童沖??

【摘要】演進(jìn)分組核心（Evolved Packet Core，EPC）是長(zhǎng)期演進(jìn)（Long Term Evolution ， LTE）網(wǎng)絡(luò)的核心網(wǎng)，它是一個(gè)支持全I(xiàn)P的、高速率的、基于分組的和低時(shí)延的扁平型網(wǎng)絡(luò)，給人們帶來(lái)良好用戶體驗(yàn)的同時(shí)，也引入了一些安全隱患。主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議方面研究了LTE核心網(wǎng)面臨的安全缺陷，分析了其可能導(dǎo)致的安全威脅，并提出了一系列安全性增強(qiáng)方案，使LTE系統(tǒng)更加安全。

【關(guān)鍵詞】LTE（長(zhǎng)期演進(jìn)Long Term Evolution）；核心網(wǎng)；安全

Research on the safety performance of LTE core network

Tong Chong

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】Evolved Packet Core （Evolved Packet Core， EPC） is a long-term Evolution （Long Term Evolution， LTE） network Core network， it is a support of the whole IP， high speed， based on the grouping of flat and low delay of the network， bring people a good user experience at the same time， also introduced some safety hidden trouble. Mainly from the aspects of core LTE network architecture， interfaces and protocols to study the LTE core network security flaws， it could lead to security threats are analyzed， and put forward a series of security enhancement scheme， make the LTE system more secure.

【Key words】LTE （Long Term Evolution）；Core network；Security

1. 前言

（1）隨著移動(dòng)通信技術(shù)的快速發(fā)展，為滿足人們對(duì)高用戶數(shù)據(jù)速率，大系統(tǒng)容量和無(wú)縫接入的需求，3GPP標(biāo)準(zhǔn)組織啟動(dòng)了面向無(wú)線網(wǎng)絡(luò)演進(jìn)計(jì)劃的長(zhǎng)期演進(jìn)（Long Term Evolution，LTE）以及面向核心網(wǎng)絡(luò)演進(jìn)計(jì)劃的系統(tǒng)框架演進(jìn)（System Architecture E-volution，SAE）項(xiàng)目。如今，LTE網(wǎng)絡(luò)已在全球范圍內(nèi)廣泛部署。據(jù)全球移動(dòng)設(shè)備供應(yīng)商協(xié)會(huì)（GSA）2015年1月7日發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示，2014年全球電信運(yùn)營(yíng)商共推出了96張LTE網(wǎng)絡(luò)，截至2014年12月底，全球共有360張商用LTE網(wǎng)絡(luò)分布于124個(gè)國(guó)家和地區(qū)。

（2）由于LTE網(wǎng)絡(luò)架構(gòu)相對(duì)于傳統(tǒng)通信技術(shù)有較大改變，采用了更加扁平化的結(jié)構(gòu)，并且面臨多種無(wú)線技術(shù)并存和異構(gòu)網(wǎng)絡(luò)共存、融合和互聯(lián)互通的趨勢(shì)，LTE通信系統(tǒng)安全問(wèn)題也日益復(fù)雜和重要。

（3）目前國(guó)內(nèi)外對(duì)LTE安全研究主要集中在安全機(jī)制、鑒權(quán)和加密算法方面，沒有對(duì)LTE核心網(wǎng)進(jìn)行系統(tǒng)化的研究。針對(duì)移動(dòng)設(shè)備的攻擊可能會(huì)對(duì)目標(biāo)設(shè)備和用戶造成有限的破壞性威脅，而針對(duì)核心網(wǎng)的攻擊將產(chǎn)生更嚴(yán)重的后果，很可能威脅某個(gè)區(qū)域或是影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

圖1LTE網(wǎng)絡(luò)架構(gòu)

2. LTE安全體系結(jié)構(gòu)

LTE網(wǎng)絡(luò)由E-UTRAN和EPC組成，又稱EPS（Evolved Packet System）。E-UTRAN由多個(gè)NodeB組成，eNodeB間通過(guò)X2接口通信。EPC由MME、SGW、PGW和PCRF組成。EPC和E-UTRAN間使用S1接口。 LTE網(wǎng)絡(luò)架構(gòu)如圖1所示，其特點(diǎn)為：

