• 总部联系方式    

    总部电话:021-51212121

    总部传真:021-51212480(自动)/021-51212481(人工)

    服务热线:400-628-6280

    邮箱:support@huagai.com

    地址:上海市闸北区江场西路299弄中铁中环时代广场4号楼4层

    邮编:200436

    路线图:

  • 细说LTE EPS网络架构及面临的安全及业务挑战 浏览次数:11166 次   浏览时间:2017/9/23 4:37:22
  • 移动通信网发展概述

        移动通信发展的里程碑都是以无线技术的发展为基准,我国已经经历了第一、第二和第三代移动通信时代,目前正处于第四代移动通信应用阶段,国内的第四代移动通信牌照也即将发放。下图展现了移动网络技术发展历程:

        目前ITU(国际电信联盟)定义的 4G标准有5种,它们分别是 WiMax、HSPA+、LTE、LTE-advanced和Wireless-Advanced。4G网络旨在为用户提供与固定网络宽带一样的光纤级别的网速体验。

        LTE(Long Term Evolution,长期演进)是3G的演进,它改进并增强了3G的空中接入技术,在20MHz频谱带宽下能够提供下行100Mbps与上行50Mbps的峰值速率,相对于3G网络大大提高了基站辐射扇区的容量,同时将网络延时大大降低。

        LTE-Advanced 是LTE技术的升级版,完全兼容LTE,其能够提供下行1Gbps与上行500Mbps的峰值速率。

        WiMAX(Worldwide Interoperability for Microwave Access), 全球微波互连技术,亦称IEEE802.16。最高接入速率达70Mbps。

        WirelessMAN-Advanced 是 WiMax的升级版,即IEEE 802.11m标准。其中,IEEE802.16m 最高可以提供1Gbps的无线传输速率。

        HSPA+ 是HSPA的衍生版,能够在HSPA网络上进行改造而升级到该网络(目前联通的3G就是HSPA制式)。其包括HSDPA和HSUPA (High Speed DownLink/UpLink Packer Access)两种技术。

        5种标准中,LTE发展最热。其由3GPP(3G 标准化机构)提出了演进的标准,定义了LTE-FDD和LTE TDD两种方式,两者在技术规范上存在较大的共通性和统一性,共享2层和3层 结构,区别在与无线接入部分,空口(空中接口)标准不一致。

    LTE EPS网络架构

    LTE采用扁平化、IP化的网络架构,其网络架构如下图所示:



        整个网络包括了UE(智能终端)、E-UTRAN、S-GW、MME、P-GW、PCRF及HSS等网络实体。E-UTRAN由eNB构成,EPC (Evolved Packet Core)由MME(Mobility Management Entity),S-GW(Serving Gateway)及P-GW(PDN Gateway)构成。

        E-UTRAN主要功能包括无线承载控制、上/下行动态资源分配/调度、寻呼/系统广播信息的调度与传输、头压缩及用户平面加密;UE附着时,MME的选择、根据用户QOS的标签信息,进行上下行的承载级别速率调整及准入控制。

        MME是核心网络唯一的控制平面设备,它主要功能包括接入控制、移动性管理、会话管理、网元选择、存储用户承载信息。

        S-GW位于用户平面,是面向E-UTRAN侧的网关,对每一个接入到E-UTRAN的UE,一次只能有一个S-GW为之服务。S-GW的主要功能是进行会话管理、路由选择和数据转发、QOS控制、计费以及存储信息等。

        P-GW位于用户平面,是面向PDN终结于SGi接口的网关。如果UE访问多个PDN,UE将对应一个或多个P-GW。其主要功能包括IP地址分配、会话管理、PCRF选择、路由选择和数据转发、QOS控制、计费、策略和计费执行。

        HSS的主要功能包括用户签约数据的存储管理、用户位置信息的管理、移动性管理、接入限制等。HSS负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。

         PCRF包括是策略控制和基于流计费控制的功能。

    LTE EPS网络面临的安全及业务问题

       LTE的网络从空口无线侧开始就是IP网络,同时智能终端只要开启电源就会附着IP地址,因而智能终端、LTE无线接入侧、传输网侧和EPC(核心网)都面临着原来IP网络固有的安全威胁:


