LTE核心網安全性能的探究

童沖??

【摘要】演進分組核心（Evolved Packet Core，EPC）是長期演進（Long Term Evolution ， LTE）網絡的核心網，它是一個支持全IP的、高速率的、基于分組的和低時延的扁平型網絡，給人們帶來良好用戶體驗的同時，也引入了一些安全隱患。主要從LTE核心網架構、接口和協議方面研究了LTE核心網面臨的安全缺陷，分析了其可能導致的安全威脅，并提出了一系列安全性增強方案，使LTE系統更加安全。

【關鍵詞】LTE（長期演進Long Term Evolution）；核心網；安全

Research on the safety performance of LTE core network

Tong Chong

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】Evolved Packet Core （Evolved Packet Core， EPC） is a long-term Evolution （Long Term Evolution， LTE） network Core network， it is a support of the whole IP， high speed， based on the grouping of flat and low delay of the network， bring people a good user experience at the same time， also introduced some safety hidden trouble. Mainly from the aspects of core LTE network architecture， interfaces and protocols to study the LTE core network security flaws， it could lead to security threats are analyzed， and put forward a series of security enhancement scheme， make the LTE system more secure.

【Key words】LTE （Long Term Evolution）；Core network；Security

1. 前言

（1）隨著移動通信技術的快速發展，為滿足人們對高用戶數據速率，大系統容量和無縫接入的需求，3GPP標準組織啟動了面向無線網絡演進計劃的長期演進（Long Term Evolution，LTE）以及面向核心網絡演進計劃的系統框架演進（System Architecture E-volution，SAE）項目。如今，LTE網絡已在全球范圍內廣泛部署。據全球移動設備供應商協會（GSA）2015年1月7日發布的統計數據顯示，2014年全球電信運營商共推出了96張LTE網絡，截至2014年12月底，全球共有360張商用LTE網絡分布于124個國家和地區。

（2）由于LTE網絡架構相對于傳統通信技術有較大改變，采用了更加扁平化的結構，并且面臨多種無線技術并存和異構網絡共存、融合和互聯互通的趨勢，LTE通信系統安全問題也日益復雜和重要。

（3）目前國內外對LTE安全研究主要集中在安全機制、鑒權和加密算法方面，沒有對LTE核心網進行系統化的研究。針對移動設備的攻擊可能會對目標設備和用戶造成有限的破壞性威脅，而針對核心網的攻擊將產生更嚴重的后果，很可能威脅某個區域或是影響整個網絡的正常運轉。

圖1LTE網絡架構

2. LTE安全體系結構

LTE網絡由E-UTRAN和EPC組成，又稱EPS（Evolved Packet System）。E-UTRAN由多個NodeB組成，eNodeB間通過X2接口通信。EPC由MME、SGW、PGW和PCRF組成。EPC和E-UTRAN間使用S1接口。 LTE網絡架構如圖1所示，其特點為：

（1）LTE網絡只有分組域，而沒有電路域：在標準的LTE網絡結構下，核心網不再具有電路域CS，只提供分組業務。對語音業務的實現，可以通過IMS系統實現V OIP業務；

（2）網絡結構扁平化，承載和控制相分離：承載和控制分離，MME實現控制功能，SGW實現用戶面功能；

（3）基于全IP架構；GTPCv2協議和Diamete：協議是核心網控制面的主要協議，GTPUvl協議是用戶面的主要協，UDP協議和SCTP協議是傳輸層的主要協議。

（4）其他重要特點：支持多種接入方式、永遠在線：不僅支持3GPP接入方式，還支持non 3 GPP接入方式，包括可靠的和不可靠的（LTE網絡架構見圖1）。

3. LTE核心網安全性問題

LTE核心網的安全問題主要考慮其面臨的各種威脅和攻擊，對LTE核心網的攻擊可能來源于其他與核心網絡連接的網絡，如互聯網和全球漫游合作伙伴，或者是來自核心網內部，如從核心網絡內提供服務的內容提供商。攻擊可能來自于任何網絡接口。眾所周知，基于IP的網絡面臨各種威脅。發起對網絡的攻擊旨在：竊取信息，使信息失真，破壞信息或主機軟件，或使信息或服務不可用；可能降低網絡的總體性能，導致系統死機；或者針對特定的應用如計費系統。接下來，主要從網絡架構、接口和協議幾個方面分析LTE核心網安全。

