跳到主要內容

科技大觀園商標

分類項目
Menu

行動寬頻資安技術的剖析

108/01/29 瀏覽次數 3624

近年來行動寬頻網路已成為通訊主流,智慧型手機的高度滲透率更帶動了全球行動上網的需求,行動數據流量預期大幅成長,行動寬頻網路也躍升為經濟資訊流通及交易的重要通道。把網路與無線技術結合,使用者上網不會局限在固定的空間,其方便性顯然更勝以往。

 

然而,當眾人沉醉於行動寬頻網路的方便時,卻忽略了其潛藏的資安危機。一般來說,有線網路的有形傳輸線路較易防範外來的破壞,但不可否認仍會遭受安全威脅,遑論無線網路以空氣為介質傳輸訊號,有心人士可不著痕跡地蒐集傳遞於空氣中的封包資料,造成行動寬頻網路在安全上的危機。

 

行動寬頻網路的安全機制

 

相較於2G、3G等傳統的行動通訊系統,新一代4G通訊系統─LTE的網路架構最大的變革在於扁平化與IP化。LTE的核心網路稱為evolved packet core(EPC),無線接取網路則稱為evolved universal terrestrial radio access network(E-UTRAN)。

 

EPC架構包括服務閘道、封包數據閘道、移動管理實體(mobility management entity, MME)、歸屬用戶服務(home subscriber service, HSS)等節點。而在E-UTRAN中,只有Evolved Node B(eNodeB)泛指LTE基站一種節點。eNodeB可透過S1介面與EPC相連,eNodeB之間則可透過X2介面直接相連。

 

隨著行動通訊服務普及,行動通訊資安議題日趨受到重視,行動通訊標準也陸續納入更嚴謹的資訊安全要求。以全球行動通訊系統(global system for mobile communications, GSM)網路為例,是透過用戶識別卡(subscriber identity module, SIM)與網路端的認證機制防止未經授權的接取。但GSM網路的身分認證及加密演算法仍有一些安全疑慮,包括SIM卡與認證中心間共用的安全金鑰容易遭受破解,以及缺乏資料完整性的保護等。

 

第三代行動通訊系統則沿襲GSM網路安全基礎,並依據3G網路系統特性,訂定了更完善的安全功能及安全架構。2006年起,3GPP開始訂定long term evolution(LTE)標準,同時啟動涵蓋安全功能的系統架構演進(system architecture evolution, SAE)研究項目,即LTE∕SAE安全架構,以及5項安全領域。

 

3GPP LTE∕SAE網路訂定的5項安全領域分別是:網路接取安全─為用戶提供安全接取服務,特別是防止無線接取連結攻擊;網路領域安全─節點能夠安全交換接取網路與服務網路間,以及接取網路內部的信令數據、用戶數據,防止有線網路的攻擊;用戶領域安全─安全接取行動裝置;應用領域安全─在用戶領域與業者領域安全地交換信息;安全服務的可視性和可配置性─通知用戶安全功能是否運行,是否依據安全功能使用與提供服務。

乍看之下3GPP LTE∕SAE的安全架構與UMTS的架構頗為類似,其實仍有一些優點,包括:

 

1. 歸屬環境與服務網路間的箭頭由單向改為雙向,表示增加了服務網路認證。LTE∕SAE適當調整認證與金鑰協商協議,在移動管理實體(MME)發送歸屬用戶服務(HSS)的認證資料請求消息中,增加了服務網路的身分資訊,並針對MME從HSS請求多個認證向量情況下的處理機制做了規定,進一步提高了認證與金鑰協商協議的安全性。

 

2. 行動裝置與服務網路間的雙向箭頭表示兩者間有非接取層安全機制。也就是增加Mobile Equipment對服務網路的認證,LTE∕SAE認證與金鑰協商協議在從MME到HSS的認證資料請求中,增加了服務網路身分標識(SNID),透過HSS驗證SNID可以確保MME的合法性,間接使行動裝置對服務網路的身分進行認證,防止了偽裝基站的安全疑慮。

 

3. 接取網路與服務網路間的雙向箭頭表示兩者間的通信有安全保護的機制。

 

行動寬頻網路的資安威脅

 

根據3GPP TS 33.805、3GPP TR33.820、McAfee技術報告及NIST報告,行動寬頻網路(4G LTE)整體風險層面可歸納並分類為以下6大項威脅:外來網路訊務量威脅;無線訊號威脅;行動裝置間的威脅;系統、軟體漏洞威脅;核心網路內部通訊介面威脅;干擾網路服務。詳細說明如下:

 

外來網路訊務量威脅─主要來自於網際網路的攻擊威脅,可分為整體網路架構的攻擊及使用者行動裝置的攻擊。

無線訊號威脅─無線網路是一個有範圍性的網路,透過無線訊號的發送與偽造達到攻擊的效果。手機訊號是以無線的方式傳遞,在行動寬頻基站與手機之間的系統稱為演進的通用無線網路(E-UTRAN)。由於是以無線的方式傳遞,因此在訊號範圍內的所有接收者都可以聆聽到相同的訊息。

