現(xiàn)在,隨著移動網(wǎng)絡(luò)運營商（MNO）不斷地增加其用戶群，并且努力成為互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）而不是基本語音和數(shù)據(jù)服務(wù)的供應(yīng)商，他們面臨3大挑戰(zhàn)：

以最高的性能和可用性來保持網(wǎng)絡(luò)運行。

提供豐富的、積極的用戶體驗。

保護其移動網(wǎng)絡(luò)、客戶數(shù)據(jù)和設(shè)備不受當前和新興的安全威脅。

如果移動網(wǎng)絡(luò)運營商希望維護客戶的忠誠和信任，并保持其增長以及品牌的信譽，就必須成功地解決以上挑戰(zhàn)。但是現(xiàn)在移動設(shè)備功能和性能的不斷提高，用戶渴望更豐富更快的網(wǎng)絡(luò)服務(wù)，這些為3G和4G網(wǎng)絡(luò)帶來了一系列新的安全風險。

智能手機和移動應(yīng)用使用的急劇增長使網(wǎng)絡(luò)信令超量，影響了網(wǎng)絡(luò)性能，實際上它已經(jīng)成為了一種非惡意性的DDos攻擊行為。越來越多的移動設(shè)備和應(yīng)用也帶來了新的應(yīng)用層漏洞。此外，4GLTE網(wǎng)絡(luò)向以IP為中心的架構(gòu)轉(zhuǎn)移，意味著現(xiàn)在網(wǎng)絡(luò)更易受到來自公共網(wǎng)絡(luò)和無線接入網(wǎng)絡(luò)（RAN）的IP安全攻擊,這也為移動網(wǎng)絡(luò)運營商帶來了從未有過的安全挑戰(zhàn)，需要用新的方法來保護網(wǎng)絡(luò)。

新一代4G LTE架構(gòu)的安全隱患

全新的4G LTE網(wǎng)絡(luò)架構(gòu)同樣面臨新的安全挑戰(zhàn)。它并不像2G和3G服務(wù)那樣使用TDM和ATM回程，LTE使用基于IP的回程。隨著越來越多的基于IP的通信進入移動基礎(chǔ)設(shè)施，它也變得更易受到來自互聯(lián)網(wǎng)的攻擊。LTE網(wǎng)絡(luò)的全IP架構(gòu)帶來了更多的安全風險。攻擊者可以訪問未加密的用戶流量或網(wǎng)絡(luò)控制信令。

隨著公共接入微蜂窩基站部署的增加，3G和4G網(wǎng)絡(luò)面臨更多的安全風險，這些公共接入微蜂窩基站的部署主要為了增加購物中心、公用辦公室等其他公共場所的本地容量。這些安置在公共區(qū)域的小型設(shè)備面向公眾，不能像傳統(tǒng)基站那樣采用物理保護方法，這使攻擊者很容易從這些點突破來攻擊網(wǎng)絡(luò)。

LTE網(wǎng)絡(luò)架構(gòu)和分組核心還面臨其他安全挑戰(zhàn)，包括SCTP與Diameter傳輸和應(yīng)用協(xié)議的封鎖，以及移動網(wǎng)絡(luò)上來自不同網(wǎng)元的分布式拒絕服務(wù)攻擊（DDoS）。數(shù)據(jù)信令網(wǎng)關(guān)、移動包核心(Mobile Packet Core)和無線接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施都有潛在的漏洞。

保證Gi/Sgi接口安全——保護分組核心免受互聯(lián)網(wǎng)攻擊

像我們之前所看到的，據(jù)估計到2014年，智能手機的銷售量將接近所有已售設(shè)備的50%，平均每個設(shè)備的數(shù)據(jù)使用量將翻3倍。在運營商由私有向公共IP地址轉(zhuǎn)換時，智能手機使用的快速增長和日益復雜的應(yīng)用意味著移動運營商需要一個擴展的、穩(wěn)健的方法來處理日益增多的用戶IP地址，跟蹤公共IP地址后的單個設(shè)備。

網(wǎng)絡(luò)現(xiàn)在逐漸向IPv6過渡，需要處理從IPv4到IPv6地址的遷移，這使得問題變得更加復雜。這將要求移動運營商在一段時間內(nèi)支持以上兩種地址方案。因此，移動運營商需要一個彈性的Gi/SGi電信級NAT（CGN）解決方案。

在Gi/Sgi接口上使用CGN解決方案可以在公共互聯(lián)網(wǎng)上隱藏核心服務(wù)和設(shè)備的IP地址，這有助于保證其安全，避免成為使用DoS技術(shù)的惡意目標。它還可以保護設(shè)備或移動臺的IP地址不被劫持，否則將導致“超額計費”攻擊。

保護LTEGi/SGi接口的安全要求

保護Gi接口安全的CGN解決方案應(yīng)為狀態(tài)NAT防火墻解決方案，并針對互聯(lián)網(wǎng)、語音和基于會話的應(yīng)用和協(xié)議進行優(yōu)化。只有狀態(tài)防火墻可以減少在CGN解決方案中增加IP地址共享的風險，并降低客戶和運營商受到超額計費攻擊的風險。

