5G 系统安全测试与自动化

摘　要

随着 5G 网络与垂直行业的深度融合和大规模应用，保障 5G 网络和系统的安全性愈发关键和重要。5G 网络和系统安全涉及多个方面，检验 5G 网络和系统安全的测试方法可以从 3 个方面展开：一是依据 3GPP 组织为保障 5G 网络系统设备安全性提出的安全保障规范（SCAS 系列文件，这一系列规范的核心是 TS 33.501 5G 安全架构和流程中提出的 5G网络安全要求）中的测试用例，对 5G 网络设备做逐项安全测试；二是根据 5G 网络应用的具体部署和相应网络拓扑下的切片、下沉 MEC、网元和接口做安全协议一致性测试；三是针对 5G 网络系统控制和用户面中存在的异常消息与流程进行模糊测试和可编程协议栈测试，以挖掘 5G 网络系统潜在的安全隐患和漏洞。SCAS 安全用例测试自动化和模糊测试与可编程协议栈测试自动化是面向 5G 设备安全测试市场需求提出的国产化测试工具集，可极大推动 5G 安全测试的实施和 5G 产业的发展。

作为最新一代移动通信网络的标准，近两年 5G 已大规模应用于我国国民经济各领域，并且和垂直行业应用紧密结合，为政府、能源、金融、交通等各行业提供基础的通信服务，各垂直行业业务的重要性在驱动 5G 网络日益成为重要基础设施的同时，5G 网络系统和业务自身的安全性要求也被提到了前所未有的高度。

5G 网络从诞生起即具备比前几代移动网络更高更强的起点和目标。5G 网络技术不仅建立在前几代移动网络技术基础之上，而且吸收了最新的基于服务的云架构思想和软件定义网络的设计理念，运用网络功能虚拟化技术，提供基于服务化的网络架构，可面向各垂直行业提供服务，是移动网络经过 20 年发展和技术积累的结晶。正因为 5G 网络系统是在前几代移动通信网络技术的基础上采用了一系列的新技术而形成，所以其安全特性既有前几代网络安全技术的特性积累和提升，也有新技术带来的安全挑战。为此，要保障 5G 网络系统的安全性，首先要对5G 网络的安全需求尽可能做全面的分析，然后针对 5G 网络的安全需求逐项展开安全测试的设计，最后实现安全测试自动化执行手段，由此达到并实现全面开展 5G 网络安全测试从而全面保障 5G 系统安全的目的和效果。

5G 网络系统安全测试的基础是 5G 网元功能和接口协议的仿真，目前能够提供 5G 网络功能测试的厂家主要是国外的测试仪表设备厂商，但是在 5G 安全测试领域仍然存在多种局限和不足。针对这一安全测试市场的短板和空缺，近年来由国内厂家基于自主研发的 5G 网络功能测试设备陆续提出开发的 5G 安全保障规范用例测试自动化、5G 系统安全模糊化测试和可编程协议栈测试自动化工具集，以弥补这一市场空缺。

1

5G 系统安全测试概述

5G 系统安全测试首先来源于 5G 系统架构带来的变化和安全需求，即 5G 网络中各网元的安全和各开放式接口的安全保障需求，从 5G 网络架构来看，可分为控制信令面网元和接口的安全测试与用户数据面网元和接口的安全测试；其次是不同垂直行业中具体的 5G 网络系统的部署形态和特征决定了 5G 安全测试的核心要求，即特定网络拓扑下的切片、边缘计算技术（Mobile Edge Computing，MEC）、网元和接口的安全协议一致性测试；最后，从 5G 网络协议层信令和消息以及应用层数据的异常性特征需求出发，根据 5G 系统中控制面信令业务和用户面数据业务的安全性要求，进行针对异常消息、数据和流程的攻击性安全测试。

