王曉鳴，夏 銘，蔣 鑫

(中國(guó)移動(dòng)通信集團(tuán)上海有限公司 上海200060)

1 簡(jiǎn)介

近年來，TD網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，用戶數(shù)量不斷增加。由于TD頻率較高，與GSM相比，信號(hào)穿透能力較差，因此室內(nèi)覆蓋成為TD網(wǎng)絡(luò)優(yōu)化的一個(gè)難點(diǎn)，一般會(huì)采用設(shè)立室內(nèi)分布系統(tǒng)的方式來實(shí)現(xiàn)室內(nèi)覆蓋。但是在現(xiàn)有條件下，室內(nèi)分布系統(tǒng)一般只能架設(shè)在一些酒店、中高檔小區(qū)或公共熱點(diǎn)場(chǎng)所。對(duì)于一般的居民小區(qū)，由于各種原因無法架設(shè)室分系統(tǒng)，因此會(huì)出現(xiàn)室內(nèi)TD信號(hào)很弱甚至根本沒有TD信號(hào)的情況，對(duì)用戶業(yè)務(wù)體驗(yàn)造成很大的影響。

TD Femto系統(tǒng)采用用戶家中的寬帶接入，通過Internet接入到安全網(wǎng)關(guān)及運(yùn)營(yíng)商的核心網(wǎng)，為用戶提供無線信號(hào)覆蓋，改善用戶體驗(yàn)，是室內(nèi)覆蓋補(bǔ)盲的一項(xiàng)重要技術(shù)。但是，由于TD Femto系統(tǒng)實(shí)際上是將運(yùn)營(yíng)商的一部分設(shè)備放在了用戶家中，因此在引入TD Femto時(shí)，必須考慮TD Femto系統(tǒng)的安全性。一般來說，TD Femto系統(tǒng)所面臨的安全威脅可以分為兩大類。

（1）從TDFemto系統(tǒng)外部發(fā)起的攻擊威脅

這類威脅主要指的是針對(duì)無線鏈路和IP鏈路的攻擊以及利用TD Femto的IP鏈路對(duì)運(yùn)營(yíng)商核心網(wǎng)絡(luò)發(fā)起的攻擊。

（2）從TDFemto系統(tǒng)內(nèi)部發(fā)起的攻擊威脅

這類威脅主要指的是針對(duì)TD Femto系統(tǒng)本身的攻擊。由于TD Femto基站是放在用戶家中的，因此需要面對(duì)TD Femto被破解或者被修改的威脅。

本文將從兩方面闡述TD Femto系統(tǒng)的安全機(jī)制，并針對(duì)每個(gè)安全隱患提出可能的解決方案。

2 TD Femto系統(tǒng)所面臨的外部威脅

TD Femto所面臨的外部威脅指的是攻擊者在不改變TD Femto基站本身的前提下，針對(duì)TD Femto系統(tǒng)提供的鏈路所發(fā)起的竊聽或者攻擊，主要包括以下幾種攻擊。

（1）對(duì)無線接口的竊聽

由于Uu口的數(shù)據(jù)是通過無線介質(zhì)傳輸?shù)?，因此可以被輕易截獲，對(duì)無線接口的竊聽是所有無線通信網(wǎng)絡(luò)都必須要面對(duì)的一個(gè)威脅，因此對(duì)無線信號(hào)進(jìn)行加密成為保障Uu口安全性的一個(gè)重要研究點(diǎn)。由于TD Femto系統(tǒng)的Uu口與TD宏網(wǎng)的Uu口完全相同，因此，TD Femto系統(tǒng)可采用和宏網(wǎng)相同的方法來保證空口的安全。

進(jìn)行加密計(jì)算必定會(huì)占用基站一定的計(jì)算資源，對(duì)于傳統(tǒng)宏基站，加密所需的計(jì)算資源并不會(huì)太多地影響基站性能，但是對(duì)于TD Femto基站，其體積較小、功耗較低，考慮到成本控制問題，整個(gè)基站的計(jì)算性能和宏基站相比必然較差，如何在這樣的軟、硬件平臺(tái)上實(shí)現(xiàn)高效的加密和解密功能，讓基站在進(jìn)行加密和解密的同時(shí)不至于消耗過多的系統(tǒng)資源以至影響系統(tǒng)性能，這就需要對(duì)加密和解密進(jìn)行一定的優(yōu)化，以減少系統(tǒng)的負(fù)荷。

