CN105873063B - 一种移动通信网间信令防护方法和装置 - Google Patents

一种移动通信网间信令防护方法和装置 Download PDF

Info

Publication number
CN105873063B
CN105873063B CN201511000493.XA CN201511000493A CN105873063B CN 105873063 B CN105873063 B CN 105873063B CN 201511000493 A CN201511000493 A CN 201511000493A CN 105873063 B CN105873063 B CN 105873063B
Authority
CN
China
Prior art keywords
signaling
message
network
abnormal
bottom access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511000493.XA
Other languages
English (en)
Other versions
CN105873063A (zh
Inventor
赵宇
汤红波
朱可云
彭建华
周磊
秦小刚
陈云杰
赵星
游伟
冯莉
杨梅樾
刘宗海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201511000493.XA priority Critical patent/CN105873063B/zh
Publication of CN105873063A publication Critical patent/CN105873063A/zh
Application granted granted Critical
Publication of CN105873063B publication Critical patent/CN105873063B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种移动通信网间信令防护方法和装置,克服了现有技术中,移动通信安全防护方法和设备仍存在的缺陷。该发明含有外部网络和内部网络,所述外部网络为移动网络,内部网络为目标移动网络实体;外部网络信令转接点STP和内部网络信令转接点STP的接口之间无感接入有底层处理设备,底层接入设备与内外网络信令转接点之间采用标准的七号信令协议;底层接入设备接收信令并转发给设备,该设备通过自定义接口连接有防护设备,该接口传输层采用UDP协议,应用层采用自定义协议。本发明在保证不影响运营商正常业务的情况下,对外部移动运营商网络发起的信令消息进行检测和处理,防御外部网络的恶意干扰行为。

