本發(fā)明公開了一種5G核心網(wǎng)控制平面的TLS安全評估方法，全端口掃描5G核心網(wǎng)控制平面，快速識別額外端口的TLS服務(wù)，提取TLS版本信息，繼而利用TLS底層庫實(shí)現(xiàn)中交互信息的多維度特性，用機(jī)器學(xué)習(xí)方法建立模型，識別TLS底層實(shí)現(xiàn)，增加結(jié)果反饋機(jī)制提高識別精度，爬取和收集TLS底層實(shí)現(xiàn)的庫的漏洞信息，構(gòu)建漏洞信息庫，利用TLS版本信息和TLS底層實(shí)現(xiàn)的庫的信息預(yù)估安全漏洞，通過模擬握手過程，發(fā)送定制交互信息來判斷是否存在ECDHE密鑰協(xié)商過程中未判斷點(diǎn)是否在所選橢圓曲線上的問題和DHE密鑰協(xié)商中存在的后門問題，評估結(jié)果存入數(shù)據(jù)庫。本發(fā)明能夠有效地檢測5G核心網(wǎng)的TLS中加密誤用的問題，識別出具體的漏洞。

技術(shù)領(lǐng)域

本發(fā)明涉及5G網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種5G核心網(wǎng)的TLS安全評估方法。

背景技術(shù)

移動通信技術(shù)在過去幾年里一直在發(fā)展，最新的版本5G已經(jīng)出現(xiàn)。如今，5G技術(shù)已經(jīng)向市場蔓延。為滿足如此高質(zhì)量的需求，不僅需要對無線接入網(wǎng)進(jìn)行改變和升級，而且也需要對5G的核心部分進(jìn)行改變和升級。5G體現(xiàn)在增強(qiáng)型移動寬帶、大規(guī)模物聯(lián)網(wǎng)以及超可靠低延遲。

5G核心網(wǎng)主要保證呼叫的連續(xù)性，完成用戶設(shè)備接入的移動性管理功能，提供了對用戶簽約數(shù)據(jù)和群組簽約數(shù)據(jù)的管理，同時(shí)提供加密鑒權(quán)等功能?？刂破矫嬷饕幚碛脩舻臄?shù)據(jù)，處理多個(gè)節(jié)點(diǎn)之間要互相傳遞信息，完成給用戶轉(zhuǎn)發(fā)的任務(wù)分配。與4G不同，5G網(wǎng)絡(luò)切片架構(gòu)利用了網(wǎng)絡(luò)虛擬化技術(shù)為基礎(chǔ)。5G技術(shù)采用了虛擬化的理念，將其物理基礎(chǔ)設(shè)施拆分成幾個(gè)虛擬邏輯網(wǎng)絡(luò)。它們被稱為網(wǎng)絡(luò)切片。每個(gè)網(wǎng)絡(luò)切片由幾個(gè)虛擬網(wǎng)絡(luò)功能組成，這些功能共同創(chuàng)建了一個(gè)環(huán)境，以服務(wù)于各種不同特征的服務(wù)。3GPP推薦5G服務(wù)提供商采用TLS來保護(hù)5G核心網(wǎng)絡(luò)切片中不同網(wǎng)絡(luò)功能（Network Functions，NFs)之間的通信。但是，TLS協(xié)議的不正確實(shí)現(xiàn)以及在使用中存在的一些不正確配置，會被攻擊者利用解密和篡改加密數(shù)據(jù)，造成嚴(yán)重的安全事故。

發(fā)明內(nèi)容

本發(fā)明目的是提供一種5G核心網(wǎng)的TLS安全評估方法，能夠有效地檢測5G核心網(wǎng)的TLS中加密誤用的問題，識別出具體的漏洞。

本發(fā)明為實(shí)現(xiàn)上述目的，通過以下技術(shù)方案實(shí)現(xiàn)：

一種5G核心網(wǎng)的TLS安全評估方法，包括步驟：

（1）掃描5G核心網(wǎng)切片；

（2）快速識別額外端口的TLS服務(wù)，提取TLS版本信息；

（3）根據(jù)TLS版本信息進(jìn)行信息已知安全漏洞檢測；

（4）進(jìn)行攻擊測試，通過模擬握手過程，發(fā)送定制交互信息來判斷是否存在密鑰協(xié)商漏洞檢測，評估結(jié)果存入數(shù)據(jù)庫。

進(jìn)一步，在進(jìn)行信息已知安全漏洞檢測前先進(jìn)行國密SSL版本識別，根據(jù)TLS版本信息判斷是否使用國密SSL版本。

進(jìn)一步，進(jìn)行信息已知安全漏洞檢測包括：

依據(jù)TLS底層庫實(shí)現(xiàn)中交互信息的多維度特性，利用機(jī)器學(xué)習(xí)方法建立模型進(jìn)行識別TLS底層實(shí)現(xiàn)庫的信息，通過獲取TLS服務(wù)構(gòu)建時(shí)使用的具體的SSL/TLS庫的信息，可以更好地分析TLS協(xié)議庫的缺陷存在的原因，如使用相同底層庫構(gòu)建的服務(wù)可能具有相同的漏洞等；

利用TLS版本信息和TLS底層實(shí)現(xiàn)的庫的信息預(yù)估安全漏洞，即爬取和收集TLS底層實(shí)現(xiàn)的庫的漏洞信息，構(gòu)建漏洞信息庫，預(yù)估安全漏洞，特定版本的TLS協(xié)議標(biāo)準(zhǔn)以及一些特定版本的TLS底層庫實(shí)現(xiàn)具有一些已知的漏洞，可以根據(jù)這些信息預(yù)估安全漏洞。

優(yōu)選的，TLS底層實(shí)現(xiàn)的庫的信息識別還增加了結(jié)果反饋機(jī)制，將在線學(xué)習(xí)方法應(yīng)用于建模過程，并將識別的實(shí)時(shí)結(jié)果反饋，提高識別精度。

優(yōu)選的，預(yù)估安全漏洞是利用爬蟲爬取網(wǎng)上公開的TLS底層實(shí)現(xiàn)庫的漏洞信息，收集現(xiàn)有對TLS協(xié)議漏洞的研究數(shù)據(jù)構(gòu)建漏洞信息庫，利用獲取的TLS版本號和底層實(shí)現(xiàn)的庫的版本信息，從漏洞庫中查找相應(yīng)的漏洞。