LTE传输安全组网技术及规划要点.docxVIP

LTE传输安全组网技术及规划要点

熊伟;刘智奋;林超文

【摘要】在LTE网络中，eNodeB回传采用IP分组承载传送网。IP网络除了简单灵活、扁平化、完全开放等特点外，还使承载的业务面临各种信息安全问题。通过详细分析802.1x、IPSec、SSL和PKI等传输安全关键技术，提出了不同层次的传输安全保护组网建议，以解决eNodeB与EPC核心网之间的通信安全问题。%TheeNodeBusesIPpackettransportnetworktoreturninLTEnetworks.IPnetworkissimpleandflexible,flatteningandcompletelyopen,however,italsomakesthecarryingbusinessfacemanysecurityproblems.Byanalyzingsometransmissionsecuritytechnologies,suchas802.1x,IPSec,SSLandPKI,somenetworkingsuggestionsaboutprotectingthetransmissionsecuritywithdifferentlevelsareprovidedtosolvecommunicationsecurityproblemsbetweeneNodeBandEPCcorenetwork.

【期刊名称】《移动通信》

【年(卷),期】2014(000)012

【总页数】5页(P15-19)

【关键词】LTE;802.1x;IPSec;SSL;PKI

【作者】熊伟;刘智奋;林超文

【作者单位】广州杰赛科技股份有限公司，广东广州510310;广州杰赛科技股份有限公司，广东广州510310;广州杰赛科技股份有限公司，广东广州510310

【正文语种】中文

【中图分类】TN915.41

1引言

由于IP方式组网灵活、带宽扩容成本低，是未来传输组网的趋势。但是，作为LTE无线回传网络来说弊端也多，其存在的主要安全威胁如下：

（1）eNodeB接入层：伪造eNodeB接入运营商网络，对网络上的其他设备进行攻击。

（2）S1/X2接口：泄露、讹用、篡改信息，窃取传输网络中的切换数据，获取重要用户信息或篡改相关内容。

（3）OM网管通道：截获OM接口传递的基站重要信息，进行盗窃或删除基站配置文件、版本信息。

2IP传输常见的安全解决方式

针对上述威胁点，IP网络常用的安全解决方式如表1所示：

表1IP传送网安全措施表威胁点安全措施部署要求eNodeB接入点802.1x与eNodeB直连的交换机支持802.1x部署RADIUS服务器、部署PKI系统S1/X2接口IPSec部署SeGW网关如果采用数字证书认证方式，则需要部署PKI（数字证书系统）OM网管通道SSLSSL+IPSec如果OM通道要应用IPSec，则需要部署SeGW如果采用数字证书认证方式，则需要部署PKI（数字证书系统）

三种主流安全技术对应OSI七层模型如图1所示。

目前eNodeB回传通过分组承载传送网，采用的安全技术和OSI模型对应分析如下：

（1）接入层对应数据链路层，采用802.1x，通过RADIUS服务器的认证，可以防止非法eNodeB接入到运营商网络。

（2）汇聚层对应网络层，采用IPSec，通过安全网关进行身份认证，建立IPSec隧道，来保护（S1/X2/OM）接口数据流的传输安全。

（3）核心、汇聚层对应传输层到应用层之间，采用SSL，为OM网管数据提供机密性保护、数据完整性保护以及身份认证机制。

3传输安全关键技术

3.1802.1x技术

802.1x技术提供eNodeB和接入层LAN交换机间的基于设备证书认证。通过对eNodeB的MAC地址进行认证，限制未经认证的设备接入网络。802.1x认证接入控制系统的组成包括：客户端（eNodeB）、认证接入设备（接入层LAN交换机）、认证服务器（RADIUS），如图2所示。

初始接入时eNodeB未经过认证，eNodeB的数字证书承载在EAPoL报文中通过接入设备的不受控端口发送给RADIUS服务器，RADIUS服务器根据配置的根CA证书对eNodeB进行认证。认证通过后对受控端口进行授权，S1/X2数据才可以经授权端口正常通过，从而达到合法用户接入、保护网络安全的目的。

3.2IPSec技术

（1）密钥交换协议IKE

IKE可以在不安全的网络上安全地分发密钥、验证身份、建立IPSecSA，为需要加密和认证的通信双方提供算法、密钥协商服务，用于e