TD Femto系統安全問題研究*

王曉鳴，夏 銘，蔣 鑫

(中國移動通信集團上海有限公司 上海200060)

1 簡介

近年來，TD網絡規模不斷擴大，用戶數量不斷增加。由于TD頻率較高，與GSM相比，信號穿透能力較差，因此室內覆蓋成為TD網絡優化的一個難點，一般會采用設立室內分布系統的方式來實現室內覆蓋。但是在現有條件下，室內分布系統一般只能架設在一些酒店、中高檔小區或公共熱點場所。對于一般的居民小區，由于各種原因無法架設室分系統，因此會出現室內TD信號很弱甚至根本沒有TD信號的情況，對用戶業務體驗造成很大的影響。

TD Femto系統采用用戶家中的寬帶接入，通過Internet接入到安全網關及運營商的核心網，為用戶提供無線信號覆蓋，改善用戶體驗，是室內覆蓋補盲的一項重要技術。但是，由于TD Femto系統實際上是將運營商的一部分設備放在了用戶家中，因此在引入TD Femto時，必須考慮TD Femto系統的安全性。一般來說，TD Femto系統所面臨的安全威脅可以分為兩大類。

（1）從TDFemto系統外部發起的攻擊威脅

這類威脅主要指的是針對無線鏈路和IP鏈路的攻擊以及利用TD Femto的IP鏈路對運營商核心網絡發起的攻擊。

（2）從TDFemto系統內部發起的攻擊威脅

這類威脅主要指的是針對TD Femto系統本身的攻擊。由于TD Femto基站是放在用戶家中的，因此需要面對TD Femto被破解或者被修改的威脅。

本文將從兩方面闡述TD Femto系統的安全機制，并針對每個安全隱患提出可能的解決方案。

2 TD Femto系統所面臨的外部威脅

TD Femto所面臨的外部威脅指的是攻擊者在不改變TD Femto基站本身的前提下，針對TD Femto系統提供的鏈路所發起的竊聽或者攻擊，主要包括以下幾種攻擊。

（1）對無線接口的竊聽

由于Uu口的數據是通過無線介質傳輸的，因此可以被輕易截獲，對無線接口的竊聽是所有無線通信網絡都必須要面對的一個威脅，因此對無線信號進行加密成為保障Uu口安全性的一個重要研究點。由于TD Femto系統的Uu口與TD宏網的Uu口完全相同，因此，TD Femto系統可采用和宏網相同的方法來保證空口的安全。

進行加密計算必定會占用基站一定的計算資源，對于傳統宏基站，加密所需的計算資源并不會太多地影響基站性能，但是對于TD Femto基站，其體積較小、功耗較低，考慮到成本控制問題，整個基站的計算性能和宏基站相比必然較差，如何在這樣的軟、硬件平臺上實現高效的加密和解密功能，讓基站在進行加密和解密的同時不至于消耗過多的系統資源以至影響系統性能，這就需要對加密和解密進行一定的優化，以減少系統的負荷。

（2）對IP承載網的竊聽

在傳統網絡中，基站和RNC之間所傳輸的信令及數據都是在運營商內部網絡中運營的，因此不需要考慮太多的安全問題，但是TDFemto系統的Iu-H口是通過Internet傳輸數據的，而Internet一般被認為是一個不安全的網絡，因此對在公網傳輸的數據和信令必須進行額外的加密保護。加密保護分為兩個階段：TD Femto基站和TDFemto網關進行雙向鑒權時的信令安全性以及TD Femto基站正常工作時與TD Femto網關之間的信令、數據的安全性。

在TD Femto系統中，一般采用IKEv2來實現鑒權時的安全性，IKEv2(Internet密鑰交換協議v2)用于交換和管理在VPN中使用的加密密鑰，解決了在不安全網絡環境中安全建立或者更新共享密鑰的問題。IKE屬于一種混合型協議，由Internet安全關聯和密鑰管理協議(ISAKMP)與兩種密鑰交換協議OAKLEY和SKEME組成。

