向东南，申　敏，陈政贵

(重庆邮电大学 通信与信息工程学院，重庆 400065)



LTE核心网安全缺陷的研究

向东南，申敏，陈政贵

(重庆邮电大学 通信与信息工程学院，重庆 400065)

摘要：演进分组核心(Evolved Packet Core，EPC)是长期演进(Long Term Evolution，LTE)网络的核心网，它是一个支持全IP的、高速率的、基于分组的和低时延的扁平型网络，给人们带来良好用户体验的同时，也引入了一些安全隐患。主要从LTE核心网架构、接口和协议方面研究了LTE核心网面临的安全缺陷，分析了其可能导致的安全威胁，并提出了一系列安全性增强方案，使LTE系统更加安全。

关键词：LTE；核心网；安全

0引言

随着移动通信技术的快速发展，为满足人们对高用户数据速率，大系统容量和无缝接入的需求，3GPP标准组织启动了面向无线网络演进计划的长期演进(Long Term Evolution，LTE)以及面向核心网络演进计划的系统框架演进(System Architecture Evolution，SAE)项目。如今，LTE网络已在全球范围内广泛部署。据全球移动设备供应商协会(GSA)2015年1月7日发布的统计数据显示，2014年全球电信运营商共推出了96张LTE网络，截至2014年12月底，全球共有360张商用LTE网络分布于124个国家和地区。

由于LTE网络架构相对于传统通信技术有较大改变，采用了更加扁平化的结构，并且面临多种无线技术并存和异构网络共存、融合和互联互通的趋势，LTE通信系统安全问题也日益复杂和重要。

目前国内外对LTE安全研究主要集中在安全机制、鉴权和加密算法方面，没有对LTE核心网进行系统化的研究。针对移动设备的攻击可能会对目标设备和用户造成有限的破坏性威胁，而针对核心网的攻击将产生更严重的后果，很可能威胁某个区域或是影响整个网络的正常运转。

1LTE安全体系结构

LTE网络由E-UTRAN和EPC组成，又称EPS(Evolved Packet System)。E-UTRAN由多个eNodeB组成，eNodeB间通过X2接口通信。EPC由MME、SGW、PGW和PCRF组成。EPC和E-UTRAN间使用S1接口[1]。LTE网络架构如图1所示，其特点为：① LTE网络只有分组域，而没有电路域：在标准的LTE网络结构下，核心网不再具有电路域CS，只提供分组业务。对语音业务的实现，可以通过IMS系统实现VOIP业务；

② 网络结构扁平化，承载和控制相分离：承载和控制分离，MME实现控制功能，SGW实现用户面功能；

③ 基于全 IP 架构；

GTPCv2协议和Diameter协议是核心网控制面的主要协议，GTPUv1协议是用户面的主要协议，UDP协议和SCTP协议是传输层的主要协议。

④ 其他重要特点：支持多种接入方式、永远在线：不仅支持3GPP接入方式，还支持non-3GPP接入方式，包括可靠的和不可靠的。

图1　LTE网络架构

2LTE核心网安全性问题

LTE核心网的安全问题主要考虑其面临的各种威胁和攻击，对LTE核心网的攻击可能来源于其他与核心网络连接的网络，如互联网和全球漫游合作伙伴，或者是来自核心网内部，如从核心网络内提供服务的内容提供商。攻击可能来自于任何网络接口。众所周知，基于IP的网络面临各种威胁。发起对网络的攻击旨在：窃取信息，使信息失真，破坏信息或主机软件，或使信息或服务不可用；可能降低网络的总体性能，导致系统死机；或者针对特定的应用如计费系统[2]。接下来，主要从网络架构、接口和协议几个方面分析LTE核心网安全。

