1、5G 通信协议安全性研究5G Communication Protocol Security Research5G安全协同创新中心闫绍华 李家武 杨忠杰2 目 录 引言.3 一、PFCP 协议安全分析.4 二、CVE-2021-41794 漏洞分析及研究.7 2.1 漏洞原理.7 2.2 漏洞分析.7 2.3 漏洞研究.8 三、风险场景示例.13 3.1 5G+智慧电力.14 3.2 5G+智慧矿山.15 四、5G 协议模糊测试.16 4.1 Open5gs 环境简述.16 4.2 5Greplay 简介.18 4.3 通过 5Greplay 对 Open5gs 进行模糊测试.19 五、5G
2、安全总结和解决方案.24 5.1 安全总结.24 5.2 解决方案.25 六、参考文献.28 3 引 言 基于第五代移动通信技术带来的全方位通信网络结构变化,应用业务变化,系统架构变化,5G 专网下沉业务场景,切片业务场景,SDN(Software Define Network),NFV(Network Function Virtualization)等互联网和虚拟化技术的使用,以及用户侧传统的 OT、IT 和 CT 网络之间的交织与融合,都带来了更多的安全攻击面(Attack Surface)暴露。本文基于 5G 安全其中一个业务场景 PFCP(Packet Forwarding Contr
3、ol Protocol)协议的攻防分析,充分证明了为保证 5G 业务的高带宽,低时延和高可用性,以及业务通信和数据安全,5G 业务需要端到端的,全方位的安全防护。在 5G 专网场景中,伴随着 UPF 网元的下沉,5G 安全风险暴露面随之增加。PFCP 作为 UPF 网元的重要协议,承载着信令传输的重要作用。本文主要针对 PFCP协议展开安全性研究,提供若干垂直行业的风险场景示例,基于 Open5gs 模拟环境采用 Fuzz 模糊测试的方式完成安全检测,并对检测出的 CVE-2021-41794 漏洞进行验证和深入研究,最后结合 3GPP 规范给出安全建议。4 一、PFCP 协议安全分析 在 5
4、G 网络架构中,围绕 UPF 的相关接口和协议如下图所示,其中主要的接口有 N3、N4、N9、N6。N3 接口是 RAN 与 UPF 之间用来上传用户面数据的接口,用到的协议有 GTP-U、GTP-C;N9 接口是 UPF 与其他 UPF 之间通信的接口;N6 接口是 UPF 与外部数据网络 DN 之间基于 IP 和路由协议来传递上下行用户数据流的接口;N4 接口是 UPF 与 SMF 之间交互的接口,其主要协议是PFCP。根据 3GPP TS 29.244 定义,PFCP(Packet Forwarding Control Protocol),即报文转发控制协议,其报文基于 IP+UDP。S
5、MF 和 UPF 之间的 N4 接口使用的控制面协议是 PFCP(Packet Forwarding Control Protocol)协议。SMF 通过 N4 接口向 UPF 下发 PDR(Packet Detection Rule),然后 UPF 按照 PDR、FAR、QER 等中的指令进行数据包转发和 QoS 控制。图 1 PFCP 协议栈结构 5 在 5G 网络环境中,UPF 主要通过 N4 接口与 SMF 网元进行通信,其上协议就是PFCP。PFCP 采用 Request-Response 的交互消息模式,具体如下:1)Request 消息的 UDP 目的端口号是 8805,该端口是
6、为 PFCP 注册预留的。Request 消息的 UDP 源端口是由发送实体本地申请的,多个 Request 消息可以重用本地申请的 UDP 源端口。2)Response 消息的 UDP 目的端口使用对应的 Request 消息的源端口,UDP 源端口使用对应的 Request 消息的目的端口,即 Respone 消息的发送实体将其收到的Request 消息的 UDP 源端口和目的端口互换。PFCP 消息实体由变长消息头和零个或多个消息 IE 组成,PFCP 消息头采用变长格式,必须为 4 字节对齐,不足 4 字节的,填 0。如图 2 所示,Octets 表示八字节,字节 1 是一组 bit
7、位,最高 3 位是 Version,MP 是 Message Priority 的标志,S 是SEID 的标志;字节 2 是消息类型;字节 3 和字节 4 表示消息长度;之后是 SEID 及序列号。图 2 PFCP header PFCP 消息分为节点相关的消息和会话相关的消息,两种消息对应的 PFCP 头部不同,主要体现在可选字段 SEID 上。a)节点相关的消息的 PFCP 消息头如下,这类消息的 MP 和 S 都为 0,没有SEID 字段;消息头长度为 8 字节。6 图 3 节点相关的 PFCP 消息头 b)会话相关的消息的 PFCP 消息头如下,这类消息的 S 为 1,即必有 SEID
