LTE傳輸安全組網(wǎng)技術(shù)及規(guī)劃要點(diǎn)

熊偉+劉智奮+林超文

【摘 要】在LTE網(wǎng)絡(luò)中，eNodeB回傳采用IP分組承載傳送網(wǎng)。IP網(wǎng)絡(luò)除了簡(jiǎn)單靈活、扁平化、完全開放等特點(diǎn)外，還使承載的業(yè)務(wù)面臨各種信息安全問題。通過詳細(xì)分析802.1x、IPSec、SSL和PKI等傳輸安全關(guān)鍵技術(shù)，提出了不同層次的傳輸安全保護(hù)組網(wǎng)建議，以解決eNodeB與EPC核心網(wǎng)之間的通信安全問題。

【關(guān)鍵詞】LTE 802.1x IPSec SSL PKI

1 引言

由于IP方式組網(wǎng)靈活、帶寬擴(kuò)容成本低，是未來傳輸組網(wǎng)的趨勢(shì)。但是，作為L(zhǎng)TE無線回傳網(wǎng)絡(luò)來說弊端也多，其存在的主要安全威脅如下：

（1）eNodeB接入層：偽造eNodeB接入運(yùn)營(yíng)商網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)上的其他設(shè)備進(jìn)行攻擊。

（2）S1/X2接口：泄露、訛用、篡改信息，竊取傳輸網(wǎng)絡(luò)中的切換數(shù)據(jù)，獲取重要用戶信息或篡改相關(guān)內(nèi)容。

（3）OM網(wǎng)管通道：截獲OM接口傳遞的基站重要信息，進(jìn)行盜竊或刪除基站配置文件、版本信息。

2 IP傳輸常見的安全解決方式

針對(duì)上述威脅點(diǎn)，IP網(wǎng)絡(luò)常用的安全解決方式如表1所示：

（1）接入層對(duì)應(yīng)數(shù)據(jù)鏈路層，采用802.1x，通過RADIUS服務(wù)器的認(rèn)證，可以防止非法eNodeB接入到運(yùn)營(yíng)商網(wǎng)絡(luò)。

（2）匯聚層對(duì)應(yīng)網(wǎng)絡(luò)層，采用IPSec，通過安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證，建立IPSec隧道，來保護(hù)（S1/X2/OM）接口數(shù)據(jù)流的傳輸安全。

（3）核心、匯聚層對(duì)應(yīng)傳輸層到應(yīng)用層之間，采用SSL，為OM網(wǎng)管數(shù)據(jù)提供機(jī)密性保護(hù)、數(shù)據(jù)完整性保護(hù)以及身份認(rèn)證機(jī)制。

3 傳輸安全關(guān)鍵技術(shù)

3.1 802.1x技術(shù)

802.1x技術(shù)提供eNodeB和接入層LAN交換機(jī)間的基于設(shè)備證書認(rèn)證。通過對(duì)eNodeB的MAC地址進(jìn)行認(rèn)證，限制未經(jīng)認(rèn)證的設(shè)備接入網(wǎng)絡(luò)。802.1x認(rèn)證接入控制系統(tǒng)的組成包括：客戶端（eNodeB）、認(rèn)證接入設(shè)備（接入層LAN交換機(jī)）、認(rèn)證服務(wù)器（RADIUS），如圖2所示。

初始接入時(shí)eNodeB未經(jīng)過認(rèn)證，eNodeB的數(shù)字證書承載在EAPoL報(bào)文中通過接入設(shè)備的不受控端口發(fā)送給RADIUS服務(wù)器，RADIUS服務(wù)器根據(jù)配置的根CA證書對(duì)eNodeB進(jìn)行認(rèn)證。認(rèn)證通過后對(duì)受控端口進(jìn)行授權(quán)，S1/X2數(shù)據(jù)才可以經(jīng)授權(quán)端口正常通過，從而達(dá)到合法用戶接入、保護(hù)網(wǎng)絡(luò)安全的目的。

3.2 IPSec技術(shù)

（1）密鑰交換協(xié)議IKE

IKE可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建立IPSec SA，為需要加密和認(rèn)證的通信雙方提供算法、密鑰協(xié)商服務(wù)，用于eNodeB動(dòng)態(tài)建立IPSec SA。通過策略協(xié)商、DH交換、對(duì)端身份認(rèn)證這三次交換完成IKE安全聯(lián)盟的建立。

