Femtocell家庭基站技术及其安全问题研究课件.ppt

Femtocell家庭基站技术及其安全问题研究,Femtocell家庭基站技术及其安全问题研究Femtocell家庭基站技术及其安全问题研究2目录Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,2,目录,Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,3,Femtocell介绍,4,4,Femtocell概念由来,Femtocell概念最早由英国Ubiquisys公司提出，源于3G初期覆盖的不足以及Wi-Fi技术的挑战。3G发展初期的网络建设重点主要是室外覆盖，用户在室内的通信需求往往无法很好地满足。尤其是近年来Wi-Fi技术的迅速普及以及Wi-Fi/蜂窝网双模手机的不断增多，3G话音及数据业务都有被分流的危险。在这种情况下，Femtocell概念一经推出，就受到移动运营商的追捧。利用这种新技术及终端，移动运营商可以进入原来被固定网络和Wi-Fi网络所控制的家庭及办公场所市场。,5,FemtoCell价值是什么？,市场需求：70%的话务、90%的数据业务发生在室内。,现网问题：“室外宏覆盖室内”，穿透损耗大，室内信号飘忽不定。DAS系统，进场困难，难以满足大容量数据业务发展。,6,FemtoCell是什么？,毫微微小区(也称飞蜂窝)，是一种小型、低功率蜂窝基站，主要用于家庭及办公室等室内场所，因此也被称为家庭基站 作为蜂窝网在室内覆盖的补充，为用户提供话音及数据服务 外形通常和Wi-Fi AP类似，既可以单独使用，也可以集成在家庭网关中作为家庭网络的一部分,飞蜂窝,7,技术特点,技术特点：超小型化移动基站，接上一根网线，即可实现室内覆盖。,8,UMTS architecture,9,Femtocell Infrastructure,10,Femtocell Infrastructure,专用的安全网关是沟通飞蜂窝与移动核心网的门户，它配置在IP宽带网与移动核心网之间，每个飞蜂窝都采用IPsec技术与网关建立一条加密通道。,11,IPsec tunnel,12,Main architecture,Femtocell将有效化解覆盖和容量的难题。,13,Main architecture,14,常见基站类型,15,应用场景,16,16,Femtocell技术优势,宽带接入：Femtocell是基于IP协议的，采用扁平化的基站架构，可以通过现有的DSL、cable或光纤等宽带手段接入移动运营商的网络。低功率：发射功率为10100mW，与Wi-Fi接入点类似。它具有1个载波，覆盖半径为50200m，支持46个活动用户，允许的最大用户运动速度为10km/h。基于蜂窝移动网络标准：可以基于任何移动蜂窝通信技术，包括现有的3G标准及即将成熟的UMB、LTE，与运营商的其它移动基站同制式、同频段，因此手机等移动终端可以通用。,17,Femtocell技术优势,支持多种标准化协议：支持连接运营商核心网的多种接口。用户安装：支持即插即用，用户可以自行安装Femtocell终端，只需要运营商进行激活。低成本：结构简单，与传统基站相比，价格低廉，用户可以自己购买。,18,即插即用的Femtocell,19,19,目录,Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,20,Femtocell 接入解决方案,21,接入核心网的解決方案,Iu-b over IP 方式Iu over IP 方式(RAN 网关方式)SIP/IMS 方式,22,Iu-b over IP 方式,此架构以现存的3G网络架构为基础。Femtocell设备只具备Node B功能，是最早提出的接入方案,23,Iu-b over IP 方式,优点：Femtocell可以与macro cell共用RNC设备，网络结构清晰。缺点：可实施性差：造成RNC设备端口与容量的浪费 经济性能较差,24,Iu over IP(RAN 网关)方式,Femtocell设备集结了Node B和RNC功能在核心网与IP接入之间引入RAN 网关(RGW)。RAN网关在IuOverIP接口收集来自Femtocell的业务，然后通过标准Iu-CS、Iu-PS端口分送到核心网。,25,Iu over IP(RAN 网关)方式,26,RGW,RGW特点：核心网将RGW当成普通RNC设备处理，RGW负责网络安全、业务汇聚、协议转换、Femtocell设备管理与配置及Femtocell设备的接入控制RGW优点：业务透明度高成本低对网络影响小,27,SIP/IMS方式,网络发展的最终目标遵从3GPP IMS协定、VoIP SIP协定。RNC所执行的功能则被完全移到Femtocell端。按全IP化的方式部署Femtocell网络架构。,28,SIP/IMS方式,29,Femtocell的接入控制,Femtocell基站设备的接入控制：运营商要能够监控Femtocell基站的使用，并控制其IP是否允许接入。目前主要采用在Femtocell基站内置一张类似于SIM卡的信息鉴权设备，在用户获取Femtocell基站时，运营商可以在SIM卡上烧制相应的鉴权信息。核心网3GPP标准的UE接入鉴权：Femtocell对用户的接入必须满足3GPP对3G的各项标准规定。,30,30,Femtocell的接入控制,接入层的UE接入鉴权：用户必须可以设置Femtocell的接入模式，是否允许所有用户接入？能否设置不同的接入用户？Femtocell信号是否可以独享？因此Femtocell必须设置一个白名单编辑功能，以满足对Femtocell接入终端的控制。,31,31,目录,Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,32,Femtocell 移动性管理,33,-支持Femto到2G/3G宏站、2G/3G宏站到Femto和Femto到Femto的小区重选,-支持分层小区结构（HCS）UE小区重选算法考虑其移动快慢和HCS参数设置可以尽可能地将静态UE保留在Femto小区中可以减少Femto小区和宏小区间的乒乓小区重选，减少信令,小区重选,小区切换,移动性管理,小区重选,34,小区重选,小区重选原则:主要的重选判据是femto小区的质量;UE一旦进入Femto覆盖范围（图中红色区域），应立刻驻留到Femto小区。UE应能够在宏小区信号质量好于femto小区时还驻留于femto小区（如在宏基站附近）当femto小区的覆盖变弱时UE应转移到宏小区,35,小区重选,从宏小区-FEMTO对宏小区的要求:广播为femto邻小区特设的参数(如Sintrasearch,Treselection,)广播最多15个femto邻小区以及相应参数(如Qqualmin,Qrxlevmin Qoffset,)参数设置的目的:当宏小区质量较强时，UE应该测量同频或异频femto小区 当Femto小区满足小区选择条件是，UE应重选到Femto邻小区,从FEMTO-宏小区对femto小区的要求:广播femto小区参数(parameterQqualmin,Qrxlevmin,Sintrasearch,Treselection,)广播宏蜂窝邻小区参数(Qualmin,Qrxlevmin,Qoffset,)参数设置的目的:当femto小区质量变差时，UE只测量同频和异频宏蜂窝小区 当femto覆盖变差时，UE应重选到满足条件的宏小区,36,Source Femto Cell,Target FemtoCell,IPSEC Router,UE,Iu-CS UP,Iu-CS CP,Handover,小区切换,移动性管理,小区重选,小区切换,37,小区切换,切换的三个方向：Femtocell to FemtocellFemtocell to Macro cellMacro cell to Femtocell,有效地降低macro cell 的负荷量及频谱资源,38,小区切换,Femtocell和Femtocell之间的切换及Femtocell向宏峰窝小区的切换不存在问题，只要在Femtocell中设置相应的邻区列表即可。,Femto向2G/3G宏小区的切换 当UE移动出Femto覆盖区域，Femto的质量和电平差于一定门限的时候，将会触发Femto向2G/3G宏小区的切换Femto向Femto的切换Femto Group中支持Femto向Femto的切换,39,小区切换,但宏峰窝小区向Femtocell的切换中，由于Femtocell小区众多，宏峰窝邻区列表有限，因此宏峰窝向Femtocell方向的切换目前还在讨论当中。由于运算的复杂度及成本问题，大部分运营商已经同意可以放弃宏峰窝小区向Femtocell的切换。但有少数设备商也提出了逻辑小区的概念，将多个Femtocell归为一个逻辑小区，宏峰窝只关心逻辑小区的设置，而无需了解Femtocell的真实小区，以此来解决邻区列表有限的难题。,40,40,目录,Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,41,Femtocell安全问题,42,如何保证数据的安全：IPsec,IPSec保证AP与网络侧设备交互数据的安全性。(U)SIM卡鉴权保证AP合法性。,43,如何保证设备的合法性：AKA鉴权,3GPP R8协议TR 33.820对AP的认证方式已经形成最终结论,n AKA和证书方式同时被标准接纳，为R9前标准n 基于硬件的TrE 证书方式为R9后标准n AKA方式可以和基于硬件的证书方式一起用于R9后标准，作为设备和用户的认证,44,如何控制授权用户的准入：准入控制,业务需求：灵活配置用户准入权限，便于运营商提供差异化的服务及资费部署建议：根据不同场景的需求设置相应的准入策略,45,Femtocell网络三大威胁点,46,Femtocell网络三大威胁点,无线网络的空中接口固网回程的IP公网Photocell的接入终端设备FAP(Femtocell Access Point),47,无线链路的安全保护,基于无线电波的物理特性，用户的通信内容对于其它工作在相同波长下的设备来说都是可见的。因此，目前的蜂窝无线系统都采用了尖端的加密机制来对无线终端和用户提供高健壮性的语音和数据私密性、完整性保护。有众多的加密技术在无线通信领域内诞生。,48,无线链路的安全保护,无线通讯系统(GSM/UMTS/LTE/CDMA/WiMAX)都采用的是分组加密算法，以保证用户设备与基站之间语音和数据流的私密性。这些加密算法都有一个相同的特点，那就是计算的代价非常高昂，需要有强劲计算能力的处理器来支持。,Femtocell通常体积小，所要求的功耗必须尽可能的低，内存容量和CPU不支持如此耗费计算资源的加密算法。如何使得低成本的Femtocell接入终端也能够拥有用来加密解密的高效计算能力？,采用高速的FPGA芯片可以支持加密解密算法。,49,IP公网的安全保护,Femtocell与网关之间通过公共IP网连接，虽然这对Femtocell的部署带来了方便，但也带来了新的安全问题。公共网络一般被视为不安全的，在公网传输的信令和数据必须进行额外的加密保护，必须在两个方面充分考虑安全性的保障：1)Femtocell接入点与网关之间必须进行双向认证；2)通过鉴权后，Femtocell接入点与网关之间必须建立IPsec安全通道。因此，基于上述目的，我们可以采用X.509认证或基于SIM卡的认证来实现鉴权，采用IPsec来保证数据包的安全性。,50,IP公网的安全保护,51,X.509数字认证,X.509数字证书常用于IP网络中有身份验证需求的场景中。在这种方式下，敏感信息将存储在一个称为受信任平台模块中(Trusted Platform Module，TPM）。TPM的存储空间是受保护的，其内容不会被修改。通过这种方案，FAP终端的序列号在生产阶段确定，当用户从运营商处购买了FAP终端后，运营商将新用户同序列号关联起来。序列号是由厂商直接提供给运营商的，因此没有其它途径能够获取这些信息。之后，当用户使用Femtocell时，其公钥只能和这个序列号一起使用。,52,基于SIM卡的认证,认证FAP终端的另一种选择是使用SIM卡(GSM)或者USIM卡(UMTS)。在这种方式下，用来验证用户的信息将存储在SIM/USIM卡上，且SIM/USIM卡会内置于FAP终端内。当用户向运营商购买FAP终端后，运营商将通过存储在SIM/USIM卡以及AAA服务器中的信息来验证用户身份。,53,终端设备的安全保护,无线空口和IP回程网络中的安全威胁主要针对的是在通信链路上对用户数据的截取和窃听，而针对终端设备本身的攻击同样需要得到重视。与传统运营商设备不同，Femtocell是一个客户端设备，最终会放置在用户家中，运营商无法控制用户对设备本身进行拆解或改装，从而加大了安全威胁。目前主流的Femtocell设备主要是用嵌入式Linux系统，主要利用root用户密码进行保护，其安全性较低，缺乏安全存储和安全启动机制。用户和运营商的某些敏感数据是直接存储在设备的Flash上，恶意用户很容通过读Flash或者重新安装自定义的系统内核等方式获取设备的控制权限。,54,典型的针对终端设备的攻击,通过非法软件植入恶意程序到终端设备的系统中，迫使系统不断重启，达到拒绝服务的目的。删除或篡改终端认证令牌。非法篡改终端设备的系统配置。获取存储在设备Flash上的用户敏感数据，如用户信息、配置信息、使用情况、资费讯息等。,55,相应安全措施,封闭调试接口。保证设备本身没有调试接口提供给用户进行更新或修改。安全启动功能。只允许由厂商或受信任的第三方进行过数字签名的软件在设备上运行。运行时完整性保护。当设备正在运行操作系统和其它软件时必须保证其中的重要组件(比如操作系统内核)不能被恶意篡改。存储安全性。设备上必须提供一种具有“加密安全”属性的存储空间。异常监控机制。在设备管理中加强对于异常设备的监控。,56,56,目录,Femtocell介绍Femtocell接入解决方案Femtocell移动性管理问题Femtocell 安全问题CDMA Femtocell攻击案例,57,CDMA Femtocell攻击案例,58,CDMA Femtocell安全漏洞,普通蜂窝中，发起通话时，终端需要向蜂窝基站发送MIN/IMSI和MEID/ESN，而在飞蜂窝中，终端只需要发送MIN/IMSI，不需要发送MEID/ESD。,59,CDMA Femtocell安全漏洞,普通的CDMA蜂窝移动网络使用蜂窝认证和语音加密算法(Cellular Authentication and Voice Encryption,CAVE)，通过CAVE算法产生密匙，并用长码序列、ORYX和增强的分组加密算法E_CMEA，分别用于实现语音、数据和控制信令的加密。而飞蜂窝不使用蜂窝认证和语音加密算法(Cellular Authentication and Voice Encryption,CAVE)，这是CDMA飞蜂窝最主要的安全漏洞。,60,攻击方法,攻击者只需要获得攻击目标的ESN（Electronic Serial Numbers)/MEID（Mobile Equipment ID）和MIN(Mobile Identification Number)/IMSI(International Mobile Subscriber Identification)就可以克隆攻击目标，以攻击目标的身份接入到飞蜂窝，实现通信数据的伪造、监听和截获。,61,克隆过程,终端尝试接入到安装有嗅探器的飞蜂窝网络中，向飞蜂窝发送ESN/MEID和MIN/IMSI信息以便通过认证；,3.攻击者的终端可以使用攻击目标的ESN/MEID和MIN/IMSI信息通过认证接入到飞蜂窝网络；,4.攻击者的终端和目标终端具有相同ESN/MEID和MIN/IMSI信息，克隆成功。,2.ESN/MEID和MIN/IMSI信息被攻击者截获，并将ESN/MEID和MIN/IMSI信息克隆到攻击者的终端中；,62,应对措施,在CDMA飞蜂窝中使用登记注册机制。通过在飞蜂窝中登记注册，形成白名单，只有白名单上的用户才可以接入飞蜂窝网络。,63,Thank you！,