8、 字段,消息头长度为 16,MP 可能为 0 或 1,MP 为 1 时,最后一个字节的高 4 位为优先级。图 4 会话相关的 PFCP 消息头 PFCP 的消息 IE 按需求分为四大类:必备的,条件的,条件可选的和可选的。具体如何使用,由不同的消息来决定。每个消息 IE 都是变长的,都有一个 type 和length 字段。7 二、CVE-2021-41794 漏洞分析及研究 2.1 漏洞原理 CVE-2021-41794,属于缓冲区溢出漏洞。该漏洞是由于 lib/core/ogs-3gpp-types.c 文件中的函数 ogs_fqdn_parse 在未经验证的情况下,计算 memcpy 中
9、使用的长度值造成的。当 UPF 下沉,且 PFCP 端口暴露给攻击者时,攻击者可通过发送特定的pfcp_association_setup_req 和 pfcp_session_establishment_req,造成堆栈溢出。攻击者利用该漏洞,可中断 UPF 与已订阅设备的正常通信。漏洞影响范围:Open5gs v1.0.0 v2.3.3。2.2 漏洞分析 在 Open5gs 的源代码 core/ogs-3gpp-types.c 中,成功找到 ogs-fgdn-parse函数,该函数的关键代码如下所示。该部分通过参数 length 和 len 来控制 while 循环,然后使用 memcpy
10、 函数来将 len 长度的 src 数据写入到 dst 中。但是这里值得注意的是 len 的值,是由 srci+控制,假设 scr0的值为i,那么 len 的值就是i的Ascall,即 105。ogs-fgdn-parse 函数中的参数是由 lib/pfcp/hander.c 控制,具体如下所示,即dnnOGS_MAX_DNN_LEN对应*dst,message-work_instance.data 对应src,message-work_instance.len 对应 length。8 继续追溯,发现 OGS_MAX_DNN_LEN 在 core/ogs-3gpp-types.h 中被定义为1
11、00,即堆栈缓冲区 dst 最大为 100byte。回到 ogs-fgdn-parse 函数,整合上面的思路,当message-work_instance.data 的值为internet时,message-work_instance.len 的值为 8,即 src=internet,length=8,在ogs-fgdn-parse 函数执行过程中,len 的初始值为 src0=i,转换为 Ascall,即len=105,然后在 memcpy 函数中,从 src 里面复制 105 个字节数据填充到 dst 中,而 dst 最大为 100,因此发生了冲突。攻击者利用缓冲区溢出漏洞,将恶意字符写入
12、 dnn中,覆盖返回地址,最终能够控制 UPF 的通信进程。2.3 漏洞研究 为了能够方便研究,笔者提取该漏洞的相关代码,并进行了简单的改造。test.c 的代码如下图所示,部分解释放在注释中。9 显然在 test.c 中,复制 1000 个字节的 name 到只有 100 个字节空间的 dnn,存在缓冲区溢出漏洞。相关代码与堆栈空间的关系如下图所示。配置漏洞研究环境,选择关闭 ASLR,以及编译源代码过程中,配置-zexecstack-fno-stack-protector,即允许使用栈运行代码和关闭栈防护,配置环境相关代码如下:之后采用 GDB 进行调试,部分过程如下:10 经过分析发现,
13、ret 的地址就是 0 x555555555248,而此时覆盖在 ret 上面的内容是 0 x4131654130654139,而 0 x4131654130654139,属于 pattern 的内容,因此通过 pattern_offset.rb 工具,计算出结果值为 119。这说明 dnn 栈空间的溢出 offset是 119byte。另外可观察 dnn 栈内的数据情况,下图中的 9Ae0Ae1A,就是0 x4131654130654139 的 Ascll。由于在给 name 赋值时,为了方便观察,采用了分块,如下图所示,其中 46 的 Ascll 是“.”,因此真正的 offset 是 1