Description

一种移动通信网间信令防护方法和装置
技术领域
该发明涉及移动通信安全防护技术,特别是涉及一种移动通信网间信令防护方法和装置。
背景技术
全球移动通信网是一个互联互通的网络,我国移动运营商已经与国外数百家移动运营商签署了国际漫游协议。根据漫游协议,国内外移动运营商可以通过国际信令网访问对方的用户部分信息,而2G/3G移动信令网的安全机制并不完善,移动网络和用户面临网元设备干扰、用户敏感信息泄露安全威胁。此外,在国内还存在军队、党政部门等各种专用移动通信网,一般建有专有的核心网元设备,结合公众移动通信网提供服务,专用内网与公众外网之间互联互通,对于对网络安全性要求更高的专用网络,同样面临外部网络的安全威胁。
针对以上安全威胁,业界已有相关的防护方法和设备。但是,目前的防护方法和设备对异常信令通常采用告警转发或过滤拦截的方法来处理,存在以下两个问题:
一、由于需要对异常信令进行拦截,以串接方式接入的防护设备一般同时维持如图2所示的两段信令链路,在这种方式下,一旦防护设备出现故障,会导致信令接入设备进入直通状态,其所维护的两段信令链路在物理上变成了直接连接两端STP设备的一段链路,信令链路将进入重定位状态直至同步成功,这种情况下会出现链路闪断,并导致一段时间内的停止服务,在信令流量较大的场景如国际信令链路间则影响更为严重,这是电信运营商难以接受的。
二、告警转发方法只是对异常信令进行了异常检测,发出了警示信息,并没有对异常信令进行具体的操作,对用户安全有即刻受损的风险,而拦截处理导致信令始发方收不到信令响应,实际上影响了正常的通信流程,可能对移动网络通信可靠性和安全性产生影响,本质上是一种有痕的防护方法。
基于此,我们发明了一种移动通信网间信令防护方法和装置。特点是只需要部署在内部网络的STP的入口前端,能够实现对整个网络的保护;底层接入设备采用无感串接的方式,通信过程中即使设备退出也不会存在闪断问题,保证电信业务的高可靠性;防护设备能对异常消息采用灵活的处理方式,根据安全需求和配置,可以修改入口处异常消息为安全的信令消息,针对特定异常消息可以修改其对应的响应消息为安全信令消息,能够保持信令流程的完整性,还能达到无痕的防护效果。
发明内容
本发明解决了现有移动通信安全防护方法和设备仍存在的缺陷,提供一种处理效果较好的移动通信网间信令防护方法和装置。
本发明的技术解决方案是,提供一种具有以下步骤的移动通信网间信令防护方法:含有以下步骤:
步骤1:底层接入设备以无感方式接入到外部网络和内部网络间,外部移动网络发送的信令到底层接入设备;
步骤2:当底层接入设备或防护设备出现宕机情况时,会直接退出两端连接,对现在有网络无影响,实现物理上的直通;此时,外网发向内网的信令直接到达目标设备,如果底层接入设备正常工作时,根据配置规则,将需要检测的信令由底层接入设备发送给防护设备;
步骤3:防护设备对底层接入设备发送的消息时行异常检测。针对一般的异常信令,防护设备将其修改为安全信令;针对信息获取类的异常消息,记录能够标识该会话的信息,包括源和目的GT,调用ID等信息,将该这些信息传递给底层接入设备,将修改过的安全信令消息或者记录了会话标识的信令消息转发到底层接入设备;
步骤4:底层接入设备对由防护设备的信令消息进行转发,修改过的安全信令消息符合网络的协议标准,并不会对正常的网络通信产生影响,正常的信令或者不需要处理的信令消息直接转发到目的实体,已经标识的信息获取类异常消息也转发到目的实体;
步骤5:目标实体将响应消息返回至底层接入设备;
步骤6:对于没有记录标识的正常消息和修改过的安全消息直接转发至始发信息消息的实体,对于记录了标识的响应消息,转发至防护设备进行进一步处理,底层接入设备通过标识信息来识别异常请求消息的响应消息;
步骤7:防护设备将有标识的响应消息修改为安全的信令消息,修改具有敏感信息的必选参数,删除具有敏感信息的可选参数,并将安全的信令消息转发到底层接入设备;
步骤8:底层接入设备将正常信令和安全信令转发至请求方设备。
所述步骤3中防护设备将异常信令修改为安全信令的修改方式包含以下几种:
1)修改MTP3的源点码或者是目的点码为不可达的点码;修改MTP3层的SLS号码为超出范围的号码;
2)修改SCCP层的源GT或者是目的GT为不可达的GT,如原GT为XXXX12345,修改成XXXX54321;