 

同樣的,在相同訊號範圍內的裝置都可以發送干擾訊號造成通訊的中斷。無線訊號威脅(即空中介面攻擊)可略分為主動及被動兩種。被動無線訊號攻擊是指不介入通訊的攻擊手法,通常是竊聽攻擊;主動無線攻擊則會發送偽造的訊息,破壞原有的資料。

 

行動裝置間的威脅─行動裝置間的威脅是利用行動寬頻內IP封包進行行動裝置間的網路攻擊。在3G網路中,每次手機連接到網際網路時才會分配一個IP位置。但在行動寬頻網路中,手機一旦連接到電信業者的網路,就會配置一個IP位址,一直到斷線以後才會回收,使得行動裝置間可能藉由針對IP網路的攻擊方式,在服務網路內部進行攻擊,或探索內部的網路拓撲。

 

行動裝置間的攻擊可能起因於受感染的行動裝置,使用者因受到誘騙或系統漏洞而安裝了惡意程式,這種惡意程式為了增加攻擊的能力,往往具備擴散及感染的能力。

 

系統、軟體漏洞威脅─系統漏洞或軟體漏洞是指藉由精心設計的輸入,達成控制系統或軟體運行的目的。最常見的方式是緩衝區溢位,藉由修改返回位址控制運行中的程序。雖然行動寬頻網路不會處理外來IP網路的封包,不會把資料讀入到重要的系統軟體中,因而能避免因系統軟體漏洞的存在而造成的攻擊。然而,核心網路內的系統仍可能遭到漏洞攻擊,而影響整體LTE網路的安全性。

 

核心網路內部通訊介面威脅─在電信業者實際建置的環境中,核心網路的元件是實體隔離的,不會讓一般人靠近。但核心網路仍可能遭受到攻擊,像是遭到已感染的系統元件攻擊或內部攻擊,造成其他受信任的元件暴露在被攻擊的威脅下。

 

干擾網路服務─在行動寬頻網路服務中,語音服務需要即時的品質管控。由於行動寬頻網路是全IP的網路架構,導致語音訊務量與資料訊務量可能共享同一個網路頻寬。在電信網路中,語音服務是最基本的服務,如果有攻擊能夠影響語音通訊,也可能影響語音可用性及計費方式,對使用者來說是個很大的威脅。

 

行動寬頻資安技術檢測的建議

 

目前國際上尚未有任何國家訂定行動寬頻相關設備的資安檢測規範,雖然美國政府曾考量參考供應鏈安全做法,推動trusted supply chain,要求電信商在產品廣泛採用前進行第三方資安測試。但目前政策仍是依循NIST SP800系列,僅對政府組織採購規範提出建議,範圍是全面性的供應鏈,主要是資通訊設備。歐盟則是透過歐盟網路安全組織(European Network for Cyber Security)提供關鍵基礎設施的資安框架建議,目前主要業務範圍仍偏重在智慧電網的部分。

 

至於國際標準組織針對行動寬頻設備的資安認證仍在規劃階段,例如:全球行動通訊系統協會(GSMA)∕3GPP SECAM,資安檢測標準尚未完善,仍需持續投入經費與人力研究並與國際接軌。美國主要的資安研究經費來源是頻譜釋照,英國檢測帄臺則是電信設備商贊助提供。我國若可依GSMA安全實驗室的公開需求書(RFI)要求申請,且完成行動寬頻資安檢測平台建置,則應有能力及公信力針對3GPP所公告的檢測方法及規範進行審查。待GSMA∕3GPP安全認證審查機制被電信業者所認同且一致性採用後,自主營運指日可待。

 

GSMA、3GPP、電信設備商及檢測實驗室在網路設備安全確保計畫(Network Equipment Security Assurance Scheme)中各擔任重要的角色。如檢測實驗室是針對電信設備商的安全審查報告進行審驗,並對電信網路產品測試與進行安全評估,並把最終的結果提交給電信業者,以降低電信業者布建行動寬頻網路時的資安風險。

 

網路安全是全球性的,是高度法律專業的,是有合作性的,是基於標準的,是基於驗證的,就行動寬頻資安技術的範疇分別有設備威脅漏洞、防護技術、國際規範、檢測方法及管理方針相輔相成。後續仍待檢測實驗室、電信設備商、電信業者及國際標準組織共同合作及協調以統一國際標準、定義及規範,並開發和實施驗證方法,同時落實行動寬頻網路資安策略的實施與稽核,才能把行動寬頻的資安威脅與風險降至最低。

資料來源
  • 《科學發展》2019年1月,553期,20~25頁
OPEN
回頂部