基于規則和狀態檢測技術的七號信令網絡邊界防護設備的設計與實現*

高 燕，張 睿

（中國電子科技集團公司第三十研究所，四川 成都 610041）

基于規則和狀態檢測技術的七號信令網絡邊界防護設備的設計與實現*

高 燕，張 睿

（中國電子科技集團公司第三十研究所，四川 成都 610041）

七號信令網作為電信網的神經網絡，是電信網的重要支撐，其安全防護是電信網安全防護體系的重要組成部分。在當前電信網逐步開放和融合的大背景下，原本封閉的七號信令網正面臨著來自網絡內外的巨大安全威脅。為應對目前電信網中SS7信令系統面臨的安全威脅，研究提出了一種基于規則和狀態檢測技術的七號信令網絡邊界防護設備實現方案。該方案基于規則過濾、實時監控、分區隔離、透明傳輸、攻擊防御、狀態機過濾等關鍵技術，可應用于SS7信令網邊界防護，有效解決SS7信令安全問題。

SS7；規則檢測；攻擊防御；安全審計

0 引 言

電信網絡作為構建信息化社會不可或缺的重要基礎承載網絡，是國家關鍵基礎設施的重要組成部分。七號信令網作為電信網的神經網絡，是電信網的重要支撐，其安全防護是電信網安全防護體系的重要組成部分。七號信令網絡最初作為封閉網絡來設計，整個網絡歸少數幾個運營商所有，外部無法訪問，各實體高度信任，網絡設計的重點是可靠性和效率，缺乏安全方面的考慮。SS7標準被普遍采納、信令協議完全公開、協議各層消息也完全透明，使其內容定義及通信者的身份很容易被攻擊者通過竊聽的方法獲得。目前，對七號信令網絡的安全防護手段主要有三種，即創建新的安全的七號信令體系、采用加密手段在七號信令網絡內部進行加固和使用邊界防護設備。從綜合角度考慮，使用邊界防護設備無疑是最具性價比的解決方案。本文提出的基于規則和入侵檢測的邊界防護設備就是針對以上情況設計、實現的。經試驗，本設備可以在不影響網絡本身業務穩定性的基礎上為七號信令網絡提供針對外部威脅的防御能力，以保障業務的連續穩定運行。

1 七號信令系統概述

信令系統是通信網的重要組成部分，是用戶及通信中各個節點相互交換信息的共同語言。該系統初始設計的最佳應用是和程控交換機配合，完成數字電信網絡的呼叫接續控制。同時，還考慮到能滿足未來電信網絡對呼叫控制、遠端控制、操作維護等信令的傳送要求，是專門用來傳送電信網節點處理機之間各種信令和信息的一種數據通信形式。

SS7信令系統的總體目標是提供一個國際標準化的通用信令系統。SS7信令系統的通用性決定了整個系統必然包括許多不同的應用功能，且在結構上易于靈活擴展。SS7信令系統采用模塊化的功能結構，實現了一個系統框架內多種應用并存的靈活性。

SS7信令系統從功能上可以分為公用的消息傳遞部分（MTP）和適合不同用戶的獨立的用戶部分（UP）。

消息傳遞部分的功能是作為一個公共傳遞系統，在相對應的兩個用戶部分之間可靠地傳遞信令消息。

用戶部分則是使用消息傳遞部分能力的功能實體。用戶部分主要有電話用戶部分（TUP）、數據用戶部分（DUP）、綜合業務數字網用戶部分（ISUP）、信令連接控制部分（SCCP）、移動通信用戶部分（MAP）、事務處理能力應用部分（TCAP）、操作維護應用部分（OMAP）及信令網維護管理部分。協議體系架構如圖1所示。

2 七號信令網絡安全性分析

SS7網絡并沒有復雜的安全檢測機制。在電信網逐步開放和融合的大背景下，它的安全性受到了來自內部和外部不安全因素的巨大威脅。

2.1 網絡內部威脅分析

在SS7協議棧中，信息傳遞部分（MTP3層）包含網絡拓撲的相關信息，稍作修改，可對信令網產生巨大的影響。而在協議標準中，這些消息的傳遞卻不需經過身份認證，一些特殊的信令網管理消息會改變網絡的狀態，虛假、錯誤的管理消息將會對網絡的服務產生嚴重影響。

而在SS7協議的用戶部分（主要是TUP或ISUP）中并沒有包含能夠顯著危及信令網的信息，只有通信服務的相關信息。但是，這些消息可以被利用而破壞正常的通信服務，進而導致信令網進入維護狀態，致使電信業務質量大大降低。