2.1　LTE网络架构安全问题

LTE网络被设计为扁平的全IP架构，支持与异构无线接入网络全互通[3]。LTE网络这种独特的特征存在安全机制的漏洞。

① 基于IP扁平的3GPP LTE网络架构比GSM和UMTS网络存在更多的安全风险，如注入、篡改、窃听和其他隐私泄露风险。LTE网络架构比互联网更容易受到传统的恶意攻击，如IP地址欺骗、DOS攻击、病毒、蠕虫、垃圾电子邮件及电话等；

② LTE系统的基站存在潜在的弱点。由于LTE网络的全IP网络特性，一旦攻击攻破了基站，它可进一步危及整个网络；

③ LTE网络架构在切换认证过程存在一些新的问题。为了在E-UTRAN和non-3GPP接入网络间实现安全无缝切换，3GPP提出几种切换认证方法。但是UE切换到新的接入网络之前，UE和目标接入网络之间需要遍历完整的接入认证过程，由于与认证、授权、计费(AAA)服务器或相关代理AAA服务器的多轮消息交换，这将带来较长的切换延迟。另外，不同移动场景需要不同的切换认证过程，这将提高整个系统的复杂性。这些风险将不仅对LTE网络支持持续的连通性带来很多困难，也可能被攻击者利用来攻击其他接入网或核心网，消耗网络资源，甚至使整个网络瘫痪。

2.2　LTE核心网接口安全

LTE核心网网络安全威胁可能来自接入网，漫游合作伙伴，以及Internet，分别通过S1、S8和SGi接口连接，如图2所示。

图2　LTE核心网外部接口

⑴ S1接口

越来越多的基站在公共区域，这使得它们容易被非法篡改。由于LTE回传网络中没有部署RNC，一个受侵害的eNodeB基站接入网络后，可以对移动管理实体(MME)或核心网网关(SAE-GW)发起中间人攻击，从而影响整个核心服务。用户平面数据的空口加密终止于eNB，LTE回传网络还可能被未授权用户窃听。

⑵ SGi接口

LTE移动网络通过SGi接口连接数百万的设备到Internet或其他不安全的网络—使得网络暴露于一系列web威胁包括恶意软件、洪泛攻击、DoS攻击、僵尸网络和端口扫描等。

⑶ S8接口

运营商必须允许移动用户漫游访问互联网，这意味着移动网络运营商必须互联互通。这需要使用S8接口接入漫游交换网络，它作为一个枢纽连接漫游用户，解决了各服务提供商之间对专用链路的需求。

因此，当与其他运营商和不信任的网络之间的漫游互联时，必须保证移动网络运营商的分组核心成员的安全。由于目前S8接口是用于网间漫游业务，最常见的安全威胁类型使用DOS技术针对服务的可用性，进行如数据洪泛、带宽饱和、欺骗或缓存污染等攻击[4]。S8接口也容易受到超额计费攻击，如果移动台能够劫持一个合法的IP地址身份，就可以开始非法下载数据。

2.3　LTE核心网协议安全

在LTE核心网中，最重要的协议是Diameter和GTP协议，接下来主要讨论它们的安全性。

2.3.1Diameter协议

在LTE网络中，3GPP委托协议Diameter和SIP作为信令接口取代了传统的SS7信令系统协议。许多核心网接口和服务都使用Diameter接口，包括HHS、MME、PCRF、S-GW/P-GW和IMS核心网。

引入Diameter协议对拥塞管理和业务处理机制也具有一些挑战。3G网络中，RNC是主要的信令瓶颈，负责信令和承载业务。相比SS7，Diameter接口明显增加了大量的信令，称为4G移动核心网的信令风暴，这是移动核心网一个新兴的威胁，对移动运营商和设备供应商会产生一定影响。Diameter是端到端基于IP的协议，与SS7协议不同，它不支持拥塞控制和管理，这是LTE网络主要的问题。

