從沃達豐案例看Femtocell的安全威脅

特約撰稿人 | 張存

針對Femto系統(tǒng)威脅的分析，在后續(xù)的Femto網(wǎng)絡(luò)部署中，產(chǎn)業(yè)界已經(jīng)充分加入了安全性因素的考慮。

3G終端日益增多的應(yīng)用，對家庭基站等設(shè)備提出了比以往更高的安全要求。

近日，關(guān)于沃達豐Sure Signal（Vodafone在英國本土推出的Femtocell服務(wù)）的安全性問題備受關(guān)注，在電信業(yè)界引起了很多爭論，也重新引發(fā)了人們對于Femtocell（以下簡稱Femto）安全性的關(guān)注。

Femto服務(wù)安全受質(zhì)疑

事件的緣起是在7月12日，安全研究組織“The Hacker's Choice”發(fā)出對Vodafone Femto服務(wù)安全性的質(zhì)疑，宣稱已經(jīng)破解了沃達豐接入點設(shè)備的root用戶密碼，并能夠使用該設(shè)備收集其他移動用戶的個人信息或者偽裝成為簽約用戶盜打電話。隨后沃達豐馬上否認(rèn)了THC關(guān)于安全性的指控，聲稱THC提到的產(chǎn)品缺陷已經(jīng)在2010年的軟件升級中彌補，目前其提供的Femto服務(wù)是安全的。而緊接著THC又宣稱即使沃達豐升級了Femto產(chǎn)品，其產(chǎn)品依然是可破解的，除非產(chǎn)品被重新設(shè)計。但是并沒有實際的案例證明該組織已經(jīng)破解沃達豐新的軟件版本，也沒有任何關(guān)于新的破解報告被公布。

盡管如此，該事件引起的波瀾并未停息，尤其在已經(jīng)布設(shè)Femto或者即將布設(shè)Femto網(wǎng)絡(luò)的運營商中，重新產(chǎn)生了關(guān)于Femto安全性的疑慮，并開始重新審視Femto安全性課題。

實際上，F(xiàn)emto標(biāo)準(zhǔn)化組織Femto Forum早在成立之初，已經(jīng)開始關(guān)注并研究Femto所帶來的安全性問題，相關(guān)課題在Femto Forum WG3中進行了深入討論，同時3GPP在SA3中也加入了“HNB Security”的議題，提出并完善了安全性需求標(biāo)準(zhǔn)。在3GPP的相關(guān)提案中，也分析了關(guān)于Femto可能帶來的安全威脅、嚴(yán)重性以及應(yīng)對策略。

其中針對于無線資源的攻擊屬于無線資源管理的范疇，可以通過無線資源管理中的接入控制等方式控制用戶使用無線資源，可以有比較好的解決方式。其他威脅主要可以分成對于HNB設(shè)備本身的攻擊威脅、針對于傳輸鏈路的攻擊威脅、針對核心網(wǎng)的攻擊威脅三類。

在此次沃達豐事件中，黑客組織主要提出的威脅就主要是針對于HNB設(shè)備本身的破解和對于核心網(wǎng)的可能攻擊兩個方面。

產(chǎn)業(yè)界加強安全考慮

針對于Femto系統(tǒng)威脅的分析，在后續(xù)的Femto網(wǎng)絡(luò)，產(chǎn)業(yè)界已經(jīng)充分加入了安全性因素的考慮，尤其是在Femto網(wǎng)管側(cè)安全網(wǎng)關(guān)(Security Gateway)的引入，AAA鑒權(quán)服務(wù)器的引入，使用IPSec Tunnel方式以及使用IKEv2鑒權(quán)協(xié)議等已經(jīng)在很大程度上解決了針對于傳輸鏈路和核心網(wǎng)攻擊的威脅。

Femto鑒權(quán)通過之后，F(xiàn)emto會與SeGW協(xié)商建立IPSec Tunnel，F(xiàn)emto所有的管理數(shù)據(jù)，信令以及業(yè)務(wù)都會通過IPSec隧道傳輸?shù)胶诵木W(wǎng)絡(luò)中去，從而保證在中間鏈路數(shù)據(jù)不會泄密。另外，SeGW同時具有防火墻的功能，可以防范針對于核心網(wǎng)的惡意入侵和攻擊。在防火墻的設(shè)置上，可以限制除Femto正常的管理，信令以及業(yè)務(wù)數(shù)據(jù)之外的其他數(shù)據(jù)接入，從而避免可能的攻擊。

最令人擔(dān)心的威脅主要還是針對于Femto設(shè)備本身的攻擊。與傳統(tǒng)運營商設(shè)備不同，F(xiàn)emto是一個客戶端設(shè)備，最終會放置在用戶的家中，運營商無法控制用戶對其拆解或者改裝等，從而加大了安全威脅。

目前主流的Femto設(shè)備主要是用嵌入式Linux操作系統(tǒng)，主要利用超級用戶密碼進行保密，其安全性較低，針對于安全存儲和安全啟動方面，都還沒有很好的保護，用戶很容易通過讀Flash或者重新更新kernel等方式獲取設(shè)備的完全控制權(quán)，此時，F(xiàn)emto的安全性就形同虛設(shè)了。

提升設(shè)備安全性

針對于Femto設(shè)備的保護，產(chǎn)業(yè)界應(yīng)主要從設(shè)備本身的安全性著手，首先，要保證設(shè)備本身沒有調(diào)試接口提供給用戶進行更新和修改，在規(guī)模出貨的產(chǎn)品中，隱藏串口、JTAG等調(diào)試接口，避免用戶可以使用調(diào)試接口破解系統(tǒng)，如有可能，在結(jié)構(gòu)設(shè)計中加強結(jié)構(gòu)保護，避免普通用戶的拆解。其次，應(yīng)加強安全存儲，針對于重要的文件，尤其是Femto執(zhí)行和配置文件，使用先進的算法進行加密存儲，避免用戶可以通過讀Flash等動作，獲取Femto的核心內(nèi)容。第三，加強Linux本身安全性的管理，妥善管理root密碼，加強用戶管理的安全性。最后，在Femto設(shè)備管理中，加強對于異常設(shè)備的監(jiān)控，通過日志上傳等方式，分析是否用戶在對設(shè)備進行非安全應(yīng)用的操作，從而可以在鑒權(quán)上對該用戶進行限制，避免破解用戶利用破解設(shè)備進行非法行為。

但是，需要說明的是，針對于專業(yè)人員的破解，是很難完全防范的，如目前出現(xiàn)的“偽基站”等設(shè)備，其工作原理與Femto類似，破解用戶如使用破解的Femto設(shè)備改造為“偽基站”，就可以竊取用戶的IMSI等數(shù)據(jù)，這是在標(biāo)準(zhǔn)設(shè)計上的問題，目前還沒有較好的解決辦法。

另外，在3GPP Rel10及Rel11的33系列標(biāo)準(zhǔn)中，已經(jīng)充分考慮了HNB安全性架構(gòu)，隨著相關(guān)標(biāo)準(zhǔn)的成熟和更多符合標(biāo)準(zhǔn)設(shè)備的出現(xiàn)，F(xiàn)emto的安全性會有本質(zhì)的提升。