3)修改TCAP层的对话类型或者成分类型为不可用的成分类型;修改调用ID为不可用的ID;
4)修改MAP层的消息,包括修改操作码为不可用的操作码,删除必选参数和篡改必选参数为不可用的参数类型等。
所述步骤3中防护设备综合部署多种网间异常信令监测方法,根据信令的目的网元类型、消息类型配置相应的异常信令检测规则和方法,对于合法的正常信令不作处理,直接通过底层接入设备向目的网络实体转发;对于判定为异常的信令,并不做丢弃处理,根据安全需求和配置,可以修改异常信令为安全信令消息,并继续转发;对于特定的异常信令,如信令获取类异常消息,可以根据配置规则,修改其响应消息为安全信令消息。
所述步骤3中底层接入设备部署在内部网络转接点STP前端,与外部网络STP连接,能够实现无感接入底层接入设备,而不影响正常通信业务,底层接入设备对于内部网络和外部网络的STP来说完全透明,能够保持底层接入设备两侧的链路保持一致,正常工作时其将外部网络STP发送的信令消息送至防护设备处理,并转发防护设备处理后的消息。
所述步骤3中防护设备相应的采用基于电路或者基于分组两种方式进行承载,如果底层接入设备出现宕机故障,将直接退出外部网络和内部网络的STP连接,针对基于电路的承载,底层接入设备不影响内部网络和外部网络链路MTP2层和MTP3层的连接,维持MTP2层的FSN序号不变,并保证MTP3层及以上的功能不受影响,不会出现闪断现象;基于分组的承载情况下,不影响外部网络和内部网络的STP分组连接,不会出现闪断现象。
所述步骤6中底层接入设备通过标识信息来识别异常请求消息的响应消息的方法包括:1)源和目的GT相同;2)源和目的GT存在用户信息与设备信息的归属对应关系,如请求消息以用户的MDN或者是IMSI为目的GT,其响应消息使用用户归属的设备地址为的源GT。
一种包含所述移动通信网间信令防护方法的移动通信网间信令防护装置,含有外部网络和内部网络,所述外部网络为移动网络,内部网络为目标移动网络实体;外部网络信令转接点STP和内部网络信令转接点STP的接口之间无感接入有底层处理设备,底层接入设备与内外网络信令转接点之间采用标准的七号信令协议;底层接入设备接收信令并转发给设备,该设备通过自定义接口连接有防护设备,该接口传输层采用UDP协议,应用层采用自定义协议。
所述防护设备的工作流程如下:
步骤(1):信令首先进入信令接收与发送模块,该模块判断该信令是否是始发信令,如果是,则将信令发送给始发信令异常检测模块进行步骤(2),否则,将信令消息发送给响应信令处理模块进入步骤(6);
步骤(2):始发信令异常检测模块根据异常检测规则判断该信令是否为异常消息,如果不是,将信令直接返回给信令接收与发送模块,进入步骤(7);否则进入步骤(3);
步骤(3):对于异常信令,需要进一步判断异常信令类型及处理策略,对于异常信令需要将其修改为安全信令的类型,将信令发送到异常信令处理模块,进入步骤(4);对于需要修改其响应消息的异常信令,将信令发送到异常信令标记模块,进入步骤(5);
步骤(4):在异常信令处理模块中根据规则将异常信令修改为安全的信令消息,发送给信令接收与发送模块,进入步骤(7);
步骤(5):在异常信令标记模块中根据规则将异常信令增加标记后,发送给信令接收与发送模块,进入步骤(7);
步骤(6):在响应信令处理模块中,判断响应消息是否有标记,如果有标记,则将该响应消息修改成安全的信令消息,发送给信令接收与发送模块,进入步骤(7);否则,不用修改,直接发送给信令接收与发送模块,进入步骤(7);
步骤(7):在信令接收与发送模块中,根据信令的目的地址,将消息转发。
与现有技术相比,本发明移动通信网间信令防护方法和装置具有以下优点:本发明提供一种移动通信网间蜜罐方法和设备,在保证不影响运营商正常业务的情况下,对外部移动运营商网络发起的信令消息进行检测和处理,防御外部网络的恶意干扰行为。通过在部署移动通信网网间防护装置,在保证通信正常不闪断,满足电信运营商的高可靠性的前提下。能够对外部网络移动运营商网络的异常信令进行识别和过滤,主动灵活地防御外部网络的各类恶意访问行为,保证网络的可靠性,达到无痕防护效果。
附图说明
图1是本发明移动通信网间信令防护方法和装置中防护设备的部署结构图;
图2是本发明移动通信网间信令防护方法和装置中一般防护系统的底层接入方式图;
