LTE傳輸安全組網技術及規劃要點

熊偉+劉智奮+林超文

【摘 要】在LTE網絡中，eNodeB回傳采用IP分組承載傳送網。IP網絡除了簡單靈活、扁平化、完全開放等特點外，還使承載的業務面臨各種信息安全問題。通過詳細分析802.1x、IPSec、SSL和PKI等傳輸安全關鍵技術，提出了不同層次的傳輸安全保護組網建議，以解決eNodeB與EPC核心網之間的通信安全問題。

【關鍵詞】LTE 802.1x IPSec SSL PKI

1 引言

由于IP方式組網靈活、帶寬擴容成本低，是未來傳輸組網的趨勢。但是，作為LTE無線回傳網絡來說弊端也多，其存在的主要安全威脅如下：

（1）eNodeB接入層：偽造eNodeB接入運營商網絡，對網絡上的其他設備進行攻擊。

（2）S1/X2接口：泄露、訛用、篡改信息，竊取傳輸網絡中的切換數據，獲取重要用戶信息或篡改相關內容。

（3）OM網管通道：截獲OM接口傳遞的基站重要信息，進行盜竊或刪除基站配置文件、版本信息。

2 IP傳輸常見的安全解決方式

針對上述威脅點，IP網絡常用的安全解決方式如表1所示：

（1）接入層對應數據鏈路層，采用802.1x，通過RADIUS服務器的認證，可以防止非法eNodeB接入到運營商網絡。

（2）匯聚層對應網絡層，采用IPSec，通過安全網關進行身份認證，建立IPSec隧道，來保護（S1/X2/OM）接口數據流的傳輸安全。

（3）核心、匯聚層對應傳輸層到應用層之間，采用SSL，為OM網管數據提供機密性保護、數據完整性保護以及身份認證機制。

3 傳輸安全關鍵技術

3.1 802.1x技術

802.1x技術提供eNodeB和接入層LAN交換機間的基于設備證書認證。通過對eNodeB的MAC地址進行認證，限制未經認證的設備接入網絡。802.1x認證接入控制系統的組成包括：客戶端（eNodeB）、認證接入設備（接入層LAN交換機）、認證服務器（RADIUS），如圖2所示。

初始接入時eNodeB未經過認證，eNodeB的數字證書承載在EAPoL報文中通過接入設備的不受控端口發送給RADIUS服務器，RADIUS服務器根據配置的根CA證書對eNodeB進行認證。認證通過后對受控端口進行授權，S1/X2數據才可以經授權端口正常通過，從而達到合法用戶接入、保護網絡安全的目的。

3.2 IPSec技術

（1）密鑰交換協議IKE

IKE可以在不安全的網絡上安全地分發密鑰、驗證身份、建立IPSec SA，為需要加密和認證的通信雙方提供算法、密鑰協商服務，用于eNodeB動態建立IPSec SA。通過策略協商、DH交換、對端身份認證這三次交換完成IKE安全聯盟的建立。

IKE認證方法包括預共享密鑰認證和數字證書認證，具體如下：

1）預共享密鑰認證是指通信雙方使用相同的密鑰，驗證對端身份。eNodeB基站側通過預置預共享密鑰實現合法入網。

2）通過CA數字證書認證，網絡需要部署PKI系統。

（2）IPSec流程

IPSec技術可保護eNodeB的X2、S1-MME、S1-U、OM網管接口。協議族包括IKE、ESP、AH等。IPSec通過IKE協議完成密鑰協商以及身份認證，進一步通過ESP/AH安全協議、加密算法、加密密鑰進行數據的加密和封裝。

IPSec技術的核心是IPSec SA安全聯盟，由IKE動態建立，具體流程如下：

第一階段：通信對等體建立一個已通過安全認證的通道，即IKE SA；

第二階段：利用已創建的IKE SA來協商創建具體的IPSec SA；

第三階段：數據通信時IPSec本端對數據加密，接收端對數據進行解密。

IPSec SA具有生存周期，如果達到指定的生存周期LTS，則IPSec SA就會失效。IPSec SA失效前，IKE將為IPSec協商建立新的SA。

3.3 SSL技術

SSL主要保護應用層協議如HTTP、FTP、TELNET等，它們均透明地建立于SSL協議之上，在應用層協議通信之前SSL就完成加密、通信密鑰的協商以及認證工作，從而保證通信的機密性。

