2016年，至少有50%的LTE网路将成为犯罪组织、激进骇客、

随机攻击者与骗徒通讯拦截或破坏行动的主要目标，

相较之下目前的比重尚不及5%。

而LTE/VoLTE网路、软体定义网路与物联网崛起，

更挑战通讯服务商资安防护能力。

刊头

通讯服务供应商已开始升级为4G／LTE行动架构，为无线用户提供更快速、覆盖范围更广且更稳定的高效能宽频服务。此外，通讯服务供应商也开始探索软体定义网路及网路功能虚拟化。

LTE网路能提供新的功能与服务；然而，随着技术变迁，业界发展出完全以IP为基础的全新介面与协定。企业技术长必须认知，在这些新的协定与介面之下，4G／LTE网路的安全不比2G或3G网路，因而必须小心处理资安问题。

在LTE网路方面，像S1介面这种位于基地台端与演进封包核心之间的新型协定，2G与3G时代并不存在。因此，必须具备额外资安功能来保护基地台端，因为它是终端用户开始进行通讯时的第一个接触点，最容易受到恶意攻击。如何保护LTE网路里的无线电接入网，是通讯服务供应商必须正视的领域；如果在基地台端有所妥协，就可能出现断电、服务品质打折、订户资料遗失或遭窃、恶意阻断服务攻击或瘫痪终端用户功能的恶意程式。

软体定义网路与网路功能虚拟化的目的在于提升网路弹性，同时提供更机动的随选服务与频宽。可降低整体网路运作成本，也是推广软体定义网路的另一项重点。这些正在进行及未来可望出现的网路与技术变革，代表资安工作必须额外进行网路规画。

这时就需要像第三代合作伙伴计画所定义的安全闸道、电信级次世代防火墙、会谈边界控制器和路由代理节点等各种资安解决方案。这些节点将提供各式各样资安功能，例如加密、阻断服务、入侵预防与侦测系统（IPS/IDS），还有负载平衡与截流功能。在可能发生负荷超载与资安事件时提出警告也有帮助。

全面采用IP架构虽然带来资安方面的挑战，4G的另一个要素就是验证与加密功能更为提升。以演进通用陆地无线接取网路（E-UTRAN）为例，透过无线电介面传送的资料全经过加密。相反地​​，部署小型基地台等各种趋势日趋受欢迎。小型基地台提高了网路存取能力，却很容易遭到窜改。骇客可利用这些存取点并找出其中漏洞。

此外，采用VoLTE与LTE-A网路的无线通讯服务供应商，必须具备适当元件与组态以确保服务品质、避免合法的网路故障并抵御恶意攻击。

同时崛起的其他几项趋势也提高了网路的风险，像是应用驱动式通讯、小型基地台与家庭基站，还有物联网。物联网涵盖连网家庭、汽车与自动化。这些新型连网元素形成一个规模更大的进出介面领域，如果未加适当维护或控制，便可能会对未经管理的装置提供存取点。当企业逐渐迈向未来数位业务之际，这诸多因素却提供骇客、窃取服务者及其他恶意攻击者更多存取网路的途径。

图一 : 物联网涵盖连网家庭、汽车与自动化，这些新型连网元素形成一个规模更大的进出接口领域。

应用驱动式通讯与LTE漫游造成网路风险增加

LTE网路能为终端用户提供更快速、更稳定的服务及各种多媒体功能，每秒连结次数也因此高出许多。能持续更新的应用程式也会为LTE网路带来负面影响。举例来说，会同时更新且有即时低延迟连网需求的社群网路与游戏网站，就会造成网路塞车进而演变为故障，因为同时有太多阶段作业、网路封包与验证方面的需求。

图二 : LTE漫游的因特网分组交换，也会为通讯服务供货商带来极高风险。

因此，如何在尖峰时间采用正确的网路规模与优先处理顺序相当重要，如此才能确保网路能应付流量尖峰时段，同时解决未来网路用量成长的问题。应测试网路是否能承受持续的恶意阻断服务攻击，以避免相关问题造成故障。

LTE漫游的网际网路封包交换，也会为通讯服务供应商带来极高风险。举例来说，2014年5月荷兰皇家电信（KPN）在GPRS服务的漫游交换发现有主机产生漏洞，可能遭受来自网际网路的攻击。虽然并非「真正」的攻击，只是演习以测试存取GRX有多容易及可能取得何种资料。结论是，倘若软体过时再加上伺服器连结网际网路，便可能遭到有心人士大举操控。

流量的种类也从单纯的语音变为多媒体内容：包括视讯串流、会议电话、简讯、线上动态游戏和行动商务等等。多媒体为网路带来品质与频宽方面的压力。此外，透过多重通讯服务商网路存取网路，也会为政策的实行与计费带来风险；可能产生的冲击因而加重，因为随时都可能影响不只一家通讯服务商的网路。

信任和「无所不开放」造成资安风险

由于信任和「无所不开放」（open everything）的观念，SDN／NFV、LTE／VoLTE与网路分享活动会造成资安风险。

在LTE架构当中，行动核心或演进封包核心须先建构在端对端的IP环境下。主要元件包括行动管理实体（MME）、服务闸道器（SGW）、封包数据网路闸道器（PGW）以及归属用户伺服器(HSS)。

基本上，行动管理实体就是主要的控制节点或开关。封包数据网路闸道器可做为使用者设备的流量进出点，提供使用者设备与外部封包数据网路之间的连网功能。服务闸道器是排定路线与转送使用者数据封包的节点。归属用户伺服器则是用来存放用户服务与资讯的节点。这些节点都可能出现演进封包核心漏洞；不过，因为归属用户伺服器所储存的资讯，本质上最为敏感且最私密，因而最有可能被骇或遭到攻击。

LTE网路的资安解决方案：

*连结网路的防火墙（Internet-Facing Firewall）能提供基本资安功能，负责核可或阻挡流量。这类防火墙位于网际网路与封包数据网路闸道器之间。

*会谈边界控制器（SBC）能保护语音流量并提供网路地址转译（NAT）、阻断服务攻击防护、入侵侦测／预防以及语音加密等功能。这些装置位于网路边缘的IP多媒体子系统（IMS）与封包数据网路闸道器。

*当通讯服务供应商加入Diameter协定，就必须具备路由代理节点。 Diameter是一种与LTE网路相关的验证、授权与会计协定。路由代理节点位于演进封包核心架构里面，同时也跟封包数据网路闸道器、政策与计费规则功能（PCRF）与归属用户伺服器有所互动。

软体定义网路与网路功能虚拟化

拟化的IP多媒体子系统与会谈边界控制器，针对网路功能虚拟化进行测试，有几家公司甚至已成功推出商品化服务。就跟企业逐渐改用软体定义资料中心的趋势一样，采用软体定义网路将加速通讯服务供应商在资安方面的需求。就短期角度而言，资讯安全服务必须整合并支援这样的变化趋势。长远来看，类似的脱钩与变迁现象也会发生在资安服务。必须特别小心维护软体定义网路控制器，因为这不单单有益于全面管控，基于同样理由它也是骇客梦寐以求的目标。

会谈边界控制器具备了某些资安功能，例如阻断服务攻击防护、入侵预防／侦测系统以及加密功能。有了以软体为基础的会谈边界控制器，便可将这些功能虚拟化，厂商的技术发展路径也能更进一步迈向虚拟化。或许在次世代的电信级防火墙当中，网际网路金钥交换（IKE）功能也可以虚拟化，借此打造一个更具弹性的资安环境。然而，软体定义网路的环境还是有资安风险。整体而言，软体定义网路虽非全新愿景，因为企业界已开始将资料中心朝向软体定义网路发展，但它对通讯服务供应商来说仍属新概念，有些资安方面的问题相当类似。

网路分享

网路分享这种观念，目的是协助通讯服务供应商分享网路资源，藉由联合采购来节省资本支出。它还能提供订户额外服务、减少碳足迹，同时节省能源有利地球永续。这个概念虽然尚未广为采行，加拿大、亚太与西欧地区已有相关活动进行当中，东欧也对这种作法越来越有兴趣。随着这股趋势持续延烧，分享网路也将面临更多讯号传送与资安方面的议题，而这些议题都必须小心维护才能提升网路环境的互信。（本文作者为资策会Gartner首席研究分析师）