向東南，申　敏，陳政貴

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

?

LTE核心網(wǎng)安全缺陷的研究

向東南，申敏，陳政貴

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

摘要：演進(jìn)分組核心(Evolved Packet Core，EPC)是長(zhǎng)期演進(jìn)(Long Term Evolution，LTE)網(wǎng)絡(luò)的核心網(wǎng)，它是一個(gè)支持全I(xiàn)P的、高速率的、基于分組的和低時(shí)延的扁平型網(wǎng)絡(luò)，給人們帶來良好用戶體驗(yàn)的同時(shí)，也引入了一些安全隱患。主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議方面研究了LTE核心網(wǎng)面臨的安全缺陷，分析了其可能導(dǎo)致的安全威脅，并提出了一系列安全性增強(qiáng)方案，使LTE系統(tǒng)更加安全。

關(guān)鍵詞：LTE；核心網(wǎng)；安全

0引言

隨著移動(dòng)通信技術(shù)的快速發(fā)展，為滿足人們對(duì)高用戶數(shù)據(jù)速率，大系統(tǒng)容量和無縫接入的需求，3GPP標(biāo)準(zhǔn)組織啟動(dòng)了面向無線網(wǎng)絡(luò)演進(jìn)計(jì)劃的長(zhǎng)期演進(jìn)(Long Term Evolution，LTE)以及面向核心網(wǎng)絡(luò)演進(jìn)計(jì)劃的系統(tǒng)框架演進(jìn)(System Architecture Evolution，SAE)項(xiàng)目。如今，LTE網(wǎng)絡(luò)已在全球范圍內(nèi)廣泛部署。據(jù)全球移動(dòng)設(shè)備供應(yīng)商協(xié)會(huì)(GSA)2015年1月7日發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示，2014年全球電信運(yùn)營(yíng)商共推出了96張LTE網(wǎng)絡(luò)，截至2014年12月底，全球共有360張商用LTE網(wǎng)絡(luò)分布于124個(gè)國(guó)家和地區(qū)。

由于LTE網(wǎng)絡(luò)架構(gòu)相對(duì)于傳統(tǒng)通信技術(shù)有較大改變，采用了更加扁平化的結(jié)構(gòu)，并且面臨多種無線技術(shù)并存和異構(gòu)網(wǎng)絡(luò)共存、融合和互聯(lián)互通的趨勢(shì)，LTE通信系統(tǒng)安全問題也日益復(fù)雜和重要。

目前國(guó)內(nèi)外對(duì)LTE安全研究主要集中在安全機(jī)制、鑒權(quán)和加密算法方面，沒有對(duì)LTE核心網(wǎng)進(jìn)行系統(tǒng)化的研究。針對(duì)移動(dòng)設(shè)備的攻擊可能會(huì)對(duì)目標(biāo)設(shè)備和用戶造成有限的破壞性威脅，而針對(duì)核心網(wǎng)的攻擊將產(chǎn)生更嚴(yán)重的后果，很可能威脅某個(gè)區(qū)域或是影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

1LTE安全體系結(jié)構(gòu)

LTE網(wǎng)絡(luò)由E-UTRAN和EPC組成，又稱EPS(Evolved Packet System)。E-UTRAN由多個(gè)eNodeB組成，eNodeB間通過X2接口通信。EPC由MME、SGW、PGW和PCRF組成。EPC和E-UTRAN間使用S1接口[1]。LTE網(wǎng)絡(luò)架構(gòu)如圖1所示，其特點(diǎn)為：① LTE網(wǎng)絡(luò)只有分組域，而沒有電路域：在標(biāo)準(zhǔn)的LTE網(wǎng)絡(luò)結(jié)構(gòu)下，核心網(wǎng)不再具有電路域CS，只提供分組業(yè)務(wù)。對(duì)語音業(yè)務(wù)的實(shí)現(xiàn)，可以通過IMS系統(tǒng)實(shí)現(xiàn)VOIP業(yè)務(wù)；