14、20。11 此时,我们可以整理一下缓冲区溢出的利用思路。缓冲区溢出的利用思路主要是通过覆盖返回地址来实现攻击的目标。攻击者可以通过构造恶意的输入,让程序在执行过程中跳转到攻击者指定的地址,从而实现任意代码的执行。在本例中,漏洞利用的思路如下图所示,首先通过 name 的首字节来控制 len 的大小,这里定义x80,其对应的 Ascll 为 128,然后构建 120 个字节的恶意字符,最后添加目标 8 个字节的 ret地址,这里选择用 dnn 的首地址。在构造恶意字符的时候,选用 msfvenom 生成,采用载荷为linux/x64/shell_bind_tcp,端口就是本地的 7777,相关命
15、令如下所示:12 由于生成的恶意字符一共 94 个,因此可采用x90 进行填充,在本例中 dnn 的首地址为 0 x7fffffffde20,因此对应的 payload 如下:然后重新编译,运行 test 程序,并采用 nc 监听本地 7777 端口,如下图所示getshell 成功。通过上面的实验,可以验证缓冲区漏洞的真实存在。在真实 UPF 环境中,可以通过函数 ogs_pfcp_handle_create_pdr 来确定返回地址,以及计算 dnn 缓冲区的偏移量,最后构建一个特定的 PFCP 会话建立请求消息,将 payload 发送到 UPF。经过实验的进一步验证,得出 CVE-202
16、1-41794 漏洞的相关 POC,但是该 POC 具有一定的局限性,就是需要通过模糊测试工具,得到 dnn 的地址。13 三、风险场景示例 随着 5G 网络与垂直行业的深度融合,UPF 作为数据面转发的关键网络设备,其安全性至关重要。PFCP 是 UPF 和 SMF 之间通信的主要协议,直接影响数据包的下发、规则检测等。关于 PFCP 的安全风险分析,可以从两方面展开,一方面是 PFCP的协议栈,另一方面是 PFCP 相关源代码部分。在 PFCP 的协议栈部分,攻击者需要在特定场景下可以访问到 UPF 的 8805 端口(例如 UPF 下沉到客户侧,且关键端口直接暴露在了外网),同时通过嗅探
17、方式,获取到了部分关键字段(如 SEID),进而加以利用。PFCP 协议栈的主要攻击手法是通过构造恶意 PFCP 报文来影响 UPF 对数据分发的处理。例如攻击者在抓取到用户 N4 接口的 PFCP 消息,且获取到 UPF 发给 SMF 的 F-SEID 和下行 FAR ID 的情况下,可以篡改 N4 接口消息(Session Modification Request 消息),来控制用户会话转发,具体流程如图 5 所示。图 5 PFCP 协议栈攻击 14 在 PFCP 的源代码部分,它的安全风险往往与开发过程相关,安全问题隐藏最深,复杂度最高,但也是影响最深刻的。当前关于 PFCP 的源代码漏
18、洞市面上可以看到的不多,一方面是由于各厂商之间信息未公开,另一方面也是因为这部分的难度较大。随着 5G 的深入推广,关于 5G 的安全研究投入也会越来越多,由此相关问题才会更多的暴露出来。本文中通过模糊测试找到的 CVE-2021-14794 属于 PFCP 源代码方面的漏洞,上文已详细介绍。3.1 5G+智慧电力 5G 在智慧电力中发挥着重要作用,5G 网络提供的安全能力符合电网“安全分区、网络专用、横向隔离、纵向认证”的原则。但是 5G+智慧城市系统存在多种应用场景,由于不同场景对通信时延的需求、异构终端数量、资产数量、数据安全性要求都存在差异,从而造成信息交互也千差万别,不同业务类型对
19、UPF、MEC 以及通信传输通道的安全防护的要求也不同。通用的 5G+智慧电力的网络架构如下图所示,通过网络隔离及物理隔离的方式,使得电力网络根据业务实现安全区域划分,局域网内虚拟专网数据不出园区,广域网内虚拟专网数据严格管控。但是伴随 UPF 及 MEC 下沉,5G 网络的安全风险面增加,5G 新技术在带来巨大便利的同时,也存在前所未有的安全风险挑战。如前文所述,若攻击者针对 UPF 发起攻击,在能够访问 PFCP 端口且获得 PFCP中的敏感字段的情况下,极大概率会通过构造恶意 PFCP 数据包,来控制 UPF 对用户数据面的数据分发,终止用户访问请求,甚至发起信令风暴,造成不可挽回的损失
