NIST网络安全白皮书

NIST CSWP 36D ipd

不使用基于SUPI的寻呼：

应用5G网络安全和隐私功能

迈克尔·巴托克

杰弗里·西孔斯基

穆鲁贾·索帕亚

信息技术实验室

凯伦·斯卡丰

Scarfone网络安全

帕里萨·格拉耶利

桑吉夫·夏尔马

MITRE公司

2025年1月

初步公开草案

本出版物可从以下网站免费获取：https://doi.org/10.6028/NIST.CSWP.36D.ipd

编译 老烦的草根安全观

2025年2月1日

概述

前几代蜂窝系统通常使用永久或准永久ID来寻呼用户，这使他们容易受到网络安全和隐私风险的影响。本文解释了5G网络如何通过从寻呼协议中删除订阅永久标识符（Subscription Permanent Identifier，SUPI）关系来缓解这一问题。只有临时ID用于寻呼UE，当与特定用户相关联的某些事件发生时，包括寻呼，需要重新分配临时ID。我们将这种5G标准增强称为“不使用基于SUPI的寻呼（No SUPI-Based Paging）”。如果移动用户设备（UE）从5G漫游回上一代系统，这些新的保护措施可能不可用。

寻呼（Paging）是如何工作的？

所有几代移动网络都通过广播明文寻呼消息（也称为寻呼警报）来提醒UE有来电或消息。移动网络使用称为寻呼信道的预定义无线电资源集来发送寻呼警报。因为有许多UE注册到网络，所以寻呼警报在多个寻呼时机（PO）上分布在整个寻呼信道上，这意味着在时间和频率上使用特定的无线电资源来针对特定的一组注册UE。UE组的PO以称为寻呼周期的周期性重复自己。换句话说，寻呼信道由在每个寻呼周期后重复的几个PO组成。

图1展示了一个寻呼周期的概念。为简单起见，寻呼信道被示为一组连续的无线电资源。然而，这些资源不需要是连续的。在该示例中，PO1用于提醒UE 1、2和3；PO2用于提醒UE 4；PO4用于提醒UE 5；PO5用于提醒UE 6和7。所有UE都在监视它们各自的PO（实线或虚线闪电图标表示页面可能会被传输到UE），但实际上只有UE 1、5和7被寻呼（显示为黄色实线闪电图标；虚线图标表示寻呼本可以到达，但没有到达）。根据给定区域中是否存在某些UE，一些PO（如PO3）可能在任何寻呼周期中未被使用。

图1.七个UE的示例寻呼场景

从上述示例中可以明显看出，网络和给定的UE都应该知道哪个PO将用于提醒该UE。在蜂窝网络中，PO是基于用户/UE身份计算的。5G网络不会根据用户的姓名将其关联起来。相反，他们使用一个称为订阅永久标识符（SUPI）的永久标识符来管理每个订阅。SUPI被写入由用户的网络运营商提供的用户身份模块（SIM）中。SUPI相当于4G的国际移动用户身份（IMSI）。在连接过程中（在技术规范中也称为“注册”），网络会计算一个名为5G全球唯一临时UE身份（5G-GUTI）的临时标识符，然后将其与用户设备（UE）（移动设备及其SIM）相关联并存储在其中。图2显示了这些用户或UE身份。

图2：用户或UE相关标识

有什么问题吗？

移动网络以预定义的方式为所有用户分发寻呼警报。为了节省电池，UE在空闲时会关闭射频活动，并在PO上打开无线电硬件，检查是否有任何寻呼警报。在3G和4G网络中，在寻呼方面发现了三个主要弱点。这些弱点给用户/订阅者带来了隐私问题。例如，寻呼可以让攻击者根据受害者的永久标识符推断受害者的位置，或者注入伪造的紧急警报。