IKE認(rèn)證方法包括預(yù)共享密鑰認(rèn)證和數(shù)字證書認(rèn)證，具體如下：

1）預(yù)共享密鑰認(rèn)證是指通信雙方使用相同的密鑰，驗(yàn)證對(duì)端身份。eNodeB基站側(cè)通過預(yù)置預(yù)共享密鑰實(shí)現(xiàn)合法入網(wǎng)。

2）通過CA數(shù)字證書認(rèn)證，網(wǎng)絡(luò)需要部署PKI系統(tǒng)。

（2）IPSec流程

IPSec技術(shù)可保護(hù)eNodeB的X2、S1-MME、S1-U、OM網(wǎng)管接口。協(xié)議族包括IKE、ESP、AH等。IPSec通過IKE協(xié)議完成密鑰協(xié)商以及身份認(rèn)證，進(jìn)一步通過ESP/AH安全協(xié)議、加密算法、加密密鑰進(jìn)行數(shù)據(jù)的加密和封裝。

IPSec技術(shù)的核心是IPSec SA安全聯(lián)盟，由IKE動(dòng)態(tài)建立，具體流程如下：

第一階段：通信對(duì)等體建立一個(gè)已通過安全認(rèn)證的通道，即IKE SA；

第二階段：利用已創(chuàng)建的IKE SA來協(xié)商創(chuàng)建具體的IPSec SA；

第三階段：數(shù)據(jù)通信時(shí)IPSec本端對(duì)數(shù)據(jù)加密，接收端對(duì)數(shù)據(jù)進(jìn)行解密。

IPSec SA具有生存周期，如果達(dá)到指定的生存周期LTS，則IPSec SA就會(huì)失效。IPSec SA失效前，IKE將為IPSec協(xié)商建立新的SA。

3.3 SSL技術(shù)

SSL主要保護(hù)應(yīng)用層協(xié)議如HTTP、FTP、TELNET等，它們均透明地建立于SSL協(xié)議之上，在應(yīng)用層協(xié)議通信之前SSL就完成加密、通信密鑰的協(xié)商以及認(rèn)證工作，從而保證通信的機(jī)密性。

SSL為在eNodeB與網(wǎng)管之間的OM和FTP通信提供安全的數(shù)據(jù)傳輸通道，保護(hù)遠(yuǎn)端運(yùn)維的安全性。eNodeB通信中SSL連接過程如下：

（1）eNodeB與網(wǎng)管系統(tǒng)之間建立TCP連接。

（2）網(wǎng)管系統(tǒng)作為SSL的客戶端向基站發(fā)起SSL握手過程。

（3）SSL握手并認(rèn)證成功后，eNodeB與網(wǎng)管之間建立基于SSL保護(hù)的OM通道。

3.4 PKI技術(shù)

PKI系統(tǒng)主要是為網(wǎng)絡(luò)提供密鑰和數(shù)字證書管理，應(yīng)用于eNodeB和安全網(wǎng)關(guān)（以下簡(jiǎn)稱SeGW）之間的身份認(rèn)證、OM通道SSL建鏈時(shí)的身份認(rèn)證、eNodeB接入時(shí)802.1x身份認(rèn)證。LTE網(wǎng)絡(luò)中PKI系統(tǒng)包括：eNodeB基站、SeGW、網(wǎng)管等；證書頒發(fā)中心CA、證書注冊(cè)中心RA、數(shù)字證書和CRL存儲(chǔ)庫(kù)。

CA服務(wù)器認(rèn)證eNodeB基站流程如下：

（1）當(dāng)PKI系統(tǒng)中部署多級(jí)CA時(shí)，多級(jí)CA的證書組成一條證書鏈。根CA的證書是證書鏈上的頂級(jí)證書，可以認(rèn)證證書鏈上的所有證書。證書鏈用于驗(yàn)證由證書鏈中最底層CA頒發(fā)的設(shè)備證書的合法性。

（2）如果基站的設(shè)備證書到根CA之間有一條證書鏈，對(duì)端要預(yù)置該證書鏈，IPSec認(rèn)證過程中SeGW用該證書鏈驗(yàn)證基站發(fā)送的設(shè)備證書的合法性。

4 傳輸安全組網(wǎng)規(guī)劃endprint

4.1 非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)

非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)如圖3所示：

（1）需要在網(wǎng)絡(luò)中部署SeGW安全網(wǎng)關(guān)，SeGW上部署設(shè)備證書和根證書。

（2）部署PKI系統(tǒng)，CA服務(wù)器上預(yù)置設(shè)備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認(rèn)證。

