【摘 要】在LTE網(wǎng)絡中，eNodeB回傳采用IP分組承載傳送網(wǎng)。IP網(wǎng)絡除了簡單靈活、扁平化、完全開放等特點外，還使承載的業(yè)務面臨各種信息安全問題。通過詳細分析802.1x、IPSec、SSL和PKI等傳輸安全關(guān)鍵技術(shù)，提出了不同層次的傳輸安全保護組網(wǎng)建議，以解決eNodeB與EPC核心網(wǎng)之間的通信安全問題。

　　【關(guān)鍵詞】通信技術(shù)論文發(fā)表,LTE,802.1x,IPSec,SSL,PKI

　　1 引言

　　由于IP方式組網(wǎng)靈活、帶寬擴容成本低，是未來傳輸組網(wǎng)的趨勢。但是，作為LTE無線回傳網(wǎng)絡來說弊端也多，其存在的主要安全威脅如下：

　　(1)eNodeB接入層：偽造eNodeB接入運營商網(wǎng)絡，對網(wǎng)絡上的其他設備進行攻擊。

　　(2)S1/X2接口：泄露、訛用、篡改信息，竊取傳輸網(wǎng)絡中的切換數(shù)據(jù)，獲取重要用戶信息或篡改相關(guān)內(nèi)容。

　　(3)OM網(wǎng)管通道：截獲OM接口傳遞的基站重要信息，進行盜竊或刪除基站配置文件、版本信息。

　　2 IP傳輸常見的安全解決方式

　　針對上述威脅點，IP網(wǎng)絡常用的安全解決方式如表1所示：

　　(1)接入層對應數(shù)據(jù)鏈路層，采用802.1x，通過RADIUS服務器的認證，可以防止非法eNodeB接入到運營商網(wǎng)絡。

　　(2)匯聚層對應網(wǎng)絡層，采用IPSec，通過安全網(wǎng)關(guān)進行身份認證，建立IPSec隧道，來保護(S1/X2/OM)接口數(shù)據(jù)流的傳輸安全。

　　(3)核心、匯聚層對應傳輸層到應用層之間，采用SSL，為OM網(wǎng)管數(shù)據(jù)提供機密性保護、數(shù)據(jù)完整性保護以及身份認證機制。

　　3 傳輸安全關(guān)鍵技術(shù)

　　3.1 802.1x技術(shù)

　　802.1x技術(shù)提供eNodeB和接入層LAN交換機間的基于設備證書認證。通過對eNodeB的MAC地址進行認證，限制未經(jīng)認證的設備接入網(wǎng)絡。 802.1x認證接入控制系統(tǒng)的組成包括：客戶端(eNodeB)、認證接入設備(接入層LAN交換機)、認證服務器(RADIUS)，如圖2所示。

　　初始接入時eNodeB未經(jīng)過認證，eNodeB的數(shù)字證書承載在EAPoL報文中通過接入設備的不受控端口發(fā)送給RADIUS服務器，RADIUS服務器根據(jù)配置的根CA證書對eNodeB進行認證。認證通過后對受控端口進行授權(quán)，S1/X2數(shù)據(jù)才可以經(jīng)授權(quán)端口正常通過，從而達到合法用戶接入、保護網(wǎng)絡安全的目的。

　　3.2 IPSec技術(shù)

　　(1)密鑰交換協(xié)議IKE

　　IKE可以在不安全的網(wǎng)絡上安全地分發(fā)密鑰、驗證身份、建立IPSec SA，為需要加密和認證的通信雙方提供算法、密鑰協(xié)商服務，用于eNodeB動態(tài)建立IPSec SA。通過策略協(xié)商、DH交換、對端身份認證這三次交換完成IKE安全聯(lián)盟的建立。

　　IKE認證方法包括預共享密鑰認證和數(shù)字證書認證，具體如下：

　　1)預共享密鑰認證是指通信雙方使用相同的密鑰，驗證對端身份。eNodeB基站側(cè)通過預置預共享密鑰實現(xiàn)合法入網(wǎng)。

　　2)通過CA數(shù)字證書認證，網(wǎng)絡需要部署PKI系統(tǒng)。

　　(2)IPSec流程

　　IPSec技術(shù)可保護eNodeB的X2、S1-MME、S1-U、OM網(wǎng)管接口。協(xié)議族包括IKE、ESP、AH等。IPSec通過IKE協(xié)議完成密鑰協(xié)商以及身份認證，進一步通過ESP/AH安全協(xié)議、加密算法、加密密鑰進行數(shù)據(jù)的加密和封裝。

　　IPSec技術(shù)的核心是IPSec SA安全聯(lián)盟，由IKE動態(tài)建立，具體流程如下：

　　第一階段：通信對等體建立一個已通過安全認證的通道，即IKE SA;

　　第二階段：利用已創(chuàng)建的IKE SA來協(xié)商創(chuàng)建具體的IPSec SA;