（1）LTE網(wǎng)絡(luò)只有分組域，而沒有電路域：在標(biāo)準(zhǔn)的LTE網(wǎng)絡(luò)結(jié)構(gòu)下，核心網(wǎng)不再具有電路域CS，只提供分組業(yè)務(wù)。對(duì)語(yǔ)音業(yè)務(wù)的實(shí)現(xiàn)，可以通過(guò)IMS系統(tǒng)實(shí)現(xiàn)V OIP業(yè)務(wù)；

（2）網(wǎng)絡(luò)結(jié)構(gòu)扁平化，承載和控制相分離：承載和控制分離，MME實(shí)現(xiàn)控制功能，SGW實(shí)現(xiàn)用戶面功能；

（3）基于全I(xiàn)P架構(gòu)；GTPCv2協(xié)議和Diamete：協(xié)議是核心網(wǎng)控制面的主要協(xié)議，GTPUvl協(xié)議是用戶面的主要協(xié)，UDP協(xié)議和SCTP協(xié)議是傳輸層的主要協(xié)議。

（4）其他重要特點(diǎn)：支持多種接入方式、永遠(yuǎn)在線：不僅支持3GPP接入方式，還支持non 3 GPP接入方式，包括可靠的和不可靠的（LTE網(wǎng)絡(luò)架構(gòu)見圖1）。

3. LTE核心網(wǎng)安全性問(wèn)題

LTE核心網(wǎng)的安全問(wèn)題主要考慮其面臨的各種威脅和攻擊，對(duì)LTE核心網(wǎng)的攻擊可能來(lái)源于其他與核心網(wǎng)絡(luò)連接的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)和全球漫游合作伙伴，或者是來(lái)自核心網(wǎng)內(nèi)部，如從核心網(wǎng)絡(luò)內(nèi)提供服務(wù)的內(nèi)容提供商。攻擊可能來(lái)自于任何網(wǎng)絡(luò)接口。眾所周知，基于IP的網(wǎng)絡(luò)面臨各種威脅。發(fā)起對(duì)網(wǎng)絡(luò)的攻擊旨在：竊取信息，使信息失真，破壞信息或主機(jī)軟件，或使信息或服務(wù)不可用；可能降低網(wǎng)絡(luò)的總體性能，導(dǎo)致系統(tǒng)死機(jī)；或者針對(duì)特定的應(yīng)用如計(jì)費(fèi)系統(tǒng)。接下來(lái)，主要從網(wǎng)絡(luò)架構(gòu)、接口和協(xié)議幾個(gè)方面分析LTE核心網(wǎng)安全。

3.1LTE網(wǎng)絡(luò)架構(gòu)安全問(wèn)題。

LTE網(wǎng)絡(luò)被設(shè)計(jì)為扁平的全I(xiàn)P架構(gòu)，支持與異構(gòu)無(wú)線接入網(wǎng)絡(luò)全互通。LTE網(wǎng)絡(luò)這種獨(dú)特的特征存在安全機(jī)制的漏洞。endprint

（1）基于IP扁平的3GPP LTE網(wǎng)絡(luò)架構(gòu)比GSM和U MTS網(wǎng)絡(luò)存在更多的安全風(fēng)險(xiǎn)，如注入、篡改、竊聽和其他隱私泄露風(fēng)險(xiǎn)。LTE網(wǎng)絡(luò)架構(gòu)比互聯(lián)網(wǎng)更容易受到傳統(tǒng)的惡意攻擊，如IP地址欺騙、DOS攻擊、病毒、蠕蟲、垃圾電子郵件及電話等；

（2）LTE系統(tǒng)的基站存在潛在的弱點(diǎn)。由于LTE網(wǎng)絡(luò)的全I(xiàn)P網(wǎng)絡(luò)特性，一旦攻擊攻破了基站，它可進(jìn)一步危及整個(gè)網(wǎng)絡(luò)；