（4）OM網(wǎng)管通道采用IPSec+SSL技術(shù)。

4.2 IPSec組網(wǎng)案例

IPSec在應(yīng)用時(shí)需要使用SeGW功能，在LTE網(wǎng)絡(luò)中通常由MME或S-GW兼做。IPSec SA由eNodeB根據(jù)配置的IPSec安全策略和SeGW進(jìn)行IKE協(xié)商建立，形成ACL、IPSec安全提議兩個(gè)部分。eNodeB通過ACL來指定要保護(hù)的數(shù)據(jù)流；IPSec安全提議負(fù)責(zé)定義包括對(duì)數(shù)據(jù)流的封裝模式、采用的安全協(xié)議、加密算法和認(rèn)證算法。

IPSec負(fù)責(zé)對(duì)eNodeB的信令、業(yè)務(wù)數(shù)據(jù)流和OM數(shù)據(jù)流，以及eNodeB與CA服務(wù)器、CRL服務(wù)器之間證書管理相關(guān)的數(shù)據(jù)流提供保護(hù)。

eNodeB和SeGW使用數(shù)字證書進(jìn)行身份認(rèn)證，故需要在網(wǎng)絡(luò)中部署PKI系統(tǒng)和RADIUS/DHCP服務(wù)器。根據(jù)3GPP標(biāo)準(zhǔn)，CA服務(wù)器的證書請(qǐng)求響應(yīng)消息中要攜帶根證書或證書鏈，因此CA服務(wù)器上要預(yù)置設(shè)備的根證書。

IPSec典型組網(wǎng)如圖4所示。

在這種典型網(wǎng)絡(luò)中部署了RADIUS/DHCP服務(wù)器，eNodeB通過DHCP協(xié)議獲取上述OM通道信息、運(yùn)營(yíng)商CA信息、SeGW信息。DHCP是實(shí)現(xiàn)主機(jī)動(dòng)態(tài)配置的協(xié)議、配置參數(shù)的分配和分發(fā)。eNodeB獲得配置文件后，再與SeGW進(jìn)行協(xié)商建立IPSec通道。

實(shí)際部署中，RADIUS/DHCP服務(wù)器和OM網(wǎng)管服務(wù)器可以部署在同一硬件上，但是分不同的邏輯通信實(shí)體。

4.3 IPSec組網(wǎng)規(guī)劃

規(guī)劃步驟依次是：部署SeGW和PKI系統(tǒng)；數(shù)據(jù)規(guī)劃；數(shù)據(jù)改造；基站環(huán)境檢查；修改網(wǎng)絡(luò)路由；IPSec通道和OM的建立。其中需要重點(diǎn)說明的是：

（1）數(shù)據(jù)規(guī)劃是重點(diǎn)，包括：規(guī)劃SeGW的IP地址、IKE加密算法、IKE DH組、認(rèn)證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務(wù)器的CA Name、簽名算法相關(guān)信息。

（2）基站環(huán)境檢查：是否已配置IPSec的License、是否預(yù)置設(shè)備證書和根證書。

（3）修改網(wǎng)絡(luò)路由：使所有需要IPSec保護(hù)的數(shù)據(jù)流先經(jīng)過SeGW再到達(dá)目的端。

IPSec組網(wǎng)還需要考慮安全域、認(rèn)證方式和數(shù)據(jù)流保護(hù)這三個(gè)主要因素，具體如下：

（1）整個(gè)網(wǎng)絡(luò)分為安全域和非安全域，IPSec只保護(hù)非安全域。通常情況下，接入網(wǎng)絡(luò)被認(rèn)為是不安全的，而核心網(wǎng)絡(luò)是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護(hù)。

（2）eNodeB與SeGW之間的認(rèn)證方式采用PKI認(rèn)證。

（3）eNodeB的數(shù)據(jù)流包括信令面、用戶面、OM通道、時(shí)鐘等數(shù)據(jù)流。在做組網(wǎng)規(guī)劃時(shí)應(yīng)識(shí)別出要保護(hù)的數(shù)據(jù)流，指定保護(hù)策略。對(duì)于OM通道，eNodeB提供IPSec+SSL保護(hù)。

（4）對(duì)于eNodeB之間X2接口的數(shù)據(jù)流，推薦采用集中式安全保護(hù)方式。集中式安全組網(wǎng)下，多個(gè)eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數(shù)據(jù)流利用該IPSec通道進(jìn)行安全保護(hù)。

4.4 IPSec的封裝模式選擇

IPSec數(shù)據(jù)流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護(hù)。兩者區(qū)別如下：

