CN113347145B - 5g无线通信应用密评系统与方法 - Google Patents

5g无线通信应用密评系统与方法 Download PDF

Info

Publication number
CN113347145B
CN113347145B CN202110401873.3A CN202110401873A CN113347145B CN 113347145 B CN113347145 B CN 113347145B CN 202110401873 A CN202110401873 A CN 202110401873A CN 113347145 B CN113347145 B CN 113347145B
Authority
CN
China
Prior art keywords
data
application
evaluation
wireless communication
protocol analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110401873.3A
Other languages
English (en)
Other versions
CN113347145A (zh
Inventor
郁东明
王云峰
郭敏
徐辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dong'an Testing Technology Co ltd
Original Assignee
Zhejiang Dong'an Testing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dong'an Testing Technology Co ltd filed Critical Zhejiang Dong'an Testing Technology Co ltd
Priority to CN202110401873.3A priority Critical patent/CN113347145B/zh
Publication of CN113347145A publication Critical patent/CN113347145A/zh
Application granted granted Critical
Publication of CN113347145B publication Critical patent/CN113347145B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种5G无线通信应用密评系统与方法,系统包括通过5G无线网络连接的5G应用终端和业务服务器,其特征在于:所述的5G应用终端和业务服务服务器之间设置有商用密码协议分析系统,商用密码协议分析系统通过以太网连接有密评人员终端;所述的商用密码协议分析系统支持3GPP标准频段。本发明采用小型5G通信一体化系统,对5G应用终端数据进行抓取,并分析应用数据加密算法、数据完整性保护算法是否符合规范要求,为5G终端的应用的商用密码安全性评估提供真实的测评环境并提供切实可行的手段,使测评工作自动化从而提高测评的准确性和测评效率。

