基于规则和状态检测技术的七号信令网络边界防护设备的设计与实现*

高 燕，张 睿

（中国电子科技集团公司第三十研究所，四川 成都 610041）

基于规则和状态检测技术的七号信令网络边界防护设备的设计与实现*

高 燕，张 睿

（中国电子科技集团公司第三十研究所，四川 成都 610041）

七号信令网作为电信网的神经网络，是电信网的重要支撑，其安全防护是电信网安全防护体系的重要组成部分。在当前电信网逐步开放和融合的大背景下，原本封闭的七号信令网正面临着来自网络内外的巨大安全威胁。为应对目前电信网中SS7信令系统面临的安全威胁，研究提出了一种基于规则和状态检测技术的七号信令网络边界防护设备实现方案。该方案基于规则过滤、实时监控、分区隔离、透明传输、攻击防御、状态机过滤等关键技术，可应用于SS7信令网边界防护，有效解决SS7信令安全问题。

SS7；规则检测；攻击防御；安全审计

0 引 言

电信网络作为构建信息化社会不可或缺的重要基础承载网络，是国家关键基础设施的重要组成部分。七号信令网作为电信网的神经网络，是电信网的重要支撑，其安全防护是电信网安全防护体系的重要组成部分。七号信令网络最初作为封闭网络来设计，整个网络归少数几个运营商所有，外部无法访问，各实体高度信任，网络设计的重点是可靠性和效率，缺乏安全方面的考虑。SS7标准被普遍采纳、信令协议完全公开、协议各层消息也完全透明，使其内容定义及通信者的身份很容易被攻击者通过窃听的方法获得。目前，对七号信令网络的安全防护手段主要有三种，即创建新的安全的七号信令体系、采用加密手段在七号信令网络内部进行加固和使用边界防护设备。从综合角度考虑，使用边界防护设备无疑是最具性价比的解决方案。本文提出的基于规则和入侵检测的边界防护设备就是针对以上情况设计、实现的。经试验，本设备可以在不影响网络本身业务稳定性的基础上为七号信令网络提供针对外部威胁的防御能力，以保障业务的连续稳定运行。

1 七号信令系统概述

信令系统是通信网的重要组成部分，是用户及通信中各个节点相互交换信息的共同语言。该系统初始设计的最佳应用是和程控交换机配合，完成数字电信网络的呼叫接续控制。同时，还考虑到能满足未来电信网络对呼叫控制、远端控制、操作维护等信令的传送要求，是专门用来传送电信网节点处理机之间各种信令和信息的一种数据通信形式。

SS7信令系统的总体目标是提供一个国际标准化的通用信令系统。SS7信令系统的通用性决定了整个系统必然包括许多不同的应用功能，且在结构上易于灵活扩展。SS7信令系统采用模块化的功能结构，实现了一个系统框架内多种应用并存的灵活性。

SS7信令系统从功能上可以分为公用的消息传递部分（MTP）和适合不同用户的独立的用户部分（UP）。

消息传递部分的功能是作为一个公共传递系统，在相对应的两个用户部分之间可靠地传递信令消息。

用户部分则是使用消息传递部分能力的功能实体。用户部分主要有电话用户部分（TUP）、数据用户部分（DUP）、综合业务数字网用户部分（ISUP）、信令连接控制部分（SCCP）、移动通信用户部分（MAP）、事务处理能力应用部分（TCAP）、操作维护应用部分（OMAP）及信令网维护管理部分。协议体系架构如图1所示。

2 七号信令网络安全性分析

SS7网络并没有复杂的安全检测机制。在电信网逐步开放和融合的大背景下，它的安全性受到了来自内部和外部不安全因素的巨大威胁。

2.1 网络内部威胁分析

在SS7协议栈中，信息传递部分（MTP3层）包含网络拓扑的相关信息，稍作修改，可对信令网产生巨大的影响。而在协议标准中，这些消息的传递却不需经过身份认证，一些特殊的信令网管理消息会改变网络的状态，虚假、错误的管理消息将会对网络的服务产生严重影响。

而在SS7协议的用户部分（主要是TUP或ISUP）中并没有包含能够显著危及信令网的信息，只有通信服务的相关信息。但是，这些消息可以被利用而破坏正常的通信服务，进而导致信令网进入维护状态，致使电信业务质量大大降低。

