【摘 要】在LTE網(wǎng)絡(luò)中，eNodeB回傳采用IP分組承載傳送網(wǎng)。IP網(wǎng)絡(luò)除了簡(jiǎn)單靈活、扁平化、完全開(kāi)放等特點(diǎn)外，還使承載的業(yè)務(wù)面臨各種信息安全問(wèn)題。通過(guò)詳細(xì)分析802.1x、IPSec、SSL和PKI等傳輸安全關(guān)鍵技術(shù)，提出了不同層次的傳輸安全保護(hù)組網(wǎng)建議，以解決eNodeB與EPC核心網(wǎng)之間的通信安全問(wèn)題。

　　【關(guān)鍵詞】通信技術(shù)論文發(fā)表,LTE,802.1x,IPSec,SSL,PKI

　　1 引言

　　由于IP方式組網(wǎng)靈活、帶寬擴(kuò)容成本低，是未來(lái)傳輸組網(wǎng)的趨勢(shì)。但是，作為L(zhǎng)TE無(wú)線回傳網(wǎng)絡(luò)來(lái)說(shuō)弊端也多，其存在的主要安全威脅如下：

　　(1)eNodeB接入層：偽造eNodeB接入運(yùn)營(yíng)商網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)上的其他設(shè)備進(jìn)行攻擊。

　　(2)S1/X2接口：泄露、訛用、篡改信息，竊取傳輸網(wǎng)絡(luò)中的切換數(shù)據(jù)，獲取重要用戶信息或篡改相關(guān)內(nèi)容。

　　(3)OM網(wǎng)管通道：截獲OM接口傳遞的基站重要信息，進(jìn)行盜竊或刪除基站配置文件、版本信息。

　　2 IP傳輸常見(jiàn)的安全解決方式

　　針對(duì)上述威脅點(diǎn)，IP網(wǎng)絡(luò)常用的安全解決方式如表1所示：

　　(1)接入層對(duì)應(yīng)數(shù)據(jù)鏈路層，采用802.1x，通過(guò)RADIUS服務(wù)器的認(rèn)證，可以防止非法eNodeB接入到運(yùn)營(yíng)商網(wǎng)絡(luò)。

　　(2)匯聚層對(duì)應(yīng)網(wǎng)絡(luò)層，采用IPSec，通過(guò)安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證，建立IPSec隧道，來(lái)保護(hù)(S1/X2/OM)接口數(shù)據(jù)流的傳輸安全。

　　(3)核心、匯聚層對(duì)應(yīng)傳輸層到應(yīng)用層之間，采用SSL，為OM網(wǎng)管數(shù)據(jù)提供機(jī)密性保護(hù)、數(shù)據(jù)完整性保護(hù)以及身份認(rèn)證機(jī)制。

　　3 傳輸安全關(guān)鍵技術(shù)

　　3.1 802.1x技術(shù)

　　802.1x技術(shù)提供eNodeB和接入層LAN交換機(jī)間的基于設(shè)備證書(shū)認(rèn)證。通過(guò)對(duì)eNodeB的MAC地址進(jìn)行認(rèn)證，限制未經(jīng)認(rèn)證的設(shè)備接入網(wǎng)絡(luò)。 802.1x認(rèn)證接入控制系統(tǒng)的組成包括：客戶端(eNodeB)、認(rèn)證接入設(shè)備(接入層LAN交換機(jī))、認(rèn)證服務(wù)器(RADIUS)，如圖2所示。

　　初始接入時(shí)eNodeB未經(jīng)過(guò)認(rèn)證，eNodeB的數(shù)字證書(shū)承載在EAPoL報(bào)文中通過(guò)接入設(shè)備的不受控端口發(fā)送給RADIUS服務(wù)器，RADIUS服務(wù)器根據(jù)配置的根CA證書(shū)對(duì)eNodeB進(jìn)行認(rèn)證。認(rèn)證通過(guò)后對(duì)受控端口進(jìn)行授權(quán)，S1/X2數(shù)據(jù)才可以經(jīng)授權(quán)端口正常通過(guò)，從而達(dá)到合法用戶接入、保護(hù)網(wǎng)絡(luò)安全的目的。

　　3.2 IPSec技術(shù)

　　(1)密鑰交換協(xié)議IKE

　　IKE可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建立IPSec SA，為需要加密和認(rèn)證的通信雙方提供算法、密鑰協(xié)商服務(wù)，用于eNodeB動(dòng)態(tài)建立IPSec SA。通過(guò)策略協(xié)商、DH交換、對(duì)端身份認(rèn)證這三次交換完成IKE安全聯(lián)盟的建立。

