LTE传输安全组网技术及规划要点.docVIP

LTE传输安全组网技术及规划要点 　　【摘 要】在LTE网络中，eNodeB回传采用IP分组承载传送网。IP网络除了简单灵活、扁平化、完全开放等特点外，还使承载的业务面临各种信息安全问题。通过详细分析802.1x、IPSec、SSL和PKI等传输安全关键技术，提出了不同层次的传输安全保护组网建议，以解决eNodeB与EPC核心网之间的通信安全问题。 　　【关键词】LTE 802.1x IPSec SSL PKI 　　1 引言 　　由于IP方式组网灵活、带宽扩容成本低，是未来传输组网的趋势。但是，作为LTE无线回传网络来说弊端也多，其存在的主要安全威胁如下： 　　（1）eNodeB接入层：伪造eNodeB接入运营商网络，对网络上的其他设备进行攻击。 　　（2）S1/X2接口：泄露、讹用、篡改信息，窃取传输网络中的切换数据，获取重要用户信息或篡改相关内容。 　　（3）OM网管通道：截获OM接口传递的基站重要信息，进行盗窃或删除基站配置文件、版本信息。 　　2 IP传输常见的安全解决方式 　　针对上述威胁点，IP网络常用的安全解决方式如表1所示： 　　（1）接入层对应数据链路层，采用802.1x，通过RADIUS服务器的认证，可以防止非法eNodeB接入到运营商网络。 　　（2）汇聚层对应网络层，采用IPSec，通过安全网关进行身份认证，建立IPSec隧道，来保护（S1/X2/OM）接口数据流的传输安全。 　　（3）核心、汇聚层对应传输层到应用层之间，采用SSL，为OM网管数据提供机密性保护、数据完整性保护以及身份认证机制。 　　3 传输安全关键技术 　　3.1 802.1x技术 　　802.1x技术提供eNodeB和接入层LAN交换机间的基于设备证书认证。通过对eNodeB的MAC地址进行认证，限制未经认证的设备接入网络。802.1x认证接入控制系统的组成包括：客户端（eNodeB）、认证接入设备（接入层LAN交换机）、认证服务器（RADIUS），如图2所示。 　　初始接入时eNodeB未经过认证，eNodeB的数字证书承载在EAPoL报文中通过接入设备的不受控端口发送给RADIUS服务器，RADIUS服务器根据配置的根CA证书对eNodeB进行认证。认证通过后对受控端口进行授权，S1/X2数据才可以经授权端口正常通过，从而达到合法用户接入、保护网络安全的目的。 　　3.2 IPSec技术 　　（1）密钥交换协议IKE 　　IKE可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec SA，为需要加密和认证的通信双方提供算法、密钥协商服务，用于eNodeB动态建立IPSec SA。通过策略协商、DH交换、对端身份认证这三次交换完成IKE安全联盟的建立。 　　IKE认证方法包括预共享密钥认证和数字证书认证，具体如下： 　　1）预共享密钥认证是指通信双方使用相同的密钥，验证对端身份。eNodeB基站侧通过预置预共享密钥实现合法入网。 　　2）通过CA数字证书认证，网络需要部署PKI系统。 　　（2）IPSec流程 　　IPSec技术可保护eNodeB的X2、S1-MME、S1-U、OM网管接口。协议族包括IKE、ESP、AH等。IPSec通过IKE协议完成密钥协商以及身份认证，进一步通过ESP/AH安全协议、加密算法、加密密钥进行数据的加密和封装。 　　IPSec技术的核心是IPSec SA安全联盟，由IKE动态建立，具体流程如下： 　　第一阶段：通信对等体建立一个已通过安全认证的通道，即IKE SA； 　　第二阶段：利用已创建的IKE SA来协商创建具体的IPSec SA； 　　第三阶段：数据通信时IPSec本端对数据加密，接收端对数据进行解密。 　　IPSec SA具有生存周期，如果达到指定的生存周期LTS，则IPSec SA就会失效。IPSec SA失效前，IKE将为IPSec协商建立新的SA。 　　3.3 SSL技术 　　SSL主要保护应用层协议如HTTP、FTP、TELNET等，它们均透明地建立于SSL协议之上，在应用层协议通信之前SSL就完成加密、通信密钥的协商以及认证工作，从而保证通信的机密性。 　　SSL为在eNodeB与网管之间的OM和FTP通信提供安全的数据传输通道，保护远端运维的安全性。eNodeB通信中SSL连接过程如下： 　　（1）eNodeB与网管系统之间建立TCP连接。 　　（2）网管系统作为SSL的客户端向基站发起SSL握手过程。 　　（3）SSL握手并认证成功后，eNodeB与网管之间建立基于SSL保护的OM通道。 　　3.4 PKI技术 　　PKI系统主要是为网络提供密钥和数字证书管理，应用于eNodeB和安全网