51学通信

深度解析 3GPP TS 33.511:4.2.2.1 移动性安全 (Part 3 - Handover Security)

18分钟阅读

好的,我们继续对3GPP TS 33.511规范的逐章拆解。这是本系列解读的第六篇文章。在过去的篇章中,我们已经为5G的空中接口构建了坚不可摧的信令和数据“保险箱”,也探讨了这套保险箱的“锁具”和“钥匙”是如何选择与更换的。

现在,我们将进入一个更具动态性和挑战性的领域:移动性安全。当用户在高速移动中,从一个基站的服务区无缝切换到另一个基站时,我们之前建立的所有安全保护,是如何像接力赛一样,平滑、快速、且安全地传递下去的?

深度解析 3GPP TS 33.511:4.2.2.1 移动性安全 (Part 3 - Handover Security)

本文技术原理深度参考了3GPP TS 33.511 V18.3.0 (2024-03) Release 18规范中,关于4.2.2.1节下属的 4.2.2.1.14 (Bidding down prevention in Xn-handovers)4.2.2.1.15 (AS protection algorithm selection in gNB change) 等核心条款。本文将为你揭示5G切换流程背后那场看不见的、为了防止安全“降级”而进行的精密“攻防战”。

引言:李明的新课题——守护高铁上的“无感切换”

“星辰通信”的工程师李明,在完成了对静态场景下空口安全的全面验证后,他的导师艾米给他带来了一个新挑战。

“李明,静态安全只是基础。5G最大的魅力之一,就是其卓越的移动性,”艾米打开了一段高铁上乘客流畅观看4K视频的宣传片,“你看,为了实现这种‘无感切换’,用户的手机在几秒钟内可能已经跨越了数个基站。我们的Orion-gNodeB 9000产品,不仅要保证切换本身不掉线,更要保证在切换的瞬间,安全保护不会出现任何中断或降级。”

艾米提出了一个尖锐的问题:“想象一下,一辆自动驾驶汽车正以120公里的时速在高速公路上行驶,它的安全保护级别是最高等级的NEA3加密。当它从我们的一个新部署的、支持NEA3的gNodeB,切换到一个老旧的、只支持NEA2的gNodeB时,会发生什么?反过来,如果它从一个老旧gNodeB切换到我们的新gNodeB,安全级别会自动提升吗?更危险的是,如果一个恶意的源基站,在切换时‘谎报军情’,欺骗我们的目标基站使用一个更弱的加密算法,我们有机制能识破这个骗局吗?”

这些问题,将李明带入了一个全新的、动态的安全领域。他知道,守护移动中的安全,是对gNodeB“智慧”和“责任感”的更高层次的考验。

1. 切换中的“谍战”:防止降级攻击 (Bidding Down Prevention)

李明首先聚焦于艾米提到的最危险的场景:切换过程中的“欺诈”行为。

4.2.2.1.14 Bidding down prevention in Xn-handovers Requirement Name: Bidding Down Prevention Requirement Reference: TS 33.501, clause 6.7.3.1 Requirement Description: In the Path-Switch message, the target gNB/ng-eNB sends the UE’s 5G security capabilities received from the source gNB/ng-eNB to the AMF. as specified in TS 33.501, clause 6.7.3.1. Threat References: TR 33.926, clause D.2.2.6 Bidding Down on Xn-Handover

【李明的深度解读】

“Bidding Down Attack”,即降级攻击,是移动通信安全领域一个经典的威胁模型。李明在脑海中构建了这场“谍战”的剧本:

  • 角色:

    • UE (User Equipment): 无辜的用户手机,支持最高级的NEA3加密算法。
    • Source gNB: 一个被黑客攻破或恶意配置的源基站。
    • Target gNB: 我们正直的Orion-gNodeB 9000目标基站。
    • AMF (Access and Mobility Management Function): 核心网中的“安全仲裁官”。

  • 剧情:

    1. 切换准备: UE在Source gNB的覆盖下,正常使用NEA3加密进行通信。当UE移动到网络边缘时,Source gNB决定将其切换到Target gNB。
    2. 源端“谎报军情”: Source gNB通过Xn接口向Target gNB发送Handover Request消息。在这个消息中,它需要包含UE的安全能力。恶意的Source gNB在这里动了手脚,它故意谎称这个UE只支持低级的NEA1加密算法,隐瞒了其支持NEA3的事实。
    3. 目标端“轻信”: 如果Target gNB没有防备,它会相信这个来自“友军”的信息。基于这份被篡改的能力,它会选择使用NEA1算法与UE通信。
    4. 攻击得逞: 切换完成后,UE与Target gNB之间的通信安全等级,就从NEA3被人为地、秘密地“降级”到了NEA1,使得攻击者更容易进行破解。