② 網(wǎng)絡(luò)結(jié)構(gòu)扁平化，承載和控制相分離：承載和控制分離，MME實(shí)現(xiàn)控制功能，SGW實(shí)現(xiàn)用戶面功能；

③ 基于全 IP 架構(gòu)；

GTPCv2協(xié)議和Diameter協(xié)議是核心網(wǎng)控制面的主要協(xié)議，GTPUv1協(xié)議是用戶面的主要協(xié)議，UDP協(xié)議和SCTP協(xié)議是傳輸層的主要協(xié)議。

④ 其他重要特點(diǎn)：支持多種接入方式、永遠(yuǎn)在線：不僅支持3GPP接入方式，還支持non-3GPP接入方式，包括可靠的和不可靠的。

圖1　LTE網(wǎng)絡(luò)架構(gòu)

2LTE核心網(wǎng)安全性問題

LTE核心網(wǎng)的安全問題主要考慮其面臨的各種威脅和攻擊，對(duì)LTE核心網(wǎng)的攻擊可能來源于其他與核心網(wǎng)絡(luò)連接的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)和全球漫游合作伙伴，或者是來自核心網(wǎng)內(nèi)部，如從核心網(wǎng)絡(luò)內(nèi)提供服務(wù)的內(nèi)容提供商。攻擊可能來自于任何網(wǎng)絡(luò)接口。眾所周知，基于IP的網(wǎng)絡(luò)面臨各種威脅。發(fā)起對(duì)網(wǎng)絡(luò)的攻擊旨在：竊取信息，使信息失真，破壞信息或主機(jī)軟件，或使信息或服務(wù)不可用；可能降低網(wǎng)絡(luò)的總體性能，導(dǎo)致系統(tǒng)死機(jī)；或者針對(duì)特定的應(yīng)用如計(jì)費(fèi)系統(tǒng)[2]。接下來，主要從網(wǎng)絡(luò)架構(gòu)、接口和協(xié)議幾個(gè)方面分析LTE核心網(wǎng)安全。

2.1　LTE網(wǎng)絡(luò)架構(gòu)安全問題

LTE網(wǎng)絡(luò)被設(shè)計(jì)為扁平的全I(xiàn)P架構(gòu)，支持與異構(gòu)無線接入網(wǎng)絡(luò)全互通[3]。LTE網(wǎng)絡(luò)這種獨(dú)特的特征存在安全機(jī)制的漏洞。

① 基于IP扁平的3GPP LTE網(wǎng)絡(luò)架構(gòu)比GSM和UMTS網(wǎng)絡(luò)存在更多的安全風(fēng)險(xiǎn)，如注入、篡改、竊聽和其他隱私泄露風(fēng)險(xiǎn)。LTE網(wǎng)絡(luò)架構(gòu)比互聯(lián)網(wǎng)更容易受到傳統(tǒng)的惡意攻擊，如IP地址欺騙、DOS攻擊、病毒、蠕蟲、垃圾電子郵件及電話等；

② LTE系統(tǒng)的基站存在潛在的弱點(diǎn)。由于LTE網(wǎng)絡(luò)的全I(xiàn)P網(wǎng)絡(luò)特性，一旦攻擊攻破了基站，它可進(jìn)一步危及整個(gè)網(wǎng)絡(luò)；

③ LTE網(wǎng)絡(luò)架構(gòu)在切換認(rèn)證過程存在一些新的問題。為了在E-UTRAN和non-3GPP接入網(wǎng)絡(luò)間實(shí)現(xiàn)安全無縫切換，3GPP提出幾種切換認(rèn)證方法。但是UE切換到新的接入網(wǎng)絡(luò)之前，UE和目標(biāo)接入網(wǎng)絡(luò)之間需要遍歷完整的接入認(rèn)證過程，由于與認(rèn)證、授權(quán)、計(jì)費(fèi)(AAA)服務(wù)器或相關(guān)代理AAA服務(wù)器的多輪消息交換，這將帶來較長(zhǎng)的切換延遲。另外，不同移動(dòng)場(chǎng)景需要不同的切換認(rèn)證過程，這將提高整個(gè)系統(tǒng)的復(fù)雜性。這些風(fēng)險(xiǎn)將不僅對(duì)LTE網(wǎng)絡(luò)支持持續(xù)的連通性帶來很多困難，也可能被攻擊者利用來攻擊其他接入網(wǎng)或核心網(wǎng)，消耗網(wǎng)絡(luò)資源，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。

