王晓鸣，夏 铭，蒋 鑫

(中国移动通信集团上海有限公司 上海200060)

1 简介

近年来，TD网络规模不断扩大，用户数量不断增加。由于TD频率较高，与GSM相比，信号穿透能力较差，因此室内覆盖成为TD网络优化的一个难点，一般会采用设立室内分布系统的方式来实现室内覆盖。但是在现有条件下，室内分布系统一般只能架设在一些酒店、中高档小区或公共热点场所。对于一般的居民小区，由于各种原因无法架设室分系统，因此会出现室内TD信号很弱甚至根本没有TD信号的情况，对用户业务体验造成很大的影响。

TD Femto系统采用用户家中的宽带接入，通过Internet接入到安全网关及运营商的核心网，为用户提供无线信号覆盖，改善用户体验，是室内覆盖补盲的一项重要技术。但是，由于TD Femto系统实际上是将运营商的一部分设备放在了用户家中，因此在引入TD Femto时，必须考虑TD Femto系统的安全性。一般来说，TD Femto系统所面临的安全威胁可以分为两大类。

（1）从TDFemto系统外部发起的攻击威胁

这类威胁主要指的是针对无线链路和IP链路的攻击以及利用TD Femto的IP链路对运营商核心网络发起的攻击。

（2）从TDFemto系统内部发起的攻击威胁

这类威胁主要指的是针对TD Femto系统本身的攻击。由于TD Femto基站是放在用户家中的，因此需要面对TD Femto被破解或者被修改的威胁。

本文将从两方面阐述TD Femto系统的安全机制，并针对每个安全隐患提出可能的解决方案。

2 TD Femto系统所面临的外部威胁

TD Femto所面临的外部威胁指的是攻击者在不改变TD Femto基站本身的前提下，针对TD Femto系统提供的链路所发起的窃听或者攻击，主要包括以下几种攻击。

（1）对无线接口的窃听

由于Uu口的数据是通过无线介质传输的，因此可以被轻易截获，对无线接口的窃听是所有无线通信网络都必须要面对的一个威胁，因此对无线信号进行加密成为保障Uu口安全性的一个重要研究点。由于TD Femto系统的Uu口与TD宏网的Uu口完全相同，因此，TD Femto系统可采用和宏网相同的方法来保证空口的安全。

进行加密计算必定会占用基站一定的计算资源，对于传统宏基站，加密所需的计算资源并不会太多地影响基站性能，但是对于TD Femto基站，其体积较小、功耗较低，考虑到成本控制问题，整个基站的计算性能和宏基站相比必然较差，如何在这样的软、硬件平台上实现高效的加密和解密功能，让基站在进行加密和解密的同时不至于消耗过多的系统资源以至影响系统性能，这就需要对加密和解密进行一定的优化，以减少系统的负荷。

（2）对IP承载网的窃听

在传统网络中，基站和RNC之间所传输的信令及数据都是在运营商内部网络中运营的，因此不需要考虑太多的安全问题，但是TDFemto系统的Iu-H口是通过Internet传输数据的，而Internet一般被认为是一个不安全的网络，因此对在公网传输的数据和信令必须进行额外的加密保护。加密保护分为两个阶段：TD Femto基站和TDFemto网关进行双向鉴权时的信令安全性以及TD Femto基站正常工作时与TD Femto网关之间的信令、数据的安全性。

在TD Femto系统中，一般采用IKEv2来实现鉴权时的安全性，IKEv2(Internet密钥交换协议v2)用于交换和管理在VPN中使用的加密密钥，解决了在不安全网络环境中安全建立或者更新共享密钥的问题。IKE属于一种混合型协议，由Internet安全关联和密钥管理协议(ISAKMP)与两种密钥交换协议OAKLEY和SKEME组成。

在TD Femto正常工作时，一般采用IPSec协议保证数据包的安全。IPSec是Internet工程任务组(IETF)为IP安全推荐的一个协议，通过使用加密的安全服务确保在Internet网络上进行保密而安全的通信。IPSec提供3种不同形式保护传输数据的安全。

·认证：可以确定接受数据和发送数据一致，同时可以确定申请发送者实际上是真实发送者，而不是伪装的。

·数据完整：保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

·机密性：使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。

（3）使用非法终端接入TD Femto基站

用户在家中使用TD Femto系统时，实际上是利用了家中的宽带网络进行回程，有必要禁止其他未经许可的终端通过用户的TD Femto基站进行业务。

一般采用用户准入列表的方式控制非法终端接入指定TD Femto终端。用户可以设定一个用户准入列表，只允许指定IMSI接入TD Femto基站，如果有非法用户试图接入TD Femto终端，网关会向Femto HLR查询该TD Femto基站用户的准入列表，如果该IMSI不在准入列表中，则拒绝该用户的接入。

（4）使用非法TDFemto基站接入运营商核心网

运营商一般会给予在TDFemto基站上的用户一定的业务费用优惠，这就需要对TDFemto基站本身进行鉴权认证，以防止非法的TDFemto基站接入运营商网络。在TDFemto基站进行注册时，TDFemto网关会要求TDFemto进行鉴权。如果成功通过鉴权，则说明该基站为合法用户，TD Femto网关会将该基站接入系统中；如果无法通过鉴权，则说明该基站为非法用户，TDFemto网关会拒绝该用户的接入。

