Femtocell家庭基站技术及其安全问题研究课件.ppt

1、2目录nFemtocell介绍nFemtocell接入解决方案nFemtocell移动性管理问题nFemtocell 安全问题nCDMA Femtocell攻击案例3Femtocell介绍44Femtocell概念由来nFemtocell概念最早由英国Ubiquisys公司提出，源于3G3G初期覆盖的不足以及Wi-Fi技术的挑战。n3G发展初期的网络建设重点主要是室外覆盖，用户在室内的通信需求往往无法很好地满足。n尤其是近年来Wi-Fi技术的迅速普及以及Wi-Fi/蜂窝网双模手机的不断增多，3G话音及数据业务都有被分流的危险。n在这种情况下，Femtocell概念一经推出，就受到移动运营商的追

2、捧。利用这种新技术及终端，移动运营商可以进入原来被固定网络和Wi-Fi网络所控制的家庭及办公场所市场。5FemtoCell价值是什么？n市场需求：市场需求：70% 的话务、的话务、90%的数据业务发生在室内。的数据业务发生在室内。n现网问题：现网问题：“室外宏覆盖室内室外宏覆盖室内”，穿透损耗大，室内信号飘忽不定。，穿透损耗大，室内信号飘忽不定。DAS系统，进场困难，系统，进场困难，难以满足大容量数据业务发展。难以满足大容量数据业务发展。6FemtoCell是什么？n毫微微小区(也称飞蜂窝)，是一种小型、低功率蜂窝基站，主要用于家庭及办公室等室内场所 ，因此也被称为家庭基站 n作为蜂窝网在室内

3、覆盖的补充，为用户提供话音及数据服务 n外形通常和Wi-Fi AP类似，既可以单独使用，也可以集成在家庭网关中作为家庭网络的一部分 飞蜂窝7技术特点n技术特点：超小型化移动基站，接上一根网线，即可实现室内覆盖。技术特点：超小型化移动基站，接上一根网线，即可实现室内覆盖。8UMTS architecture9Femtocell Infrastructure10Femtocell Infrastructure专用的安全网关是沟通飞蜂窝与移动核心网的门户，它配置在IP宽带网与移动核心网之间，每个飞蜂窝都采用IPsec技术与网关建立一条加密通道。 11IPsec tunnel 12Main archi

4、tectureFemtocell将有效化解覆盖和容量的难题。将有效化解覆盖和容量的难题。13Main architecture14常见基站类型15应用场景1616Femtocell技术优势n宽带接入：Femtocell是基于IP协议的，采用扁平化的基站架构，可以通过现有的DSL、cablecable或光纤等宽带手段接入移动运营商的网络。n低功率：发射功率为10100mW，与Wi-Fi接入点类似。它具有1个载波，覆盖半径为50200m，支持46个活动用户，允许的最大用户运动速度为10km/h 。n基于蜂窝移动网络标准：可以基于任何移动蜂窝通信技术，包括现有的3G标准及即将成熟的UMB、LTE ，

5、与运营商的其它移动基站同制式、同频段，因此手机等移动终端可以通用。 17Femtocell技术优势n支持多种标准化协议：支持连接运营商核心网的多种接口。n用户安装：支持即插即用，用户可以自行安装Femtocell终端，只需要运营商进行激活。n低成本：结构简单，与传统基站相比，价格低廉，用户可以自己购买。18即插即用的Femtocell1919目录nFemtocell介绍nFemtocell接入解决方案nFemtocell移动性管理问题nFemtocell 安全问题nCDMA Femtocell攻击案例20Femtocell 接入解决方案21接入核心网的解決方案nIu-b over IP 方式n

6、Iu over IP 方式 (RAN 网关方式)nSIP/IMS 方式22Iu-b over IP 方式n此架构以现存的3G网络架构为基础。nFemtocell设备只具备Node B功能，是最早提出的接入方案23Iu-b over IP 方式n优点： nFemtocell可以与macro cell共用RNC设备，网络结构清晰。n缺点：n可实施性差：造成RNC设备端口与容量的浪费 n经济性能较差24Iu over IP (RAN 网关) 方式nFemtocell设备集结了Node B和RNC功能n在核心网与IP接入之间引入RAN 网关(RGW)。RAN网关在IuOverIP接口收集来自Femto

