陳 捷

（中國電信集團(tuán)號百信息服務(wù)有限公司 上海 200085）

1 引言

隨著互聯(lián)網(wǎng)與電信增值業(yè)務(wù)的發(fā)展，越來越多的第三方增值業(yè)務(wù)平臺接入電信運(yùn)營商的通信網(wǎng)絡(luò)，以開展其各自的增值業(yè)務(wù)。隨著網(wǎng)絡(luò)的IP化和業(yè)務(wù)接入的多元化，傳統(tǒng)觀念中電信級信令網(wǎng)等絕對安全的概念正在發(fā)生變化，隨著業(yè)務(wù)應(yīng)用的增加與發(fā)展，信令消息中也出現(xiàn)了“可信”信令和“不可信”信令的發(fā)展變化。

所謂“不可信”信令，通常是指第三方業(yè)務(wù)平臺發(fā)起的信令消息部分，這部分信令由于應(yīng)用的千差萬別，具有根據(jù)應(yīng)用可修改的特征。這種特征造成了網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)，并增加了網(wǎng)絡(luò)運(yùn)行維護(hù)管理的難度，因此業(yè)務(wù)平臺接入通信信令網(wǎng)所產(chǎn)生的安全隱患也變得更突出。

針對這種現(xiàn)象，電信運(yùn)營商的運(yùn)行維護(hù)等技術(shù)部門需研究新型業(yè)務(wù)安全網(wǎng)關(guān)的解決方案，即解決“不可信”信令帶來的網(wǎng)絡(luò)安全問題，并提供信令安全的可管理化，降低網(wǎng)絡(luò)維護(hù)的壓力，有效解決信令網(wǎng)安全問題，并實(shí)現(xiàn)各業(yè)務(wù)平臺在設(shè)計(jì)、建設(shè)和運(yùn)行維護(hù)方面的規(guī)范化、標(biāo)準(zhǔn)化和專業(yè)化等。

2 信令網(wǎng)安全風(fēng)險(xiǎn)

信令網(wǎng)各信令點(diǎn)間具備可通達(dá)性，即采用信令點(diǎn)編碼和全局碼都可以尋址到全網(wǎng)任一信令點(diǎn)。雖然，信令網(wǎng)內(nèi)的信令點(diǎn)均被認(rèn)為是安全可靠的，但由于:信令協(xié)議MTP/SCCP中沒有明確要求源信令點(diǎn)判斷OPC和OGT，僅要求判斷DPC即可；信令協(xié)議MAP/CAP中沒有明確要求協(xié)議實(shí)體判斷請求消息的源地址，僅要求判斷DPC、SSN、TC ID即可，因此信令網(wǎng)不具備限制非法訪問的能力。

信令網(wǎng)內(nèi)的MAP、CAP信令，涉及用戶位置更新流程、鑒權(quán)流程、被叫路由查詢流程、短信流程、智能業(yè)務(wù)流程。依托信令網(wǎng)的靈活性，可實(shí)現(xiàn)多種多樣的業(yè)務(wù):統(tǒng)一通信、IP-PABX、智能業(yè)務(wù)、短信增值等，但隨著各類業(yè)務(wù)平臺接入信令網(wǎng)，也給信令網(wǎng)絡(luò)帶來較大的安全風(fēng)險(xiǎn)，尤其須防范瞬間大量信令消息對信令網(wǎng)的沖擊。

客戶信息主要包括用戶資料、用戶位置、通話記錄、短信內(nèi)容、業(yè)務(wù)開通標(biāo)識。信令、信令流程及信令點(diǎn)的相應(yīng)內(nèi)容描述見表1。

2.1 信令網(wǎng)網(wǎng)絡(luò)安全

2.1.1 信令點(diǎn)被攻擊

非法信令點(diǎn)可能通過信令方式消耗被攻擊信令點(diǎn)的資源，使其處理能力下降。其攻擊方法如下。

（1）通過正常信令流程發(fā)起攻擊

例如:

·非法信令點(diǎn)可以模仿MSC向HLR不斷發(fā)起路由查詢流程，占用HLR處理能力，消耗其資源；

·非法信令點(diǎn)可以模仿MSC向SCP不斷觸發(fā)智能業(yè)務(wù)流程，占用SCP處理能力，消耗其資源。

（2）通過異常信令流程發(fā)起攻擊

例如:

·非法信令點(diǎn)可以發(fā)送不合理的信令消息，占用目的信令點(diǎn)的處理能力；

·非法信令點(diǎn)可以發(fā)送不完整信令流程，消耗定時(shí)器資源。

2.1.2 信令點(diǎn)ID被盜用

非法信令點(diǎn)可能通過正常信令流程盜用特定用戶歸屬HLR ID、漫游MSC ID。如:非法信令點(diǎn)可以首先模擬主叫MSC發(fā)起對某一號段用戶號碼的SRI消息路由查詢，以獲取特定號碼歸屬HLR的HLR ID和漫游MSC的MSC ID。非法信令點(diǎn)用獲取到的HLR ID向漫游MSC發(fā)起如下流程:

·發(fā)起刪除位置流程，導(dǎo)致某一IMSI號段號碼無法做被叫；

·發(fā)起插入用戶數(shù)據(jù)流程，修改某一IMSI號段號碼用戶業(yè)務(wù)數(shù)據(jù)，導(dǎo)致用戶無法正常使用業(yè)務(wù)，甚至被停機(jī)。

2.1.3 信令點(diǎn)使用非授權(quán)功能

非法信令點(diǎn)可能利用自有的全局碼（GT碼），發(fā)送非自身業(yè)務(wù)范圍的信令消息，達(dá)到非法獲取用戶信息的目的。如:僅負(fù)責(zé)短信相關(guān)業(yè)務(wù)的平臺，向HLR設(shè)備發(fā)送ATI消息，盜取用戶的位置信息。

2.2 用戶信息安全

用戶信息安全主要是防范非法獲取和利用用戶位置信息，目前存在的安全隱患如下。

·MSC掌握用戶當(dāng)前所在小區(qū)ID，可通過信令訪問方式獲取。

·HLR存有用戶漫游地信息，可通過信令訪問方式獲取。

·MSC ID和MSRN攜帶用戶漫游地信息，可通過信令訪問方式獲取。

通過位置業(yè)務(wù)流程獲取用戶的小區(qū)級位置信息如圖1所示。

3 增設(shè)信令防火墻

根據(jù)上述對信令網(wǎng)和用戶信息的安全風(fēng)險(xiǎn)分析，第三方業(yè)務(wù)平臺接入公共電信網(wǎng)，通過接入信令業(yè)務(wù)安全網(wǎng)關(guān)，即信令防火墻設(shè)備，再接入電信信令網(wǎng)，可實(shí)現(xiàn)業(yè)務(wù)平臺與電信信令網(wǎng)的物理隔離，以達(dá)到防范非法信令對信令網(wǎng)與用戶信息安全威脅的目的。

（2）從案例一、二及相關(guān)資料分析可知，在構(gòu)效關(guān)系研究中，由于化合物分子特征參數(shù)對化合物性能響應(yīng)不同，很多參數(shù)對某一響應(yīng)是不顯著的；更為普遍的現(xiàn)象是顯著項(xiàng)特征參數(shù)間還存在共線性現(xiàn)象，所以M項(xiàng)特征參數(shù)經(jīng)篩選僅有限的m項(xiàng)進(jìn)入構(gòu)效關(guān)系模型。

信令業(yè)務(wù)安全網(wǎng)關(guān)組網(wǎng)如圖2所示。

信令業(yè)務(wù)安全網(wǎng)關(guān)接入在信令網(wǎng)的邊緣，作為第三方業(yè)務(wù)平臺的統(tǒng)一接入點(diǎn)，可有效防范信令網(wǎng)風(fēng)險(xiǎn)和用戶信息風(fēng)險(xiǎn)。通過實(shí)現(xiàn)信令網(wǎng)的分級管理運(yùn)行，技術(shù)維護(hù)人員只需要進(jìn)行維護(hù)信令防火墻的安全防護(hù)工作，即可減輕原來直接維護(hù)大量第三方業(yè)務(wù)平臺的日常操作工作。其中，管理服務(wù)器負(fù)責(zé)業(yè)務(wù)規(guī)則的管理，信令數(shù)據(jù)服務(wù)器負(fù)責(zé)記錄與統(tǒng)計(jì)業(yè)務(wù)平臺的信令消息并及時(shí)發(fā)出預(yù)警信號。