Description

5G无线通信应用密评系统与方法
技术领域
本发明涉及无线通信密评领域,具体是一种5G无线通信应用密评系统与方法。
背景技术
我国商用密码应用安全性评估(简称“密评”)尚处于起步阶段。从密评现状看,缺乏配套的密评国家标准规范、国家密评专业实验室、测评工具、业务管理系统、实训平台等。因此,迫切需要从标准规范、检测技术及密评方法等方面加强密评能力建设,特别是针对5G移动互联网、物联网等领域,急需提高密码应用安全评估能力,以促进国产密码应用相关产业的健康蓬勃发展。本申请提供一种针对5G移动无线通信应用进行密码应用安全性评估的方法与系统,从而为5G移动互联网复杂环境取证、移动终端取证、物联网设备取证。
国产商用密码广泛应用于5G、智能计算、大数据、移动互联网、物联网、区块链等重要领域和产业,是保障我国网络空间安全的关键技术。自1999年以来,颁布的《商用密码管理条例》《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规,一直持续推进重要行业领域的商用密码应用,制定了密码应用总体规划,明确要求使用符合国家密码法律法规和标准规范的密码算法、技术、产品和服务,实现商用密码的全面应用及检测。
我国商用密码应用安全性评估(简称“密评”)尚处于起步阶段。从密评现状看,缺乏配套的密评国家标准规范、国家密评专业实验室、测评工具、业务管理系统、实训平台等。因此,迫切需要从标准规范、检测技术及密评靶场等方面加强密评能力建设,特别是针对5G、智能计算、大数据、移动互联网、物联网、区块链等领域,提高密码应用安全能力,促进密码应用相关产业的健康蓬勃发展。
2020年12月国家密码局公布了《信息系统密码应用测评要求》等5项指导性文件。根据《信息系统密码应用测评要求》要求,在测试移动终端、物联网设备的密码应用时需要对应用数据进行抓包然后进行协议分析以检查其密码使用的合规性,对移动终端设备抓包,目前采用三种路径,一是让移动终端使用WIFI上网,通过在WIFI路由器上抓包;二是在电脑上使用移动终端模拟器,在电脑的上网网卡上进行抓包;三是进入移动运营商的核心网机房在其核心网服务器上安装抓包工具进行抓包。
现有技术存在的问题和缺点:
1、无论是通过WIFI导流网络数据还是通过电脑上的模拟器模拟应用环境,都绕过了5G无线通信网络,无法在实际环境中真实完整地对密码产品进行测评;
2、采用5G无线通信的物联网设备基本都是采用嵌入式操作系统,因而无法通过WIFI导流其网络数据,也没有相关的电脑模拟器通过电脑接入网络模拟网络数据,只能在运营商的核心网上进行抓包;
3、由于核心网机房是无线通信网络的心脏,属于国家的重要基础设施,对安全保护要求较高,不允许在运营商5G的核心网服务器上安装工具对网络数据抓包。
4、从现状看,还缺乏针对5G无线网络、以及使用5G作为承载的物联网、车联网等领域的移动终端设备和嵌入式设备进行取证、特殊协议解析、移动通信网络密文算法检测验证等密评所需的切实可行的手段和方法。
发明内容
本发明为了解决现有技术的问题,提供了一种5G无线通信应用密评系统与方法,采用小型5G通信一体化系统,为5G终端的密码应用安全性评估提供真实的测评环境并提供切实可行的手段,使测评工作自动化从而提高准测评的确性和测评效率。
本发明提供了一种5G无线通信应用密评系统,包括通过5G网络连接的5G应用终端和业务服务终端,其特征在于:所述的5G应用终端和业务服务终端之间设置有5G密码协议分析系统, 5G密码协议分析系统通过以太网连接有密评人员终端;所述的5G密码协议分析系统支持3GPP标准频段,包括主板、一体化5G BBU与RRU的通信板、内置天线、SIM卡和SIM卡写卡器,所述的SIM卡为密评专用SIM卡,通过SIM卡上的PLMN值,5G应用终端驻留在PLMN与其一样的密码协议分析系统上。
进一步改进,所述的5G应用终端和5G密码协议分析系统之间设置有软件密码模块和通用密码中间件。
进一步改进,所述的5G应用终端包括手机、网络摄像机、物联网工控设备、平板。
进一步改进,所述的5G密码协议分析系统与业务服务器之间设置有防火墙和网关。
进一步改进,所述的业务服务终端包括业务应用服务、密码服务和密码设备管理功能。
本发明还提供了一种5G无线通信应用密评方法,包括以下步骤:
1)5G密码协议分析系统采用现有socket框架对5G应用终端数据进行抓取,抓取数据层面为数据链路层、传输层、应用层;
2)抓取的原生数据为十六进制数据,依据网络传输协议,对数据包进行分析,提取数据包中的网络协议、IP地址和端口信息;
3)判断提取的数据是否为加密数据包,若否返回步骤1)重新抓取,若是则进入步骤4);
4)判断是否提取到加密协议标识,若否返回步骤1)重新抓取,若是则进入步骤5);
5)分析数据加密算法、数据完整性保护算法是否符合规范要求,并出具分析结果。
进一步改进,步骤2)所述的数据包中的网络协议、IP地址和端口信息的提取过程具体如下:对数据包固定部分进行分析提取,提取并筛选出有用数据,包括源、目的地地址,偏位移,标识,版本,其中偏移用于计算数据包中除去头部固定20字节以外,剩余数据量的大小,计算方式为对偏移量取高四位转换为10进制后乘以4或二进制向十六进制转换为4位转1位,用于对数据包进行判断是否进行进一步分割提取;
进一步改进,步骤5)所述的分析数据加密算法、数据完整性保护算法是否符合规范要求具体过程如下:对密钥协商部分的数据包进行分析提取,关注Cipher Suit字段对象,其中包含该传输路径所采用的密钥交换算法,数据加密算法,数据完整性保护算法,通过对该算法与后台数据库所处正确、合规算法库进行比对,进而得出检测ip地址所使用的相关路径传输算法是否正确;
进一步改进,密评过程中对数据进行抓取判断时,根据每层数据所展现的数据长度,对数据层所在长度进行提取,数据长度记录于Length字段,再对一定长度的数据进行快速分析。
本发明有益效果在于:
1、可以使5G终端设备、物联网设备通过其本身的5G无线通信进行网络连接,从而达到与设备实际应用相同的网络环境下进行密码协安全性评估的效果。
