文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第1页,共2页LTE承载需求分析—IPSec1移动回传网络面临的安全威胁移动回传网络面临的安全威胁包括但并不限于:1)针对移动网元和用户终端的DDOS(Denialofservice)攻击,其原理如下图所示;2)eNB仿冒(spoofing),其原理如下图所示;3)窃听用户流量,篡改用户数据;4)未经授权接入eNB或者其他网络设备2与3G相比,LTE在RAN侧面临的危险更严重在3G网络中,从用户终端到RNC,不管是控制面还是用户面,都设计有接入认证和数据加密机制;但在LTE网络中,控制面从用户终端到核心网仍然保留了接入认证和数据加密文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第2页,共2页机制,但是在数据平面,只有空口具备接入认证和加密机制,S1-U只有认证机制而没有加密机制,因此与3G网络相比,LTE网络更需要部署额外的安全机制。3国家信息安全战略要求运营商强化网络安全2012年6月28日,国务院下发了《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》文件(国发【2012】23号),对基础电信网络的网路安全提出了明确的要求,其中提到“确保重要信息系统和基础信息网络安全。……电信网、广播电视网、互联网等基础信息网络,要同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力”。其原文链接如下,以供必要时参考:是3GPP建议的解决IP网络安全问题的方法秉承在历史上对移动网络安全性的高度重视,3GPP提供了一种消除S1和X2接口安全风险的办法。在其NDS(NetworkDomainSecurity)架构中,3GPP建议部署IPSec来解决这一问题。IPSec技术在企业网和固定网络中已经被广泛使用,它可以支持对IP流量进行认证和加密。3GPP建议由基站侧发起建立IPSecTunnel,将信令和数据报文经过IPSec加密后再通过移动回传网络传送,然后在核心网之前的安全网关上对报文进行解密后送入移动核心网。目前,绝大多数无线厂商的eNB都已经支持IPSec,因此在IPRAN中支持和部署IPSec,对LTE网络安全建设来说显得尤为迫切。