理论教育 S1-M业务与管理面的安全保护措施

S1-M业务与管理面的安全保护措施

时间:2023-07-01 理论教育 版权反馈
【摘要】:通常管理面的传输与S1业务都承载在相同的物理连接上。在eNodeB上,对于S1-M的隧道模式IPsec是强制要求的。IPsecESP具有TS33.210中指定的配置文件,包括机密性、完整性和重放保护。伴有认证授权的IKEv2是为eNodeB的SI-M接口指定的。它的配置定义在TS33.310中。通常,管理平面与其他业务共享与eNodeB的物理链路,因为安排单独的链路是昂贵的。通常,由网络管理系统在较高层提供额外的保护级别,因为保护与管理系统的通信至关重要。TLS也可以使用IPsec作为IP层服务。

S1-M业务与管理面的安全保护措施

对于LTE,TS33.401使得攻击者:

• 无法通过本地和远程访问修改eNodeB的配置;

• eNodeB和EPS之间需要安全连接,需要相互授权;

• 操作维护系统和eNodeB之间的连接必须相互授权;

• eNodeB的软件和数据的改变必须被授权;

• 必须确保软件传输的机密性和完整性。(www.daowen.com)

通常管理面的传输与S1业务都承载在相同的物理连接上。针对S1接口定义的相同保护机制可以重用于管理平面业务(表示为S1-M)。

在eNodeB上,对于S1-M的隧道模式IPsec是强制要求的。在管理面的另一端,可以使用SEG,或者此功能可以在某个单元管理模块中。IPsecESP具有TS33.210中指定的配置文件,包括机密性、完整性和重放保护。伴有认证授权的IKEv2是为eNodeB的SI-M接口指定的。它的配置定义在TS33.310中。

如果管理平面与S1分开连接,则原则上需要等同的保护。通常,管理平面与其他业务共享与eNodeB的物理链路,因为安排单独的链路是昂贵的。如果管理平面接口可以被信任(它们是物理安全的),则可以省略使用IPsec的保护。

通常,由网络管理系统在较高层提供额外的保护级别,因为保护与管理系统的通信至关重要。O&M一般是供应商特定的。举个例子,可以在NMS和NE之间端到端部署TLS。TLS也可以使用IPsec作为IP层服务。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