（2）對(duì)IP承載網(wǎng)的竊聽

在傳統(tǒng)網(wǎng)絡(luò)中，基站和RNC之間所傳輸?shù)男帕罴皵?shù)據(jù)都是在運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)中運(yùn)營(yíng)的，因此不需要考慮太多的安全問題，但是TDFemto系統(tǒng)的Iu-H口是通過Internet傳輸數(shù)據(jù)的，而Internet一般被認(rèn)為是一個(gè)不安全的網(wǎng)絡(luò)，因此對(duì)在公網(wǎng)傳輸?shù)臄?shù)據(jù)和信令必須進(jìn)行額外的加密保護(hù)。加密保護(hù)分為兩個(gè)階段：TD Femto基站和TDFemto網(wǎng)關(guān)進(jìn)行雙向鑒權(quán)時(shí)的信令安全性以及TD Femto基站正常工作時(shí)與TD Femto網(wǎng)關(guān)之間的信令、數(shù)據(jù)的安全性。

在TD Femto系統(tǒng)中，一般采用IKEv2來實(shí)現(xiàn)鑒權(quán)時(shí)的安全性，IKEv2(Internet密鑰交換協(xié)議v2)用于交換和管理在VPN中使用的加密密鑰，解決了在不安全網(wǎng)絡(luò)環(huán)境中安全建立或者更新共享密鑰的問題。IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)與兩種密鑰交換協(xié)議OAKLEY和SKEME組成。

在TD Femto正常工作時(shí)，一般采用IPSec協(xié)議保證數(shù)據(jù)包的安全。IPSec是Internet工程任務(wù)組(IETF)為IP安全推薦的一個(gè)協(xié)議，通過使用加密的安全服務(wù)確保在Internet網(wǎng)絡(luò)上進(jìn)行保密而安全的通信。IPSec提供3種不同形式保護(hù)傳輸數(shù)據(jù)的安全。

·認(rèn)證：可以確定接受數(shù)據(jù)和發(fā)送數(shù)據(jù)一致，同時(shí)可以確定申請(qǐng)發(fā)送者實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。

·數(shù)據(jù)完整：保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。

·機(jī)密性：使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。

（3）使用非法終端接入TD Femto基站

用戶在家中使用TD Femto系統(tǒng)時(shí)，實(shí)際上是利用了家中的寬帶網(wǎng)絡(luò)進(jìn)行回程，有必要禁止其他未經(jīng)許可的終端通過用戶的TD Femto基站進(jìn)行業(yè)務(wù)。

一般采用用戶準(zhǔn)入列表的方式控制非法終端接入指定TD Femto終端。用戶可以設(shè)定一個(gè)用戶準(zhǔn)入列表，只允許指定IMSI接入TD Femto基站，如果有非法用戶試圖接入TD Femto終端，網(wǎng)關(guān)會(huì)向Femto HLR查詢?cè)揟D Femto基站用戶的準(zhǔn)入列表，如果該IMSI不在準(zhǔn)入列表中，則拒絕該用戶的接入。

（4）使用非法TDFemto基站接入運(yùn)營(yíng)商核心網(wǎng)

運(yùn)營(yíng)商一般會(huì)給予在TDFemto基站上的用戶一定的業(yè)務(wù)費(fèi)用優(yōu)惠，這就需要對(duì)TDFemto基站本身進(jìn)行鑒權(quán)認(rèn)證，以防止非法的TDFemto基站接入運(yùn)營(yíng)商網(wǎng)絡(luò)。在TDFemto基站進(jìn)行注冊(cè)時(shí)，TDFemto網(wǎng)關(guān)會(huì)要求TDFemto進(jìn)行鑒權(quán)。如果成功通過鑒權(quán)，則說明該基站為合法用戶，TD Femto網(wǎng)關(guān)會(huì)將該基站接入系統(tǒng)中；如果無法通過鑒權(quán)，則說明該基站為非法用戶，TDFemto網(wǎng)關(guān)會(huì)拒絕該用戶的接入。

對(duì)TD Femto基站本身進(jìn)行認(rèn)證的方法有兩種：EAP-AKA鑒權(quán)方式和證書認(rèn)證方式。

EAP-AKA(UMTS身份驗(yàn)證和密鑰協(xié)議的可擴(kuò)展身份驗(yàn)證協(xié)議方法)是用于身份驗(yàn)證和會(huì)話密鑰分發(fā)的一種機(jī)制，使用USIM卡實(shí)現(xiàn)終端和網(wǎng)絡(luò)之間的雙向鑒權(quán)，一般被用于3G網(wǎng)絡(luò)中。EAP-AKA克服了EAP-SIM的已知缺陷，提供了足夠的安全性。采用EAP-AKA鑒權(quán)方式要求TDFemto基站集成一張USIM卡，并通過該USIM卡進(jìn)行EAP-AKA雙向鑒權(quán)。

