LTE核心網(wǎng)安全性能的探究

童沖

【摘要】演進(jìn)分組核心（Evolved Packet Core，EPC）是長期演進(jìn)（Long Term Evolution ， LTE）網(wǎng)絡(luò)的核心網(wǎng)，它是一個支持全I(xiàn)P的、高速率的、基于分組的和低時延的扁平型網(wǎng)絡(luò)，給人們帶來良好用戶體驗的同時，也引入了一些安全隱患。主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議方面研究了LTE核心網(wǎng)面臨的安全缺陷，分析了其可能導(dǎo)致的安全威脅，并提出了一系列安全性增強方案，使LTE系統(tǒng)更加安全。

【關(guān)鍵詞】LTE（長期演進(jìn)Long Term Evolution）；核心網(wǎng)；安全

Research on the safety performance of LTE core network

Tong Chong

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】Evolved Packet Core （Evolved Packet Core， EPC） is a long-term Evolution （Long Term Evolution， LTE） network Core network， it is a support of the whole IP， high speed， based on the grouping of flat and low delay of the network， bring people a good user experience at the same time， also introduced some safety hidden trouble. Mainly from the aspects of core LTE network architecture， interfaces and protocols to study the LTE core network security flaws， it could lead to security threats are analyzed， and put forward a series of security enhancement scheme， make the LTE system more secure.

【Key words】LTE （Long Term Evolution）；Core network；Security

1. 前言

（1）隨著移動通信技術(shù)的快速發(fā)展，為滿足人們對高用戶數(shù)據(jù)速率，大系統(tǒng)容量和無縫接入的需求，3GPP標(biāo)準(zhǔn)組織啟動了面向無線網(wǎng)絡(luò)演進(jìn)計劃的長期演進(jìn)（Long Term Evolution，LTE）以及面向核心網(wǎng)絡(luò)演進(jìn)計劃的系統(tǒng)框架演進(jìn)（System Architecture E-volution，SAE）項目。如今，LTE網(wǎng)絡(luò)已在全球范圍內(nèi)廣泛部署。據(jù)全球移動設(shè)備供應(yīng)商協(xié)會（GSA）2015年1月7日發(fā)布的統(tǒng)計數(shù)據(jù)顯示，2014年全球電信運營商共推出了96張LTE網(wǎng)絡(luò)，截至2014年12月底，全球共有360張商用LTE網(wǎng)絡(luò)分布于124個國家和地區(qū)。

（2）由于LTE網(wǎng)絡(luò)架構(gòu)相對于傳統(tǒng)通信技術(shù)有較大改變，采用了更加扁平化的結(jié)構(gòu)，并且面臨多種無線技術(shù)并存和異構(gòu)網(wǎng)絡(luò)共存、融合和互聯(lián)互通的趨勢，LTE通信系統(tǒng)安全問題也日益復(fù)雜和重要。

（3）目前國內(nèi)外對LTE安全研究主要集中在安全機制、鑒權(quán)和加密算法方面，沒有對LTE核心網(wǎng)進(jìn)行系統(tǒng)化的研究。針對移動設(shè)備的攻擊可能會對目標(biāo)設(shè)備和用戶造成有限的破壞性威脅，而針對核心網(wǎng)的攻擊將產(chǎn)生更嚴(yán)重的后果，很可能威脅某個區(qū)域或是影響整個網(wǎng)絡(luò)的正常運轉(zhuǎn)。

圖1LTE網(wǎng)絡(luò)架構(gòu)

2. LTE安全體系結(jié)構(gòu)

LTE網(wǎng)絡(luò)由E-UTRAN和EPC組成，又稱EPS（Evolved Packet System）。E-UTRAN由多個NodeB組成，eNodeB間通過X2接口通信。EPC由MME、SGW、PGW和PCRF組成。EPC和E-UTRAN間使用S1接口。 LTE網(wǎng)絡(luò)架構(gòu)如圖1所示，其特點為：

