LTE网络安全部署研究

文档发布

LTE网络安全部署研究

为适应LTE/EPC网络的引入，解决LTE/EPC网络建设和演进中存在的安全问题，分析了LTE网络面临的安全威胁，在此基础上提出并构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案。
（1.中国联合网络通信有限公司网络技术研究院，北京 100048；

2.中国电子科技集团公司信息科学研究院，北京 100015）

1 引言
随着移动通信技术的发展，3GPP标准组织启动
了面向无线网络演进计划的长期演进（Lon g T e r m
Evolution，LTE）以及面向核心网络演进计划的系统
框架演进（System Architecture Evolution，SAE）项
目，以满足高用户数据速率、大系统容量、无缝覆盖
的网络演进需求。
L T E 网络架构变化为移动通信发展带来新的契
机。与此同时，扁平的网络结构、全IP化的网络等特
征也为LTE网络带来一定的安全威胁。
为适应LTE/EPC网络的引入，解决LTE/EPC网络
建设和演进中存在的安全问题，本文将从LTE网络演
进特点及LTE网络安全威胁分析入手，通过分析LTE网络面临的安全威胁，探索并提出LTE网络安全部署
解决方案。
2 LTE网络安全威胁分析
LTE/SAE的关键特性主要表现为：
（1）网络架构全面分组化：网络全IP化，只有分
组域，语音业务由分组域配合IMS域提供，提升网络
效率和性能。
（2）网络架构扁平化：网络结构趋于简单，通过
S-GW和P-GW的可选合设达到网络扁平化的目的，
简化网络部署，缩短时延。
（ 3 ） 支持多接入技术： 支持与现有3 G P P 系统
的互通，同时支持非3GPP网络的接入，支持用户在
3GPP及非3GPP网络间的漫游和切换。
（4）高速率：峰值速率可以达到下行100Mbit/s，
上行50Mbit/s。
（5）部署快：由于网络的简单化，可以快速部署网络，以适应业务不断丰富化发展的趋势。
LTE网络结构和业务的特征如图1所示。
由于LTE网络架构和业务特征的变化，使得LTE
网络面临特定的安全威胁，主要表现在以下几个方
面：
（1）扁平的网络结构
缺少对在回传网上的数据的保护，数据存在泄漏
风险；来自终端和eNB的攻击可直达EPC。
（2）全IP化
无连接及开放的IP网络使攻击更容易；IP网络的
安全问题将被引入LTE网络。
（3）高带宽与终端智能化
高带宽使得攻击移动终端成为可能，移动终端面
临成为DDoS的攻击工具的风险；
终端的智能化及应用的多样化，使
得信令风暴愈演愈烈，针对SCTP
和GTP的攻击增多。

3 LTE网络安全部署方案
针对LTE网络安全威胁，需要
全面考虑LTE网络安全问题，设计
LTE网络安全部署方案。根据LTE
网络安全建设需求，构建涵盖LTE
网络安全域划分、EPC网络安全部
署、IP承载网安全部署、LTE网络
边界安全部署的整体网络安全部署
方案，如图2所示。
3.1 LTE网络安全域
通过划分安全域， 能够在一
定程度上隔离/ 减轻各安全域之间
安全威胁的扩散或相互影响，从而
提高全网的安全性、可靠性和可控
性。
安全域划分的原则为， 划分
在同一安全域内的网络设备需要
具有相同的安全保护需求、安全
保护等级、安全访问控制策略、
边界控制策略， 各网络设备之间能相互信任。
据此，可将LTE网络划分为6个安全域：
（ 1 ） E - U T R A N 安全域， 包括e N B 、P T N 、
CE、SEG。
（ 2） 核心网安全域， 包括M M E 、S - G W 、
P-GW、BG、CE、DNS。
（3 ）计费安全域，包括CG、计费服务器。
（ 4 ） 用户信息安全域， 包括H S S 、B O S S 前置
机。
（5）互联网安全域，包括互联网接入路由器。
（ 6）OMC安全域，包括LTE网管服务器、工作
终端、安全管理设备、防火墙以及组成本域网络的数
据通信设备等。

。。。。。。。。