業務平臺接入通信網絡安全防護技術探討

陳 捷

（中國電信集團號百信息服務有限公司 上海 200085）

1 引言

隨著互聯網與電信增值業務的發展，越來越多的第三方增值業務平臺接入電信運營商的通信網絡，以開展其各自的增值業務。隨著網絡的IP化和業務接入的多元化，傳統觀念中電信級信令網等絕對安全的概念正在發生變化，隨著業務應用的增加與發展，信令消息中也出現了“可信”信令和“不可信”信令的發展變化。

所謂“不可信”信令，通常是指第三方業務平臺發起的信令消息部分，這部分信令由于應用的千差萬別，具有根據應用可修改的特征。這種特征造成了網絡運行風險，并增加了網絡運行維護管理的難度，因此業務平臺接入通信信令網所產生的安全隱患也變得更突出。

針對這種現象，電信運營商的運行維護等技術部門需研究新型業務安全網關的解決方案，即解決“不可信”信令帶來的網絡安全問題，并提供信令安全的可管理化，降低網絡維護的壓力，有效解決信令網安全問題，并實現各業務平臺在設計、建設和運行維護方面的規范化、標準化和專業化等。

2 信令網安全風險

信令網各信令點間具備可通達性，即采用信令點編碼和全局碼都可以尋址到全網任一信令點。雖然，信令網內的信令點均被認為是安全可靠的，但由于:信令協議MTP/SCCP中沒有明確要求源信令點判斷OPC和OGT，僅要求判斷DPC即可；信令協議MAP/CAP中沒有明確要求協議實體判斷請求消息的源地址，僅要求判斷DPC、SSN、TC ID即可，因此信令網不具備限制非法訪問的能力。

信令網內的MAP、CAP信令，涉及用戶位置更新流程、鑒權流程、被叫路由查詢流程、短信流程、智能業務流程。依托信令網的靈活性，可實現多種多樣的業務:統一通信、IP-PABX、智能業務、短信增值等，但隨著各類業務平臺接入信令網，也給信令網絡帶來較大的安全風險，尤其須防范瞬間大量信令消息對信令網的沖擊。

客戶信息主要包括用戶資料、用戶位置、通話記錄、短信內容、業務開通標識。信令、信令流程及信令點的相應內容描述見表1。

2.1 信令網網絡安全

2.1.1 信令點被攻擊

非法信令點可能通過信令方式消耗被攻擊信令點的資源，使其處理能力下降。其攻擊方法如下。

（1）通過正常信令流程發起攻擊

例如:

·非法信令點可以模仿MSC向HLR不斷發起路由查詢流程，占用HLR處理能力，消耗其資源；

·非法信令點可以模仿MSC向SCP不斷觸發智能業務流程，占用SCP處理能力，消耗其資源。

（2）通過異常信令流程發起攻擊

例如:

·非法信令點可以發送不合理的信令消息，占用目的信令點的處理能力；

·非法信令點可以發送不完整信令流程，消耗定時器資源。

2.1.2 信令點ID被盜用

非法信令點可能通過正常信令流程盜用特定用戶歸屬HLR ID、漫游MSC ID。如:非法信令點可以首先模擬主叫MSC發起對某一號段用戶號碼的SRI消息路由查詢，以獲取特定號碼歸屬HLR的HLR ID和漫游MSC的MSC ID。非法信令點用獲取到的HLR ID向漫游MSC發起如下流程:

·發起刪除位置流程，導致某一IMSI號段號碼無法做被叫；

·發起插入用戶數據流程，修改某一IMSI號段號碼用戶業務數據，導致用戶無法正常使用業務，甚至被停機。

2.1.3 信令點使用非授權功能

非法信令點可能利用自有的全局碼（GT碼），發送非自身業務范圍的信令消息，達到非法獲取用戶信息的目的。如:僅負責短信相關業務的平臺，向HLR設備發送ATI消息，盜取用戶的位置信息。

2.2 用戶信息安全

用戶信息安全主要是防范非法獲取和利用用戶位置信息，目前存在的安全隱患如下。

·MSC掌握用戶當前所在小區ID，可通過信令訪問方式獲取。

·HLR存有用戶漫游地信息，可通過信令訪問方式獲取。

·MSC ID和MSRN攜帶用戶漫游地信息，可通過信令訪問方式獲取。

通過位置業務流程獲取用戶的小區級位置信息如圖1所示。

3 增設信令防火墻

根據上述對信令網和用戶信息的安全風險分析，第三方業務平臺接入公共電信網，通過接入信令業務安全網關，即信令防火墻設備，再接入電信信令網，可實現業務平臺與電信信令網的物理隔離，以達到防范非法信令對信令網與用戶信息安全威脅的目的。

（2）從案例一、二及相關資料分析可知，在構效關系研究中，由于化合物分子特征參數對化合物性能響應不同，很多參數對某一響應是不顯著的；更為普遍的現象是顯著項特征參數間還存在共線性現象，所以M項特征參數經篩選僅有限的m項進入構效關系模型。