表1 信令、信令流程及信令點(diǎn)的相應(yīng)內(nèi)容描述

圖1 可通過位置業(yè)務(wù)流程獲取用戶的小區(qū)級位置信息

圖2 信令業(yè)務(wù)安全網(wǎng)關(guān)組網(wǎng)示意

信令業(yè)務(wù)安全網(wǎng)關(guān)工作類似數(shù)據(jù)網(wǎng)防火墻，可無縫地串接在TDM或IP信令鏈路中，針對信令網(wǎng)內(nèi)的風(fēng)險(xiǎn)點(diǎn)實(shí)時(shí)防范信令網(wǎng)和用戶信息風(fēng)險(xiǎn)，發(fā)揮其特定的安全防護(hù)功能。

根據(jù)業(yè)務(wù)設(shè)定，信令業(yè)務(wù)安全網(wǎng)關(guān)實(shí)時(shí)檢查信令消息的合法性，攔截非法信令消息，并輸出告警，應(yīng)具備如下主要安全防護(hù)功能。

（1）消息屏蔽

根據(jù)業(yè)務(wù)信令規(guī)則和黑白名單，實(shí)時(shí)分析傳遞的信令消息，允許授權(quán)消息通過，攔截非授權(quán)消息。如根據(jù)IP地址、端口號、OPC、DPC、業(yè)務(wù)指示語、GT碼等特征進(jìn)行消息屏蔽。

（2）號碼黑白名單

對用戶號碼或號段設(shè)置黑白名單，具備不同的業(yè)務(wù)權(quán)限，攔截黑名單的消息。

（3）信令互通和消息規(guī)范化

進(jìn)行業(yè)務(wù)號碼以及消息參數(shù)合理性檢查，根據(jù)預(yù)先定義的規(guī)則，對主叫、被叫或原被叫做號碼變換，對消息參數(shù)進(jìn)行互通適配。

（4）業(yè)務(wù)負(fù)荷控制

實(shí)時(shí)監(jiān)控信令流量，對業(yè)務(wù)平臺的呼叫負(fù)荷進(jìn)行限制，防止業(yè)務(wù)平臺異常和超負(fù)荷而導(dǎo)致網(wǎng)絡(luò)的擁塞甚至癱瘓等突發(fā)風(fēng)險(xiǎn)。

本文所描述的信令防火墻作為新型信令業(yè)務(wù)安全網(wǎng)關(guān)，其系統(tǒng)設(shè)備位置部署在第三方接入平臺與信令網(wǎng)之間的信令鏈路中，對流經(jīng)的信令消息進(jìn)行鑒權(quán)論證，對于超過該平臺權(quán)限的信令消息進(jìn)行限制，只允許符合規(guī)則的信令消息通過。

作為信令業(yè)務(wù)安全網(wǎng)關(guān)在業(yè)務(wù)平臺中的應(yīng)用，位于業(yè)務(wù)平臺/IP-PABX與電信運(yùn)營商核心網(wǎng)之間，串接在信令鏈路上。移動業(yè)務(wù)平臺與核心網(wǎng)間使用64 kbit/s信令鏈路，承載的信令為MAP和ISUP；固網(wǎng)業(yè)務(wù)平臺與核心網(wǎng)間使用64 kbit/s信令鏈路或IP信令鏈路，承載的信令為ISUP或SIP；IP-PABX與核心網(wǎng)間使用IP信令鏈路，承載的信令為SIP。

現(xiàn)網(wǎng)中常見的信令安全類網(wǎng)關(guān)產(chǎn)品，大多只能完成對消息協(xié)議類型的安全過濾，無法做到面向特定應(yīng)用的消息控制；少數(shù)具備應(yīng)用層消息控制的網(wǎng)關(guān)產(chǎn)品，也僅限于對某些特定應(yīng)用進(jìn)行消息過濾，無法完全做到完整的應(yīng)用消息類型覆蓋。相比同類產(chǎn)品，本文所描述的業(yè)務(wù)安全網(wǎng)關(guān)產(chǎn)品可實(shí)現(xiàn)面向應(yīng)用的消息安全過濾，可覆蓋完整的業(yè)務(wù)應(yīng)用規(guī)則，實(shí)現(xiàn)更精細(xì)的安全保護(hù)功能。該產(chǎn)品可獨(dú)立實(shí)施，不需要對業(yè)務(wù)平臺和核心網(wǎng)進(jìn)行改造，不需要更改現(xiàn)網(wǎng)數(shù)據(jù)，具備快速上線能力，可以有效節(jié)約用戶投資。