在TD Femto正常工作時，一般采用IPSec協議保證數據包的安全。IPSec是Internet工程任務組(IETF)為IP安全推薦的一個協議，通過使用加密的安全服務確保在Internet網絡上進行保密而安全的通信。IPSec提供3種不同形式保護傳輸數據的安全。

·認證：可以確定接受數據和發送數據一致，同時可以確定申請發送者實際上是真實發送者，而不是偽裝的。

·數據完整：保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。

·機密性：使相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容。

（3）使用非法終端接入TD Femto基站

用戶在家中使用TD Femto系統時，實際上是利用了家中的寬帶網絡進行回程，有必要禁止其他未經許可的終端通過用戶的TD Femto基站進行業務。

一般采用用戶準入列表的方式控制非法終端接入指定TD Femto終端。用戶可以設定一個用戶準入列表，只允許指定IMSI接入TD Femto基站，如果有非法用戶試圖接入TD Femto終端，網關會向Femto HLR查詢該TD Femto基站用戶的準入列表，如果該IMSI不在準入列表中，則拒絕該用戶的接入。

（4）使用非法TDFemto基站接入運營商核心網

運營商一般會給予在TDFemto基站上的用戶一定的業務費用優惠，這就需要對TDFemto基站本身進行鑒權認證，以防止非法的TDFemto基站接入運營商網絡。在TDFemto基站進行注冊時，TDFemto網關會要求TDFemto進行鑒權。如果成功通過鑒權，則說明該基站為合法用戶，TD Femto網關會將該基站接入系統中；如果無法通過鑒權，則說明該基站為非法用戶，TDFemto網關會拒絕該用戶的接入。

對TD Femto基站本身進行認證的方法有兩種：EAP-AKA鑒權方式和證書認證方式。

EAP-AKA(UMTS身份驗證和密鑰協議的可擴展身份驗證協議方法)是用于身份驗證和會話密鑰分發的一種機制，使用USIM卡實現終端和網絡之間的雙向鑒權，一般被用于3G網絡中。EAP-AKA克服了EAP-SIM的已知缺陷，提供了足夠的安全性。采用EAP-AKA鑒權方式要求TDFemto基站集成一張USIM卡，并通過該USIM卡進行EAP-AKA雙向鑒權。

數字證書是互聯網通信中標志通信各方身份信息的一系列數據，提供了一種在Internet上驗證身份的方式，進行數字證書認證時，需要有一個權威CA(certificate authority，證書授權)機構管理發行所有的數字證書。數字證書采用公鑰機制，即采用一對互相匹配的密鑰進行加密和解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰)，用它進行解密和簽名，同時設定一把公共密鑰(公鑰)并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。

（5）利用Internet對運營商核心網發起攻擊

將TD Femto基站放在用戶家中，TD Femto基站利用Internet連接到TD Femto網關，從另外一個角度來看，TD Femto基站提供了一條可以通過Internet攻擊運營商核心網的鏈路。利用Internet對運營商核心網發起的攻擊可分為以下兩種。

·DoS(denial of service，拒絕服務攻擊)。指攻擊者想辦法讓目標機器停止服務，DoS攻擊有很多種類型，包括SYN Flood、IP欺騙Dos攻擊、UDP洪水攻擊、Ping洪流攻擊、teardrop攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊等。攻擊者進行DoS攻擊，實際上是讓服務器實現兩種效果：一是迫使服務器的緩沖區滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。DoS攻擊實際上利用了TCP協議本身的弱點，至今為止并沒有解決DoS攻擊非常有效的方法，只有從網絡的全局著眼，在網間基礎設施的各個層面上采取應對措施，包括在局域網層面上采取特殊措施，在網絡層傳輸層面上進行必要的安全設置，并安裝專門的DoS識別和預防工具，才能最大限度地減少DoS攻擊所造成的損失。另外，當設備受到DoS攻擊時，必須迅速對此發出告警。除了技術上的應對方案之外，在規章制度上也應有一整套嚴格的應對方案，一旦發現設備遭到DoS攻擊，應當馬上做出反應，盡可能地迅速阻止攻擊數據包，并迅速定位攻擊來源，并進行相應處理。