在理想情況下，NAT防火墻應(yīng)作為一個單一的、可擴展的網(wǎng)關(guān)，由一個單一的IP地址管理，并支持通過單一控制臺進行安全和策略管理。最好是基于機柜的解決方案，堆疊了多個網(wǎng)關(guān)模塊，因為這樣更易于管理、更簡單，而且可更高效地實現(xiàn)流量平衡和管理。

該解決方案應(yīng)該支持IPv4CGN，通過靜態(tài)和動態(tài)地址和端口映射，包括端口塊分配，實現(xiàn)NAPT和NAT44（4）。它還應(yīng)該支持擁有v4v6雙棧DS-Lite、6over4隧道6PE/6rd、4over6隧道、4rd/MAP-T、NAT64、NAT46和NAT66等功能的IPv6 CGN，實現(xiàn)無縫地址轉(zhuǎn)換和遷移。

NAT的性能和吞吐量同樣關(guān)鍵：隨著網(wǎng)絡(luò)流量和用戶設(shè)備數(shù)量成倍增加，NAT防火墻需要支持和服務(wù)數(shù)千萬計的并發(fā)連接和數(shù)千兆真實世界移動流量吞吐量。

NAT防火墻應(yīng)該智能化，并能夠識別超額計費攻擊發(fā)起的“懸掛”數(shù)據(jù)會話。當發(fā)起方退出會話的時候，防火墻應(yīng)當能夠偵測到，并終止該會話。如果該解決方案能夠通過身份感知把RADIUS計費記錄與設(shè)備的IP相連接，這也是非常有用的，并使電信公司在有關(guān)當局提出請求時能夠提供用戶的特定信息。它還應(yīng)該提供帶有其它安全功能的深度包檢測，包括IPS、防病毒、URL過濾、應(yīng)用程序控制和防僵尸網(wǎng)絡(luò)。這些提供的保護措施可以保護移動網(wǎng)絡(luò)基礎(chǔ)設(shè)施不受攻擊，并防止網(wǎng)絡(luò)被用來發(fā)動DoS攻擊。檢測數(shù)據(jù)包的能力是采用同樣的安全解決方案向用戶提供托管安全服務(wù)的基礎(chǔ)。

保證S1接口安全——確保LTE回程流量的安全

我們之前已經(jīng)看到了LTE架構(gòu)變得越來越扁平并以IP為中心，這種架構(gòu)如何給移動網(wǎng)絡(luò)帶來新的安全隱患，特別是在網(wǎng)絡(luò)的回程單元上。LTE網(wǎng)絡(luò)安全需要考慮的另一個要素是蜂窩站點的增加。據(jù)分析師Heavy Reading預計，截止到2015年底，全球蜂窩基站的數(shù)量將從2011年的270萬增長到400萬。它們中的許多都將成為新的小型基站，以應(yīng)對低成本和增加單位用戶帶寬的雙重要求。這意味著更多的蜂窩基站將放置在容易受到非法篡改的公共區(qū)域里。

由于LTE回程網(wǎng)絡(luò)中沒有無線網(wǎng)絡(luò)控制器（RNC），受到侵害的eNodeB基站會被利用來訪問和攻擊移動管理實體（MME），從而影響整個核心服務(wù)。不像3G，一個單一的eNodeB可以連接多個位于不同分組核心網(wǎng)的移動管理實體——這意味著攻擊者可以通過一個受到攻擊的基站到達位于不同核心網(wǎng)絡(luò)的移動管理實體。

IPSec是3GPP向移動網(wǎng)絡(luò)運營商建議的標準，這些移動網(wǎng)絡(luò)運營商認為其在eNode Bs和分組核心網(wǎng)間的LTE回程網(wǎng)絡(luò)在物理上不安全。然而，應(yīng)該讓網(wǎng)絡(luò)運營商相信，其IPSec部署具備高擴展性和高可用性。LTE流量和寬帶需求的預期增長需要真正的運營商級吞吐能力，并符合最新的3GPP安全標準。

保護LTES1接口的安全要求

安全網(wǎng)關(guān)應(yīng)支持LTE蜂窩基站和分組核心之間的身份驗證，防止通過eNodeB非法接入分組核心網(wǎng)。因此，與第三方PKI解決方案的互操作性變得至關(guān)重要。這也實現(xiàn)了eNodeB的控制平面和數(shù)據(jù)平面的證書驗證。

安全網(wǎng)關(guān)還應(yīng)支持ESP和IKEv2，提供數(shù)據(jù)流量保密性、AES、SHA-1或Triple DES加密算法的完整性。這樣保護控制平面和用戶流量免受竊聽和數(shù)據(jù)篡改攻擊。網(wǎng)關(guān)也應(yīng)該通過MME為S1-MME控制平面提供SCTP深度包檢測，MME可以防止應(yīng)用虛假流量注入等攻擊。安全解決方案也應(yīng)該是完全可擴展的，并提供運營商級的IPSEC吞吐量和性能，以減少網(wǎng)絡(luò)延遲。