图3是本发明移动通信网间信令防护方法和装置中网间防护方法流程图;
图4是本发明移动通信网间信令防护方法和装置中防护装置软件模块结构图。
具体实施方式
下面结合附图和具体实施方式对本发明移动通信网间信令防护方法和装置作进一步说明:为了能够对外部移动运营商网络的异常信令进行识别和过滤,主动防御外部网络的恶意访问行为,本发明提供了一种移动通信网间信令防护方法和装置,底层接入设备部署在外网STP和内网STP间,根据移动网络的承载方式相应地采用基于电路或者基于分组的无感接入方式;防护设备逻辑上部署底层接入设备后端,拥有所防护网络的规划信息(包括网元信息和地址规划),根据防护实体的类型和消息类型采用不同的检测策略,能够识别各类异常信令,针对一般的异常信令,将其修改为安全的信令消息;针对信息获取类消息,将其修改响应消息修改为安全的信令消息。
以下结合附图1以及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
根据本发明的实施例,提供了一种移动通信网间信令防护方法,具体包括如下处理:
1、底层接入设备接收信令消息并转发给防护
底层接入设备根据配置策略,将需要检测的信令消息转发至防护设备,其它信令消息直接转发给目的设备;对于防护设备返回的消息,直接转发给目的设备。
2、防护设备对信令进行异常检测
为了保证所防护设备的安全,防护设备具有防护网络的规划信息,可以根据信令的目的设备类型和消息类型采用不同的检测方法。对于合法的正常信令不作处理,直接通过底层接入设备转发;对于判定为一般异常的信令,将异常信令修改为安全信令,其修改方法包括:1)修改MTP3的源点码或者是目的点码为不可达的点码;修改MTP3层的SLS号码为超出范围的号码,2)修改SCCP层的源GT或者是目的GT为不可达的GT,3)修改TCAP层的对话类型或者成分类型为不可用的成分类型;修改调用ID为不可用的ID,4)修改MAP层的消息,包括修改操作码为不可用的操作码,删除必选参数和篡改必选参数为不可用的参数类型等。针对信息获取类的异常消息,修改其对应响应消息的MAP参数,修改具有敏感信息的必选参数,删除具有敏感信息的可选参数。然后转发至底层接入设备。
根据本发明的实施例,提供了一种移动通信网防护设备,图1是本发明实施例的防护装置的结构示意图,如图1所示,根据本发明实施例的防护装置包括:底层接入设备和防护设备。以下对本发明实施例的各个设备的部署与功能进行详细的说明。
底层接入设备串接于内部网络信令转接点STP与外部网络信令转接点STP的接口之间,且采用无感的接入方式,即防护设备不以真实局的身份接入通信网,且防护设备退出或者故障时不会造成闪断,网络信令设备对其无感。网络中的STP可以有两种承载方式,基于电路和基于分组。底层接入设备根据网络的承载方式,可相对应的采用基于电路或者基于分组方式串接到网内外STP之间。针对电路域的承载方式,底层保证其两段链路的MTP2和MTP3层连接不受影响并保持一致;针对基于分组承载方式的网络,底层接入设备保证其两侧的链路的IP层及IP层以下不受影响并保持一致。底层接入设备如果出现宕机现象,将直接退出网内外STP连接,两端STP间的链路不需要重新同步,不影响正常业务。
防护设备逻辑上位于底层接入设备的后端,在物理实体上可以与底层接入设备合成于同一实体中。为了保证所防护设备的安全,防护具有防护网络的规划信息,可以根据信令的目的设备类型和消息类型采用不同的检测方法。对于合法的正常信令不作处理,直接通过底层接入设备转发;对于判定为一般异常的信令,将异常信令修改为安全信令;针对信息获取类的异常消息,修改其对应响应消息的MAP参数,修改具有敏感信息的必选参数,删除具有敏感信息的可选参数。然后转发至底层接入设备。
以下对本发明实施例的技术方案进行详细的说明,如图2所示,具体包括以下步骤:
步骤1:底层接入设备以无感方式接入到外部网络和内部网络间。外部移动网络发送的信令到底层接入设备。
步骤2:当底层接入设备或防护设备出现宕机情况时,会直接退出两端连接,对现有网络无影响,实现物理上的直通。此时,外网发向内网的信令直接到达目标设备,如步骤4所示。如果底层接入设备正常工作时,根据配置规则,将需要检测的信令由底层接入设备发送给防护设备。