（1）LTE網(wǎng)絡(luò)只有分組域，而沒有電路域：在標(biāo)準(zhǔn)的LTE網(wǎng)絡(luò)結(jié)構(gòu)下，核心網(wǎng)不再具有電路域CS，只提供分組業(yè)務(wù)。對語音業(yè)務(wù)的實現(xiàn)，可以通過IMS系統(tǒng)實現(xiàn)V OIP業(yè)務(wù)；

（2）網(wǎng)絡(luò)結(jié)構(gòu)扁平化，承載和控制相分離：承載和控制分離，MME實現(xiàn)控制功能，SGW實現(xiàn)用戶面功能；

（3）基于全I(xiàn)P架構(gòu)；GTPCv2協(xié)議和Diamete：協(xié)議是核心網(wǎng)控制面的主要協(xié)議，GTPUvl協(xié)議是用戶面的主要協(xié)，UDP協(xié)議和SCTP協(xié)議是傳輸層的主要協(xié)議。

（4）其他重要特點：支持多種接入方式、永遠(yuǎn)在線：不僅支持3GPP接入方式，還支持non 3 GPP接入方式，包括可靠的和不可靠的（LTE網(wǎng)絡(luò)架構(gòu)見圖1）。

3. LTE核心網(wǎng)安全性問題

LTE核心網(wǎng)的安全問題主要考慮其面臨的各種威脅和攻擊，對LTE核心網(wǎng)的攻擊可能來源于其他與核心網(wǎng)絡(luò)連接的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)和全球漫游合作伙伴，或者是來自核心網(wǎng)內(nèi)部，如從核心網(wǎng)絡(luò)內(nèi)提供服務(wù)的內(nèi)容提供商。攻擊可能來自于任何網(wǎng)絡(luò)接口。眾所周知，基于IP的網(wǎng)絡(luò)面臨各種威脅。發(fā)起對網(wǎng)絡(luò)的攻擊旨在：竊取信息，使信息失真，破壞信息或主機軟件，或使信息或服務(wù)不可用；可能降低網(wǎng)絡(luò)的總體性能，導(dǎo)致系統(tǒng)死機；或者針對特定的應(yīng)用如計費系統(tǒng)。接下來，主要從網(wǎng)絡(luò)架構(gòu)、接口和協(xié)議幾個方面分析LTE核心網(wǎng)安全。

3.1LTE網(wǎng)絡(luò)架構(gòu)安全問題。

LTE網(wǎng)絡(luò)被設(shè)計為扁平的全I(xiàn)P架構(gòu)，支持與異構(gòu)無線接入網(wǎng)絡(luò)全互通。LTE網(wǎng)絡(luò)這種獨特的特征存在安全機制的漏洞。

（1）基于IP扁平的3GPP LTE網(wǎng)絡(luò)架構(gòu)比GSM和U MTS網(wǎng)絡(luò)存在更多的安全風(fēng)險，如注入、篡改、竊聽和其他隱私泄露風(fēng)險。LTE網(wǎng)絡(luò)架構(gòu)比互聯(lián)網(wǎng)更容易受到傳統(tǒng)的惡意攻擊，如IP地址欺騙、DOS攻擊、病毒、蠕蟲、垃圾電子郵件及電話等；

（2）LTE系統(tǒng)的基站存在潛在的弱點。由于LTE網(wǎng)絡(luò)的全I(xiàn)P網(wǎng)絡(luò)特性，一旦攻擊攻破了基站，它可進(jìn)一步危及整個網(wǎng)絡(luò)；