3.1LTE網絡架構安全問題。

LTE網絡被設計為扁平的全IP架構，支持與異構無線接入網絡全互通。LTE網絡這種獨特的特征存在安全機制的漏洞。endprint

（1）基于IP扁平的3GPP LTE網絡架構比GSM和U MTS網絡存在更多的安全風險，如注入、篡改、竊聽和其他隱私泄露風險。LTE網絡架構比互聯網更容易受到傳統的惡意攻擊，如IP地址欺騙、DOS攻擊、病毒、蠕蟲、垃圾電子郵件及電話等；

（2）LTE系統的基站存在潛在的弱點。由于LTE網絡的全IP網絡特性，一旦攻擊攻破了基站，它可進一步危及整個網絡；

（3）LTE網絡架構在切換認證過程存在一些新的問題。為了在E}JTRAN和non 3 GPP接入網絡間實現安全無縫切換，3GPP提出幾種切換認證方法。但是UE切換到新的接入網絡之前，UE和目標接入網絡之間需要遍歷完整的接入認證過程，由于與認證、授權、計費（AAA）服務器或相關代理AAA服務器的多輪消息交換，這將帶來較長的切換延遲。另外，不同移動場景需要不同的切換認證過程，這將提高整個系統的復雜性。這些風險將不僅對LTE網絡支持持續的連通性帶來很多困難，也可能被攻擊者利用來攻擊其他接入網或核心網，消耗網絡資源，甚至使整個網絡癱瘓。

3.2LTE核心網接口安全。

3.2.1LTE核心網網絡安全威脅可能來自接入網，漫游合作伙伴，以及Internet，分別通過Sl 、S8和SGi接口連接，如圖2所示（LTE核心網外部接口見圖2）。

（1） S1接口。

越來越多的基站在公共區域，這使得它們容易被非法篡改。由于LTE回傳網絡中沒有部署RNC一個受侵害的eNodeB基站接入網絡后，可以對移動管理實體（MME）或核心網網關（sAE}W）發起中間人攻擊，從而影響整個核心服務。用戶平面數據的空口加密終止于eNB}LTE回傳網絡還可能被未授權用戶竊聽。

（2） sci接口。

LTE移動網絡通過sc}接口連接數百萬的設備到Internet或其他不安全的網絡一使得網絡暴露于一系列web威脅包括惡意軟件、洪泛攻擊、DoS攻擊、僵尸網絡和端口掃描等。

（3） S8接口。

運營商必須允許移動用戶漫游訪問互聯網，這意味著移動網絡運營商必須互聯互通。這需要使用S8接口接入漫游交換網絡，它作為一個樞紐連接漫游用戶，解決了各服務提供商之間對專用鏈路的需求。

3.2.2因此，當與其他運營商和不信任的網絡之間的漫游互聯時，必須保證移動網絡運營商的分組核心成員的安全。由于目前S8接口是用于網間漫游業務，最常見的安全威脅類型使用DOS技術針對服務的可用性，進行如數據洪泛、帶寬飽和、欺騙或緩存污染等攻擊[#]。S8接口也容易受到超額計費攻擊，如果移動臺能夠劫持一個合法的IP地址身份，就可以開始非法下載數據。

3.3LTE核心網協議安全

在LTE核心網中，最重要的協議是Diameter和GTP協議，接下來主要討論它們的安全性。

3.3.1Diameter協議。

（1）在LTE網絡中，3GPP委托協議Diameter和SIP作為信令接口取代了傳統的SS7信令系統協議。許多核心網接口和服務都使用Diamete：接口，包括HHS、MME、PCRF、SAW /PAW和IMS核心網。引入Diameter協議對擁塞管理和業務處理機制也具有一些挑戰。3G網絡中，RNC是主要的信令瓶頸，負責信令和承載業務。相比SS7 } Diamete：接口明顯增加了大量的信令，稱為4G移動核心網的信令風暴，這是移動核心網一個新興的威脅，對移動運營商和設備供應商會產生一定影響。Diamete：是端到端基于IP的協議，與SS7協議不同，它不支持擁塞控制和管理，這是LTE網絡主要的問題。如圖3所示，Diameter使用TCP或SCTP傳輸機制實現了IP。在涌入大量的Diamete：請求時，LTE網絡的這種傳輸機制暴露了TCP擁塞的問題。這成為利用DoS /DDoS攻擊產生大量業務的一個瓶頸。當diameter服務器過載或擁塞時，需要有能力通知發送端縮減業務量來卸載流量，它將因為發送和響應消息消耗掉所有的資源，從而導致服務器節點崩潰。過載的原因：CPU、內存和I/U資源有足夠的能力處理信息；中間網絡節點失敗；網絡發起大量的業務；網絡用戶發起的業務和DoS /DDoS攻擊。過載和擁塞最主要的問題是節點和網絡的完全失敗，將會影響網絡服務質量和網絡性能。Diameter接口過載可能導致以下影響：拒絕服務、移動寬度連接丟失、緊急服務和合法攔截位置信息丟失、策略控制實施和計費錯誤導致收入損失。

