5G 系统安全测试与自动化

作为最新一代移动通信网络的标准，近两年5G已大规模应用于我国国民经济各领域，并且和垂直行业应用紧密结合，为政府、能源、金融、交通等各行业提供基础的通信服务，各垂直行业业务的重要性在驱动5G网络日益成为重要基础设施的同时，5G网络系统和业务自身的安全性要求也被提到了前所未有的高度。5G网络从诞生起即具备比前几代移动网络更高更强的起点和目标。5G网络技术不仅建立在前几代移动网络技术基础之上，而且吸收了最新的基于服务的云架构思想和软件定义网络的设计理念，运用网络功能虚拟化技术，提供基于服务化的网络架构，可面向各垂直行业提供服务，是移动网络经过20年发展和技术积累的结晶。正因为5G网络系统是在前几代移动通信网络技术的基础上采用了一系列的新技术而形成，所以其安全特性既有前几代网络安全技术的特性积累和提升，也有新技术带来的安全挑战。为此，要保障5G网络系统的安全性，首先要对5G网络的安全需求尽可能做全面的分析，然后针对5G网络的安全需求逐项展开安全测试的设计，最后实现安全测试自动化执行手段，由此达到并实现全面开展5G网络安全测试从而全面保障5G系统安全的目的和效果。5G网络系统安全测试的基础是5G网元功能和接口协议的仿真，目前能够提供5G网络功能测试的厂家主要是国外的测试仪表设备厂商，但是在5G安全测试领域仍然存在多种局限和不足。针对这一安全测试市场的短板和空缺，近年来由国内厂家基于自主研发的5G网络功能测试设备陆续提出开发的5G安全保障规范用例测试自动化、5G系统安全模糊化测试和可编程协议栈测试自动化工具集，以弥补这一市场空缺。15G系统安全测试概述5G系统安全测试首先来源于5G系统架构带来的变化和安全需求，即5G网络中各网元的安全和各开放式接口的安全保障需求，从5G网络架构来看，可分为控制信令面网元和接口的安全测试与用户数据面网元和接口的安全测试；其次是不同垂直行业中具体的5G网络系统的部署形态和特征决定了5G安全测试的核心要求，即特定网络拓扑下的切片、边缘计算技术（MobileEdgeComputing，MEC）、网元和接口的安全协议一致性测试；最后，从5G网络协议层信令和消息以及应用层数据的异常性特征需求出发，根据5G系统中控制面信令业务和用户面数据业务的安全性要求，进行针对异常消息、数据和流程的攻击性安全测试。5G网络中各网元的安全和各开放式接口的安全保障需求主要由3GPPTS33.501安全架构和流程加以定义，测试规范主要由TS33.117安全保障类型

和TS33.511至TS33.522以及TS33.326各网元安全保障规范（SecurityAssuranceSpecification，SCAS）来定义。第三代合作伙伴计划（3rdGenerationPartnershipProject，3GPP）制定的SCAS系列设备安全保障规范是由全球移动通信协会和3GPP一起制定的网络安全保障计划（NetworkEquipmentSecurityAssuranceScheme，NESAS）中所引用的测试评估标准，经过权威认证的第三方机构和实验室根据3GPP定义的SCAS系列标准对由设备商提供、运营商将要入网的网络设备的安全能力进行测试，并生成测试报告，目前在5G业界获得了以华为为代表的设备供应商的大力支持。特定网络拓扑下的切片、MEC、网元和接口的安全协议一致性测试根据3GPPTS23.501、TS23.502中的身份加密认证和网络加密完保算法需求来定义。这一测试来自5G网络自身的安全特性和基本安全保障机制要求，与SCAS设备安全测试相比，更注重检验5G网络整体端到端的安全协议与流程，即更加注重网元之间和级联状态下接口协议安全流程的完整性。5G系统中控制面信令业务和用户面数据业务的安全性和攻击性测试，根据对5G网络中实际发生和存在的安全问题和现象，结合运用模糊测试和可编程协议栈测试技术加以定义。在安全测试中，模糊测试是对规范化安全测试的有力补充，可以有效地捕捉和挖掘因为异常消息的引入带来的系统安全风险和漏洞，已越来越得到业界的认可。可编程协议栈测试是对模糊测试的进一步提升，可针对5G协议和流程顺序加以变化，形成更为有力的安全检测手段。通过对以上3种安全测试类型进行详细的需求分析，并完成相应的测试设计和执行过程，可以较为全面地掌控与确保5G网络系统运行时的安全性和可靠性。