2.2　LTE核心網(wǎng)接口安全

LTE核心網(wǎng)網(wǎng)絡(luò)安全威脅可能來自接入網(wǎng)，漫游合作伙伴，以及Internet，分別通過S1、S8和SGi接口連接，如圖2所示。

圖2　LTE核心網(wǎng)外部接口

⑴ S1接口

越來越多的基站在公共區(qū)域，這使得它們?nèi)菀妆环欠ù鄹摹Ｓ捎贚TE回傳網(wǎng)絡(luò)中沒有部署RNC，一個(gè)受侵害的eNodeB基站接入網(wǎng)絡(luò)后，可以對(duì)移動(dòng)管理實(shí)體(MME)或核心網(wǎng)網(wǎng)關(guān)(SAE-GW)發(fā)起中間人攻擊，從而影響整個(gè)核心服務(wù)。用戶平面數(shù)據(jù)的空口加密終止于eNB，LTE回傳網(wǎng)絡(luò)還可能被未授權(quán)用戶竊聽。

⑵ SGi接口

LTE移動(dòng)網(wǎng)絡(luò)通過SGi接口連接數(shù)百萬的設(shè)備到Internet或其他不安全的網(wǎng)絡(luò)—使得網(wǎng)絡(luò)暴露于一系列web威脅包括惡意軟件、洪泛攻擊、DoS攻擊、僵尸網(wǎng)絡(luò)和端口掃描等。

⑶ S8接口

運(yùn)營(yíng)商必須允許移動(dòng)用戶漫游訪問互聯(lián)網(wǎng)，這意味著移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商必須互聯(lián)互通。這需要使用S8接口接入漫游交換網(wǎng)絡(luò)，它作為一個(gè)樞紐連接漫游用戶，解決了各服務(wù)提供商之間對(duì)專用鏈路的需求。

因此，當(dāng)與其他運(yùn)營(yíng)商和不信任的網(wǎng)絡(luò)之間的漫游互聯(lián)時(shí)，必須保證移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的分組核心成員的安全。由于目前S8接口是用于網(wǎng)間漫游業(yè)務(wù)，最常見的安全威脅類型使用DOS技術(shù)針對(duì)服務(wù)的可用性，進(jìn)行如數(shù)據(jù)洪泛、帶寬飽和、欺騙或緩存污染等攻擊[4]。S8接口也容易受到超額計(jì)費(fèi)攻擊，如果移動(dòng)臺(tái)能夠劫持一個(gè)合法的IP地址身份，就可以開始非法下載數(shù)據(jù)。

2.3　LTE核心網(wǎng)協(xié)議安全

在LTE核心網(wǎng)中，最重要的協(xié)議是Diameter和GTP協(xié)議，接下來主要討論它們的安全性。

2.3.1Diameter協(xié)議

在LTE網(wǎng)絡(luò)中，3GPP委托協(xié)議Diameter和SIP作為信令接口取代了傳統(tǒng)的SS7信令系統(tǒng)協(xié)議。許多核心網(wǎng)接口和服務(wù)都使用Diameter接口，包括HHS、MME、PCRF、S-GW/P-GW和IMS核心網(wǎng)。