2.2 網絡外部威脅分析

網絡融合是通信發展的趨勢，NGN（下一代網絡）采用控制與承載、業務與傳遞分離的方式，實現了開放的網絡結構，使網絡可靈活、快速地提供各種新業務，滿足多樣、個性化業務需求。NGN的出現，很大程度上推動了網絡的發展。

SS7網絡和IP網使用信令網關來融合互通。信令網關是SS7網絡和IP網邊緣接收和發送信令消息的信令代理，對信令消息進行中繼、翻譯或終結處理。

NGN開放性、融合性給我們帶來便利的同時，也給SS7網絡帶來更大的安全隱患。由于SS7網絡幾乎沒有任何安全措施，因此即使最簡單的來自互聯網的黑客手段都可能對SS7網絡造成破壞。

3 七號信令網絡邊界防護設備設計

為應對目前通信系統中SS7信令系統面臨的安全威脅，SS7信令網邊界防護設備基于規則過濾、實時監控、分區隔離、透明傳輸技術、攻擊防御、狀態機過濾等關鍵技術，可應用于SS7信令網邊界防護，有效保障正常通信，提高網間去話接通率，解決通信系統SS7信令安全問題。

3.1 硬件設計方案

SS7信令網邊界防護設備采用高可靠性的CPCI工控機平臺搭載CPCI接口的七號信令處理單元的方式實現。七號信令處理單元的設計原理圖如圖2所示。

數字中繼信號經E1接口模塊完成碼型變換、時鐘提取、幀同步等工作后，進入硬件時隙交換矩陣完成時隙分離及其合并。

圖2 CPCI數字中繼板卡硬件原理

信令時隙經由矩陣交換至專用信令處理DSP，完成HDLC鏈路編碼、HDLC鏈路解碼等任務，形成信令消息字節流，在該DSP內完成七號信令消息單元定界、差錯檢測、差錯校正、初始定位、流量控制等第二層處理，并且完成消息識別、消息路由、消息分發等第三層處理。

圖3 邊界防護設備路由與規則配置功能

同時，話路時隙經由矩陣交換到語音處理DSP陣列，完成錄音、放音、DTMF收號、DTMF發送等語音呼叫功能。通過PCI/CPCI高速總線控制器完成數據交互與硬件控制。

3.2 軟件設計方案

SS7信令網邊界防護設備軟件主要完成路由與規則配置、消息處理以及安全審計等功能。

3.2.1 路由與規則配置功能設計

邊界防護設備對來自外部網絡（接入網絡）信令消息的路由標記（包括源點碼、目的點碼）進行合法性檢測的依據是路由過濾規則。路由過濾規則是根據安防設備的路由表生成的。因此，防護設備的路由表應該參照被保護節點相同的路由表進行設置，才能保證來自外部的合法的信令消息不被阻斷，而順利到達被保護節點。圖3為邊界防護設備路由與規則配置功能示意。

其中，過濾規則由以下數據元素組成：

（1）規則名稱，唯一的標識規則。

（2）源點碼/目的點碼，指示信令消息的路由標記。

（3）應用端口，規則起效的邏輯鏈路，以邏輯鏈路號標識。

（4）防護設備行為，指示符合規則的信令消息的處理動作：允許通信、禁止通信和報警記錄。

3.2.2 消息處理功能設計

消息處理功能防護軟件可檢查ISUP、TUP、MTP3的協議信息，并且監控基于呼叫、鏈路、電路的三種狀態。系統在狀態管理中保存著每條電路、鏈路、呼叫的狀態信息，每個信令提供深層檢測技術。當有信令違反電路、鏈路、呼叫狀態時，對該信令直接丟棄。消息處理流程如圖4所示。

圖4 信令消息處理工作流程

軟件接收到底層（驅動層）發來的消息后，判斷是信令消息還是同步報警消息。如果是同步報警消息則顯示報警內容，如果是信令消息則需進一步處理。

接收到的信令消息又分為MTP2狀態消息和MTP3信令消息。如果是MTP2狀態消息，根據消息類型進行不同的處理。收到指示鏈路“開始服務”的狀態消息，進行狀態的顯示；接收到指示鏈路“退出服務”的狀態消息，進行狀態的顯示。SS7信令網邊界防護設備軟件構造停止狀態命令和啟動狀態命令發送到MTP2（驅動層），控制鏈路先停止再啟動。

