Open5GS核心网安全研究：UPF未校验UE IP重复问题导致的可用性与会话管理风险

研究背景

在5G核心网架构中，用户面功能(UPF)作为数据转发的关键节点，负责处理用户设备(UE)的数据流量。近期在Open5GS v2.7.2版本中发现了一个重要的网络问题，该问题源于UPF模块未能正确校验UE IP地址的唯一性，可能导致严重的服务中断和会话管理异常。

技术原理研究

正常业务流程

在标准的5G网络接入流程中：

1. UE通过基站接入网络
2. SMF(会话管理功能)负责分配UE IP地址
3. UPF根据SMF下发的规则建立数据转发通道
4. 每个UE IP在UPF中应有唯一的转发规则

问题产生机制

异常操作可以构造特殊的Create Session Request消息，其中包含以下关键元素：

1. 非标准SGWC源IP地址(172.22.0.100)
2. 在PAA(PDN Address Allocation)信息元素中指定目标UE的真实IP地址
3. 不需要任何会话凭证或其他内部信息

当SMF处理这个异常请求时，会向UPF发送PFCP会话建立请求。UPF在以下环节存在不足：

1. 未检查UE IP是否已被其他会话使用
2. 直接为相同IP创建新的下行PDR(包检测规则)
3. 导致同一IP对应多个转发规则

影响分析

直接后果

1. 流量异常：可能导致目标UE的部分或全部下行流量异常
2. 服务可用性问题：合法UE可能无法接收完整数据流
3. 会话管理异常：UPF中存在同一IP的多条转发规则，导致不可预测的转发行为

潜在风险

1. 通信异常：可能导致用户通信内容异常
2. 数据完整性问题：用户数据可能出现异常
3. 服务管理问题：可能导致用户身份管理异常

技术细节验证

通过实验环境重现了该问题：

1. 使用srsenb_zmq和srsue_zmq模拟基站和UE
2. 合法UE成功获取192.168.100.2地址
3. 异常操作发送特殊的Create Session Request
4. UPF日志显示为同一IP创建了多个会话：

   UE F-SEID[UP:0xfd0 CP:0x61f] IPv4[192.168.100.2]
   UE F-SEID[UP:0x220 CP:0x88c] IPv4[192.168.100.2]
   

5. 流量分析证实存在流量分流现象

解决方案建议

立即改进措施

1. 在网络边界实施SGWC源IP验证
2. 启用PFCP消息完整性保护
3. 监控异常会话建立请求

长期改进方案

UPF应实现以下机制：

1. IP重复检测：在创建新会话前检查UE IP唯一性
2. 会话关联验证：确保新会话与已有会话的关联性
3. 异常处理：对重复IP的请求应返回适当错误码
4. 日志审计：记录所有会话建立尝试及冲突事件

架构安全思考

此问题暴露了5G用户面设计的几个关键方面：

1. 信任管理需要加强：需要更明确的节点信任管理
2. 状态一致性需要提升：用户面与控制面状态需要更强的一致性保证
3. 默认防护需要增强：关键操作需要更多的默认校验

建议在5G核心网设计中采用更严格的原则，对所有控制面消息实施充分验证，特别是在用户面规则配置这种关键操作上。

结论