本发明涉及一种适用于电力无线专网核心网的安全防护性能测评方法,属于电力通信网信息安全防护测评技术领域。
背景技术:
lte核心网主要工作是将移动终端以分组方式连接到外部分组数据网络。核心网主要网元包括基站,mme、hss、s-gw、p-gw(pdngateway,pdn网关)以及pcrf(policyandchargingrulesfunction,策略和计费规则功能)。基站为终端提供了空口连接,mme相当于核心网的管理者,负责所有内部事务(内部切换)和外部事务(跨系统互联),hss存储了lte网络中用户所有与业务相关的签约数据,提供用户签约信息管理和用户位置管理。s-gw和p-gw承担核心网的网关功能。核心网安全关系到无线专网承载业务的核心安全,然而核心网面临多种安全风险。
在lte中,mme/s-gw(signalinggateway,服务网关)通过s1接口与lte基站(enb)互连实现lte控制信令和业务数据的传输,s1信令应确保采用适当的加密算法进行安全防护,nas信令可依据运营商的选择采用安全防护或不采用。当运营商未在s1接口上采取加密措施时,使得传输的配自、用采等业务数据发生泄露,威胁终端通信接入网的安全性。
hss鉴权服务器生成身份认证响应需要大量的计算量,hss服务器可能缺少dos攻击的防御能力,攻击者能够在ue节点上通过mme向hss发送大量imsi请求,hss根据请求中随机数生成验证响应以回应mme请求,从而造成hss消耗大量计算量,同时mme消耗大量内存等待hss的消息回应,造成dos攻击,造成新节点无法连接。
恶意攻击者通过破坏物理防护措施或利用管理漏洞非法接入核心网,或通过非法控制基站进而向核心网实施网络攻击,利用核心网漏洞获取核心网权限,以便于非法获取、伪造、篡改业务数据,或下行方向攻击业务终端。
恶意攻击者通过破坏物理防护措施或利用管理漏洞,进一步利用软件系统漏洞、弱口令、策略配置不当,导致电力无线专网网管系统被非法获取权限,进而造成敏感信息泄露、配置信息被篡改等风险。
技术实现要素:
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种适用于电力无线专网核心网的安全防护性能测评方法,通过对在电力公司机房内部部署的核心网设备开展安全防护性能测试,可以有效防范来自外部的多种安全威胁,提高电力无线专网的安全防护能力。
为解决上述技术问题,本发明提供一种适用于电力无线专网核心网的安全防护性能测评方法,包括以下步骤:
1)构建核心网安全防护性能测评系统,包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端和安全接入平台;其中,终端与基站相连,基站与交换机相连,交换机与安全加密网关相连,安全加密网关与核心网相连,网管服务器和网管客户端都与交换机连接,交换机与安全接入平台相连,安全接入平台接入信息内网;
所述核心网安全防护性能测评系统的各设备间的通信过程为:
1-1)终端将uu口数据通过空口发送给与之相连的基站;uu口控制面已具备加密和完整性保护,uu口用户面具备加密保护,而uu口用户面的完整性保护由应用层协议实现;
1-2)基站将从uu口收到的数据通过s1接口经s5700交换机上传至安全加密网关;采用证书认证的ipsec保护该段链路上的s1接口数据;
1-3)安全加密网关将从s1接口接收到的数据终结ipsec保护后发送至主核心网;
1-4)主核心网将来自s1接口的数据通过sgi接口,经s5700交换机发送至安全接入平台;
1-5)安全接入平台将业务数据流终结安全保护后,送往信息内网直至业务主站;
2)执行s1接口数据传输安全防护测试,测试ltes1接口分别针对as和nas是否开启加密机制保护;
3)执行hss鉴权服务器拒绝服务攻击测试,令终端连续不断向hss发送imsi连接请求,测试hss服务器和mme服务器的负载和内存变化;