步骤3:防护设备对底层接入设备发送的消息时行异常检测。对于一般的异常信令,防护设备将其修改为安全信令,其修改方式包含以下几种:
1)修改MTP3的源点码或者是目的点码为不可达的点码;修改MTP3层的SLS号码为超出范围的号码,
2)修改SCCP层的源GT或者是目的GT为不可达的GT,
3)修改TCAP层的对话类型或者成分类型为不可用的成分类型;修改调用ID为不可用的ID,
4)修改MAP层的消息,包括修改操作码为不可用的操作码,删除必选参数和篡改必选参数为不可用的参数类型等。
针对信息获取类的异常消息,记录能够标识该会话的信息,包括源和目的GT,调用ID等信息,将该这些信息传递给底层接入设备。
将修改过的安全信令消息或者记录了会话标识的信令消息转发到底层接入设备。
步骤4:底层接入设备对由防护设备的信令消息进行转发。修改过的安全信令消息符合网络的协议标准,并不会对正常的网络通信产生影响。正常的信令或者不需要处理的信令消息直接转发到目的实体。记录过标识的信息获取类异常消息也转发到目的实体。
步骤5:目标实体将响应消息返回至底层接入设备。
步骤6:对于没有记录标识的正常消息和修改过的安全消息直接转发至始发信息消息的实体,如步骤8所示;对于记录了标识的响应消息,转发至防护设备进行进一步处理。
底层接入设备通过标识信息来识别异常请求消息的响应消息,识别的方法包括:
1)源和目的GT相同;
2)源和目的GT存在用户信息与设备信息的归属对应关系,如请求消息以用户的MDN或者是IMSI为目的GT,其响应消息使用用户归属的设备地址为的源GT。
步骤7:防护设备将响应消息修改为安全的信令消息,修改具有敏感信息的必选参数,删除具有敏感信息的可选参数。并将安全的信令消息转发到底层接入设备。
步骤8:底层接入设备将正常信令和安全信令转发至请求方设备。
一种包含所述移动通信网间信令防护方法的移动通信网间信令防护方法装置,含有外部网络和内部网络,所述外部网络为移动网络,内部网络为目标移动网络实体;外部网络信令转接点STP和内部网络信令转接点STP的接口之间无感接入有底层处理设备,底层接入设备与内外网络信令转接点之间采用标准的七号信令协议;底层接入设备接收信令并转发给设备,该设备通过自定义接口连接有防护设备,该接口传输层采用UDP协议,应用层采用自定义协议。
所述防护设备的工作流程如下:
步骤(1):信令首先进入信令接收与发送模块,该模块判断该信令是否是始发信令,如果是,则将信令发送给始发信令异常检测模块进行步骤(2),否则,将信令消息发送给响应信令处理模块进入步骤(6);
步骤(2):始发信令异常检测模块根据异常检测规则判断该信令是否为异常消息,如果不是,将信令直接返回给信令接收与发送模块,进入步骤(7);否则进入步骤(3);
步骤(3):对于异常信令,需要进一步判断异常信令类型及处理策略,对于异常信令需要将其修改为安全信令的类型,将信令发送到异常信令处理模块,进入步骤(4);对于需要修改其响应消息的异常信令,将信令发送到异常信令标记模块,进入步骤(5);
步骤(4):在异常信令处理模块中根据规则将异常信令修改为安全的信令消息,发送给信令接收与发送模块,进入步骤(7);
步骤(5):在异常信令标记模块中根据规则将异常信令增加标记后,发送给信令接收与发送模块,进入步骤(7);
步骤(6):在响应信令处理模块中,判断响应消息是否有标记,如果有标记,则将该响应消息修改成安全的信令消息,发送给信令接收与发送模块,进入步骤(7);否则,不用修改,直接发送给信令接收与发送模块,进入步骤(7);
步骤(7):在信令接收与发送模块中,根据信令的目的地址,将消息转发。
综上所述,借助于本发明实施例的技术方案,底层接入设备无感串接在内部网络和外部网络之间,根据配置将需要异常检测的信令转发至防护设备,防护设备进行异常检测,将正常消息通过底层接入设备直接转发;对于异常信令消息,将其修改为安全的信令消息;对于信令获取类的异常信令,也可采用修改其响应消息为安全信令消息的方式。本装置能够对外部网络移动运营商网络来访的异常信令进行识别和过滤,主动防御外部网络的恶意干扰行为,具有可靠性高和适应性,不仅可以保证在设备宕机的情况下不出现闪断现象,而且还可以保证对异常消息处理后流程的完整性。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (8)