对TD Femto基站本身进行认证的方法有两种：EAP-AKA鉴权方式和证书认证方式。

EAP-AKA(UMTS身份验证和密钥协议的可扩展身份验证协议方法)是用于身份验证和会话密钥分发的一种机制，使用USIM卡实现终端和网络之间的双向鉴权，一般被用于3G网络中。EAP-AKA克服了EAP-SIM的已知缺陷，提供了足够的安全性。采用EAP-AKA鉴权方式要求TDFemto基站集成一张USIM卡，并通过该USIM卡进行EAP-AKA双向鉴权。

数字证书是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，进行数字证书认证时，需要有一个权威CA(certificate authority，证书授权)机构管理发行所有的数字证书。数字证书采用公钥机制，即采用一对互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥)，用它进行解密和签名，同时设定一把公共密钥(公钥)并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

（5）利用Internet对运营商核心网发起攻击

将TD Femto基站放在用户家中，TD Femto基站利用Internet连接到TD Femto网关，从另外一个角度来看，TD Femto基站提供了一条可以通过Internet攻击运营商核心网的链路。利用Internet对运营商核心网发起的攻击可分为以下两种。

·DoS(denial of service，拒绝服务攻击)。指攻击者想办法让目标机器停止服务，DoS攻击有很多种类型，包括SYN Flood、IP欺骗Dos攻击、UDP洪水攻击、Ping洪流攻击、teardrop攻击、Land攻击、Smurf攻击、Fraggle攻击等。攻击者进行DoS攻击，实际上是让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。DoS攻击实际上利用了TCP协议本身的弱点，至今为止并没有解决DoS攻击非常有效的方法，只有从网络的全局着眼，在网间基础设施的各个层面上采取应对措施，包括在局域网层面上采取特殊措施，在网络层传输层面上进行必要的安全设置，并安装专门的DoS识别和预防工具，才能最大限度地减少DoS攻击所造成的损失。另外，当设备受到DoS攻击时，必须迅速对此发出告警。除了技术上的应对方案之外，在规章制度上也应有一整套严格的应对方案，一旦发现设备遭到DoS攻击，应当马上做出反应，尽可能地迅速阻止攻击数据包，并迅速定位攻击来源，并进行相应处理。

·对系统设备的远程操纵。攻击者可能通过TD Femto接入系统的链路连入核心网设备，并控制核心网设备，使运营商的利益受到损害。为了防止远程控制，需要注意以下几个方面：首先，必须将设备控制端口和TD Femto基站接入端口在物理上严格分开；其次，必须注意设备软件的安全性能，尽可能减少软件漏洞，以减少攻击者在进行攻击时可能利用的漏洞；再次，必须完善设备的告警装置，当设备被远程攻击并控制时，必须迅速发起告警；最后，必须执行严格的规章制度管理，包括对用户名密码的管理，发现设备被远程控制时的一系列操作规范流程等。

3 TD Femto系统所面临的内部威胁

传统的通信网络安全都有一个基本假设，即攻击者无法直接接触运营商的设备，但是TD Femto基站是直接放在用户的家中的，也就是说，攻击者可以直接接触到运营商的基站设备，这就必须考虑到攻击者对Femto基站本身的攻击。这一类攻击大致可以分为以下两种。

（1）非法获取保存在TD Femto上的运营商数据

作为运营商设备，Femto设备上可能会存储一些运营商敏感数据，比如准入用户列表、设备统计信息、运营商配置信息、计费话单、USIM卡信息等，运营商一般并不希望用户可以随便得知这一类信息。针对该类威胁，需要从两方面入手：首先，尽量减少在TD Femto基站上存放的运营商数据，准入用户列表应当放在Femto HLR中，用户是否为合法用户应当由TD Femto网关来判断，而不是由TD Femto基站来判断，计费话单信息不应由TD Femto基站来统计实现；其次，对于不得不保存在TD Femto基站上的任何运营商信息，必须对相关数据进行加密，只有拥有密钥才能对数据进行访问，具体可以通过软件加密或者配置专用加密存储卡来实现。

（2）破解TDFemto系统，对其软、硬件进行修改

与现有被破解的很多电子产品一样，TD Femto基站同样也面临着被破解的问题，比较典型的攻击类型包括：攻击TD Femto基站的启动流程，在启动过程中允许非法程序或者直接用非法程序替代启动程序；对TD Femto基站的位置限制信息进行攻击；修改TD Femto基站的升级文件，加入非法程序；对TD Femto基站软件本身进行非法修改；干预TD Femto基站无线工作方式等。这些修改都会对运营商造成很大的损失，因此必须设计足够的安全保护机制，防止TD Femto基站被破解。

一般来说，TD Femto基站本身的安全性保护可以分为3类：首先是安全启动功能，TDFemto基站在进行启动的时候，必须进行安全性的鉴权，比较常用的做法是采用数字签名技术，任何升级文件也必须采用数字签名技术；其次是软件运行保护，在TD Femto系统正常运行时，必须保证正在运行的软件不被篡改，一旦发现被篡改，系统需要马上发现并采取措施；最后，由于TD Femto基站是运营商设备的一部分，仅靠TD Femto基站本身的安全性保护措施是远远不够的，必须结合整个系统对TD Femto基站进行安全性保护。

4 结束语

TD Femto系统和传统的宏网不同，它将运营商的一部分设备放在用户家中，并通过不安全的Internet访问运营商网络进行工作，这就必然会带来一系列的安全问题。严格意义上来说，安全性问题是无法完全解决的，任何电子设备都很难逃脱被破解的命运，TDFemto基站也是如此，因此，我们必须对TDFemto的安全问题进行更为深入的研究。