SSL為在eNodeB與網管之間的OM和FTP通信提供安全的數據傳輸通道，保護遠端運維的安全性。eNodeB通信中SSL連接過程如下：

（1）eNodeB與網管系統之間建立TCP連接。

（2）網管系統作為SSL的客戶端向基站發起SSL握手過程。

（3）SSL握手并認證成功后，eNodeB與網管之間建立基于SSL保護的OM通道。

3.4 PKI技術

PKI系統主要是為網絡提供密鑰和數字證書管理，應用于eNodeB和安全網關（以下簡稱SeGW）之間的身份認證、OM通道SSL建鏈時的身份認證、eNodeB接入時802.1x身份認證。LTE網絡中PKI系統包括：eNodeB基站、SeGW、網管等；證書頒發中心CA、證書注冊中心RA、數字證書和CRL存儲庫。

CA服務器認證eNodeB基站流程如下：

（1）當PKI系統中部署多級CA時，多級CA的證書組成一條證書鏈。根CA的證書是證書鏈上的頂級證書，可以認證證書鏈上的所有證書。證書鏈用于驗證由證書鏈中最底層CA頒發的設備證書的合法性。

（2）如果基站的設備證書到根CA之間有一條證書鏈，對端要預置該證書鏈，IPSec認證過程中SeGW用該證書鏈驗證基站發送的設備證書的合法性。

4 傳輸安全組網規劃endprint

4.1 非安全組網向PKI安全組網演進

非安全組網向PKI安全組網演進如圖3所示：

（1）需要在網絡中部署SeGW安全網關，SeGW上部署設備證書和根證書。

（2）部署PKI系統，CA服務器上預置設備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認證。

（4）OM網管通道采用IPSec+SSL技術。

4.2 IPSec組網案例

IPSec在應用時需要使用SeGW功能，在LTE網絡中通常由MME或S-GW兼做。IPSec SA由eNodeB根據配置的IPSec安全策略和SeGW進行IKE協商建立，形成ACL、IPSec安全提議兩個部分。eNodeB通過ACL來指定要保護的數據流；IPSec安全提議負責定義包括對數據流的封裝模式、采用的安全協議、加密算法和認證算法。

IPSec負責對eNodeB的信令、業務數據流和OM數據流，以及eNodeB與CA服務器、CRL服務器之間證書管理相關的數據流提供保護。

eNodeB和SeGW使用數字證書進行身份認證，故需要在網絡中部署PKI系統和RADIUS/DHCP服務器。根據3GPP標準，CA服務器的證書請求響應消息中要攜帶根證書或證書鏈，因此CA服務器上要預置設備的根證書。

IPSec典型組網如圖4所示。

在這種典型網絡中部署了RADIUS/DHCP服務器，eNodeB通過DHCP協議獲取上述OM通道信息、運營商CA信息、SeGW信息。DHCP是實現主機動態配置的協議、配置參數的分配和分發。eNodeB獲得配置文件后，再與SeGW進行協商建立IPSec通道。

實際部署中，RADIUS/DHCP服務器和OM網管服務器可以部署在同一硬件上，但是分不同的邏輯通信實體。

4.3 IPSec組網規劃

規劃步驟依次是：部署SeGW和PKI系統；數據規劃；數據改造；基站環境檢查；修改網絡路由；IPSec通道和OM的建立。其中需要重點說明的是：

（1）數據規劃是重點，包括：規劃SeGW的IP地址、IKE加密算法、IKE DH組、認證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務器的CA Name、簽名算法相關信息。

（2）基站環境檢查：是否已配置IPSec的License、是否預置設備證書和根證書。

（3）修改網絡路由：使所有需要IPSec保護的數據流先經過SeGW再到達目的端。

IPSec組網還需要考慮安全域、認證方式和數據流保護這三個主要因素，具體如下：

（1）整個網絡分為安全域和非安全域，IPSec只保護非安全域。通常情況下，接入網絡被認為是不安全的，而核心網絡是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護。

（2）eNodeB與SeGW之間的認證方式采用PKI認證。

（3）eNodeB的數據流包括信令面、用戶面、OM通道、時鐘等數據流。在做組網規劃時應識別出要保護的數據流，指定保護策略。對于OM通道，eNodeB提供IPSec+SSL保護。

（4）對于eNodeB之間X2接口的數據流，推薦采用集中式安全保護方式。集中式安全組網下，多個eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數據流利用該IPSec通道進行安全保護。

4.4 IPSec的封裝模式選擇

IPSec數據流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護。兩者區別如下：

（1）隧道模式：只對原始IP數據包提供安全保護。

（2）傳輸模式：對IP數據包的有效載荷和高層協議提供保護。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優于傳輸模式，因為隧道模式可以對原始IP報文完整地進行加密和完整性保護。