4)执行核心网安全可控性测试,查看核心网是否只开放提供服务的端口,是否关闭其他所有不需要的端口;查看核心网是否实现对已接收报文进行内容审计过滤及流量控制,收到的报文是否进行合法性校验;如有校验机制,校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型;查看是否部署网络设备管理系统,网络中设备信息同网管系统备案信息是否一致,是否存在未备案服务接入核心网;
5)执行无线专网网管系统安全测试,测试内容包括查看无线专网网管系统,是否启用用户身份认证措施,是否存在用户及用户角色配置管理;是否实现用户配置管理实现授权功能,是否基于用户、角色、操作命令设置不同的操作权限;网管系统是否通过https进行访问;是否配置关于密码长度、密码更新周期要求等密码策略,如密码需要数字与大小写字母混合,是否实现3个月后强制用户更换密码,网管后台密码是否以密文形式存储;是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录,是否记录用户的ip、操作内容、操作时间以及相应结果。
前述的核心网包括主核心网和备核心网,在主核心网故障时,才启用备核心网。
前述的步骤1)构建核心网安全防护性能测评系统,还在业务层增加了终端安全加密芯片与安全接入平台之间的端到端安全认证、加密保护机制。
前述的步骤2)执行s1接口数据传输安全防护测试,采用步骤1)所构建的核心网安全防护性能测评系统中的网管服务器、网管客户端、核心网、基站、安全加密网关和终端,各设备按步骤1)连接并通信,此外,还需配置usim卡1张及网络设备登记信息台帐,usim卡配置到终端中,具体操作步骤如下:
4-1).登陆专网网管系统查看as和nas加密机制是否开启,并截取s1接口gtp数据包,针对终端与基站不同的通信交互场景,查看as和nas传输数据是否已进行加密;所述gtp数据包是指gprs通过隧道协议处理后的数据包;
4-2).打开网管客户端,输入用户名/密码,登陆;选择“网元批量配置”;
4-3).在“根节点”下勾选“主核心网”,在“命令输入栏”输入:lsts1usrsecpara,查询s1模式用户安全配置;
4-4).在“根节点”下勾选“enodeb”的基站,在“命令输入栏”输入如下信息:
d1、lstenodebciphercap,用于查询enodeb加密算法优先级配置,验证enb是否支持aes、snow3g、祖冲之加密算法;
d2、lstenodebintegritycap,用于查询enodeb完整性保护算法优先级,验证enb是否支持aes、snow3g、祖冲之完整性保护算法;
4-5).将测试笔记本连入安全加密网关和bbu之间,通过wireshark截取s1接口数据包,分析数据包帧结构。
前述的步骤3)执行hss鉴权服务器拒绝服务攻击测试,采用步骤1)所构建的核心网安全防护性能测评系统中的网管服务器,网管客户端,核心网,基站,安全加密网关和1000台终端,各设备按步骤1)进行连接并通信,1100台终端均与基站连接,此外,还需要网络设备登记信息台帐,具体操作步骤如下:
5-1).1100台终端通过基站连接到epc的hss上,登陆网管客户端;
5-2).每个10秒执行以下命令,分别查看epc的cpu、内存占用率,
dspcpuusage:cn=0,srn=0,sn=3;
dspmemusage:cn=0,srn=0,sn=3。
前述的步骤4)执行核心网安全可控性测试,采用步骤1)所构建的核心网安全防护性能测评系统中的网管服务器,网管客户端,核心网,基站,安全加密网关,1100台终端和具有端口镜像功能的交换机1台,各设备按步骤1)进行连接并通信,1100台终端均连接至基站,此外,还需要网络设备登记信息台帐,具体操作步骤如下:
6-1)、笔记本通过网线直连核心网,使用nmap工具扫描核心网的端口信息;
6-2)、在“网管客户端”-“网元批量配置”-“根节点”,勾选“主核心网,执行lstaclrule,查询核心网配置的acl规则;
6-3)、在“网管客户端”打开“拓扑视图”,查看网络中部署的设备信息。