20、。此外,即使在无法获得 PFCP 中 SEID 等敏感字段的情况下,攻击者如果提前获悉PFCP 相关版本的源代码漏洞,如 CVE-2021-14794,则在满足漏洞利用条件的情况下可以实现漏洞利用,取得 root 权限,给企业造成严重后果。15 图 6 5G+智慧电力网络架构 3.2 5G+智慧矿山 5G 在建设智慧矿山的过程中,凭借通信速率快、延时低等优势,能够有效解决智慧矿山由于通信技术和矿区复杂环境带来的传输速率、设备互联和大带宽瓶颈问题。但是矿山业务多样,更重要的是涉及人员生命安全问题,这些要求矿区在 5G 基础网络设施方面要有极高的安全保障。在实际操作过程中,由于智慧矿山网络中包含的
21、终端不仅数量多,而且种类也多,导致安全管理无法面面俱到,甚至部分网络终端及业务直接暴露在互联网中,这给企业带来了巨大的安全风险。通用的 5G+智慧矿山网络架构如下图所示,井上 5GC 负责整体流程控制,井下5G 设备侧重于完成业务数据传输的需要,以及提供人员生命安全保障。但是由于矿区的复杂性,部分终端及业务缺乏安全防护,可能面临非法终端接入、数据泄露等安全风险。在 5G 安全方面,由于终端用户身份可能被仿冒,针对 UPF 的攻击也更容易实现。同样的,一旦 5G 网络的 UPF 被恶意攻击,通过构造恶意 PFCP 数据包来控制数据的转发,轻者系统设备无法正常工作,重者可能直接影响到井下员工的生命
22、安全。16 图 7 5G+智慧矿山网络架构 四、5G 协议模糊测试 在实验研究的过程中,选用 Open5gs 和 5Greplay 进行 5G 协议的模糊测试,验证协议的安全性,同时发现更多的安全漏洞。4.1 Open5gs 环境简述 Open5GS 实现了 4G/5G NSA 和 5G SA 核心网功能,其网络架构如下。17 图 8 Open5gs 网络架构 (1)4G/5G NSA Core Open5GS 4G/5G NSA 核心网包括以下组件:MME-Mobility Management Entity HSS-Home Subscriber Server PCRF-Policy an
23、d Charging Rules Function SGW-c-Serving Gateway Control Plane SGW-u-Serving Gateway User Plane PGW-c/SMF-Packet Gateway Control Plane/(component contained in Open5GS SMF)PGW-u/UPF-Packet Gateway User Plane/(component contained in Open5GS UPF)在 4G/5G NSA Core 实现了控制面和用户面的分离。MME 是主要的控制平面,负责管理会话、移动性、Pag
24、ing 和承载(bearers)。MME 与 HSS 相连接,HSS 会生成 SIM 卡的鉴权矢量以及签约用户的 Profile。MME也会与网关服务器的控制平面 SGWC 和 SMF(PGW-c)相连接。在 4G 中的所有eNodeBs 都会与 MME 相连接。控制平面的最后一个节点是 PCRF,它位于SMF(PGW-c)和 HSS 之间,处理收费和执行订阅用户策略。用户平面用于承载 eNB/NSA gNB(5G NSA 基站)与外部广域网之间的用户数据报文。两个用户平面核心组件是 SGW-u 和 UPF(PGW-u),每一个都与它们的控制平面连接。eNB/NSA gNG 连接到 SGW-u
25、,SGW-u 连接 UPF(PGW-u),再连接到WAN。(2)5G SA Core Open5GS 5G SA Core 包括以下功能:AMF-Access and Mobility Management Function 18 SMF-Session Management Function UPF-User Plane Function AUSF-Authentication Server Function NRF-NF Repository Function UDM-Unified Data Management UDR-Unified Data Repository PCF-Polic
26、y and Charging Function NSSF-Network Slice Selection Function 5G SA 核心网的工作方式与 4G 核心不同它使用了基于服务的体系结构(SBA:Service Based Architecture),将控制面功能配置为向 NRF 注册,然后由NRF 帮助控制面发现其需要的核心网服务。AMF 处理连接和移动性管理,是 4G MME 任务的一个子集。gnb(5G 基站)连接到 AMF。UDM、AUSF 和 UDR 执行与4G HSS 类似的操作,生成 SIM 认证向量并保存用户配置文件。会话管理全部由 SMF处理(以前是由 4G MME