25G系统安全测试详解2.15G设备安全保障测试针对5G网络中各网元的安全和各开放式接口的安全保障需求和测试需求，3GPP提出了TS33.5015G系统安全架构和流程、TS33.117通用安全保障需求分类、TS33.511至33.522各主要5G网元设备的安全保障规范（SCAS安全系列规范，包含gNB、AMF、UPF、UDM、SMF、AUSF、SEPP、NRF、NEF、N3IWF、NWDAF、SCP）以及相应网元的安全保障测试用例。图1展示了TS33.501中定义的5G系统的安全架构，从图中可见5G系统安全被分为应用安全层、网络安全层和传输安全层。网络安全层和传输安全层是5G网络系统安全的重点，包括终端与接入网以及服务核心网与归属核心网之间的网络访问安全，网络域信令与数据信息交互安全，用户域安全，SBA域安全等5G全领域安全。在5G安全架构下，5G网络中各网元设备的安全保障测试首先应依据由TS33.501延伸的SCAS规范中定义的测试用例来完成。图13GPPTS33.501提出的5G安全架构5GSCAS系列安全保障规范定义的内容如下：TS33.511定义了gNB网络产品类的安全保障测试规范和测试用例；TS33.512定义了AMF接入和移动管理功能的安全保障测试规范和测试用例；TS33.513定义了UPF用户面功能的安全保障测试规范和测试用例；TS33.514定义了UDM统一数据管理网络产品类的安全保障测试规范和测试用例；TS33.515定义了SMF会话管理功能网络产品类的安全保障测试规范和测试用例；TS33.516定义了AUSF认证服务器功能网络产品类的安全保障测试规范和测试用例；TS33.517定义了SEPP安全边缘保护代理网络产品类的安全保障测试规范和测试用例；TS33.518定义了NRF网络存储功能网络产品类的安全保障测试规范和测试用例；TS33.519定义了NEF网络曝光功能网络产品类的安全保障测试规范和测试用例；TS33.520定义了N3IWF非3GPP网间功能的安全保障测试规范和测试用例；TS33.521定义了NWDAF网络数据分析功能的安全保障测试规范和测试用例；TS33.522定义了SCP服务通信代理的安全保障测试规范和测试用例；TS33.326定义了NSSAAF网络切片特定认证和授权功能安全保障测试规范和测试用例。根据上述SCAS系列规范中定义的测试用例，利用相关的5G接入网和核心网测试仪器的作用，完成测试连接拓扑的搭建并执行定义的测试步骤，最后检验测试结果是否与预期要求相符合。测试连接拓扑必须符合3GPPTS23.501关于5G网络系统架构规范的要求。5G网络系统架构规范由TS23.5014.2.3节定义，以参考点表示的5G非漫游系统架构如图2所示，5G网络设备安全保障测试连接图与5G系统端到端接口安全协议一致性测试架构均以此为依据。图2以参考点表示的5G非漫游系统架构5GSCAS系列规范尤其注重验证消息响应出错或验证失败的情况，但这种出错的情况是规范里包含的流程分支和很可能出现的易发常见现象，并非5G消息流程中出现的异常行为和现象，例如TS33.5124.2.2.1节定义的认证和密钥协商过程中的两个测试用例，分别是依据TR33.926中在同步过程定义的AMF/SEAF正确处理同步失败的测试用例，以及依据TS33.5016.1.3.2.2节定义的RES*验证失败的测试用例。5GSCAS系列规范定义的部分主要网元功能安全测试用例如表1所示。表15GSCASgNodeB\AMF\UPF\SMF等主要网元的测试用例要求续表由表1可见，对于5G系统安全需求，SCAS规范给出了5G网元设备主要安全功能保障的测试需求和范围。但必须指出，仅仅SCAS中定义的安全测试规范并不能全面反映网元与网元之间接口消息传递和认证的安全要求，如gNB网元、AMF网元、SMF网元和UPF各接口安全测试等，还需要结合具体的网络部署，将安全测试引申到特定网络形态下的网元和网络接口安全协议一致性测试，如N2/N3/N4接口安全的测试和异常信令消息与流程的测试。2.25G网络接口安全协议一致性测试5G技术在现实场景中的广泛应用尤其是与垂直行业的深度结合，客观形成和产生了多种多样的网络部署方式和形态，在切片、MEC等应用场景下，5G网络系统的安全检验和测试也需要随着网络应用的具体化部署而展开，并完成关键网络接口的安全测试与防范。3GPP在TS23.501和TS23.502中定义了5G网络系统在终端注册时的身份加密、认证、鉴权、密钥协商、核心网和接入网加密完保算法协商机制和过程、切片功能的安全接入、对MEC功能的支持接口和支持方式等，为5G网络安全协议一致性测试做了原则和规范性指导。