據(jù)愛爾蘭安全公司AdaptiveMobile Security的一份報(bào)告顯示，由于缺乏傳輸層與應(yīng)用層之間的映射關(guān)系，因此結(jié)合了傳統(tǒng)技術(shù)的5G網(wǎng)絡(luò)可能更容易受到威脅。

[[390989]]

網(wǎng)絡(luò)切片對(duì)于實(shí)現(xiàn)5G的許多功能至關(guān)重要。網(wǎng)絡(luò)切片(Network Slicing)是指在同一網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，將運(yùn)營(yíng)商的物理網(wǎng)絡(luò)劃分為多個(gè)邏輯獨(dú)立的虛擬網(wǎng)絡(luò)，每個(gè)虛擬網(wǎng)絡(luò)具備不同的功能特點(diǎn)，可以靈活的應(yīng)對(duì)不同的需求和服務(wù)，這些虛擬網(wǎng)絡(luò)相互隔離，其中一個(gè)發(fā)生故障不會(huì)影響到其它虛擬網(wǎng)絡(luò)。

研究人員發(fā)現(xiàn)5G網(wǎng)絡(luò)切片可能會(huì)給不法分子留下漏洞，一旦被利用，該切片上的攻擊者就能夠訪問另一切片上的數(shù)據(jù)，甚至在某些情況下可以訪問5G供應(yīng)商的核心網(wǎng)。

AdaptiveMobile將其描述為切片上的流氓網(wǎng)絡(luò)功能(rogue network function)。通過建立到供應(yīng)商網(wǎng)絡(luò)存儲(chǔ)庫功能(NRF)的TLS連接(NRF是供應(yīng)商網(wǎng)絡(luò)中所有5G網(wǎng)絡(luò)功能的中央存儲(chǔ))，流氓功能請(qǐng)求訪問同一網(wǎng)絡(luò)上的另一個(gè)切片，NRF檢查是否允許該切片訪問。由于這兩個(gè)切片共享相同的網(wǎng)絡(luò)功能，所以就NRF而言，這是一個(gè)有效的請(qǐng)求，并且可以為目標(biāo)片生成一個(gè)令牌。然而這可能會(huì)導(dǎo)致惡意切片訪問其他切片上的大量信息，包括個(gè)人數(shù)據(jù)。

根據(jù)AdaptiveMobile的說法，這是真實(shí)可能會(huì)發(fā)生的，因?yàn)楫?dāng)前的網(wǎng)絡(luò)切片功能規(guī)范不要求在同一網(wǎng)絡(luò)上的不同切片之間進(jìn)行“層匹配(layer matching)”。因此，當(dāng)面對(duì)這種惡意請(qǐng)求時(shí)，NRF只會(huì)看到一個(gè)通過身份驗(yàn)證的伙伴正在請(qǐng)求一個(gè)有效的服務(wù)請(qǐng)求，而不檢查發(fā)出這個(gè)請(qǐng)求的是否是正確的切片。

另一個(gè)潛在的漏洞是可能允許流氓切片對(duì)另一個(gè)切片執(zhí)行DoS攻擊，通過操縱基于HTTP的服務(wù)請(qǐng)求到NRF，欺騙它讓其認(rèn)為目標(biāo)切片已經(jīng)超載，不應(yīng)與之聯(lián)系。此外，同一網(wǎng)絡(luò)上不同用戶和片之間缺乏進(jìn)一步的身份檢查，可能會(huì)允許惡意用戶訪問其他數(shù)據(jù)，包括有關(guān)其他客戶的關(guān)鍵信息。

根據(jù)AdaptiveMobile的說法，想要解決以上問題并不簡(jiǎn)單，因?yàn)橐话愕腡LS和IP層防火墻不具備區(qū)分哪一層正在與哪一層通信的能力。唯一的選擇是對(duì)不同層之間以及層與NRF之間的通信進(jìn)行附加驗(yàn)證，以確保這些潛在的攻擊不會(huì)起作用。