　　IKE認(rèn)證方法包括預(yù)共享密鑰認(rèn)證和數(shù)字證書(shū)認(rèn)證，具體如下：

　　1)預(yù)共享密鑰認(rèn)證是指通信雙方使用相同的密鑰，驗(yàn)證對(duì)端身份。eNodeB基站側(cè)通過(guò)預(yù)置預(yù)共享密鑰實(shí)現(xiàn)合法入網(wǎng)。

　　2)通過(guò)CA數(shù)字證書(shū)認(rèn)證，網(wǎng)絡(luò)需要部署PKI系統(tǒng)。

　　(2)IPSec流程

　　IPSec技術(shù)可保護(hù)eNodeB的X2、S1-MME、S1-U、OM網(wǎng)管接口。協(xié)議族包括IKE、ESP、AH等。IPSec通過(guò)IKE協(xié)議完成密鑰協(xié)商以及身份認(rèn)證，進(jìn)一步通過(guò)ESP/AH安全協(xié)議、加密算法、加密密鑰進(jìn)行數(shù)據(jù)的加密和封裝。

　　IPSec技術(shù)的核心是IPSec SA安全聯(lián)盟，由IKE動(dòng)態(tài)建立，具體流程如下：

　　第一階段：通信對(duì)等體建立一個(gè)已通過(guò)安全認(rèn)證的通道，即IKE SA;

　　第二階段：利用已創(chuàng)建的IKE SA來(lái)協(xié)商創(chuàng)建具體的IPSec SA;

　　第三階段：數(shù)據(jù)通信時(shí)IPSec本端對(duì)數(shù)據(jù)加密，接收端對(duì)數(shù)據(jù)進(jìn)行解密。

　　IPSec SA具有生存周期，如果達(dá)到指定的生存周期LTS，則IPSec SA就會(huì)失效。IPSec SA失效前，IKE將為IPSec協(xié)商建立新的SA。

　　3.3 SSL技術(shù)

　　SSL主要保護(hù)應(yīng)用層協(xié)議如HTTP、FTP、TELNET等，它們均透明地建立于SSL協(xié)議之上，在應(yīng)用層協(xié)議通信之前SSL就完成加密、通信密鑰的協(xié)商以及認(rèn)證工作，從而保證通信的機(jī)密性。

　　SSL為在eNodeB與網(wǎng)管之間的OM和FTP通信提供安全的數(shù)據(jù)傳輸通道，保護(hù)遠(yuǎn)端運(yùn)維的安全性。eNodeB通信中SSL連接過(guò)程如下：

　　(1)eNodeB與網(wǎng)管系統(tǒng)之間建立TCP連接。

　　(2)網(wǎng)管系統(tǒng)作為SSL的客戶端向基站發(fā)起SSL握手過(guò)程。

　　(3)SSL握手并認(rèn)證成功后，eNodeB與網(wǎng)管之間建立基于SSL保護(hù)的OM通道。

　　3.4 PKI技術(shù)

　　PKI系統(tǒng)主要是為網(wǎng)絡(luò)提供密鑰和數(shù)字證書(shū)管理，應(yīng)用于eNodeB和安全網(wǎng)關(guān)(以下簡(jiǎn)稱SeGW)之間的身份認(rèn)證、OM通道SSL建鏈時(shí)的身份認(rèn)證、 eNodeB接入時(shí)802.1x身份認(rèn)證。LTE網(wǎng)絡(luò)中PKI系統(tǒng)包括：eNodeB基站、SeGW、網(wǎng)管等;證書(shū)頒發(fā)中心CA、證書(shū)注冊(cè)中心RA、數(shù)字證書(shū)和CRL存儲(chǔ)庫(kù)。

　　CA服務(wù)器認(rèn)證eNodeB基站流程如下：

　　(1)當(dāng)PKI系統(tǒng)中部署多級(jí)CA時(shí)，多級(jí)CA的證書(shū)組成一條證書(shū)鏈。根CA的證書(shū)是證書(shū)鏈上的頂級(jí)證書(shū)，可以認(rèn)證證書(shū)鏈上的所有證書(shū)。證書(shū)鏈用于驗(yàn)證由證書(shū)鏈中最底層CA頒發(fā)的設(shè)備證書(shū)的合法性。

　　(2)如果基站的設(shè)備證書(shū)到根CA之間有一條證書(shū)鏈，對(duì)端要預(yù)置該證書(shū)鏈，IPSec認(rèn)證過(guò)程中SeGW用該證書(shū)鏈驗(yàn)證基站發(fā)送的設(shè)備證書(shū)的合法性。

　　4 傳輸安全組網(wǎng)規(guī)劃 　　4.1 非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)

