基于規(guī)則和狀態(tài)檢測技術的七號信令網(wǎng)絡邊界防護設備的設計與實現(xiàn)*

高 燕，張 睿

（中國電子科技集團公司第三十研究所，四川 成都 610041）

基于規(guī)則和狀態(tài)檢測技術的七號信令網(wǎng)絡邊界防護設備的設計與實現(xiàn)*

高 燕，張 睿

（中國電子科技集團公司第三十研究所，四川 成都 610041）

七號信令網(wǎng)作為電信網(wǎng)的神經(jīng)網(wǎng)絡，是電信網(wǎng)的重要支撐，其安全防護是電信網(wǎng)安全防護體系的重要組成部分。在當前電信網(wǎng)逐步開放和融合的大背景下，原本封閉的七號信令網(wǎng)正面臨著來自網(wǎng)絡內(nèi)外的巨大安全威脅。為應對目前電信網(wǎng)中SS7信令系統(tǒng)面臨的安全威脅，研究提出了一種基于規(guī)則和狀態(tài)檢測技術的七號信令網(wǎng)絡邊界防護設備實現(xiàn)方案。該方案基于規(guī)則過濾、實時監(jiān)控、分區(qū)隔離、透明傳輸、攻擊防御、狀態(tài)機過濾等關鍵技術，可應用于SS7信令網(wǎng)邊界防護，有效解決SS7信令安全問題。

SS7；規(guī)則檢測；攻擊防御；安全審計

0 引 言

電信網(wǎng)絡作為構建信息化社會不可或缺的重要基礎承載網(wǎng)絡，是國家關鍵基礎設施的重要組成部分。七號信令網(wǎng)作為電信網(wǎng)的神經(jīng)網(wǎng)絡，是電信網(wǎng)的重要支撐，其安全防護是電信網(wǎng)安全防護體系的重要組成部分。七號信令網(wǎng)絡最初作為封閉網(wǎng)絡來設計，整個網(wǎng)絡歸少數(shù)幾個運營商所有，外部無法訪問，各實體高度信任，網(wǎng)絡設計的重點是可靠性和效率，缺乏安全方面的考慮。SS7標準被普遍采納、信令協(xié)議完全公開、協(xié)議各層消息也完全透明，使其內(nèi)容定義及通信者的身份很容易被攻擊者通過竊聽的方法獲得。目前，對七號信令網(wǎng)絡的安全防護手段主要有三種，即創(chuàng)建新的安全的七號信令體系、采用加密手段在七號信令網(wǎng)絡內(nèi)部進行加固和使用邊界防護設備。從綜合角度考慮，使用邊界防護設備無疑是最具性價比的解決方案。本文提出的基于規(guī)則和入侵檢測的邊界防護設備就是針對以上情況設計、實現(xiàn)的。經(jīng)試驗，本設備可以在不影響網(wǎng)絡本身業(yè)務穩(wěn)定性的基礎上為七號信令網(wǎng)絡提供針對外部威脅的防御能力，以保障業(yè)務的連續(xù)穩(wěn)定運行。

1 七號信令系統(tǒng)概述

信令系統(tǒng)是通信網(wǎng)的重要組成部分，是用戶及通信中各個節(jié)點相互交換信息的共同語言。該系統(tǒng)初始設計的最佳應用是和程控交換機配合，完成數(shù)字電信網(wǎng)絡的呼叫接續(xù)控制。同時，還考慮到能滿足未來電信網(wǎng)絡對呼叫控制、遠端控制、操作維護等信令的傳送要求，是專門用來傳送電信網(wǎng)節(jié)點處理機之間各種信令和信息的一種數(shù)據(jù)通信形式。

SS7信令系統(tǒng)的總體目標是提供一個國際標準化的通用信令系統(tǒng)。SS7信令系統(tǒng)的通用性決定了整個系統(tǒng)必然包括許多不同的應用功能，且在結構上易于靈活擴展。SS7信令系統(tǒng)采用模塊化的功能結構，實現(xiàn)了一個系統(tǒng)框架內(nèi)多種應用并存的靈活性。