（2）性能：傳輸模式優于隧道模式，因為隧道模式多額外的IP頭，占用更多帶寬。

（3）隧道模式要求網絡中部署SeGW來隔離安全域和非安全域，并在SeGW上實施隧道封裝、加密、完整性保護等功能；而傳輸模式則需要通信兩端都支持IKE協商、加密、完整性保護等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權衡，并根據IPSec對端所支持的模式來進行配置。

4.5 IPSec通道備份組網規劃

為了保障IPSec通道的安全進行通道的主備組網，分為以下兩種方式：

（1）eNodeB出兩個物理端口分配4個IP，與兩個SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個端口上，并啟用BFD檢測。IP1對IP2，IP3對IP4。

（2）eNodeB出一個端口分配3個IP，也建兩條IPSec通道，但IP1對應IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時可用（一主一備）。對于上行傳輸，eNodeB選用主用通道；對于下行傳輸，eNodeB在主備兩條IPSec通道同時接收數據，并利用BFD檢測自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數據的傳輸切換到備用通道。

4.6 eNodeB級聯場景下IPSec組網

在特殊情況下eNodeB存在級聯，級聯eNodeB有以下兩種方式實現IPSec功能：

（1）各eNodeB-1和2獨立實現IPSec功能，Hub eNodeB-1負責路由轉發。

（2）Hub eNodeB-3統一提供所下掛基站的IPSec功能。

eNodeB級聯組網如圖5所示。

5 結束語

在數據鏈路層802.1x可以保證eNodeB合法接入；網絡層IPSec為eNodeB提供全程IP傳輸安全，保證數據的機密性、完整性和可用性；應用層SSL對OM通道的數據提供加密保護；三種技術完成不同層次的傳輸安全保護。本文結合筆者多年的設計經驗，給出了安全組網方案及傳輸網絡規劃時需要考慮的各種關鍵因素，為實際工程規劃提供了參考。

參考文獻：

[1] 廣州杰賽通信規劃設計院. LTE網絡規劃設計手冊[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國防工業出版社， 2006.

[3] 藍集明，陳林. 對IPSec中AH和ESP協議的分析與建議[J]. 計算機技術與發展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協議及其在寬帶接入中的應用[J]. 重慶郵電學院學報： 自然科學版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計， 2004（4）： 586-588.★endprint

4.1 非安全組網向PKI安全組網演進

非安全組網向PKI安全組網演進如圖3所示：

（1）需要在網絡中部署SeGW安全網關，SeGW上部署設備證書和根證書。

（2）部署PKI系統，CA服務器上預置設備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認證。

（4）OM網管通道采用IPSec+SSL技術。

4.2 IPSec組網案例

IPSec在應用時需要使用SeGW功能，在LTE網絡中通常由MME或S-GW兼做。IPSec SA由eNodeB根據配置的IPSec安全策略和SeGW進行IKE協商建立，形成ACL、IPSec安全提議兩個部分。eNodeB通過ACL來指定要保護的數據流；IPSec安全提議負責定義包括對數據流的封裝模式、采用的安全協議、加密算法和認證算法。

IPSec負責對eNodeB的信令、業務數據流和OM數據流，以及eNodeB與CA服務器、CRL服務器之間證書管理相關的數據流提供保護。

eNodeB和SeGW使用數字證書進行身份認證，故需要在網絡中部署PKI系統和RADIUS/DHCP服務器。根據3GPP標準，CA服務器的證書請求響應消息中要攜帶根證書或證書鏈，因此CA服務器上要預置設備的根證書。

IPSec典型組網如圖4所示。

在這種典型網絡中部署了RADIUS/DHCP服務器，eNodeB通過DHCP協議獲取上述OM通道信息、運營商CA信息、SeGW信息。DHCP是實現主機動態配置的協議、配置參數的分配和分發。eNodeB獲得配置文件后，再與SeGW進行協商建立IPSec通道。

實際部署中，RADIUS/DHCP服務器和OM網管服務器可以部署在同一硬件上，但是分不同的邏輯通信實體。

4.3 IPSec組網規劃

規劃步驟依次是：部署SeGW和PKI系統；數據規劃；數據改造；基站環境檢查；修改網絡路由；IPSec通道和OM的建立。其中需要重點說明的是：

（1）數據規劃是重點，包括：規劃SeGW的IP地址、IKE加密算法、IKE DH組、認證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務器的CA Name、簽名算法相關信息。