　　非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)如圖3所示：

　　(1)需要在網(wǎng)絡(luò)中部署SeGW安全網(wǎng)關(guān)，SeGW上部署設(shè)備證書(shū)和根證書(shū)。

　　(2)部署PKI系統(tǒng)，CA服務(wù)器上預(yù)置設(shè)備廠家根證書(shū)。

　　(3)eNodeB與傳輸接入層之間部署802.1x認(rèn)證。

　　(4)OM網(wǎng)管通道采用IPSec+SSL技術(shù)。

　　4.2 IPSec組網(wǎng)案例

　　IPSec在應(yīng)用時(shí)需要使用SeGW功能，在LTE網(wǎng)絡(luò)中通常由MME或S-GW兼做。IPSec SA由eNodeB根據(jù)配置的IPSec安全策略和SeGW進(jìn)行IKE協(xié)商建立，形成ACL、IPSec安全提議兩個(gè)部分。eNodeB通過(guò)ACL來(lái)指定要保護(hù)的數(shù)據(jù)流;IPSec安全提議負(fù)責(zé)定義包括對(duì)數(shù)據(jù)流的封裝模式、采用的安全協(xié)議、加密算法和認(rèn)證算法。

　　IPSec負(fù)責(zé)對(duì)eNodeB的信令、業(yè)務(wù)數(shù)據(jù)流和OM數(shù)據(jù)流，以及eNodeB與CA服務(wù)器、CRL服務(wù)器之間證書(shū)管理相關(guān)的數(shù)據(jù)流提供保護(hù)。

　　eNodeB和SeGW使用數(shù)字證書(shū)進(jìn)行身份認(rèn)證，故需要在網(wǎng)絡(luò)中部署PKI系統(tǒng)和RADIUS/DHCP服務(wù)器。根據(jù)3GPP標(biāo)準(zhǔn)，CA服務(wù)器的證書(shū)請(qǐng)求響應(yīng)消息中要攜帶根證書(shū)或證書(shū)鏈，因此CA服務(wù)器上要預(yù)置設(shè)備的根證書(shū)。

　　IPSec典型組網(wǎng)如圖4所示。

　　在這種典型網(wǎng)絡(luò)中部署了RADIUS/DHCP服務(wù)器，eNodeB通過(guò)DHCP協(xié)議獲取上述OM通道信息、運(yùn)營(yíng)商CA信息、SeGW信息。DHCP是實(shí)現(xiàn)主機(jī)動(dòng)態(tài)配置的協(xié)議、配置參數(shù)的分配和分發(fā)。eNodeB獲得配置文件后，再與SeGW進(jìn)行協(xié)商建立IPSec通道。

　　實(shí)際部署中，RADIUS/DHCP服務(wù)器和OM網(wǎng)管服務(wù)器可以部署在同一硬件上，但是分不同的邏輯通信實(shí)體。

　　4.3 IPSec組網(wǎng)規(guī)劃

　　規(guī)劃步驟依次是：部署SeGW和PKI系統(tǒng);數(shù)據(jù)規(guī)劃;數(shù)據(jù)改造;基站環(huán)境檢查;修改網(wǎng)絡(luò)路由;IPSec通道和OM的建立。其中需要重點(diǎn)說(shuō)明的是：

　　(1)數(shù)據(jù)規(guī)劃是重點(diǎn)，包括：規(guī)劃SeGW的IP地址、IKE加密算法、IKE DH組、認(rèn)證方法;確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法;收集CA服務(wù)器的CA Name、簽名算法相關(guān)信息。

　　(2)基站環(huán)境檢查：是否已配置IPSec的License、是否預(yù)置設(shè)備證書(shū)和根證書(shū)。

　　(3)修改網(wǎng)絡(luò)路由：使所有需要IPSec保護(hù)的數(shù)據(jù)流先經(jīng)過(guò)SeGW再到達(dá)目的端。

　　IPSec組網(wǎng)還需要考慮安全域、認(rèn)證方式和數(shù)據(jù)流保護(hù)這三個(gè)主要因素，具體如下：

　　(1)整個(gè)網(wǎng)絡(luò)分為安全域和非安全域，IPSec只保護(hù)非安全域。通常情況下，接入網(wǎng)絡(luò)被認(rèn)為是不安全的，而核心網(wǎng)絡(luò)是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護(hù)。

　　(2)eNodeB與SeGW之間的認(rèn)證方式采用PKI認(rèn)證。

　　(3)eNodeB的數(shù)據(jù)流包括信令面、用戶面、OM通道、時(shí)鐘等數(shù)據(jù)流。在做組網(wǎng)規(guī)劃時(shí)應(yīng)識(shí)別出要保護(hù)的數(shù)據(jù)流，指定保護(hù)策略。對(duì)于OM通道，eNodeB提供IPSec+SSL保護(hù)。