如图3所示，Diameter使用TCP或SCTP传输机制实现了IP。在涌入大量的Diameter请求时，LTE网络的这种传输机制暴露了TCP拥塞的问题。这成为利用DoS/DDoS攻击产生大量业务的一个瓶颈。当diameter服务器过载或拥塞时，需要有能力通知发送端缩减业务量来卸载流量，它将因为发送和响应消息消耗掉所有的资源，从而导致服务器节点崩溃。过载的原因：CPU、内存和I/O资源有足够的能力处理信息；中间网络节点失败；网络发起大量的业务；网络用户发起的业务和DoS/DDoS攻击。过载和拥塞最主要的问题是节点和网络的完全失败，将会影响网络服务质量和网络性能。Diameter接口过载可能导致以下影响：拒绝服务、移动宽度连接丢失、紧急服务和合法拦截位置信息丢失、策略控制实施和计费错误导致收入损失[5]。

此外，当发送合法的端到端请求或响应时，Diameter协议无法区分其是否为滥用，例如如果MME滥用信令，向HSS发起大量的信令请求计算鉴权向量，使得HSS饱和，无法为合法用户服务导致DoS攻击[6]。

图3　Diameter协议栈

2.3.2GTP协议

在EPC网络中，GTP协议的主要功能是提供网络节点之间的隧道的建立、用户移动性和会话管理。GTP分为GTP-C[7]和GTP-U[8]，分别对应于GTP控制平面和GTP用户平面。如图4所示GTP 协议本身几乎没有任何安全考虑，而是依靠下层 IPSec等安全协议来保证安全，存在着大量的安全漏洞和安全威胁，可以被用作对整个网络进行攻击的手段，包括最简单的“超额计费”到“节点攻击”，而且GTP协议是基于UDP面向无连接的协议，具有分组易被篡改的弱点。

图4　GTP协议栈

GTP协议的安全问题可以分为：协议异常攻击，利用协议处理程序的漏洞产生异常，损坏或不遵循协议规则的PDU，从而降低系统性能或获得非法权限；基础设施攻击(GTP欺骗)，将攻击数据包封装成GTP攻击其他网络成员；资源耗尽攻击。

3安全性增强方案

在本节中，主要介绍了一些安全性增强方案。

3.1　LTE网络架构

对于LTE安全体系结构，为确保UE、基站和EPC间的安全通信，需要设计更多的安全机制，以解决LTE网络传统的协议攻击和物理攻击[9]。此外，需要设计更有效的切换认证体系，实现基站间、3GPP网络与非3GPP网络之间无缝切换的安全。

文献[10]提出一个新的简单且强大的基于改进代理签名切换认证方案，它可以适用于所有的移动场景，包括基站内和基站间的切换。通过该方案，UE与目标eNB可以直接完成强制认证，当UE进入目标eNB覆盖区域时由代理签名生成长期密钥，从而建立一个会话密钥。其认证过程简单，无需复杂的密钥管理，可以达到理想的效果。但是，代理签名的使用仍存在效率低下和不兼容的缺点。

3.2　LTE核心网接口

对于S1接口，3GPP标准建议采用IPsec(IP安全协议)来确保eNodeB和核心网之间的安全。为确保SGi接口的安全，需要一种电信级网络地址转换(CGN)解决方案。在SGi接口使用CGN解决方案隐藏核心网服务IP地址和公共的因特网设备，保证它们的安全性，避免遭受DoS攻击，以及减少核心网和无线网络“信令风暴”的风险，避免计费攻击[11]。对于S8接口安全，需要安全网关对S8接口的协议进行深度状态包检测，以此来预见恶意攻击。

3.3　LTE核心网协议

为解决diameter接口拥塞的问题，可以在diameter客户和服务器的传输层采用拥塞通知的方法，在拥塞发生前，在IPv4或IPv6头标记该diameter IP包[12]。当TCP接收端收到标记了拥塞的包，将在随后的ACK(确认)消息中通知拥塞将发生，由此反过来触发发送端的拥塞避免算法。