SS7信令系統(tǒng)從功能上可以分為公用的消息傳遞部分（MTP）和適合不同用戶的獨立的用戶部分（UP）。

消息傳遞部分的功能是作為一個公共傳遞系統(tǒng)，在相對應的兩個用戶部分之間可靠地傳遞信令消息。

用戶部分則是使用消息傳遞部分能力的功能實體。用戶部分主要有電話用戶部分（TUP）、數(shù)據(jù)用戶部分（DUP）、綜合業(yè)務數(shù)字網(wǎng)用戶部分（ISUP）、信令連接控制部分（SCCP）、移動通信用戶部分（MAP）、事務處理能力應用部分（TCAP）、操作維護應用部分（OMAP）及信令網(wǎng)維護管理部分。協(xié)議體系架構如圖1所示。

2 七號信令網(wǎng)絡安全性分析

SS7網(wǎng)絡并沒有復雜的安全檢測機制。在電信網(wǎng)逐步開放和融合的大背景下，它的安全性受到了來自內(nèi)部和外部不安全因素的巨大威脅。

2.1 網(wǎng)絡內(nèi)部威脅分析

在SS7協(xié)議棧中，信息傳遞部分（MTP3層）包含網(wǎng)絡拓撲的相關信息，稍作修改，可對信令網(wǎng)產(chǎn)生巨大的影響。而在協(xié)議標準中，這些消息的傳遞卻不需經(jīng)過身份認證，一些特殊的信令網(wǎng)管理消息會改變網(wǎng)絡的狀態(tài)，虛假、錯誤的管理消息將會對網(wǎng)絡的服務產(chǎn)生嚴重影響。

而在SS7協(xié)議的用戶部分（主要是TUP或ISUP）中并沒有包含能夠顯著危及信令網(wǎng)的信息，只有通信服務的相關信息。但是，這些消息可以被利用而破壞正常的通信服務，進而導致信令網(wǎng)進入維護狀態(tài)，致使電信業(yè)務質(zhì)量大大降低。

2.2 網(wǎng)絡外部威脅分析

網(wǎng)絡融合是通信發(fā)展的趨勢，NGN（下一代網(wǎng)絡）采用控制與承載、業(yè)務與傳遞分離的方式，實現(xiàn)了開放的網(wǎng)絡結構，使網(wǎng)絡可靈活、快速地提供各種新業(yè)務，滿足多樣、個性化業(yè)務需求。NGN的出現(xiàn)，很大程度上推動了網(wǎng)絡的發(fā)展。

SS7網(wǎng)絡和IP網(wǎng)使用信令網(wǎng)關來融合互通。信令網(wǎng)關是SS7網(wǎng)絡和IP網(wǎng)邊緣接收和發(fā)送信令消息的信令代理，對信令消息進行中繼、翻譯或終結處理。

NGN開放性、融合性給我們帶來便利的同時，也給SS7網(wǎng)絡帶來更大的安全隱患。由于SS7網(wǎng)絡幾乎沒有任何安全措施，因此即使最簡單的來自互聯(lián)網(wǎng)的黑客手段都可能對SS7網(wǎng)絡造成破壞。

3 七號信令網(wǎng)絡邊界防護設備設計

為應對目前通信系統(tǒng)中SS7信令系統(tǒng)面臨的安全威脅，SS7信令網(wǎng)邊界防護設備基于規(guī)則過濾、實時監(jiān)控、分區(qū)隔離、透明傳輸技術、攻擊防御、狀態(tài)機過濾等關鍵技術，可應用于SS7信令網(wǎng)邊界防護，有效保障正常通信，提高網(wǎng)間去話接通率，解決通信系統(tǒng)SS7信令安全問題。

3.1 硬件設計方案

SS7信令網(wǎng)邊界防護設備采用高可靠性的CPCI工控機平臺搭載CPCI接口的七號信令處理單元的方式實現(xiàn)。七號信令處理單元的設計原理圖如圖2所示。

數(shù)字中繼信號經(jīng)E1接口模塊完成碼型變換、時鐘提取、幀同步等工作后，進入硬件時隙交換矩陣完成時隙分離及其合并。

圖2 CPCI數(shù)字中繼板卡硬件原理

信令時隙經(jīng)由矩陣交換至專用信令處理DSP，完成HDLC鏈路編碼、HDLC鏈路解碼等任務，形成信令消息字節(jié)流，在該DSP內(nèi)完成七號信令消息單元定界、差錯檢測、差錯校正、初始定位、流量控制等第二層處理，并且完成消息識別、消息路由、消息分發(fā)等第三層處理。