·對系統設備的遠程操縱。攻擊者可能通過TD Femto接入系統的鏈路連入核心網設備，并控制核心網設備，使運營商的利益受到損害。為了防止遠程控制，需要注意以下幾個方面：首先，必須將設備控制端口和TD Femto基站接入端口在物理上嚴格分開；其次，必須注意設備軟件的安全性能，盡可能減少軟件漏洞，以減少攻擊者在進行攻擊時可能利用的漏洞；再次，必須完善設備的告警裝置，當設備被遠程攻擊并控制時，必須迅速發起告警；最后，必須執行嚴格的規章制度管理，包括對用戶名密碼的管理，發現設備被遠程控制時的一系列操作規范流程等。

3 TD Femto系統所面臨的內部威脅

傳統的通信網絡安全都有一個基本假設，即攻擊者無法直接接觸運營商的設備，但是TD Femto基站是直接放在用戶的家中的，也就是說，攻擊者可以直接接觸到運營商的基站設備，這就必須考慮到攻擊者對Femto基站本身的攻擊。這一類攻擊大致可以分為以下兩種。

（1）非法獲取保存在TD Femto上的運營商數據

作為運營商設備，Femto設備上可能會存儲一些運營商敏感數據，比如準入用戶列表、設備統計信息、運營商配置信息、計費話單、USIM卡信息等，運營商一般并不希望用戶可以隨便得知這一類信息。針對該類威脅，需要從兩方面入手：首先，盡量減少在TD Femto基站上存放的運營商數據，準入用戶列表應當放在Femto HLR中，用戶是否為合法用戶應當由TD Femto網關來判斷，而不是由TD Femto基站來判斷，計費話單信息不應由TD Femto基站來統計實現；其次，對于不得不保存在TD Femto基站上的任何運營商信息，必須對相關數據進行加密，只有擁有密鑰才能對數據進行訪問，具體可以通過軟件加密或者配置專用加密存儲卡來實現。

（2）破解TDFemto系統，對其軟、硬件進行修改

與現有被破解的很多電子產品一樣，TD Femto基站同樣也面臨著被破解的問題，比較典型的攻擊類型包括：攻擊TD Femto基站的啟動流程，在啟動過程中允許非法程序或者直接用非法程序替代啟動程序；對TD Femto基站的位置限制信息進行攻擊；修改TD Femto基站的升級文件，加入非法程序；對TD Femto基站軟件本身進行非法修改；干預TD Femto基站無線工作方式等。這些修改都會對運營商造成很大的損失，因此必須設計足夠的安全保護機制，防止TD Femto基站被破解。

一般來說，TD Femto基站本身的安全性保護可以分為3類：首先是安全啟動功能，TDFemto基站在進行啟動的時候，必須進行安全性的鑒權，比較常用的做法是采用數字簽名技術，任何升級文件也必須采用數字簽名技術；其次是軟件運行保護，在TD Femto系統正常運行時，必須保證正在運行的軟件不被篡改，一旦發現被篡改，系統需要馬上發現并采取措施；最后，由于TD Femto基站是運營商設備的一部分，僅靠TD Femto基站本身的安全性保護措施是遠遠不夠的，必須結合整個系統對TD Femto基站進行安全性保護。

4 結束語

TD Femto系統和傳統的宏網不同，它將運營商的一部分設備放在用戶家中，并通過不安全的Internet訪問運營商網絡進行工作，這就必然會帶來一系列的安全問題。嚴格意義上來說，安全性問題是無法完全解決的，任何電子設備都很難逃脫被破解的命運，TDFemto基站也是如此，因此，我們必須對TDFemto的安全問題進行更為深入的研究。