前述的步骤5)执行无线专网网管系统安全测试,采用步骤1)所构建的核心网安全防护性能测评系统中的网管服务器,网管客户端,核心网,基站,安全加密网关和终端,各设备按步骤1)进行连接并通信,此外,还需要网管系统帐号及口令,网管系统操作日志,无线专网网络构架拓扑图,具体操作步骤如下:
7-1).双击“网管客户端”,打开专网网管系统,输入错误密码,无法登陆,弹出提示框;
7-2).在“网管客户端”选择“系统”-“用户信息”-“基本”;在“网管客户端”选择“系统”-“用户信息”-“权限”;
7-3).打开eomc的控制面板,点击“安全管理”-“用户组”;
7-4).用nmap扫描网管的开放端口信息,查看https端口;
7-5).打开eomc的操作面板,点击“安全管理”-“系统设置”-“安全”,查看密码策略;
7-6).用putty工具通过ssh方式连接网管后台,进入mysql数据库,查询用户表,查看密码存储方式;
7-6).在“网管客户端”选择“系统”-“系统日志”和“操作日志”。
本发明所达到的有益效果为:
1)本发明方法可以针对电力无线专网核心网存在的安全风险进行全面评测,提供一种适用于电力无线专网核心网安全防护性能测评方法,通过对在电力公司机房内部部署的核心网设备开展安全防护性能测试,可以有效防范来自外部的多种安全威胁,提高电力无线专网的安全防护能力。
2)本发明公开的一种适用于电力无线专网核心网安全防护性能测评方法简单实用,易于实施。
附图说明
图1为本发明搭建的无线专网测试环境架构图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
在进行电力无线专网核心网安全防护性能的测评之前,首先按照图1搭建无线专网测试环境,包括终端、若干个基站(图中的enb530-1—enb530-n),交换机(本发明采用s5700),一台安全加密网关(本发明采用ar2220),核心网(本发明采用escn230),网管服务器eomc910server,网管客户端eomc910client,安全接入平台(本发明采用nariusap3000-ag),其中,终端与基站相连,基站与交换机相连,交换机与安全加密网关相连,安全加密网关与核心网相连,网管服务器和网管客户端都与交换机连接,交换机与安全接入平台nariusap3000-ag相连,安全接入平台接入信息内网。其中,核心网包括主核心网escn230主和备核心网escn230备,在主核心网故障时,才启用备核心网。网管服务器是为网管客户端提供服务,存储了许多设备状态信息、网管登录用户信息等。
值得注意的是,本发明中各设备采用上述型号,但是所有的设备型号并不唯一限定,不同厂家的设备虽然型号不同,但是只要满足该网络拓扑结构就可以完成类似的测试,因为,不同厂家基站、核心网、终端、交换机等功能是一致的,都是遵循相同的国际技术标准。
所有设备间互联及数据流加密处理流程如下所述,其中,箭头指向的①—⑦表示数据流向:
①,终端将uu口(universalusertonetworkinterface,实现用户终端到基站的网络接口)数据通过空口发送给与之连接的基站enb;uu口控制面已具备加密和完整性保护,uu口用户面具备加密保护,而uu口用户面的完整性保护由应用层协议实现;
②和③,基站enb将从uu口收到的数据通过s1接口(基站与核心网之间的通信接口)经s5700交换机上传至安全加密网关ar2220;采用证书认证的ipsec保护该段链路上的s1接口数据;
④,安全加密网关ar2220将从s1接口接收到的数据终结ipsec保护后发送至主核心网;由于在无线专网机房内,安全加密网关ar2220与核心网部署于同一机柜内(即属于同一信任区域内),不跨越信任边界,因此不额外增加更多的安全措施;
⑤和⑥,主核心网将来自s1接口的数据通过sgi接口(服务网关与外部互联网之间的通信接口),经s5700交换机发送至安全接入平台nariusap3000-ag;主核心网、s5700交换机与安全接入平台nariusap3000-ag部署于同一机柜内(即属于同一信任区域内),不跨越信任边界,因此不额外增加更多的安全措施;
⑦,安全接入平台nariusap3000-ag将业务数据流终结安全保护后,送往信息内网直至业务主站。