圖3 邊界防護設備路由與規(guī)則配置功能

同時，話路時隙經(jīng)由矩陣交換到語音處理DSP陣列，完成錄音、放音、DTMF收號、DTMF發(fā)送等語音呼叫功能。通過PCI/CPCI高速總線控制器完成數(shù)據(jù)交互與硬件控制。

3.2 軟件設計方案

SS7信令網(wǎng)邊界防護設備軟件主要完成路由與規(guī)則配置、消息處理以及安全審計等功能。

3.2.1 路由與規(guī)則配置功能設計

邊界防護設備對來自外部網(wǎng)絡（接入網(wǎng)絡）信令消息的路由標記（包括源點碼、目的點碼）進行合法性檢測的依據(jù)是路由過濾規(guī)則。路由過濾規(guī)則是根據(jù)安防設備的路由表生成的。因此，防護設備的路由表應該參照被保護節(jié)點相同的路由表進行設置，才能保證來自外部的合法的信令消息不被阻斷，而順利到達被保護節(jié)點。圖3為邊界防護設備路由與規(guī)則配置功能示意。

其中，過濾規(guī)則由以下數(shù)據(jù)元素組成：

（1）規(guī)則名稱，唯一的標識規(guī)則。

（2）源點碼/目的點碼，指示信令消息的路由標記。

（3）應用端口，規(guī)則起效的邏輯鏈路，以邏輯鏈路號標識。

（4）防護設備行為，指示符合規(guī)則的信令消息的處理動作：允許通信、禁止通信和報警記錄。

3.2.2 消息處理功能設計

消息處理功能防護軟件可檢查ISUP、TUP、MTP3的協(xié)議信息，并且監(jiān)控基于呼叫、鏈路、電路的三種狀態(tài)。系統(tǒng)在狀態(tài)管理中保存著每條電路、鏈路、呼叫的狀態(tài)信息，每個信令提供深層檢測技術。當有信令違反電路、鏈路、呼叫狀態(tài)時，對該信令直接丟棄。消息處理流程如圖4所示。

圖4 信令消息處理工作流程

軟件接收到底層（驅(qū)動層）發(fā)來的消息后，判斷是信令消息還是同步報警消息。如果是同步報警消息則顯示報警內(nèi)容，如果是信令消息則需進一步處理。

接收到的信令消息又分為MTP2狀態(tài)消息和MTP3信令消息。如果是MTP2狀態(tài)消息，根據(jù)消息類型進行不同的處理。收到指示鏈路“開始服務”的狀態(tài)消息，進行狀態(tài)的顯示；接收到指示鏈路“退出服務”的狀態(tài)消息，進行狀態(tài)的顯示。SS7信令網(wǎng)邊界防護設備軟件構造停止狀態(tài)命令和啟動狀態(tài)命令發(fā)送到MTP2（驅(qū)動層），控制鏈路先停止再啟動。

對于MTP3信令消息，又分為MTP3測試消息和MTP3信令。如果是MTP3測試消息，則判斷信令消息的點碼位數(shù)，進而判斷接收到的信令消息點碼格式與已配置的鏈路點碼格式是否匹配。如果不匹配，則配置錯誤，軟件顯示錯誤報警。如果匹配，則提取消息中的DPC（目的信令點碼）和OPC（源信令點碼），并交換它們在信令消息中的位置（DPC置于OPC位置，OPC置于DPC位置）。完成后，在收到信令消息的鏈路時隙上發(fā)送處理后的MTP3測試消息。

對于收到的MTP3信令，首先判斷信令防護功能是否開啟，如果信令防護功能沒有開啟，則顯示消息內(nèi)容，并在對應的鏈路時隙上發(fā)送信令消息，實現(xiàn)信令消息透傳。如果防護功能已打開，且收到信令消息的鏈路已配置為“檢查”（來自外部的信令鏈路），則對信令進行合法性檢驗。

如果信令消息的處理動作為“阻止通行”，則將信令消息碼流、處理動作、日期等元素存儲到數(shù)據(jù)庫中以備審計。如果處理動作為“報警記錄”，則將信令消息碼流、處理動作、日期等元素存儲到數(shù)據(jù)庫中以備審計，同時在對應的信令鏈路上發(fā)送信令消息，實現(xiàn)消息透傳。如果信令處理動作為“通行”，則直接在對應鏈路上透傳信令消息。

