當(dāng)前,我國(guó)4G網(wǎng)絡(luò)得到規(guī)模發(fā)展,4G用戶數(shù)龐大且不斷增加。但與之相伴的是無(wú)線網(wǎng)絡(luò)安全形勢(shì)卻愈加嚴(yán)峻。近日,中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)秘書長(zhǎng)楊澤民指出,4G相對(duì)于3G通信實(shí)現(xiàn)了移動(dòng)互聯(lián)網(wǎng)與互聯(lián)網(wǎng)的融合,更多的安全威脅隨之出現(xiàn),原有的網(wǎng)絡(luò)安全概念也已經(jīng)被打破。
為此應(yīng)對(duì)該挑戰(zhàn),近期由華為、北京交通大學(xué)、中國(guó)聯(lián)通聯(lián)合起草,并通過(guò)3年準(zhǔn)備的《LTE無(wú)線網(wǎng)絡(luò)安全網(wǎng)關(guān)技術(shù)要求》正式發(fā)布實(shí)施。這極大加強(qiáng)了業(yè)界對(duì)無(wú)線安全的重視程度,產(chǎn)業(yè)鏈各方也在行動(dòng)。
首個(gè)行業(yè)標(biāo)準(zhǔn)發(fā)布實(shí)施
據(jù)了解,《LTE無(wú)線網(wǎng)絡(luò)安全網(wǎng)關(guān)技術(shù)要求》是國(guó)內(nèi)首個(gè)LTE安全領(lǐng)域的行業(yè)標(biāo)準(zhǔn),于2012年在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)TC8工作組申請(qǐng)立項(xiàng)研究,由華為技術(shù)有限公司、北京交通大學(xué)、中國(guó)聯(lián)通聯(lián)合起草,經(jīng)過(guò)3年的反復(fù)討論與修改,已于2015年7月1日正式實(shí)施。
該標(biāo)準(zhǔn)目的旨在指導(dǎo)國(guó)產(chǎn)安全網(wǎng)關(guān)的產(chǎn)品規(guī)范化,是在深入理解國(guó)際標(biāo)準(zhǔn)組織3GPP的LTE安全相關(guān)標(biāo)準(zhǔn)基礎(chǔ)上,對(duì)LTE網(wǎng)絡(luò)主要網(wǎng)元安全網(wǎng)關(guān)所需的必備功能作出了詳細(xì)的說(shuō)明和闡述,幫助運(yùn)營(yíng)商以及企業(yè)在建設(shè)LTE網(wǎng)絡(luò)時(shí), 提供安全網(wǎng)關(guān)采購(gòu)規(guī)范性以及使用正確性的依據(jù)。
同時(shí)申請(qǐng)立項(xiàng)的標(biāo)準(zhǔn)規(guī)范還包括《LTE無(wú)線網(wǎng)絡(luò)安全網(wǎng)關(guān)測(cè)試方法》,主要定位指導(dǎo)LTE安全網(wǎng)關(guān)的測(cè)試操作。該規(guī)范也已基本完成報(bào)批,不久也將發(fā)布實(shí)施。
“網(wǎng)絡(luò)安全相關(guān)安全法規(guī)日趨規(guī)范化的今天,這一標(biāo)準(zhǔn)的正式實(shí)施幫助在運(yùn)營(yíng)商以及企業(yè)在建設(shè)LTE網(wǎng)絡(luò)時(shí),提供了安全網(wǎng)關(guān)采購(gòu)規(guī)范性及使用正確性的依據(jù)。”在近日由有中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)主辦、華為承辦的“LTE無(wú)線網(wǎng)絡(luò)安全研討會(huì)”上,工信部科技司標(biāo)準(zhǔn)處處長(zhǎng)徐鵬指出。
