下一代网络中信令网的安全问题王大健西安财经学院信息与教育技术中心,西安(710043)E-mail:wcwqxj@gmail.com摘要:本论文从下一代电信网络融合出发,通过分析各种相关的协议,对电信网络主要是七号信令网络的安全隐患进行了全面深入的分析。七号信令作为一种被普遍采纳的国际标准,其信令协议是完全公开的,所以其帧信息格式、内容定义及通信者的身分(节点编码、用户号码等),很容易被攻击者通过窃听的方法获得。七号信令协议的每一层都存在很多安全漏洞或脆弱性。根据七号信令协议的结构,MTP3层是网络层,其中信令网管理功能包含网络拓扑相关的信息,稍作修改,可以对信令网有巨大的影响。而在协议里,这些消息不需经过身份认证,所以有远程攻击的漏洞。因此后面会特别重点的分析MTP3这层的安全脆弱性。关键词:下一代网络;7号信令;安全;MTP3;ISUP中图分类号:TN929.11.引言电信网络是一个国家重要的信息基础设施,也是一个国家信息通信的神经枢纽,在现代社会中扮演着非常重要的角色。如果电信网络被攻击并陷入了瘫痪状态,其后果将不堪设想。尤其是在和平建设时期,在军事信息化作战中,电信网络的任何一点漏洞都可能成为对方攻击的目标,并有可能导致全局失败。另外,许多关键的应用内容都在电信网络中传输,电信网络的安全需求也是电信网络所承载的重要关键信息所决定的。许多国家机密信息、商业机密信息和银行金融流通信息都通过“自认为”安全的电信网络来传输。七号信令网是电信网的关键。当电信网络处于绝对封闭的状态时,过去数十年的实践表明,七号信令系统是相对安全的。这主要体现在:电信网是一个可信的封闭网络,从外部发起攻击很难甚至不可能,另外一些如搭线窃听,骚扰电话等低端攻击可以被追查到,而且我国的电信条例第57条明确规定不得利用电信网进行各种破坏活动。但是,随着下一代网络NGN的发展,电信网、互联网和无线网的融合趋势的不断加强,通往电信网的大门已悄然打开,其安全性日益受到挑战。早在2001年,文献[1]明确指出了SS7网缺乏有效的安全机制,并预测随着与互联网和无线网络的融合,它的安全脆弱性将越来越明显,可能使恶意攻击者对电信发动大规模的攻击。但是G.Lorenz等并没有做出详细的实验来证实其猜测。2002年,美国Tulsa大学信息安全中心的T.Moore等人又在IEEE的国际会议上发表了题为《SignalingSystem7(SS7)NetworkSecurity》的论文,再一次指出了电信网与计算机网络互联后可能带来的电信网络安全威胁,但是,这一次作者仍然仅仅是进行了一些理论分析而已。本论文从下一代电信网络融合出发,通过分析各种相关的协议,对电信网络主要是七号信令网络的安全隐患进行了全面深入的分析。2.下一代网络体系结构和协议分析随着技术的演进和市场的发展,传统的电信网络和IP网络[2],无线网络正在融合,以软交换为核心的下一代电信网络NGN已经到来,它具有以下特点:(1)支持多媒体:话音、视频、图形、文本(数据)、动画等。(2)支持各种接入方式的用户:固定POTS用户、ISDN用户、移动用户(GSM、CDMA、WCDMA、GPRS、LMDS、WLAN)、xDSL用户、LAN用户(有线及无线)、HFC用户、电源线接入用户等。(3)采用开放的体系架构和标准,下一代网络强调系统的开放性,采用标准计算机、通信接口/协议,提供开放的API编程接口,允许不同厂家的设备、软件融合在同一平台上。(4)呼叫控制与媒体层和业务层分离,使得新业务的增加更加灵活,响应更快捷,更能接近用户的需求。(5)具有高速物理层、链路层、网络层,网络宽带化,处理速度高速化的特点。随着光通信的快速发展,下一代网络之骨干网将会是全光的世界。下一代网络架构可以分为以下四个层面[3]。