27、/SGW-c/PGW-c 负责)。NSSF 提供了一种选择网络片的方法。最后是 PCF,用于收费和执行订阅者策略。4.2 5Greplay 简介 5Greplay 是一个 5G 网络协议流量的 fuzz 工具,可以通过重放和修改 5G 网络流量来对 5G 组件做测试。测试的目标既包括 5G 核心服务(如 AMF、SMF)也包括 RAN 网络(如 gNodeB),可以以在线或离线的方式更改控制面和数据面中的网络数据包,使用非常灵活。5Greplay 包解析的部分基于 mmt-dpi(1.7.10),mmt-dpi 是一个开源的 DPI 工具。两者都是开源项目,好处就是我们可以根据自己需要去修改,
28、而很多 5G 网络协议 fuzz 工具都是不开源或者半开源的。同时,通过 5Greplay 也产出了不少成果(参见最后的参考部分),也一直有新的成果出现。5Greplay 的运行原理如下:19 4.3 通过 5Greplay 对 Open5gs 进行模糊测试 4.3.1 使用方式 5Greplay 使用比较简单主要有如下几个功能:compile:编译 rules info:解析 rule 中的*.so extract:从 pacp 或 nic 提取指定协议的属性值 replay:最重要的部分,重放数据包 20 另外使用 5Greplay 需要注意配置文件,默认为 mmt-5greplay.co
29、nf,主要可以配置 input,output,engine,mempool,dump-packet,forward,根据实际情况去配置即可。4.3.2 测试过程 rule 流程如下:测试执行:test.pcapng 是我们抓取的正常流量数据包,然后通过 5Greplay 的 fuzz 和 重放功能去对 AMF 做安全测试。Fuzz 测试的结果依赖于写的 fuzz 规则,需要按照 fuzz 的目标去定制开发。4.3.3 测试结果 多次 fuzz 后我们重现了 AMF crash 的安全 bug。报错 log 如下:21 4.3.4 分析和原理 通过配置 dump-packet 或者通过 wire
30、shark 获取出错时的 pcap。以NGAP(Next Generation Application Protocol)协议的 InitialUEMessage 消息为例,阐述一下 Fuzz 流程。Wireshark 打开,分析发现包出现了错误。见下图:通过单步跟踪,发现是在 5GS mobile identity 项出现了错误,同时根据 log 验证是 SUPI 的类型不支持,与 wireshark 跟踪的结果一致。跟踪的详细步骤如下:22 通过去查 3GPP 的定义文档发现 SUPI 的定义如下:而出错时 SUPI 的格式为 6,为未定义的类型。确定出错原因后接着分析出错的代码,找到 c
31、onv.c 报错的代码段:也就是说在 nas 库中是做了 SUPI 格式不正确的处理的。根据上面的 coredumped 也可以知道出错时跳出来 conv.c 的流程继续执行,在context.c 的 amf_ue_set_suci 调用时系统发生了崩溃。4.3.5 修复建议 实际上 conv.c 已经对 SUPI 的类型做了容错处理,但是 open5gs 在其他地方并 23 未做同样的容错处理。搜索相关代码:需要在上述的调用前做同样的容错处理,防止 SUPI 类型错误后依旧往下执行。Open5gs 也给了最新的完整的 patch,和以上的分析也是一样的:AMF amf_ue_set_suci
32、:Assertion suci(#2567)open5gs/open5gsdcdf821 4.3.6 总结 Open5gs 作为一个飞速发展的开源项目,实现了很复杂的 5G 网络,必然会有很多的未发现漏洞。5Greplay 作为一个依靠 DPI 的 fuzz 工具可以使用它做更多 5G 协议 fuzz 的工作,但在 5G 协议解析上还是比较弱的状态。依赖 5Greplay 可以减少我们去 fuzz 的工作量和测试速度,将精力放在 5G 协议解析上去,实现对更多协议项的 fuzz。24 五、5G 安全总结和解决方案 5.1 安全总结 从 5G 安全角度来看,5G 安全的核心问题如下:软件化和服务