2.2 网络外部威胁分析

网络融合是通信发展的趋势，NGN（下一代网络）采用控制与承载、业务与传递分离的方式，实现了开放的网络结构，使网络可灵活、快速地提供各种新业务，满足多样、个性化业务需求。NGN的出现，很大程度上推动了网络的发展。

SS7网络和IP网使用信令网关来融合互通。信令网关是SS7网络和IP网边缘接收和发送信令消息的信令代理，对信令消息进行中继、翻译或终结处理。

NGN开放性、融合性给我们带来便利的同时，也给SS7网络带来更大的安全隐患。由于SS7网络几乎没有任何安全措施，因此即使最简单的来自互联网的黑客手段都可能对SS7网络造成破坏。

3 七号信令网络边界防护设备设计

为应对目前通信系统中SS7信令系统面临的安全威胁，SS7信令网边界防护设备基于规则过滤、实时监控、分区隔离、透明传输技术、攻击防御、状态机过滤等关键技术，可应用于SS7信令网边界防护，有效保障正常通信，提高网间去话接通率，解决通信系统SS7信令安全问题。

3.1 硬件设计方案

SS7信令网边界防护设备采用高可靠性的CPCI工控机平台搭载CPCI接口的七号信令处理单元的方式实现。七号信令处理单元的设计原理图如图2所示。

数字中继信号经E1接口模块完成码型变换、时钟提取、帧同步等工作后，进入硬件时隙交换矩阵完成时隙分离及其合并。

图2 CPCI数字中继板卡硬件原理

信令时隙经由矩阵交换至专用信令处理DSP，完成HDLC链路编码、HDLC链路解码等任务，形成信令消息字节流，在该DSP内完成七号信令消息单元定界、差错检测、差错校正、初始定位、流量控制等第二层处理，并且完成消息识别、消息路由、消息分发等第三层处理。

图3 边界防护设备路由与规则配置功能

同时，话路时隙经由矩阵交换到语音处理DSP阵列，完成录音、放音、DTMF收号、DTMF发送等语音呼叫功能。通过PCI/CPCI高速总线控制器完成数据交互与硬件控制。

3.2 软件设计方案

SS7信令网边界防护设备软件主要完成路由与规则配置、消息处理以及安全审计等功能。

3.2.1 路由与规则配置功能设计

边界防护设备对来自外部网络（接入网络）信令消息的路由标记（包括源点码、目的点码）进行合法性检测的依据是路由过滤规则。路由过滤规则是根据安防设备的路由表生成的。因此，防护设备的路由表应该参照被保护节点相同的路由表进行设置，才能保证来自外部的合法的信令消息不被阻断，而顺利到达被保护节点。图3为边界防护设备路由与规则配置功能示意。

其中，过滤规则由以下数据元素组成：

（1）规则名称，唯一的标识规则。

（2）源点码/目的点码，指示信令消息的路由标记。

（3）应用端口，规则起效的逻辑链路，以逻辑链路号标识。

（4）防护设备行为，指示符合规则的信令消息的处理动作：允许通信、禁止通信和报警记录。

3.2.2 消息处理功能设计

消息处理功能防护软件可检查ISUP、TUP、MTP3的协议信息，并且监控基于呼叫、链路、电路的三种状态。系统在状态管理中保存着每条电路、链路、呼叫的状态信息，每个信令提供深层检测技术。当有信令违反电路、链路、呼叫状态时，对该信令直接丢弃。消息处理流程如图4所示。

图4 信令消息处理工作流程

软件接收到底层（驱动层）发来的消息后，判断是信令消息还是同步报警消息。如果是同步报警消息则显示报警内容，如果是信令消息则需进一步处理。

接收到的信令消息又分为MTP2状态消息和MTP3信令消息。如果是MTP2状态消息，根据消息类型进行不同的处理。收到指示链路“开始服务”的状态消息，进行状态的显示；接收到指示链路“退出服务”的状态消息，进行状态的显示。SS7信令网边界防护设备软件构造停止状态命令和启动状态命令发送到MTP2（驱动层），控制链路先停止再启动。