(1)业务层:主要用于业务生成、定制、网络管理和认证等。(2)控制层(softswitch):即软交换,完成呼叫控制、地址解析、路由控制、业务提供功能、各种媒体网关控制、计费数据采集以及网间互联等功能。(3)交换层:为各种媒体提供传输通道,并将信息送至目的地。(4)接入层:提供各种网关,使各种用户终端、用户本地网和传统通信网能接入到核心网。NGN网络架构如图1所示。图1下一代网络体系结构3.七号信令协议3.1七号信令的拓扑结构我国七号信令网采用等级结构[4],由高级信令转接点(HSTP)、低级信令转接点(LSTP)和信令点(SP)三级组成,如图2所示:,B双平面结构,平面内各个HSTP网状连接,不同平面间为格状连接。第二级LSTP至少要连接A,B平面内成对地HSTP。每个SP应与两个STP相连,SP间或LSTP间可根据业务量设直达链路。HSTP对应于主信令区,LSTP对应于分信令区。信令区的划分与电话网的行政划分基本一致,即以省、直辖市、自治区为一个主信令区,以地区或地级市为一个分信令区。一个主信令区设置一对HSTP,一个分信令区设置一对LSTP。5.功率控制性能的改善:与cdmaone不同的是cdma2000中的快速功率控制不仅用在反向链路,也用在前向链路中。我国目前的电话网分为五级,即大区中心C1、省中心C2、地区中心C3、县中心C4、端局C5。这些交换局构成信令网的第三级SP。HSTP和LSTP本身不产生信令,只有转接功能。C1和C2应连至本信令区的HSTP,而C3、C4、C5可接至低级信令转接点。3.2七号信令系统功能结构在计算机网络中提出了分层通信结构的思想,制定了OSI七层模型[5]。这个模型的提出主要是解决开放系统的互联的问题。七号信令系统借用了分层模型的思想,利用低层向相邻高层提供服务的方式简化系统设计,制定了四层功能模型。下图3为七号信令系统四级结构与OSI七层模型的对应关系:图3七号信令系统分层结构层为信令数据链路级,它规定了信令链路的物理电气特性及接入方法,提供全双工的双向传输通道。它不涉及具体的传输媒体,可采用光纤、PCM等多种形式,其重要特性就是数据传输的透明性。3.4MTP2层信令链路功能是No.7系统结构中的第二级,它与第一级信令数据链路配合共同保证在直联的两个信令点之间,提供可靠的传送信号消息的信令链路。MTP2层的主要功能包括:(1)信号单元定界:标志信号单元的开始和结束,也就是从信令数据链路的比特流中识别出每个独立的信号单元。(2)信号单元定位:判别开通业务的信令链路是否失去定位(长度不合法、出现非法码型等)。如失去定位将转入信号单元差错率监视过程。(3)差错检测:判断信号单元中的比特流在传送过程中是否出错。(4)差错校正:用重发差错信号单元,来实现差错纠正。有两种差错校正方法,即基本差错校正方法与预防循环重发校正方法。(5)初始定位:与前面的信号单元定位不同,初始定位只用于信令链路的开始启用或故障后的恢复,包括正常初始定位和紧急初始定位。(6)信令链路差错率监视:用来监视信今链路的差错率,保证信令链路对上层的服务质量。(7)流量控制:用来处理第二级检出的拥塞状况,以不使信今链路的拥塞扩散。(8)处理机故障控制:信号消息不能传送到第二级以上的功能级时即认为处理机故障,处理机故障控制用来标志或取消处理机故障状态。3.5MTP3层MTP3即信令网功能级对应OSI模型中的网络层[6]。它定义了关于信令网操作和管理的信令过程。这些过程独立于各个信令链路,是各个信令链路操作公共的控制过程。它由两部分功能组成:信令消息处理和信令网管理功能。其中,信令消息处理功能的作用是引导信令消息到达适当的信令链路或用户部分,它包括消息鉴别、消息分配和消息路由三个子功能;信令网管理功能的作用则是在预先确定的有关信令网状态数据和信息的基础上,控制消息路由或信令网的结构,以便在信令网出现故障时可以控制重新组织网络结构,保存或恢复正常的消息传递能力,它包括信令业务管理、信令路由管理和信令链路管理三个子功能。