7、cell的业务，然后通过标准Iu-CS、Iu-PS端口分送到核心网。 25Iu over IP (RAN 网关) 方式26RGWnRGW特点：n核心网将RGW当成普通RNC设备处理，RGW负责网络安全、业务汇聚、协议转换、Femtocell设备管理与配置及Femtocell设备的接入控制nRGW优点：n业务透明度高n成本低n对网络影响小27SIP/IMS方式n网络发展的最终目标n遵从3GPP IMS协定、VoIP SIP协定。nRNC所执行的功能则被完全移到Femtocell端。 n按全IP化的方式部署Femtocell网络架构。28SIP/IMS方式29Femtocell的接入控制nFemt

8、ocell基站设备的接入控制：运营商要能够监控Femtocell基站的使用，并控制其IP是否允许接入。目前主要采用在Femtocell基站内置一张类似于SIM卡的信息鉴权设备，在用户获取Femtocell基站时，运营商可以在SIM卡上烧制相应的鉴权信息。n核心网3GPP标准的UE接入鉴权：Femtocell对用户的接入必须满足3GPP对3G的各项标准规定。3030Femtocell的接入控制n接入层的UE接入鉴权：用户必须可以设置Femtocell的接入模式，是否允许所有用户接入？能否设置不同的接入用户？Femtocell信号是否可以独享？因此Femtocell必须设置一个白名单编辑功能，以满

9、足对Femtocell接入终端的控制。3131目录nFemtocell介绍nFemtocell接入解决方案nFemtocell移动性管理问题nFemtocell 安全问题nCDMA Femtocell攻击案例32Femtocell 移动性管理33 - 支持支持Femto到到2G/3G宏站、宏站、2G/3G宏站到宏站到Femto和和Femto到到Femto的小区重选的小区重选 - 支持分层小区结构（支持分层小区结构（HCS）UE小区重选算法考虑其移动快慢和小区重选算法考虑其移动快慢和HCS参数设置参数设置可以尽可能地将静态可以尽可能地将静态UE保留在保留在Femto小区中小区中可以减少可以减少F

10、emto小区和宏小区间的乒乓小区重选，减少小区和宏小区间的乒乓小区重选，减少信令信令P3P2Copyright 1996 Northern TelecomP1小区重选小区重选小区切换小区切换 移动性管理移动性管理小区重选34小区重选小区重选原则小区重选原则:n 主要的重选判据是主要的重选判据是femto小区的质量小区的质量;n UE一旦进入一旦进入Femto覆盖范围（图中红覆盖范围（图中红色区域），应立刻驻留到色区域），应立刻驻留到Femto小区。小区。n UE应能够在宏小区信号质量好于应能够在宏小区信号质量好于femto小区时还驻留于小区时还驻留于femto小区（如在小区（如在宏基站附近）宏

11、基站附近）n 当当femto小区的覆盖变弱时小区的覆盖变弱时UE应转移应转移到宏小区到宏小区35小区重选从宏小区从宏小区-FEMTOn对宏小区的要求对宏小区的要求:n 广播为广播为femto邻小区特设的参数邻小区特设的参数(如如Sintrasearch, Treselection,)n 广播最多广播最多15个个femto邻小区以及相应参邻小区以及相应参数数(如如Qqualmin, Qrxlevmin Qoffset, )n 参数设置的目的参数设置的目的:n 当宏小区质量较强时，当宏小区质量较强时，UE应该测量同频应该测量同频或异频或异频femto小区小区n 当当Femto小区满足小区选择条件是

12、，小区满足小区选择条件是，UE应重选到应重选到Femto邻小区邻小区从从FEMTO -宏小区宏小区n对对femto小区的要求小区的要求:n 广播广播femto小区参数小区参数(parameterQqualmin, Qrxlevmin, Sintrasearch, Treselection, )n 广播宏蜂窝邻小区参数广播宏蜂窝邻小区参数(Qualmin,Qrxlevmin, Qoffset, )n参数设置的目的参数设置的目的:n 当当femto小区质量变差时，小区质量变差时，UE只测量同只测量同频和异频宏蜂窝小区频和异频宏蜂窝小区n 当当femto覆盖变差时，覆盖变差时，UE应重选到满足应重选