（1）隧道模式：只對(duì)原始IP數(shù)據(jù)包提供安全保護(hù)。

（2）傳輸模式：對(duì)IP數(shù)據(jù)包的有效載荷和高層協(xié)議提供保護(hù)。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優(yōu)于傳輸模式，因?yàn)樗淼滥Ｊ娇梢詫?duì)原始IP報(bào)文完整地進(jìn)行加密和完整性保護(hù)。

（2）性能：傳輸模式優(yōu)于隧道模式，因?yàn)樗淼滥Ｊ蕉囝~外的IP頭，占用更多帶寬。

（3）隧道模式要求網(wǎng)絡(luò)中部署SeGW來隔離安全域和非安全域，并在SeGW上實(shí)施隧道封裝、加密、完整性保護(hù)等功能；而傳輸模式則需要通信兩端都支持IKE協(xié)商、加密、完整性保護(hù)等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權(quán)衡，并根據(jù)IPSec對(duì)端所支持的模式來進(jìn)行配置。

4.5 IPSec通道備份組網(wǎng)規(guī)劃

為了保障IPSec通道的安全進(jìn)行通道的主備組網(wǎng)，分為以下兩種方式：

（1）eNodeB出兩個(gè)物理端口分配4個(gè)IP，與兩個(gè)SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個(gè)端口上，并啟用BFD檢測(cè)。IP1對(duì)IP2，IP3對(duì)IP4。

（2）eNodeB出一個(gè)端口分配3個(gè)IP，也建兩條IPSec通道，但I(xiàn)P1對(duì)應(yīng)IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時(shí)可用（一主一備）。對(duì)于上行傳輸，eNodeB選用主用通道；對(duì)于下行傳輸，eNodeB在主備兩條IPSec通道同時(shí)接收數(shù)據(jù)，并利用BFD檢測(cè)自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數(shù)據(jù)的傳輸切換到備用通道。

4.6 eNodeB級(jí)聯(lián)場(chǎng)景下IPSec組網(wǎng)

在特殊情況下eNodeB存在級(jí)聯(lián)，級(jí)聯(lián)eNodeB有以下兩種方式實(shí)現(xiàn)IPSec功能：

（1）各eNodeB-1和2獨(dú)立實(shí)現(xiàn)IPSec功能，Hub eNodeB-1負(fù)責(zé)路由轉(zhuǎn)發(fā)。

（2）Hub eNodeB-3統(tǒng)一提供所下掛基站的IPSec功能。

eNodeB級(jí)聯(lián)組網(wǎng)如圖5所示。

5 結(jié)束語(yǔ)

在數(shù)據(jù)鏈路層802.1x可以保證eNodeB合法接入；網(wǎng)絡(luò)層IPSec為eNodeB提供全程IP傳輸安全，保證數(shù)據(jù)的機(jī)密性、完整性和可用性；應(yīng)用層SSL對(duì)OM通道的數(shù)據(jù)提供加密保護(hù)；三種技術(shù)完成不同層次的傳輸安全保護(hù)。本文結(jié)合筆者多年的設(shè)計(jì)經(jīng)驗(yàn)，給出了安全組網(wǎng)方案及傳輸網(wǎng)絡(luò)規(guī)劃時(shí)需要考慮的各種關(guān)鍵因素，為實(shí)際工程規(guī)劃提供了參考。

參考文獻(xiàn)：

[1] 廣州杰賽通信規(guī)劃設(shè)計(jì)院. LTE網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)手冊(cè)[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國(guó)防工業(yè)出版社， 2006.

[3] 藍(lán)集明，陳林. 對(duì)IPSec中AH和ESP協(xié)議的分析與建議[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協(xié)議及其在寬帶接入中的應(yīng)用[J]. 重慶郵電學(xué)院學(xué)報(bào)： 自然科學(xué)版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2004（4）： 586-588.★endprint

4.1 非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)

非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)如圖3所示：

（1）需要在網(wǎng)絡(luò)中部署SeGW安全網(wǎng)關(guān)，SeGW上部署設(shè)備證書和根證書。

（2）部署PKI系統(tǒng)，CA服務(wù)器上預(yù)置設(shè)備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認(rèn)證。