1.一种移动通信网间信令防护方法,其特征在于,含有以下步骤:
步骤1:底层接入设备以无感方式接入到外部网络和内部网络间,外部移动网络发送的信令到底层接入设备;
步骤2:当底层接入设备或防护设备出现宕机情况时,会直接退出两端连接,对现在有网络无影响,实现物理上的直通;此时,外网发向内网的信令直接到达目标设备,如果底层接入设备正常工作时,根据配置规则,将需要检测的信令由底层接入设备发送给防护设备;
步骤3:防护设备对底层接入设备发送的消息施行异常检测,针对一般的异常信令,防护设备将其修改为安全信令;针对信息获取类的异常消息,记录能够标识会话的信息,包括源和目的GT,调用ID信息,将这些信息传递给底层接入设备,将修改过的安全信令消息或者记录了会话标识的信令消息转发到底层接入设备;
步骤4:底层接入设备对由防护设备的信令消息进行转发,修改过的安全信令消息符合网络的协议标准,并不会对正常的网络通信产生影响,正常的信令或者不需要处理的信令消息直接转发到目的实体,已经标识的信息获取类异常消息也转发到目的实体;
步骤5:目标实体将响应消息返回至底层接入设备;
步骤6:对于没有记录标识的正常消息和修改过的安全消息直接转发至始发信息消息的实体,对于记录了标识的响应消息,转发至防护设备进行进一步处理,底层接入设备通过标识信息来识别异常请求消息的响应消息;
步骤7:防护设备将有标识的响应消息修改为安全的信令消息,修改具有敏感信息的必选参数,删除具有敏感信息的可选参数,并将安全的信令消息转发到底层接入设备;
步骤8:底层接入设备将正常信令和安全信令转发至请求方设备。
2.根据权利要求1所述的移动通信网间信令防护方法,其特征在于:所述步骤3中防护设备将异常信令修改为安全信令的修改方式包含以下几种:
1)修改MTP3的源点码或者是目的点码为不可达的点码;修改MTP3层的SLS号码为超出范围的号码;
2)修改SCCP层的源GT或者是目的GT为不可达的GT,如原GT为XXXX12345,修改成XXXX54321;
3)修改TCAP层的对话类型或者成分类型为不可用的成分类型;修改调用ID为不可用的ID;
4)修改MAP层的消息,包括修改操作码为不可用的操作码,删除必选参数和篡改必选参数为不可用的参数类型等。
3.根据权利要求1所述的移动通信网间信令防护方法,其特征在于:所述步骤3中防护设备综合部署多种网间异常信令监测方法,根据信令的目的网元类型、消息类型配置相应的异常信令检测规则和方法,对于合法的正常信令不作处理,直接通过底层接入设备向目的网络实体转发;对于判定为异常的信令,并不做丢弃处理,根据安全需求和配置,可以修改异常信令为安全信令消息,并继续转发;对于特定的异常信令,如信令获取类异常消息,可以根据配置规则,修改其响应消息为安全信令消息。
4.根据权利要求1所述的移动通信网间信令防护方法,其特征在于:所述步骤3中底层接入设备部署在内部网络转接点STP前端,与外部网络STP连接,能够实现无感接入底层接入设备,而不影响正常通信业务,底层接入设备对于内部网络和外部网络的STP来说完全透明,能够保持底层接入设备两侧的链路保持一致,正常工作时其将外部网络STP发送的信令消息送至防护设备处理,并转发防护设备处理后的消息。
5.根据权利要求1所述的移动通信网间信令防护方法,其特征在于:所述步骤3中防护设备相应的采用基于电路或者基于分组两种方式进行承载,如果底层接入设备出现宕机故障,将直接退出外部网络和内部网络的STP连接,针对基于电路的承载,底层接入设备不影响内部网络和外部网络链路MTP2层和MTP3层的连接,维持MTP2层的FSN序号不变,并保证MTP3层及SCCP层的功能不受影响,不会出现闪断现象;基于分组的承载情况下,不影响外部网络和内部网络的STP分组连接,不会出现闪断现象。