4结束语

和以往的部署为时分复用，异步传输模式和基于SS7的回程传输的蜂窝技术版本不同，LTE网络部署支持全IP扁平型架构。全IP网络暴露了一些安全威胁，而LTE核心网的安全更会关乎整个网络的运作，主要从LTE核心网架构、接口和协议几个方面分析了LTE核心网面临的安全缺陷及其可能导致的安全威胁，并根据LTE核心网面临的安全威胁提出相应的安全性增强方案。在接下来的工作中，将会对各方案进行验证和详细的研究，使LTE系统更加安全。

参考文献

[1]姜怡华,许慕鸿,习建德,等.3GPP 系统架构演进(SAE)原理与设计[M].北京:人民邮电出版社,2010:298-302.

[2]André Egners.Threat and Risk Analysis for Mobile Communication Networks and Mobile Terminals[R].Nokia Siemens Networks Research,2013：23-28.

[3]Li Zhu,Hang Qin,Huaqing Maoet al.Research on 3GPP LTE Security ArchitectureC∥2012 8th International Conference on Wireless Communications,Networking and Mobile Computing (WiCOM),2012:1-4.

[4]Woung J,Se K K,Joo H O et al..Session-Based Detection of Signaling DoS on LTE Mobile Networks[J].Advances in Computer Networks,2014,2(3):159-162.

[5]3GPP TS 23.843.3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on Core Network Overload (CNO) solutions (Release 12) [S].

[6]Jover R P. Security Attacks Against the Availability of LTE Mobility Networks:Overview and Research Directions[C]∥IEEE 2013 16th International Symposium on Wireless Personal Multimedia Communications (WPMC),2013:1-9.

[7]3GPP TS 29.274.3rd Generation Partnership Project;3GPP Evolved Packet System(EPS);Evolved General Packet Radio System(GPRS) Tunnelling Protocol for Control Plane(GTPv2-C) ( Release 12)[S].

[8]3GPP TS29.281.3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;General Packet Radio System(GPRS) Tunnelling Protocol User Plane(GTPv1-U) ( Release 12)[S].

[9]汪辰良.LTE安全接入机制研究[D].西安:西安电子科技大学,2012.

[10]Cao J ,Li H,Ma M,et al.A Simple and Robust Handover Authentication between HeNB and eNB in LTE Networks[J].Computer Networks，2012,56(8):2119-2130.

[11]Zheng J. Research on the Security of 4G Mobile System in the IPv6 Network[C]∥Recent Advances in Computer Science and Information Engineering,2012:829-834.

[12]陈志南,彭建华,刘彩霞,刘树新.EPC网络安全问题研究[J].信息工程大学学报,2013,14(3):371-375.

Research on Security Flaws of LTE Core Network

XIANG Dong-nan,SHEN Min,CHEN Zheng-gui

(School of Communication and Information Engineering,Chongqing University of

Posts and Telecommunications,Chongqing 400065,China)

Abstract：The Evolved Packet Core (EPC) is the core network of Long Term Evolution (LTE).It is a flatter network which supports all-IP,high-speed,packet-based and low-latency,and brings a better user experience but introduces some security risks.This paper mainly studies the security flaws of LTE core network from the network structure,interface and protocol of LTE core,discusses the security threats that may result in,and puts forward a series of enhanced security schemes to make the LTE system more secure.

Key words：LTE;core network;security

作者简介：向东南(1990—)，女，硕士研究生，主要研究方向:移动通信网络安全。申敏(1963—),女，博士生导师，教授，主要研究方向：移动通信系统及关键技术、数字信号处理及其应用。

基金项目：国家科技重大专项基金资助项目(2012ZX03001012)

收稿日期：2015-09-11

中图分类号：TN929.5

文献标识码：A

文章编号：1003-3114(2016)01-31-4

doi:10.3969/j.issn.1003-3114.2016.01.08

引用格式：向东南，申敏，陈政贵.LTE核心网安全缺陷的研究[J].无线电通信技术,2016,42(1):31-34.