引入Diameter協(xié)議對(duì)擁塞管理和業(yè)務(wù)處理機(jī)制也具有一些挑戰(zhàn)。3G網(wǎng)絡(luò)中，RNC是主要的信令瓶頸，負(fù)責(zé)信令和承載業(yè)務(wù)。相比SS7，Diameter接口明顯增加了大量的信令，稱為4G移動(dòng)核心網(wǎng)的信令風(fēng)暴，這是移動(dòng)核心網(wǎng)一個(gè)新興的威脅，對(duì)移動(dòng)運(yùn)營(yíng)商和設(shè)備供應(yīng)商會(huì)產(chǎn)生一定影響。Diameter是端到端基于IP的協(xié)議，與SS7協(xié)議不同，它不支持擁塞控制和管理，這是LTE網(wǎng)絡(luò)主要的問題。

如圖3所示，Diameter使用TCP或SCTP傳輸機(jī)制實(shí)現(xiàn)了IP。在涌入大量的Diameter請(qǐng)求時(shí)，LTE網(wǎng)絡(luò)的這種傳輸機(jī)制暴露了TCP擁塞的問題。這成為利用DoS/DDoS攻擊產(chǎn)生大量業(yè)務(wù)的一個(gè)瓶頸。當(dāng)diameter服務(wù)器過載或擁塞時(shí)，需要有能力通知發(fā)送端縮減業(yè)務(wù)量來卸載流量，它將因?yàn)榘l(fā)送和響應(yīng)消息消耗掉所有的資源，從而導(dǎo)致服務(wù)器節(jié)點(diǎn)崩潰。過載的原因：CPU、內(nèi)存和I/O資源有足夠的能力處理信息；中間網(wǎng)絡(luò)節(jié)點(diǎn)失?。痪W(wǎng)絡(luò)發(fā)起大量的業(yè)務(wù)；網(wǎng)絡(luò)用戶發(fā)起的業(yè)務(wù)和DoS/DDoS攻擊。過載和擁塞最主要的問題是節(jié)點(diǎn)和網(wǎng)絡(luò)的完全失敗，將會(huì)影響網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)性能。Diameter接口過載可能導(dǎo)致以下影響：拒絕服務(wù)、移動(dòng)寬度連接丟失、緊急服務(wù)和合法攔截位置信息丟失、策略控制實(shí)施和計(jì)費(fèi)錯(cuò)誤導(dǎo)致收入損失[5]。

此外，當(dāng)發(fā)送合法的端到端請(qǐng)求或響應(yīng)時(shí)，Diameter協(xié)議無法區(qū)分其是否為濫用，例如如果MME濫用信令，向HSS發(fā)起大量的信令請(qǐng)求計(jì)算鑒權(quán)向量，使得HSS飽和，無法為合法用戶服務(wù)導(dǎo)致DoS攻擊[6]。

圖3　Diameter協(xié)議棧

2.3.2GTP協(xié)議

在EPC網(wǎng)絡(luò)中，GTP協(xié)議的主要功能是提供網(wǎng)絡(luò)節(jié)點(diǎn)之間的隧道的建立、用戶移動(dòng)性和會(huì)話管理。GTP分為GTP-C[7]和GTP-U[8]，分別對(duì)應(yīng)于GTP控制平面和GTP用戶平面。如圖4所示GTP 協(xié)議本身幾乎沒有任何安全考慮，而是依靠下層 IPSec等安全協(xié)議來保證安全，存在著大量的安全漏洞和安全威脅，可以被用作對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行攻擊的手段，包括最簡(jiǎn)單的“超額計(jì)費(fèi)”到“節(jié)點(diǎn)攻擊”，而且GTP協(xié)議是基于UDP面向無連接的協(xié)議，具有分組易被篡改的弱點(diǎn)。

圖4　GTP協(xié)議棧

GTP協(xié)議的安全問題可以分為：協(xié)議異常攻擊，利用協(xié)議處理程序的漏洞產(chǎn)生異常，損壞或不遵循協(xié)議規(guī)則的PDU，從而降低系統(tǒng)性能或獲得非法權(quán)限；基礎(chǔ)設(shè)施攻擊(GTP欺騙)，將攻擊數(shù)據(jù)包封裝成GTP攻擊其他網(wǎng)絡(luò)成員；資源耗盡攻擊。

