【資料名稱】：LTE網(wǎng)絡(luò)安全部署研究

【資料作者】：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司網(wǎng)絡(luò)技術(shù)研究院

【資料日期】：2014

【資料語(yǔ)言】：中文

【資料格式】：PDF

【資料目錄和簡(jiǎn)介】：

1 引言
隨著移動(dòng)通信技術(shù)的發(fā)展，3GPP標(biāo)準(zhǔn)組織啟動(dòng)
了面向無(wú)線網(wǎng)絡(luò)演進(jìn)計(jì)劃的長(zhǎng)期演進(jìn)（Lon g T e r m
Evolution，LTE）以及面向核心網(wǎng)絡(luò)演進(jìn)計(jì)劃的系統(tǒng)
框架演進(jìn)（System Architecture Evolution，SAE）項(xiàng)
目，以滿足高用戶數(shù)據(jù)速率、大系統(tǒng)容量、無(wú)縫覆蓋
的網(wǎng)絡(luò)演進(jìn)需求。
L T E 網(wǎng)絡(luò)架構(gòu)變化為移動(dòng)通信發(fā)展帶來(lái)新的契
機(jī)。與此同時(shí)，扁平的網(wǎng)絡(luò)結(jié)構(gòu)、全I(xiàn)P化的網(wǎng)絡(luò)等特
征也為L(zhǎng)TE網(wǎng)絡(luò)帶來(lái)一定的安全威脅。
為適應(yīng)LTE/EPC網(wǎng)絡(luò)的引入，解決LTE/EPC網(wǎng)絡(luò)
建設(shè)和演進(jìn)中存在的安全問(wèn)題，本文將從LTE網(wǎng)絡(luò)演
進(jìn)特點(diǎn)及LTE網(wǎng)絡(luò)安全威脅分析入手，通過(guò)分析LTE網(wǎng)絡(luò)面臨的安全威脅，探索并提出LTE網(wǎng)絡(luò)安全部署
解決方案。
2 LTE網(wǎng)絡(luò)安全威脅分析
LTE/SAE的關(guān)鍵特性主要表現(xiàn)為：
（1）網(wǎng)絡(luò)架構(gòu)全面分組化：網(wǎng)絡(luò)全I(xiàn)P化，只有分
組域，語(yǔ)音業(yè)務(wù)由分組域配合IMS域提供，提升網(wǎng)絡(luò)
效率和性能。
（2）網(wǎng)絡(luò)架構(gòu)扁平化：網(wǎng)絡(luò)結(jié)構(gòu)趨于簡(jiǎn)單，通過(guò)
S-GW和P-GW的可選合設(shè)達(dá)到網(wǎng)絡(luò)扁平化的目的，
簡(jiǎn)化網(wǎng)絡(luò)部署，縮短時(shí)延。
（ 3 ） 支持多接入技術(shù)： 支持與現(xiàn)有3 G P P 系統(tǒng)
的互通，同時(shí)支持非3GPP網(wǎng)絡(luò)的接入，支持用戶在
3GPP及非3GPP網(wǎng)絡(luò)間的漫游和切換。
（4）高速率：峰值速率可以達(dá)到下行100Mbit/s，
上行50Mbit/s。
（5）部署快：由于網(wǎng)絡(luò)的簡(jiǎn)單化，可以快速部署網(wǎng)絡(luò)，以適應(yīng)業(yè)務(wù)不斷豐富化發(fā)展的趨勢(shì)。
LTE網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)的特征如圖1所示。
由于LTE網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)特征的變化，使得LTE
網(wǎng)絡(luò)面臨特定的安全威脅，主要表現(xiàn)在以下幾個(gè)方
面：
（1）扁平的網(wǎng)絡(luò)結(jié)構(gòu)
缺少對(duì)在回傳網(wǎng)上的數(shù)據(jù)的保護(hù)，數(shù)據(jù)存在泄漏
風(fēng)險(xiǎn)；來(lái)自終端和eNB的攻擊可直達(dá)EPC。
（2）全I(xiàn)P化
無(wú)連接及開(kāi)放的IP網(wǎng)絡(luò)使攻擊更容易；IP網(wǎng)絡(luò)的
安全問(wèn)題將被引入LTE網(wǎng)絡(luò)。
（3）高帶寬與終端智能化
高帶寬使得攻擊移動(dòng)終端成為可能，移動(dòng)終端面
臨成為DDoS的攻擊工具的風(fēng)險(xiǎn)；
終端的智能化及應(yīng)用的多樣化，使
得信令風(fēng)暴愈演愈烈，針對(duì)SCTP
和GTP的攻擊增多。

3 LTE網(wǎng)絡(luò)安全部署方案
針對(duì)LTE網(wǎng)絡(luò)安全威脅，需要
全面考慮LTE網(wǎng)絡(luò)安全問(wèn)題，設(shè)計(jì)
LTE網(wǎng)絡(luò)安全部署方案。根據(jù)LTE
網(wǎng)絡(luò)安全建設(shè)需求，構(gòu)建涵蓋LTE
網(wǎng)絡(luò)安全域劃分、EPC網(wǎng)絡(luò)安全部
署、IP承載網(wǎng)安全部署、LTE網(wǎng)絡(luò)
邊界安全部署的整體網(wǎng)絡(luò)安全部署
方案，如圖2所示。
3.1 LTE網(wǎng)絡(luò)安全域
通過(guò)劃分安全域， 能夠在一
定程度上隔離/ 減輕各安全域之間
安全威脅的擴(kuò)散或相互影響，從而
提高全網(wǎng)的安全性、可靠性和可控
性。
安全域劃分的原則為， 劃分
在同一安全域內(nèi)的網(wǎng)絡(luò)設(shè)備需要
具有相同的安全保護(hù)需求、安全
保護(hù)等級(jí)、安全訪問(wèn)控制策略、
邊界控制策略， 各網(wǎng)絡(luò)設(shè)備之間能相互信任。
據(jù)此，可將LTE網(wǎng)絡(luò)劃分為6個(gè)安全域：
（ 1 ） E - U T R A N 安全域， 包括e N B 、P T N 、
CE、SEG。
（ 2） 核心網(wǎng)安全域， 包括M M E 、S - G W 、
P-GW、BG、CE、DNS。
（3 ）計(jì)費(fèi)安全域，包括CG、計(jì)費(fèi)服務(wù)器。
（ 4 ） 用戶信息安全域， 包括H S S 、B O S S 前置
機(jī)。
（5）互聯(lián)網(wǎng)安全域，包括互聯(lián)網(wǎng)接入路由器。
（ 6）OMC安全域，包括LTE網(wǎng)管服務(wù)器、工作
終端、安全管理設(shè)備、防火墻以及組成本域網(wǎng)絡(luò)的數(shù)
據(jù)通信設(shè)備等。

。。。。。。。。

[ 本帖最后由 chunjie.easy 于 2015-5-26 22:58 編輯 ]