（3）LTE網(wǎng)絡(luò)架構(gòu)在切換認(rèn)證過程存在一些新的問題。為了在E}JTRAN和non 3 GPP接入網(wǎng)絡(luò)間實現(xiàn)安全無縫切換，3GPP提出幾種切換認(rèn)證方法。但是UE切換到新的接入網(wǎng)絡(luò)之前，UE和目標(biāo)接入網(wǎng)絡(luò)之間需要遍歷完整的接入認(rèn)證過程，由于與認(rèn)證、授權(quán)、計費（AAA）服務(wù)器或相關(guān)代理AAA服務(wù)器的多輪消息交換，這將帶來較長的切換延遲。另外，不同移動場景需要不同的切換認(rèn)證過程，這將提高整個系統(tǒng)的復(fù)雜性。這些風(fēng)險將不僅對LTE網(wǎng)絡(luò)支持持續(xù)的連通性帶來很多困難，也可能被攻擊者利用來攻擊其他接入網(wǎng)或核心網(wǎng)，消耗網(wǎng)絡(luò)資源，甚至使整個網(wǎng)絡(luò)癱瘓。

3.2LTE核心網(wǎng)接口安全。

3.2.1LTE核心網(wǎng)網(wǎng)絡(luò)安全威脅可能來自接入網(wǎng)，漫游合作伙伴，以及Internet，分別通過Sl 、S8和SGi接口連接，如圖2所示（LTE核心網(wǎng)外部接口見圖2）。

（1） S1接口。

越來越多的基站在公共區(qū)域，這使得它們?nèi)菀妆环欠ù鄹摹Ｓ捎贚TE回傳網(wǎng)絡(luò)中沒有部署RNC一個受侵害的eNodeB基站接入網(wǎng)絡(luò)后，可以對移動管理實體（MME）或核心網(wǎng)網(wǎng)關(guān)（sAE}W）發(fā)起中間人攻擊，從而影響整個核心服務(wù)。用戶平面數(shù)據(jù)的空口加密終止于eNB}LTE回傳網(wǎng)絡(luò)還可能被未授權(quán)用戶竊聽。

（2） sci接口。

LTE移動網(wǎng)絡(luò)通過sc}接口連接數(shù)百萬的設(shè)備到Internet或其他不安全的網(wǎng)絡(luò)一使得網(wǎng)絡(luò)暴露于一系列web威脅包括惡意軟件、洪泛攻擊、DoS攻擊、僵尸網(wǎng)絡(luò)和端口掃描等。

（3） S8接口。

運營商必須允許移動用戶漫游訪問互聯(lián)網(wǎng)，這意味著移動網(wǎng)絡(luò)運營商必須互聯(lián)互通。這需要使用S8接口接入漫游交換網(wǎng)絡(luò)，它作為一個樞紐連接漫游用戶，解決了各服務(wù)提供商之間對專用鏈路的需求。

3.2.2因此，當(dāng)與其他運營商和不信任的網(wǎng)絡(luò)之間的漫游互聯(lián)時，必須保證移動網(wǎng)絡(luò)運營商的分組核心成員的安全。由于目前S8接口是用于網(wǎng)間漫游業(yè)務(wù)，最常見的安全威脅類型使用DOS技術(shù)針對服務(wù)的可用性，進(jìn)行如數(shù)據(jù)洪泛、帶寬飽和、欺騙或緩存污染等攻擊[#]。S8接口也容易受到超額計費攻擊，如果移動臺能夠劫持一個合法的IP地址身份，就可以開始非法下載數(shù)據(jù)。