（4）OM網(wǎng)管通道采用IPSec+SSL技術(shù)。

4.2 IPSec組網(wǎng)案例

IPSec在應(yīng)用時(shí)需要使用SeGW功能，在LTE網(wǎng)絡(luò)中通常由MME或S-GW兼做。IPSec SA由eNodeB根據(jù)配置的IPSec安全策略和SeGW進(jìn)行IKE協(xié)商建立，形成ACL、IPSec安全提議兩個(gè)部分。eNodeB通過ACL來指定要保護(hù)的數(shù)據(jù)流；IPSec安全提議負(fù)責(zé)定義包括對(duì)數(shù)據(jù)流的封裝模式、采用的安全協(xié)議、加密算法和認(rèn)證算法。

IPSec負(fù)責(zé)對(duì)eNodeB的信令、業(yè)務(wù)數(shù)據(jù)流和OM數(shù)據(jù)流，以及eNodeB與CA服務(wù)器、CRL服務(wù)器之間證書管理相關(guān)的數(shù)據(jù)流提供保護(hù)。

eNodeB和SeGW使用數(shù)字證書進(jìn)行身份認(rèn)證，故需要在網(wǎng)絡(luò)中部署PKI系統(tǒng)和RADIUS/DHCP服務(wù)器。根據(jù)3GPP標(biāo)準(zhǔn)，CA服務(wù)器的證書請(qǐng)求響應(yīng)消息中要攜帶根證書或證書鏈，因此CA服務(wù)器上要預(yù)置設(shè)備的根證書。

IPSec典型組網(wǎng)如圖4所示。

在這種典型網(wǎng)絡(luò)中部署了RADIUS/DHCP服務(wù)器，eNodeB通過DHCP協(xié)議獲取上述OM通道信息、運(yùn)營(yíng)商CA信息、SeGW信息。DHCP是實(shí)現(xiàn)主機(jī)動(dòng)態(tài)配置的協(xié)議、配置參數(shù)的分配和分發(fā)。eNodeB獲得配置文件后，再與SeGW進(jìn)行協(xié)商建立IPSec通道。

實(shí)際部署中，RADIUS/DHCP服務(wù)器和OM網(wǎng)管服務(wù)器可以部署在同一硬件上，但是分不同的邏輯通信實(shí)體。

4.3 IPSec組網(wǎng)規(guī)劃

規(guī)劃步驟依次是：部署SeGW和PKI系統(tǒng)；數(shù)據(jù)規(guī)劃；數(shù)據(jù)改造；基站環(huán)境檢查；修改網(wǎng)絡(luò)路由；IPSec通道和OM的建立。其中需要重點(diǎn)說明的是：

（1）數(shù)據(jù)規(guī)劃是重點(diǎn)，包括：規(guī)劃SeGW的IP地址、IKE加密算法、IKE DH組、認(rèn)證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務(wù)器的CA Name、簽名算法相關(guān)信息。

（2）基站環(huán)境檢查：是否已配置IPSec的License、是否預(yù)置設(shè)備證書和根證書。

（3）修改網(wǎng)絡(luò)路由：使所有需要IPSec保護(hù)的數(shù)據(jù)流先經(jīng)過SeGW再到達(dá)目的端。

IPSec組網(wǎng)還需要考慮安全域、認(rèn)證方式和數(shù)據(jù)流保護(hù)這三個(gè)主要因素，具體如下：

（1）整個(gè)網(wǎng)絡(luò)分為安全域和非安全域，IPSec只保護(hù)非安全域。通常情況下，接入網(wǎng)絡(luò)被認(rèn)為是不安全的，而核心網(wǎng)絡(luò)是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護(hù)。

（2）eNodeB與SeGW之間的認(rèn)證方式采用PKI認(rèn)證。

（3）eNodeB的數(shù)據(jù)流包括信令面、用戶面、OM通道、時(shí)鐘等數(shù)據(jù)流。在做組網(wǎng)規(guī)劃時(shí)應(yīng)識(shí)別出要保護(hù)的數(shù)據(jù)流，指定保護(hù)策略。對(duì)于OM通道，eNodeB提供IPSec+SSL保護(hù)。

（4）對(duì)于eNodeB之間X2接口的數(shù)據(jù)流，推薦采用集中式安全保護(hù)方式。集中式安全組網(wǎng)下，多個(gè)eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數(shù)據(jù)流利用該IPSec通道進(jìn)行安全保護(hù)。

4.4 IPSec的封裝模式選擇

IPSec數(shù)據(jù)流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護(hù)。兩者區(qū)別如下：

（1）隧道模式：只對(duì)原始IP數(shù)據(jù)包提供安全保護(hù)。

（2）傳輸模式：對(duì)IP數(shù)據(jù)包的有效載荷和高層協(xié)議提供保護(hù)。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優(yōu)于傳輸模式，因?yàn)樗淼滥Ｊ娇梢詫?duì)原始IP報(bào)文完整地進(jìn)行加密和完整性保護(hù)。