2、目前在进行密码协议安全性评估时,都需要在商用密码应用的客户端与业务应用服务器上安装软件或者是将客户端与服务器网络数据旁路到测评电脑后对数据进行抓包,在密评时不是任何场景特别是5G通信环境下都可以进行数据旁路。在金融和关键行业应用系统上安装抓包工具以及抓包本身不仅会对系统的安全带来隐患,同时抓包时会大量占用系统的CPU及内存资源,对业务系统本身带来潜在风险。本发明可以在无需旁路且无需在被测评系统上安装任何软件的情况下进行数据抓包与密码协议分析,对被测评系统不造成任何影响。
3、目前在密评时都需要人工对大量抓取的数据包进行分析,其中抓取的有效数据包会混杂其他无用数据如被测评系统中运行的其它组件或应用产生的数据,本发明提供对5G应用进行抓包且自动对有效数据包进行密码协议检测分析,包括应用系统加密算法类型识别和一般安全性检测、网络加密算法识别和一般安全性检测、密钥源一般安全性检测分析、加密系统综合评估等,使测评工作自动化从而提高测评的准确性和测评效率。
附图说明
图1为5G应用密码协议分析逻辑示意图。
图2为5G应用密码协议分析流程图。
图3为5G密码协议分析系统结构框图。
图4为网络传输协议示意图。
具体实施方式
下面结合附图对本发明作进一步说明。
本发明提供了一种5G无线通信应用密评系统,如图1所示,包括通过5G网络连接的5G应用终端和业务服务服务器,其特征在于:所述的5G应用终端和业务服务器之间设置有5G密码协议分析系统, 5G密码协议分析系统通过以太网连接有密评人员终端;所述的5G密码协议分析系统支持3GPP标准频段,如图3所示,包括主板、一体化5G BBU与RRU的通信板、内置天线、SIM卡和SIM卡写卡器,所述的SIM卡为密评专用SIM卡,通过SIM卡上的PLMN值,5G应用终端驻留在PLMN与其一样的密码协议分析系统上。
进一步改进,所述的5G应用终端和5G密码协议分析系统之间设置有软件密码模块和通用密码中间件。
进一步改进,所述的5G应用终端包括手机、网络摄像机、物联网工控设备、平板。
进一步改进,所述的5G密码协议分析系统与业务服务器之间设置有防火墙和网关。
进一步改进,:所述的业务服务器包括业务应用服务端、密码服务和密码设备管理功能。
本发明还提供了一种5G无线通信应用密评方法,如图2所示,包括以下步骤:
1)5G密码协议分析系统采用现有socket框架对5G应用终端数据进行抓取,抓取数据层面为数据链路层、传输层、应用层;
2)抓取的原生数据为十六进制数据,依据网络传输协议,如图4所示,对数据包进行分析,提取数据包中的网络协议、IP地址和端口信息;
3)判断提取的数据是否为加密数据包,若否返回步骤1)重新抓取,若是则进入步骤4);
4)判断是否提取到加密协议标识,若否返回步骤1)重新抓取,若是则进入步骤5);
5)分析数据加密算法、数据完整性保护算法是否符合规范要求,并出具分析结果。
进一步改进,步骤2)所述的数据包中的网络协议、IP地址和端口信息的提取过程具体如下:对数据包固定部分进行分析提取,提取并筛选出有用数据,包括源、目的地地址,偏位移,标识,版本,其中偏移用于计算数据包中除去头部固定20字节以外,剩余数据量的大小,计算方式为对偏移量取高四位转换为10进制后乘以4或二进制向十六进制转换为4位转1位,用于对数据包进行判断是否进行进一步分割提取;
进一步改进,步骤5)所述的分析数据加密算法、数据完整性保护算法是否符合规范要求具体过程如下:对密钥协商部分的数据包进行分析提取,在该数据包中,TransportLayer Security中每个数据的字段均有严格定义,Handshake Type,Version 中规定了该数据包的传输协议,网络协议标准规定了互联网传递、管理信息的一些规范,如十六进制02代表IGMP(Internet Group Management Protocol,Internet组管理),8代表EGP(ExteriorGateway Protocol,外部网关协议)。
关注Cipher Suit字段对象,其中包含该传输路径所采用的密钥交换算法,数据加密算法,数据完整性保护算法,通过对该算法与后台数据库所处正确、合规算法库进行比对,进而得出检测ip地址所使用的相关路径传输算法是否正确。
进一步改进,密评过程中对数据进行抓取判断时,根据每层数据所展现的数据长度,对数据层所在长度进行提取,数据长度记录于Length字段,再通过代码对一定长度的数据进行快速分析,加快代码运行速度。
部分代码段见下:
class tcp_DataAnanlysis(Structure):
_fields_ = [
("Content_type", c_ubyte),
("message_list", c_ubyte*42),
("S_ID_len", c_ubyte),
]
def __new__(self, socket_buffer=None):
return self.from_buffer_copy(socket_buffer)
def __init__(self, socket_buff=None):
self.contentType = hex(self.Content_type).lstrip('0x')
self.messageList = self.message_list
str_message = []
for i in self.messageList:
str_message.append(str(i))
self.TLS_version = "".join(str_message[0:2])# 33:TLS 1.2
self.Handshake_Type = str_message[4] # 2------是Server Hello1--------client Hello
self.Session_ID_len = self.S_ID_len。
本发明具体应用途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些改进也应视为本发明的保护范围。

