移動網絡SS7漏洞的安全增強方案探討

孫彪

摘要：七號信令協議SS7是基于信任的移動網絡的通信協議，故移動網絡收到的任何請求都被認為是合法的。任何能登入SS7網絡服務器或網關的人，都可以向電信網絡發送位置漫游和重定向請求，從而獲取用戶個人信息。為研究黑客或者不法分子利用這一漏洞竊聽用戶的語音通話和短消息內容所造成的信息安全問題，分析了通過對移動用戶歸屬位置寄存器HLR的信令增強改造，從而有效防范這一漏洞的方法，旨在更好地保護用戶信息安全。

關鍵詞：SS7 漏洞 網絡信息安全

1 引言

二十一世紀是信息爆炸的時代，人們的日常生活已經越來越離不開手機。從人際關系溝通（比如語音、短信、微信朋友圈），到日常消費（如網絡購物、電子支付），再到日常出行（如滴滴打車、實時導航），金融理財（比如股票證券、手機銀行）。可以說人們的衣食住行，一切的社會活動都濃縮在了小小的手機上以及隱藏在了手機背后復雜的移動網絡中。

信息泄露造成的社會危害越來越嚴重，國際上比較轟動的泄密事件包括2014年2月，美國駐烏克蘭大使遭遇的尷尬的泄密事件。美國駐烏克蘭大使與美國助理國務卿維多利亞·努蘭的一次秘密談話被貼到了YouTube上，談話中努蘭對歐盟嗤之以鼻。

我國近年來電信詐騙案件數量增多，影響惡劣。幾名大學生甚至因此而送命，事件引起了社會各界的廣泛關注，輿論的矛頭再次指向了電信運營商。然而，欲防范電信詐騙，用戶的個人信息安全的鞏固非常重要，對此，運營商、設備廠商以及其他相關部門應積極配合，尋求可行的技術增強網絡安全。本文將分析移動通信網絡SS7（七號信令網絡）中的漏洞并提出安全增強解決方案。

2 SS7基本概念

SS7也被稱為“七號信令系統”，是一種廣泛應用于移動通信和固定通信網絡之間的數據網絡，是一系列管理數據交換的技術協議。它出現于上世紀80年代，目的是跨運營商網絡跟蹤和連接。它將手機運營商和國家經營者控制的節點連接成封閉網絡，引導移動流量從手機信號塔通向互聯網。數以千計的公司擁有SS7訪問權，同時也可以將訪問權共享給第三方使用。SS7現主要用于手機計費信令傳輸和短信收發業務，以及跨運營商和區域交換中心路由。SS7是電信骨干網的一部分，但卻不是語音通話流經的網絡，它是帶有不同功能的獨立管理網絡。七號信令網是獨立于電話網的一個專門用于傳送七號信令消息的數據網，在實際的通信過程中，摘機、撥號、掛機等這些動作是用“電信號”來表示的，和普通傳送的語音信號不同，稱這些“電信號”為信令或信號，它們可用來指揮交換機干活。

七號信令屬于公共信道信令，將在通信網中各個交換局在完成各種呼叫接續時采用的通信語言的集合稱為七號信令網。

在移動通信時代SS7被用于設置漫游，以便能在所屬運營商范圍之外也能撥打電話和收發短信。漫游地運營商通過SS7向歸屬運營商發送獲取手機唯一ID的請求以便跟蹤手機，還會請求手機通信被重定向到其網絡，以便投遞呼叫和短信。這是一種確?？缇W絡通信的手段。

3 SS7安全漏洞淺析

傳統SS7基于信任的網絡，網絡收到任何SS7請求都被認為是合法的。因此，任何能登入SS7網絡服務器或網關的人，都可以向電信公司發送位置漫游和重定向請求，而電信公司多半會遵從請求（即使漫游請求是從圣彼得堡或孟買發出而你的手機卻在紐約）。傳統固話PSTN網絡以及傳統移動通信核心網SS7網絡是基于TDM連接的，所以基于信任的SS7網絡不會造成信息泄露。但是在目前的IP網絡時代，黑客可以利用遠端電腦輕易侵入IP SS7網絡，獲取用戶信息。這就使得攻擊者可以遠程竊聽立法者、公司高管、軍方人員、激進分子和其他人士通話。值得注意的是，通過劫持用戶的短信和通話，攻擊者也就能夠獲取其他服務通過短信發送的雙因子身份驗證登錄碼。已經獲取用戶名和密碼的攻擊者即能在用戶收到驗證碼之前攔截，登錄賬戶。

而誰可以登入SS7呢？全世界數百家電信公司都可以。政府情報機構可以訪問這一網絡，無論電信公司允許與否。商業公司可以將SS7電話追蹤服務售賣給政府和其他客戶。有能力收買電信員工的犯罪團伙同樣可以使用SS7，攻破了有漏洞的SS7設備的黑客也能登入SS7。

圖1是黑客通過SS7信令網絡獲取用戶信息后攔截并竊聽用戶通話的流程示意圖：

在移動網絡中，有兩個關鍵網元存儲有用戶的關鍵數據信息，他們是HLR（Home Location Register，歸屬位置寄存器）和MSCS（Mobile Switching Centres，移動交換中心）。由于SS7基于信任的網絡，所以目前主流HLR和MSCS都很容易泄露用戶關鍵數據信息。

黑客通過SS7信令網可以竊取到的用戶關鍵信息如下：

IMSI：國際移動用戶識別碼，是識別移動用戶的標志，IMSI在全網和全球中是唯一的（當然，非法制造商也可能造出IMSI相同的SIM卡），一般在入網和TMSI更新失敗時使用。

TMSI：臨時移動用戶識別碼，它是IMSI的臨時“代表”，出于IMSI的安全考慮，為盡量避免在空中接口傳遞IMSI，由VLR（Visiting Location Registers，拜訪位置寄存器）給用戶分配，TMSI在當前VLR中是唯一的。

位置信息：包括移動用戶當前注冊的網絡MSC/VLR信息，無線小區ID。

簽約信息：用戶在HLR中的簽約數據信息。

圖2是兩個移動運營商網絡間信令互通示意圖，由于SS7網絡的天然特性，所以網絡間SS7以及MAP都缺乏網元相互鑒權的機制和流程，所以黑客可以通過公共SS7網絡切入到運營商的核心網SS7信令網絡中，獲取用戶的關鍵信息，并監聽控制用戶的語音和短信業務。

為了防止用戶個人信息泄露造成正常業務被竊聽，核心網存儲用戶信息的關鍵網元HLR和MSCS需要進行信令增強，確保用戶信息安全。下文將介紹針對HLR用戶位置寄存器的可能攻擊場景及安全增強思路建議。

4 核心網HLR安全增強方案

4.1 可能的攻擊場景

HLR用戶歸屬位置寄存器在移動網絡中用以保存用戶的關鍵信息，包括用戶識別信息、鑒權信息、用戶簽約信息和用戶位置信息?；诋斍熬W絡架構漏洞，黑客一般會通過SS7或者MAP信令對HLR實施非法攻擊，攻擊手段如下：

◆偽裝成服務網元

攻擊者偽裝成網絡中的服務網元節點，非法獲取SS7接口的信令消息和控制消息。

◆偽裝成用戶

攻擊者偽裝成用戶來使用被攻擊者的服務。

◆拒絕服務

攻擊者可能會頻繁嘗試某種特定用戶，造成網絡擁塞，進而阻礙正常用戶的業務進行。

4.2 信令增強方案

（1）增強網元間MAP消息鑒權

業務網元間MAP ATI（anyTime Interrogation，任意時間查詢）流程如圖3所示：

針對黑客模擬成業務網元，通過MAP ATI向HLR獲取用戶的IMSI、MSC/VLR、Cell ID、IMEI等敏感信息的情況，HLR可以有如下防護措施：

◆完全禁止MAP ATI請求；

◆限制MAP ATI請求，只對已經配置為信任的對端網元GT地址的網元運行MAP ATI請求和回響應。

業務網元間MAP-SRI-for-SMS向HLR發送請求路由信息，獲取用戶的IMSI、MSC/VLR信息的消息流程如圖4所示：

針對黑客模擬成業務網元，通過MAP-SRI-for-SMS向HLR發送請求路由信息，獲取用戶的IMSI、MSC/VLR信息。HLR可以有如下防護措施：

◆限制MAP-SRI-for-SMS請求，只對已經配置為信任的對端網元GT地址的網元運行MAP ATI請求和回響應。

◆在MAP-SRI-for-SMS消息中過濾SMSC地址，防止非法SMSC查詢。

◆部署SMS短消息網關路由器，外網只能看到短消息網關路由器，HLR對外網短消息中心不可見。

網元間MAP消息還有很多，需要移動運營商和設備商詳細分析，有針對性給出安全增強方案，切實防護用戶信息非法泄露。

（2）增強對用戶的消息鑒權

黑客模擬成用戶向HLR發送MAP位置更新請求消息流程如圖5所示：

針對黑客模擬成用戶向HLR發送MAP位置更新請求消息，獲取用戶簽約信息和用戶位置信息的情況。HLR可以有如下安全增強防護措施：

◆對漫游控制配置更精確的MSC/VLR地址信息或者前綴。

◆限制MAP LU請求，只對已經配置為信任的對端網元GT地址的網絡發來的MAP LU請求回響應。

（3）拒絕服務類增強

黑客可能模擬周邊網元，向HLR發送過負荷的信令請求消息，造成HLR無法處理正常的用戶業務請求。針對這種攻擊，信令網可以考慮如下網絡安全增強：

◆實時監控拜訪地信令業務請求消息情況；

◆對信令消息異常的拜訪地網元設置黑名單以禁止消息發送。

黑客可能會偽裝成HLR向MSC/SGSN發送HLR Reset消息，造成信令網絡風暴。針對這種攻擊，信令網可以考慮如下網絡增強：

◆限制從他網發送的HLR Reset消息；

◆檢查HLR Reset消息中源GT地址和HLR GT地址，規避虛假消息。

5 結束語

SS7信令網絡IP化改造后，由于自身協議架構的漏洞，很容易被黑客攻擊。而通過增強移動網絡MAP消息的鑒權，對MAP消息流程進行適當的改造或者增加消息訪問限制，可以顯著地增強SS7網絡安全性，有效地保護用戶信息安全。IP化網絡一方面簡化了網絡部署，增強了網絡靈活性，另一方面也引入了新的網絡安全風險。增強IP網絡安全，切實保護用戶信息，提高網絡可靠性，是一個永恒的話題，需要從業各方認真分析研究，針對新網絡新形式，不斷提高網絡安全。

參考文獻：

[1] 3GPP TS 29.204. Signalling System No. 7 （SS7） security gateway； Architecture， functional description and protocol details[S]. 2015.

[2] 3GPP TS 29.002. Mobile Application Part （MAP） specification[S]. 2015.

[3] 3GPP TS 33.102 V13.0.0. 3G Security； Security architecture （Release 13）[S]. 2016.

[4] 3GPP TS 33.203. 3G security； Access security for IP-based services[S]. 2016.

[5] 3GPP TS 33.204. 3G Security； Network Domain Security （NDS）； Transaction Capabilities Application Part （TCAP） user security[S]. 2016.

[6] 3GPP TS 33.200. 3G Security； Network Domain Security （NDS）； Mobile Application Part （MAP） application layer security[S]. 2015.

[7] 3GPP TS 23.002 V13.7.0. Network Architecture （Release 13）[S]. 2016.

[8] 3GPP TS 23.003 V13.7.0. Numbering， addressing and identification （Release 13）[S]. 2016.

[9] 劉建偉，王育民. 網絡安全——技術與實踐[M]. 北京： 清華大學出版社， 2005.

[10] 朱可云，俞定玖，湯紅波. 增強的七號信令安全網關及信令防護技術研究[J]. 信息工程大學學報， 2010（5）： 513-516. ★