（3）LTE網(wǎng)絡(luò)架構(gòu)在切換認(rèn)證過(guò)程存在一些新的問(wèn)題。為了在E}JTRAN和non 3 GPP接入網(wǎng)絡(luò)間實(shí)現(xiàn)安全無(wú)縫切換，3GPP提出幾種切換認(rèn)證方法。但是UE切換到新的接入網(wǎng)絡(luò)之前，UE和目標(biāo)接入網(wǎng)絡(luò)之間需要遍歷完整的接入認(rèn)證過(guò)程，由于與認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA）服務(wù)器或相關(guān)代理AAA服務(wù)器的多輪消息交換，這將帶來(lái)較長(zhǎng)的切換延遲。另外，不同移動(dòng)場(chǎng)景需要不同的切換認(rèn)證過(guò)程，這將提高整個(gè)系統(tǒng)的復(fù)雜性。這些風(fēng)險(xiǎn)將不僅對(duì)LTE網(wǎng)絡(luò)支持持續(xù)的連通性帶來(lái)很多困難，也可能被攻擊者利用來(lái)攻擊其他接入網(wǎng)或核心網(wǎng)，消耗網(wǎng)絡(luò)資源，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。

3.2LTE核心網(wǎng)接口安全。

3.2.1LTE核心網(wǎng)網(wǎng)絡(luò)安全威脅可能來(lái)自接入網(wǎng)，漫游合作伙伴，以及Internet，分別通過(guò)Sl 、S8和SGi接口連接，如圖2所示（LTE核心網(wǎng)外部接口見圖2）。

（1） S1接口。

越來(lái)越多的基站在公共區(qū)域，這使得它們?nèi)菀妆环欠ù鄹?。由于LTE回傳網(wǎng)絡(luò)中沒有部署RNC一個(gè)受侵害的eNodeB基站接入網(wǎng)絡(luò)后，可以對(duì)移動(dòng)管理實(shí)體（MME）或核心網(wǎng)網(wǎng)關(guān)（sAE}W）發(fā)起中間人攻擊，從而影響整個(gè)核心服務(wù)。用戶平面數(shù)據(jù)的空口加密終止于eNB}LTE回傳網(wǎng)絡(luò)還可能被未授權(quán)用戶竊聽。

（2） sci接口。

LTE移動(dòng)網(wǎng)絡(luò)通過(guò)sc}接口連接數(shù)百萬(wàn)的設(shè)備到Internet或其他不安全的網(wǎng)絡(luò)一使得網(wǎng)絡(luò)暴露于一系列web威脅包括惡意軟件、洪泛攻擊、DoS攻擊、僵尸網(wǎng)絡(luò)和端口掃描等。

（3） S8接口。

運(yùn)營(yíng)商必須允許移動(dòng)用戶漫游訪問(wèn)互聯(lián)網(wǎng)，這意味著移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商必須互聯(lián)互通。這需要使用S8接口接入漫游交換網(wǎng)絡(luò)，它作為一個(gè)樞紐連接漫游用戶，解決了各服務(wù)提供商之間對(duì)專用鏈路的需求。

3.2.2因此，當(dāng)與其他運(yùn)營(yíng)商和不信任的網(wǎng)絡(luò)之間的漫游互聯(lián)時(shí)，必須保證移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的分組核心成員的安全。由于目前S8接口是用于網(wǎng)間漫游業(yè)務(wù)，最常見的安全威脅類型使用DOS技術(shù)針對(duì)服務(wù)的可用性，進(jìn)行如數(shù)據(jù)洪泛、帶寬飽和、欺騙或緩存污染等攻擊[#]。S8接口也容易受到超額計(jì)費(fèi)攻擊，如果移動(dòng)臺(tái)能夠劫持一個(gè)合法的IP地址身份，就可以開始非法下載數(shù)據(jù)。