【5G的防御机制:AMF的“交叉验证”】

那么,5G系统是如何识破这场骗局的呢?规范的Requirement Description中给出了答案。其核心机制可以概括为“延迟验证”和“第三方仲裁”。

  1. 目标gNB的责任: 规范要求,在切换执行完成后,Target gNB必须向核心网的AMF发送一条Path Switch Request消息,通知核心网,该UE的路径已经切换到我这里了。
  2. 关键的证据链: 最关键的一步是,规范强制要求Target gNB在这条Path Switch Request消息中,必须包含它从Source gNB那里收到的那份UE安全能力清单
  3. AMF的“火眼金睛”: AMF扮演了最终的“安全仲裁官”。它在UE最初注册入网时,就已经保存了一份最原始、最可信的UE安全能力副本。当AMF收到Target gNB的Path Switch Request后,它会执行一次交叉验证
    • 对比自己保存的“原始档案”和Target gNB上报的“转手情报”。
    • 如果两者完全一致,说明切换过程是诚实的,流程继续。
    • 如果发现不一致(例如,原始档案里有NEA3,但上报的情报里没有),AMF就会立刻意识到这是一次潜在的降级攻击,它可以选择拒绝这次路径切换,甚至触发告警,从而挫败攻击。

【实验室实战:复现TC-Xn-handover_bid_down_gNB测试用例】

李明搭建了一个包含模拟UE、恶意Source gNB、Orion-gNodeB 9000 (Target)和核心网模拟器(AMF)的复杂环境。

  1. 模拟攻击: 他首先让UE在恶意Source gNB上使用NEA3加密。然后,他配置恶意Source gNB在向Orion-gNodeB 9000发起切换时,只上报UE支持NEA1。
  2. 观察Target gNB行为: 他通过抓取Xn和N2接口的信令,确认了:
    • Orion-gNodeB 9000收到了包含虚假能力的Handover Request
    • 切换完成后,Orion-gNodeB 9000向AMF模拟器发送了Path Switch Request消息。
    • 最关键的是,他在这条消息中,清晰地看到了那份被篡改过的、只包含NEA1的UE安全能力清单

Expected Results: The UE NR security capabilities are in the path-switch message.

实验成功!这证明了Orion-gNodeB 9000忠实地履行了它的“证据传递”责任。它虽然在切换的瞬间无法识破源端的谎言,但它通过将关键信息上报给拥有最高裁决权的AMF,构成了整个防御体系中不可或缺的一环。

2. 安全的“接力赛”:切换时的算法重新选择

在排除了“欺诈”的风险后,我们再来看正常切换场景下的算法选择。这就像一场安全的“接力赛”,目标gNodeB需要从源gNodeB手中接过“接力棒”,并决定以怎样的速度继续跑下去。

4.2.2.1.15 AS protection algorithm selection in gNB change Requirement Name: AS protection algorithm selection in gNB change. Requirement Description: The target gNB/ng-eNB selects the algorithm with highest priority from the received 5G security capabilities of the UE according to the prioritized locally configured list of algorithms (this applies for both integrity and ciphering algorithms). The chosen algorithms are indicated to the UE in the Handover Command message if the target gNB/ng-eNB selects different algorithms compared to the source gNB/ng-eNB as specified in TS 33.501…

【李明的深度解读】

这个过程的核心逻辑,与我们之前在第四篇文章中讨论的初始接入时算法选择完全一致,即“gNB主导下的交集内最优原则”。但应用在切换场景下,会产生一些有趣的动态变化。

  1. 信息传递: 源gNodeB会将UE的(真实的)安全能力,以及当前正在使用的安全算法,都告知目标gNodeB。
  2. 目标gNodeB的重新决策: 目标gNodeB会忽略源端当前正在使用的算法,而是用UE的完整能力清单,与自己本地配置的、按优先级排序的算法列表进行一次全新的匹配。
  3. 结果对比与通知:
    • 如果新选择的算法与旧算法相同:那么目标gNodeB在发给UE的Handover Command(切换命令)消息中,就无需包含安全算法的信息,UE会默认继续使用旧算法。
    • 如果新选择的算法与旧算法不同:目标gNodeB必须Handover Command中,明确地包含新的加密和完整性算法指示,强制UE在切换后启用新算法。

【场景推演:安全升级与降级】

李明设想了艾米提出的两个场景:

  • 场景一:安全自动升级

    • 自动驾驶汽车(支持NEA3)从一个只配置了NEA2作为最高优先级的老旧gNodeB,切换到将NEA3设为最高优先级的Orion-gNodeB 9000。
    • Orion-gNodeB 9000进行重新决策,发现自己和UE都支持更强的NEA3,于是它选择NEA3。
    • 由于NEA3与源端的NEA2不同,Orion-gNodeB 9000会在Handover Command中指示UE:“切换后,请启用NEA3加密!”
    • 结果:用户的安全级别在无感切换中自动得到了提升。

  • 场景二:安全兼容性降级

    • 自动驾驶汽车(使用NEA3)从Orion-gNodeB 9000切换到一个只支持NEA2的老旧gNodeB。
    • 老旧gNodeB进行决策,发现自己能力有限,在与UE能力的交集中,最优选择只能是NEA2。
    • 它会在Handover Command中指示UE:“抱歉,我能力有限,切换后我们改用NEA2加密吧。”
    • 结果:为了保证业务连续性,安全级别被兼容地降低了。这是符合规范的、预期的行为。

【实验室实战:复现Alg_select_change_gNB测试用例】

李明搭建了一个包含两个不同配置gNodeB的切换环境。

  • Source gNB (老旧): 算法优先级 [NEA2, NEA1]
  • Target gNB (Orion-gNodeB 9000): 算法优先级 [NEA3, NEA2, NEA1]

他模拟支持NEA3的UE先连接到Source gNB,此时协商使用的算法是NEA2。然后,他触发了一次向Orion-gNodeB 9000的切换。通过捕获和分析 Handover Command 消息,他清晰地看到其中包含了算法变更的指示,新的加密算法被指定为 NEA3。切换完成后,他抓取用户面数据包,验证其确实是使用NEA3算法加密的。实验成功,安全自动升级得到了验证。

FAQ 环节

Q1:在Xn切换中,UE的安全密钥是如何传递的? A1:在基于Xn接口的切换中,为了实现快速切换,安全密钥的传递是“间接”且高效的。源gNodeB并不会将原始的空口密钥(如KRRCenc/int, KUPenc/int)直接发送给目标gNodeB。取而代 পেয়ে,它会利用核心网下发的根密钥KgNB,为目标gNodeB计算出一个“下一跳密钥”(Next Hop key, NH),并将NH以及用于密钥链计算的中间密钥NCC(Next hop Chaining Counter)发送给目标gNodeB。目标gNodeB利用收到的NH和NCC,可以独立地派生出与源gNodeB完全相同的空口密钥,从而实现与UE的安全上下文无缝对接。

Q2:如果降级攻击发生在到核心网的N2接口上,而不是gNodeB间的Xn接口上,AMF还能检测到吗? A2:是的。降级攻击的防御机制是普适的。无论是基于Xn的切换,还是基于N2的切换(通常发生在没有Xn接口连接的两个gNodeB之间),最终UE的新路径都需要通过Path Switch Request(Xn切换)或Handover Required & Handover Request ACK(N2切换)等消息上报给AMF。只要最终上报给AMF的消息中包含了UE的安全能力,AMF的交叉验证机制就能生效。

Q3:切换时的算法重新选择,会不会因为增加了信令开销而影响切换性能? A3:影响微乎其微。算法指示信息只在算法发生变更时才需要携带在Handover Command消息中,且所占用的比特数非常少。相对于切换信令中的其他信息(如无线资源配置等),这点开销几乎可以忽略不计。3GPP在设计时,已经充分考虑了在保证安全的前提下,对性能的影响最小化。

Q4:一个gNodeB本地配置的算法优先级列表,是固定的还是可以动态调整的? A4:这个列表是由运营商通过网管系统(OAM)配置的,理论上可以随时调整。例如,如果某天发现NEA2算法存在一个严重的理论漏洞,运营商就可以通过网管,远程地将所有gNodeB的优先级列表中的NEA2移除或降低优先级。这样,网络中的所有新增会话和切换,都会自动避免使用这个有风险的算法,实现了全网范围内的快速安全策略更新。

Q5:如果一个切换因为降级攻击而被AMF拒绝了,用户的体验是怎样的? A5:从用户的角度看,他可能会经历一次短暂的业务中断或通话掉线。因为切换失败后,UE会尝试在源小区或目标小区重新发起连接建立流程。虽然这会影响用户体验,但相比于让用户在一个被降级、不安全的连接下继续通信所带来的巨大风险(如被窃听、被劫持),这种“快速失败”(Fail-fast)的策略是更安全的选择。

关系图谱