3安全性增強(qiáng)方案

在本節(jié)中，主要介紹了一些安全性增強(qiáng)方案。

3.1　LTE網(wǎng)絡(luò)架構(gòu)

對(duì)于LTE安全體系結(jié)構(gòu)，為確保UE、基站和EPC間的安全通信，需要設(shè)計(jì)更多的安全機(jī)制，以解決LTE網(wǎng)絡(luò)傳統(tǒng)的協(xié)議攻擊和物理攻擊[9]。此外，需要設(shè)計(jì)更有效的切換認(rèn)證體系，實(shí)現(xiàn)基站間、3GPP網(wǎng)絡(luò)與非3GPP網(wǎng)絡(luò)之間無縫切換的安全。

文獻(xiàn)[10]提出一個(gè)新的簡(jiǎn)單且強(qiáng)大的基于改進(jìn)代理簽名切換認(rèn)證方案，它可以適用于所有的移動(dòng)場(chǎng)景，包括基站內(nèi)和基站間的切換。通過該方案，UE與目標(biāo)eNB可以直接完成強(qiáng)制認(rèn)證，當(dāng)UE進(jìn)入目標(biāo)eNB覆蓋區(qū)域時(shí)由代理簽名生成長(zhǎng)期密鑰，從而建立一個(gè)會(huì)話密鑰。其認(rèn)證過程簡(jiǎn)單，無需復(fù)雜的密鑰管理，可以達(dá)到理想的效果。但是，代理簽名的使用仍存在效率低下和不兼容的缺點(diǎn)。

3.2　LTE核心網(wǎng)接口

對(duì)于S1接口，3GPP標(biāo)準(zhǔn)建議采用IPsec(IP安全協(xié)議)來確保eNodeB和核心網(wǎng)之間的安全。為確保SGi接口的安全，需要一種電信級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換(CGN)解決方案。在SGi接口使用CGN解決方案隱藏核心網(wǎng)服務(wù)IP地址和公共的因特網(wǎng)設(shè)備，保證它們的安全性，避免遭受DoS攻擊，以及減少核心網(wǎng)和無線網(wǎng)絡(luò)“信令風(fēng)暴”的風(fēng)險(xiǎn)，避免計(jì)費(fèi)攻擊[11]。對(duì)于S8接口安全，需要安全網(wǎng)關(guān)對(duì)S8接口的協(xié)議進(jìn)行深度狀態(tài)包檢測(cè)，以此來預(yù)見惡意攻擊。

3.3　LTE核心網(wǎng)協(xié)議

為解決diameter接口擁塞的問題，可以在diameter客戶和服務(wù)器的傳輸層采用擁塞通知的方法，在擁塞發(fā)生前，在IPv4或IPv6頭標(biāo)記該diameter IP包[12]。當(dāng)TCP接收端收到標(biāo)記了擁塞的包，將在隨后的ACK(確認(rèn))消息中通知擁塞將發(fā)生，由此反過來觸發(fā)發(fā)送端的擁塞避免算法。

4結(jié)束語

和以往的部署為時(shí)分復(fù)用，異步傳輸模式和基于SS7的回程傳輸?shù)姆涓C技術(shù)版本不同，LTE網(wǎng)絡(luò)部署支持全I(xiàn)P扁平型架構(gòu)。全I(xiàn)P網(wǎng)絡(luò)暴露了一些安全威脅，而LTE核心網(wǎng)的安全更會(huì)關(guān)乎整個(gè)網(wǎng)絡(luò)的運(yùn)作，主要從LTE核心網(wǎng)架構(gòu)、接口和協(xié)議幾個(gè)方面分析了LTE核心網(wǎng)面臨的安全缺陷及其可能導(dǎo)致的安全威脅，并根據(jù)LTE核心網(wǎng)面臨的安全威脅提出相應(yīng)的安全性增強(qiáng)方案。在接下來的工作中，將會(huì)對(duì)各方案進(jìn)行驗(yàn)證和詳細(xì)的研究，使LTE系統(tǒng)更加安全。

參考文獻(xiàn)

[1]姜怡華,許慕鴻,習(xí)建德,等.3GPP 系統(tǒng)架構(gòu)演進(jìn)(SAE)原理與設(shè)計(jì)[M].北京:人民郵電出版社,2010:298-302.