5G 网络中各网元的安全和各开放式接口的安全保障需求主要由 3GPP TS 33.501 安全架构和流程加以定义，测试规范主要由 TS 33.117 安全保障类型 和 TS 33.511 至 TS 33.522 以及 TS33.326 各网元安全保障规范（Security Assurance Specification，SCAS）来定义。第三代合作伙伴计划（3rd Generation Partnership Project，3GPP）制定的 SCAS 系列设备安全保障规范是由全球移动通信协会和 3GPP 一起制定的网络安全保障 计 划（Network Equipment Security Assurance Scheme，NESAS）中所引用的测试评估标准，经过权威认证的第三方机构和实验室根据 3GPP 定义的 SCAS 系列标准对由设备商提供、运营商将要入网的网络设备的安全能力进行测试，并生成测试报告，目前在 5G 业界获得了以华为为代表的设备供应商的大力支持。

特定网络拓扑下的切片、MEC、网元和接口的安全协议一致性测试根据 3GPP TS 23.501、TS 23.502 中的身份加密认证和网络加密完保算法需求来定义。这一测试来自 5G 网络自身的安全特性和基本安全保障机制要求，与 SCAS 设备安全测试相比，更注重检验 5G 网络整体端到端的安全协议与流程，即更加注重网元之间和级联状态下接口协议安全流程的完整性。

5G 系统中控制面信令业务和用户面数据业务的安全性和攻击性测试，根据对 5G 网络中实际发生和存在的安全问题和现象，结合运用模糊测试和可编程协议栈测试技术加以定义。在安全测试中，模糊测试是对规范化安全测试的有力补充，可以有效地捕捉和挖掘因为异常消息的引入带来的系统安全风险和漏洞，已越来越得到业界的认可。可编程协议栈测试是对模糊测试的进一步提升，可针对 5G 协议和流程顺序加以变化，形成更为有力的安全检测手段。通过对以上 3 种安全测试类型进行详细的需求分析，并完成相应的测试设计和执行过程，可以较为全面地掌控与确保 5G 网络系统运行时的安全性和可靠性。

2

5G 系统安全测试详解

2.1　5G 设备安全保障测试

针对 5G 网络中各网元的安全和各开放式接口的安全保障需求和测试需求，3GPP 提出了 TS33.501 5G 系 统 安 全 架 构 和 流 程、TS 33.117 通用安全保障需求分类、TS 33.511 至 33.522 各主要 5G 网元设备的安全保障规范（SCAS 安全系列规范，包含 gNB、AMF、UPF、UDM、SMF、AUSF、SEPP、NRF、NEF、N3IWF、NWDAF、SCP）以及相应网元的安全保障测试用例。

图 1 展示了 TS 33.501 中定义的 5G 系统的安全架构，从图中可见 5G 系统安全被分为应用安全层、网络安全层和传输安全层。网络安全层和传输安全层是 5G 网络系统安全的重点，包括终端与接入网以及服务核心网与归属核心网之间的网络访问安全，网络域信令与数据信息交互安全，用户域安全，SBA 域安全等 5G 全领域安全。在 5G 安全架构下，5G 网络中各网元设备的安全保障测试首先应依据由 TS 33.501 延伸的 SCAS 规范中定义的测试用例来完成。

图 1　3GPP TS 33.501 提出的 5G 安全架构

5G SCAS 系列安全保障规范定义的内容如下：TS 33.511 定 义 了 gNB 网 络 产 品 类 的 安全保障测试规范和测试用例 ；TS 33.512 定义了AMF 接入和移动管理功能的安全保障测试规范和测试用例 ；TS 33.513 定义了 UPF 用户面功能的安全保障测试规范和测试用例 ；TS 33.514定义了 UDM 统一数据管理网络产品类的安全保障测试规范和测试用例 ；TS 33.515 定义了SMF 会话管理功能网络产品类的安全保障测试规范和测试用例 ；TS 33.516 定义了 AUSF 认证服务器功能网络产品类的安全保障测试规范和测试用例 ；TS 33.517 定义了 SEPP 安全边缘保护代理网络产品类的安全保障测试规范和测试用例 ；TS 33.518 定义了 NRF 网络存储功能网络产品类的安全保障测试规范和测试用例 ；TS 33.519 定义了 NEF 网络曝光功能网络产品类的安全保障测试规范和测试用例 ；TS 33.520 定义了 N3IWF 非 3GPP 网间功能的安全保障测试规范和测试用例 ；TS 33.521 定义了 NWDAF 网络数据分析功能的安全保障测试规范和测试用例；TS 33.522 定义了 SCP 服务通信代理的安全保障测试规范和测试用例 ；TS33.326 定义了 NSSAAF 网络切片特定认证和授权功能安全保障测试规范和测试用例 。

