5G无线通信应用密评系统与方法与流程

5g无线通信应用密评系统与方法
技术领域
1.本发明涉及无线通信密评领域，具体是一种5g无线通信应用密评系统与方法。


背景技术：

2.我国商用密码应用安全性评估(简称“密评”)尚处于起步阶段。从密评现状看，缺乏配套的密评国家标准规范、国家密评专业实验室、测评工具、业务管理系统、实训平台等。因此，迫切需要从标准规范、检测技术及密评方法等方面加强密评能力建设，特别是针对5g移动互联网、物联网等领域，急需提高密码应用安全评估能力，以促进国产密码应用相关产业的健康蓬勃发展。本专利提供一种针对5g移动无线通信应用进行密码应用安全性评估的方法与系统，从而为5g移动互联网复杂环境取证、移动终端取证、物联网设备取证。
3.国产商用密码广泛应用于5g、智能计算、大数据、移动互联网、物联网、区块链等重要领域和产业，是保障我国网络空间安全的关键技术。近年来，我国商用密码应用安全事件层出不穷，如中国软件开发网用户信息泄露、“魔哭”勒索病毒等事件，暴露了多行业领域中存在的密码应用不合规、不正确、不有效问题。自1999年以来，国家颁布了《商用密码管理条例》《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规，国家一直持续推进重要行业领域的商用密码应用，制定了密码应用总体规划，明确要求使用符合国家密码法律法规和标准规范的密码算法、技术、产品和服务，实现商用密码的全面应用及检测。
4.我国商用密码应用安全性评估(简称“密评”)尚处于起步阶段。从密评现状看，缺乏配套的密评国家标准规范、国家密评专业实验室、测评工具、业务管理系统、实训平台等。因此，迫切需要从标准规范、检测技术及密评靶场等方面加强密评能力建设，特别是针对5g、智能计算、大数据、移动互联网、物联网、区块链等领域，提高密码应用安全能力，促进密码应用相关产业的健康蓬勃发展。
5.2020年12月国家密码局公布了《信息系统密码应用测评要求》等5项指导性文件。根据《信息系统密码应用测评要求》要求，在测试移动终端、物联网设备的密码应用时需要对应用数据进行抓包然后进行协议分析以检查其密码使用的合规性，对移动终端设备抓包，目前采用三种路径，一是让移动终端使用wifi上网，通过在wifi路由器上抓包；二是在电脑上使用移动终端模拟器，在电脑的上网网卡上进行抓包；三是进入移动运营商的核心网机房在其核心网服务器上安装抓包工具进行抓包。
6.现有技术存在的问题和缺点：
7.1、无论是通过wifi导流网络数据还是通过电脑上的模拟器模拟应用环境，都绕过了5g无线通信网络，无法在实际环境中真实完整地对密码产品进行测评；
8.2、采用5g无线通信的物联网设备基本都是采用嵌入式操作系统，因而无法通过 wifi导流其网络数据，也没有相关的电脑模拟器通过电脑接入网络模拟网络数据，只能在运营商的核心网上进行抓包；
9.3、由于核心网机房是无线通信网络的心脏，属于国家的重要基础设施，对安全保护要求较高，不允许在运营商5g的核心网服务器上安装工具对网络数据抓包。
10.4、从现状看，还缺乏针对5g无线网络、以及使用5g作为承载的物联网、车联网等领域的移动终端设备和嵌入式设备进行取证、特殊协议解析、移动通信网络密文算法检测验证等密评所需的切实可行的手段和方法。