中國(guó)移動(dòng)和中國(guó)聯(lián)通已在行動(dòng)
據(jù)悉,中國(guó)移動(dòng)率先開(kāi)始LTE小基站+安全網(wǎng)關(guān)的安全接入方案商用部署。由于小基站在部署時(shí)通常不會(huì)建設(shè)保障物理安全的專屬機(jī)房,很多情況下也很難通過(guò)專線接入到運(yùn)營(yíng)商傳輸與核心網(wǎng)絡(luò),這便導(dǎo)致nanocell小基站極大可能采用穿越公網(wǎng)的接入方式。
中國(guó)移動(dòng)集團(tuán)要求通過(guò)部署安全網(wǎng)關(guān)對(duì)于小基站進(jìn)行鑒權(quán)認(rèn)證,并且建立加密隧道避免傳輸中可能發(fā)生的安全風(fēng)險(xiǎn)。此外,中國(guó)移動(dòng)移動(dòng)集團(tuán)在2015年上半年發(fā)布了nanocell小基站試驗(yàn)網(wǎng)絡(luò)相關(guān)的企業(yè)規(guī)范,對(duì)小基站以及安全網(wǎng)關(guān)設(shè)備的使用場(chǎng)景以及功能特性作出了明確說(shuō)明。
另外,中國(guó)聯(lián)通與華為等廠商也聯(lián)合進(jìn)行LTE傳輸安全威脅研究。據(jù)悉,從2014年4月開(kāi)始中國(guó)聯(lián)通網(wǎng)研院與華為公司針對(duì)LTE無(wú)線傳輸網(wǎng)絡(luò)安全性建立聯(lián)合研究課題。
該課題的目標(biāo)旨在分析國(guó)內(nèi)主流LTE部署場(chǎng)景下的傳輸網(wǎng)絡(luò)主要威脅風(fēng)險(xiǎn),以及驗(yàn)證相應(yīng)防護(hù)手段的有效性與實(shí)用性。聯(lián)合課題組在深入理解LTE安全相關(guān)國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上,總結(jié)分析出各類攻擊發(fā)生的條件、方式以及危害,并且對(duì)部分特性的威脅進(jìn)行了內(nèi)外場(chǎng)測(cè)試。當(dāng)前中國(guó)聯(lián)通正在開(kāi)展LTE安全相關(guān)的企業(yè)標(biāo)準(zhǔn)制定工作。
華為可提供全面的LTE安全方案
由于LTE相對(duì)2G、3G的扁平化、全I(xiàn)P化兩大網(wǎng)絡(luò)架構(gòu)改變,以及高帶寬大數(shù)據(jù)量的特點(diǎn),LTE網(wǎng)絡(luò)將面臨數(shù)據(jù)竊聽(tīng)、假冒欺騙、數(shù)據(jù)篡改、DDoS等安全風(fēng)險(xiǎn),不但危害到運(yùn)營(yíng)商基礎(chǔ)網(wǎng)絡(luò)設(shè)施,甚至將威脅用戶的信息安全。特別是小站部署時(shí)的開(kāi)放網(wǎng)絡(luò)接入,更是帶來(lái)了較大安全隱患。
華為提供領(lǐng)先的、全面的LTE安全方案,保障運(yùn)營(yíng)商4G網(wǎng)絡(luò)與業(yè)務(wù)的穩(wěn)定,助力國(guó)內(nèi)移動(dòng)寬帶的高速發(fā)展。華為L(zhǎng)TE安全方案亮點(diǎn)包括四方面。