13、到满足条件的宏小区条件的宏小区36Source Femto CellTarget FemtoCellIPSEC RouterUEBVGIu-CS UPBSGIu-CS CP3GMSCManaged Transport NetworkHandover小区切换 移动性管理移动性管理小区重选小区重选小区切换小区切换37小区切换n切换的三个方向：nFemtocell to FemtocellnFemtocell to Macro cellnMacro cell to Femtocelln 有效地降低macro cell 的负荷量及频谱资源38小区切换nFemtocell和Femtocell之间的切换及

14、Femtocell向宏峰窝小区的切换不存在问题，只要在Femtocell中设置相应的邻区列表即可。Femto向2G/3G宏小区的切换 当当UE移动出移动出Femto覆盖区域，覆盖区域，Femto的的质量和电平差于一定门限的时候，将会触质量和电平差于一定门限的时候，将会触发发Femto向向2G/3G宏小区的切换宏小区的切换Femto向Femto的切换Femto Group中支持中支持Femto向向Femto的切换的切换39小区切换n但宏峰窝小区向Femtocell的切换中，由于Femtocell小区众多，宏峰窝邻区列表有限，因此宏峰窝向Femtocell方向的切换目前还在讨论当中。由于运算的复杂

15、度及成本问题，大部分运营商已经同意可以放弃宏峰窝小区向Femtocell的切换。但有少数设备商也提出了逻辑小区的概念，将多个Femtocell归为一个逻辑小区，宏峰窝只关心逻辑小区的设置，而无需了解Femtocell的真实小区，以此来解决邻区列表有限的难题。4040目录nFemtocell介绍nFemtocell接入解决方案nFemtocell移动性管理问题nFemtocell 安全问题nCDMA Femtocell攻击案例41Femtocell安全问题42如何保证数据的安全：IPsecnIPSec保证AP与网络侧设备交互数据的安全性。n(U)SIM卡鉴权保证AP合法性。43如何保证设备的合法

16、性：AKA鉴权n3GPP R8协议协议TR 33.820对对AP的认证方式已经形成最终结论的认证方式已经形成最终结论n AKA和证书方式同时被标准接纳，为R9前标准n 基于硬件的TrE 证书方式为R9后标准n AKA方式可以和基于硬件的证书方式一起用于R9后标准，作为设备和用户的认证44如何控制授权用户的准入：准入控制n业务需求：业务需求：灵活配置用户准入权限，便于运营商提供差异化的服务及资费n部署建议：部署建议：根据不同场景的需求设置相应的准入策略45Femtocell网络三大威胁点46Femtocell网络三大威胁点n无线网络的空中接口n固网回程的IP公网nPhotocell的接入终端设备

17、FAP(Femtocell Access Point)47无线链路的安全保护基于无线电波的物理特性，用户的通信内容对于其它工作在相同波长下的设备来说都是可见的。因此，目前的蜂窝无线系统都采用了尖端的加密机制来对无线终端和用户提供高健壮性的语音和数据私密性、完整性保护。有众多的加密技术在无线通信领域内诞生。48无线链路的安全保护n无线通讯系统(GSM/UMTS/LTE/CDMA/WiMAX)都采用的是分组加密算法，以保证用户设备与基站之间语音和数据流的私密性。这些加密算法都有一个相同的特点，那就是计算的代价非常高昂，需要有强劲计算能力的处理器来支持。nFemtocell通常体积小，所要求的功耗必

18、须尽可能的低，内存容量和CPU不支持如此耗费计算资源的加密算法。如何使得低成本的Femtocell接入终端也能够拥有用来加密解密的高效计算能力？采用高速的FPGA芯片可以支持加密解密算法。49IP公网的安全保护Femtocell与网关之间通过公共IP网连接，虽然这对Femtocell的部署带来了方便，但也带来了新的安全问题。公共网络一般被视为不安全的，在公网传输的信令和数据必须进行额外的加密保护，必须在两个方面充分考虑安全性的保障：1) Femtocell接入点与网关之间必须进行双向认证；2) 通过鉴权后，Femtocell接入点与网关之间必须建立IPsec安全通道。因此，基于上述目的，我们可

19、以采用X.509认证或基于SIM卡的认证来实现鉴权，采用IPsec来保证数据包的安全性。50IP公网的安全保护51X.509数字认证X.509数字证书常用于IP网络中有身份验证需求的场景中。在这种方式下，敏感信息将存储在一个称为受信任平台模块中(Trusted Platform Module，TPM）。TPM的存储空间是受保护的，其内容不会被修改。通过这种方案，FAP终端的序列号在生产阶段确定，当用户从运营商处购买了FAP终端后，运营商将新用户同序列号关联起来。序列号是由厂商直接提供给运营商的，因此没有其它途径能够获取这些信息。之后，当用户使用Femtocell时，其公钥只能和这个序列号一起使

