乘风破浪的猪-WingPig99

非常开心，最近我们的LTE/5G空口协议隐私安全研究工作《Watching your call: Breaking VoLTE Privacy in LTE/5G Networks》被PETS 23接收。论文主要包含两部分工作：基于移动中继的数据收集和篡改、VoLTE指纹识别攻击。本博客将对两部分简单介绍，同时也欢迎大家邮件讨论。最后附上演示视频和论文。

基于移动中继的数据收集和篡改

该中继系统是对David Rupprecht等人《Breaking LTE on Layer Two》的扩展，包括提出详细的物理层参数计算算法在中继期间计算受害者UE的物理层参数、利用TA和SNR实现无线干扰信号的识别、通过篡改控制面Attach Request消息读取受害者的IMSI标识、以及在5G-SA中进行测试等。

物理层参数计算

无论是在LTE还是5G中，RRC层数据将在RRC Security Command/Complete之后采取完整性和加密保护。当基站通过RRCConnectionReconfiguration信令重新配置受害者UE时，因为中继无法读取到该信令明文内容，所以中继将无法更新基站侧和UE侧的参数，从而无法继续维持无线中继连接。因此，我们需要计算RRC_Conn_Recfg的明文内容。

在计算RRC_Conn_Recfg内容之前，我们首先需要搞清楚该信令都包含什么参数，以及那些参数是固定的，哪些参数是变化的。通过对英国和中国运营商进行观测，我们发现只有物理层参数会发生变化。

因此，我们只需要预先建立一个RRC_Conn_Recfg消息模版，该模版的参数列表和类型与真实消息保持一致。并且，模版中的参数可以进一步分为固定参数和变化参数：固定参数直接复制现网消息即可；变化参数主要是上述物理层参数，需要实时计算。

本文提出，当观察到受害者UE收到RRCConnectionReconfiguration信令后，中继的基站侧立即打开所有的SR资源（时域和频域），并且等待受害者UE使用其中的资源。当收到受害者的第一个SR消息时，根据该消息在资源网格上的时域和频域坐标可以得到SR的频域参数，但是还不能计算时域参数。基站侧忽略该消息，等待受害者UE传输下一个SR消息，此时中继又一次得到SR消息的时域坐标。通过比较两个SR消息的坐标值，中继可以计算SR的子帧编号和周期，然后通过查3GPP 36.213 表10.1.5-1可以得到SR时域参数。

计算CQI参数的过程与计算SR参数过程类似，只不过中继不可以忽略第一个CQI消息，因为CQI会影响MCS。但是处理第一个CQI消息，不会影响计算CQI的时域参数，毕竟无论如何中继都会收到第二个CQI消息的。

无线干扰识别

在计算参数期间，中继打开了所有SR和CQI资源。因为无线的广播性，中继不仅会收到受害者UE的上行信号，而且还会收到周边非目标UE的上行信号，产生无线噪声信号。如果中继无法区分信号的来源，错误地将非目标UE的SR/CQI当作目标UE的SR/CQI参数进行处理，则会导致物理层参数计算失败。

所以本位提出基于TA和SNR的无线干扰信号识别技术，具体而言，在实际场景中，中继、基站、受害者和非目标用户之间的具体不相等。所以非目标用户与真实基站的上行时刻对齐，受害者与中继的上行时刻对齐，非目标用户的上行数据到达真实基站时具有较大的TA值，分布在[-20,20]之间。所以，中继可以比较TA和SNR值判断当前上行信号是否来自于目标用户。

读取受害者IMSI

LTE为了保护IMSI，默认只在第一次入网的Attach Request信令中包含IMSI，其他时候则会使用GUTI。所以我们在中继出修改Attach Request中的GUTI值，让修改后的GUTI值在MME上无效，所以MME会强制通过Idnetitiy Request信令读取目标用户的IMSI，我们就可以在明文Identity Response中读取到目标用户的IMSI标识。

5G-SA测试

该中继可以在5G-SA仿真网络中稳定运行。虽然5G-SA的协议和LTE在格式具有差异，但是物理层参数、SR和CQI过程基本类似。目前该中继不支持5G-NSA，因为5G-NSA采用非竞争协议连接到5G基站，中继无法读取目标用户的RNTI。

VoLTE指纹识别攻击

参见下一篇。

论文地址：https://petsymposium.org/popets/2023/popets-2023-0053.php