信令業務安全網關組網如圖2所示。

信令業務安全網關接入在信令網的邊緣，作為第三方業務平臺的統一接入點，可有效防范信令網風險和用戶信息風險。通過實現信令網的分級管理運行，技術維護人員只需要進行維護信令防火墻的安全防護工作，即可減輕原來直接維護大量第三方業務平臺的日常操作工作。其中，管理服務器負責業務規則的管理，信令數據服務器負責記錄與統計業務平臺的信令消息并及時發出預警信號。

表1 信令、信令流程及信令點的相應內容描述

圖1 可通過位置業務流程獲取用戶的小區級位置信息

圖2 信令業務安全網關組網示意

信令業務安全網關工作類似數據網防火墻，可無縫地串接在TDM或IP信令鏈路中，針對信令網內的風險點實時防范信令網和用戶信息風險，發揮其特定的安全防護功能。

根據業務設定，信令業務安全網關實時檢查信令消息的合法性，攔截非法信令消息，并輸出告警，應具備如下主要安全防護功能。

（1）消息屏蔽

根據業務信令規則和黑白名單，實時分析傳遞的信令消息，允許授權消息通過，攔截非授權消息。如根據IP地址、端口號、OPC、DPC、業務指示語、GT碼等特征進行消息屏蔽。

（2）號碼黑白名單

對用戶號碼或號段設置黑白名單，具備不同的業務權限，攔截黑名單的消息。

（3）信令互通和消息規范化

進行業務號碼以及消息參數合理性檢查，根據預先定義的規則，對主叫、被叫或原被叫做號碼變換，對消息參數進行互通適配。

（4）業務負荷控制

實時監控信令流量，對業務平臺的呼叫負荷進行限制，防止業務平臺異常和超負荷而導致網絡的擁塞甚至癱瘓等突發風險。

本文所描述的信令防火墻作為新型信令業務安全網關，其系統設備位置部署在第三方接入平臺與信令網之間的信令鏈路中，對流經的信令消息進行鑒權論證，對于超過該平臺權限的信令消息進行限制，只允許符合規則的信令消息通過。

作為信令業務安全網關在業務平臺中的應用，位于業務平臺/IP-PABX與電信運營商核心網之間，串接在信令鏈路上。移動業務平臺與核心網間使用64 kbit/s信令鏈路，承載的信令為MAP和ISUP；固網業務平臺與核心網間使用64 kbit/s信令鏈路或IP信令鏈路，承載的信令為ISUP或SIP；IP-PABX與核心網間使用IP信令鏈路，承載的信令為SIP。

現網中常見的信令安全類網關產品，大多只能完成對消息協議類型的安全過濾，無法做到面向特定應用的消息控制；少數具備應用層消息控制的網關產品，也僅限于對某些特定應用進行消息過濾，無法完全做到完整的應用消息類型覆蓋。相比同類產品，本文所描述的業務安全網關產品可實現面向應用的消息安全過濾，可覆蓋完整的業務應用規則，實現更精細的安全保護功能。該產品可獨立實施，不需要對業務平臺和核心網進行改造，不需要更改現網數據，具備快速上線能力，可以有效節約用戶投資。

由于業務平臺的業務實現千差萬別，對各種平臺的應用層消息判斷規則也不盡相同，為了能夠深入結合業務平臺的業務需求，完成精細化的信令網安全保護功能，要求業務安全網關能夠解析并過濾應用層消息，快速完成安全網關的規則配置。

為了解決上述技術難點，本文所述的業務安全網關產品實現了平臺接入類消息協議的全覆蓋，對每種消息協議的每個字段均可定義業務規則，使用靈活。

下面以某省運營商語音增值業務平臺為例（如圖3所示），介紹業務信令網關的組網和實際應用情況。

圖3 某省運營商語音增值業務平臺

語音增值業務平臺通過A-Link接入LSTP，實現MAP信令、ISUP信令承載；平臺與TMGW相連，承接話務；語音增值業務平臺跟現網LSTP實現信令的雙平面組網，跟TMGW實現話路的雙平面組網，并實現負荷分擔。信令業務安全網關接入在平臺至LSTP的A-Link上，完成平臺接入的安全管控功能。

業務規則如下。

·為避免語音增值業務平臺虛構號碼發起呼叫，從LSTP到語音增值業務平臺方向，IAM消息只允許通過特定被叫號碼的IAM消息。

·為避免語音增值業務平臺誤發MAP消息，從語音增值業務平臺到LSTP方向，只允許通過SMSReq消息和ROUTReq消息，且主叫GT必須為語音增值業務平臺的E212 GT，SMSReq消息的被叫GT為指定的HLR E212 GT。

4 結束語

本文所述關鍵技術之信令業務安全網關系統的建設思路，已經在中國電信的研究院進行了針對電信運營商網絡的整體測試，并已完成對本關鍵技術的功能、性能及集成測試。經測試通過后的信令業務安全網關，已應用于中國電信開放第三方業務平臺的網絡環境。該系統基于信令引擎技術，實現了無縫連接信令防火墻的接入，既保證了原信令網與信令消息的完整性和通達性，又有效防護了信令網與用戶信息的安全隱患。信令安全接入網關實時監控流經的信令消息，實現了對非授權信令消息的實時攔截，對信令流量突變實時告警，全采集信令消息，及時發現網絡互通問題，為確保信令網運行安全提供了有效的技術手段。

1 GF001-9001.中國國內電話網No.7信號方式技術規范,1990