探討核心網(wǎng)安全架構(gòu)的設(shè)計辦法

摘要:本文在不改變當(dāng)前核心網(wǎng)協(xié)議體系的前提下，提出一種分布式移動通信核心網(wǎng)安全防護(hù)架構(gòu)，在核心網(wǎng)中引入了網(wǎng)絡(luò)安全控制、設(shè)備訪問控制、通信數(shù)據(jù)安全存儲和呼叫重定向等前置功能實(shí)體，為核心網(wǎng)提供多層次、全方位的安全防護(hù)。

關(guān)鍵詞:移動核心網(wǎng) 安全防護(hù) 訪問控制 入侵檢測 重定向

1 核心網(wǎng)安全問題現(xiàn)狀

目前核心網(wǎng)面臨的安全問題主要體現(xiàn)在如下幾個方面:

1.1 由于移動核心網(wǎng)協(xié)議體系缺乏安全性考慮，導(dǎo)致網(wǎng)間異常信令流程的越權(quán)訪問，非法實(shí)體利用通信協(xié)議的安全漏洞針對核心網(wǎng)進(jìn)行非法訪問與攻擊，包括對信令內(nèi)容的修改，路由配置信息的篡改等，直接干擾信令網(wǎng)的正常運(yùn)行;

1.2 由于移動網(wǎng)核心數(shù)據(jù)的集中關(guān)聯(lián)存儲、綁定傳輸和使用，同時各網(wǎng)元之間又沒有嚴(yán)格的鑒權(quán)認(rèn)證機(jī)制，造成關(guān)鍵數(shù)據(jù)可能被非法獲取、惡意篡改、刪除、重放，進(jìn)而欺騙用戶和網(wǎng)絡(luò)，使用戶不能進(jìn)行正常的通信;

1.3 隨著多種網(wǎng)絡(luò)的融合互通，大量的不良媒體信息不能有效的過濾檢出，對廣大用戶產(chǎn)生惡劣的影響。針對這些問題，3GPP、3GPP2、ITU、IETF等國際標(biāo)準(zhǔn)組織在3G核心網(wǎng)中提供了MAPSec、TCAPSec、IPSec等安全機(jī)制，一定程度上可以防御非法、假冒設(shè)備對核心網(wǎng)的非法訪問和信息攻擊，但這些安全機(jī)制需要改變現(xiàn)有移動核心網(wǎng)的協(xié)議體系，運(yùn)營商升級成本高，短時間內(nèi)無法實(shí)現(xiàn)，因而現(xiàn)有移動核心網(wǎng)仍將在一個較長時間內(nèi)維持缺乏安全防護(hù)的安全現(xiàn)狀。因此需要研究在不改變當(dāng)前核心網(wǎng)協(xié)議體系的前提下，構(gòu)建一個有效的、體系化的、具有主動防御和安全控制的核心網(wǎng)信息安全防護(hù)架構(gòu)。

2 分布式安全防護(hù)架構(gòu)的設(shè)計

2.1 分布式安全防護(hù)架構(gòu)的設(shè)計思路 針對移動通信核心網(wǎng)所面臨的安全問題，分布式核心網(wǎng)安全防護(hù)架構(gòu)的設(shè)計要重點(diǎn)考慮以下幾個方面:

2.1.1 在安全性上，需要綜合分析核心網(wǎng)通信協(xié)議、訪問控制機(jī)制以及數(shù)據(jù)安全存儲結(jié)構(gòu)，既要考慮移動網(wǎng)內(nèi)部設(shè)備訪問的控制，也要考慮不同網(wǎng)絡(luò)之間異常信令的非法訪問;既要有針對非法攻擊的檢測控制技術(shù)，也要考慮核心數(shù)據(jù)的索引重組及安全存儲技術(shù)，從根本上提高核心網(wǎng)用戶信息在安全威脅中的自我防護(hù)能力。

2.1.2 在可行性上，移動核心網(wǎng)的安全防護(hù)應(yīng)該基于現(xiàn)有通信網(wǎng)絡(luò)，不改變當(dāng)前核心網(wǎng)的協(xié)議體系，在信息防護(hù)的同時，盡可能小的改變現(xiàn)有通信網(wǎng)絡(luò)的組織結(jié)構(gòu)，要充分考慮到安全防護(hù)在現(xiàn)實(shí)網(wǎng)絡(luò)中部署的可行性。

2.1.3 在工程實(shí)現(xiàn)上，應(yīng)該將安全防護(hù)功能模塊化、設(shè)備化，其中前端設(shè)備應(yīng)具備相對獨(dú)立的功能，能夠根據(jù)對媒體、信令等信息的檢測情況及時做出處理，同時應(yīng)該具有良好的可擴(kuò)展性，以利于各功能模塊在通信網(wǎng)絡(luò)發(fā)展中的演進(jìn)升級。后置設(shè)備應(yīng)該作為協(xié)調(diào)、控制平臺與前端設(shè)備相互配合，這樣易于在現(xiàn)實(shí)網(wǎng)絡(luò)中進(jìn)行分布式部署。總之，要構(gòu)建一個安全防護(hù)能力強(qiáng)、易于部署、易于升級的系統(tǒng)化、多層次的分布式核心網(wǎng)安全防護(hù)架構(gòu)。

2.2 分布式安全防護(hù)架構(gòu)的體系結(jié)構(gòu) 如圖1所示，在移動通信核心網(wǎng)安全防護(hù)架構(gòu)中增加的網(wǎng)絡(luò)實(shí)體從功能上可分為三部分:網(wǎng)絡(luò)安全控制模塊、設(shè)備訪問控制模塊和核心數(shù)據(jù)安全存儲模塊。

2.2.1 網(wǎng)絡(luò)安全控制模塊 網(wǎng)絡(luò)安全控制模塊主要由媒體過濾檢出設(shè)備和信令檢測設(shè)備組成，主要完成對網(wǎng)間異常信令流程、不良媒體信息的檢測過濾，避免網(wǎng)外異常信令對網(wǎng)內(nèi)設(shè)備的非法訪問與攻擊以及不良媒體信息的侵入。媒體過濾檢出設(shè)備和信令檢測設(shè)備作為前端接入設(shè)備完成對媒體信令的采集、分析和識別，并能夠根據(jù)檢測識別的結(jié)果對媒體信令進(jìn)行過濾處理同時還可以與網(wǎng)絡(luò)安全控制平臺進(jìn)行實(shí)時信息交互，網(wǎng)絡(luò)安全控制平臺完成對處理信息的匯總、統(tǒng)計，根據(jù)實(shí)際需要還能夠向前端接入設(shè)備發(fā)出指令執(zhí)行相關(guān)操作。

2.2.2 設(shè)備訪問控制模塊 設(shè)備訪問控制模塊由訪問控制前端設(shè)備、訪問控制服務(wù)器和重定向服務(wù)器組成，主要完成對核心設(shè)備訪問者身份的鑒權(quán)識別，靈活、有效的應(yīng)對當(dāng)前移動通信網(wǎng)中存在的非法網(wǎng)絡(luò)實(shí)體假冒其它實(shí)體進(jìn)行的非法攻擊行為;還可以根據(jù)網(wǎng)絡(luò)實(shí)際需要完成對重要用戶的信息進(jìn)行掩護(hù)、屏蔽，避免重要用戶位置信息的泄漏，防止被惡意跟蹤等重大威脅。該模塊中的各個設(shè)備相互協(xié)調(diào)配合可以實(shí)時的對GMSC Server、VLR/MSC Server等呼叫管理設(shè)備進(jìn)行配置、監(jiān)控。

2.2.3 核心數(shù)據(jù)安全存儲模塊 在核心數(shù)據(jù)安全存儲模塊中，針對HLR、AUC、SCP等移動網(wǎng)核心數(shù)據(jù)庫設(shè)備中用戶信息的關(guān)聯(lián)綁定存儲可能引起的敏感數(shù)據(jù)泄露，根據(jù)移動通信網(wǎng)在通信協(xié)議、呼叫控制以及業(yè)務(wù)流程中對用戶數(shù)據(jù)的處理流程及特點(diǎn)，對核心數(shù)據(jù)的存儲結(jié)構(gòu)進(jìn)行重新調(diào)整，增加索引組合、加密鑒權(quán)等安全措施，加大非法攻擊對核心數(shù)據(jù)的竊取難度，使之在其他設(shè)備對其進(jìn)行訪問的過程中避免重要信息的關(guān)聯(lián)暴露，提高數(shù)據(jù)的安全防護(hù)能力。

通過加入以上幾個功能模塊，移動通信核心網(wǎng)在網(wǎng)間信令檢測、網(wǎng)內(nèi)設(shè)備訪問控制、核心數(shù)據(jù)存儲以及不良信息過濾等方面的能力將大大加強(qiáng)，而且模塊化的工程設(shè)計，無論是在小范圍的試驗(yàn)還是大范圍的應(yīng)用，都會使安全防護(hù)架構(gòu)的部署更加靈活、高效，尤其適應(yīng)對局部網(wǎng)絡(luò)、重要用戶的的安全防護(hù)。

3 分布式安全防護(hù)關(guān)鍵技術(shù)研究

要想實(shí)現(xiàn)分布式核心網(wǎng)安全防護(hù)體系結(jié)構(gòu)中各網(wǎng)絡(luò)實(shí)體的功能，需要結(jié)合原有通信網(wǎng)絡(luò)的通信技術(shù)，研究相關(guān)的安全防護(hù)關(guān)鍵技術(shù)，使加入的網(wǎng)絡(luò)實(shí)體在實(shí)現(xiàn)其安全防護(hù)功能的同時能夠與其他網(wǎng)絡(luò)節(jié)點(diǎn)平滑連接，不對原有網(wǎng)絡(luò)的功能、結(jié)構(gòu)造成影響。