（2）此外，當發送合法的端到端請求或響應時，Di-ameter協議無法區分其是否為濫用，例如如果MME濫用信令，向HSS發起大量的信令請求計算鑒權向量，使得HSS飽和，無法為合法用戶服務導致DoS攻擊（Diameter協議棧見圖3）。

3.3.2GTP協議。

（1）在EPC網絡中，GTP協議的主要功能是提供網絡節點之間的隧道的建立、用戶移動性和會話管理。GTP分為GTP-C和GTP-U，分別對應于GTP控制平面和GTP用戶平面。如圖4所示GTP協議本身幾乎沒有任何安全考慮，而是依靠下層IPSec等安全協議來保證安全，存在著大量的安全漏洞和安全威脅，可以被用作對整個網絡進行攻擊的手段，包括最簡單的“超額計費”到“節點攻擊”，而且GTP協議是基于UDP面向無連接的協議，具有分組易被篡改的弱點（GTP協議棧見圖4）。

（2）GTP協議的安全問題可以分為：協議異常攻擊，利用協議處理程序的漏洞產生異常，損壞或不遵循協議規則的PD U，從而降低系統性能或獲得非法權限；基礎設施攻擊（GTP欺騙），將攻擊數據包封裝成GTP攻擊其他網絡成員；資源耗盡攻擊。

4. 安全性增強方案

在本節中，主要介紹了一些安全性增強方案。

4.1LTE網絡架構。endprint

（1）對于LTE安全體系結構，為確保UE、基站和EPC間的安全通信，需要設計更多的安全機制，以解決LTE網絡傳統的協議攻擊和物理攻擊。此外，需要設計更有效的切換認證體系，實現基站間、3GPP網絡與非3GPP網絡之間無縫切換的安全。

（2）文獻[10]提出一個新的簡單且強大的基于改進代理簽名切換認證方案，它可以適用于所有的移動場景，包括基站內和基站間的切換。通過該方案，UE與目標eNB可以直接完成強制認證，當UE進入目標eNB覆蓋區域時由代理簽名生成長期密鑰，從而建立一個會話密鑰。其認證過程簡單，無需復雜的密鑰管理，可以達到理想的效果。但是，代理簽名的使用仍存在效率低下和不兼容的缺點。

4.2LTE核心網接口。

對于S1接口，3GPP標準建議采用IPsec （IP安全協議）來確保eNodeB和核心網之間的安全。為確保SGi接口的安全，需要一種電信級網絡地址轉換（CGN）解決方案。在SGi接口使用CGN解決方案隱藏核心網服務IP地址和公共的因特網設備，保證它們的安全性，避免遭受DoS攻擊，以及減少核心網和無線網絡“信令風暴”的風險，避免計費攻擊。對于S8接口安全，需要安全網關對S8接口的協議進行深度狀態包檢測，以此來預見惡意攻擊。

4.3LTE核心網協議。

為解決diameter接口擁塞的問題，可以在diam-eter客戶和服務器的傳輸層采用擁塞通知的方法，在擁塞發生前，在IPv4或IPv6頭標記該diameter IP包。當TCP接收端收到標記了擁塞的包，將在隨后的ACK（確認）消息中通知擁塞將發生，由此反過來觸發發送端的擁塞避免算法。

5. 結束語

和以往的部署為時分復用，異步傳輸模式和基于SS7的回程傳輸的蜂窩技術版本不同，LTE網絡部署支持全IP扁平型架構。全IP網絡暴露了一些安全威脅，而LTE核心網的安全更會關乎整個網絡的運作，主要從LTE核心網架構、接口和協議幾個方面分析了LTE核心網面臨的安全缺陷及其可能。

參考文獻

[1]姜怡華，許慕鴻，習建德，等3GPP系統架構演進（SAE）原理與設計「M」北京：人民郵電出版社，2010：298一302.

[2]Andr， Egners. Threat and Risk Analysis for Mobile Communic；ation Networks and Mobile Terminals 【R】.NokiaSiemens Networks Researc；h}2013：23一28.

[3]汪辰良LTE安全接入機制研究「D」西安：西安電子科技大學，2012.

[4]陳志南，彭建華，劉彩霞，劉樹新EPC網絡安全問題研究田信息工程大學學報，2013，14（3） ：371一375.endprint