（2）性能：傳輸模式優(yōu)于隧道模式，因?yàn)樗淼滥Ｊ蕉囝~外的IP頭，占用更多帶寬。

（3）隧道模式要求網(wǎng)絡(luò)中部署SeGW來隔離安全域和非安全域，并在SeGW上實(shí)施隧道封裝、加密、完整性保護(hù)等功能；而傳輸模式則需要通信兩端都支持IKE協(xié)商、加密、完整性保護(hù)等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權(quán)衡，并根據(jù)IPSec對(duì)端所支持的模式來進(jìn)行配置。

4.5 IPSec通道備份組網(wǎng)規(guī)劃

為了保障IPSec通道的安全進(jìn)行通道的主備組網(wǎng)，分為以下兩種方式：

（1）eNodeB出兩個(gè)物理端口分配4個(gè)IP，與兩個(gè)SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個(gè)端口上，并啟用BFD檢測(cè)。IP1對(duì)IP2，IP3對(duì)IP4。

（2）eNodeB出一個(gè)端口分配3個(gè)IP，也建兩條IPSec通道，但I(xiàn)P1對(duì)應(yīng)IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時(shí)可用（一主一備）。對(duì)于上行傳輸，eNodeB選用主用通道；對(duì)于下行傳輸，eNodeB在主備兩條IPSec通道同時(shí)接收數(shù)據(jù)，并利用BFD檢測(cè)自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數(shù)據(jù)的傳輸切換到備用通道。

4.6 eNodeB級(jí)聯(lián)場(chǎng)景下IPSec組網(wǎng)

在特殊情況下eNodeB存在級(jí)聯(lián)，級(jí)聯(lián)eNodeB有以下兩種方式實(shí)現(xiàn)IPSec功能：

（1）各eNodeB-1和2獨(dú)立實(shí)現(xiàn)IPSec功能，Hub eNodeB-1負(fù)責(zé)路由轉(zhuǎn)發(fā)。

（2）Hub eNodeB-3統(tǒng)一提供所下掛基站的IPSec功能。

eNodeB級(jí)聯(lián)組網(wǎng)如圖5所示。

5 結(jié)束語(yǔ)

在數(shù)據(jù)鏈路層802.1x可以保證eNodeB合法接入；網(wǎng)絡(luò)層IPSec為eNodeB提供全程IP傳輸安全，保證數(shù)據(jù)的機(jī)密性、完整性和可用性；應(yīng)用層SSL對(duì)OM通道的數(shù)據(jù)提供加密保護(hù)；三種技術(shù)完成不同層次的傳輸安全保護(hù)。本文結(jié)合筆者多年的設(shè)計(jì)經(jīng)驗(yàn)，給出了安全組網(wǎng)方案及傳輸網(wǎng)絡(luò)規(guī)劃時(shí)需要考慮的各種關(guān)鍵因素，為實(shí)際工程規(guī)劃提供了參考。

參考文獻(xiàn)：

[1] 廣州杰賽通信規(guī)劃設(shè)計(jì)院. LTE網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)手冊(cè)[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國(guó)防工業(yè)出版社， 2006.

[3] 藍(lán)集明，陳林. 對(duì)IPSec中AH和ESP協(xié)議的分析與建議[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協(xié)議及其在寬帶接入中的應(yīng)用[J]. 重慶郵電學(xué)院學(xué)報(bào)： 自然科學(xué)版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2004（4）： 586-588.★endprint

4.1 非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)

非安全組網(wǎng)向PKI安全組網(wǎng)演進(jìn)如圖3所示：

（1）需要在網(wǎng)絡(luò)中部署SeGW安全網(wǎng)關(guān)，SeGW上部署設(shè)備證書和根證書。

（2）部署PKI系統(tǒng)，CA服務(wù)器上預(yù)置設(shè)備廠家根證書。

（3）eNodeB與傳輸接入層之間部署802.1x認(rèn)證。

（4）OM網(wǎng)管通道采用IPSec+SSL技術(shù)。

4.2 IPSec組網(wǎng)案例

IPSec在應(yīng)用時(shí)需要使用SeGW功能，在LTE網(wǎng)絡(luò)中通常由MME或S-GW兼做。IPSec SA由eNodeB根據(jù)配置的IPSec安全策略和SeGW進(jìn)行IKE協(xié)商建立，形成ACL、IPSec安全提議兩個(gè)部分。eNodeB通過ACL來指定要保護(hù)的數(shù)據(jù)流；IPSec安全提議負(fù)責(zé)定義包括對(duì)數(shù)據(jù)流的封裝模式、采用的安全協(xié)議、加密算法和認(rèn)證算法。