3.1 異常訪問檢測模型研究 移動核心網(wǎng)安全保護(hù)的一個重要途徑就是對網(wǎng)絡(luò)的入侵進(jìn)行檢測。在網(wǎng)絡(luò)安全控制模塊中要想完成對網(wǎng)間異常信令流程的準(zhǔn)確檢測，需要進(jìn)行異常訪問檢測模型的研究。異常檢測是指結(jié)合移動通信網(wǎng)中信令流、數(shù)據(jù)流的特點(diǎn)，探尋系統(tǒng)正常運(yùn)行時數(shù)據(jù)的分布規(guī)律及檢測閥值，通過研究異常數(shù)據(jù)與正常數(shù)據(jù)偏離的距離，對移動通信核心網(wǎng)中已有的的異常類型進(jìn)行實(shí)時、準(zhǔn)確檢測，并可以對新的入侵行為進(jìn)行較為有效的預(yù)警。異常訪問檢測模型的研究可以參考現(xiàn)有的入侵檢測技術(shù)如基于網(wǎng)絡(luò)數(shù)據(jù)流波動的技術(shù)、基于網(wǎng)絡(luò)數(shù)據(jù)包分類的技術(shù)以及基于距離、密度、模型的方案等。

3.2 設(shè)備訪問者身份認(rèn)證機(jī)制研究 針對網(wǎng)絡(luò)設(shè)備的非法訪問是造成移動核心網(wǎng)數(shù)據(jù)泄漏的主要途徑之一。設(shè)備訪問控制模塊要實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備訪問者身份的靈活、有效認(rèn)證，需要研究設(shè)備訪問者身份認(rèn)證機(jī)制，重點(diǎn)研究訪問者身份和地址在核心網(wǎng)各信令協(xié)議層中的表示形式，并利用其中各種表示形式之間的關(guān)系對網(wǎng)絡(luò)設(shè)備訪問者身份進(jìn)行有效鑒別;另外還可以結(jié)合用戶的活動規(guī)律和移動范圍，通過一種基于行為輪廓自學(xué)習(xí)的防篡改智能檢測技術(shù)對訪問者身份進(jìn)行智能檢測。

3.3 核心數(shù)據(jù)安全索引存儲 核心數(shù)據(jù)安全存儲模塊中核心數(shù)據(jù)的安全防護(hù)可以基于兩種思路:一種是對數(shù)據(jù)訪問進(jìn)行嚴(yán)格的鑒權(quán)，使非法訪問者無法得到數(shù)據(jù);另一種是對核心數(shù)據(jù)本身進(jìn)行重新組合存儲，使非法訪問者得到的數(shù)據(jù)不具有效性。在移動通信核心網(wǎng)的數(shù)據(jù)安全防護(hù)中，要研究一種更加安全的數(shù)據(jù)組織與索引存儲形式，使移動用戶的核心數(shù)據(jù)在盡可能小的范圍內(nèi)分布，同時用戶數(shù)據(jù)只有經(jīng)過正確的索引組合后才能形成有效的信息，進(jìn)一步增強(qiáng)對核心數(shù)據(jù)的安全防護(hù)

3.4 分布式多機(jī)制協(xié)同防護(hù)技術(shù) 在研究以上各種移動核心網(wǎng)的安全防護(hù)技術(shù)的基礎(chǔ)上，還要考慮各種安全防護(hù)技術(shù)之間的聯(lián)動協(xié)調(diào)機(jī)制，使其構(gòu)成一個有機(jī)的整體，形成一個更有效的、分布式的多機(jī)制協(xié)同安全防護(hù)機(jī)制，其中需要重點(diǎn)研究各種安全防護(hù)技術(shù)的聯(lián)動機(jī)制、各模塊之間的接口協(xié)議、交互信息的內(nèi)容與形式、對各種安全信息的集中分析以及對緊急事件的實(shí)時處理與預(yù)警等。

4 結(jié)語

本文提出了一種分布式核心網(wǎng)安全防護(hù)體系，此方案的優(yōu)勢在于采用了模塊化設(shè)計，不影響現(xiàn)有通信網(wǎng)絡(luò)的結(jié)構(gòu)和功能，有利于安全防護(hù)架構(gòu)的部署，尤其適于對局部網(wǎng)絡(luò)的安全防護(hù)。此外該架構(gòu)基于現(xiàn)有網(wǎng)絡(luò)，同時考慮向下一代移動通信網(wǎng)的演進(jìn)，既保護(hù)了現(xiàn)有網(wǎng)絡(luò)投資者的利益，也兼顧了通信網(wǎng)安全防護(hù)的延續(xù)性。