（2）基站環境檢查：是否已配置IPSec的License、是否預置設備證書和根證書。

（3）修改網絡路由：使所有需要IPSec保護的數據流先經過SeGW再到達目的端。

IPSec組網還需要考慮安全域、認證方式和數據流保護這三個主要因素，具體如下：

（1）整個網絡分為安全域和非安全域，IPSec只保護非安全域。通常情況下，接入網絡被認為是不安全的，而核心網絡是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護。

（2）eNodeB與SeGW之間的認證方式采用PKI認證。

（3）eNodeB的數據流包括信令面、用戶面、OM通道、時鐘等數據流。在做組網規劃時應識別出要保護的數據流，指定保護策略。對于OM通道，eNodeB提供IPSec+SSL保護。

（4）對于eNodeB之間X2接口的數據流，推薦采用集中式安全保護方式。集中式安全組網下，多個eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數據流利用該IPSec通道進行安全保護。

4.4 IPSec的封裝模式選擇

IPSec數據流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護。兩者區別如下：

（1）隧道模式：只對原始IP數據包提供安全保護。

（2）傳輸模式：對IP數據包的有效載荷和高層協議提供保護。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優于傳輸模式，因為隧道模式可以對原始IP報文完整地進行加密和完整性保護。

（2）性能：傳輸模式優于隧道模式，因為隧道模式多額外的IP頭，占用更多帶寬。

（3）隧道模式要求網絡中部署SeGW來隔離安全域和非安全域，并在SeGW上實施隧道封裝、加密、完整性保護等功能；而傳輸模式則需要通信兩端都支持IKE協商、加密、完整性保護等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權衡，并根據IPSec對端所支持的模式來進行配置。

4.5 IPSec通道備份組網規劃

為了保障IPSec通道的安全進行通道的主備組網，分為以下兩種方式：

（1）eNodeB出兩個物理端口分配4個IP，與兩個SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個端口上，并啟用BFD檢測。IP1對IP2，IP3對IP4。

（2）eNodeB出一個端口分配3個IP，也建兩條IPSec通道，但IP1對應IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時可用（一主一備）。對于上行傳輸，eNodeB選用主用通道；對于下行傳輸，eNodeB在主備兩條IPSec通道同時接收數據，并利用BFD檢測自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數據的傳輸切換到備用通道。

4.6 eNodeB級聯場景下IPSec組網

在特殊情況下eNodeB存在級聯，級聯eNodeB有以下兩種方式實現IPSec功能：

（1）各eNodeB-1和2獨立實現IPSec功能，Hub eNodeB-1負責路由轉發。

（2）Hub eNodeB-3統一提供所下掛基站的IPSec功能。

eNodeB級聯組網如圖5所示。

5 結束語

在數據鏈路層802.1x可以保證eNodeB合法接入；網絡層IPSec為eNodeB提供全程IP傳輸安全，保證數據的機密性、完整性和可用性；應用層SSL對OM通道的數據提供加密保護；三種技術完成不同層次的傳輸安全保護。本文結合筆者多年的設計經驗，給出了安全組網方案及傳輸網絡規劃時需要考慮的各種關鍵因素，為實際工程規劃提供了參考。

參考文獻：

[1] 廣州杰賽通信規劃設計院. LTE網絡規劃設計手冊[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國防工業出版社， 2006.

[3] 藍集明，陳林. 對IPSec中AH和ESP協議的分析與建議[J]. 計算機技術與發展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協議及其在寬帶接入中的應用[J]. 重慶郵電學院學報： 自然科學版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計， 2004（4）： 586-588.★endprint

4.1 非安全組網向PKI安全組網演進

非安全組網向PKI安全組網演進如圖3所示：

（1）需要在網絡中部署SeGW安全網關，SeGW上部署設備證書和根證書。

（2）部署PKI系統，CA服務器上預置設備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認證。

（4）OM網管通道采用IPSec+SSL技術。

4.2 IPSec組網案例

IPSec在應用時需要使用SeGW功能，在LTE網絡中通常由MME或S-GW兼做。IPSec SA由eNodeB根據配置的IPSec安全策略和SeGW進行IKE協商建立，形成ACL、IPSec安全提議兩個部分。eNodeB通過ACL來指定要保護的數據流；IPSec安全提議負責定義包括對數據流的封裝模式、采用的安全協議、加密算法和認證算法。

IPSec負責對eNodeB的信令、業務數據流和OM數據流，以及eNodeB與CA服務器、CRL服務器之間證書管理相關的數據流提供保護。

eNodeB和SeGW使用數字證書進行身份認證，故需要在網絡中部署PKI系統和RADIUS/DHCP服務器。根據3GPP標準，CA服務器的證書請求響應消息中要攜帶根證書或證書鏈，因此CA服務器上要預置設備的根證書。