IPSec負(fù)責(zé)對(duì)eNodeB的信令、業(yè)務(wù)數(shù)據(jù)流和OM數(shù)據(jù)流，以及eNodeB與CA服務(wù)器、CRL服務(wù)器之間證書管理相關(guān)的數(shù)據(jù)流提供保護(hù)。

eNodeB和SeGW使用數(shù)字證書進(jìn)行身份認(rèn)證，故需要在網(wǎng)絡(luò)中部署PKI系統(tǒng)和RADIUS/DHCP服務(wù)器。根據(jù)3GPP標(biāo)準(zhǔn)，CA服務(wù)器的證書請(qǐng)求響應(yīng)消息中要攜帶根證書或證書鏈，因此CA服務(wù)器上要預(yù)置設(shè)備的根證書。

IPSec典型組網(wǎng)如圖4所示。

在這種典型網(wǎng)絡(luò)中部署了RADIUS/DHCP服務(wù)器，eNodeB通過DHCP協(xié)議獲取上述OM通道信息、運(yùn)營(yíng)商CA信息、SeGW信息。DHCP是實(shí)現(xiàn)主機(jī)動(dòng)態(tài)配置的協(xié)議、配置參數(shù)的分配和分發(fā)。eNodeB獲得配置文件后，再與SeGW進(jìn)行協(xié)商建立IPSec通道。

實(shí)際部署中，RADIUS/DHCP服務(wù)器和OM網(wǎng)管服務(wù)器可以部署在同一硬件上，但是分不同的邏輯通信實(shí)體。

4.3 IPSec組網(wǎng)規(guī)劃

規(guī)劃步驟依次是：部署SeGW和PKI系統(tǒng)；數(shù)據(jù)規(guī)劃；數(shù)據(jù)改造；基站環(huán)境檢查；修改網(wǎng)絡(luò)路由；IPSec通道和OM的建立。其中需要重點(diǎn)說明的是：

（1）數(shù)據(jù)規(guī)劃是重點(diǎn)，包括：規(guī)劃SeGW的IP地址、IKE加密算法、IKE DH組、認(rèn)證方法；確定IPSec封裝模式、ESP加密、完整性算法、AH完整性算法；收集CA服務(wù)器的CA Name、簽名算法相關(guān)信息。

（2）基站環(huán)境檢查：是否已配置IPSec的License、是否預(yù)置設(shè)備證書和根證書。

（3）修改網(wǎng)絡(luò)路由：使所有需要IPSec保護(hù)的數(shù)據(jù)流先經(jīng)過SeGW再到達(dá)目的端。

IPSec組網(wǎng)還需要考慮安全域、認(rèn)證方式和數(shù)據(jù)流保護(hù)這三個(gè)主要因素，具體如下：

（1）整個(gè)網(wǎng)絡(luò)分為安全域和非安全域，IPSec只保護(hù)非安全域。通常情況下，接入網(wǎng)絡(luò)被認(rèn)為是不安全的，而核心網(wǎng)絡(luò)是安全的。將SeGW部署在安全域與非安全域的邊界，eNodeB和SeGW之間采用IPSec保護(hù)。

（2）eNodeB與SeGW之間的認(rèn)證方式采用PKI認(rèn)證。

（3）eNodeB的數(shù)據(jù)流包括信令面、用戶面、OM通道、時(shí)鐘等數(shù)據(jù)流。在做組網(wǎng)規(guī)劃時(shí)應(yīng)識(shí)別出要保護(hù)的數(shù)據(jù)流，指定保護(hù)策略。對(duì)于OM通道，eNodeB提供IPSec+SSL保護(hù)。

（4）對(duì)于eNodeB之間X2接口的數(shù)據(jù)流，推薦采用集中式安全保護(hù)方式。集中式安全組網(wǎng)下，多個(gè)eNodeB分別與SeGW建立IPSec通道，eNodeB之間X2接口的數(shù)據(jù)流利用該IPSec通道進(jìn)行安全保護(hù)。