尽管在现实场景中5G网络的部署形态千差万别，但关键接口的安全特征始终遵循上述规范中的指导原则，在具体化的网络部署形态中牢牢把握关键接口的安全需求和测试路线，从端到端网络的架构入手，可以不变应万变地完成空口、N2接口、N3接口、N4接口、N6接口、N9接口、最新的5GLANN19接口，以及N5/N7/N8/N10/N11/N12/N13/N14/N15/N22等服务化接口的安全测试功能。在上述接口协议中，空口协议不仅包括NR空口接入协议层，即PHY/MAC/RLC/PDCP/SDAP/RRC，也包括终端与核心网AMF网元交互的NAS层协议移动管理部分以及与核心网SMF网元交互的NAS层协议会话管理部分，在现实网络的空口消息交互中，极容易发生各种安全信息的泄露和安全运行的隐患，需要借助精密的终端仿真仪表完成相应的协议一致性安全检测功能。除空口外，N2接口、N3接口、N4接口、N6接口、N9接口、最新的5GLANN19接口，以及N5/N7/N8/N10/N11/N12/N13/N14/N15/N22等服务化接口均属于核心网管理架构中的成员，对于核心网中各接口的安全测试可以采用单网元或部分网元以至全部网元的全包围测试的方式，将被测网元从整体核心网架构体系中隔离出来，再根据TS23.501和TS23.502中网元接口协议安全规范的要求完成测试过程，被测网元或部分被测网元连接仿真核心网网元的功能，需借助高性能核心网仿真测试设备实现。MEC连接接口在TS23.501中定义为具有分流功能的UPF通过连接本地网络的N6接口加以连接的方法，规定了MEC在具体网络部署中的接口位置和参照，在下沉UPF和MEC的安全测试中应把握远程N4接口和本地N6接口的安全要求以及MEC自身接入安全认证的需求进行定制化测试方法的制定和执行。5G端到端网络系统接口安全协议一致性测试架构中关键的测试接口和连接方式同样需要遵照3GPPTS23.5014.2.3节中定义的5G参考点式网络架构来定位和进行，部分5G网络接口安全协议一致性测试用例如表2所示。表2部分5G网络接口安全协议一致性测试用例续表5G网络端到端安全协议一致性测试的关键点有：（1）空口信令与数据安全测试；（2）核心网信令与数据加密完保安全测试；（3）核心网PCF网元和SMF网元及本地UPF网元与MEC信令数据交互加密完保安全测试；（4）N4接口PFCP协议偶联和会话的初始化及建立过程测试；（5）网络切片安全测试等。表2所示为部分根据TS23.501和TS23.502关于5G网络接口协议的要求而设计的网络接口安全协议一致性测试用例。2.35G网络异常消息和流程测试5G网络中无论控制面的信令数据还是用户面的业务数据，都会因为各种原因产生消息和数据传递的丢失、错误、流程的缺失、信令风暴等，以及来自网络黑客的协议包和数据包的篡改及流量的攻击等，这种由异常消息和流程的变化造成的网络安全威胁往往比正常流程下给5G网络造成的安全隐患要大得多，因此对于5G网络内部由于异常消息和流程造成的安全问题应加以高度重视，并能形成有效的测试手段提前防止5G网络因类似的隐患发生但处理异常而导致重大安全事故。5G核心网控制面异常消息和流程通常由以下原因导致。（1）核心网中的bug在特定情况下产生的异常信令消息，如AMF网元在同时处理来自终端和接入网的消息与来自SMF和其他核心网网元通过服务化接口发来的消息时，容易造成消息的排队与丢失。（2）网络传输设备丢包，与核心网网元类似，部分信令消息的丢失导致异常流程。（3）3GPP技术规范存在定义不够严谨的问题，使得不同厂商理解不一致，在异厂商设备对接时，可能因为某个特定字段解析失败，导致无法响应而产生异常的信令流程。（4）信令风暴引起的网络系统资源消耗或耗尽而不能及时处理接收到的信令流程。5G核心网用户面异常数据和流程通常由以下原因导致。（1）用户面数据传输过程面临着重放攻击和拒绝/分布式拒绝服务攻击。（2）用户面存在大规模容易造成信令风暴的不连续小流量数据的威胁。异常消息与流程可对5G网络系统的正常运行造成不可预期的影响，如流程死锁和死机等，是需要重点防范的网络安全问题。在接入网端和互联网端，空口消息和互联网网络数据也存在类似的异常消息与异常流程的安全隐患，可以采取统一的思路对核心网、接入网和互联网端的信令与数据加以异常消息与流程的测试，以排除5G网络系统对于异常消息与流程发生后面临的处理障碍和系统故障。