4G LTE协议安全性及潜在攻击风险分析

4G网络是电信基础设施的关键部分，不仅会对经济、公共安全等造成影响，还会对我们个人生活带来便利以及潜在的影响。本文分析4G LTE网络的安全和隐私的潜在风险，以及带来的不良影响。

LTE网络架构

LET网络是由UE用户设备、无线电访问网络radio access network(E-UTRAN)和核心网等组件组成的。UE是含有SIM识别的移动电话设备，SIM卡安全地存储了用户的IMSI号、身份识别和认证中用到的加密密钥。IMEI是UE的设备唯一识别码，有了IMSI和IMEI就可以追踪或窃听用户了。

E-UTRAN

LTE网络中的地理区域被分为各种六边形的单元，每个单元由一个基站提供服务。通过运营商的骨干网络给附件的UE提供互联网接入服务。eNode可以看做是UE和EPC之间的媒介。本质上讲，E-UTRAN就是UE和eNodeB，eNodeB对之间的网络。

EPC

MME（mobility management entity，移动管理实体）。MME管理UE的attach（包括认证和密钥管理）、paging、detach步骤；也负责特定记录区域的UE的位置记录。

HSS（home subscriber server，家庭）。HSS负责存储UE身份信息（IMSI和IMEI）和订阅数据和加密master密钥，加密master密钥可以对每个不同的subscriber生成认证请求和对称回话密钥。

Attach步骤

UE与eNodeB建立连接一共分4步。

1. 识别。UE通过eNodeB发送attach_request消息到MME，消息中含有没问的IMSI等身份信息和安全能力。

2. 认证。为了验证UE的真实性，MME在收到HSS生成的认证请求后，会发送authentication_request消息到UE。然后UE用master key解答请求，并发送authentication_response消息到UE。如果认证成功，UE和MME就进入安全算法协商。

3. 安全算法协商。MEE会从attach_request中的安全能力中选择一个UE支持的算法对。然后，MEE发送完整性保护的security_mode_command消息到UE，在UE中，MME会重放UE的安全能力，这样就可以确认security_mode_command消息中的安全能力和UE发送的attach_request中的安全能力一致。在对security_mode_command中的消息认证码MAC进行验证后，MME会发送加密和经过完整性保护的security_mode_complete消息。UE和MME就创建了共享的安全环境，包括保护消息交换完整性和机密性的共享密钥。

4. 安全临时ID交换。MEE会发送加密和完整性保护的attach_accept消息给UE，其中attach_accept消息中含有一个给UE的临时ID——GUTI（Globally Unique Temporary Identity）。为了防止敏感IMSI/IMEI信息的泄露，GUTI用于之后所有UE和eNodeB/MME之间的通信。UE发送attach_complete消息后就结束了attach步骤。UE和eNodeB会生成一个用于安全通信的共享密钥作为安全环境。

Paging分页

当UE与网络进行通信时，会不断用tracking_area_update_request消息向MME更新位置信息。如果UE没有需要发送的数据，就会以节能（空闲）模式工作，并周期性地唤醒来检查paging消息。

MME-intiated paging。当MME要定位空闲的UE或者需要下发来电或短信这样的网络服务时，MME会让所有的记录区域内的所有eNodeB对特定UE生成paging消息。eNodeB会出现在paging区域后会广播paging消息到所有UE。Paging消息含有UE的身份，比如GUTI或IMSI。MME会经常发送含有GUTI的消息，GUTI会从UE接受service_request消息。如果MME因为attach阶段的网络失败，没有成功分配新的GUTI到UE，MME就会发送含有IMSI的paging消息。在接收含有IMSI消息的paging消息后，UE会进入detached状态，进入下一个attach阶段。

eNodeB-initaited paging。当需要通知UE进行：1）更改系统；2）紧急情况；3）地震、海啸预警等时，eNodeB可以生成没有MME参与的paging消息。

Detach阶段

UE/MME可以选择通过生成含有cause of detach的datach_request消息来终止已建立的连接。

攻击分析

对attach步骤的攻击

Authentication synchronization failure attack认证同步失败攻击。
该攻击利用UE的序列号sanity检查来破坏attach过程。恶意攻击者通过MME与HSS交互来确保UE的序列号与HSS的序列号是不同步的。通过合法的auth_request消息接收到的认证请求就不能通过UE的sanity检查并最终被UE丢弃。

Tracealibity攻击。ENodeB单元中的UE与恶意eNodeB建立连接后，恶意eNodeB就会重放获取的security_mode_command消息给所有的UE。受害者UE会验证接收到的消息的完整性和UE的安全能力，并以security_mode_complete消息回应；而其他UE会因为完整性校验失败以security_mode_reject消息回应。恶意eNodeB就可以识别特定UE的存在了。

Numb攻击。攻击者会注入无序的控制面板协议消息来严重影响受害UE的服务。

当受害UE与恶意eNodeB建立连接后，恶意eNodeB会发送auth_reject消息给受害UE。

对paging过程的攻击

Stealthy kicking off攻击。

在劫持了受害UE的paging channel后，恶意的eNodeB会创建含有受害UE IMSI的paging记录的paging消息。攻击者会将paging记录的其他域设置为何原始的paging消息一致。受害UE在收到含有IMSI的paging消息后，会在第一个paging记录中找到IMSI。最后，断开与EPC的连接，然后发送attach_request消息。该攻击还可以被用作认证重复攻击的前奏，造成的影响是破坏服务。

针对detach过程的攻击

Detach/downgrade攻击

在攻击中，攻击者会向网络中注入detach_request来破坏UE的服务。攻击步骤见下图8-a。当受害UE连接到恶意eNodeB时，会发送给网络一个初始化的detach_request消息，该消息会强制让UE进入断开连接的状态并发送detach_accept消息。

Detach/downgrade攻击变种。

攻击步骤如图8-b，攻击在detach_request发送之前，eNodeB会发送一个identity_request请求消息，然后UE用含有UE IMSI的identity_response消息。如果IMSI在攻击者的受害者列表中，就会发送detach_request，否则就忽略该UE。

后果和影响

漏洞可导致身份欺骗和信息拦截，研究人员认为他们发现的问题可能并不会得到修复。因为过去也曾发现过类似的 4G LTE 攻击，但至今仍未修复。

更多攻击场景和细节参见论文LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE。