5G安全测试解决方案

需求分析

当前我国5G网络建设步伐加快，已建成5G基站近85万个，形成全qiu最da 5G独立组网网络，5G行业应用创新案例已超过1万个。一方面，5G延续2/3/4G移动通信网络特征，继承4G网络分层分域安全架构并在服务域安全、统一认证框架、隐私保护和网间漫游安全等方面具备了比4G更强的安全能力；另一方面，由于5G引入网络功能虚拟化、网络切片、边缘计算等新技术以及增强移动宽带（eMBB）、超高可靠低时延（uRLLC）和海量机器类通信（mMTC）典型场景，网络架构向云网融合、云边协同演进，给网络建设运行和业务应用带来新的安全风险挑战。特别是5G的核心网架构和4G相比由于引入了更灵活的部署方式和切片方案，包括UPF下沉部署，大量专网复用运营商核心网，导致安全威胁远远大于4G核心网。

由于5G承载的业务类型更加偏向于关键商业应用，包括工控业务，轨道交通通信，电网通信等，一旦发生安全问题，其危害远远大于普通的消费者通信业务。有可能引发的是关键基础设施的安全威胁或者业务瘫痪的风险。总体来看，5G安全的风险带来的危害因为其应用场景不同，远远大于4G时代。近期在国内相关的5G专网用户组织的5G安全测试中，也暴露了非常多的5G安全漏洞，很多漏洞具有高危特性。

5G安全测试解决方案可分为5G信令风暴安全测试方案和5G信令模糊测试方案。

5G信令风暴测试的方法与方案：

5G信令风暴的一般测试方法：

基于容易产生信令风暴的场景和一定的移动业务组合模型，针对5G网络条件下的信令风暴特征，使用5G核心网仿真测试仪和终端仿真测试仪对5G基站设备与核心网网元进行包围测试，通过一定的业务模型和信令流量变化的仿真来构造基站和核心网信令风暴的形成，以检验5G基站设备和核心网设备在设计和使用上的安全性与健壮性，测试可通过从核心网仿真测试仪和终端仿真测试仪上导入定制化的模拟业务流后加以执行。

5G核心网信令风暴测试着重关注下述业务模型与测试场景：

大规模GNB下海量UE的认证接入与多媒体业务下的切换组合测试；

5G核心网海量UE在线背景下UE通过基站请求接入的混合业务测试。

为完成以上的测试任务，除了真实基站外，我们使用高性能的5G核心网仿真测试仪与5G真实终端共同配合构成5G信令风暴测试平台加以实现。

5G核心网信令风暴仿真测试平台以高性能5G核心网仿真测试仪为核心，实现对5GC主要信令网元AMF、SMF、AUSF、UDM、NSSF、NRF、PCF和AF以及各网元之间接口协议的仿真；同时仿真无线接入网的非无线部分，提供对GNB、UE非无线侧和N1、N2接口的仿真，通过40000TPS以上单节点业务过程、200Gbps单节点的媒体流量带宽、20Gbps单UE接入吞吐量、65536个最大仿真节点数实现高度逼近现网规模的仿真。

         以5G核心网信令风暴仿真测试平台为基础，针对5G核心网架构的新变化和新特征，产生相应的信令风暴业务模型和流量触发：如5GUE上下线、Paging（UE和网络触发）、多PDU会话、Xn切换、N2切换、4/5G互操作、PDUSessionModify 业务组合流程的仿真，支持如周期性的大规模仿真终端的睡眠、重新激活、数据连接的断开和重连、永远在线消息等仿真功能，因而形成综合有效的5G核心网信令业务仿真模型，使得测试结果更加逼真可信。

5G接入网信令风暴测试平台以高性能5G多用户仿真终端和5G核心网仿真测试仪为核心，对被测5G基站进行包围测试。5G接入网信令风暴测试的关键在于多RRC连接状态的建立与释放，而并非简单地仿真短时间内UE的上下线行为，短时间内的大规模用户上下线并不是产生信令风暴的充分必要条件。接入网信令风暴的设计基于不同的场景和不同的信令风暴仿真方式，从多个维度入手，即运用多用户仿真终端技术，实现不同用户端到端的各种信令行为仿真，如短时间内大量终端的瞬间接入以及不同的终端同时仿真不同的信令流程等，并对RRC计时器参数设置、各个时间点进行控制，形成大规模的基站信令风暴触发模型。

5G信令模糊测试背景介绍：

5G信令模糊测试是由5G模糊测试管理工具建立和控制的基于5G协议生成的模糊数据输入过程，可针对5G核心网或5G空口协议字段加以改包后对核心网接口和空口发起攻击，由内嵌在5G高性能核心网测试仪与5G高性能多用户仿真终端中的改包引擎执行，即分别从核心网接口和空口接口侦听、截获并修改目标数据包，然后将修改后的数据包发往对端。5G核心网协议模糊测试的目标协议字段可针对N1/N2/N3/N4各接口数据包，5G空口协议模糊测试的目标协议修改字段可针对MAC/RLC/PDCP/RRC/NAS各层消息。

在5G核心网协议模糊测试过程中，由5G核心网改包引擎负责构造目标接口异常信令，即构造不完整信令流程(如只有单向请求无响应)、非法信令流程（如在没有收到请求的情况下直接回应）、异常协议字段等方面来进行。在确定被测网元对象或业务流程后，构造特定的异常业务流程并发送至被测设备，观察被测设备的反应。核心网改包引擎的主要改包信令接口包括：N1/N2/N4，用户面接口：N3。

5G核心网接口通信协议模糊测试过程如下图:

在5G空口协议模糊测试过程中，空口改包引擎可以根据预先定义的规则灵活地修改PDCP/RRC/NAS层的任意字段。同时支持变量化的修改规则可以按照一个预先指定的数据范围和步长进行更改。这样的策略可以保证协议模糊化遍历所有的协议字段和变量，从而充分的测试UE到基站的协议健壮性。核心网改包引擎可通过与星载基站之间的接口对接口上的消息进行改包。

5G空口通信协议模糊测试过程如下图：

改包引擎改包的流程分为如下几步：

A.   测试仪表根据标准协议栈构造正常通信的数据报文进行通信

B. 改包引擎监听仪表网络端口的发包并获取协议栈准备发送的数据报文，在改包引擎返回结果之前先暂时不按照标准协议栈发送原始报文

C.   获取的协议栈准备发送的数据报文按照改包引擎预先配置好的策略进行匹配，没有命中策略的继续按照协议栈原来的行为发送数据报文，如果命中策略则按照预先设定的策略进行修改后把修改后的报文进行发送

D.   每命中一次策略，在仪表上进行统计并最终形成统计报告。

改包引擎的语法规则定义采取了结构化类似脚本的定义方法。通过定义每个层次的字段进行规则匹配。当测试人员确认一个测试用例发现漏洞之后，需要记录相关测试用例和工具配置脚本及被测设备的环境和版本等信息，把所有相关信息整理加工，存入漏洞库。同时后续可以通过安全测试平台重新进行测试和复现相关漏洞问题。

经多个客户的实测证明，模糊测试是一种十分有效的5G网络系统软件安全漏洞的检测方法，已发现的较大漏洞有核心网N2和N4接口的管理与认证漏洞等。具体到核心网和空口通信协议模糊测试的消息种类和异常流程，应根据接口协议和规范的要求，在模糊测试工具已积累的安全漏洞测试脚本的基础上，以能够产生模糊数据输入和改包的消息与流程种类和数量为准。