除以上①-⑦电力业务流管道层面安全配置策略以外,在业务层还增加了终端安全加密芯片与安全接入平台nariusap3000-ag之间的端到端安全认证、加密保护机制,实现了电力业务的安全纵深防御。
具体测评方法按照如下步骤操作:
1)执行s1接口数据传输安全防护测试,测试ltes1接口分别针对as(accessstratum,接入层)和nas(nonaccessstratum,非接入层)是否开启加密机制保护。本测试涉及到图1所示设备包括网管服务器(eomc910server),网管客户端(eomc910client),核心网(escn230),基站(enb530),安全加密网关(ar2220),终端,各设备按图1所示架构进行连接,在测试过程中,各设备间的相互通信也与图1中的数据流向相同。测试过程中,最少需要一个基站即可,测试环境有更多基站不是必要的,但更加符合实际现场的情况,一般单台核心网会连接许多基站。此外,需准备usim卡1张及网络设备登记信息台帐,usim卡配置到终端中,具体操作如下:
a.登陆专网网管系统查看as和nas加密机制是否开启,并截取s1接口gtp数据包,针对终端与基站不同的通信交互场景,查看as和nas传输数据是否已进行加密。gtp数据包是指gprs通过隧道协议处理后的数据包。
b.打开网管客户端,输入用户名/密码,登陆;选择“网元批量配置”。
c.在“根节点”下勾选“主核心网”,在“命令输入栏”输入:lsts1usrsecpara,查询s1模式用户安全配置。执行本步骤,如果核心网是安全的,则通过s1模式用户安全配置,可以看出核心网已激活nas加密和完整性保护的aes算法。
d.在“根节点”下勾选“enodeb”的基站,在“命令输入栏”输入如下信息:
d1、lstenodebciphercap,用于查询enodeb加密算法优先级配置,验证enb是否支持aes、snow3g、祖冲之等加密算法;
d2、lstenodebintegritycap,用于查询enodeb完整性保护算法优先级,验证enb是否支持aes、snow3g、祖冲之等完整性保护算法。
执行本步骤,如果核心网是安全的,则可以看出,基站已激活nas加密和完整性保护的aes算法;
e.将测试笔记本连入安全网关和bbu(basebandunit,基带处理单元)之间,通过wireshark截取s1接口数据包,分析数据包帧结构,执行本步骤,如果核心网是安全的,通过查看数据包,则可以看出,截取s1接口gtp数据包已加密。
2)执行hss鉴权服务器拒绝服务攻击测试,令终端侧连续不断向hss发送imsi(internationalmobilesubscriberidentity,国际移动用户识别码)连接请求,测试hss(homesubscriberserver,归属签约用户服务器)服务器和mme(mobilitymanagemententity,移动性管理实体)服务器的负载和内存变化。本测试涉及图1所示设备包括网管服务器(eomc910server),网管客户端(eomc910client),核心网(escn230),基站(enb530),安全加密网关(ar2220),1000台终端,各设备按图1所示架构进行连接并通信,1100台cpe均与基站连接,此外,还需要网络设备登记信息台帐。具体操作如下:
a.1100台cpe通过基站连接到epc的hss上,登陆网管客户端;
b.每个10秒执行以下命令,分别查看epc的cpu、内存占用率,
dspcpuusage:cn=0,srn=0,sn=3;
dspmemusage:cn=0,srn=0,sn=3。
执行该测评,如果核心网是安全的,则通过hss的cpu和内存占用率变化图可以看出:hss的cpu占用率和内存占用率变化稳定。