對于MTP3信令消息，又分為MTP3測試消息和MTP3信令。如果是MTP3測試消息，則判斷信令消息的點碼位數，進而判斷接收到的信令消息點碼格式與已配置的鏈路點碼格式是否匹配。如果不匹配，則配置錯誤，軟件顯示錯誤報警。如果匹配，則提取消息中的DPC（目的信令點碼）和OPC（源信令點碼），并交換它們在信令消息中的位置（DPC置于OPC位置，OPC置于DPC位置）。完成后，在收到信令消息的鏈路時隙上發送處理后的MTP3測試消息。

對于收到的MTP3信令，首先判斷信令防護功能是否開啟，如果信令防護功能沒有開啟，則顯示消息內容，并在對應的鏈路時隙上發送信令消息，實現信令消息透傳。如果防護功能已打開，且收到信令消息的鏈路已配置為“檢查”（來自外部的信令鏈路），則對信令進行合法性檢驗。

如果信令消息的處理動作為“阻止通行”，則將信令消息碼流、處理動作、日期等元素存儲到數據庫中以備審計。如果處理動作為“報警記錄”，則將信令消息碼流、處理動作、日期等元素存儲到數據庫中以備審計，同時在對應的信令鏈路上發送信令消息，實現消息透傳。如果信令處理動作為“通行”，則直接在對應鏈路上透傳信令消息。

3.2.3 安全審計功能

安全審計功能提供對已存儲信令消息的分類查詢、字段分析和數據管理等功能。當接收到的信令消息的處理動作為“阻止通行”或“記錄報警”時，信令消息碼流、信令接收日期等元素將存儲到數據庫中。

詳細的存儲元素如下：

（1）信令消息二進制碼流。

（2）防火墻行為：阻斷或報警。

（3）檢查類型，如MTP3路由過濾阻斷、呼叫流量攻擊阻斷、非預期消息阻斷等。

（4）消息接收日期。

（5）匹配的規則名稱。

（6）協議類型，如MTP3管理、ISUP、SCCP等。

（7）標題碼。協議相關的消息類型，如ISUP IAM、MTP3 ECO消息等。

（8）信令消息的源、目的點碼。

安全審計功能提供的基本檢索類型包括：按日期檢索、按防火墻行為檢索、按信令消息的源/目的點碼檢索、按協議類型/消息類型檢索。除此之外，還提供任意組合檢索類型的檢索。對于符合檢索類型的信令消息，提供可視化消息分析功能，將消息字段在圖形化界面中進行顯示。

4 試驗情況

在實現邊界防護設備的軟硬件基礎上，將其加入試驗環境，對其安全防護功能和信令消息處理性能進行試驗。圖5為試驗網絡結構圖。

圖5 試驗網絡結構

4.1 安全防護功能測試

在邊界防護設備啟動防護功能前，通過信令發送設備向程控交換設備C發送大量偽造信令，導致A、C設備間的信令傳輸受到嚴重干擾。從圖6中可以看出，設備A的收包統計數據在設備C收到偽造信令消息后出現階梯狀折線。這是由于節點被偽造信令干擾后出現一定時間“休克”，從而在此期間出現了傳輸服務中斷。

圖6 SS7信令網絡受信令干擾導致服務質量下降示意

啟動安全防護設備的信令防護功能，從圖7中可以看出，設備A的收包統計數據不再出現階梯狀折線。這是由于偽造信令被防護設備攔截，信令網的干擾消除，業務功能恢復正常。

圖7 安全防護設備攔截偽造信令，服務質量恢復正常示意

4.2 消息處理能力測試

啟動安全防護設備的防護功能后，對網絡中的信令傳輸時延和語音質量進行測試，以檢驗設備接入后對通信網通信質量的影響。

采用專用性能測試儀器檢測傳輸時延和語音通話時延的結果如表1所示。

從上面測試結果可以看到，接入七號信令邊界防護設備后引入的信令傳輸時延非常小，并且對語音質量不造成影響。

表1 消息處理能力測試結果

5 結 語

隨著網絡融合的不斷發展，信令網開放力度增強，七號信令網將面臨更大安全挑戰。運營商和企業必須有所對策以保護其投資、利潤和服務，選擇一種針對性的七號信令邊界防護設備成為必然。

試驗表明，本文中實現的七號信令邊界防護設備不僅能夠檢測目前復雜的惡意信令攻擊，而且能夠在不影響正常業務的前提下對惡意信令進行實時過濾，可有效地為企業、電信運營商等提供可靠的安全保障，從而為用戶提供安全可靠的網絡環境。

[1] 楊放春,孫其博.軟交換與IMS技術[M].北京:北京郵電大學出版社,2007:307. YANG Fang-chun,SUN Qi-bo.Softswitch and IMS Technology[M].BeiJing:Beijing University of Posts and Telecommunications Press,2007:307.

[2] 樊燦,汪小燕.3G中IP多媒體子系統體系結構[J].通信技術,2002(10):67-69. FAN Can,WANG Xiao-yan.System Architecture of IP Multimedia Subsystem in 3G[J].Communication Technology,2002(10):67-69.

[3] 3GPP.TS 23.002,Network Architecture[S]. American:3GPP:223[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/23_series/23002-5c0.zip.

[4] 3GPP.TS 23.218,IP Multimedia(IM)Session Handling;IM Call Model[S].American:3GPP:108-110[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/23_ series/23218-590.zip.

[5] 李曉濤.基于開放源碼實現緊湊式IMS系統[D].北京:北京郵電大學,2011.LI Xiao-tao.Compact IMS System based on 0pen Source[D].BeiJing:Beijing University of Posts and Telecommunications,2011.

[6] 趙鵬,周生,望玉梅.IMS:移動領域的IP多媒體概念和服務[M].北京:機械工業出版社,2005:234. ZHAO Peng,ZHOU Sheng,WANG Yu-mei.IMS:Mobile Field of IP Multimedia Concepts and Services[M]. BeiJing: China Machine Press,2005:234.

[7] 3GPP.TS 22.140,Service Requirements for 3GPP Generic User Profile[S].American:3GPP:58-60[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/22_ series/22140-540.zip.

[8] 3GPP.TS 22.228,Service Requirements for the Internet Protocol(IP) Multimedia Core Network Subsystem[S]. American:3GPP:22[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/22_series/22228-570.zip.

[9] Core Network Dynamics GmbH.The Open IMS Core is an Open Source Implementation[EB/OL].(2015-7-15)[2016-04-09].http://www.openimscore.org/ documentation/installation-guide/.

[10] 李同康.基于IMS架構的流媒體服務器的研究和應用[D].南京:南京郵電大學,2010. LI Tong-kang.The Research and Application of IMS-based Streaming Media Server[D].NanJing:Nanjing University Of Posts And Telecommunications,2010.

[11] 陳思遠.基于IMS架構的LBS系統的設計與實現[D].廣州:華南理工大學,2010. CHEN Si-yuan.Design and Implementation of LBS System based on IMS Architecture[D].GuangZhou:South China University of Technology,2010.

[12] Ulf Lamping.Wireshark Developer's Guide[EB/OL]. (2014-11-09)[2016-04-25].https://www.wireshark.org/ docs/wsug_html_chunked/.

[13] Canonical Ltd.Ubuntu Server-for Scale out Computing[EB/OL].(2014-09-01)[2016-04-26].http:// developer.ubuntu.com/zh-cn/start/ubuntu-for-devices/ installing-ubuntu-for-devices/.

[14] Oracle Corporation.MySQL 5.1 Reference Manual[EB/ OL].(2015-08-30)[2016-04-30].http://dev.mysql.com/ doc/refman/5.1/en/.

高 燕（1981—），女，學士，工程師，主要研究方向為信令網安全防護；

張 睿（1980—），男，碩士研究生，工程師，主要研究方向為信令網安全防護。

Design and Implementation of Boundary Protection Equipment for SS7 Network based on Rule and State Detection Technology

GAO Yan, ZHANG Rui
(No.30 Institute of CETC,Chengdu Sichuan 610041,China)

As a neural network of telecommunication network, SS7 signalling network is an important support for telecom network, and its security protection also a crucial component of the security protection system for telecommunication network. Under the situation that the telecommunication network is increasingly open and integrated, the originally. closed telecom network now faces a huge security threat from internal and external network.To deal with the security threats against SS7 system, an implementation scheme of boundary protection equipment for SS7 network is proposed. Based on several critical technologies including rule-based filtering, real-time monitoring, partition isolation, transparent transmission, attack defense, state machine filtering, the proposed scheme could be applied to the boundary protection of SS7 network and effectively solving the SS7 security issues.

SS7; rule detection; offense & defense; security audit

TP393.08

A

1002-0802(2016)-07-0943-07

10.3969/j.issn.1002-0802.2016.07.027

2016-03-12;

2016-06-15 Received date:2016-03-12;Revised date:2016-06-15