femtocell与网关之间通过公共IP网连接。虽然这对femtocell的部署带来了方便，但也带来了新的安全问题。公共网络一般被视为不安全的网络，在公网传输的信令和数据必须进行额外的加密保护，必须在两个方面充分考虑安全性的保证：

- femtocell接入点与网关之间必须进行双向鉴权
- 通过鉴权后，femtocell接入点与网关之间必须建立安全通道

基于上述目的，很容易想到使用目前已经标准化的成熟的协议来实现基于IP的安全。也就是使用IPsec保证数据包的安全，IKEv2实现鉴权和密钥交换。需要特别注意的是由于femtocell的硬件限制，加密的处理必须使用额外的芯片进行，使用主CPU进行加密处理将会严重影响femtocell接入点的性能，降低吞吐量。David在测试femtocell传输速率的时候也提到了这点。

IPsec简介

IP_SECURITY协议(IPSec)，是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术，可实现VPN。IPSec有两种模式：隧道模式和传输模式。
IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP(InternetSecurityAssociationKeyManagementProtocolInternet安全协定密钥管理协议)为Internet密钥管理提供框架结构，为安全属性的协商提供协议支持。它本身不能建立会话密钥；然而它可与各种会话密钥建立协议一起使用，如Qakley,为Internet密钥管理提供完整的解决方案。
Oakley密钥确定协议使用一种混合的Diffie-Hellman技术，在Internet主机及路由器上建立会话密钥。Onkley提供重要的完美的前向保密安全特性，它基于经过大量公众审查的密码技术。完善的前向保密确保在任何单个密钥受损时只有用此密钥加密的数据受损。而用后续的会话密钥加密的数据不会受损。
ISAKMP及Qakley协议已结合到一种混合协议中。用Qakley分解ISAKMP使用ISAKMP框架来支持Qakley密钥交换模式的子集。这种新的密钥交换协议提供可选的完美前向保密、全安全关联特性协商以及提供否认、非否认的鉴别方法。例如，这种协议的实施可用于建立虚拟专用网络(VPN)并允许远程用户从远程站址（有动态分配的IP地址）接入安全网络。
IPSec工作时，首先两端的网络设备必须就SA(securityassociation)达成一致，这是两者之间的一项安全策略协定。SA包括：
　　
- 加密算法
- 鉴别算法
- 共享会话密钥
- 密钥使用期限
SA是单向的，故欲进行双向通信需建立两个SA（各为一个方向）。这些SA通过ISAKMP协商或可人工定义。
SA商定之后，然后确定是使用鉴别、保密和完整性或仅仅只用鉴别。IPSec有两种模式：隧道模式和传输模式。
在隧道模式中，整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中，只有数据部分是封装，而IP报头则不封装即被传送。目前，标准规定必须实施密码块链接(CBC)模式中的DES。
IPSec接收端的网络设备根据接收端的SA数据库对使用IPSec加密的数据进行相应的解密并接收，这样就达到了传送数据的私有性和完整性。

IKE简介

Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的。IKE解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 　　
IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。

附件是IKEv2设计与实现指南
点击下载此文件