電信網(wǎng)信令安全主動防護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別涉及一種電信網(wǎng)信令安全主動防護方法�����。
【背景技術(shù)】
[0002]針對當前基于事后統(tǒng)計規(guī)律被動地發(fā)現(xiàn)和阻斷已經(jīng)發(fā)生的信令攻擊行為的電信網(wǎng)信令信息實施安全防護方法對以獲得網(wǎng)情信息和竊取用戶隱私信息為目的的網(wǎng)絡(luò)攻擊行為或攻擊前期準備行為并不具備發(fā)現(xiàn)和預(yù)防能力的問題�,本發(fā)明提供了一種電信網(wǎng)信令安全主動防護方法�����,用以解決上述技術(shù)問題�。本發(fā)明為電信網(wǎng)信令安全防護提供一種新的解決方案。相關(guān)方法適用于采用PSTN�����、軟交換等各種技術(shù)體制�,具有高安全等級要求的專用電信網(wǎng)絡(luò)的建設(shè)或安全性能升級。通信信令是電信網(wǎng)的控制信號����,各類電信業(yè)務(wù)都是在信令的控制和引導(dǎo)下完成呼叫接續(xù)和通信過程�。信令中攜帶大量與網(wǎng)絡(luò)拓撲�����、通信個體行為密切相關(guān)的信息����。以基本的電話呼叫為例,從呼叫開始到呼叫結(jié)束的過程中�����,電話交換設(shè)備間需要通過信令交互傳遞網(wǎng)絡(luò)路由及信道地址����、業(yè)務(wù)種類及媒體編解碼格式、終端種類及身份標識����、主叫用戶號碼、被叫用戶號碼���、呼叫開始時間����、結(jié)束時間等信息。對這些信息進行分析統(tǒng)計即可了解掌握電信網(wǎng)的核心網(wǎng)元配置分布���、網(wǎng)絡(luò)規(guī)模與拓撲結(jié)構(gòu)、業(yè)務(wù)路由構(gòu)成及資源配備�����、用戶號段編配及用戶數(shù)量等網(wǎng)絡(luò)關(guān)鍵信息���,還可掌握電信用戶的通信地址���、個人習慣與行為規(guī)律、社會關(guān)系等私密信息�����。網(wǎng)絡(luò)攻擊者一旦掌握這些信息���,不僅有助于針對網(wǎng)絡(luò)核心區(qū)域�����、關(guān)鍵節(jié)點設(shè)備實施擾亂致癱等攻擊活動�����,還可借助信令引導(dǎo)��,針對目標電信用戶實施通信竊聽���、業(yè)務(wù)劫持或拒絕服務(wù)攻擊等不法網(wǎng)絡(luò)行為�����。
[0003]目前��,針對電信網(wǎng)信令信息實施安全防護的主要方法有異常信令監(jiān)測��、異常信令流量管控�、信令黑白名單鑒權(quán)等�,這些方法都是基于事后的統(tǒng)計規(guī)律被動地發(fā)現(xiàn)和阻斷已經(jīng)發(fā)生的信令攻擊行為,對于以獲得網(wǎng)情信息和竊取用戶隱私信息為目的的網(wǎng)絡(luò)攻擊行為或攻擊前期準備行為并不具備發(fā)現(xiàn)和預(yù)防能力���。
【發(fā)明內(nèi)容】
[0004]針對現(xiàn)有技術(shù)中的不足���,本發(fā)明提供一種電信網(wǎng)信令安全主動防護方法�,適用于采用PSTN��、軟交換等技術(shù)體制����,具有高安全等級要求的專用電信網(wǎng)絡(luò)的建設(shè)或安全性能升級等。
[0005]按照本發(fā)明所提供的設(shè)計方案����,一種電信網(wǎng)信令安全主動防護方法�,包含如下步驟:
步驟1.異構(gòu)協(xié)議動態(tài)切換,信令數(shù)據(jù)在交互過程中�����,根據(jù)電信網(wǎng)異構(gòu)呼叫控制協(xié)議的共性要素生成包含基本流程���、消息和參數(shù)的偽協(xié)議�,呼叫控制時����,在呼叫控制邏輯上采用偽協(xié)議進行交互,在物理承載上隨機動態(tài)選擇電信網(wǎng)異構(gòu)呼叫控制協(xié)議進行呼叫控制;
步驟2.呼叫標識虛擬化�����,建立與呼叫標識組相對應(yīng)的虛擬呼叫標識����,呼叫標識組包含多個具有不同源信令設(shè)備、目的信令設(shè)備及呼叫編號的呼叫標識�����,呼叫啟動時����,源信令設(shè)備與目的信令設(shè)備采用虛擬呼叫標識完成握手,其后則由兩信令設(shè)備根據(jù)虛擬呼叫標識所對應(yīng)的呼叫標識組隨機可變地選擇呼叫標識組中某個呼叫標識進行后續(xù)的信令消息交互和呼叫識別����;
步驟3.用戶信息打散攜帶,信令控制中強制將主叫用戶信息和被叫用戶信息分離并結(jié)合步驟2中的虛擬呼叫標識�,解除同一呼叫信令流中不同信令消息間的耦合性;
步驟4.信令多通道傳送��,基于異構(gòu)呼叫控制協(xié)議�,信令節(jié)點間建立不同類型的信令傳送通道,針對同一類型的信令傳送通道,對其兩端的信令設(shè)備配置多個信令地址�����,由信令設(shè)備雙方建立信令通道動態(tài)切換機制����,結(jié)合步驟I中的異構(gòu)協(xié)議動態(tài)切換,在信令數(shù)據(jù)傳送中依據(jù)預(yù)制策略隨機改變同向呼叫或同源同宿呼叫的信令流所使用的信令通道類型及物理路徑�。
[0006]所述步驟3中還包含針對敏感用戶,將主叫用戶信息或被叫用戶信息拆分多段���,通過不同的信令消息攜帶傳送�����。
[0007]步驟I中所述電信網(wǎng)異構(gòu)呼叫控制協(xié)議包含七號信令TUP和ISUP協(xié)議、BICC協(xié)議�、SIP協(xié)議。
[0008]步驟2中呼叫標識虛擬化依據(jù)七號信令多點碼和IP端口多地址建立與呼叫標識組相對應(yīng)的虛擬呼叫標識�,虛擬呼叫標識與呼叫標識組具有相同的編碼及分配方式。
[0009]本發(fā)明的有益效果:
1.本發(fā)明通過對信令數(shù)據(jù)在承載的協(xié)議種類����、呼叫標識、攜帶參數(shù)和傳送通道等方面進行多維一體的動態(tài)等價變換,使得同一呼叫或不同呼叫中涉及的控制信令����,無論從信令消息本身的參數(shù)結(jié)構(gòu)、語義等方面�,還是從信令流的構(gòu)成、傳送模式等方面��,都在時空域上失去其固有的相似性和確定性��,呈現(xiàn)出多樣化��、動態(tài)化和隨機化�,使攻擊者即便截獲了信令數(shù)據(jù),也很難對大量離散�����、無規(guī)律的數(shù)據(jù)進行正確的重組和還原����,從而形成針對信令攻擊的主動防護能力,提高網(wǎng)絡(luò)信息安全保障水平�。
[0010]2.本發(fā)明針對既有的電信業(yè)務(wù)在信令生成與傳送機制上面向所有網(wǎng)絡(luò)角色呈現(xiàn)出有序性和規(guī)律性及容易被網(wǎng)絡(luò)攻擊者加以利用的特性,在不改變信令協(xié)議格式規(guī)范的前提下���,引入信令數(shù)據(jù)多層次動態(tài)等價變換機制�,使信令數(shù)據(jù)對通信雙方之外的第三方在時空域上呈現(xiàn)出無規(guī)律性和跳變性,從而加大網(wǎng)絡(luò)攻擊者有效截獲和正確重組還原信令信息的難度�,達到提升電信網(wǎng)信令安全防護能力的目的,適用于研制各類安全型電信網(wǎng)呼叫控制設(shè)備�、信令網(wǎng)關(guān)設(shè)備等。
