【資料名稱】：LTE網(wǎng)絡(luò)安全部署研究

【資料作者】：中國聯(lián)合網(wǎng)絡(luò)通信有限公司網(wǎng)絡(luò)技術(shù)研究院

【資料日期】：2014

【資料語言】：中文

【資料格式】：PDF

【資料目錄和簡介】：

1 引言
隨著移動通信技術(shù)的發(fā)展，3GPP標(biāo)準(zhǔn)組織啟動
了面向無線網(wǎng)絡(luò)演進(jìn)計劃的長期演進(jìn)（Lon g T e r m
Evolution，LTE）以及面向核心網(wǎng)絡(luò)演進(jìn)計劃的系統(tǒng)
框架演進(jìn)（System Architecture Evolution，SAE）項
目，以滿足高用戶數(shù)據(jù)速率、大系統(tǒng)容量、無縫覆蓋
的網(wǎng)絡(luò)演進(jìn)需求。
L T E 網(wǎng)絡(luò)架構(gòu)變化為移動通信發(fā)展帶來新的契
機(jī)。與此同時，扁平的網(wǎng)絡(luò)結(jié)構(gòu)、全I(xiàn)P化的網(wǎng)絡(luò)等特
征也為LTE網(wǎng)絡(luò)帶來一定的安全威脅。
為適應(yīng)LTE/EPC網(wǎng)絡(luò)的引入，解決LTE/EPC網(wǎng)絡(luò)
建設(shè)和演進(jìn)中存在的安全問題，本文將從LTE網(wǎng)絡(luò)演
進(jìn)特點及LTE網(wǎng)絡(luò)安全威脅分析入手，通過分析LTE網(wǎng)絡(luò)面臨的安全威脅，探索并提出LTE網(wǎng)絡(luò)安全部署
解決方案。
2 LTE網(wǎng)絡(luò)安全威脅分析
LTE/SAE的關(guān)鍵特性主要表現(xiàn)為：
（1）網(wǎng)絡(luò)架構(gòu)全面分組化：網(wǎng)絡(luò)全I(xiàn)P化，只有分
組域，語音業(yè)務(wù)由分組域配合IMS域提供，提升網(wǎng)絡(luò)
效率和性能。
（2）網(wǎng)絡(luò)架構(gòu)扁平化：網(wǎng)絡(luò)結(jié)構(gòu)趨于簡單，通過
S-GW和P-GW的可選合設(shè)達(dá)到網(wǎng)絡(luò)扁平化的目的，
簡化網(wǎng)絡(luò)部署，縮短時延。
（ 3 ） 支持多接入技術(shù)： 支持與現(xiàn)有3 G P P 系統(tǒng)
的互通，同時支持非3GPP網(wǎng)絡(luò)的接入，支持用戶在
3GPP及非3GPP網(wǎng)絡(luò)間的漫游和切換。
（4）高速率：峰值速率可以達(dá)到下行100Mbit/s，
上行50Mbit/s。
（5）部署快：由于網(wǎng)絡(luò)的簡單化，可以快速部署網(wǎng)絡(luò)，以適應(yīng)業(yè)務(wù)不斷豐富化發(fā)展的趨勢。
LTE網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)的特征如圖1所示。
由于LTE網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)特征的變化，使得LTE
網(wǎng)絡(luò)面臨特定的安全威脅，主要表現(xiàn)在以下幾個方
面：
（1）扁平的網(wǎng)絡(luò)結(jié)構(gòu)
缺少對在回傳網(wǎng)上的數(shù)據(jù)的保護(hù)，數(shù)據(jù)存在泄漏
風(fēng)險；來自終端和eNB的攻擊可直達(dá)EPC。
（2）全I(xiàn)P化
無連接及開放的IP網(wǎng)絡(luò)使攻擊更容易；IP網(wǎng)絡(luò)的
安全問題將被引入LTE網(wǎng)絡(luò)。
（3）高帶寬與終端智能化
高帶寬使得攻擊移動終端成為可能，移動終端面
臨成為DDoS的攻擊工具的風(fēng)險；
終端的智能化及應(yīng)用的多樣化，使
得信令風(fēng)暴愈演愈烈，針對SCTP
和GTP的攻擊增多。

3 LTE網(wǎng)絡(luò)安全部署方案
針對LTE網(wǎng)絡(luò)安全威脅，需要
全面考慮LTE網(wǎng)絡(luò)安全問題，設(shè)計
LTE網(wǎng)絡(luò)安全部署方案。根據(jù)LTE
網(wǎng)絡(luò)安全建設(shè)需求，構(gòu)建涵蓋LTE
網(wǎng)絡(luò)安全域劃分、EPC網(wǎng)絡(luò)安全部
署、IP承載網(wǎng)安全部署、LTE網(wǎng)絡(luò)
邊界安全部署的整體網(wǎng)絡(luò)安全部署
方案，如圖2所示。
3.1 LTE網(wǎng)絡(luò)安全域
通過劃分安全域， 能夠在一
定程度上隔離/ 減輕各安全域之間
安全威脅的擴(kuò)散或相互影響，從而
提高全網(wǎng)的安全性、可靠性和可控
性。
安全域劃分的原則為， 劃分
在同一安全域內(nèi)的網(wǎng)絡(luò)設(shè)備需要
具有相同的安全保護(hù)需求、安全
保護(hù)等級、安全訪問控制策略、
邊界控制策略， 各網(wǎng)絡(luò)設(shè)備之間能相互信任。
據(jù)此，可將LTE網(wǎng)絡(luò)劃分為6個安全域：
（ 1 ） E - U T R A N 安全域， 包括e N B 、P T N 、
CE、SEG。
（ 2） 核心網(wǎng)安全域， 包括M M E 、S - G W 、
P-GW、BG、CE、DNS。
（3 ）計費安全域，包括CG、計費服務(wù)器。
（ 4 ） 用戶信息安全域， 包括H S S 、B O S S 前置
機(jī)。
（5）互聯(lián)網(wǎng)安全域，包括互聯(lián)網(wǎng)接入路由器。
（ 6）OMC安全域，包括LTE網(wǎng)管服務(wù)器、工作
終端、安全管理設(shè)備、防火墻以及組成本域網(wǎng)絡(luò)的數(shù)
據(jù)通信設(shè)備等。

。。。。。。。。

[ 本帖最后由 chunjie.easy 于 2015-5-26 22:58 編輯 ]