3)执行核心网安全可控性测试,查看核心网是否只开放提供服务的端口,是否关闭其他所有不需要的端口;查看核心网是否实现对已接收报文进行内容审计过滤及流量控制,收到的报文是否进行合法性校验。如有校验机制,校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型等;查看是否部署网络设备管理系统,网络中设备信息同网管系统备案信息是否一致,是否存在未备案服务接入核心网。本测试涉及图1所示设备包括网管服务器(eomc910server),网管客户端(eomc910client),核心网(escn230),基站(enb530),安全加密网关(ar2220),1100台终端,具有端口镜像功能的交换机1台,各设备按图1所示架构进行连接,1100台终端均连接至基站,此外,还需准备好网络设备登记信息台帐。具体步骤如下:
b1、笔记本通过网线直连核心网,使用nmap工具扫描核心网的端口信息。通过查看扫描结果,可以看出,核心网设备只开放提供服务的端口,已关闭其他所有不需要的端口。
b2、在“网管客户端”-“网元批量配置”-“根节点”,勾选“主核心网,执行lstaclrule,查询核心网配置的acl规则。通过查看,可以看出,核心网已实现对接收报文进行内容审计过滤及流量控制,对收到的报文进行合法性校验。
b3、在“网管客户端”打开“拓扑视图”,查看网络中部署的设备信息。通过查看,可以看出,已部署网络设备管理系统,网络中设备信息同网络设备备案信息一致,不存在未备案服务接入核心网。
4)执行无线专网网管系统安全测试,测试内容包括查看无线专网网管系统,是否启用用户身份认证措施,是否存在用户及用户角色配置管理;是否实现用户配置管理实现授权功能,是否基于用户、角色、操作命令设置不同的操作权限;网管系统是否通过https进行访问;是否配置关于密码长度、密码更新周期要求等密码策略,如密码需要数字与大小写字母混合,是否实现3个月后强制用户更换密码,网管后台密码是否以密文形式存储;是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录等,是否记录用户的ip、操作内容、操作时间以及相应结果等信息。本测试涉及图1所示设备包括网管服务器(eomc910server),网管客户端(eomc910client),核心网(escn230),基站(enb530),安全加密网关(ar2220),终端,各设备按图1所示架构进行连接并通信,此外,还需要网管系统帐号及口令,网管系统操作日志,无线专网网络构架拓扑图。具体操作步骤如下:
a.双击“网管客户端”,打开专网网管系统,输入错误密码,无法登陆,弹出提示框。执行此操作,如果核心网是安全的,通过用户登录对话框,可以看出,已开启用户身份认证措施。
b.在“网管客户端”选择“系统”-“用户信息”-“基本”。执行此操作,如果核心网是安全的,通过该对话框,可以看出,已存在用户及用户角色配置管理功能。在“网管客户端”选择“系统”-“用户信息”-“权限”。执行此操作,如果核心网是安全的,通过该对话框,可以看出,已实现用户配置管理授权功能。
c.打开eomc的控制面板,点击“安全管理”-“用户组”。执行此操作,如果核心网是安全的,通过该对话框,可以看出,已实现基于用户、角色、操作命令设置不同的操作权限。
d.用nmap扫描网管的开放端口信息,查看https端口。执行此操作,如果核心网是安全的,通过查看https访问网管系统记录,可以看出网管系统支持通过https进行访问。
e.打开eomc的操作面板,点击“安全管理”-“系统设置”-“安全”,查看密码策略。执行此操作,如果核心网是安全的,通过密码参数配置界面,可以看出,已配置密码长度、密码更新周期要求等密码策略。
f.用putty工具通过ssh方式连接网管后台,进入mysql数据库,查询用户表,查看密码存储方式。执行此操作,如果核心网是安全的,通过查看用户表,可以看出,网管后台密码以密文形式存储。
g.在“网管客户端”选择“系统”-“系统日志”和“操作日志”。执行此操作,如果核心网是安全的,通过网关日志记录,可以看出,已实现对所有用户操作日志、系统运维日志,系统安全日志的记录,已记录用户的ip、操作内容、操作时间以及相应结果等信息。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。