设备标识和呼叫编号。呼叫标识隐含着网络设备及其相互连接关系,在现有的网络规划和实际运行中,呼叫标识一般是一对一的静态配置。通过分析信令消息所携带的呼叫标识,很容易提取出网络拓扑结构和业务关系。用户信息是通信过程中主叫用户、被叫用户双方的属性参数,包括用户电话号码或网络地址等。用户信息封装在信令消息中,作为通信重要参数通过信令进行传递,用来对呼叫进行鉴权认证和地址翻译,指引呼叫控制设备进行路由选择和建立呼叫连接。通过分析大量的用户信息,可以了解掌握网络中的用户构成、数量和相互间的通联关系等敏感信息。在标准的信令流程设计中,用户信息一般通过一个信令消息集中携带(例如呼叫建立消息),其好处是可以简化通信控制过程、提高呼叫接续效率,但不足是攻击者只需截获每个呼叫业务的一条信令消息而无需截获完整信令流程,就可能达到窃取用户敏感信息或据此实施其它攻击的目的。信令通道是指用于传递信令数据的网络路径。出现信令传送服务均衡原则和管理便利的目的,信令传送通道一般与信令来源、目的地及媒体端口标识静态绑定,除非信令通道发生拥塞或故障,否则同类呼叫的信令路径相对固定。这种特性在给网络运营者带来“有序、便利”的同时,也留下了较大的安全隐患,攻击者只需在一定时间内对截获的信令数据进行跟踪分析,即可发现规律并加以利用,下面通过实施例进行详细介绍。
[0015]实施例一,参见图1所示,一种电信网信令安全主动防护方法,包含如下步骤: 步骤1.异构协议动态切换,信令数据在交互过程中,根据电信网异构呼叫控制协议的共性要素生成包含基本流程、消息和参数的伪协议,呼叫控制时,在呼叫控制逻辑上采用伪协议进行交互,在物理承载上随机动态选择电信网异构呼叫控制协议进行呼叫控制,其中,共性要素主要指形式和称呼不同但含义和作用相同的命令和参数等的要素;
步骤2.呼叫标识虚拟化,建立与呼叫标识组相对应的虚拟呼叫标识,呼叫标识组包含多个具有不同源信令设备、目的信令设备及呼叫编号的呼叫标识,呼叫启动时,源信令设备与目的信令设备采用虚拟呼叫标识完成握手,其后则由两信令设备根据虚拟呼叫标识所对应的呼叫标识组随机可变地选择呼叫标识组中某个呼叫标识进行后续的信令消息交互和呼叫识别,呼叫从开始到结束都使用同一个三元组以标识同一次呼叫,本方法则分配多个不同三元组来标识同一次呼叫,将呼叫标识从现有的一对一的关系变为多对一的关系,从而实现呼叫标识的虚拟化;
步骤3.用户信息打散携带,信令控制中强制将主叫用户信息和被叫用户信息分离并结合步骤2中的虚拟呼叫标识,解除同一呼叫信令流中不同信令消息间的耦合性,首先通过虚拟呼叫标识来解除同一次呼叫涉及的信令流中不同信令消息间基于呼叫标识的关联,其次通过将一般在同一个消息中携带的主叫与被叫用户信息分开并在不同的消息中携带,从而进一步主叫和被叫用户信息之间的关联;
步骤4.信令多通道传送,基于异构呼叫控制协议,信令节点间建立不同类型的信令传送通道,针对同一类型的信令传动通道,对其两端的信令设备配置多个信令地址,由信令设备双方建立信令通道动态切换机制,结合步骤I中的异构协议动态切换,在信令数据传送中依据预制策略随机改变同向呼叫或同源同宿呼叫的信令流所使用的信令通道类型及物理路径,其中,预知策略包括根据不同时间段或不同的呼叫次数动态改变所采用信令协议及其路由。
[0016]实施例二,与实施例一基本相同,不同之处在于:所述步骤3中还包含针对敏感用户,将主叫用户信息或被叫用户信息拆分多段,通过不同的信令消息携带传送。
[0017]实施例三,与实施例一基本相同,不同之处在于:步骤I中所述电信网异构呼叫控制协议包含七号信令TUP和ISUP协议、BICC协议、SIP协议。