20、用。52基于SIM卡的认证认证FAP终端的另一种选择是使用SIM卡(GSM)或者USIM卡(UMTS)。在这种方式下，用来验证用户的信息将存储在SIM/USIM卡上，且SIM/USIM卡会内置于FAP终端内。当用户向运营商购买FAP终端后，运营商将通过存储在SIM/USIM卡以及AAA服务器中的信息来验证用户身份。53终端设备的安全保护n无线空口和IP回程网络中的安全威胁主要针对的是在通信链路上对用户数据的截取和窃听，而针对终端设备本身的攻击同样需要得到重视。n与传统运营商设备不同，Femtocell是一个客户端设备，最终会放置在用户家中，运营商无法控制用户对设备本身进行拆解或改装，从而加大了

21、安全威胁。n目前主流的Femtocell设备主要是用嵌入式Linux系统，主要利用root用户密码进行保护，其安全性较低，缺乏安全存储和安全启动机制。用户和运营商的某些敏感数据是直接存储在设备的Flash上，恶意用户很容通过读Flash或者重新安装自定义的系统内核等方式获取设备的控制权限。54典型的针对终端设备的攻击n通过非法软件植入恶意程序到终端设备的系统中，迫使系统不断重启，达到拒绝服务的目的。n删除或篡改终端认证令牌。n非法篡改终端设备的系统配置。n获取存储在设备Flash上的用户敏感数据，如用户信息、配置信息、使用情况、资费讯息等。55相应安全措施n封闭调试接口。保证设备本身没有调试接

22、口提供给用户进行更新或修改。n安全启动功能。只允许由厂商或受信任的第三方进行过数字签名的软件在设备上运行。n运行时完整性保护。当设备正在运行操作系统和其它软件时必须保证其中的重要组件(比如操作系统内核)不能被恶意篡改。n存储安全性。设备上必须提供一种具有“加密安全”属性的存储空间。n异常监控机制。在设备管理中加强对于异常设备的监控。5656目录nFemtocell介绍nFemtocell接入解决方案nFemtocell移动性管理问题nFemtocell 安全问题nCDMA Femtocell攻击案例57CDMA Femtocell攻击案例58CDMA Femtocell安全漏洞安全漏洞n普通蜂

23、窝中，发起通话时，终端需要向蜂窝基站发送MIN/IMSI和MEID/ESN，而在飞蜂窝中，终端只需要发送MIN/IMSI，不需要发送MEID/ESD。 59CDMA Femtocell安全漏洞安全漏洞n普通的CDMA蜂窝移动网络使用蜂窝认证和语音加密算法(Cellular Authentication and Voice Encryption, CAVE)，通过CAVE算法产生密匙，并用长码序列、ORYX和增强的分组加密算法E_CMEA，分别用于实现语音、数据和控制信令的加密。而飞蜂窝不使用蜂窝认证和语音加密算法(Cellular Authentication and Voice Encryp

24、tion, CAVE)，这是CDMA飞蜂窝最主要的安全漏洞。 60攻击方法n攻击者只需要获得攻击目标的ESN（Electronic Serial Numbers)/MEID（Mobile Equipment ID）和MIN(Mobile Identification Number)/IMSI(International Mobile Subscriber Identification)就可以克隆攻击目标，以攻击目标的身份接入到飞蜂窝，实现通信数据的伪造、监听和截获。61克隆过程终端尝试接入到安装有嗅探器的飞蜂窝网络中，向飞蜂窝发送ESN/MEID和MIN/IMSI信息以便通过认证； 3.攻击者的终端可以使用攻击目标的ESN/MEID和MIN/IMSI信息通过认证接入到飞蜂窝网络； 4.攻击者的终端和目标终端具有相同ESN/MEID和MIN/IMSI信息，克隆成功。 2.ESN/MEID和MIN/IMSI信息被攻击者截获，并将ESN/MEID和MIN/IMSI信息克隆到攻击者的终端中；62应对措施n在CDMA飞蜂窝中使用登记注册机制。通过在飞蜂窝中登记注册，形成白名单，只有白名单上的用户才可以接入飞蜂窝网络。63Thank you！谢谢！