5G架構(gòu)的網(wǎng)絡(luò)切片與虛擬化網(wǎng)絡(luò)功能存在安全漏洞,，惡意攻擊者可能借此跨越移動(dòng)運(yùn)營(yíng)商5G網(wǎng)絡(luò)上的各個(gè)不同網(wǎng)絡(luò)切片,，發(fā)動(dòng)數(shù)據(jù)訪(fǎng)問(wèn)與拒絕服務(wù)攻擊。

　　移動(dòng)安全公司AdaptiveMobile在2月4日向GSM協(xié)會(huì)（GSMA）報(bào)告了最新研究成果,，并將此次發(fā)現(xiàn)的安全漏洞編號(hào)為CVD-2021-0047。

　　5G網(wǎng)絡(luò)切片存在漏洞

　　5G是4G LTE技術(shù)的演進(jìn)版本,，采用基于服務(wù)架構(gòu)（SBA）,，用以提供模塊化框架以部署一組互連的網(wǎng)絡(luò)功能。用戶(hù)可以借此獲取并授權(quán)遠(yuǎn)超以往的服務(wù)訪(fǎng)問(wèn)能力,。

　　AdaptiveMobile表示,，“5G基于服務(wù)架構(gòu)提供多項(xiàng)安全功能，其中涵蓋從前幾代網(wǎng)絡(luò)技術(shù)中汲取到的寶貴經(jīng)驗(yàn),。但在另一方面,，5G基于服務(wù)架構(gòu)本身仍是一種全新的網(wǎng)絡(luò)概念，要求將網(wǎng)絡(luò)開(kāi)放給新的合作伙伴與服務(wù),，而這必然會(huì)帶來(lái)新的安全挑戰(zhàn),。”

　　根據(jù)這家移動(dòng)安全公司介紹,，5G架構(gòu)帶來(lái)的全新安全隱患不僅與支持傳統(tǒng)功能的硬性需求有關(guān),，同時(shí)也涉及由4G過(guò)渡至5G所帶來(lái)的“協(xié)議復(fù)雜性提升”。具體而言,，新架構(gòu)在設(shè)計(jì)上可能給以下多種攻擊手段留下可乘之機(jī)：

　　● 通過(guò)強(qiáng)制使用切片區(qū)分符對(duì)特定切片執(zhí)行惡意訪(fǎng)問(wèn),。切片區(qū)分符屬于網(wǎng)絡(luò)運(yùn)營(yíng)商為了區(qū)分同一類(lèi)型的各個(gè)切片而設(shè)置的可選值，一旦遭到濫用,，未授權(quán)攻擊者將能夠通過(guò)其他切片訪(fǎng)問(wèn)到同類(lèi)特定切片中的信息,，例如獲取訪(fǎng)問(wèn)與移動(dòng)管理功能（AMF）、用戶(hù)設(shè)備的位置信息等,。

　　● 利用遭到入侵的切片,，針對(duì)另一網(wǎng)絡(luò)功能執(zhí)行拒絕服務(wù)（DoS）攻擊。

　　上述攻擊之所以有望奏效,，是因?yàn)?G基于服務(wù)架構(gòu)在設(shè)計(jì)中,，缺少用于保證信令層請(qǐng)求中切片身份與傳輸層中實(shí)際使用的切片身份相匹配的檢查機(jī)制。如此一來(lái),，攻擊者可以經(jīng)由網(wǎng)絡(luò)功能接入5G運(yùn)營(yíng)商的基于服務(wù)架構(gòu),，借此奪取核心網(wǎng)絡(luò)及網(wǎng)絡(luò)切片的控制權(quán)。

　　需要注意的是,，信令層屬于特定于電信網(wǎng)絡(luò)的應(yīng)用層,，用于在不同切片內(nèi)的各網(wǎng)絡(luò)功能之間交換信令消息。

　　5G網(wǎng)絡(luò)切片是什么,？

　　對(duì)5G網(wǎng)絡(luò)核心內(nèi)基于服務(wù)架構(gòu)加以協(xié)調(diào)的一項(xiàng)重要方法,，正是前文提到的網(wǎng)絡(luò)切片模型,。

　　顧名思義，網(wǎng)絡(luò)切片的基本思路是將原始網(wǎng)絡(luò)架構(gòu)“切片”為多個(gè)彼此獨(dú)立的邏輯虛擬網(wǎng)絡(luò),，并通過(guò)相應(yīng)配置保證各網(wǎng)絡(luò)能夠滿(mǎn)足特定的業(yè)務(wù)目標(biāo),。而這種設(shè)計(jì)，又對(duì)各切片的服務(wù)質(zhì)量（QoS）提出嚴(yán)苛要求,。

　　此外,，核心網(wǎng)絡(luò)中的各個(gè)分片均由網(wǎng)絡(luò)功能（NF）的邏輯分組構(gòu)成。我們可以將這些網(wǎng)絡(luò)功能專(zhuān)門(mén)分配給特定切片,，或者在不同切片間共享指定功能,。

　　換句話(huà)說(shuō)，通過(guò)創(chuàng)建某些優(yōu)先關(guān)注某些特征（例如較大帶寬）的獨(dú)立切片,，這種網(wǎng)絡(luò)切片模型能夠幫助網(wǎng)絡(luò)運(yùn)營(yíng)商針對(duì)特定行業(yè)構(gòu)建起高度優(yōu)化的定制解決方案,。

　　例如，移動(dòng)寬帶切片可用于促進(jìn)娛樂(lè)與互聯(lián)網(wǎng)相關(guān)服務(wù),；物聯(lián)網(wǎng)切片則能夠很好地適應(yīng)零售與制造行業(yè)的運(yùn)營(yíng)需求,；而低延遲獨(dú)立切片則可充分服務(wù)于醫(yī)療保健與基礎(chǔ)設(shè)施等保障性行業(yè)。

　　如何應(yīng)對(duì)

　　為了應(yīng)對(duì)這一威脅,，除了部署信令層保護(hù)解決方案之外,，AdaptiveMobile還建議在不同的切片、核心網(wǎng)絡(luò)與外部合作伙伴之間各共享及非共享網(wǎng)絡(luò)功能之間,，采用信令安全過(guò)濾器,。這種方式能夠?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)不同的安全區(qū)域，由此抵御因不同層間關(guān)聯(lián)缺失引發(fā)的數(shù)據(jù)泄露隱患,。

　　盡管現(xiàn)有5G架構(gòu)還不支持這種保護(hù)節(jié)點(diǎn),，但AdaptiveMobile在研究報(bào)告中建議增強(qiáng)服務(wù)通信代理（SCP）以驗(yàn)證消息格式的正確性，在各層與協(xié)議之間執(zhí)行信息匹配,，并配合與負(fù)載相關(guān)的功能以防范DoS攻擊,。

　　研究人員們總結(jié)道，“這種過(guò)濾與驗(yàn)證方法可以將網(wǎng)絡(luò)劃分為多個(gè)安全區(qū)域,，借此保護(hù)5G核心網(wǎng)絡(luò),。這些安全網(wǎng)絡(luò)功能能夠?qū)⒈舜碎g的攻擊信息關(guān)聯(lián)起來(lái)，最大程度抵御高水平攻擊者,，在顯著提升攻擊緩解與檢測(cè)速度之外,，最大程度減少安全誤報(bào)數(shù)量?！?/p>