对于MTP3信令消息，又分为MTP3测试消息和MTP3信令。如果是MTP3测试消息，则判断信令消息的点码位数，进而判断接收到的信令消息点码格式与已配置的链路点码格式是否匹配。如果不匹配，则配置错误，软件显示错误报警。如果匹配，则提取消息中的DPC（目的信令点码）和OPC（源信令点码），并交换它们在信令消息中的位置（DPC置于OPC位置，OPC置于DPC位置）。完成后，在收到信令消息的链路时隙上发送处理后的MTP3测试消息。

对于收到的MTP3信令，首先判断信令防护功能是否开启，如果信令防护功能没有开启，则显示消息内容，并在对应的链路时隙上发送信令消息，实现信令消息透传。如果防护功能已打开，且收到信令消息的链路已配置为“检查”（来自外部的信令链路），则对信令进行合法性检验。

如果信令消息的处理动作为“阻止通行”，则将信令消息码流、处理动作、日期等元素存储到数据库中以备审计。如果处理动作为“报警记录”，则将信令消息码流、处理动作、日期等元素存储到数据库中以备审计，同时在对应的信令链路上发送信令消息，实现消息透传。如果信令处理动作为“通行”，则直接在对应链路上透传信令消息。

3.2.3 安全审计功能

安全审计功能提供对已存储信令消息的分类查询、字段分析和数据管理等功能。当接收到的信令消息的处理动作为“阻止通行”或“记录报警”时，信令消息码流、信令接收日期等元素将存储到数据库中。

详细的存储元素如下：

（1）信令消息二进制码流。

（2）防火墙行为：阻断或报警。

（3）检查类型，如MTP3路由过滤阻断、呼叫流量攻击阻断、非预期消息阻断等。

（4）消息接收日期。

（5）匹配的规则名称。

（6）协议类型，如MTP3管理、ISUP、SCCP等。

（7）标题码。协议相关的消息类型，如ISUP IAM、MTP3 ECO消息等。

（8）信令消息的源、目的点码。

安全审计功能提供的基本检索类型包括：按日期检索、按防火墙行为检索、按信令消息的源/目的点码检索、按协议类型/消息类型检索。除此之外，还提供任意组合检索类型的检索。对于符合检索类型的信令消息，提供可视化消息分析功能，将消息字段在图形化界面中进行显示。

4 试验情况

在实现边界防护设备的软硬件基础上，将其加入试验环境，对其安全防护功能和信令消息处理性能进行试验。图5为试验网络结构图。

图5 试验网络结构

4.1 安全防护功能测试

在边界防护设备启动防护功能前，通过信令发送设备向程控交换设备C发送大量伪造信令，导致A、C设备间的信令传输受到严重干扰。从图6中可以看出，设备A的收包统计数据在设备C收到伪造信令消息后出现阶梯状折线。这是由于节点被伪造信令干扰后出现一定时间“休克”，从而在此期间出现了传输服务中断。

图6 SS7信令网络受信令干扰导致服务质量下降示意

启动安全防护设备的信令防护功能，从图7中可以看出，设备A的收包统计数据不再出现阶梯状折线。这是由于伪造信令被防护设备拦截，信令网的干扰消除，业务功能恢复正常。

图7 安全防护设备拦截伪造信令，服务质量恢复正常示意

4.2 消息处理能力测试

启动安全防护设备的防护功能后，对网络中的信令传输时延和语音质量进行测试，以检验设备接入后对通信网通信质量的影响。

采用专用性能测试仪器检测传输时延和语音通话时延的结果如表1所示。

从上面测试结果可以看到，接入七号信令边界防护设备后引入的信令传输时延非常小，并且对语音质量不造成影响。

表1 消息处理能力测试结果

5 结 语

随着网络融合的不断发展，信令网开放力度增强，七号信令网将面临更大安全挑战。运营商和企业必须有所对策以保护其投资、利润和服务，选择一种针对性的七号信令边界防护设备成为必然。

试验表明，本文中实现的七号信令边界防护设备不仅能够检测目前复杂的恶意信令攻击，而且能够在不影响正常业务的前提下对恶意信令进行实时过滤，可有效地为企业、电信运营商等提供可靠的安全保障，从而为用户提供安全可靠的网络环境。

[1] 杨放春,孙其博.软交换与IMS技术[M].北京:北京邮电大学出版社,2007:307. YANG Fang-chun,SUN Qi-bo.Softswitch and IMS Technology[M].BeiJing:Beijing University of Posts and Telecommunications Press,2007:307.