6.根据权利要求1所述的移动通信网间信令防护方法,其特征在于:所述步骤6中底层接入设备通过标识信息来识别异常请求消息的响应消息的方法包括:
1)源和目的GT相同;
2)源和目的GT存在用户信息与设备信息的归属对应关系,如请求消息以用户的MDN或者是IMSI为目的GT,其响应消息使用用户归属的设备地址为的源GT。
7.一种包含权利要求1所述移动通信网间信令防护方法的移动通信网间信令防护装置,其特征在于:含有底层接入设备、防护设备、外部网络和内部网络,所述外部网络为移动网络,内部网络为目标移动网络实体,防护设备逻辑上位于底层接入设备的后端;外部网络信令转接点STP和内部网络信令转接点STP的接口之间无感接入有底层接入设备,底层接入设备与内外网络信令转接点之间采用标准的七号信令协议,底层接入设备根据网络的承载方式,可相对应的采用基于电路或者基于分组方式串接到网内外STP之间;底层接入设备接收信令并转发给底层处理设备,底层处理设备通过自定义接口连接有防护设备,该接口传输层采用UDP协议,应用层采用自定义协议。
8.根据权利要求7所述的移动通信网间信令防护装置,其特征在于:所述防护设备的工作流程如下:
步骤(1):信令首先进入信令接收与发送模块,该模块判断该信令是否是始发信令,如果是,则将信令发送给始发信令异常检测模块进行步骤(2),否则,将信令消息发送给响应信令处理模块进入步骤(6);
步骤(2): 始发信令异常检测模块根据异常检测规则判断该信令是否为异常消息,如果不是,将信令直接返回给信令接收与发送模块,进入步骤(7);否则进入步骤(3);
步骤(3):对于异常信令,需要进一步判断异常信令类型及处理策略,对于异常信令需要将其修改为安全信令的类型,将信令发送到异常信令处理模块,进入步骤(4);对于需要修改其响应消息的异常信令,将信令发送到异常信令标记模块,进入步骤(5);
步骤(4):在异常信令处理模块中根据规则将异常信令修改为安全的信令消息,发送给信令接收与发送模块,进入步骤(7);
步骤(5):在异常信令标记模块中根据规则将异常信令增加标记后,发送给信令接收与发送模块,进入步骤(7);
步骤(6):在响应信令处理模块中,判断响应消息是否有标记,如果有标记,则将该响应消息修改成安全的信令消息,发送给信令接收与发送模块,进入步骤(7);否则,不用修改,直接发送给信令接收与发送模块,进入步骤(7);
步骤(7):在信令接收与发送模块中,根据信令的目的地址,将消息转发。
CN201511000493.XA 2015-12-28 2015-12-28 一种移动通信网间信令防护方法和装置 Active CN105873063B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511000493.XA CN105873063B (zh) 2015-12-28 2015-12-28 一种移动通信网间信令防护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511000493.XA CN105873063B (zh) 2015-12-28 2015-12-28 一种移动通信网间信令防护方法和装置

