幾秒鐘。若未響應(yīng)認證,會釋放RRC連接。惡意UE需要在釋放前重新發(fā)出RRC連接請求,從而實現(xiàn)攻擊目的。注冊攻擊將造成區(qū)域性DoS,造成用戶強烈不滿。

    3)認證拒絕攻擊

    攻擊者利用惡意gNodeB,建立和目標UE的RRC連接,直接向受害UE發(fā)送認證拒絕請求,接受消息后,受害UE會斷開RRC連接,長時間處于無服務(wù)狀態(tài)。認證拒絕攻擊會造成服務(wù)中斷,影響網(wǎng)絡(luò)穩(wěn)定性。

    3.2 修復(fù)方案

    通過上述攻擊行為,發(fā)現(xiàn)安全缺陷主要是由于初始消息保護漏洞、預(yù)認證消息保護漏洞、UE信任條件、空中接口安全性造成。針對上述情況,最嚴重的是UE信任條件,將會造成非法分子可以隨機連接目標UE。在目前的網(wǎng)絡(luò)部署下,如果大范圍進行安全機制的改動,將會增加部署成本,同時需要考慮各協(xié)議之間的兼容性,造成成本增加。針對上述安全隱患,需要進行修復(fù)。主要利用5G網(wǎng)絡(luò)PKI機制,增加公鑰或私鑰來提高gNnodeB發(fā)送消息真實性。在5G網(wǎng)絡(luò)中利用PKI機制進行用戶身份的永久保護,使用ECC算法獲得公鑰和私鑰,將公鑰保存在SIM卡中,私鑰保存在運營商系統(tǒng)中。若發(fā)送UE身份請求,通過公鑰和私鑰組合形成共享密鑰,對SUPI進行加密,得到SUCI[4]。運營商網(wǎng)絡(luò)可以使用UE發(fā)送公鑰和私鑰構(gòu)成共享密鑰,用于解密SUCI。運營商密鑰是永久存在的,可以利用核心網(wǎng)絡(luò)私鑰獲得gNodeB的簽名。針對每個簽名設(shè)計HN簽名證書,附加在SIB1消息中,根據(jù)簽名信息確認gNodeB。為了中斷攻擊,將延遲參數(shù)添加在SIB2中,運營商能夠利用環(huán)境設(shè)定閾值。當生成消息和接收消息時間的差值小于閾值時,認為消息未被中繼,可避免攻擊時間窗口的減少。為了避免非法分子竊聽空中接口的信息,在初始信息中使用加密方案,利用舒適信息進行加密,能夠提高空中接口的安全性。

    4 結(jié)論

    綜上所述,在5G網(wǎng)絡(luò)大力建設(shè)過程中,必須重視5G網(wǎng)絡(luò)安全性問題,密切關(guān)注協(xié)議安全性。尤其是非接入層協(xié)議,極容易被不法分子利用發(fā)動攻擊。需要積極利用修復(fù)方案,通過簡單的方式提高協(xié)議安全性,從而保證運營商提供穩(wěn)定的網(wǎng)絡(luò),滿足用戶的服務(wù)需要。

    參考文獻:

    [1] 程賢兵,蔣睿,裴蓓,等.5G網(wǎng)絡(luò)中D2D安全動態(tài)群組認證和密鑰協(xié)商協(xié)議[J].東南大學學報(自然科學版),2020,50(5):918-928.

    [2] 趙軒.5G安全思考 建立網(wǎng)絡(luò)接入統(tǒng)一認證管理系統(tǒng)勢在必行[J].通信世界,2020(22):25.

    [3] 曹舒雅,姚英英,常曉林.5G超密集網(wǎng)絡(luò)的認證方案綜述[J].網(wǎng)絡(luò)空間安全,2020,11(4):35-43.

    [4] 許書彬,甘植旺.5G安全技術(shù)研究現(xiàn)狀及發(fā)展趨勢[J].無線電通信技術(shù),2020,46(2):133-138.

    【通聯(lián)編輯:代影】

    猜你喜歡
    攻擊者消息安全性
    兩款輸液泵的輸血安全性評估
    新染料可提高電動汽車安全性
    基于微分博弈的追逃問題最優(yōu)策略設(shè)計
    自動化學報(2021年8期)2021-09-28 07:20:18
    一張圖看5G消息
    正面迎接批判
    愛你(2018年16期)2018-06-21 03:28:44
    ApplePay橫空出世 安全性遭受質(zhì)疑 拿什么保護你,我的蘋果支付?
    有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
    Imagination發(fā)布可實現(xiàn)下一代SoC安全性的OmniShield技術(shù)
    消息
    消息
    龙州县| 新泰市| 萍乡市| 南充市| 新晃| 开阳县| 莫力| 临漳县| 仁寿县| 太和县| 西畴县| 诸暨市| 余姚市| 高雄市| 昌吉市| 彩票| 军事| 调兵山市| 南京市| 江口县| 奉贤区| 枣庄市| 织金县| 驻马店市| 贵阳市| 德兴市| 改则县| 奉新县| 淮阳县| 布拖县| 涪陵区| 岑巩县| 全椒县| 兴隆县| 阿拉善左旗| 新竹市| 澄城县| 贺兰县| 龙岩市| 双辽市| 隆德县|