a.基于公式，PO与订户的永久标识符（IMSI）相关。这成为一个漏洞，因为通过监听特定的PO，可以推断出该区域存在特定的IMSI/UE组。

b.出于寻呼信道效率的原因，多个UE属于同一PO。为了唯一标识特定用户，寻呼警报还将包含永久标识符或临时标识符的较短版本作为明文。在前者的情况下，通过解码明文寻呼警报，可以直接知道该区域中特定IMSI/UE的存在。

c.随后发现，许多网络没有足够频繁地刷新临时ID，这导致它们变得近乎永久。同样，可以通过解码明文寻呼警报来推断该区域中特定UE的存在。

总之，在5G之前，PO与永久UE身份有直接关系，每个广播的明文寻呼警报都包含永久或准永久UE身份。这使得寻呼协议容易受到可能产生严重影响的攻击，包括对用户/订户的隐私风险。

“不使用基于SUPI的寻呼”如何解决这个问题？

从2019年3GPP第15版开始，5G网络解决了以下弱点：

a.5G网络总是根据临时标识符（称为5G服务临时移动用户标识符或5G-S-TMSI）确定寻呼定时。请注意，如下一节所述，5G-S-TMSI是从5G-GUTI派生而来的。

b.寻呼警报仅包含临时标识符5G-S-TMSI。

c.每次寻呼后，网络必须重新分配或更改临时标识符5G-GUTI。换句话说，5G在寻呼时计算或寻呼警报内容中都没有基于SUPI的关系。既然寻呼和UE身份之间没有长期关联，那么攻击寻呼协议是不切实际的。这种限制设备识别的方法保护了用户的机密性，进而保护了用户隐私。

图3是5G架构的简化版本，显示了寻呼中涉及的架构组件，省略了所有其他组件。UE包括SIM和移动手持机。UE和无线接入网络（RAN）之间存在无线链路。另一方面，RAN通过回程流量传输连接到核心网（CN）。绿色突出显示的UE标识符要么存储在相关组件中，要么流过信令路径。5G-GUTI由接入和移动性管理功能（AMF）管理。

图3.寻呼功能中涉及的5G架构组件

我如何使用“不使用基于SUPI的寻呼”

要求符合3GPP版本15或更高版本的5G网络功能不支持基于SUPI的寻呼。

关于“不使用基于SUPI的寻呼”，我还应该知道什么

5G-S-TMSI是寻呼上下文中需要了解的重要标识符。在寻呼和服务请求过程中，5G-GUTI的缩写形式5G-S-TMSI用于实现更高效的无线电信令。如果UE具有有效的5G-GUTI，则它也具有有效的3G-S-TMSI。这种关系如图4所示。因为5G-S-TMSI与5G-GUTI有直接关系，所以每次5G-GUTI更改或重新分配时，它都会更改/刷新。AMF和UE可以从当前的5G-GUTI中推导出5G-S-TMSI。UE在本地存储完整的5G-GUTI。然而，对于寻呼过程，它根据导出的5G-S-TMSI计算寻呼时机，并在寻呼信道上监听匹配的5G-S-STMSI。

图4.5G-S-TMSI结构

摘要

5G标准减轻了前几代蜂窝网络中与UE寻呼相关的网络安全和隐私风险。该增强在本白皮书中被称为“不使用基于SUPI的寻呼”，可确保在5G寻呼协议中不使用永久或准永久ID。鼓励使用5G技术的网络运营商和组织了解这一增强功能，并预计如果UE从5G漫游回上一代系统，这些新的保护措施可能不可用。

附加技术细节

本白皮书的其余部分旨在让读者更深入地了解“不使用基于SUPI的分页”功能。

移动运营商如何验证其“无基于SUPI的寻呼”