保證Gp/S8接口安全——確保分組核心網(wǎng)免受漫游威脅

運營商必須允許他們的移動用戶在漫游時訪問互聯(lián)網(wǎng)，這意味著移動運營商必須將其網(wǎng)絡(luò)進行互連。這是通過使用Gp/S8接口接入GPRS漫游交換（GRX）網(wǎng)絡(luò)來完成的，它作為漫游用戶的連接樞紐，這樣每個服務(wù)供應(yīng)商之間不需部署專用鏈路。

當與LTE網(wǎng)絡(luò)連接時，移動設(shè)備應(yīng)該可以漫游LTE和3G網(wǎng)絡(luò)。在LTE過渡期間，運營商將繼續(xù)維護其3G網(wǎng)絡(luò)，并允許數(shù)據(jù)流量從LTE分組核心到3G分組核心間的漫游，反之亦然。

因此，移動網(wǎng)絡(luò)運營商的分組核心網(wǎng)元必須在其他運營商和非信任網(wǎng)絡(luò)間的漫游互連時保證安全。由于目前Gp/S8接口用于網(wǎng)絡(luò)間的漫游流量，最常見的安全威脅類型是針對服務(wù)的可用性的，使用DoS技術(shù)進行帶寬飽和、數(shù)據(jù)泛濫、欺騙或緩存中毒等攻擊。如果移動臺能夠劫持一個合法移動臺的IP地址，并開始非法數(shù)據(jù)下載，Gp/S8接口也易受超額計費攻擊。

保護Gp/GRX接口的安全要求

關(guān)鍵問題是如何保護GRX網(wǎng)絡(luò)在不同的移動運營商網(wǎng)絡(luò)間不受DoS或DDoS攻擊。當黑客可以從另一個IP網(wǎng)絡(luò)域向GRX網(wǎng)絡(luò)域惡意插入IP數(shù)據(jù)包時，DoS攻擊就會發(fā)生。

安全網(wǎng)關(guān)應(yīng)該能夠?qū)?yīng)用于GP接口的三個協(xié)議進行深度狀態(tài)包檢測：

GTP用于提供移動數(shù)據(jù)服務(wù)。監(jiān)控GTP流量有助于利用運營商身份策略來執(zhí)行漫游協(xié)議，并保護其不受DDoS和超額計費攻擊。

SCTP用于移動網(wǎng)絡(luò)的IP傳輸層。監(jiān)控SCTP有助于防止黑客利用損壞的數(shù)據(jù)包進行DoS攻擊，也可預防未授權(quán)的網(wǎng)絡(luò)接入。

Diameter是用于授權(quán)、用戶認證、計費和服務(wù)質(zhì)量（QoS）的信令協(xié)議。監(jiān)控Diameter流量可以保護用戶數(shù)據(jù)不被服務(wù)供應(yīng)商間不可信的、公共IP傳輸網(wǎng)絡(luò)攔截。

LTE網(wǎng)絡(luò)廣泛使用后SCTP和Diameter流量出現(xiàn)快速增長，因此偵測這種流量的能力對早期預見并防止可能的惡意攻擊至關(guān)重要，這些攻擊包括來自分組核心的使用未授權(quán)GTP或Diameter命令的數(shù)據(jù)曝光攻擊。與針對Gi和S1接口的安全解決方案一樣，性能、可擴展性和吞吐量都非常重要，因為控制平面和數(shù)據(jù)平面的流量將繼續(xù)加速增長。

移動網(wǎng)絡(luò)的下一代安全措施

必須保證移動數(shù)據(jù)連接在任何時間、任何地點都安全可用。移動運營商也必須保護其移動網(wǎng)絡(luò)、客戶數(shù)據(jù)和設(shè)備不受當前和新興的安全威脅影響。當移動運營商向漫游合作伙伴、公共互聯(lián)網(wǎng)和其他不受信任的外部網(wǎng)絡(luò)開放其網(wǎng)絡(luò)分組核心時，安全風險也呈指數(shù)增長。為了保護其整個基礎(chǔ)設(shè)施，網(wǎng)絡(luò)運營商必須保證互聯(lián)網(wǎng)Gi連接、S1LTE無線接入和GP漫游連接等所有LTE接口的安全。

使用一個集成了每個接口狀態(tài)監(jiān)測的安全平臺，再加上IPS、VPN隧道、安全NAT、防病毒、防僵尸網(wǎng)絡(luò)、Web安全等高級安全應(yīng)用，網(wǎng)絡(luò)運營商可以使用一套整體解決方案保證其整個運營基礎(chǔ)設(shè)施的端到端安全。

他們也可以利用統(tǒng)一的策略來保證其安全性，并監(jiān)控和報告所有運營商接口。通過一個統(tǒng)一的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全策略視圖，網(wǎng)絡(luò)管理員可得到事件的清晰畫面，并且得知當前的安全狀態(tài)。這大大降低了網(wǎng)絡(luò)風險，保護了用戶數(shù)據(jù)，降低了總擁有成本（TCO），提高了運營效率和收益。