📘 AI時代系列(4):AI 驅動的電信網路規劃與設計 🌐
53/100 第六週:📌電信網安全與隱私
53. 加密協定 TLS、IPSec、SRTP —— 保護數據傳輸的基本技術。________________________________________
🎯 單元導讀
電信網路的安全傳輸依賴於 加密協定,透過驗證、完整性保護與機密性來防止竊聽與攻擊。
三大常見協定:
• TLS(Transport Layer Security) → 應用層保護(Web、5G SBA)。
• IPSec(IP Security) → 網路層保護(VPN、承載網)。
• SRTP(Secure Real-time Transport Protocol) → 實時語音/視訊保護(VoLTE、VoNR)。
👉 這些協定是 4G/5G/VoIP 核心防線。
________________________________________
🧠 一、TLS(Transport Layer Security)
• 應用場景:HTTPS、5G SBA (Service-Based Architecture)。
• 核心功能:
o 加密數據(防止竊聽)。
o 完整性驗證(防止竄改)。
o 雙向憑證(Client/Server Authentication)。
• 在 5G 中的角色:
o 核心網 NFs(Network Functions)之間的通信必須透過 HTTP/2 + TLS 1.3。
o 提供 端到端加密,避免 Diameter/SS7 的漏洞。
________________________________________
🧠 二、IPSec(IP Security)
• 應用場景:VPN、LTE Backhaul、跨域承載網連線。
• 核心功能:
o 在 IP 層提供加密與認證。
o AH(Authentication Header):確保來源真實性。
o ESP(Encapsulating Security Payload):確保數據加密與完整性。
• 在電信中的角色:
o eNB/gNB ↔ Core 之間的 S1/Xn/S5/S8 接口。
o 保護用戶面(User Plane)流量不被攔截。
________________________________________
🧠 三、SRTP(Secure Real-time Transport Protocol)
• 應用場景:VoIP、VoLTE、VoNR、WebRTC。
• 核心功能:
o 基於 RTP,提供語音/視訊加密。
o 使用 AES 加密、HMAC-SHA1 完整性驗證。
o 支援 密鑰管理協定(SDES、DTLS、ZRTP)。
• 在電信語音中的角色:
o 取代傳統 RTP,確保語音不被竊聽。
o 在 VoLTE/IMS 架構中廣泛應用。
________________________________________
🔁 四、ASCII 架構示意
[應用層] --- TLS ---> 5G SBA (HTTP/2)
[網路層] --- IPSec --> Core ↔ RAN / VPN
[傳輸層] --- SRTP ---> VoLTE / VoNR / WebRTC
這張 ASCII 架構圖展示了在 5G 網路中不同層級的安全與傳輸對應:在應用層,以 TLS 保護終端應用與 5G 的服務導向架構(SBA)之間的訊息,SBA 多以 HTTP/2 為傳輸協定,TLS 確保端到端的機密性與完整性;在網路層,採用 IPSec 保護核心網與 RAN 之間或 VPN 隧道中的封包,提供網路層的加密、認證與抗竄改能力,確保跨域傳輸的連線安全;在傳輸層,對即時多媒體流(如 VoLTE、VoNR、以及基於瀏覽器的 WebRTC)使用 SRTP,針對語音/視訊流做低延遲的加密與串流完整性保護,避免竊聽與重放攻擊。整體而言,三層安全機制互為補強,分工明確:TLS 處理應用層信任、IPSec 處理網路通道保護、SRTP 保障即時媒體的低延遲安全。
________________________________________
🧪 五、防護與挑戰
1. TLS:
o 優點:靈活、應用廣。
o 挑戰:需要憑證管理,延遲較高。
2. IPSec:
o 優點:IP 層加密,通用性高。
o 挑戰:配置複雜,VPN 大規模維護困難。
3. SRTP:
o 優點:專為即時通訊設計。
o 挑戰:密鑰交換安全性仍需依賴其他協定。
________________________________________
💼 六、實務題
1. 基礎題
o 問題:為何 5G SBA 必須使用 TLS?
o 答案:TLS 提供端到端加密與驗證,避免像 Diameter/SS7 一樣被攔截。
2. 應用題
o 問題:如何確保 eNB 與 EPC 之間的 S1 介面不被竊聽?
o 答案:透過 IPSec 通道加密,並使用 ESP 確保完整性。
3. 設計題
o 問題:你會如何設計一個 VoLTE 語音加密架構?
o 答案:採用 SRTP 傳輸語音,並透過 IMS/SDP 協商密鑰。
4. 診斷題
o 問題:若某客戶反映 VoLTE 通話遭竊聽,你會如何定位問題?
o 答案:檢查 SRTP 是否啟用、密鑰交換是否安全、是否被降級為非加密 RTP。
5. 進階題
o 問題:在實際網路設計中,TLS、IPSec、SRTP 如何協同工作?
o 答案:TLS 保護核心網 NFs 間控制訊息,IPSec 保護承載層傳輸,SRTP 專注語音即時媒體流。
________________________________________
✅ 七、小結與啟示
• TLS:應用層安全核心,5G SBA 必備。
• IPSec:IP 層安全防護,保護回傳與承載。
• SRTP:即時通訊安全,語音/視訊加密標準。
👉 這三者共同構成 5G/IMS/VoIP 的安全傳輸基石,是電信安全工程師必備技能。