3.2.3 安全審計功能

安全審計功能提供對已存儲信令消息的分類查詢、字段分析和數(shù)據(jù)管理等功能。當接收到的信令消息的處理動作為“阻止通行”或“記錄報警”時，信令消息碼流、信令接收日期等元素將存儲到數(shù)據(jù)庫中。

詳細的存儲元素如下：

（1）信令消息二進制碼流。

（2）防火墻行為：阻斷或報警。

（3）檢查類型，如MTP3路由過濾阻斷、呼叫流量攻擊阻斷、非預期消息阻斷等。

（4）消息接收日期。

（5）匹配的規(guī)則名稱。

（6）協(xié)議類型，如MTP3管理、ISUP、SCCP等。

（7）標題碼。協(xié)議相關的消息類型，如ISUP IAM、MTP3 ECO消息等。

（8）信令消息的源、目的點碼。

安全審計功能提供的基本檢索類型包括：按日期檢索、按防火墻行為檢索、按信令消息的源/目的點碼檢索、按協(xié)議類型/消息類型檢索。除此之外，還提供任意組合檢索類型的檢索。對于符合檢索類型的信令消息，提供可視化消息分析功能，將消息字段在圖形化界面中進行顯示。

4 試驗情況

在實現(xiàn)邊界防護設備的軟硬件基礎上，將其加入試驗環(huán)境，對其安全防護功能和信令消息處理性能進行試驗。圖5為試驗網(wǎng)絡結構圖。

圖5 試驗網(wǎng)絡結構

4.1 安全防護功能測試

在邊界防護設備啟動防護功能前，通過信令發(fā)送設備向程控交換設備C發(fā)送大量偽造信令，導致A、C設備間的信令傳輸受到嚴重干擾。從圖6中可以看出，設備A的收包統(tǒng)計數(shù)據(jù)在設備C收到偽造信令消息后出現(xiàn)階梯狀折線。這是由于節(jié)點被偽造信令干擾后出現(xiàn)一定時間“休克”，從而在此期間出現(xiàn)了傳輸服務中斷。

圖6 SS7信令網(wǎng)絡受信令干擾導致服務質(zhì)量下降示意

啟動安全防護設備的信令防護功能，從圖7中可以看出，設備A的收包統(tǒng)計數(shù)據(jù)不再出現(xiàn)階梯狀折線。這是由于偽造信令被防護設備攔截，信令網(wǎng)的干擾消除，業(yè)務功能恢復正常。

圖7 安全防護設備攔截偽造信令，服務質(zhì)量恢復正常示意

4.2 消息處理能力測試

啟動安全防護設備的防護功能后，對網(wǎng)絡中的信令傳輸時延和語音質(zhì)量進行測試，以檢驗設備接入后對通信網(wǎng)通信質(zhì)量的影響。

采用專用性能測試儀器檢測傳輸時延和語音通話時延的結果如表1所示。

從上面測試結果可以看到，接入七號信令邊界防護設備后引入的信令傳輸時延非常小，并且對語音質(zhì)量不造成影響。

表1 消息處理能力測試結果

5 結 語

隨著網(wǎng)絡融合的不斷發(fā)展，信令網(wǎng)開放力度增強，七號信令網(wǎng)將面臨更大安全挑戰(zhàn)。運營商和企業(yè)必須有所對策以保護其投資、利潤和服務，選擇一種針對性的七號信令邊界防護設備成為必然。

試驗表明，本文中實現(xiàn)的七號信令邊界防護設備不僅能夠檢測目前復雜的惡意信令攻擊，而且能夠在不影響正常業(yè)務的前提下對惡意信令進行實時過濾，可有效地為企業(yè)、電信運營商等提供可靠的安全保障，從而為用戶提供安全可靠的網(wǎng)絡環(huán)境。

[1] 楊放春,孫其博.軟交換與IMS技術[M].北京:北京郵電大學出版社,2007:307. YANG Fang-chun,SUN Qi-bo.Softswitch and IMS Technology[M].BeiJing:Beijing University of Posts and Telecommunications Press,2007:307.