[0011]3.本發(fā)明以獲得網(wǎng)情信息和竊取用戶隱私信息為目的的網(wǎng)絡(luò)攻擊行為或攻擊前期準備行為具備了很好地提前發(fā)現(xiàn)和預(yù)防能力��。該方法針對既有的電信業(yè)務(wù)在信令生成與傳送機制上面向所有網(wǎng)絡(luò)角色呈現(xiàn)出有序性和規(guī)律性���,容易被網(wǎng)絡(luò)攻擊者加以利用的特性����,在不改變信令協(xié)議格式規(guī)范的前提下�����,引入信令數(shù)據(jù)多層次動態(tài)等價變換機制��,使信令數(shù)據(jù)對通信雙方之外的第三方在時空域上呈現(xiàn)出無規(guī)律性和跳變性���,從而加大網(wǎng)絡(luò)攻擊者有效截獲和正確重組還原信令信息的難度,達到提升電信網(wǎng)信令安全防護能力的目的���。
[0012]【附圖說明】:
圖1為本發(fā)明電信網(wǎng)信令安全主動防護方法工作原理示意圖�����。
[0013]【具體實施方式】:
下面結(jié)合附圖和技術(shù)方案對本發(fā)明作進一步詳細的說明�,并通過優(yōu)選的實施例詳細說明本發(fā)明的實施方式,但本發(fā)明的實施方式并不限于此�。
[0014]異構(gòu)協(xié)議動態(tài)切換、呼叫標識虛擬化����、用戶信息打散攜帶和信令通道動態(tài)切換技術(shù),對信令數(shù)據(jù)在承載的協(xié)議種類���、呼叫標識���、攜帶參數(shù)和傳送通道等方面進行多層次動態(tài)等價變換,以建立電信網(wǎng)信令控制與傳送動態(tài)性和第三方視圖上無序性的技術(shù)原理�����。常用的電信網(wǎng)呼叫控制協(xié)議包括七號信令TUP和ISUP協(xié)議�、BICC協(xié)議、SIP協(xié)議等�����,它們有不同的消息集、不同的消息結(jié)構(gòu)��、不同的參數(shù)種類以及不同的消息編碼方式等���,但在交互過程和交互的信息要素上�,不同協(xié)議間存在共性���,可以此為基礎(chǔ)����,抽象出包含基本流程��、消息和參數(shù)的“偽協(xié)議”��。呼叫建立時�,在呼叫控制邏輯上采用“偽協(xié)議”進行交互,但在物理承載時根據(jù)當前安全策略隨機選取各種真實協(xié)議進行封裝�����,從而實現(xiàn)針對不同呼叫甚至同一呼叫的不同控制過程��,可隨機選擇異構(gòu)信令協(xié)議進行呼叫控制�����。通過異構(gòu)協(xié)議動態(tài)切換機制����,一方面可在信令信息層面呈現(xiàn)出多樣化和隨機性,增大攻擊者利用信令數(shù)據(jù)分析掌握網(wǎng)絡(luò)關(guān)鍵參數(shù)和用戶私密信息的難度���,另一方面也可有效避免攻擊者利用某種信令協(xié)議可能存在的漏洞發(fā)起信令攻擊而帶來的網(wǎng)絡(luò)安全風險����。呼叫標識是信令控制過程中用于區(qū)分不同呼叫并在一定的時間和空間范圍內(nèi)唯一確定一個呼叫的一組相關(guān)標簽信息����,通常包含三個基本要素:源信令設(shè)備標識、目的信令