　　第三階段：數(shù)據(jù)通信時IPSec本端對數(shù)據(jù)加密，接收端對數(shù)據(jù)進行解密。

　　IPSec SA具有生存周期，如果達到指定的生存周期LTS，則IPSec SA就會失效。IPSec SA失效前，IKE將為IPSec協(xié)商建立新的SA。

　　3.3 SSL技術(shù)

　　SSL主要保護應用層協(xié)議如HTTP、FTP、TELNET等，它們均透明地建立于SSL協(xié)議之上，在應用層協(xié)議通信之前SSL就完成加密、通信密鑰的協(xié)商以及認證工作，從而保證通信的機密性。

　　SSL為在eNodeB與網(wǎng)管之間的OM和FTP通信提供安全的數(shù)據(jù)傳輸通道，保護遠端運維的安全性。eNodeB通信中SSL連接過程如下：

　　(1)eNodeB與網(wǎng)管系統(tǒng)之間建立TCP連接。

　　(2)網(wǎng)管系統(tǒng)作為SSL的客戶端向基站發(fā)起SSL握手過程。

　　(3)SSL握手并認證成功后，eNodeB與網(wǎng)管之間建立基于SSL保護的OM通道。

　　3.4 PKI技術(shù)

　　PKI系統(tǒng)主要是為網(wǎng)絡提供密鑰和數(shù)字證書管理，應用于eNodeB和安全網(wǎng)關(guān)(以下簡稱SeGW)之間的身份認證、OM通道SSL建鏈時的身份認證、 eNodeB接入時802.1x身份認證。LTE網(wǎng)絡中PKI系統(tǒng)包括：eNodeB基站、SeGW、網(wǎng)管等;證書頒發(fā)中心CA、證書注冊中心RA、數(shù)字證書和CRL存儲庫。

　　CA服務器認證eNodeB基站流程如下：

　　(1)當PKI系統(tǒng)中部署多級CA時，多級CA的證書組成一條證書鏈。根CA的證書是證書鏈上的頂級證書，可以認證證書鏈上的所有證書。證書鏈用于驗證由證書鏈中最底層CA頒發(fā)的設備證書的合法性。

　　(2)如果基站的設備證書到根CA之間有一條證書鏈，對端要預置該證書鏈，IPSec認證過程中SeGW用該證書鏈驗證基站發(fā)送的設備證書的合法性。

　　4 傳輸安全組網(wǎng)規(guī)劃 　　4.1 非安全組網(wǎng)向PKI安全組網(wǎng)演進

　　非安全組網(wǎng)向PKI安全組網(wǎng)演進如圖3所示：

　　(1)需要在網(wǎng)絡中部署SeGW安全網(wǎng)關(guān)，SeGW上部署設備證書和根證書。

　　(2)部署PKI系統(tǒng)，CA服務器上預置設備廠家根證書。

　　(3)eNodeB與傳輸接入層之間部署802.1x認證。

　　(4)OM網(wǎng)管通道采用IPSec+SSL技術(shù)。

　　4.2 IPSec組網(wǎng)案例

　　IPSec在應用時需要使用SeGW功能，在LTE網(wǎng)絡中通常由MME或S-GW兼做。IPSec SA由eNodeB根據(jù)配置的IPSec安全策略和SeGW進行IKE協(xié)商建立，形成ACL、IPSec安全提議兩個部分。eNodeB通過ACL來指定要保護的數(shù)據(jù)流;IPSec安全提議負責定義包括對數(shù)據(jù)流的封裝模式、采用的安全協(xié)議、加密算法和認證算法。

　　IPSec負責對eNodeB的信令、業(yè)務數(shù)據(jù)流和OM數(shù)據(jù)流，以及eNodeB與CA服務器、CRL服務器之間證書管理相關(guān)的數(shù)據(jù)流提供保護。

　　eNodeB和SeGW使用數(shù)字證書進行身份認證，故需要在網(wǎng)絡中部署PKI系統(tǒng)和RADIUS/DHCP服務器。根據(jù)3GPP標準，CA服務器的證書請求響應消息中要攜帶根證書或證書鏈，因此CA服務器上要預置設備的根證書。

　　IPSec典型組網(wǎng)如圖4所示。

　　在這種典型網(wǎng)絡中部署了RADIUS/DHCP服務器，eNodeB通過DHCP協(xié)議獲取上述OM通道信息、運營商CA信息、SeGW信息。DHCP是實現(xiàn)主機動態(tài)配置的協(xié)議、配置參數(shù)的分配和分發(fā)。eNodeB獲得配置文件后，再與SeGW進行協(xié)商建立IPSec通道。

　　實際部署中，RADIUS/DHCP服務器和OM網(wǎng)管服務器可以部署在同一硬件上，但是分不同的邏輯通信實體。

　　4.3 IPSec組網(wǎng)規(guī)劃

　　規(guī)劃步驟依次是：部署SeGW和PKI系統(tǒng);數(shù)據(jù)規(guī)劃;數(shù)據(jù)改造;基站環(huán)境檢查;修改網(wǎng)絡路由;IPSec通道和OM的建立。其中需要重點說明的是：

　　(1)數(shù)據(jù)規(guī)劃是重點，包括：規(guī)劃SeGW的IP地址、IKE加密算法、IKE DH組、認證方法;確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法;收集CA服務器的CA Name、簽名算法相關(guān)信息。