     
    1. 无线侧智能终端面临僵木蠕、恶意代码等攻击;
    2. 无线智能侧终端成为DDoS攻击源对整个LTE EPS网络发起DDoS 攻击;
    3. EPC核心网元面临信令风暴问题; 
    4. 智能终端通过LTE EPC、Internet等非信任网络时进行明文传输敏感数据时,面临泄露数据的问题;(例如企业A-员工 利用智能终端APP通过LTE EPS访问互联网的企业A 内部的关键数据库时,通过的开放的Internet网络时面临敏感数据给窃听的问题)
    5. LTE EPS综合业务平台面临攻击的威胁;
    6. EPC Pi口(P GW<->Internet)面临来自Internet攻击的威胁;
    7. 目前IPv4地址早已分配完,如何在4G 移动互联网中应对持续发展的数据业务;
    8. 综合业务平台如何更好地进行流量经营、如何构建有价值的管道;

    LTE EPS网络安全如何解决

        通过在不同的位置部署不同功能的网络设备可以从网络层面有效解决LTE EPS上述的网络安全及业务问题。

        针对第一个问题,可通过在EPC中分光部署手机恶意代码检测及分析系统,类似在3G网络中应对该问题一样,但在4G网络中,由于带宽的大幅提升,因而该检测分析系统必须有足够性能及容量来应对4G网络中恶意代码检测的要求。

        针对流量攻击及信令风暴的问题,可通过在传输接入侧部署流量采集分析设备,结合运营商本身的网络安全管理平台来进行基于流量、信令等安全事件的分析,及时发现和防范该类型的攻击,保障移动网的正常运营。

        对第四个面临的安全问题,根据不同的应用场景来部署不同的IPSec 网关来解决。如果传输回送网络对移动运营商来说是非自建网络(例如移动运营商可以向固网运营商租用相关的传输网络进行数据业务的传输)的情况下,为了保障客户关键敏感的数据及语音在非信任的第三方网络上进行安全传输则可以在EPC网络中加入大容量IPsec网关,针对不同eNodeB与该IPSec 网关启用 IPSec隧道进行数据加密传输;而传输网和EPC为运营商自建的网络情况下,为保障客户关键敏感的数据在非信任的Internet 上进行传输,则可在P-GW处侧挂高性能IPSec网关,与对端企业机构互联网出口的IPSec网关进行加密传输,为客户提供数据加密传输的安全服务。

        针对5-8的问题,可在P-GW侧挂高性能设备来解决网络安全及数据业务问题。在Pi口部署安全智能设备能将Internet与EPC间、Internet与业务平台间进行安全隔离,对EPC网元进行安全保护,该设备具备相应的CGN及智能分流功能,能对IPv4地址进行高效复用,在IPv6未成熟正式商用前能应对运营商数据业务的急速发展,同时该设备针对数据流的应用层做深度分析及后续引流、重定向的功能,对向往运营商非流量经营平台的流量进行直接转发到Internet上,节省流量经营平台的压力,提升客户上网的体验。由于Pi口部署的设备具备解决上述问题的能力,因而该设备不单纯是个安全设备或者应用交付设备或DPI,而是一个高性能的综合承载网元设备。

        上述均是在网络层面提供的解决安全及业务的方案,而针对智能终端的安全防御策略,则运营商可考虑与第三方合作,在预发售的终端中安装相应的安全APP,作为安全增值业务或缺省为客户提供安全防御能力,从终端层面解决部分安全问题。

    整个LTE  EPS 安全及业务实施逻辑图如下:

     EPS=Evolved Packet System, 包括无线接入网和核心网 
     EPC=Evolved Packet Core, 仅指核心网 
     EUTRAN=Evolved Universal Terrestrial Radio Access Network, 仅指无线侧 
     SAE=System Architecture Evolution=EPC, 仅指核心网 
     LTE=Long Term Evolution=EUTRAN仅指无线侧 
     WiMAX=Worldwide Interoperability for Microwave Access,全球微波互连技术
     MME=Mobility Management Entity

上一篇:智慧城市中的信息安全解决之道 下一篇:抵御数字“黑洞”——DLP数据防泄漏浅析