针对5G网络系统内部由异常消息与流程处理不当造成的安全漏洞，实践证明模糊测试或可编程协议栈测试技术是可选择的最有效和最佳的测试手段之一。5G网络系统模糊测试的原理与拓扑如图3所示。通过模糊测试技术，可以在5G网络的接口上截获和编辑一方发往另一方的消息或数据，对IE消息或隧道数据的内容与字段加以更改，使得另一方接收到的消息和数据不再符合正常协议的规则，以此测试和检验网络接口对端网元对于接收到的异常消息和数据的判断与处理能力。图35G网络异常消息模糊测试原理与拓扑5G网络异常流程可编程协议栈测试的原理如图4所示。标准的5G网络仿真测试开放的主要是协议/消息配置能力，其内置的从底层协议栈状态机到上层信令流程交互的逻辑是固化且标准的，交互逻辑依据来自3GPP、较难构造异常的信令交互逻辑；而可编程协议栈实现了协议流程的动态编译与生成，可以支持用户灵活的自定义标准与非标准的协议交互行为与信令交互流程，对于开展安全测试或非标准流程测试至关重要。简而言之，可编程协议栈测试技术可以改变消息和数据的发送顺序，可以达到异常信令和数据流程的测试效果。图45G网络异常流程可编程协议栈测试原理2.45G网络安全测试工具和测试自动化无论是5G网络设备本身的安全保障测试或5G网络系统端到端安全协议一致性测试，还是5G网络系统异常消息与流程测试，5G网络系统的安全测试总归需要建立在高性能的仿真测试工具的基础上，并且所有测试均应能够在相关配置完成后自动化执行而无需人工的中间干预。这一方面要求5G仿真测试工具能够具备全面仿真和模拟5G系统网元设备和接口协议的功能，另一方面要求其具备高度流程化的测试配置并自动化执行测试步骤的能力和保证。从5G端到端系统安全测试要求来看，5G端到端系统分为5G终端、5G接入网、5G核心网和本地数据服务网络或外接互联网，5G仿真测试工具应具备全面的不同网络类型的仿真和测试验证能力，测试工作量巨细繁重。为此，与5G端到端系统相配套，5G网络安全仿真测试工具应首先至少配备由5G仿真终端、5G核心网仿真测试仪、网络应用仿真测试仪这三个部件组成的能够针对无线空口、5G接入网与核心网、数据网或互联网进行全面安全测试的综合测试平台和系统。在此基础上，对所有安全测试类型完成自动化执行的配置和部署，以高度自动化的测试执行效率完成5G网络系统关键性安全测试要求。以往通信网络设备的测试仪器和设备技术均掌握在国外厂家手中，近年来国内厂家基于x86和ARM平台自主开发了全部测试设备，尤其5G核心网与网络仿真测试仪的主要测试性能上线速度可达60000/s以上，在线规模可达百万，用户面双向流速达200Gbit/s，已超过国外同类测试产品，高性能多仿真终端也已接近商用水平。以上测试设备可为国内的5G设备厂商提供全套自主知识产权的安全测试解决方案，这对于我国5G产业的发展无疑将起到极大的推动和促进作用。5G安全测试的实现与5G网络系统安全保障的关键在于安全测试的自动化执行。在具备5G高性能仿真测试设备的基础上，根据测试场景的不同需要，通过将各类型安全测试用例脚本化或固件化、测试流程自动化、运用脚本对PCAP包测试结果分析自动化等执行步骤，可将各种类型的5G安全测试用例打包成自动化的测试用例集，为用户进行全面的5G安全系统测试提供极大的便利。下文以5GSCAS安全测试自动化为例，说明5G安全测试工具对测试自动化的具体配置和执行过程。测试人员通过用户管理、工程管理、套件用例等配置以及用例任务展示过程，可以使用鼠标一键点击完成全部批量测试，测试效率可达到人工测试的百倍以上。配置过程首先通过使用图形化的套件用例操作界面批量完成SCAS规范中定义的测试用例配置，随后批量执行用例，最后根据测试结果通过用例任务界面能够自动显示测试用例是否通过，对于失败的用例能够给出测试失败的具体原因分析。通过套件用例图形化界面配置SCAS自动化测试用例的过程与效果如图5所示。通过用例任务图形化界面显示SCAS自动化测试用例执行的过程与效果如图6所示。图55GSCAS自动化安全测试用例在套件用例图形化界面中的配置和显示图65GSCAS自动化安全测试用例的执行过程在用例任务图形化界面中的显示最后，测试通过的结果显示在用例任务图形化界面的消息详情展示栏中，如图7所示，相关网元和流程以直观的方式进行呈现，并且和3GPP的协议规范完全一致，具体的消息参数也可以提取，方