　　(2)基站環(huán)境檢查：是否已配置IPSec的License、是否預置設備證書和根證書。

　　(3)修改網(wǎng)絡路由：使所有需要IPSec保護的數(shù)據(jù)流先經(jīng)過SeGW再到達目的端。

　　IPSec組網(wǎng)還需要考慮安全域、認證方式和數(shù)據(jù)流保護這三個主要因素，具體如下：

　　(1)整個網(wǎng)絡分為安全域和非安全域，IPSec只保護非安全域。通常情況下，接入網(wǎng)絡被認為是不安全的，而核心網(wǎng)絡是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護。

　　(2)eNodeB與SeGW之間的認證方式采用PKI認證。

　　(3)eNodeB的數(shù)據(jù)流包括信令面、用戶面、OM通道、時鐘等數(shù)據(jù)流。在做組網(wǎng)規(guī)劃時應識別出要保護的數(shù)據(jù)流，指定保護策略。對于OM通道，eNodeB提供IPSec+SSL保護。

　　(4)對于eNodeB之間X2接口的數(shù)據(jù)流，推薦采用集中式安全保護方式。集中式安全組網(wǎng)下，多個eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數(shù)據(jù)流利用該IPSec通道進行安全保護。

　　4.4 IPSec的封裝模式選擇

　　IPSec數(shù)據(jù)流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護。兩者區(qū)別如下：

　　(1)隧道模式：只對原始IP數(shù)據(jù)包提供安全保護。

　　(2)傳輸模式：對IP數(shù)據(jù)包的有效載荷和高層協(xié)議提供保護。

　　IPSec封裝模式選擇考慮以下因素：

　　(1)安全性：隧道模式優(yōu)于傳輸模式，因為隧道模式可以對原始IP報文完整地進行加密和完整性保護。

　　(2)性能：傳輸模式優(yōu)于隧道模式，因為隧道模式多額外的IP頭，占用更多帶寬。

　　(3)隧道模式要求網(wǎng)絡中部署SeGW來隔離安全域和非安全域，并在SeGW上實施隧道封裝、加密、完整性保護等功能;而傳輸模式則需要通信兩端都支持IKE協(xié)商、加密、完整性保護等功能。

　　因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權(quán)衡，并根據(jù)IPSec對端所支持的模式來進行配置。

　　4.5 IPSec通道備份組網(wǎng)規(guī)劃

　　為了保障IPSec通道的安全進行通道的主備組網(wǎng)，分為以下兩種方式：

　　(1)eNodeB出兩個物理端口分配4個IP，與兩個SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個端口上，并啟用BFD檢測。IP1對IP2，IP3對IP4。

　　(2)eNodeB出一個端口分配3個IP，也建兩條IPSec通道，但IP1對應IP2和IP3。

　　啟用IPSec通道備份功能后，兩條IPSec通道同時可用(一主一備)。對于上行傳輸，eNodeB選用主用通道;對于下行傳輸，eNodeB在主備兩條IPSec通道同時接收數(shù)據(jù)，并利用BFD檢測自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數(shù)據(jù)的傳輸切換到備用通道。

　　4.6 eNodeB級聯(lián)場景下IPSec組網(wǎng)

　　在特殊情況下eNodeB存在級聯(lián)，級聯(lián)eNodeB有以下兩種方式實現(xiàn)IPSec功能：

　　(1)各eNodeB-1和2獨立實現(xiàn)IPSec功能，Hub eNodeB-1負責路由轉(zhuǎn)發(fā)。

　　(2)Hub eNodeB-3統(tǒng)一提供所下掛基站的IPSec功能。

　　eNodeB級聯(lián)組網(wǎng)如圖5所示。

　　5 結(jié)束語

　　在數(shù)據(jù)鏈路層802.1x可以保證eNodeB合法接入;網(wǎng)絡層IPSec為eNodeB提供全程IP傳輸安全，保證數(shù)據(jù)的機密性、完整性和可用性;應用層SSL對OM通道的數(shù)據(jù)提供加密保護;三種技術(shù)完成不同層次的傳輸安全保護。本文結(jié)合筆者多年的設計經(jīng)驗，給出了安全組網(wǎng)方案及傳輸網(wǎng)絡規(guī)劃時需要考慮的各種關(guān)鍵因素，為實際工程規(guī)劃提供了參考。

　　參考文獻：

　　[1] 廣州杰賽通信規(guī)劃設計院. LTE網(wǎng)絡規(guī)劃設計手冊[M]. 北京： 人民郵電出版社， 2013.

　　[2] 周賢偉. IPSec解析[M]. 北京： 國防工業(yè)出版社， 2006.

　　[3] 藍集明，陳林. 對IPSec中AH和ESP協(xié)議的分析與建議[J]. 計算機技術(shù)與發(fā)展， 2009(11)： 15-17.

　　[4] 高祥，周林. 802.1x協(xié)議及其在寬帶接入中的應用[J]. 重慶郵電學院學報： 自然科學版， 2004(1)： 91-93.

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/tongxinlw/44589.html