4.4 IPSec的封裝模式選擇

IPSec數(shù)據(jù)流的封裝模式可分為隧道模式和傳輸模式，均用于eNodeB和MME/S-GW之間的IPSec保護(hù)。兩者區(qū)別如下：

（1）隧道模式：只對(duì)原始IP數(shù)據(jù)包提供安全保護(hù)。

（2）傳輸模式：對(duì)IP數(shù)據(jù)包的有效載荷和高層協(xié)議提供保護(hù)。

IPSec封裝模式選擇考慮以下因素：

（1）安全性：隧道模式優(yōu)于傳輸模式，因?yàn)樗淼滥Ｊ娇梢詫?duì)原始IP報(bào)文完整地進(jìn)行加密和完整性保護(hù)。

（2）性能：傳輸模式優(yōu)于隧道模式，因?yàn)樗淼滥Ｊ蕉囝~外的IP頭，占用更多帶寬。

（3）隧道模式要求網(wǎng)絡(luò)中部署SeGW來隔離安全域和非安全域，并在SeGW上實(shí)施隧道封裝、加密、完整性保護(hù)等功能；而傳輸模式則需要通信兩端都支持IKE協(xié)商、加密、完整性保護(hù)等功能。

因此，選用哪種封裝模式需要在安全、部署能力和性能之間做出權(quán)衡，并根據(jù)IPSec對(duì)端所支持的模式來進(jìn)行配置。

4.5 IPSec通道備份組網(wǎng)規(guī)劃

為了保障IPSec通道的安全進(jìn)行通道的主備組網(wǎng)，分為以下兩種方式：

（1）eNodeB出兩個(gè)物理端口分配4個(gè)IP，與兩個(gè)SeGW建立兩條IPSec通道，安全策略分別綁定在這兩個(gè)端口上，并啟用BFD檢測(cè)。IP1對(duì)IP2，IP3對(duì)IP4。

（2）eNodeB出一個(gè)端口分配3個(gè)IP，也建兩條IPSec通道，但I(xiàn)P1對(duì)應(yīng)IP2和IP3。

啟用IPSec通道備份功能后，兩條IPSec通道同時(shí)可用（一主一備）。對(duì)于上行傳輸，eNodeB選用主用通道；對(duì)于下行傳輸，eNodeB在主備兩條IPSec通道同時(shí)接收數(shù)據(jù)，并利用BFD檢測(cè)自身與SeGW間的連通性。如果主用通道故障，則eNodeB將上行數(shù)據(jù)的傳輸切換到備用通道。

4.6 eNodeB級(jí)聯(lián)場(chǎng)景下IPSec組網(wǎng)

在特殊情況下eNodeB存在級(jí)聯(lián)，級(jí)聯(lián)eNodeB有以下兩種方式實(shí)現(xiàn)IPSec功能：

（1）各eNodeB-1和2獨(dú)立實(shí)現(xiàn)IPSec功能，Hub eNodeB-1負(fù)責(zé)路由轉(zhuǎn)發(fā)。

（2）Hub eNodeB-3統(tǒng)一提供所下掛基站的IPSec功能。

eNodeB級(jí)聯(lián)組網(wǎng)如圖5所示。

5 結(jié)束語(yǔ)

在數(shù)據(jù)鏈路層802.1x可以保證eNodeB合法接入；網(wǎng)絡(luò)層IPSec為eNodeB提供全程IP傳輸安全，保證數(shù)據(jù)的機(jī)密性、完整性和可用性；應(yīng)用層SSL對(duì)OM通道的數(shù)據(jù)提供加密保護(hù)；三種技術(shù)完成不同層次的傳輸安全保護(hù)。本文結(jié)合筆者多年的設(shè)計(jì)經(jīng)驗(yàn)，給出了安全組網(wǎng)方案及傳輸網(wǎng)絡(luò)規(guī)劃時(shí)需要考慮的各種關(guān)鍵因素，為實(shí)際工程規(guī)劃提供了參考。

參考文獻(xiàn)：

[1] 廣州杰賽通信規(guī)劃設(shè)計(jì)院. LTE網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)手冊(cè)[M]. 北京： 人民郵電出版社， 2013.

[2] 周賢偉. IPSec解析[M]. 北京： 國(guó)防工業(yè)出版社， 2006.

[3] 藍(lán)集明，陳林. 對(duì)IPSec中AH和ESP協(xié)議的分析與建議[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2009（11）： 15-17.

[4] 高祥，周林. 802.1x協(xié)議及其在寬帶接入中的應(yīng)用[J]. 重慶郵電學(xué)院學(xué)報(bào)： 自然科學(xué)版， 2004（1）： 91-93.

[5] 徐家臻，陳莘萌. 基于IPSec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2004（4）： 586-588.★endprint