根据上述 SCAS 系列规范中定义的测试用例，利用相关的 5G 接入网和核心网测试仪器的作用，完成测试连接拓扑的搭建并执行定义的测试步骤，最后检验测试结果是否与预期要求相符合。测试连接拓扑必须符合 3GPP TS 23.501关于 5G 网络系统架构规范的要求。

5G 网络系统架构规范由 TS 23.501 4.2.3 节定义，以参考点表示的 5G 非漫游系统架构如图 2 所示，5G 网络设备安全保障测试连接图与 5G 系统端到端接口安全协议一致性测试架构均以此为依据。

图 2　以参考点表示的 5G 非漫游系统架构

5G SCAS 系列规范尤其注重验证消息响应出错或验证失败的情况，但这种出错的情况是规范里包含的流程分支和很可能出现的易发常见现象，并非 5G 消息流程中出现的异常行为和 现 象， 例 如 TS 33.512 4.2.2.1 节定义的认证和密钥协商过程中的两个测试用例，分别是依据 TR 33.926 中 在 同 步 过 程 定 义 的 AMF/SEAF正确处理同步失败的测试用例，以及依据 TS33.501 6.1.3.2.2 节定义的 RES* 验证失败的测试用例。

5G SCAS 系列规范定义的部分主要网元功能安全测试用例如表 1 所示。

表 1　5G SCAS gNodeB\AMF\UPF\SMF 等主要网元的测试用例要求

续表

由表 1 可见，对于 5G 系统安全需求，SCAS规范给出了 5G 网元设备主要安全功能保障的测试需求和范围。但必须指出，仅仅 SCAS 中定义的安全测试规范并不能全面反映网元与网元之间接口消息传递和认证的安全要求，如 gNB 网元、AMF 网元、SMF 网元和 UPF 各接口安全测试等，还需要结合具体的网络部署，将安全测试引申到特定网络形态下的网元和网络接口安全协议一致性测试，如 N2/N3/N4 接口安全的测试和异常信令消息与流程的测试。

2.2　5G 网络接口安全协议一致性测试

5G 技术在现实场景中的广泛应用尤其是与垂直行业的深度结合，客观形成和产生了多种多样的网络部署方式和形态，在切片、MEC 等应用场景下，5G 网络系统的安全检验和测试也需要随着网络应用的具体化部署而展开，并完成关键网络接口的安全测试与防范。

3GPP 在 TS 23.501 和 TS 23.502 中 定义了5G 网络系统在终端注册时的身份加密、认证、鉴权、密钥协商、核心网和接入网加密完保算法协商机制和过程、切片功能的安全接入、对MEC 功能的支持接口和支持方式等，为 5G 网络安全协议一致性测试做了原则和规范性指导。

尽管在现实场景中 5G 网络的部署形态千差万别，但关键接口的安全特征始终遵循上述规范中的指导原则，在具体化的网络部署形态中牢牢把握关键接口的安全需求和测试路线，从端到端网络的架构入手，可以不变应万变地完成空口、N2 接口、N3 接口、N4 接口、N6 接口、N9 接口、最新的 5GLAN N19 接口，以及 N5/N7/N8/N10/N11/N12/N13/N14/N15/N22 等服务化接口的安全测试功能。

在 上 述 接 口 协 议 中， 空 口 协 议 不 仅 包 括NR 空口接入协议层，即 PHY/MAC/RLC/PDCP/SDAP/RRC，也包括终端与核心网 AMF 网元交互的 NAS 层协议移动管理部分以及与核心网SMF 网元交互的 NAS 层协议会话管理部分，在现实网络的空口消息交互中，极容易发生各种安全信息的泄露和安全运行的隐患，需要借助精密的终端仿真仪表完成相应的协议一致性安全检测功能。

除 空 口 外，N2 接 口、N3 接 口、N4 接 口、N6 接口、N9 接口、最新的 5GLAN N19 接口，以及 N5/N7/N8/N10/N11/N12/N13/N14/N15/N22 等 服务化接口均属于核心网管理架构中的成员，对于核心网中各接口的安全测试可以采用单网元或部分网元以至全部网元的全包围测试的方式，将被测网元从整体核心网架构体系中隔离出来，再根据 TS 23.501 和 TS 23.502 中网元接口协议安全规范的要求完成测试过程，被测网元或部分被测网元连接仿真核心网网元的功能，需借助高性能核心网仿真测试设备实现。

MEC 连接接口在 TS 23.501 中定义为具有分流功能的 UPF 通过连接本地网络的 N6 接口加以连接的方法，规定了 MEC 在具体网络部署中的接口位置和参照，在下沉 UPF 和 MEC 的安全测试中应把握远程 N4 接口和本地 N6 接口的安全要求以及 MEC 自身接入安全认证的需求进行定制化测试方法的制定和执行。

5G 端到端网络系统接口安全协议一致性测试架构中关键的测试接口和连接方式同样需要遵照 3GPP TS 23.501 4.2.3 节中定义的 5G 参考点式网络架构来定位和进行，部分 5G 网络接口安全协议一致性测试用例如表 2 所示。

表 2　部分 5G 网络接口安全协议一致性测试用例

续表

5G 网络端到端安全协议一致性测试的关键点有：

（1）空口信令与数据安全测试；

（2）核心网信令与数据加密完保安全测试；

（3）核心网 PCF 网元和 SMF 网元及本地 UPF网元与 MEC 信令数据交互加密完保安全测试；

（4）N4 接口 PFCP 协议偶联和会话的初始化及建立过程测试；

（5）网络切片安全测试等。

表 2 所示为部分根据 TS 23.501 和 TS 23.502关于 5G 网络接口协议的要求而设计的网络接口安全协议一致性测试用例。

2.3　5G 网络异常消息和流程测试

5G 网络中无论控制面的信令数据还是用户面的业务数据，都会因为各种原因产生消息和数据传递的丢失、错误、流程的缺失、信令风暴等，以及来自网络黑客的协议包和数据包的篡改及流量的攻击等，这种由异常消息和流程的变化造成的网络安全威胁往往比正常流程下给 5G 网络造成的安全隐患要大得多，因此对于5G 网络内部由于异常消息和流程造成的安全问题应加以高度重视，并能形成有效的测试手段提前防止 5G 网络因类似的隐患发生但处理异常而导致重大安全事故。

5G 核心网控制面异常消息和流程通常由以下原因导致。

（1）核心网中的 bug 在特定情况下产生的异常信令消息，如 AMF 网元在同时处理来自终端和接入网的消息与来自 SMF 和其他核心网网元通过服务化接口发来的消息时，容易造成消息的排队与丢失。

（2）网络传输设备丢包，与核心网网元类似，部分信令消息的丢失导致异常流程。

（3）3GPP 技术规范存在定义不够严谨的问题，使得不同厂商理解不一致，在异厂商设备对接时，可能因为某个特定字段解析失败，导致无法响应而产生异常的信令流程。

（4）信令风暴引起的网络系统资源消耗或耗尽而不能及时处理接收到的信令流程。

5G 核心网用户面异常数据和流程通常由以下原因导致。

（1）用户面数据传输过程面临着重放攻击和拒绝 / 分布式拒绝服务攻击。

（2）用户面存在大规模容易造成信令风暴的不连续小流量数据的威胁。

异常消息与流程可对 5G 网络系统的正常运行造成不可预期的影响，如流程死锁和死机等，是需要重点防范的网络安全问题。在接入网端和互联网端，空口消息和互联网网络数据也存在类似的异常消息与异常流程的安全隐患，可以采取统一的思路对核心网、接入网和互联网端的信令与数据加以异常消息与流程的测试，以排除 5G 网络系统对于异常消息与流程发生后面临的处理障碍和系统故障。

针对 5G 网络系统内部由异常消息与流程处理不当造成的安全漏洞，实践证明模糊测试或可编程协议栈测试技术是可选择的最有效和最佳的测试手段之一。

5G 网络系统模糊测试的原理与拓扑如图 3所示。通过模糊测试技术，可以在 5G 网络的接口上截获和编辑一方发往另一方的消息或数据，对 IE 消息或隧道数据的内容与字段加以更改，使得另一方接收到的消息和数据不再符合正常协议的规则，以此测试和检验网络接口对端网元对于接收到的异常消息和数据的判断与处理能力。

图 3　5G 网络异常消息模糊测试原理与拓扑

5G 网络异常流程可编程协议栈测试的原理如图 4 所示。标准的 5G 网络仿真测试开放的主要是协议 / 消息配置能力，其内置的从底层协议栈状态机到上层信令流程交互的逻辑是固化且标准的，交互逻辑依据来自 3GPP、较难构造异常的信令交互逻辑；而可编程协议栈实现了协议流程的动态编译与生成，可以支持用户灵活的自定义标准与非标准的协议交互行为与信令交互流程，对于开展安全测试或非标准流程测试至关重要。简而言之，可编程协议栈测试技术可以改变消息和数据的发送顺序，可以达到异常信令和数据流程的测试效果。

图 4　5G 网络异常流程可编程协议栈测试原理

2.4　5G 网络安全测试工具和测试自动化

无论是 5G 网络设备本身的安全保障测试或5G 网络系统端到端安全协议一致性测试，还是5G 网络系统异常消息与流程测试，5G 网络系统的安全测试总归需要建立在高性能的仿真测试工具的基础上，并且所有测试均应能够在相关配置完成后自动化执行而无需人工的中间干预。这一方面要求 5G 仿真测试工具能够具备全面仿真和模拟 5G 系统网元设备和接口协议的功能，另一方面要求其具备高度流程化的测试配置并自动化执行测试步骤的能力和保证。

从 5G 端到端系统安全测试要求来看，5G端到端系统分为 5G 终端、5G 接入网、5G 核心网和本地数据服务网络或外接互联网，5G 仿真测试工具应具备全面的不同网络类型的仿真和测试验证能力，测试工作量巨细繁重。为此，与 5G 端到端系统相配套，5G 网络安全仿真测试工具应首先至少配备由 5G 仿真终端、5G 核心网仿真测试仪、网络应用仿真测试仪这三个部件组成的能够针对无线空口、5G 接入网与核心网、数据网或互联网进行全面安全测试的综合测试平台和系统。在此基础上，对所有安全测试类型完成自动化执行的配置和部署，以高度自动化的测试执行效率完成 5G 网络系统关键性安全测试要求。

以往通信网络设备的测试仪器和设备技术均掌握在国外厂家手中，近年来国内厂家基于x86 和 ARM 平台自主开发了全部测试设备，尤其 5G 核心网与网络仿真测试仪的主要测试性能上线速度可达 60 000/s 以上，在线规模可达百万，用户面双向流速达 200 Gbit/s，已超过国外同类测试产品，高性能多仿真终端也已接近商用水平。以上测试设备可为国内的 5G 设备厂商提供全套自主知识产权的安全测试解决方案，这对于我国 5G 产业的发展无疑将起到极大的推动和促进作用。