[2]André Egners.Threat and Risk Analysis for Mobile Communication Networks and Mobile Terminals[R].Nokia Siemens Networks Research,2013：23-28.

[3]Li Zhu,Hang Qin,Huaqing Maoet al.Research on 3GPP LTE Security ArchitectureC∥2012 8th International Conference on Wireless Communications,Networking and Mobile Computing (WiCOM),2012:1-4.

[4]Woung J,Se K K,Joo H O et al..Session-Based Detection of Signaling DoS on LTE Mobile Networks[J].Advances in Computer Networks,2014,2(3):159-162.

[5]3GPP TS 23.843.3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on Core Network Overload (CNO) solutions (Release 12) [S].

[6]Jover R P. Security Attacks Against the Availability of LTE Mobility Networks:Overview and Research Directions[C]∥IEEE 2013 16th International Symposium on Wireless Personal Multimedia Communications (WPMC),2013:1-9.

[7]3GPP TS 29.274.3rd Generation Partnership Project;3GPP Evolved Packet System(EPS);Evolved General Packet Radio System(GPRS) Tunnelling Protocol for Control Plane(GTPv2-C) ( Release 12)[S].

[8]3GPP TS29.281.3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;General Packet Radio System(GPRS) Tunnelling Protocol User Plane(GTPv1-U) ( Release 12)[S].

[9]汪辰良.LTE安全接入機(jī)制研究[D].西安:西安電子科技大學(xué),2012.

[10]Cao J ,Li H,Ma M,et al.A Simple and Robust Handover Authentication between HeNB and eNB in LTE Networks[J].Computer Networks，2012,56(8):2119-2130.

[11]Zheng J. Research on the Security of 4G Mobile System in the IPv6 Network[C]∥Recent Advances in Computer Science and Information Engineering,2012:829-834.

[12]陳志南,彭建華,劉彩霞,劉樹新.EPC網(wǎng)絡(luò)安全問題研究[J].信息工程大學(xué)學(xué)報(bào),2013,14(3):371-375.

Research on Security Flaws of LTE Core Network

XIANG Dong-nan,SHEN Min,CHEN Zheng-gui

(School of Communication and Information Engineering,Chongqing University of

Posts and Telecommunications,Chongqing 400065,China)

Abstract：The Evolved Packet Core (EPC) is the core network of Long Term Evolution (LTE).It is a flatter network which supports all-IP,high-speed,packet-based and low-latency,and brings a better user experience but introduces some security risks.This paper mainly studies the security flaws of LTE core network from the network structure,interface and protocol of LTE core,discusses the security threats that may result in,and puts forward a series of enhanced security schemes to make the LTE system more secure.

Key words：LTE;core network;security

作者簡(jiǎn)介：向東南(1990—)，女，碩士研究生，主要研究方向:移動(dòng)通信網(wǎng)絡(luò)安全。申敏(1963—),女，博士生導(dǎo)師，教授，主要研究方向：移動(dòng)通信系統(tǒng)及關(guān)鍵技術(shù)、數(shù)字信號(hào)處理及其應(yīng)用。

基金項(xiàng)目：國(guó)家科技重大專項(xiàng)基金資助項(xiàng)目(2012ZX03001012)

收稿日期：2015-09-11

中圖分類號(hào)：TN929.5

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1003-3114(2016)01-31-4

doi:10.3969/j.issn.1003-3114.2016.01.08

引用格式：向東南，申敏，陳政貴.LTE核心網(wǎng)安全缺陷的研究[J].無線電通信技術(shù),2016,42(1):31-34.