　　(4)對(duì)于eNodeB之間X2接口的數(shù)據(jù)流，推薦采用集中式安全保護(hù)方式。集中式安全組網(wǎng)下，多個(gè)eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數(shù)據(jù)流利用該IPSec通道進(jìn)行安全保護(hù)。

　　4.4 IPSec的封裝模式選擇

　　IPSec數(shù)據(jù)流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護(hù)。兩者區(qū)別如下：

　　(1)隧道模式：只對(duì)原始IP數(shù)據(jù)包提供安全保護(hù)。

　　(2)傳輸模式：對(duì)IP數(shù)據(jù)包的有效載荷和高層協(xié)議提供保護(hù)。

　　IPSec封裝模式選擇考慮以下因素：

　　(1)安全性：隧道模式優(yōu)于傳輸模式，因?yàn)樗淼滥Ｊ娇梢詫?duì)原始IP報(bào)文完整地進(jìn)行加密和完整性保護(hù)。

　　(2)性能：傳輸模式優(yōu)于隧道模式，因?yàn)樗淼滥Ｊ蕉囝~外的IP頭，占用更多帶寬。

　　(3)隧道模式要求網(wǎng)絡(luò)中部署SeGW來(lái)隔離安全域和非安全域，并在SeGW上實(shí)施隧道封裝、加密、完整性保護(hù)等功能;而傳輸模式則需要通信兩端都支持IKE協(xié)商、加密、完整性保護(hù)等功能。

　　因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權(quán)衡，并根據(jù)IPSec對(duì)端所支持的模式來(lái)進(jìn)行配置。

　　4.5 IPSec通道備份組網(wǎng)規(guī)劃

　　為了保障IPSec通道的安全進(jìn)行通道的主備組網(wǎng)，分為以下兩種方式：

　　(1)eNodeB出兩個(gè)物理端口分配4個(gè)IP，與兩個(gè)SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個(gè)端口上，并啟用BFD檢測(cè)。IP1對(duì)IP2，IP3對(duì)IP4。

　　(2)eNodeB出一個(gè)端口分配3個(gè)IP，也建兩條IPSec通道，但I(xiàn)P1對(duì)應(yīng)IP2和IP3。

　　啟用IPSec通道備份功能后，兩條IPSec通道同時(shí)可用(一主一備)。對(duì)于上行傳輸，eNodeB選用主用通道;對(duì)于下行傳輸，eNodeB在主備兩條IPSec通道同時(shí)接收數(shù)據(jù)，并利用BFD檢測(cè)自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數(shù)據(jù)的傳輸切換到備用通道。

　　4.6 eNodeB級(jí)聯(lián)場(chǎng)景下IPSec組網(wǎng)

　　在特殊情況下eNodeB存在級(jí)聯(lián)，級(jí)聯(lián)eNodeB有以下兩種方式實(shí)現(xiàn)IPSec功能：

　　(1)各eNodeB-1和2獨(dú)立實(shí)現(xiàn)IPSec功能，Hub eNodeB-1負(fù)責(zé)路由轉(zhuǎn)發(fā)。

　　(2)Hub eNodeB-3統(tǒng)一提供所下掛基站的IPSec功能。

　　eNodeB級(jí)聯(lián)組網(wǎng)如圖5所示。

　　5 結(jié)束語(yǔ)

　　在數(shù)據(jù)鏈路層802.1x可以保證eNodeB合法接入;網(wǎng)絡(luò)層IPSec為eNodeB提供全程IP傳輸安全，保證數(shù)據(jù)的機(jī)密性、完整性和可用性;應(yīng)用層SSL對(duì)OM通道的數(shù)據(jù)提供加密保護(hù);三種技術(shù)完成不同層次的傳輸安全保護(hù)。本文結(jié)合筆者多年的設(shè)計(jì)經(jīng)驗(yàn)，給出了安全組網(wǎng)方案及傳輸網(wǎng)絡(luò)規(guī)劃時(shí)需要考慮的各種關(guān)鍵因素，為實(shí)際工程規(guī)劃提供了參考。

　　參考文獻(xiàn)：

　　[1] 廣州杰賽通信規(guī)劃設(shè)計(jì)院. LTE網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)手冊(cè)[M]. 北京： 人民郵電出版社， 2013.

　　[2] 周賢偉. IPSec解析[M]. 北京： 國(guó)防工業(yè)出版社， 2006.

　　[3] 藍(lán)集明，陳林. 對(duì)IPSec中AH和ESP協(xié)議的分析與建議[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2009(11)： 15-17.

　　[4] 高祥，周林. 802.1x協(xié)議及其在寬帶接入中的應(yīng)用[J]. 重慶郵電學(xué)院學(xué)報(bào)： 自然科學(xué)版， 2004(1)： 91-93.

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/tongxinlw/44589.html