如下图4所示:层结构消息鉴别模块接收来自第二级的消息,以确定消息的目的地是否是本信令点,若是本信令点,则将消息传给消息分配模块;若目的地不是本信令点,则将消息传给消息路由模块。消息分配模块将消息鉴别发来的消息根据业务指示语SI分配给相应的用户部分以及信令网管理和测试维护部分。消息路由模块利用路由标记中的信息(DPC和SLS),为信令消息选择一条信令链路,以使信令消息能传送到目的地信令点。路由选择时一般以路由表为依据。为了完成信令网管理功能,需要信令点之间的合作和信息交互,因此定义了一些信令网管理消息,如倒换消息,禁止、允许、受限传递消息、管理阻断消息、受控传递消息等等。信令网管理功能中的三个模块需要这些管理消息交互信息和触发管理过程。MTP3与MTP2、MTP1一起组成MTP部分,为用户部分提供可靠的消息传递。3.6ISUP层ISUP是NO.7公共信道信令系统的用户部分(UP)中的一种,它为支持综合业务数字网中话音和非话音用途的基本承载业务和补充业务提供所需的信号功能.ISUP适用于模/数混合网以及电话网和专用的电路交换的数据网.ISUP可满足CCITT规定的国际半自动和自动电话业务和电路交换的数据业务的要求.ISUP有很多的优势,例如:UPMTP2信令网功能信令网管理信令路由管理信令链路管理信令业务管理信令消息处理消息分配消息鉴别消息路由MTP3信令消息流控制和指示–提供多种补充业务:例如,主叫号码显示等补充业务。–计费结算:通过ISUP可以提供丰富的信息来实施计费结算。–信令方式的统一,可以避免信令转换带来的服务质量的降低。–业务开发上,原有TUP协议上增开新业务有一定的困难,但使用ISUP后非常方便。–呼损原因可细化分析。4.七号信令网安全分析七号信令作为一种被普遍采纳的国际标准,其信令协议是完全公开的,所以其帧信息格式、内容定义及通信者的身分(节点编码、用户号码等),很容易被攻击者通过窃听的方法获得。七号信令协议的每一层都存在很多安全漏洞或脆弱性。由于MTP1和MTP2是用来保证消息的可靠传输的,是不会“明白”MSU的信息内容。所以对于整个信令网并没没有什么危害。而且这两层都是由硬件来实现的,很难合法获得直接修改消息的权限。所以不做重点考虑。根据七号信令协议的结构,MTP3层是网络层,其中信令网管理功能包含网络拓扑相关的信息,稍作修改,可以对信令网有巨大的影响。而在协议里,这些消息不需经过身份认证,所以有远程攻击的漏洞。因此后面会特别重点的分析MTP3这层的安全脆弱性。至于用户部分,主要是ISUP,没有包含能够显著危及信令网的信息,只有通信服务的相关信息。但是这些消息可以被利用来破坏正常的通信服务,进而导致信令网进入维护状态,从而达到攻击的目的。5.MTP3的脆弱性分析分析的重点是MTP3信令网功能级,MTP3的主要的任务就是在信令网内传递消息。信令网功能级可分为信令网消息处理和信令网管理两部分。所以,他包含网络拓扑相关的信息。这些信息可以通过MTP3的网络管理功能动态改变。5.1信令消息处理消息鉴别模块接收来自第二级的消息,以确定消息的目的地是否是本信令点,若是本信令点,则将消息传给消息分配模块;若目的地不是本信令点,则将消息传给消息路由模块。消息分配模块将消息鉴别发来的消息根据业务指示语SI分配给相应的用户部分以及信令网管理和测试维护部分。消息路由模块利用路由标记中的信息(DPC和SLS),为信令消息选择一条信令链路,以使信令消息能传送到目的地信令点。路由选择时一般以路由表为依据。为了完成信令网管理功能,需要信令点之间的合作和信息交互,因此定义了一些信令网管理消息,如