數(shù)字證書是互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證身份的方式，進(jìn)行數(shù)字證書認(rèn)證時(shí)，需要有一個(gè)權(quán)威CA(certificate authority，證書授權(quán))機(jī)構(gòu)管理發(fā)行所有的數(shù)字證書。數(shù)字證書采用公鑰機(jī)制，即采用一對(duì)互相匹配的密鑰進(jìn)行加密和解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰)，用它進(jìn)行解密和簽名，同時(shí)設(shè)定一把公共密鑰(公鑰)并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字手段保證加密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。

（5）利用Internet對(duì)運(yùn)營(yíng)商核心網(wǎng)發(fā)起攻擊

將TD Femto基站放在用戶家中，TD Femto基站利用Internet連接到TD Femto網(wǎng)關(guān)，從另外一個(gè)角度來看，TD Femto基站提供了一條可以通過Internet攻擊運(yùn)營(yíng)商核心網(wǎng)的鏈路。利用Internet對(duì)運(yùn)營(yíng)商核心網(wǎng)發(fā)起的攻擊可分為以下兩種。

·DoS(denial of service，拒絕服務(wù)攻擊)。指攻擊者想辦法讓目標(biāo)機(jī)器停止服務(wù)，DoS攻擊有很多種類型，包括SYN Flood、IP欺騙Dos攻擊、UDP洪水攻擊、Ping洪流攻擊、teardrop攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊等。攻擊者進(jìn)行DoS攻擊，實(shí)際上是讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。DoS攻擊實(shí)際上利用了TCP協(xié)議本身的弱點(diǎn)，至今為止并沒有解決DoS攻擊非常有效的方法，只有從網(wǎng)絡(luò)的全局著眼，在網(wǎng)間基礎(chǔ)設(shè)施的各個(gè)層面上采取應(yīng)對(duì)措施，包括在局域網(wǎng)層面上采取特殊措施，在網(wǎng)絡(luò)層傳輸層面上進(jìn)行必要的安全設(shè)置，并安裝專門的DoS識(shí)別和預(yù)防工具，才能最大限度地減少DoS攻擊所造成的損失。另外，當(dāng)設(shè)備受到DoS攻擊時(shí)，必須迅速對(duì)此發(fā)出告警。除了技術(shù)上的應(yīng)對(duì)方案之外，在規(guī)章制度上也應(yīng)有一整套嚴(yán)格的應(yīng)對(duì)方案，一旦發(fā)現(xiàn)設(shè)備遭到DoS攻擊，應(yīng)當(dāng)馬上做出反應(yīng)，盡可能地迅速阻止攻擊數(shù)據(jù)包，并迅速定位攻擊來源，并進(jìn)行相應(yīng)處理。

·對(duì)系統(tǒng)設(shè)備的遠(yuǎn)程操縱。攻擊者可能通過TD Femto接入系統(tǒng)的鏈路連入核心網(wǎng)設(shè)備，并控制核心網(wǎng)設(shè)備，使運(yùn)營(yíng)商的利益受到損害。為了防止遠(yuǎn)程控制，需要注意以下幾個(gè)方面：首先，必須將設(shè)備控制端口和TD Femto基站接入端口在物理上嚴(yán)格分開；其次，必須注意設(shè)備軟件的安全性能，盡可能減少軟件漏洞，以減少攻擊者在進(jìn)行攻擊時(shí)可能利用的漏洞；再次，必須完善設(shè)備的告警裝置，當(dāng)設(shè)備被遠(yuǎn)程攻擊并控制時(shí)，必須迅速發(fā)起告警；最后，必須執(zhí)行嚴(yán)格的規(guī)章制度管理，包括對(duì)用戶名密碼的管理，發(fā)現(xiàn)設(shè)備被遠(yuǎn)程控制時(shí)的一系列操作規(guī)范流程等。