[2] 樊燦,汪小燕.3G中IP多媒體子系統(tǒng)體系結構[J].通信技術,2002(10):67-69. FAN Can,WANG Xiao-yan.System Architecture of IP Multimedia Subsystem in 3G[J].Communication Technology,2002(10):67-69.

[3] 3GPP.TS 23.002,Network Architecture[S]. American:3GPP:223[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/23_series/23002-5c0.zip.

[4] 3GPP.TS 23.218,IP Multimedia(IM)Session Handling;IM Call Model[S].American:3GPP:108-110[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/23_ series/23218-590.zip.

[5] 李曉濤.基于開放源碼實現(xiàn)緊湊式IMS系統(tǒng)[D].北京:北京郵電大學,2011.LI Xiao-tao.Compact IMS System based on 0pen Source[D].BeiJing:Beijing University of Posts and Telecommunications,2011.

[6] 趙鵬,周生,望玉梅.IMS:移動領域的IP多媒體概念和服務[M].北京:機械工業(yè)出版社,2005:234. ZHAO Peng,ZHOU Sheng,WANG Yu-mei.IMS:Mobile Field of IP Multimedia Concepts and Services[M]. BeiJing: China Machine Press,2005:234.

[7] 3GPP.TS 22.140,Service Requirements for 3GPP Generic User Profile[S].American:3GPP:58-60[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/22_ series/22140-540.zip.

[8] 3GPP.TS 22.228,Service Requirements for the Internet Protocol(IP) Multimedia Core Network Subsystem[S]. American:3GPP:22[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/22_series/22228-570.zip.

[9] Core Network Dynamics GmbH.The Open IMS Core is an Open Source Implementation[EB/OL].(2015-7-15)[2016-04-09].http://www.openimscore.org/ documentation/installation-guide/.

[10] 李同康.基于IMS架構的流媒體服務器的研究和應用[D].南京:南京郵電大學,2010. LI Tong-kang.The Research and Application of IMS-based Streaming Media Server[D].NanJing:Nanjing University Of Posts And Telecommunications,2010.

[11] 陳思遠.基于IMS架構的LBS系統(tǒng)的設計與實現(xiàn)[D].廣州:華南理工大學,2010. CHEN Si-yuan.Design and Implementation of LBS System based on IMS Architecture[D].GuangZhou:South China University of Technology,2010.

[12] Ulf Lamping.Wireshark Developer's Guide[EB/OL]. (2014-11-09)[2016-04-25].https://www.wireshark.org/ docs/wsug_html_chunked/.

[13] Canonical Ltd.Ubuntu Server-for Scale out Computing[EB/OL].(2014-09-01)[2016-04-26].http:// developer.ubuntu.com/zh-cn/start/ubuntu-for-devices/ installing-ubuntu-for-devices/.

[14] Oracle Corporation.MySQL 5.1 Reference Manual[EB/ OL].(2015-08-30)[2016-04-30].http://dev.mysql.com/ doc/refman/5.1/en/.

高 燕（1981—），女，學士，工程師，主要研究方向為信令網(wǎng)安全防護；

張 睿（1980—），男，碩士研究生，工程師，主要研究方向為信令網(wǎng)安全防護。

Design and Implementation of Boundary Protection Equipment for SS7 Network based on Rule and State Detection Technology

GAO Yan, ZHANG Rui
(No.30 Institute of CETC,Chengdu Sichuan 610041,China)

As a neural network of telecommunication network, SS7 signalling network is an important support for telecom network, and its security protection also a crucial component of the security protection system for telecommunication network. Under the situation that the telecommunication network is increasingly open and integrated, the originally. closed telecom network now faces a huge security threat from internal and external network.To deal with the security threats against SS7 system, an implementation scheme of boundary protection equipment for SS7 network is proposed. Based on several critical technologies including rule-based filtering, real-time monitoring, partition isolation, transparent transmission, attack defense, state machine filtering, the proposed scheme could be applied to the boundary protection of SS7 network and effectively solving the SS7 security issues.

SS7; rule detection; offense & defense; security audit

TP393.08

A

1002-0802(2016)-07-0943-07

10.3969/j.issn.1002-0802.2016.07.027

2016-03-12;

2016-06-15 Received date:2016-03-12;Revised date:2016-06-15