[0018]实施例四,与实施例一基本相同,不同之处在于:步骤2中呼叫标识虚拟化依据七号信令多点码和IP端口多地址建立与呼叫标识组相对应的虚拟呼叫标识,虚拟呼叫标识与呼叫标识组具有相同的编码及分配方式。
[0019]本发明并不局限于上述【具体实施方式】,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
【主权项】
1.一种电信网信令安全主动防护方法,其特征在于:包含如下步骤: 步骤1.异构协议动态切换,信令数据在交互过程中,根据电信网异构呼叫控制协议的共性要素生成包含基本流程、消息和参数的伪协议,呼叫控制时,在呼叫控制逻辑上采用伪协议进行交互,在物理承载上随机动态选择电信网异构呼叫控制协议进行呼叫控制; 步骤2.呼叫标识虚拟化,建立与呼叫标识组相对应的虚拟呼叫标识,呼叫标识组包含多个具有不同源信令设备、目的信令设备及呼叫编号的呼叫标识,呼叫启动时,源信令设备与目的信令设备采用虚拟呼叫标识完成握手,其后则由两信令设备根据虚拟呼叫标识所对应的呼叫标识组随机可变地选择呼叫标识组中某个呼叫标识进行后续的信令消息交互和呼叫识别; 步骤3.用户信息打散携带,信令控制中强制将主叫用户信息和被叫用户信息分离并结合步骤2中的虚拟呼叫标识,解除同一呼叫信令流中不同信令消息间的耦合性; 步骤4.信令多通道传送,基于异构呼叫控制协议,信令节点间建立不同类型的信令传送通道,针对同一类型的信令传动通道,对其两端的信令设备配置多个信令地址,由信令设备双方建立信令通道动态切换机制,结合步骤I中的异构协议动态切换,在信令数据传送中依据预制策略随机改变同向呼叫或同源同宿呼叫的信令流所使用的信令通道类型及物理路径。
2.根据权利要求1所述的电信网信令安全主动防护方法,其特征在于:所述步骤3中还包含针对敏感用户,将主叫用户信息或被叫用户信息拆分多段,通过不同的信令消息携带传送。
3.根据权利要求1所述的电信网信令安全主动防护方法,其特征在于:步骤I中所述电信网异构呼叫控制协议包含七号信令TUP和ISUP协议、BICC协议、SIP协议。
4.根据权利要求1所述的电信网信令安全主动防护方法,其特征在于:步骤2中呼叫标识虚拟化依据七号信令多点码和IP端口多地址建立与呼叫标识组相对应的虚拟呼叫标识,虚拟呼叫标识与呼叫标识组具有相同的编码及分配方式。
【专利摘要】本发明涉及一种电信网信令安全主动防护方法,通过对信令数据在承载的协议种类、呼叫标识、携带参数和传送通道进行多维一体的动态等价变换,使得同一呼叫或不同呼叫中涉及的控制信令,在时空域上失去其固有的相似性和确定性,呈现出多样化、动态化和随机化,形成针对信令攻击的主动防护能力。本发明以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为具备了很好地提前发现和预防能力,在不改变信令协议格式规范的前提下,引入信令数据多层次动态等价变换机制,使信令数据对通信双方之外的第三方在时空域上呈现出无规律性和跳变性,加大网络攻击者截获和正确重组还原信令信息的难度,达到提升电信网信令安全防护能力的目的。
【IPC分类】H04L29-06
【公开号】CN104869116
【申请号】CN201510238600
【发明人】马宏, 黄海, 朱宇航, 李英乐, 李星, 李鹏, 郑修猛
【申请人】中国人民解放军信息工程大学
【公开日】2015年8月26日
【申请日】2015年5月12日