Claims (7)

1.一种5G无线通信应用密评系统,包括通过5G网络连接的5G应用终端和业务服务器,其特征在于:所述的5G应用终端和业务服务器之间设置有5G密码协议分析系统, 5G密码协议分析系统通过以太网连接有密评人员终端;所述的5G密码协议分析系统支持3GPP标准频段,包括主板、一体化5G BBU与RRU的通信板、内置天线、SIM卡和SIM卡写卡器,所述的SIM卡为密评专用SIM卡,通过SIM卡上的PLMN值,5G应用终端驻留在PLMN与其一样的密码协议分析系统上;该密评系统执行如下步骤:
1)5G密码协议分析系统采用现有socket框架对5G应用终端数据进行抓取,抓取数据层面为数据链路层、传输层、应用层;
2)抓取的原生数据为十六进制数据,依据网络传输协议,对数据包进行分析,提取数据包中的网络协议、IP地址和端口信息;
3)判断提取的数据是否为加密数据包,若否返回步骤1)重新抓取,若是则进入步骤4);
4)判断是否提取到加密协议标识,若否返回步骤1)重新抓取,若是则进入步骤5);
5)分析应用数据加密算法、数据完整性保护算法是否符合规范要求,并出具分析结果。
2.根据权利要求1所述的5G无线通信应用密评系统,其特征在于:所述的5G应用终端和5G密码协议分析系统之间设置有软件密码模块和通用密码中间件。
3.根据权利要求1或2所述的5G无线通信应用密评系统,其特征在于:所述的5G应用终端包括手机、网络摄像机、物联网工控设备、平板。
4.根据权利要求1所述的5G无线通信应用密评系统,其特征在于:所述的5G密码协议分析系统与业务服务服务器之间设置有防火墙和网关。
5.根据权利要求1所述的5G无线通信应用密评系统,其特征在于:所述的业务服务器包括业务应用服务、密码服务和密码设备管理功能。
6.根据权利要求1所述的5G无线通信应用密评系统,其特征在于,步骤2)所述的数据包中的网络协议、IP地址和端口信息的提取过程具体如下:对数据包固定部分进行分析提取,提取并筛选出有用数据,包括源、目的地地址,偏位移,标识,版本,其中偏移用于计算数据包中除去头部固定20字节以外,剩余数据量的大小,计算方式为对偏移量取高四位转换为10进制后乘以4或二进制向十六进制转换为4位转1位,用于对数据包进行判断是否进行进一步分割提取。
7.根据权利要求1所述的5G无线通信应用密评系统,其特征在于,密评过程中对数据进行抓取判断时,根据每层数据所展现的数据长度,对数据层所在长度进行提取,数据长度记录于Length字段,再对一定长度的数据进行快速分析。
CN202110401873.3A 2021-04-14 2021-04-14 5g无线通信应用密评系统与方法 Active CN113347145B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110401873.3A CN113347145B (zh) 2021-04-14 2021-04-14 5g无线通信应用密评系统与方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110401873.3A CN113347145B (zh) 2021-04-14 2021-04-14 5g无线通信应用密评系统与方法

Publications (2)

Publication Number Publication Date
CN113347145A CN113347145A (zh) 2021-09-03
CN113347145B true CN113347145B (zh) 2022-07-26