Publications (2)

Publication Number Publication Date
CN105873063A CN105873063A (zh) 2016-08-17
CN105873063B true CN105873063B (zh) 2020-01-03

Family

ID=56624522

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511000493.XA Active CN105873063B (zh) 2015-12-28 2015-12-28 一种移动通信网间信令防护方法和装置

Country Status (1)

Country Link
CN (1) CN105873063B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110536415B (zh) * 2018-05-23 2020-11-20 大唐移动通信设备有限公司 一种nas消息的处理方法、集群终端和集群核心网
CN111182519B (zh) * 2018-11-09 2023-03-24 中国电信股份有限公司 主叫地址设置与发送方法和系统、网络设备和存储介质
CN110290060B (zh) * 2019-07-15 2021-12-14 腾讯科技(深圳)有限公司 一种跨网络通信方法、装置及存储介质
CN113115314B (zh) * 2021-03-30 2022-11-01 中国人民解放军战略支援部队信息工程大学 一种4g移动通信网络hss信令防护方法及装置
CN113542219B (zh) * 2021-06-07 2023-02-14 中国人民解放军战略支援部队信息工程大学 基于多模态网元代理的信令接入实现方法及系统
CN114513343B (zh) * 2022-01-26 2022-10-04 广州晨扬通信技术有限公司 信令防火墙分级拦截方法、装置、计算机设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827283A (zh) * 2009-12-31 2010-09-08 上海粱江通信系统股份有限公司 一种基于无信令点接入技术实现信令防火墙的系统及方法
CN102932316A (zh) * 2011-08-08 2013-02-13 上海粱江通信技术有限公司 信令防火墙系统及实现方法
CN103716192A (zh) * 2013-12-31 2014-04-09 大连环宇移动科技有限公司 一种基于虚拟ip的无感串接设备
CN103747472A (zh) * 2013-12-31 2014-04-23 大连环宇移动科技有限公司 基于电路域七号信令网的无感串接系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080267167A1 (en) * 2007-04-27 2008-10-30 Apelqvist Johan System and method for set up of an ip communication to the origin of a circuit switched call

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827283A (zh) * 2009-12-31 2010-09-08 上海粱江通信系统股份有限公司 一种基于无信令点接入技术实现信令防火墙的系统及方法
CN102932316A (zh) * 2011-08-08 2013-02-13 上海粱江通信技术有限公司 信令防火墙系统及实现方法
CN103716192A (zh) * 2013-12-31 2014-04-09 大连环宇移动科技有限公司 一种基于虚拟ip的无感串接设备
CN103747472A (zh) * 2013-12-31 2014-04-23 大连环宇移动科技有限公司 基于电路域七号信令网的无感串接系统

Also Published As

Publication number Publication date
CN105873063A (zh) 2016-08-17

Similar Documents

Publication Publication Date Title
CN105873063B (zh) 一种移动通信网间信令防护方法和装置
CN105610813B (zh) 一种移动通信网间蜜罐系统及方法
EP3821630B1 (en) Method, system, and computer readable medium for validating a visitor location register (vlr) using a signaling system no. 7 (ss7) signal transfer point (stp)
US8826422B2 (en) Methods, systems, and computer program products for detecting and mitigating fraudulent message service message traffic
CN101194523B (zh) 监视通信网络中消息传送业务所传送的消息的方法、系统、和计算机程序产品
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
EP1860858A1 (en) Detection of cloned identifiers in communication systems
US20090069047A1 (en) Methods, systems, and computer program products for detecting wireless bypass in a communications network
EP3108679B1 (en) Method and devices for protection of control plane functionality
CN110392023B (zh) 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质
CN101034976B (zh) Ip连接安全系统中的入侵检测设备
WO2005002068A2 (en) Methods and systems for detecting and preventing signaling connection control part (sccp) looping
US7035387B2 (en) Methods and systems for detecting and mitigating intrusion events in a communications network
CN106789982B (zh) 一种应用于工业控制系统中的安全防护方法和系统
Liebergeld et al. Cellpot: A concept for next generation cellular network honeypots
CN113115314B (zh) 一种4g移动通信网络hss信令防护方法及装置
CN103747472A (zh) 基于电路域七号信令网的无感串接系统
US9769670B2 (en) Monitoring of signalling traffic
CN109547442B (zh) 一种gtp协议防护方法及装置
CN105939338A (zh) 入侵报文的防护方法及装置
CN108366364B (zh) 一种异常map操作的判别处理方法
Puzankov Hidden agendas: bypassing GSMA recommendations on SS7 networks
Kacer et al. SS7 Attacker Heaven turns into Riot: How to make Nation-State and Intelligence Attackers’ lives much harder on mobile networks
EP2862341B1 (en) Methods, computer program products and apparatuses enabling to conceal lawful interception from network operators
Park How to diagnose SS7 Protocol Vulnerability in Roaming Networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant