5G 系统安全测试与自动化

作为最新一代移动通信网络的标准，近两年5G已大规模应用于我国

国民经济各领域，并且和垂直行业应用紧密结合，为政府、能源、金融、交

通等各行业提供基础的通信服务，各垂直行业业务的重要性在驱动5G网

络日益成为重要基础设施的同时，5G网络系统和业务自身的安全性要求也

被提到了前所未有的高度。

5G网络从诞生起即具备比前几代移动网络更高更强的起点和目标。5G

网络技术不仅建立在前几代移动网络技术基础之上，而且吸收了最新的基于

服务的云架构思想和软件定义网络的设计理念，运用网络功能虚拟化技术，

提供基于服务化的网络架构，可面向各垂直行业提供服务，是移动网络经过

20年发展和技术积累的结晶。正因为5G网络系统是在前几代移动通信网

络技术的基础上采用了一系列的新技术而形成，所以其安全特性既有前几代

网络安全技术的特性积累和提升，也有新技术带来的安全挑战。为此，要保

障5G网络系统的安全性，首先要对5G网络的安全需求尽可能做全面的

分析，然后针对5G网络的安全需求逐项展开安全测试的设计，最后实现

安全测试自动化执行手段，由此达到并实现全面开展5G网络安全测试从

而全面保障5G系统安全的目的和效果。

5G网络系统安全测试的基础是5G网元功能和接口协议的仿真，目

前能够提供5G网络功能测试的厂家主要是国外的测试仪表设备厂商，但

是在5G安全测试领域仍然存在多种局限和不足。针对这一安全测试市场

的短板和空缺，近年来由国内厂家基于自主研发的5G网络功能测试设备

陆续提出开发的5G安全保障规范用例测试目动化、5G系统安全模糊化

测试和可编程协议栈测试自动化工具集，以弥补这一市场空缺。

1

5G系统安全测试概述

5G系统安全测试首先来源于5G系统架构带来的变化和安全需求，

即5G网络中各网元的安全和各开放式接口的安全保障需求，从5G网络

架构来看，可分为控制信令面网元和接口的安全测试与用户数据面网元和接

口的安全测试；其次是不同垂直行业中具体的5G网络系统的部署形态和

特征决定了5G安全测试的核心要求，即特定网络拓扑下的切片、边缘计

算技术(MobileEdgeComputing,MEC)、网元和接口的安全协议一致

性测试；最后，从5G网络协议层信令和消息以及应用层数据的异常性特

征需求出发，根据5G系统中控制面信令业务和用户面数据业务的安全性

要求，进行针对异常消息、数据和流程的攻击性安全测试。

5G网络中各网元的安全和各开放式接口的安全保障需求主要由

3GPPTS33.501安全架构和流程加以定义，测试规范主要由TS33.117

安全保障类型和TS33.511至TS33.522以及TS33.326各网元安全

保障规范(SecurityAssuranceSpecification,SCAS)来定义。第三代合

作伙伴计划(3rdGenerationPartnershipProject,3GPP)制定的SCAS

系列设备安全保障规范是由全球移动通信协会和3GPP一起制定的网络安

全保障计戈(J(NetworkEquipmentSecurityAssuranceScheme,

NESAS)中所引用的测试评估标准，经过权威认证的第三方机构和实验室根

据3GPP定义的SCAS系列标准对由设备商提供、运营商将要入网的网络

设备的安全能力进行测试，并生成测试报告，目前在5G业界获得了以华

为为代表的设备供应商的大力支持。

特定网络拓扑下的切片、MEC、网元和接口的安全协议一致性测试根

据3GPPTS23.501.TS23.502中的身份加密认证和网络加密完保算法需

求来定义。这一测试来自5G网络自身的安全特性和基本安全保障机制要

求，与SCAS设备安全测试相比，更注重检验5G网络整体端到端的安全

协议与流程，即更加注重网元之间和级联状态下接口协议安全流程的完整性。

5G系统中控制面信令业务和用户面数据业务的安全性和攻击性测试，

根据对5G网络中实际发生和存在的安全问题和现象，结合运用模糊测试

和可编程协议栈测试技术加以定义。在安全测试中，模糊测试是对规范化安

全测试的有力补充，可以有效地捕捉和挖掘因为异常消息的引入带来的系统

安全风险和漏洞，已越来越得到业界的认可。可编程协议栈测试是对模糊测

试的进一步提升，可针对5G协议和流程顺序加以变化，形成更为有力的

安全检测手段。通过对以上3种安全测试类型进行详细的需求分析，并完

成相应的测试设计和执行过程，可以较为全面地掌控与确保5G网络系统

运行时的安全性和可靠性。

2

5G系统安全测试详解

2.15G设备安全保障测试

针对5G网络中各网元的安全和各开放式接口的安全保障需求和测试

需求，3GPP提出了TS33.5015G系统安全架构和流程、TS

33.117通用安全保障需求分类、TS33.511至33.522各主要5G网元

设备的安全保障规范SCAS安全系列规范，包含gNB、AMF、UPF、UDM、

护代理网络产品类的安全保障测试规范和测试用例；TS33.518定义了

NRF网络存储功能网络产品类的安全保障测试规范和测试用例；TS

33.519定义了NEF网络曝光功能网络产品类的安全保障测试规范和测试

用例；TS33.520定义了N3IWF非3GPP网间功能的安全保障测试规

范和测试用例；TS33.521定义了NWDAF网络数据分析功能的安全保

障测试规范和测试用例；TS33.522定义了SCP服务通信代理的安全保障

测试规范和测试用例；TS33.326定义了NSSAAF网络切片特定认证和

授权功能安全保障测试规范和测试用例。

根据上述SCAS系列规范中定义的测试用例，利用相关的5G接入网

和核心网测试仪器的作用，完成测试连接拓扑的搭建并执行定义的测试步骤，

最后检验测试结果是否与预期要求相符合。测试连接拓扑必须符合3GPP

TS23.501关于5G网络系统架构规范的要求。

5G网络系统架构规范由TS23.5014.2.3节定义，以参考点表示的

5G非漫游系统架构如图2所示,5G网络设备安全保障测试连接图与5G

系统端到端接口安全协议一致性测试架构均以此为依据。

图2以参考点表示的5G非漫游系统架构

5GSCAS系列规范尤其注重验证消息响应出错或验证失败的情况，但

这种出错的情况是规范里包含的流程分支和很可能出现的易发常见现象，并

非5G消息流程中出现的异常行为和现象，例如TS33.5124.2.2.1

节定义的认证和密钥协商过程中的两个测试用例，分别是依据TR33.926

中在同步过程定义的AMF/SEAF正确处理同步失败的测试用例，

以及依据TS33.5016.13.2.2节定义的RES*验证失败的测试用例。

5GSCAS系列规范定义的部分主要网元功能安全测试用例如表1所

表15GSCASgNodeB\AMF\UPF\SMF等主要网元的测试用例要求

测试规定测试用例用例编号

InlrgntypmtrrtiannfRRC-Mgnnling4.Z1I.I

IntegrityprotectionofUMTcLitabrtwrrntheUEand(hr4.ZZ1.2

KR(]integritycheckfailurp4.ZZ1.4

UPintegrily<WkLiiW4.12.1.5

CipheringofKKOsipialing4.2.Z1.6

(l^rnngnfunrr(Litnbrtwrrnthrl；Eandthr0B4.12.1.7

RejJaj-pmtrrlinnMusrrdalabrtwrrnihrUEnndthrgNB4.2.Z1.8

ReplaypmtfrtinnMRRCfignaling4.2.Z1.9

1S33.511GNB(^)hmngofm(lataonthesecuntypolicysentbytheSMF4.Z11.10

IntegrityMuwr<Lstaliasrd<aithrw<,urilyfMJiryM-nthythrSMF'4.2.11.11

AS«tlg<inthni«klrction4.2.11.12

KeyrrfrrA・thr0B422J.13

Biddingdounprpwnli«minXn-hanclnwrH4.1Z1J4

ASprotectionalp)rithmM4PCI»<MIingNBchange4.ZZI.15

(lonlnJpLnirchia<*<»tiG(imlialilypnittrlkincwrt-rN2/X1itilerlarr4.12.1.16

(lantmlpLuircLttiiintr而typmlrrtioncvrrN2/Xninlrtlnrr4.1Z1,I7

KeyupcliitrMthrgNBon<ludronnrrtmty4.2.ZI.I8

续表

测试规范测试用例用例编号

Synriironizationfailun*hmulling4.2.2.1.1

RES.verificationfailurehandling4.2.2.1.2

RppliypmtertionofNASsignalingmessagps4.2.23.1

NASNUIJ-integrityprotection4.2.23.2

TS33.512AMFNASintegrityalgi)ritlinisdrclionandusr4.2.23.3

BiddingclownpreventirminXn-h«Mi<iover4.2.2.4.I

NASpmtprtionalp)rithmselectioninAMErhanpp4.224.2

5C-CLTInll^ation4.2.2.5.1

Invalid<runacceptableUEsecurityra()al>ilitie^liaiidling4.2.2.6.1

(Lonfidentialitypnotectinnofuserdatatransposedover、3intrfar?42.2.1

IntrpityprotectionofiisrrdatatninsportedoverN3interfacp42.2.2

Replayfiroirrtionofusrrdatatnim|Mrtr<loverN3intrrfacr422.3

TS33513UPF

ProtectionMuser(Litatrans(xrte<lover、9interfacewithinaPI-MN422.4

Signalingdataprotection42.2.5

TEIDiiniqiimwis422.6

PriorityofUPsecuritypolicy4.2.2.1.1

TS33.515SMESecurityfiinrticnalrpquirpmpntftonth^»SMFcheckingI'PRecuritypolicy4.2.2.1.3

(ChargingII)uniqueness4.2.2.1.4

由表1可见，对于5G系统安全需求，SCAS规范给出了5G网元

设备主要安全功能保障的测试需求和范围。但必须指出，仅仅SCAS中定

义的安全测试规范并不能全面反映网元与网元之间接口消息传递和认证的

安全要求，如gNB网元、AMF网元、SMF网元和UPF各接口安全测

试等，还需要结合具体的网络部署，将安全测试引申到特定网络形态下的网

元和网络接口安全协议一致性测试，如N2/N3/N4接口安全的测试和异常

信令消息与流程的测试。

2.25G网络接口安全协议一致性测试

5G技术在现实场景中的广泛应用尤其是与垂直行业的深度结合，客观

形成和产生了多种多样的网络部署方式和形态，在切片、MEC等应用场景

下，5G网络系统的安全检验和测试也需要随着网络应用的具体化部署而展

开，并完成关键网络接口的安全测试与防范。

3GPP在TS23.501和TS23.502中定义了5G网络系统在终端

注册时的身份加密、认证、鉴权、密钥协商、核心网和接入网加密完保算法

协商机制和过程、切片功能的安全接入、对MEC功能的支持接口和支持方

式等，为5G网络安全协议一致性测试做了原则和规范性指导。

尽管在现实场景中5G网络的部署形态千差万别，但关键接口的安全

特征始终遵循上述规范中的指导原则，在具体化的网络部署形态中牢牢把握

关键接口的安全需求和测试路线，从端到端网络的架构入手，可以不变应万

变地完成空口、N2接口、N3接口、N4接口、N6接口、N9接口、最

新的5GLANN19接口，以及

N5/N7/N8/N10/N11/N12/N13/N14/N15/N22等服务化接口的安全测

试功能。

在上述接口协议中，空口协议不仅包括NR空口接

入协议层，即PHY/MAC/RLC/PDCP/SDAP/RRC,也包括终端与核心网

AMF网元交互的NAS层协议移动管理部分以及与核心网SMF网元交互

的NAS层协议会话管理部分，在现实网络的空口消息交互中，极容易发生

各种安全信息的泄露和安全运行的隐患，需要借助精密的终端仿真仪表完成

相应的协议一致性安全检测功能。

除空口外，N2接口、N3接口、N4接口、N6接口、N9接

口、最新的5GLANN19接口，以及

N5/N7/N8/N10/N11/N12/N13/N14/N15/N22等服务化接口均属于

核心网管理架构中的成员，对于核心网中各接口的安全测试可以采用单网元

或部分网元以至全部网元的全包围测试的方式，将被测网元从整体核心网架

构体系中隔离出来，再根据TS23.501和TS23.502中网元接口协议安

全规范的要求完成测试过程，被测网元或部分被测网元连接仿真核心网网元

的功能，需借助高性能核心网仿真测试设备实现。

MEC连接接口在TS23.501中定义为具有分流功能的UPF通过连

接本地网络的N6接口加以连接的方法，规定了MEC在具体网络部署中

的接口位置和参照，在下沉UPF和MEC的安全测试中应把握远程N4

接口和本地N6接口的安全要求以及MEC自身接入安全认证的需求进行

定制化测试方法的制定和执行。

5G端到端网络系统接口安全协议一致性测试架构中关键的测试接口

和连接方式同样需要遵照3GPPTS23.5014.2.3节中定义的5G参考点

式网络架构来定位和进行，部分5G网络接口安全协议一致性测试用例如

表2所示。

表2部分5G网络接口安全协议一致性测试用例

测试对象测试用例测试规范

初蛤注册（SUCI）自23.502

初始注册（5G-GE）TS23.502

初蛤注册,携带、SSAI.NSSAI仅包含SST1523.502

初始注册,携带RrqucMod'SSAI.NSSA1包含SST和SDTS23.502

RAT接入限制.UE发起初始注册TS23.502

签约禁止区域接入限制.UE发起初始注册TS23.502

N1接口UE发起的去注册(Normalderegistration)TS23.502

UE发起的去注册（Switchoff）TS23.502

网络发起的去注册1S23.502

UE发起的业务请求TS23.502

网络触发UE发起的业务请求一pagingTS23.502

MICO模式TS23.502

UE配置更新一通过配置更新流程下发ConfiguredNSSAVAllowedNSSAITS23.502

续表

测试对象涮试用倒测试规范

AN昨放TS21502

N2便置更新1S21502

初嫡-、AV传输消息1S21502

N2接口

IE谛求的PIN会话由立-PIM会话资源管理15215(12

AMI的应按重定向或经由AN原定向TS21502

位置报告流程1S21502

CTP4隧道安全加密TS21501

7接口

CTIM楼道数据防重放TS21501

IE请求的Pbl金伍建立-支持IPUTS2AJ5O2

IE询求的P3会话徉故-支持IPU1S21502

IE请求的PIM会话定立-支持IR61S215«2

IE请求的PIM公活幅放■支持IIS6TS21502

P1X会“修改N21502

网络请求的PW会话释放IS21502

SS：模式2的PDI会话俄点重定向海科1S2&MB

多个PIK会话S"：快式3PlM会话悔.戏重定向IS215s

46多口发的N：模式3PDI会区锚点里定向IS21502

增fir合设的PIH会话错点和1LCL分支点TS234E

移除分设的PIH会话错点和II.CI.分支点IS21502

修改合设的ILCLfflPlX合区忸点TS21502

增JM分设的P1H会话错点fil1U：l.分支点IS21502

移降分设的PH会话情点和ILCL分支点IS215(12

修改分设的PIH公话信戏和1LCI.分支点IS21502

IE发起的业务请求IS21502

网络触发的业务请求一用户而下行数据TS235(2

IE发起的去注册IS21502

网络发起的去注局TS21502

XnUJ换.比里近1HTS21502

XnUj换.插入I-IPF15215(12

XnH)换.重选I-VPFTS215(B

N2切换.XiillrtTS21502

、25换.重选IPIIS21502

N4关联由立TS21502

N4关联更•IS21502

Z关联徉放N21502

N4关联心跳检测IS21502

N4会话建立IS21502

N4公认更新IS21502

、4会话作放IS21502

IS23502

5G网络端到端安全协议一致性测试的关键点有：

(1)空口信令与数据安全测试；

(2)核心网信令与数据加密完保安全测试；

(3)核心网PCF网元和SMF网元及本地UPF网元与MEC信令

数据交互加密完保安全测试；

(4)N4接口PFCP协议偶联和会话的初始化及建立过程测试；

(5)网络切片安全测试等。

表2所示为部分根据TS23.501和TS23.502关于5G网络接口

协议的要求而设计的网络接口安全协议一致性测试用例。

2.35G网络异常消息和流程测试

5G网络中无论控制面的信令数据还是用户面的业务数据，都会因为各

种原因产生消息和数据传递的丢失、错误、流程的缺失、信令风暴等，以及

来自网络黑客的协议包和数据包的篡改及流量的攻击等，这种由异常消息和

流程的变化造成的网络安全威胁往往比正常流程下给5G网络造成的安全

隐患要大得多，因此对于5G网络内部由于异常消息和流程造成的安全问题

应加以高度重视，并能形成有效的测试手段提前防止5G网络因类似的隐

患发生但处理异常而导致重大安全事故。

5G核心网控制面异常消息和流程通常由以下原因导致。

(1)核心网中的bug在特定情况下产生的异常信令消息，如AMF

网元在同时处理来自终端和接入网的消息与来自SMF和其他核心网网元

通过服务化接口发来的消息时，容易造成消息的排队与丢失。

(2)网络传输设备丢包，与核心网网元类似，部分信令消息的丢失导

致异常流程。

(3)3GPP技术规范存在定义不够严谨的问题，使得不同厂商理解不

一致，在异厂商设备对接时，可能因为某个特定字段解析失败，导致无法响

应而产生异常的信令流程。

(4)信令风暴引起的网络系统资源消耗或耗尽而不能及时处理接收到

的信令流程。

5G核心网用户面异常数据和流程通常由以下原因导致。

(1)用户面数据传输过程面临着重放攻击和拒绝/分布式拒绝服务

攻击。

(2)用户面存在大规模容易造成信令风暴的不连续小流量数据的威胁。

异常消息与流程可对5G网络系统的正常运行造成不可预期的影响，

如流程死锁和死机等，是需要重点防范的网络安全问题。在接入网端和互联

网端，空口消息和互联网网络数据也存在类似的异常消息与异常流程的安全

隐患，可以采取统一的思路对核心网、接入网和互联网端的信令与数据加以

异常消息与流程的测试，以排除5G网络系统对于异常消息与流程发生后

面临的处理障碍和系统故障。

针对5G网络系统内部由异常消息与流程处理不当造成的安全漏洞，

实践证明模糊测试或可编程协议栈测试技术是可选择的最有效和最佳的测

试手段之一。

5G网络系统模糊测试的原理与拓扑如图3所示。通过模糊测试技术，

可以在5G网络的接口上截获和编辑一方发往另一方的消息或数据，对IE

消息或隧道数据的内容与字段加以更改，使得另一方接收到的消息和数据不

再符合正常协议的规则，以此测试和检验网络接口对端网元对于接收到的异

常消息和数据的判断与处理能力。

；改消息、原消息

NINaI/X2、3©改数据包N3原数抠包

|用户终端L、

管用功能

无线接人会话管理

网络功能

策略控制

功能

।仿真设备।

控制.信令处）««*挖，用户挖.

图35G网络异常消息模糊测试原理与拓扑

5G网络异常流程可编程协议栈测试的原理如图4所示。标准的5G

网络仿真测试开放的主要是协议/消息配置能力，其内置的从底层协议栈

状态机到上层信令流程交互的逻辑是固化且标准的，交互逻辑依据来自

3GPP、较难构造异常的信令交互逻辑；而可编程协议栈实现了协议流程的

动态编译与生成，可以支持用户灵活的自定义标准与非标准的协议交互行为

与信令交互流程，对于开展安全测试或非标准流程测试至关重要。简而言之，

可编程协议栈测试技术可以改变消息和数据的发送顺序，可以达到异常信令

和数据流程的测试效果。

图45G网络异常流程可编程林议栈测试原理

2.45G网络安全测试工具和测试自动化

无论是5G网络设备本身的安全保障测试或5G网络系统端到端安全

协议一致性测试，还是5G网络系统异常消息与流程测试，5G网络系统的

安全测试总归需要建立在高性能的仿真测试工具的基础上，并且所有测试均

应能够在相关配置完成后自动化执行而无需人工的中间干预。这一方面要求

5G仿真测试工具能够具备全面仿真和模拟5G系统网元设备和接口协议

的功能，另一方面要求其具备高度流程化的测试配置并自动化执行测试步骤

的能力和保证。

从5G端到端系统安全测试要求来看,5G端到端系统分为5G终端、

5G接入网、5G核心网和本地数据服务网络或外接互联网，5G仿真测试

工具应具备全面的不同网络类型的仿真和测试捡证能力，测试工作量巨细繁

重。为此，与5G端到端系统相配套，5G网络安全仿真测试工具应首先

至少配备由5G仿真终端、5G核心网仿真测试仪、网络应用仿真测试仪

这三个部件组成的能够针对无线空口、5G接入网与核心网、数据网或互联

网进行全面安全测试的综合测试平台和系统。在此基础上，对所有安全测试

类型完成自动化执行的配置和部署，以高度自动化的测试执行效率完成5G

网络系统关键性安全测试要求。

以往通信网络设备的测试仪器和设备技术均掌握在国外厂家手中，近年

来国内厂家基于x86和ARM平台自主