3 TD Femto系統(tǒng)所面臨的內(nèi)部威脅

傳統(tǒng)的通信網(wǎng)絡(luò)安全都有一個(gè)基本假設(shè)，即攻擊者無法直接接觸運(yùn)營(yíng)商的設(shè)備，但是TD Femto基站是直接放在用戶的家中的，也就是說，攻擊者可以直接接觸到運(yùn)營(yíng)商的基站設(shè)備，這就必須考慮到攻擊者對(duì)Femto基站本身的攻擊。這一類攻擊大致可以分為以下兩種。

（1）非法獲取保存在TD Femto上的運(yùn)營(yíng)商數(shù)據(jù)

作為運(yùn)營(yíng)商設(shè)備，F(xiàn)emto設(shè)備上可能會(huì)存儲(chǔ)一些運(yùn)營(yíng)商敏感數(shù)據(jù)，比如準(zhǔn)入用戶列表、設(shè)備統(tǒng)計(jì)信息、運(yùn)營(yíng)商配置信息、計(jì)費(fèi)話單、USIM卡信息等，運(yùn)營(yíng)商一般并不希望用戶可以隨便得知這一類信息。針對(duì)該類威脅，需要從兩方面入手：首先，盡量減少在TD Femto基站上存放的運(yùn)營(yíng)商數(shù)據(jù)，準(zhǔn)入用戶列表應(yīng)當(dāng)放在Femto HLR中，用戶是否為合法用戶應(yīng)當(dāng)由TD Femto網(wǎng)關(guān)來判斷，而不是由TD Femto基站來判斷，計(jì)費(fèi)話單信息不應(yīng)由TD Femto基站來統(tǒng)計(jì)實(shí)現(xiàn)；其次，對(duì)于不得不保存在TD Femto基站上的任何運(yùn)營(yíng)商信息，必須對(duì)相關(guān)數(shù)據(jù)進(jìn)行加密，只有擁有密鑰才能對(duì)數(shù)據(jù)進(jìn)行訪問，具體可以通過軟件加密或者配置專用加密存儲(chǔ)卡來實(shí)現(xiàn)。

（2）破解TDFemto系統(tǒng)，對(duì)其軟、硬件進(jìn)行修改

與現(xiàn)有被破解的很多電子產(chǎn)品一樣，TD Femto基站同樣也面臨著被破解的問題，比較典型的攻擊類型包括：攻擊TD Femto基站的啟動(dòng)流程，在啟動(dòng)過程中允許非法程序或者直接用非法程序替代啟動(dòng)程序；對(duì)TD Femto基站的位置限制信息進(jìn)行攻擊；修改TD Femto基站的升級(jí)文件，加入非法程序；對(duì)TD Femto基站軟件本身進(jìn)行非法修改；干預(yù)TD Femto基站無線工作方式等。這些修改都會(huì)對(duì)運(yùn)營(yíng)商造成很大的損失，因此必須設(shè)計(jì)足夠的安全保護(hù)機(jī)制，防止TD Femto基站被破解。

一般來說，TD Femto基站本身的安全性保護(hù)可以分為3類：首先是安全啟動(dòng)功能，TDFemto基站在進(jìn)行啟動(dòng)的時(shí)候，必須進(jìn)行安全性的鑒權(quán)，比較常用的做法是采用數(shù)字簽名技術(shù)，任何升級(jí)文件也必須采用數(shù)字簽名技術(shù)；其次是軟件運(yùn)行保護(hù)，在TD Femto系統(tǒng)正常運(yùn)行時(shí)，必須保證正在運(yùn)行的軟件不被篡改，一旦發(fā)現(xiàn)被篡改，系統(tǒng)需要馬上發(fā)現(xiàn)并采取措施；最后，由于TD Femto基站是運(yùn)營(yíng)商設(shè)備的一部分，僅靠TD Femto基站本身的安全性保護(hù)措施是遠(yuǎn)遠(yuǎn)不夠的，必須結(jié)合整個(gè)系統(tǒng)對(duì)TD Femto基站進(jìn)行安全性保護(hù)。

4 結(jié)束語

TD Femto系統(tǒng)和傳統(tǒng)的宏網(wǎng)不同，它將運(yùn)營(yíng)商的一部分設(shè)備放在用戶家中，并通過不安全的Internet訪問運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行工作，這就必然會(huì)帶來一系列的安全問題。嚴(yán)格意義上來說，安全性問題是無法完全解決的，任何電子設(shè)備都很難逃脫被破解的命運(yùn)，TDFemto基站也是如此，因此，我們必須對(duì)TDFemto的安全問題進(jìn)行更為深入的研究。