商標和其他商標均為技術的商標注您的產品、服務或特性等應受公司商業合同和條款的約束，本文檔中描述的全部或部分產品、服務或特性可能不在您的或使用范圍之內。除非合同另有約定，公司對本文檔內容不做任何明示或默示的聲技術 市龍崗區坂田總部辦公樓：518129 文檔介 范 概 安全...................................................................................................................................................................... OM安 術 參考文 ）

本文描述SingleRAN產品在IP組網場景下的安全解決方案，包括設備、操作、細內容請參見GSMBSS《GSMBSS安全概述》。 SingleRAN產品或系統的 SingleRAN產品或系統 01(2013-04-DraftA(2012-12-這是一篇新文檔。該版本為8

為了應對日益嚴峻的無線，按照標準協議ITU-TX.805定義的安全模圖2-1SingleRAN安全解決方案架構示意

在ITU-TX.805安全架構中將各種具體安全劃分為五種類型，同時定義了八個安全 l設備物理性破的環境，也要確保安全，防止機房、站址被闖入。護，確保機房、站址及其環境的安全。 通信網絡的管理通過OM系統實現。通過賬號/口令登錄OM系統，執行設置、修改、刪除等操作。者可以通過獲取賬號/口令，并對涉及系統配置等關鍵信息實施修改、移除等操作，從而影響系統正常業務運行。 信息主要有網絡傳輸信息、空口等，其中網絡傳輸信息一般發生在IP網絡中。者使用網絡工具，從傳輸的數據流中獲取數據并進行分析， 者也無法獲得明文信息。空口是 載網絡的場景。者可以通過多種設備，例如DoS、畸形報文、UDP泛洪、Smurf、緩沖溢出等，會造成設備無法正常工作。l接入控制（Access確保只有或設備才能網元、的信息、信息流、服務和應用程序。例如網絡設備的ACL（AccessControlList）功能、根據操作權限分配可執行的 認證鑒權 的有效性，通信實體不能 抗抵賴（Non-通過提供各種網絡活動的有效來防止或實體否認執行過的活動。抗抵賴確 數據性 保護數據不被未泄漏，確保未的實體無法理解數據內容。例如OM數據SSL加密、網元之間采用IPsec加密IP層數據 確保數據僅在的端點間傳輸 數據完整性（Data 可用性確保網絡設備資源、數據、應用等服務在網絡受到沖擊時不合法用戶的使用。例如部署保護網元，使其在面對DOS場景下仍可為合法用戶提 私密性確保用戶的一些行為或者屬性信息不會被其他個人或者設備通過網絡監測獲 標是確保網絡中沒有單點安全。 l安全和管

SingleRAN針對可能存在的安全，制定了多種安全特性，以實現全面的安全及室外型加鎖USB開站安NTP安全認認證和鑒權、PKI對網元設備進行DoS（Denialof內置，圖2-2SingleRAN安全特性示意OM 管，將分散在各網元上的用戶管理功能集中到上處理，實現以OMC為中戶賬號管理功能，應用在近端場景。 支持集中認證的域用戶模式和本地用戶認證模式。域用戶模式需要M2000的授 安全日運行、過程中的安全操作、事件信息，并且這些信息不可修改，這些信息可以lSSL/TLS（SecureSocketsLayer/TransportLayerSecuritySingleRAN中網元和及操作終端之間操作傳輸鏈路，支持通過SSL/TLS加密，避免操作鏈路中敏感信息。 系統維測中涉及用戶隱私相關的敏感信息進行化處理?；幚硐嚓P內容請參見SingleRAN《用戶個人標識化特性參數描述》。對于eRAN，eNodeB本身進行了化處理，無需打開化功能開關。 安全告系統的實時安全風險和，SingleRAN設備支持通過告警及時告知系統操作，并給出一定的安全建議，消除安全，確保。 NTP（NetworkTimeProtocol）支持對NTP報完整性校驗和認證，防止者篡改NTP包或直接NTP包，避免網絡同步時間在受到時出現紊亂，詳細內容請參見SingleRAN《控制器設l安全狀態審計集，通過工具分析收集到的現網設備在執行時間點上的安全狀態、安全配置，快速識別網絡中存在的安全風險，指導運維對風險進行修復，預防安全事SingleRAN《設備和OM安全特性參數描述》。lUSB開站安以保證信息不被獲取和篡改。 流向或者控制器設備的IP數據流（包括及業務數據），在進入無線設備進行處理前，經過這些設備的內置進行預處理，將或者數據報文l端口安全管l設備物理安度、濕度、火等。SingleRAN設備支持檢測上述環境異常，并產生環境告警，l操作系統安SingleRAN設備中使用的操作系統，通過業界主流掃描工具掃描，確保不存在l數字簽通過數字簽名方式確保升級時不被篡改或設備安全詳細內容請參見SingleRAN《控制器設備和OM安全特性參數描述》和《設備和OM安全特性參數描述》 IPsec（InternetProtocolSecurity PKI（PublicKeyPKI的功能通過簽發數字來綁定持有者的和相關的公開密鑰，為用戶獲取，和作廢提供方便的途徑。同時利用數字及相關的可否認性，支持工廠預置設備和管理協議CMPv2。 VLAN（VirtualLocalAreaNetworkVLAN可用于和控制器不同平面業務劃分，用戶面、管理面、控制面的數 通過端口，防止的設備接入客戶網絡。傳輸安全詳細內容可參見SingleRAN《802.1x接入認證特性參數描述》、 l修后批量修l現網根據無無l控。l基站《->無與無與l現網根據l現網根據無無與“OM用l默l口令3無無l基站《->-l-不OM用狀 無無與無無：《和導.pdfLMT。無無無與無無：《指南》無ll《LTECHR與l默l默l默認l更換運營無與Ol默l默l默認l更換運營無l控-l基站《-l-明文FTP無與無無l控l基站《-無：《指南》l出l現無安裝補丁后需要重啟OMU無l《：lSolarilll；lSUSE：llSUSE：登OMUOMU務器）l用戶無法登錄l當網有需要做路由轉發的場景時，關閉無：ll---lU-U安lU管-U安l無無l串認l串