現在,隨著移動網絡運營商（MNO）不斷地增加其用戶群，并且努力成為互聯網服務供應商（ISP）而不是基本語音和數據服務的供應商，他們面臨3大挑戰：

以最高的性能和可用性來保持網絡運行。

提供豐富的、積極的用戶體驗。

保護其移動網絡、客戶數據和設備不受當前和新興的安全威脅。

如果移動網絡運營商希望維護客戶的忠誠和信任，并保持其增長以及品牌的信譽，就必須成功地解決以上挑戰。但是現在移動設備功能和性能的不斷提高，用戶渴望更豐富更快的網絡服務，這些為3G和4G網絡帶來了一系列新的安全風險。

智能手機和移動應用使用的急劇增長使網絡信令超量，影響了網絡性能，實際上它已經成為了一種非惡意性的DDos攻擊行為。越來越多的移動設備和應用也帶來了新的應用層漏洞。此外，4GLTE網絡向以IP為中心的架構轉移，意味著現在網絡更易受到來自公共網絡和無線接入網絡（RAN）的IP安全攻擊,這也為移動網絡運營商帶來了從未有過的安全挑戰，需要用新的方法來保護網絡。

新一代4G LTE架構的安全隱患

全新的4G LTE網絡架構同樣面臨新的安全挑戰。它并不像2G和3G服務那樣使用TDM和ATM回程，LTE使用基于IP的回程。隨著越來越多的基于IP的通信進入移動基礎設施，它也變得更易受到來自互聯網的攻擊。LTE網絡的全IP架構帶來了更多的安全風險。攻擊者可以訪問未加密的用戶流量或網絡控制信令。

隨著公共接入微蜂窩基站部署的增加，3G和4G網絡面臨更多的安全風險，這些公共接入微蜂窩基站的部署主要為了增加購物中心、公用辦公室等其他公共場所的本地容量。這些安置在公共區域的小型設備面向公眾，不能像傳統基站那樣采用物理保護方法，這使攻擊者很容易從這些點突破來攻擊網絡。

LTE網絡架構和分組核心還面臨其他安全挑戰，包括SCTP與Diameter傳輸和應用協議的封鎖，以及移動網絡上來自不同網元的分布式拒絕服務攻擊（DDoS）。數據信令網關、移動包核心(Mobile Packet Core)和無線接入網絡基礎設施都有潛在的漏洞。

保證Gi/Sgi接口安全——保護分組核心免受互聯網攻擊

像我們之前所看到的，據估計到2014年，智能手機的銷售量將接近所有已售設備的50%，平均每個設備的數據使用量將翻3倍。在運營商由私有向公共IP地址轉換時，智能手機使用的快速增長和日益復雜的應用意味著移動運營商需要一個擴展的、穩健的方法來處理日益增多的用戶IP地址，跟蹤公共IP地址后的單個設備。

網絡現在逐漸向IPv6過渡，需要處理從IPv4到IPv6地址的遷移，這使得問題變得更加復雜。這將要求移動運營商在一段時間內支持以上兩種地址方案。因此，移動運營商需要一個彈性的Gi/SGi電信級NAT（CGN）解決方案。

在Gi/Sgi接口上使用CGN解決方案可以在公共互聯網上隱藏核心服務和設備的IP地址，這有助于保證其安全，避免成為使用DoS技術的惡意目標。它還可以保護設備或移動臺的IP地址不被劫持，否則將導致“超額計費”攻擊。

保護LTEGi/SGi接口的安全要求

保護Gi接口安全的CGN解決方案應為狀態NAT防火墻解決方案，并針對互聯網、語音和基于會話的應用和協議進行優化。只有狀態防火墻可以減少在CGN解決方案中增加IP地址共享的風險，并降低客戶和運營商受到超額計費攻擊的風險。

在理想情況下，NAT防火墻應作為一個單一的、可擴展的網關，由一個單一的IP地址管理，并支持通過單一控制臺進行安全和策略管理。最好是基于機柜的解決方案，堆疊了多個網關模塊，因為這樣更易于管理、更簡單，而且可更高效地實現流量平衡和管理。

該解決方案應該支持IPv4CGN，通過靜態和動態地址和端口映射，包括端口塊分配，實現NAPT和NAT44（4）。它還應該支持擁有v4v6雙棧DS-Lite、6over4隧道6PE/6rd、4over6隧道、4rd/MAP-T、NAT64、NAT46和NAT66等功能的IPv6 CGN，實現無縫地址轉換和遷移。

NAT的性能和吞吐量同樣關鍵：隨著網絡流量和用戶設備數量成倍增加，NAT防火墻需要支持和服務數千萬計的并發連接和數千兆真實世界移動流量吞吐量。

NAT防火墻應該智能化，并能夠識別超額計費攻擊發起的“懸掛”數據會話。當發起方退出會話的時候，防火墻應當能夠偵測到，并終止該會話。如果該解決方案能夠通過身份感知把RADIUS計費記錄與設備的IP相連接，這也是非常有用的，并使電信公司在有關當局提出請求時能夠提供用戶的特定信息。它還應該提供帶有其它安全功能的深度包檢測，包括IPS、防病毒、URL過濾、應用程序控制和防僵尸網絡。這些提供的保護措施可以保護移動網絡基礎設施不受攻擊，并防止網絡被用來發動DoS攻擊。檢測數據包的能力是采用同樣的安全解決方案向用戶提供托管安全服務的基礎。

保證S1接口安全——確保LTE回程流量的安全

我們之前已經看到了LTE架構變得越來越扁平并以IP為中心，這種架構如何給移動網絡帶來新的安全隱患，特別是在網絡的回程單元上。LTE網絡安全需要考慮的另一個要素是蜂窩站點的增加。據分析師Heavy Reading預計，截止到2015年底，全球蜂窩基站的數量將從2011年的270萬增長到400萬。它們中的許多都將成為新的小型基站，以應對低成本和增加單位用戶帶寬的雙重要求。這意味著更多的蜂窩基站將放置在容易受到非法篡改的公共區域里。

由于LTE回程網絡中沒有無線網絡控制器（RNC），受到侵害的eNodeB基站會被利用來訪問和攻擊移動管理實體（MME），從而影響整個核心服務。不像3G，一個單一的eNodeB可以連接多個位于不同分組核心網的移動管理實體——這意味著攻擊者可以通過一個受到攻擊的基站到達位于不同核心網絡的移動管理實體。

IPSec是3GPP向移動網絡運營商建議的標準，這些移動網絡運營商認為其在eNode Bs和分組核心網間的LTE回程網絡在物理上不安全。然而，應該讓網絡運營商相信，其IPSec部署具備高擴展性和高可用性。LTE流量和寬帶需求的預期增長需要真正的運營商級吞吐能力，并符合最新的3GPP安全標準。

保護LTES1接口的安全要求

安全網關應支持LTE蜂窩基站和分組核心之間的身份驗證，防止通過eNodeB非法接入分組核心網。因此，與第三方PKI解決方案的互操作性變得至關重要。這也實現了eNodeB的控制平面和數據平面的證書驗證。

安全網關還應支持ESP和IKEv2，提供數據流量保密性、AES、SHA-1或Triple DES加密算法的完整性。這樣保護控制平面和用戶流量免受竊聽和數據篡改攻擊。網關也應該通過MME為S1-MME控制平面提供SCTP深度包檢測，MME可以防止應用虛假流量注入等攻擊。安全解決方案也應該是完全可擴展的，并提供運營商級的IPSEC吞吐量和性能，以減少網絡延遲。

保證Gp/S8接口安全——確保分組核心網免受漫游威脅

運營商必須允許他們的移動用戶在漫游時訪問互聯網，這意味著移動運營商必須將其網絡進行互連。這是通過使用Gp/S8接口接入GPRS漫游交換（GRX）網絡來完成的，它作為漫游用戶的連接樞紐，這樣每個服務供應商之間不需部署專用鏈路。

當與LTE網絡連接時，移動設備應該可以漫游LTE和3G網絡。在LTE過渡期間，運營商將繼續維護其3G網絡，并允許數據流量從LTE分組核心到3G分組核心間的漫游，反之亦然。

因此，移動網絡運營商的分組核心網元必須在其他運營商和非信任網絡間的漫游互連時保證安全。由于目前Gp/S8接口用于網絡間的漫游流量，最常見的安全威脅類型是針對服務的可用性的，使用DoS技術進行帶寬飽和、數據泛濫、欺騙或緩存中毒等攻擊。如果移動臺能夠劫持一個合法移動臺的IP地址，并開始非法數據下載，Gp/S8接口也易受超額計費攻擊。

保護Gp/GRX接口的安全要求

關鍵問題是如何保護GRX網絡在不同的移動運營商網絡間不受DoS或DDoS攻擊。當黑客可以從另一個IP網絡域向GRX網絡域惡意插入IP數據包時，DoS攻擊就會發生。

安全網關應該能夠對應用于GP接口的三個協議進行深度狀態包檢測：

GTP用于提供移動數據服務。監控GTP流量有助于利用運營商身份策略來執行漫游協議，并保護其不受DDoS和超額計費攻擊。

SCTP用于移動網絡的IP傳輸層。監控SCTP有助于防止黑客利用損壞的數據包進行DoS攻擊，也可預防未授權的網絡接入。

Diameter是用于授權、用戶認證、計費和服務質量（QoS）的信令協議。監控Diameter流量可以保護用戶數據不被服務供應商間不可信的、公共IP傳輸網絡攔截。

LTE網絡廣泛使用后SCTP和Diameter流量出現快速增長，因此偵測這種流量的能力對早期預見并防止可能的惡意攻擊至關重要，這些攻擊包括來自分組核心的使用未授權GTP或Diameter命令的數據曝光攻擊。與針對Gi和S1接口的安全解決方案一樣，性能、可擴展性和吞吐量都非常重要，因為控制平面和數據平面的流量將繼續加速增長。

移動網絡的下一代安全措施

必須保證移動數據連接在任何時間、任何地點都安全可用。移動運營商也必須保護其移動網絡、客戶數據和設備不受當前和新興的安全威脅影響。當移動運營商向漫游合作伙伴、公共互聯網和其他不受信任的外部網絡開放其網絡分組核心時，安全風險也呈指數增長。為了保護其整個基礎設施，網絡運營商必須保證互聯網Gi連接、S1LTE無線接入和GP漫游連接等所有LTE接口的安全。

使用一個集成了每個接口狀態監測的安全平臺，再加上IPS、VPN隧道、安全NAT、防病毒、防僵尸網絡、Web安全等高級安全應用，網絡運營商可以使用一套整體解決方案保證其整個運營基礎設施的端到端安全。

他們也可以利用統一的策略來保證其安全性，并監控和報告所有運營商接口。通過一個統一的網絡基礎設施和安全策略視圖，網絡管理員可得到事件的清晰畫面，并且得知當前的安全狀態。這大大降低了網絡風險，保護了用戶數據，降低了總擁有成本（TCO），提高了運營效率和收益。