首页 > 范文大全 > 正文

LTE网络安全部署研究

开篇:润墨网以专业的文秘视角,为您筛选了一篇LTE网络安全部署研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

为适应lte/EPC网络的引入,解决LTE/EPC网络建设和演进中存在的安全问题,分析了LTE网络面临的安全威胁,在此基础上提出并构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案。

网络安全 LTE网络安全域划分 EPC网络安全部署 IP承载网安全部署 LTE网络边界安全部署

1 引言

随着移动通信技术的发展,3GPP标准组织启动了面向无线网络演进计划的长期演进(Long Term Evolution,LTE)以及面向核心网络演进计划的系统框架演进(System Architecture Evolution,SAE)项目,以满足高用户数据速率、大系统容量、无缝覆盖的网络演进需求。

LTE网络架构变化为移动通信发展带来新的契机。与此同时,扁平的网络结构、全IP化的网络等特征也为LTE网络带来一定的安全威胁。

为适应LTE/EPC网络的引入,解决LTE/EPC网络建设和演进中存在的安全问题,本文将从LTE网络演进特点及LTE网络安全威胁分析入手,通过分析LTE网络面临的安全威胁,探索并提出LTE网络安全部署解决方案。

2 LTE网络安全威胁分析

LTE/SAE的关键特性主要表现为:

(1)网络架构全面分组化:网络全IP化,只有分组域,语音业务由分组域配合IMS域提供,提升网络效率和性能。

(2)网络架构扁平化:网络结构趋于简单,通过S-GW和P-GW的可选合设达到网络扁平化的目的,简化网络部署,缩短时延。

(3)支持多接入技术:支持与现有3GPP系统的互通,同时支持非3GPP网络的接入,支持用户在3GPP及非3GPP网络间的漫游和切换。

(4)高速率:峰值速率可以达到下行100Mbit/s,上行50Mbit/s。

(5)部署快:由于网络的简单化,可以快速部署网络,以适应业务不断丰富化发展的趋势。

LTE网络结构和业务的特征如图1所示。

由于LTE网络架构和业务特征的变化,使得LTE网络面临特定的安全威胁,主要表现在以下几个方面:

(1)扁平的网络结构

缺少对在回传网上的数据的保护,数据存在泄漏风险;来自终端和eNB的攻击可直达EPC。

(2)全IP化

无连接及开放的IP网络使攻击更容易;IP网络的安全问题将被引入LTE网络。

(3)高带宽与终端智能化

高带宽使得攻击移动终端成为可能,移动终端面临成为DDoS的攻击工具的风险;终端的智能化及应用的多样化,使得信令风暴愈演愈烈,针对SCTP和GTP的攻击增多。

3 LTE网络安全部署方案

针对LTE网络安全威胁,需要全面考虑LTE网络安全问题,设计LTE网络安全部署方案。根据LTE网络安全建设需求,构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案,如图2所示。

3.1 LTE网络安全域

通过划分安全域,能够在一定程度上隔离/减轻各安全域之间安全威胁的扩散或相互影响,从而提高全网的安全性、可靠性和可控性。

安全域划分的原则为,划分在同一安全域内的网络设备需要具有相同的安全保护需求、安全保护等级、安全访问控制策略、边界控制策略,各网络设备之间能相互信任。

据此,可将LTE网络划分为6个安全域:

(1)E-UTRAN安全域,包括eNB、PTN、CE、SEG。

(2)核心网安全域,包括MME、S-GW、P-GW、BG、CE、DNS。

(3)计费安全域,包括CG、计费服务器。

(4)用户信息安全域,包括HSS、BOSS前置机。

(5)互联网安全域,包括互联网接入路由器。

(6)OMC安全域,包括LTE网管服务器、工作终端、安全管理设备、防火墙以及组成本域网络的数据通信设备等。

3.2 LTE网络边界安全

LTE网络边界安全包括LTE核心网与OMC之间、LTE核心网与互联网之间、LTE核心网与其他PLMN之间的安全3个部分。

(1)LTE核心网与OMC之间

LTE核心网与OMC之间网元需要配置单独的物理接口,与其它业务流量独立;为防止对核心网设备的攻击,需要在OMC接口配置严格的授权访问机制,同时在核心网端进行状态检测和设置ACL包过滤机制。

(2)LTE核心网与互联网之间

LTE核心网与互联网边界配置防火墙,防火墙及安全策略为:在防火墙安全区,配置包过滤,建议采用状态防火墙;针对外网对内网的攻击,配置针对典型攻击的安全策略;在核心网与出口路由器之间进行路由控制,防止泄漏核心网的内部拓扑信息。

(3)LTE核心网与其他PLMN之间

LTE核心网与其他PLMN之间的安全涉及S8、S9和S10等接口,在边界部署BG、防火墙等设备,控制GTP、DNS、路由数据的传输,防止来自其它PLMN的安全问题。

