LTE在网络架构上不同于2G和3G网络，eNodeB直接与核心网连接。这也意味着从每个eNodeB到核心网是IP连接的，除非这种连接被限制了。eNodeB是无线网络中的唯一单元，因此S1接口从逻辑上等同于Iu接口，因为它是无线网络到移动核心网的唯一接口。在用户面，对于S1和X2接口的协议栈是GTP-U/UDP/IP。

从移动回传技术角度看，LTE起初就是全IP网络，因此网络域安全是其考虑重点。

对于用户平面（S1-U和X2-U），TS33.401强制使用IPsec（第12节）的完整性、机密性和重放保护，除非eNodeB处于物理保护的环境中。对于后者，S1和X2用户面连接被认为是扩展安全环境。对于控制面也有类似的需求（S1-MME和X2-C）：强制要求完整性、机密性和重放保护（第11节），同样保护环境可除外。

在现实中，用户面的保护是使用IPsec（RFC 4303）的ESP实现的，其在TS33.210的配置文档中描述。隧道模式是强制要求的，而传输模式是可选的。在核心网侧，SEG可以终止隧道。在TS33.310中定义了证书配置文件和IKEv2配置文件，指定了基于IKEv2证书的认证。(www.daowen.com)

控制面（S1-MME和X2-C）需要如TS33.210中规定的IPsecESP（RFC 4303）。需要基于IKEv2证书的身份验证（TS33.310）。隧道模式是强制的，传输模式是可选的。

eNodeB需要对空中接口、S1和X2接口加密。加密必须在安全的环境中实现。

在LTE安全规范中，将安全环境定义为eNodeB内的一组敏感功能，并且用于敏感数据的安全存储。功能是例如加密和那些会使用到长期密码秘密认证的阶段。启动过程中的安全功能也算是安全环境。环境的完整必须要保证，并且环境的安全访问必须限制在有授权的用户中。