Family

ID=77467995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110401873.3A Active CN113347145B (zh) 2021-04-14 2021-04-14 5g无线通信应用密评系统与方法

Country Status (1)

Country Link
CN (1) CN113347145B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801436A (zh) * 2022-12-02 2023-03-14 国网山东省电力公司电力科学研究院 一种5g核心网的tls安全评估方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107071781A (zh) * 2017-05-04 2017-08-18 国网江苏省电力公司电力科学研究院 一种适用于电力无线专网核心网的安全防护性能测评方法
CN107124715A (zh) * 2017-05-04 2017-09-01 国网江苏省电力公司电力科学研究院 一种适用于电力无线专网终端的安全防护性能测评方法
WO2018145847A1 (de) * 2017-02-08 2018-08-16 Siemens Aktiengesellschaft Verfahren und computer zum kryptografischen schützen von steuerungskommunikation in und/oder service-zugang zu it-systemen, insbesondere im zusammenhang mit der diagnose und konfiguration in einem automatisierungs-, steuerungs- oder kontrollsystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018145847A1 (de) * 2017-02-08 2018-08-16 Siemens Aktiengesellschaft Verfahren und computer zum kryptografischen schützen von steuerungskommunikation in und/oder service-zugang zu it-systemen, insbesondere im zusammenhang mit der diagnose und konfiguration in einem automatisierungs-, steuerungs- oder kontrollsystem
CN107071781A (zh) * 2017-05-04 2017-08-18 国网江苏省电力公司电力科学研究院 一种适用于电力无线专网核心网的安全防护性能测评方法
CN107124715A (zh) * 2017-05-04 2017-09-01 国网江苏省电力公司电力科学研究院 一种适用于电力无线专网终端的安全防护性能测评方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
5G在指挥信息系统中的应用研究;薛岩等;《信息化研究》;20191220(第06期);全文 *

Also Published As

Publication number Publication date
CN113347145A (zh) 2021-09-03

Similar Documents

Publication Publication Date Title
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN100369446C (zh) 接入点的安全接入协议符合性测试方法及其系统
US9781109B2 (en) Method, terminal device, and network device for improving information security
US20230224232A1 (en) System and method for extracting identifiers from traffic of an unknown protocol
CN104506484A (zh) 一种私有协议分析与识别方法
WO2015018303A1 (en) Method and device for detecting distributed denial of service attack
CN109450733B (zh) 一种基于机器学习的网络终端设备识别方法及系统
WO2019109817A1 (zh) 短信验证方法、装置、存储介质、短信验证系统及终端
Karim et al. Prochecker: An automated security and privacy analysis framework for 4g lte protocol implementations
CN111901300A (zh) 一种对网络流量进行分类的方法和分类装置
CN113347145B (zh) 5g无线通信应用密评系统与方法
CN103905194A (zh) 身份溯源认证方法及系统
CN107707549B (zh) 一种自动提取应用特征的装置及方法
CN115017519A (zh) 数据加密合规性检测方法及装置
CN113923026A (zh) 一种基于TextCNN的加密恶意流量检测模型及其构建方法
CN111552626A (zh) 使用真实事务数据测试被开发系统的方法和系统
CN102509057B (zh) 基于标记的非结构化数据安全过滤方法
CN108200071A (zh) 支持报文信息提取和携带的IPSecNAT穿越方法及系统
CN107342994A (zh) 智能音响认证方法、智能音响、终端设备及系统
CN100496052C (zh) 网络终端的安全接入协议符合性测试的方法及系统
CN101547127A (zh) 一种内、外网络报文的识别方法
Zhang et al. A systematic approach to formal analysis of QUIC handshake protocol using symbolic model checking
CN114513331B (zh) 基于应用层通信协议的挖矿木马检测方法、装置及设备
CN106714160B (zh) 短信来源合法性查证方法及装置、终端、通信系统
CN110149641B (zh) 一种模拟无线连接测试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Wang Yunfeng

Inventor after: Yu Dongming

Inventor after: Guo Min

Inventor after: Xu Hui

Inventor before: Yu Dongming

Inventor before: Wang Yunfeng

Inventor before: Guo Min

Inventor before: Xu Hui

CB03 Change of inventor or designer information