首先,大容量高可靠。華為L(zhǎng)TE安全網(wǎng)關(guān)最大支持720Gbit/s IPSec(IPSec :InternetProtocolSecurity,即Internet保護(hù)協(xié)議)吞吐性能,能夠同時(shí)覆蓋7200個(gè)宏基站或者72000個(gè)小基站,滿足各種場(chǎng)景下,如LTE、2G/3G/4G融合等,大規(guī)?;就瑫r(shí)建立IPSec加密隧道進(jìn)行接入需求,加上安全網(wǎng)關(guān)分布式的硬件架構(gòu),線性增長(zhǎng)的擴(kuò)容能力,降低運(yùn)營(yíng)商部署的CAPEX;同時(shí),華為L(zhǎng)TE安全網(wǎng)關(guān)提供三級(jí)可靠性保障能力:設(shè)備組件全冗余->本地雙機(jī)熱備組網(wǎng)方案->異地容災(zāi)方案,多種可靠性保障手段靈活選擇,保證業(yè)務(wù)不中斷。
其次,專業(yè)加密與防護(hù)能力。華為L(zhǎng)TE安全網(wǎng)關(guān)除了支持基本的IPSec特性外,還能夠支持EAP-SIM認(rèn)證、IPSec NAT穿越、IKEv2重定向、IPv6 IPSec等增強(qiáng)功能,保護(hù)LTE移動(dòng)傳輸網(wǎng)絡(luò)的私密性與完整性;為了進(jìn)一步提高認(rèn)證的強(qiáng)度、配合數(shù)字證書系統(tǒng)(PKI系統(tǒng))的使用與部署,LTE安全網(wǎng)關(guān)提供完善的相關(guān)協(xié)議支持,比如CMPv2、SCEP等特殊協(xié)議,并且華為還具有整套PKI系統(tǒng)產(chǎn)品,具備了完整的IPSec方案提供能力,滿足運(yùn)營(yíng)商對(duì)技術(shù)的發(fā)展要求;此外,安全網(wǎng)關(guān)支持GTP/SCTP無(wú)線網(wǎng)絡(luò)協(xié)議過(guò)濾以及DDoS防護(hù)能力,保護(hù)運(yùn)營(yíng)商核心網(wǎng)絡(luò)網(wǎng)元遭受來(lái)自接入側(cè)網(wǎng)絡(luò)的攻擊。
再次,真正E2E LTE方案(End To End,端到端的LTE方案)。華為公司具有豐富的產(chǎn)品線,自主研發(fā)各種通信與網(wǎng)絡(luò)設(shè)備,對(duì)于LTE無(wú)線網(wǎng)絡(luò),華為能夠提供從基站到EPC核心網(wǎng),乃至IMS網(wǎng)絡(luò),同時(shí)包括網(wǎng)管與安全的整套端到端的產(chǎn)品,真正做到E2E的方案。特別是在LTE傳輸安全方案中,要求eNodeB與安全網(wǎng)關(guān)建立加密隧道,華為是國(guó)內(nèi)能夠同時(shí)提供基站產(chǎn)品與安全網(wǎng)關(guān)產(chǎn)品少有的廠商之一。提供整體方案將極大降低運(yùn)營(yíng)商的采購(gòu)與維護(hù)成本,簡(jiǎn)化對(duì)接過(guò)程,易于統(tǒng)一向NFV等主流技術(shù)趨勢(shì)演進(jìn),更易實(shí)現(xiàn)定制化需求。
最后,豐富部署經(jīng)驗(yàn)。從2010年德國(guó)Telefonica O2的首個(gè)商用局點(diǎn)開(kāi)始,至今華為L(zhǎng)TE安全網(wǎng)關(guān)已經(jīng)成功服務(wù)于海外35+運(yùn)營(yíng)商LTE商用網(wǎng)絡(luò),線上部署200+臺(tái)安全網(wǎng)關(guān),基站對(duì)接覆蓋了全球主流的無(wú)線廠商的基站產(chǎn)品,針對(duì)典型的組網(wǎng)與可靠性要求已經(jīng)形成了成熟的部署方案。華為L(zhǎng)TE安全網(wǎng)關(guān)無(wú)論從性能、擴(kuò)容能力,還是在功能特性以及可靠性方面,經(jīng)過(guò)反復(fù)的測(cè)試與商用驗(yàn)證,已經(jīng)得到了眾多海外運(yùn)營(yíng)商的高度認(rèn)可。