由于業(yè)務(wù)平臺的業(yè)務(wù)實(shí)現(xiàn)千差萬別，對各種平臺的應(yīng)用層消息判斷規(guī)則也不盡相同，為了能夠深入結(jié)合業(yè)務(wù)平臺的業(yè)務(wù)需求，完成精細(xì)化的信令網(wǎng)安全保護(hù)功能，要求業(yè)務(wù)安全網(wǎng)關(guān)能夠解析并過濾應(yīng)用層消息，快速完成安全網(wǎng)關(guān)的規(guī)則配置。

為了解決上述技術(shù)難點(diǎn)，本文所述的業(yè)務(wù)安全網(wǎng)關(guān)產(chǎn)品實(shí)現(xiàn)了平臺接入類消息協(xié)議的全覆蓋，對每種消息協(xié)議的每個(gè)字段均可定義業(yè)務(wù)規(guī)則，使用靈活。

下面以某省運(yùn)營商語音增值業(yè)務(wù)平臺為例（如圖3所示），介紹業(yè)務(wù)信令網(wǎng)關(guān)的組網(wǎng)和實(shí)際應(yīng)用情況。

圖3 某省運(yùn)營商語音增值業(yè)務(wù)平臺

語音增值業(yè)務(wù)平臺通過A-Link接入LSTP，實(shí)現(xiàn)MAP信令、ISUP信令承載；平臺與TMGW相連，承接話務(wù)；語音增值業(yè)務(wù)平臺跟現(xiàn)網(wǎng)LSTP實(shí)現(xiàn)信令的雙平面組網(wǎng)，跟TMGW實(shí)現(xiàn)話路的雙平面組網(wǎng)，并實(shí)現(xiàn)負(fù)荷分擔(dān)。信令業(yè)務(wù)安全網(wǎng)關(guān)接入在平臺至LSTP的A-Link上，完成平臺接入的安全管控功能。

業(yè)務(wù)規(guī)則如下。

·為避免語音增值業(yè)務(wù)平臺虛構(gòu)號碼發(fā)起呼叫，從LSTP到語音增值業(yè)務(wù)平臺方向，IAM消息只允許通過特定被叫號碼的IAM消息。

·為避免語音增值業(yè)務(wù)平臺誤發(fā)MAP消息，從語音增值業(yè)務(wù)平臺到LSTP方向，只允許通過SMSReq消息和ROUTReq消息，且主叫GT必須為語音增值業(yè)務(wù)平臺的E212 GT，SMSReq消息的被叫GT為指定的HLR E212 GT。

4 結(jié)束語

本文所述關(guān)鍵技術(shù)之信令業(yè)務(wù)安全網(wǎng)關(guān)系統(tǒng)的建設(shè)思路，已經(jīng)在中國電信的研究院進(jìn)行了針對電信運(yùn)營商網(wǎng)絡(luò)的整體測試，并已完成對本關(guān)鍵技術(shù)的功能、性能及集成測試。經(jīng)測試通過后的信令業(yè)務(wù)安全網(wǎng)關(guān)，已應(yīng)用于中國電信開放第三方業(yè)務(wù)平臺的網(wǎng)絡(luò)環(huán)境。該系統(tǒng)基于信令引擎技術(shù)，實(shí)現(xiàn)了無縫連接信令防火墻的接入，既保證了原信令網(wǎng)與信令消息的完整性和通達(dá)性，又有效防護(hù)了信令網(wǎng)與用戶信息的安全隱患。信令安全接入網(wǎng)關(guān)實(shí)時(shí)監(jiān)控流經(jīng)的信令消息，實(shí)現(xiàn)了對非授權(quán)信令消息的實(shí)時(shí)攔截，對信令流量突變實(shí)時(shí)告警，全采集信令消息，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)互通問題，為確保信令網(wǎng)運(yùn)行安全提供了有效的技術(shù)手段。

1 GF001-9001.中國國內(nèi)電話網(wǎng)No.7信號方式技術(shù)規(guī)范,1990