3.3LTE核心網(wǎng)協(xié)議安全

在LTE核心網(wǎng)中，最重要的協(xié)議是Diameter和GTP協(xié)議，接下來(lái)主要討論它們的安全性。

3.3.1Diameter協(xié)議。

（1）在LTE網(wǎng)絡(luò)中，3GPP委托協(xié)議Diameter和SIP作為信令接口取代了傳統(tǒng)的SS7信令系統(tǒng)協(xié)議。許多核心網(wǎng)接口和服務(wù)都使用Diamete：接口，包括HHS、MME、PCRF、SAW /PAW和IMS核心網(wǎng)。引入Diameter協(xié)議對(duì)擁塞管理和業(yè)務(wù)處理機(jī)制也具有一些挑戰(zhàn)。3G網(wǎng)絡(luò)中，RNC是主要的信令瓶頸，負(fù)責(zé)信令和承載業(yè)務(wù)。相比SS7 } Diamete：接口明顯增加了大量的信令，稱為4G移動(dòng)核心網(wǎng)的信令風(fēng)暴，這是移動(dòng)核心網(wǎng)一個(gè)新興的威脅，對(duì)移動(dòng)運(yùn)營(yíng)商和設(shè)備供應(yīng)商會(huì)產(chǎn)生一定影響。Diamete：是端到端基于IP的協(xié)議，與SS7協(xié)議不同，它不支持擁塞控制和管理，這是LTE網(wǎng)絡(luò)主要的問(wèn)題。如圖3所示，Diameter使用TCP或SCTP傳輸機(jī)制實(shí)現(xiàn)了IP。在涌入大量的Diamete：請(qǐng)求時(shí)，LTE網(wǎng)絡(luò)的這種傳輸機(jī)制暴露了TCP擁塞的問(wèn)題。這成為利用DoS /DDoS攻擊產(chǎn)生大量業(yè)務(wù)的一個(gè)瓶頸。當(dāng)diameter服務(wù)器過(guò)載或擁塞時(shí)，需要有能力通知發(fā)送端縮減業(yè)務(wù)量來(lái)卸載流量，它將因?yàn)榘l(fā)送和響應(yīng)消息消耗掉所有的資源，從而導(dǎo)致服務(wù)器節(jié)點(diǎn)崩潰。過(guò)載的原因：CPU、內(nèi)存和I/U資源有足夠的能力處理信息；中間網(wǎng)絡(luò)節(jié)點(diǎn)失??；網(wǎng)絡(luò)發(fā)起大量的業(yè)務(wù)；網(wǎng)絡(luò)用戶發(fā)起的業(yè)務(wù)和DoS /DDoS攻擊。過(guò)載和擁塞最主要的問(wèn)題是節(jié)點(diǎn)和網(wǎng)絡(luò)的完全失敗，將會(huì)影響網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)性能。Diameter接口過(guò)載可能導(dǎo)致以下影響：拒絕服務(wù)、移動(dòng)寬度連接丟失、緊急服務(wù)和合法攔截位置信息丟失、策略控制實(shí)施和計(jì)費(fèi)錯(cuò)誤導(dǎo)致收入損失。

（2）此外，當(dāng)發(fā)送合法的端到端請(qǐng)求或響應(yīng)時(shí)，Di-ameter協(xié)議無(wú)法區(qū)分其是否為濫用，例如如果MME濫用信令，向HSS發(fā)起大量的信令請(qǐng)求計(jì)算鑒權(quán)向量，使得HSS飽和，無(wú)法為合法用戶服務(wù)導(dǎo)致DoS攻擊（Diameter協(xié)議棧見圖3）。

3.3.2GTP協(xié)議。

（1）在EPC網(wǎng)絡(luò)中，GTP協(xié)議的主要功能是提供網(wǎng)絡(luò)節(jié)點(diǎn)之間的隧道的建立、用戶移動(dòng)性和會(huì)話管理。GTP分為GTP-C和GTP-U，分別對(duì)應(yīng)于GTP控制平面和GTP用戶平面。如圖4所示GTP協(xié)議本身幾乎沒有任何安全考慮，而是依靠下層IPSec等安全協(xié)議來(lái)保證安全，存在著大量的安全漏洞和安全威脅，可以被用作對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行攻擊的手段，包括最簡(jiǎn)單的“超額計(jì)費(fèi)”到“節(jié)點(diǎn)攻擊”，而且GTP協(xié)議是基于UDP面向無(wú)連接的協(xié)議，具有分組易被篡改的弱點(diǎn)（GTP協(xié)議棧見圖4）。

（2）GTP協(xié)議的安全問(wèn)題可以分為：協(xié)議異常攻擊，利用協(xié)議處理程序的漏洞產(chǎn)生異常，損壞或不遵循協(xié)議規(guī)則的PD U，從而降低系統(tǒng)性能或獲得非法權(quán)限；基礎(chǔ)設(shè)施攻擊（GTP欺騙），將攻擊數(shù)據(jù)包封裝成GTP攻擊其他網(wǎng)絡(luò)成員；資源耗盡攻擊。

