LTE领域首个行业安全标准诞生将护航运营商4G规模发展

本刊记者 | 黄海峰

LTE领域首个行业安全标准诞生将护航运营商4G规模发展

本刊记者 | 黄海峰

相对2G、3G，LTE网络面临更严重的数据窃听、假冒欺骗、数据篡改、DDoS等安全风险，不仅会危害到运营商基础网络设施，甚至将威胁用户的信息安全。

当前，我国4G网络得到规模发展，4G用户数庞大且不断增加。但与之相伴的是无线网络安全形势却愈加严峻。近日，中国通信标准化协会秘书长杨泽民指出，4G相对于3G通信实现了移动互联网与互联网的融合，更多的安全威胁随之出现，原有的网络安全概念也已经被打破。

为应对该挑战，近期由华为、北京交通大学、中国联通联合起草，并通过3年准备的《LTE无线网络安全网关技术要求》正式发布。这极大地加强了业界对无线安全的重视程度，产业链各方也在行动。

首个行业标准发布实施

据了解，《LTE无线网络安全网关技术要求》是国内首个LTE安全领域的行业标准，于2012年在中国通信标准化协会（CCSA）TC8工作组申请立项研究，由华为技术有限公司、北京交通大学、中国联通联合起草，经过3年的反复讨论与修改，已于7月1日正式实施。

该标准旨在指导国产安全网关的产品规范化，是在深入理解国际标准组织3GPP的LTE安全相关标准基础上，对LTE网络主要网元安全网关所需的必备功能做出了详细的说明和阐述，帮助运营商以及企业在建设LTE网络时, 提供安全网关采购规范性以及使用正确性的依据。

同时申请立项的标准规范还包括《LTE无线网络安全网关测试方法》，主要定位指导LTE安全网关的测试操作。该规范也已基本完成报批，不久将发布实施。

在“网络相关安全法规日趋规范化的今天，这一标准的正式实施将在运营商及企业建设LTE网络时，提供安全网关采购规范性及使用正确性的依据。”在近日由中国通信标准化协会主办、华为承办的“LTE无线网络安全研讨会”上，工信部科技司标准处处长徐鹏指出。

中国移动和中国联通已在行动

据悉，中国移动率先开始“LTE小基站+安全网关”的安全接入方案商用部署。由于小基站在部署时通常不会建设保障物理安全的专属机房，很多情况下也很难通过专线接入到运营商传输与核心网络，这便导致Nanocell小站极可能采用穿越公网的接入方式。

中国移动集团要求通过部署安全网关对小站进行鉴权认证，并且建立加密隧道避免传输中可能发生的安全风险。此外，中国移动集团在2015年上半年发布了Nanocell试验网络相关的企业规范，对小站以及安全网关设备的使用场景以及功能特性做出了明确说明。

另外，中国联通与华为也联合进行了LTE传输安全威胁研究。据悉，从2014年4月开始中国联通网研院安全室与华为公司针对LTE无线传输网络安全性建立联合研究课题。

该课题旨在分析国内主流LTE部署场景下的传输网络主要威胁风险，以及验证相应防护手段的有效性与实用性。联合课题组在深入理解LTE安全相关国际标准的基础上，总结分析出各类攻击发生的条件、方式以及危害，并且对部分特性的威胁分别在实验室以及现网环境进行复现。

除了验证网络攻击外，联合课题组参考海外运营商LTE商用案例，在实验环境中也进行了LTE安全网关部署与配置，进一步证明LTE安全网关能够切实有效的防护信息泄露、身份假冒、伪造报文等破坏运营商网络基础设施以及影响正常业务的严重网络攻击。

华为可提供全面的LTE安全方案

由于LTE相对2G、3G的扁平化、全IP化两大网络架构改变，以及高带宽、大数据量的特点，LTE网络将面临数据窃听、假冒欺骗、数据篡改、DDoS等安全风险，不仅危害到运营商基础网络设施，甚至将威胁用户的信息安全。特别是小站部署时的开放网络接入，更是带来了较大的安全隐患。

华为可提供领先的、全面的LTE安全方案，保障运营商4G网络与业务的稳定，助力国内移动宽带发展。华为LTE安全方案亮点包括以下4四方面。

首先，大容量高可靠。华为LTE安全网关最大支持720Gbit/s IPSec（IPSec ：InternetProtocolSecurity，即Internet保护协议）吞吐性能，能够同时覆盖7200个宏基站或者72000个小基站，满足各种场景下（如LTE、2G/3G/4G融合等）大规模基站同时建立IPSec加密隧道进行接入需求，加上安全网关分布式的硬件架构，线性增长的扩容能力，降低运营商部署的CAPEX；同时，华为LTE安全网关提供三级可靠性保障能力：设备组件全冗余、本地双机热备组网方案、异地容灾方案，多种可靠性保障手段灵活选择，保证业务不中断。

其次，专业加密与防护能力。华为LTE安全网关除了支持基本的IPSec特性外，还能够支持EAP-SIM认证、IPSec NAT穿越、IKEv2重定向、IPv6 IPSec等增强功能，保护LTE移动传输网络的私密性与完整性；为了进一步提高认证的强度、配合数字证书系统（PKI系统）的使用与部署，LTE安全网关提供完善的相关协议支持，比如CMPv2、SCEP等特殊协议，并且华为还具有整套PKI系统产品，具备了完整的IPSec方案提供能力，满足运营商对技术的发展要求；此外，安全网关支持GTP/SCTP无线网络协议过滤以及DDoS防护能力，保护运营商核心网络网元免遭来自接入侧网络的攻击。

再次，真正E2E LTE方案（End To End，端到端的LTE方案）。华为公司具有丰富的产品线，自主研发各种通信与网络设备，对于LTE无线网络，华为能够提供从基站到EPC核心网，乃至IMS网络，同时包括网管与安全的整套端到端产品，真正做到E2E的方案。特别是在LTE传输安全方案中，要求eNodeB与安全网关建立加密隧道，华为是国内能够同时提供基站产品与安全网关产品少有的厂商之一。提供整体方案将极大降低运营商的采购与维护成本，简化对接过程，易于统一向NFV等主流技术趋势演进，更易实现定制化需求。

最后，丰富部署经验。从2010年德国Telefonica O2的首个商用局点开始，至今华为LTE安全网关已经成功服务于海外35家以上运营商LTE商用网络，线上部署超过200台安全网关，基站对接覆盖了全球主流的无线厂商的基站产品，针对典型的组网与可靠性要求已经形成了成熟的部署方案。华为LTE安全网关无论从性能、扩容能力，还是在功能特性以及可靠性方面，经过反复的测试与商用验证，已经得到了众多海外运营商的高度认可。