IPSec典型組網如圖4所示。

在這種典型網絡中部署了RADIUS/DHCP服務器，eNodeB通過DHCP協議獲取上述OM通道信息、運營商CA信息、SeGW信息。DHCP是實現主機動態配置的協議、配置參數的分配和分發。eNodeB獲得配置文件后，再與SeGW進行協商建立IPSec通道。

實際部署中，RADIUS/DHCP服務器和OM網管服務器可以部署在同一硬件上，但是分不同的邏輯通信實體。

4.3 IPSec組網規劃

規劃步驟依次是：部署SeGW和PKI系統；數據規劃；數據改造；基站環境檢查；修改網絡路由；IPSec通道和OM的建立。其中需要重點說明的是：

（1）數據規劃是重點，包括：規劃SeGW的IP地址、IKE加密算法、IKE DH組、認證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務器的CA Name、簽名算法相關信息。

（2）基站環境檢查：是否已配置IPSec的License、是否預置設備證書和根證書。

（3）修改網絡路由：使所有需要IPSec保護的數據流先經過SeGW再到達目的端。

IPSec組網還需要考慮安全域、認證方式和數據流保護這三個主要因素，具體如下：

（1）整個網絡分為安全域和非安全域，IPSec只保護非安全域。通常情況下，接入網絡被認為是不安全的，而核心網絡是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護。

（2）eNodeB與SeGW之間的認證方式采用PKI認證。

（3）eNodeB的數據流包括信令面、用戶面、OM通道、時鐘等數據流。在做組網規劃時應識別出要保護的數據流，指定保護策略。對于OM通道，eNodeB提供IPSec+SSL保護。

（4）對于eNodeB之間X2接口的數據流，推薦采用集中式安全保護方式。集中式安全組網下，多個eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數據流利用該IPSec通道進行安全保護。

4.4 IPSec的封裝模式選擇

IPSec數據流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護。兩者區別如下：

（1）隧道模式：只對原始IP數據包提供安全保護。

（2）傳輸模式：對IP數據包的有效載荷和高層協議提供保護。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優于傳輸模式，因為隧道模式可以對原始IP報文完整地進行加密和完整性保護。

（2）性能：傳輸模式優于隧道模式，因為隧道模式多額外的IP頭，占用更多帶寬。

（3）隧道模式要求網絡中部署SeGW來隔離安全域和非安全域，并在SeGW上實施隧道封裝、加密、完整性保護等功能；而傳輸模式則需要通信兩端都支持IKE協商、加密、完整性保護等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權衡，并根據IPSec對端所支持的模式來進行配置。

4.5 IPSec通道備份組網規劃

為了保障IPSec通道的安全進行通道的主備組網，分為以下兩種方式：

（1）eNodeB出兩個物理端口分配4個IP，與兩個SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個端口上，并啟用BFD檢測。IP1對IP2，IP3對IP4。

（2）eNodeB出一個端口分配3個IP，也建兩條IPSec通道，但IP1對應IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時可用（一主一備）。對于上行傳輸，eNodeB選用主用通道；對于下行傳輸，eNodeB在主備兩條IPSec通道同時接收數據，并利用BFD檢測自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數據的傳輸切換到備用通道。

4.6 eNodeB級聯場景下IPSec組網

在特殊情況下eNodeB存在級聯，級聯eNodeB有以下兩種方式實現IPSec功能：

（1）各eNodeB-1和2獨立實現IPSec功能，Hub eNodeB-1負責路由轉發。

（2）Hub eNodeB-3統一提供所下掛基站的IPSec功能。

eNodeB級聯組網如圖5所示。

5 結束語

在數據鏈路層802.1x可以保證eNodeB合法接入；網絡層IPSec為eNodeB提供全程IP傳輸安全，保證數據的機密性、完整性和可用性；應用層SSL對OM通道的數據提供加密保護；三種技術完成不同層次的傳輸安全保護。本文結合筆者多年的設計經驗，給出了安全組網方案及傳輸網絡規劃時需要考慮的各種關鍵因素，為實際工程規劃提供了參考。

參考文獻：

[1] 廣州杰賽通信規劃設計院. LTE網絡規劃設計手冊[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國防工業出版社， 2006.

[3] 藍集明，陳林. 對IPSec中AH和ESP協議的分析與建議[J]. 計算機技術與發展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協議及其在寬帶接入中的應用[J]. 重慶郵電學院學報： 自然科學版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計， 2004（4）： 586-588.★endprint