3.3LTE核心網(wǎng)協(xié)議安全

在LTE核心網(wǎng)中，最重要的協(xié)議是Diameter和GTP協(xié)議，接下來主要討論它們的安全性。

3.3.1Diameter協(xié)議。

（1）在LTE網(wǎng)絡(luò)中，3GPP委托協(xié)議Diameter和SIP作為信令接口取代了傳統(tǒng)的SS7信令系統(tǒng)協(xié)議。許多核心網(wǎng)接口和服務(wù)都使用Diamete：接口，包括HHS、MME、PCRF、SAW /PAW和IMS核心網(wǎng)。引入Diameter協(xié)議對擁塞管理和業(yè)務(wù)處理機制也具有一些挑戰(zhàn)。3G網(wǎng)絡(luò)中，RNC是主要的信令瓶頸，負(fù)責(zé)信令和承載業(yè)務(wù)。相比SS7 } Diamete：接口明顯增加了大量的信令，稱為4G移動核心網(wǎng)的信令風(fēng)暴，這是移動核心網(wǎng)一個新興的威脅，對移動運營商和設(shè)備供應(yīng)商會產(chǎn)生一定影響。Diamete：是端到端基于IP的協(xié)議，與SS7協(xié)議不同，它不支持擁塞控制和管理，這是LTE網(wǎng)絡(luò)主要的問題。如圖3所示，Diameter使用TCP或SCTP傳輸機制實現(xiàn)了IP。在涌入大量的Diamete：請求時，LTE網(wǎng)絡(luò)的這種傳輸機制暴露了TCP擁塞的問題。這成為利用DoS /DDoS攻擊產(chǎn)生大量業(yè)務(wù)的一個瓶頸。當(dāng)diameter服務(wù)器過載或擁塞時，需要有能力通知發(fā)送端縮減業(yè)務(wù)量來卸載流量，它將因為發(fā)送和響應(yīng)消息消耗掉所有的資源，從而導(dǎo)致服務(wù)器節(jié)點崩潰。過載的原因：CPU、內(nèi)存和I/U資源有足夠的能力處理信息；中間網(wǎng)絡(luò)節(jié)點失敗；網(wǎng)絡(luò)發(fā)起大量的業(yè)務(wù)；網(wǎng)絡(luò)用戶發(fā)起的業(yè)務(wù)和DoS /DDoS攻擊。過載和擁塞最主要的問題是節(jié)點和網(wǎng)絡(luò)的完全失敗，將會影響網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)性能。Diameter接口過載可能導(dǎo)致以下影響：拒絕服務(wù)、移動寬度連接丟失、緊急服務(wù)和合法攔截位置信息丟失、策略控制實施和計費錯誤導(dǎo)致收入損失。

（2）此外，當(dāng)發(fā)送合法的端到端請求或響應(yīng)時，Di-ameter協(xié)議無法區(qū)分其是否為濫用，例如如果MME濫用信令，向HSS發(fā)起大量的信令請求計算鑒權(quán)向量，使得HSS飽和，無法為合法用戶服務(wù)導(dǎo)致DoS攻擊（Diameter協(xié)議棧見圖3）。

3.3.2GTP協(xié)議。

（1）在EPC網(wǎng)絡(luò)中，GTP協(xié)議的主要功能是提供網(wǎng)絡(luò)節(jié)點之間的隧道的建立、用戶移動性和會話管理。GTP分為GTP-C和GTP-U，分別對應(yīng)于GTP控制平面和GTP用戶平面。如圖4所示GTP協(xié)議本身幾乎沒有任何安全考慮，而是依靠下層IPSec等安全協(xié)議來保證安全，存在著大量的安全漏洞和安全威脅，可以被用作對整個網(wǎng)絡(luò)進(jìn)行攻擊的手段，包括最簡單的“超額計費”到“節(jié)點攻擊”，而且GTP協(xié)議是基于UDP面向無連接的協(xié)議，具有分組易被篡改的弱點（GTP協(xié)議棧見圖4）。

（2）GTP協(xié)議的安全問題可以分為：協(xié)議異常攻擊，利用協(xié)議處理程序的漏洞產(chǎn)生異常，損壞或不遵循協(xié)議規(guī)則的PD U，從而降低系統(tǒng)性能或獲得非法權(quán)限；基礎(chǔ)設(shè)施攻擊（GTP欺騙），將攻擊數(shù)據(jù)包封裝成GTP攻擊其他網(wǎng)絡(luò)成員；資源耗盡攻擊。