移动运营商必须确保其部署根据3GPP标准（版本15+）中描述的UE寻呼协议进行验证。

确认“不使用基于SUPI的寻呼”按预期实施

对于这个项目，NCCoE 5G演示网络被配置为模拟在核心网络触发寻呼的一些场景。通过使用网络分流器（network taps）和工具查看流经不同接口的特定协议消息的内容来验证保护。总体场景如下所述（见图5）。这是我们实验室测试期间触发的不同场景的示例序列；然而，这些可以以另一种顺序独立触发。请注意，为简洁起见，消息序列图省略了一些中间步骤，如UE和核心网之间的相互认证和密钥协商。它还跳过了显示UE和RAN节点之间的中间无线资源控制（RRC）连接建立/释放，即gNB（需要RRC连接通过RAN在UE和核心网络之间传输消息）。此外，同一场景的多个实例只显示一次。术语“临时ID”用于暗示5G-GUTI或5G-S-TMSI，具体取决于程序。

l步骤1:UE（三星S22）在gNB上驻留（进行小区选择）。

l步骤2-3:UE通过gNB向核心网进行“初始注册”。它在注册请求中使用SUPI的加密版本，即SUCI。AMF分配临时ID并将其提供给UE。

l步骤4-6：在UE的定期注册更新定时器到期时，它会进行另一次注册。这次的注册类型是“定期注册更新”，临时ID用于识别。AMF分配新的临时ID并将其提供给UE。

l步骤7-9：一些UE应用程序触发上行链路数据活动。UE向核心发送“高优先级接入”服务请求。AMF分配新的临时ID并将其提供给UE。

l步骤10-13：由于移动端终止服务（如来电），核心网络需要寻呼。AMF通过gNB寻呼UE。UE用“移动终止服务”服务请求来响应寻呼。AMF分配新的临时ID并将其提供给UE。

图5. 寻呼场景

图6显示了在gNB使用Wireshark捕获的数据包日志。时间戳163.13-163.66s对应于步骤2-3（初始注册）。步骤4-6（定期注册）对应于时间戳944.90-944.91s。步骤7-9（服务请求）对应于时间戳1006.2-1006.4秒。最后，步骤10-13（分页）对应于时间戳1125.4-1126.2秒。最后一列显示了相应事务中使用的5G-TMSI值。与前几行相比的值更改表示临时ID重新分配。请注意，这里的临时ID是连续的，因为我们有一个UE连接到实验室网络。然而，在实践中，由于数百个UE随机连接到实时网络，并且这些值分布在它们之间，因此很难跟踪特定UE的重新分配值。

图6. gNB的Wireshark数据包日志

本文确定了某些商业设备、仪器、软件或材料，无论是商业的还是非商业的，以便充分说明实验程序。此类标识并不意味着NIST推荐或认可任何产品或服务，也不意味着所标识的材料或设备一定是用于该目的的最佳材料或设备。

NIST技术系列政策

版权、使用和许可声明，NIST技术系列出版物标识符语法

作者ORCID iDs

迈克尔·巴托克：0000-0003-0875-4555

杰弗里·西孔斯基：0009-0006-1137-2549

凯伦·斯卡丰：0000-0001-6334-9486

穆鲁贾·索帕亚：0000-0002-8055-8527

如何引用NIST技术系列出版物：

Bartock M.等人（2025）《无基于SUPI的寻呼：应用5G网络安全和隐私能力》。（美国国家标准与技术研究所，马里兰州盖瑟斯堡），NIST网络安全白皮书（CSWP）NIST CSWP 36D ipd。

https://doi.org/10.6028/NIST.CSWP.36D.ipd 

公众意见征询期

2025年1月30日至2025年2月28日

提交评论

5g-security@nist.gov 或在以下网址提交网络表单https://www.nccoe.nist.gov/5g-cybersecurity 

美国国家标准与技术研究院

收件人：信息技术实验室应用网络安全部

局道100号（邮站2000）

马里兰州盖瑟斯堡，邮编20899-2000

附加信息

有关此出版物的信息，请访问

其他

https://www.nccoe.nist.gov/5g-cybersecurity，包括相关内容、潜在更新和文档历史记录。所有评论均须根据《信息自由法》（FOIA）发布。

原文始发于微信公众号（老烦的草根安全观）：不使用基于SUPI的寻呼：应用5G网络安全和隐私功能