4. 安全性增強(qiáng)方案

在本節(jié)中，主要介紹了一些安全性增強(qiáng)方案。

4.1LTE網(wǎng)絡(luò)架構(gòu)。endprint

（1）對(duì)于LTE安全體系結(jié)構(gòu)，為確保UE、基站和EPC間的安全通信，需要設(shè)計(jì)更多的安全機(jī)制，以解決LTE網(wǎng)絡(luò)傳統(tǒng)的協(xié)議攻擊和物理攻擊。此外，需要設(shè)計(jì)更有效的切換認(rèn)證體系，實(shí)現(xiàn)基站間、3GPP網(wǎng)絡(luò)與非3GPP網(wǎng)絡(luò)之間無(wú)縫切換的安全。

（2）文獻(xiàn)[10]提出一個(gè)新的簡(jiǎn)單且強(qiáng)大的基于改進(jìn)代理簽名切換認(rèn)證方案，它可以適用于所有的移動(dòng)場(chǎng)景，包括基站內(nèi)和基站間的切換。通過(guò)該方案，UE與目標(biāo)eNB可以直接完成強(qiáng)制認(rèn)證，當(dāng)UE進(jìn)入目標(biāo)eNB覆蓋區(qū)域時(shí)由代理簽名生成長(zhǎng)期密鑰，從而建立一個(gè)會(huì)話密鑰。其認(rèn)證過(guò)程簡(jiǎn)單，無(wú)需復(fù)雜的密鑰管理，可以達(dá)到理想的效果。但是，代理簽名的使用仍存在效率低下和不兼容的缺點(diǎn)。

4.2LTE核心網(wǎng)接口。

對(duì)于S1接口，3GPP標(biāo)準(zhǔn)建議采用IPsec （IP安全協(xié)議）來(lái)確保eNodeB和核心網(wǎng)之間的安全。為確保SGi接口的安全，需要一種電信級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換（CGN）解決方案。在SGi接口使用CGN解決方案隱藏核心網(wǎng)服務(wù)IP地址和公共的因特網(wǎng)設(shè)備，保證它們的安全性，避免遭受DoS攻擊，以及減少核心網(wǎng)和無(wú)線網(wǎng)絡(luò)“信令風(fēng)暴”的風(fēng)險(xiǎn)，避免計(jì)費(fèi)攻擊。對(duì)于S8接口安全，需要安全網(wǎng)關(guān)對(duì)S8接口的協(xié)議進(jìn)行深度狀態(tài)包檢測(cè)，以此來(lái)預(yù)見惡意攻擊。

4.3LTE核心網(wǎng)協(xié)議。

為解決diameter接口擁塞的問(wèn)題，可以在diam-eter客戶和服務(wù)器的傳輸層采用擁塞通知的方法，在擁塞發(fā)生前，在IPv4或IPv6頭標(biāo)記該diameter IP包。當(dāng)TCP接收端收到標(biāo)記了擁塞的包，將在隨后的ACK（確認(rèn)）消息中通知擁塞將發(fā)生，由此反過(guò)來(lái)觸發(fā)發(fā)送端的擁塞避免算法。

5. 結(jié)束語(yǔ)

和以往的部署為時(shí)分復(fù)用，異步傳輸模式和基于SS7的回程傳輸?shù)姆涓C技術(shù)版本不同，LTE網(wǎng)絡(luò)部署支持全I(xiàn)P扁平型架構(gòu)。全I(xiàn)P網(wǎng)絡(luò)暴露了一些安全威脅，而LTE核心網(wǎng)的安全更會(huì)關(guān)乎整個(gè)網(wǎng)絡(luò)的運(yùn)作，主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議幾個(gè)方面分析了LTE核心網(wǎng)面臨的安全缺陷及其可能。

參考文獻(xiàn)

[1]姜怡華，許慕鴻，習(xí)建德，等3GPP系統(tǒng)架構(gòu)演進(jìn)（SAE）原理與設(shè)計(jì)「M」北京：人民郵電出版社，2010：298一302.

[2]Andr， Egners. Threat and Risk Analysis for Mobile Communic；ation Networks and Mobile Terminals 【R】.NokiaSiemens Networks Researc；h}2013：23一28.

[3]汪辰良LTE安全接入機(jī)制研究「D」西安：西安電子科技大學(xué)，2012.

[4]陳志南，彭建華，劉彩霞，劉樹新EPC網(wǎng)絡(luò)安全問(wèn)題研究田信息工程大學(xué)學(xué)報(bào)，2013，14（3） ：371一375.endprint