边界防护策略主要有ACL包过滤(可用防火墙实现);IP攻击防护(可用防火墙实现);支持GTP协议解析功能的防火墙;采用加密的动态路由协议等。

3.3 EPC网络安全

EPC网络安全包括业务安全机制和设备安全这2个方面。

(1)业务安全机制

NAS层、IRAT互操作的安全机制符合3GPP TS 33.401要求。接入控制:NAS信令完整性和机密性保护、AKA、GUTI分配、IMEI识别等;EUTRAN内和EUTRAN和GERAN/UTRAN之间切换场景下的安全机制;支持UE IP地址反盗用功能(Anti-spoofing)。

(2)设备安全机制

设备安全机制涵盖管理面、控制面以及用户面。管理面的安全保护主要是安全的网管连接,特别是远程连接,同时管理用户的认证、授权和审计;控制面的安全保护主要为设备防火墙,关闭不必要的端口,开启路由协议的安全认证;用户面的安全保护主要为采用访问控制列表(ACL),对攻击流量进行有效限制和跟踪。

3.4 IP承载网安全

IP承载网安全主要包括业务接入安全策略和协议保护2个方面。

(1)业务接入安全策略

采取措施以充分保证业务系统接入IP承载网的安全。业务之间通过MPLS VPN进行隔离;应用系统配置防病毒软件,关键业务节点应通过防火墙保护;IP承载网应采取路由过滤、路由限制、流量过滤、uRPF相关的安全措施控制流量冲击带来的安全风险,以保证PE的安全。

(2)协议保护措施

BGP保护

限定合法PEER路由器IP地址和所在AS号;在Access端口上采用严格反向路径查找技术,过滤来自其他网络的伪造源地址的BGP攻击包,对不能支持严格反向路径查找的设备,通过ACL过滤源地址实现类似功能;在所有Access端口上采用分组过滤策略拒绝非法的EBGP协议数据包[1]。

NTP保护

IP承载网通过分组过滤限制从外网进入承载网的NTP数据包,同时在NTP会话上进行MD5认证[2]。

组播保护

Access端口上利用分组过滤技术缺省禁止组播数据流,对MSDP进行MD5认证,在RP上对SA消息进行过滤。

SNMP

实施MD5认证和DES加密,通过MIB View限制对包含大数据量的表类型变量的访问(路由表和CEF表)[2]。

3.5 网络操作安全管理

网络操作安全管理涵盖对网络管理员、网络口令、网络功能端口的管理和安全策略。

(1)网络管理员

对网络管理员进行分权和分级制,对网络访问的权限进行严格控制,避免由内部管理员误操作带来的安全隐患;高级网管员可以修改配置、删除账号;低级管理员只能察看网管界面,不能做任何改动。

(2)网络口令管理

对设备的访问实施AAA集中管理控制,避免采用设备本身的认证;采用TACACS+等加密的认证方式,保证用户名和密码在网上的传递是经过加密的[1],采用One-Time密码,防止密码强制攻击等手段;同时网络口令需要有审计的功能,防止密码被盗用的现象发生。

(3)网络功能和端口

根据应用的不同,关闭不必要的端口和功能(如ICMP Redirect、Direct Broadcast、Proxy ARP),防止利用这些功能攻击网络系统。

4 结束语

LTE网络架构变化为移动通信发展带来新的契机,与此同时,扁平的网络结构、全IP化的网络等特征也为LTE网络带来一定的安全威胁。为适应LTE/EPC网络的引入,解决LTE/EPC网络建设和演进中存在的安全问题,分析了LTE网络面临的安全威胁,在此基础上提出并构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案。网络安全攻防技术动态演进发展,因此网络安全部署需要不断升级改造,随着LTE网络的建设运营及移动网络攻击技术的变化,未来可能出现新的安全问题,因此需要不断跟进和进一步深入研究网络安全部署方案。

参考文献:

[1] 林秋辉. 城域网设计方案研究[D]. 北京: 北京邮电大学, 2010.

[2] 左爽. 联通IP承载网规划与设计[D]. 天津: 天津大学, 2007.

[3] 3GPP TS 23.401. Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access[S]. 2013.

[4] 3GPP TS 33.401. 3GPP System Architecture Evolution (SAE); Security Architecture[S]. 2013.

[5] 3GPP TS 33.310. Network Domain Security (NDS)[S]. 2013.

[6] 3GPP TS 33.210. 3G Security Network Domain Security IP Network Layer Security[S]. 2013.

[7] 方颉翔,蒋睿,石清泉. LTE网间切换安全机制的形式化分析[J]. 东南大学学报:自然科学版, 2011(1): 6-10.

[8] 邵震,曹敏,李一明. LTE的新技术展望[J]. 电信科学, 2013(2): 8-12.