1特性01-安全概述

商标和其他商标均为技术的商标注您的产品、服务或特性等应受公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的或使用范围之内。除非合同另有约定，公司对本文档内容不做任何明示或默示的声技术 市龙岗区坂田总部办公楼：518129 文档介 范 概 安全...................................................................................................................................................................... OM安 术 参考文 ）

本文描述SingleRAN产品在IP组网场景下的安全解决方案，包括设备、操作、细内容请参见GSMBSS《GSMBSS安全概述》。 SingleRAN产品或系统的 SingleRAN产品或系统 01(2013-04-DraftA(2012-12-这是一篇新文档。该版本为8

为了应对日益严峻的无线，按照标准协议ITU-TX.805定义的安全模图2-1SingleRAN安全解决方案架构示意

在ITU-TX.805安全架构中将各种具体安全划分为五种类型，同时定义了八个安全 l设备物理性破的环境，也要确保安全，防止机房、站址被闯入。护，确保机房、站址及其环境的安全。 通信网络的管理通过OM系统实现。通过账号/口令登录OM系统，执行设置、修改、删除等操作。者可以通过获取账号/口令，并对涉及系统配置等关键信息实施修改、移除等操作，从而影响系统正常业务运行。 信息主要有网络传输信息、空口等，其中网络传输信息一般发生在IP网络中。者使用网络工具，从传输的数据流中获取数据并进行分析， 者也无法获得明文信息。空口是 载网络的场景。者可以通过多种设备，例如DoS、畸形报文、UDP泛洪、Smurf、缓冲溢出等，会造成设备无法正常工作。l接入控制（Access确保只有或设备才能网元、的信息、信息流、服务和应用程序。例如网络设备的ACL（AccessControlList）功能、根据操作权限分配可执行的 认证鉴权 的有效性，通信实体不能 抗抵赖（Non-通过提供各种网络活动的有效来防止或实体否认执行过的活动。抗抵赖确 数据性 保护数据不被未泄漏，确保未的实体无法理解数据内容。例如OM数据SSL加密、网元之间采用IPsec加密IP层数据 确保数据仅在的端点间传输 数据完整性（Data 可用性确保网络设备资源、数据、应用等服务在网络受到冲击时不合法用户的使用。例如部署保护网元，使其在面对DOS场景下仍可为合法用户提 私密性确保用户的一些行为或者属性信息不会被其他个人或者设备通过网络监测获 标是确保网络中没有单点安全。 l安全和管

SingleRAN针对可能存在的安全，制定了多种安全特性，以实现全面的安全及室外型加锁USB开站安NTP安全认认证和鉴权、PKI对网元设备进行DoS（Denialof内置，图2-2SingleRAN安全特性示意OM 管，将分散在各网元上的用户管理功能集中到上处理，实现以OMC为中户账号管理功能，应用在近端场景。 支持集中认证的域用户模式和本地用户认证模式。域用户模式需要M2000的授 安全日运行、过程中的安全操作、事件信息，并且这些信息不可修改，这些信息可以lSSL/TLS（SecureSocketsLayer/TransportLayerSecuritySingleRAN中网元和及操作终端之间操作传输链路，支持通过SSL/TLS加密，避免操作链路中敏感信息。 系统维测中涉及用户隐私相关的敏感信息进行化处理。化处理相关内容请参见SingleRAN《用户个人标识化特性参数描述》。对于eRAN，eNodeB本身进行了化处理，无需打开化功能开关。 安全告系统的实时安全风险和，SingleRAN设备支持通过告警及时告知系统操作，并给出一定的安全建议，消除安全，确保。 NTP（NetworkTimeProtocol）支持对NTP报完整性校验和认证，防止者篡改NTP包或直接NTP包，避免网络同步时间在受到时出现紊乱，详细内容请参见SingleRAN《控制器设l安全状态审计集，通过工具分析收集到的现网设备在执行时间点上的安全状态、安全配置，快速识别网络中存在的安全风险，指导运维对风险进行修复，预防安全事SingleRAN《设备和OM安全特性参数描述》。lUSB开站安以保证信息不被获取和篡改。 流向或者控制器设备的IP数据流（包括及业务数据），在进入无线设备进行处理前，经过这些设备的内置进行预处理，将或者数据报文l端口安全管l设备物理安度、湿度、火等。SingleRAN设备支持检测上述环境异常，并产生环境告警，l操作系统安SingleRAN设备中使用的操作系统，通过业界主流扫描工具扫描，确保不存在l数字签通过数字签名方式确保升级时不被篡改或设备安全详细内容请参见SingleRAN《控制器设备和OM安全特性参数描述》和《设备和OM安全特性参数描述》 IPsec（InternetProtocolSecurity PKI（PublicKeyPKI的功能通过签发数字来绑定持有者的和相关的公开密钥，为用户获取，和作废提供方便的途径。同时利用数字及相关的可否认性，支持工厂预置设备和管理协议CMPv2。 VLAN（VirtualLocalAreaNetworkVLAN可用于和控制器不同平面业务划分，用户面、管理面、控制面的数 通过端口，防止的设备接入客户网络。传输安全详细内容可参见SingleRAN《802.1x接入认证特性参数描述》、 l修后批量修l现网根据无无l控。l基站《->无与无与l现网根据l现网根据无无与“OM用l默l口令3无无l基站《->-l-不OM用状 无无与无无：《和导.pdfLMT。无无无与无无：《指南》无ll《LTECHR与l默l默l默认l更换运营无与Ol默l默l默认l更换运营无l控-l基站《-l-明文FTP无与无无l控l基站《-无：《指南》l出l现无安装补丁后需要重启OMU无l《：lSolarilll；lSUSE：llSUSE：登OMUOMU务器）l用户无法登录l当网有需要做路由转发的场景时，关闭无：ll---lU-U安lU管-U安l无无l串认l串