电信网信令安全主动防护方法

电信网信令安全主动防护方法
【技术领域】
[0001]本发明涉及通信技术领域，特别涉及一种电信网信令安全主动防护方法。
【背景技术】
[0002]针对当前基于事后统计规律被动地发现和阻断已经发生的信令攻击行为的电信网信令信息实施安全防护方法对以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为并不具备发现和预防能力的问题，本发明提供了一种电信网信令安全主动防护方法，用以解决上述技术问题。本发明为电信网信令安全防护提供一种新的解决方案。相关方法适用于采用PSTN、软交换等各种技术体制，具有高安全等级要求的专用电信网络的建设或安全性能升级。通信信令是电信网的控制信号，各类电信业务都是在信令的控制和引导下完成呼叫接续和通信过程。信令中携带大量与网络拓扑、通信个体行为密切相关的信息。以基本的电话呼叫为例，从呼叫开始到呼叫结束的过程中，电话交换设备间需要通过信令交互传递网络路由及信道地址、业务种类及媒体编解码格式、终端种类及身份标识、主叫用户号码、被叫用户号码、呼叫开始时间、结束时间等信息。对这些信息进行分析统计即可了解掌握电信网的核心网元配置分布、网络规模与拓扑结构、业务路由构成及资源配备、用户号段编配及用户数量等网络关键信息，还可掌握电信用户的通信地址、个人习惯与行为规律、社会关系等私密信息。网络攻击者一旦掌握这些信息，不仅有助于针对网络核心区域、关键节点设备实施扰乱致瘫等攻击活动，还可借助信令引导，针对目标电信用户实施通信窃听、业务劫持或拒绝服务攻击等不法网络行为。
[0003]目前，针对电信网信令信息实施安全防护的主要方法有异常信令监测、异常信令流量管控、信令黑白名单鉴权等，这些方法都是基于事后的统计规律被动地发现和阻断已经发生的信令攻击行为，对于以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为并不具备发现和预防能力。

【发明内容】

[0004]针对现有技术中的不足，本发明提供一种电信网信令安全主动防护方法，适用于采用PSTN、软交换等技术体制，具有高安全等级要求的专用电信网络的建设或安全性能升级等。
[0005]按照本发明所提供的设计方案，一种电信网信令安全主动防护方法，包含如下步骤:
步骤1.异构协议动态切换，信令数据在交互过程中，根据电信网异构呼叫控制协议的共性要素生成包含基本流程、消息和参数的伪协议，呼叫控制时，在呼叫控制逻辑上采用伪协议进行交互，在物理承载上随机动态选择电信网异构呼叫控制协议进行呼叫控制；
步骤2.呼叫标识虚拟化，建立与呼叫标识组相对应的虚拟呼叫标识，呼叫标识组包含多个具有不同源信令设备、目的信令设备及呼叫编号的呼叫标识，呼叫启动时，源信令设备与目的信令设备采用虚拟呼叫标识完成握手，其后则由两信令设备根据虚拟呼叫标识所对应的呼叫标识组随机可变地选择呼叫标识组中某个呼叫标识进行后续的信令消息交互和呼叫识别；
步骤3.用户信息打散携带，信令控制中强制将主叫用户信息和被叫用户信息分离并结合步骤2中的虚拟呼叫标识，解除同一呼叫信令流中不同信令消息间的耦合性；
步骤4.信令多通道传送，基于异构呼叫控制协议，信令节点间建立不同类型的信令传送通道，针对同一类型的信令传送通道，对其两端的信令设备配置多个信令地址，由信令设备双方建立信令通道动态切换机制，结合步骤I中的异构协议动态切换，在信令数据传送中依据预制策略随机改变同向呼叫或同源同宿呼叫的信令流所使用的信令通道类型及物理路径。
[0006]所述步骤3中还包含针对敏感用户，将主叫用户信息或被叫用户信息拆分多段，通过不同的信令消息携带传送。
[0007]步骤I中所述电信网异构呼叫控制协议包含七号信令TUP和ISUP协议、BICC协议、SIP协议。
[0008]步骤2中呼叫标识虚拟化依据七号信令多点码和IP端口多地址建立与呼叫标识组相对应的虚拟呼叫标识，虚拟呼叫标识与呼叫标识组具有相同的编码及分配方式。
[0009]本发明的有益效果:
1.本发明通过对信令数据在承载的协议种类、呼叫标识、携带参数和传送通道等方面进行多维一体的动态等价变换，使得同一呼叫或不同呼叫中涉及的控制信令，无论从信令消息本身的参数结构、语义等方面，还是从信令流的构成、传送模式等方面，都在时空域上失去其固有的相似性和确定性，呈现出多样化、动态化和随机化，使攻击者即便截获了信令数据，也很难对大量离散、无规律的数据进行正确的重组和还原，从而形成针对信令攻击的主动防护能力，提高网络信息安全保障水平。
[0010]2.本发明针对既有的电信业务在信令生成与传送机制上面向所有网络角色呈现出有序性和规律性及容易被网络攻击者加以利用的特性，在不改变信令协议格式规范的前提下，引入信令数据多层次动态等价变换机制，使信令数据对通信双方之外的第三方在时空域上呈现出无规律性和跳变性，从而加大网络攻击者有效截获和正确重组还原信令信息的难度，达到提升电信网信令安全防护能力的目的，适用于研制各类安全型电信网呼叫控制设备、信令网关设备等。
[0011]3.本发明以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为具备了很好地提前发现和预防能力。该方法针对既有的电信业务在信令生成与传送机制上面向所有网络角色呈现出有序性和规律性，容易被网络攻击者加以利用的特性，在不改变信令协议格式规范的前提下，引入信令数据多层次动态等价变换机制，使信令数据对通信双方之外的第三方在时空域上呈现出无规律性和跳变性，从而加大网络攻击者有效截获和正确重组还原信令信息的难度，达到提升电信网信令安全防护能力的目的。
[0012]【附图说明】:
图1为本发明电信网信令安全主动防护方法工作原理示意图。
[0013]【具体实施方式】:
下面结合附图和技术方案对本发明作进一步详细的说明，并通过优选的实施例详细说明本发明的实施方式，但本发明的实施方式并不限于此。
[0014]异构协议动态切换、呼叫标识虚拟化、用户信息打散携带和信令通道动态切换技术，对信令数据在承载的协议种类、呼叫标识、携带参数和传送通道等方面进行多层次动态等价变换，以建立电信网信令控制与传送动态性和第三方视图上无序性的技术原理。常用的电信网呼叫控制协议包括七号信令TUP和ISUP协议、BICC协议、SIP协议等，它们有不同的消息集、不同的消息结构、不同的参数种类以及不同的消息编码方式等，但在交互过程和交互的信息要素上，不同协议间存在共性，可以此为基础，抽象出包含基本流程、消息和参数的“伪协议”。呼叫建立时，在呼叫控制逻辑上采用“伪协议”进行交互，但在物理承载时根据当前安全策略随机选取各种真实协议进行封装，从而实现针对不同呼叫甚至同一呼叫的不同控制过程，可随机选择异构信令协议进行呼叫控制。通过异构协议动态切换机制，一方面可在信令信息层面呈现出多样化和随机性，增大攻击者利用信令数据分析掌握网络关键参数和用户私密信息的难度，另一方面也可有效避免攻击者利用某种信令协议可能存在的漏洞发起信令攻击而带来的网络安全风险。呼叫标识是信令控制过程中用于区分不同呼叫并在一定的时间和空间范围内唯一确定一个呼叫的一组相关标签信息，通常包含三个基本要素:源信令设备标识、目的信令