[2] 樊灿,汪小燕.3G中IP多媒体子系统体系结构[J].通信技术,2002(10):67-69. FAN Can,WANG Xiao-yan.System Architecture of IP Multimedia Subsystem in 3G[J].Communication Technology,2002(10):67-69.

[3] 3GPP.TS 23.002,Network Architecture[S]. American:3GPP:223[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/23_series/23002-5c0.zip.

[4] 3GPP.TS 23.218,IP Multimedia(IM)Session Handling;IM Call Model[S].American:3GPP:108-110[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/23_ series/23218-590.zip.

[5] 李晓涛.基于开放源码实现紧凑式IMS系统[D].北京:北京邮电大学,2011.LI Xiao-tao.Compact IMS System based on 0pen Source[D].BeiJing:Beijing University of Posts and Telecommunications,2011.

[6] 赵鹏,周生,望玉梅.IMS:移动领域的IP多媒体概念和服务[M].北京:机械工业出版社,2005:234. ZHAO Peng,ZHOU Sheng,WANG Yu-mei.IMS:Mobile Field of IP Multimedia Concepts and Services[M]. BeiJing: China Machine Press,2005:234.

[7] 3GPP.TS 22.140,Service Requirements for 3GPP Generic User Profile[S].American:3GPP:58-60[2015.7.23]. http://www.3gpp.org/ftp/Specs/2015-06/Rel-5/22_ series/22140-540.zip.

[8] 3GPP.TS 22.228,Service Requirements for the Internet Protocol(IP) Multimedia Core Network Subsystem[S]. American:3GPP:22[2015.7.23].http://www.3gpp.org/ftp/ Specs/2015-06/Rel-5/22_series/22228-570.zip.

[9] Core Network Dynamics GmbH.The Open IMS Core is an Open Source Implementation[EB/OL].(2015-7-15)[2016-04-09].http://www.openimscore.org/ documentation/installation-guide/.

[10] 李同康.基于IMS架构的流媒体服务器的研究和应用[D].南京:南京邮电大学,2010. LI Tong-kang.The Research and Application of IMS-based Streaming Media Server[D].NanJing:Nanjing University Of Posts And Telecommunications,2010.

[11] 陈思远.基于IMS架构的LBS系统的设计与实现[D].广州:华南理工大学,2010. CHEN Si-yuan.Design and Implementation of LBS System based on IMS Architecture[D].GuangZhou:South China University of Technology,2010.

[12] Ulf Lamping.Wireshark Developer's Guide[EB/OL]. (2014-11-09)[2016-04-25].https://www.wireshark.org/ docs/wsug_html_chunked/.

[13] Canonical Ltd.Ubuntu Server-for Scale out Computing[EB/OL].(2014-09-01)[2016-04-26].http:// developer.ubuntu.com/zh-cn/start/ubuntu-for-devices/ installing-ubuntu-for-devices/.

[14] Oracle Corporation.MySQL 5.1 Reference Manual[EB/ OL].(2015-08-30)[2016-04-30].http://dev.mysql.com/ doc/refman/5.1/en/.

高 燕（1981—），女，学士，工程师，主要研究方向为信令网安全防护；

张 睿（1980—），男，硕士研究生，工程师，主要研究方向为信令网安全防护。

Design and Implementation of Boundary Protection Equipment for SS7 Network based on Rule and State Detection Technology

GAO Yan, ZHANG Rui
(No.30 Institute of CETC,Chengdu Sichuan 610041,China)

As a neural network of telecommunication network, SS7 signalling network is an important support for telecom network, and its security protection also a crucial component of the security protection system for telecommunication network. Under the situation that the telecommunication network is increasingly open and integrated, the originally. closed telecom network now faces a huge security threat from internal and external network.To deal with the security threats against SS7 system, an implementation scheme of boundary protection equipment for SS7 network is proposed. Based on several critical technologies including rule-based filtering, real-time monitoring, partition isolation, transparent transmission, attack defense, state machine filtering, the proposed scheme could be applied to the boundary protection of SS7 network and effectively solving the SS7 security issues.

SS7; rule detection; offense & defense; security audit

TP393.08

A

1002-0802(2016)-07-0943-07

10.3969/j.issn.1002-0802.2016.07.027

2016-03-12;

2016-06-15 Received date:2016-03-12;Revised date:2016-06-15