技术实现要素：

11.本发明为了解决现有技术的问题，提供了一种5g无线通信应用密评系统与方法，采用小型5g通信一体化系统，为5g终端的密码应用安全性评估提供真实的测评环境并提供切实可行的手段，使测评工作自动化从而提高准测评的确性和测评效率。
12.本发明提供了一种5g无线通信应用密评系统，包括通过5g网络连接的5g应用终端和业务服务终端，其特征在于：所述的5g应用终端和业务服务终端之间设置有5g密码协议分析系统，5g密码协议分析系统通过以太网连接有密评人员终端；所述的5g密码协议分析系统支持3gpp标准频段，包括主板、一体化5g bbu与rru的通信板、内置天线、sim卡和sim卡写卡器，所述的sim卡为密评专用sim卡，通过sim卡上的plmn 值，5g应用终端驻留在plmn与其一样的密码协议分析系统上。
13.进一步改进，所述的5g应用终端和5g密码协议分析系统之间设置有软件密码模块和通用密码中间件。
14.进一步改进，所述的5g应用终端包括手机、网络摄像机、物联网工控设备、平板。
15.进一步改进，所述的5g密码协议分析系统与业务服务器之间设置有防火墙和网关。
16.进一步改进，所述的业务服务终端包括业务应用服务、密码服务和密码设备管理功能。
17.本发明还提供了一种5g无线通信应用密评方法，包括以下步骤：
18.1)5g密码协议分析系统采用现有socket框架对5g应用终端数据进行抓取，抓取数据层面为数据链路层、传输层、应用层；
19.2)抓取的原生数据为十六进制数据，依据网络传输协议，对数据包进行分析，提取数据包中的网络协议、ip地址和端口信息；
20.3)判断提取的数据是否为加密数据包，若否返回步骤1)重新抓取，若是则进入步骤4)；
21.4)判断是否提取到加密协议标识，若否返回步骤1)重新抓取，若是则进入步骤5)；
22.5)分析数据加密算法、数据完整性保护算法是否符合规范要求，并出具分析结果。
23.进一步改进，步骤2)所述的数据包中的网络协议、ip地址和端口信息的提取过程具体如下：对数据包固定部分进行分析提取，提取并筛选出有用数据，包括源、目的地地址，偏位移，标识，版本，其中偏移用于计算数据包中除去头部固定20字节以外，剩余数据量的大小，计算方式为对偏移量取高四位转换为10进制后乘以4或二进制向十六进制转换为4位转1位，用于对数据包进行判断是否进行进一步分割提取；
24.进一步改进，步骤5)所述的分析数据加密算法、数据完整性保护算法是否符合规范要求具体过程如下：对密钥协商部分的数据包进行分析提取，关注cipher suit字段对象，其中包含该传输路径所采用的密钥交换算法，数据加密算法，数据完整性保护算法，通过对该算法与后台数据库所处正确、合规算法库进行比对，进而得出检测ip地址所使用的
相关路径传输算法是否正确；
25.进一步改进，密评过程中对数据进行抓取判断时，根据每层数据所展现的数据长度，对数据层所在长度进行提取，数据长度记录于length字段，再对一定长度的数据进行快速分析。
26.本发明有益效果在于：
27.1、可以使5g终端设备、物联网设备通过其本身的5g无线通信进行网络连接，从而达到与设备实际应用相同的网络环境下进行密码协安全性评估的效果。
28.2、目前在进行密码协议安全性评估时，都需要在商用密码应用的客户端与业务应用服务器上安装软件或者是将客户端与服务器网络数据旁路到测评电脑后对数据进行抓包，在密评时不是任何场景特别是5g通信环境下都可以进行数据旁路。在金融和关键行业应用系统上安装抓包工具以及抓包本身不仅会对系统的安全带来隐患，同时抓包时会大量占用系统的cpu及内存资源，对业务系统本身带来潜在风险。本发明可以在无需旁路且无需在被测评系统上安装任何软件的情况下进行数据抓包与密码协议分析，对被测评系统不造成任何影响。
29.3、目前在密评时都需要人工对大量抓取的数据包进行分析，其中抓取的有效数据包会混杂其他无用数据如被测评系统中运行的其它组件或应用产生的数据，本发明提供对5g应用进行抓包且自动对有效数据包进行密码协议检测分析，包括应用系统加密算法类型识别和一般安全性检测、网络加密算法识别和一般安全性检测、密钥源一般安全性检测分析、加密系统综合评估等，使测评工作自动化从而提高准测评的确性和测评效率。