5G 安全测试的实现与 5G 网络系统安全保障的关键在于安全测试的自动化执行。在具备5G 高性能仿真测试设备的基础上，根据测试场景的不同需要，通过将各类型安全测试用例脚本化或固件化、测试流程自动化、运用脚本对PCAP 包测试结果分析自动化等执行步骤，可将各种类型的 5G 安全测试用例打包成自动化的测试用例集，为用户进行全面的 5G 安全系统测试提供极大的便利。

下文以 5G SCAS 安全测试自动化为例，说明 5G 安全测试工具对测试自动化的具体配置和执行过程。

测试人员通过用户管理、工程管理、套件用例等配置以及用例任务展示过程，可以使用鼠标一键点击完成全部批量测试，测试效率可达到人工测试的百倍以上。配置过程首先通过使用图形化的套件用例操作界面批量完成 SCAS规范中定义的测试用例配置，随后批量执行用例，最后根据测试结果通过用例任务界面能够自动显示测试用例是否通过，对于失败的用例能够给出测试失败的具体原因分析。

通过套件用例图形化界面配置 SCAS 自动化测试用例的过程与效果如图 5 所示。

通过用例任务图形化界面显示 SCAS 自动化测试用例执行的过程与效果如图 6 所示。

图 5 5G SCAS 自动化安全测试用例在套件用例图形化界面中的配置和显示

图 6 5G SCAS 自动化安全测试用例的执行过程在用例任务图形化界面中的显示

最后，测试通过的结果显示在用例任务图形化界面的消息详情展示栏中，如图 7 所示，相关网元和流程以直观的方式进行呈现，并且和 3GPP 的协议规范完全一致，具体的消息参数也可以提取，方便测试人员查询。

图 7 5G SCAS 自动化安全测试用例的执行通过结果在用例任务图形化界面中的显示

如图 8 所示，如果测试结果为不通过或执行结果不合预期，则系统会自动显示失败的具体消息和流程步骤，测试人员可以很容易对问题的原因进行诊断。

图 8 5G SCAS 自动化安全测试用例执行结果失败或不合预期在用例任务图形化界面中的显示

以此类推，所有的 5G 网络系统端到端安全协议一致性测试用例也可以在安全测试设备的基本安全测试能力和组件的基础上，通过测试组合编排和完整流程配置的过程，实现安全测试用例执行的批量化、自动化和全过程可视化。

与前两类测试的自动化执行过程类似，5G模糊测试与可编程协议栈测试也可以根据测试的场景需要，分别设置不同的 LUA 自动化测试脚本和可编程协议包，通过调用现成的自动化测试脚本和协议包，即可实现相应的异常消息和异常流程安全测试批量化自动化执行过程。

3

结　语

5G 网络系统安全测试是一项极其重要而又对测试技术的实现要求极高的活动和任务，5G系统安全测试的范围所涉及的深度与广度是前几代移动通信网络安全测试所不具备的，不仅要具备 5G 网元和网络功能及接口协议的仿真能力，也要具备数据网络与互联网仿真能力；不仅要具备 5G 系统安全测试的能力，也要具备测试自动化执行的能力。全面开展 5G 系统的安全测试，需要从多方面入手：从 5G 网络设备自身安全能力的需要出发，可以根据 3GPP SCAS 系列安全保障规范的要求，运用对应的网元仿真测试工具与具体的 5G 网络设备相连接，组建测试环境并对该设备逐项进行 5G 安全功能的测试，以保障 5G 设备功能的安全；从 5G 网络应用具体化部署的网络拓扑出发，则可根据 3GPP 规范定义的接口协议的要求，运用 5G 仿真组合测试工具，对 5G 网络具体化部署进行端到端接口安全协议一致性测试，以保障 5G 网络系统的运行安全；最后从 5G 网络易发的异常消息和流程出发，可运用模糊测试技术和可编程协议栈测试技术对 5G 网络和系统进行全面和深度的安全检测，以排查 5G 系统对于异常消息和流程处理的安全漏洞。