4. 安全性增強方案

在本節(jié)中，主要介紹了一些安全性增強方案。

4.1LTE網(wǎng)絡(luò)架構(gòu)。

（1）對于LTE安全體系結(jié)構(gòu)，為確保UE、基站和EPC間的安全通信，需要設(shè)計更多的安全機制，以解決LTE網(wǎng)絡(luò)傳統(tǒng)的協(xié)議攻擊和物理攻擊。此外，需要設(shè)計更有效的切換認(rèn)證體系，實現(xiàn)基站間、3GPP網(wǎng)絡(luò)與非3GPP網(wǎng)絡(luò)之間無縫切換的安全。

（2）文獻(xiàn)[10]提出一個新的簡單且強大的基于改進(jìn)代理簽名切換認(rèn)證方案，它可以適用于所有的移動場景，包括基站內(nèi)和基站間的切換。通過該方案，UE與目標(biāo)eNB可以直接完成強制認(rèn)證，當(dāng)UE進(jìn)入目標(biāo)eNB覆蓋區(qū)域時由代理簽名生成長期密鑰，從而建立一個會話密鑰。其認(rèn)證過程簡單，無需復(fù)雜的密鑰管理，可以達(dá)到理想的效果。但是，代理簽名的使用仍存在效率低下和不兼容的缺點。

4.2LTE核心網(wǎng)接口。

對于S1接口，3GPP標(biāo)準(zhǔn)建議采用IPsec （IP安全協(xié)議）來確保eNodeB和核心網(wǎng)之間的安全。為確保SGi接口的安全，需要一種電信級網(wǎng)絡(luò)地址轉(zhuǎn)換（CGN）解決方案。在SGi接口使用CGN解決方案隱藏核心網(wǎng)服務(wù)IP地址和公共的因特網(wǎng)設(shè)備，保證它們的安全性，避免遭受DoS攻擊，以及減少核心網(wǎng)和無線網(wǎng)絡(luò)“信令風(fēng)暴”的風(fēng)險，避免計費攻擊。對于S8接口安全，需要安全網(wǎng)關(guān)對S8接口的協(xié)議進(jìn)行深度狀態(tài)包檢測，以此來預(yù)見惡意攻擊。

4.3LTE核心網(wǎng)協(xié)議。

為解決diameter接口擁塞的問題，可以在diam-eter客戶和服務(wù)器的傳輸層采用擁塞通知的方法，在擁塞發(fā)生前，在IPv4或IPv6頭標(biāo)記該diameter IP包。當(dāng)TCP接收端收到標(biāo)記了擁塞的包，將在隨后的ACK（確認(rèn)）消息中通知擁塞將發(fā)生，由此反過來觸發(fā)發(fā)送端的擁塞避免算法。

5. 結(jié)束語

和以往的部署為時分復(fù)用，異步傳輸模式和基于SS7的回程傳輸?shù)姆涓C技術(shù)版本不同，LTE網(wǎng)絡(luò)部署支持全I(xiàn)P扁平型架構(gòu)。全I(xiàn)P網(wǎng)絡(luò)暴露了一些安全威脅，而LTE核心網(wǎng)的安全更會關(guān)乎整個網(wǎng)絡(luò)的運作，主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議幾個方面分析了LTE核心網(wǎng)面臨的安全缺陷及其可能。

參考文獻(xiàn)

[1]姜怡華，許慕鴻，習(xí)建德，等3GPP系統(tǒng)架構(gòu)演進(jìn)（SAE）原理與設(shè)計「M」北京：人民郵電出版社，2010：298一302.

[2]Andr， Egners. Threat and Risk Analysis for Mobile Communic；ation Networks and Mobile Terminals 【R】.NokiaSiemens Networks Researc；h}2013：23一28.

[3]汪辰良LTE安全接入機制研究「D」西安：西安電子科技大學(xué)，2012.

[4]陳志南，彭建華，劉彩霞，劉樹新EPC網(wǎng)絡(luò)安全問題研究田信息工程大學(xué)學(xué)報，2013，14（3） ：371一375.