附图说明
30.图1为5g应用密码协议分析逻辑示意图。
31.图2为5g应用密码协议分析流程图。
32.图3为5g密码协议分析系统结构框图。
33.图4为网络传输协议示意图。
具体实施方式
34.下面结合附图对本发明作进一步说明。
35.本发明提供了一种5g无线通信应用密评系统，如图1所示，包括通过5g网络连接的5g应用终端和业务服务服务器，其特征在于：所述的5g应用终端和业务服务器之间设置有5g密码协议分析系统，5g密码协议分析系统通过以太网连接有密评人员终端；所述的5g密码协议分析系统支持3gpp标准频段，如图3所示，包括主板、一体化5g bbu 与rru的通信板、内置天线、sim卡和sim卡写卡器，所述的sim卡为密评专用sim卡，通过sim卡上的plmn值，5g应用终端驻留在plmn与其一样的密码协议分析系统上。
36.进一步改进，所述的5g应用终端和5g密码协议分析系统之间设置有软件密码模块和通用密码中间件。
37.进一步改进，所述的5g应用终端包括手机、网络摄像机、物联网工控设备、平板。
38.进一步改进，所述的5g密码协议分析系统与业务服务器之间设置有防火墙和网关。
39.进一步改进，：所述的业务服务器包括业务应用服务端、密码服务和密码设备管理功能。
40.本发明还提供了一种5g无线通信应用密评方法，如图2所示，包括以下步骤：
41.1)5g密码协议分析系统采用现有socket框架对5g应用终端数据进行抓取，抓取数据层面为数据链路层、传输层、应用层；
42.2)抓取的原生数据为十六进制数据，依据网络传输协议，如图4所示，对数据包进行分析，提取数据包中的网络协议、ip地址和端口信息；
43.3)判断提取的数据是否为加密数据包，若否返回步骤1)重新抓取，若是则进入步骤4)；
44.4)判断是否提取到加密协议标识，若否返回步骤1)重新抓取，若是则进入步骤5)；
45.5)分析数据加密算法、数据完整性保护算法是否符合规范要求，并出具分析结果。
46.进一步改进，步骤2)所述的数据包中的网络协议、ip地址和端口信息的提取过程具体如下：对数据包固定部分进行分析提取，提取并筛选出有用数据，包括源、目的地地址，偏位移，标识，版本，其中偏移用于计算数据包中除去头部固定20字节以外，剩余数据量的大小，计算方式为对偏移量取高四位转换为10进制后乘以4或二进制向十六进制转换为4位转1位，用于对数据包进行判断是否进行进一步分割提取；
47.进一步改进，步骤5)所述的分析数据加密算法、数据完整性保护算法是否符合规范要求具体过程如下：对密钥协商部分的数据包进行分析提取，在该数据包中， transport layer security中每个数据的字段均有严格定义，handshake type，version 中规定了该数据包的传输协议，网络协议标准规定了互联网传递、管理信息的一些规范，如十六进制02代表igmp(internet group management protocol，internet组管理)， 8代表egp(exterior gateway protocol，外部网关协议)。
48.关注cipher suit字段对象，其中包含该传输路径所采用的密钥交换算法，数据加密算法，数据完整性保护算法，通过对该算法与后台数据库所处正确、合规算法库进行比对，进而得出检测ip地址所使用的相关路径传输算法是否正确。
49.进一步改进，密评过程中对数据进行抓取判断时，根据每层数据所展现的数据长度，对数据层所在长度进行提取，数据长度记录于length字段，再通过代码对一定长度的数据进行快速分析，加快代码运行速度。
50.部分代码段见下：
51.[0052][0053]
本发明具体应用途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进，这些改进也应视为本发明的保护范围。