33、化导致的攻击面暴露,例如 SDN 和 NFV 等。5G 与垂直行业融合带来的 IT,OT 和 CT 交织问题,包括 5G Lan,5G 切片等。5G 网络开放带来的安全边界模糊。5G 业务复杂带来的终端认证困难。5G 高速网络带来的威胁快速传播。5G 与 3G、4G 网络的长期兼容性问题,例如 NSA(Non-Stand Alone)架构。5G 到 6G 标准的持续演进,万物互联对安全的要求越来越高,例如 5G-Advanced RedCap,5G Open Gateway,Open Architecture,Open RAN,Cloud&Edge。通过本次针对 PFCP 协议的安全性研究,可
34、以认识到:在 5G 网络和垂直行业的深度融合过程中,伴随 UPF 下沉,企业安全面临严峻挑战。在本次研究中,通过模糊测试,发现 Open5gs 存在若干安全隐患。这也是 5G 垂直行业面临的主要安全问题,特别是在电力,港口,矿山和工业互联网等领域。25 解决此类安全问题,应该总体管理,重点突出,既要考虑整体网络的安全稳定且可用,又要着力提高边界网元的安全性。除了下面两项基础的原则之外,接下来会重点介绍一下亚信安全的 5G 解决方案。(1)尽量减少网络暴露面和攻击面,缩小重点监控范围,避免被攻击者从互联网或内网边界直接或间接访问到 5G 核心网元;(2)UPF,MEC 等下沉网元,应该内置或配置
35、完整的安全机制,此类机制应该具备网络流量监控、异常行为拦截、安全基线维护等必要能力。5.2 解决方案 5.2.1 设计理念 亚信安全作为国内领先的安全厂商,作为业内“懂网+懂云”的安全公司,亚信安全 5G 安全威胁检测与响应系统,是亚信安全重点打造的 5G 安全解决方案,依托亚信在通信和安全领域深耕多年的独特优势,站在 5G 的角度看安全,提出安全内生的概 26 念,懂 5G 更懂安全,该方案是整体的,联动的,能够从 5G 信令,用户流量,虚拟化,容器,安全边界等多个层面,提供全方位,立体式的安全防护。5.2.2 技术优势 亚信安全 5G 安全威胁检测与响应系统,具备出色的安全攻防能力,依托
36、DPI 深度包检测和防护能力,能分析 5G 信令和互联网所有相关协议,从海量数据中快速识别威胁的检测能力,并能够进行实时告警和快速响应,同时具备从底层硬件,到虚拟化,容器,再到上层业务的全方位立体防护能力,从攻击者视角出发,重点打造攻击面系统管理,同时具备强大的数据安全防护能力,阻止敏感数据的泄露。此外,还很好的满足了 5G 切片等核心业务的 HA 高可用性等泛安全类强需求。5.2.2 产品功能 亚信安全 5G 安全威胁检测与响应系统是一套统一的端到端的 SOC 解决方案,具备全面可视和全局联动的特性,同时具备网络安全防护,风险感知,事故预防和安全处置等核心能力,有效保护 5G 关键基础设施建
37、设,5G 应用安全,防护勒索病毒等各类 APT 高级威胁,确保安全风险可控,避免极端事故的发生,护航万物互联,为 5G行业应用蓬勃发展打造数字化安全底座。端到端安全 立体化安全防护 27 边缘计算安全 安全运营能力 5G 专网安全案例 28 亚信 5G 安全协同创新中心 六、参考文献 The Challenges of Fuzzing 5G Protocols|NCC Group Research Blog|Making the world safer and more secure Technical Advisory Open5GS Stack Buffer Overflow During
38、 PFCP Session Establishment on UPF(CVE-2021-41794)|NCC Group Research Blog|Making the world safer and more secure open5gs/open5gs:Open5GS is a C-language Open Source implementation for 5G Core and EPC,i.e.the core network of LTE/NR network(Release-17)()3GPP.5G Security Assurance Specification(SCAS);User Plane Function(UPF).DB/OL.2022.A Network Traffic Mutation Based.preview&related info|Mendeley(PDF)5Greplay:a 5G Network Traffic Fuzzer-Application to Attack Injection()HTTP/2 Attacks Generation using 5.preview&related info|Mendeley
浙ICP备2021020529号-1 | 浙B2-20240490 
