孫彪

摘要：七號(hào)信令協(xié)議SS7是基于信任的移動(dòng)網(wǎng)絡(luò)的通信協(xié)議，故移動(dòng)網(wǎng)絡(luò)收到的任何請(qǐng)求都被認(rèn)為是合法的。任何能登入SS7網(wǎng)絡(luò)服務(wù)器或網(wǎng)關(guān)的人，都可以向電信網(wǎng)絡(luò)發(fā)送位置漫游和重定向請(qǐng)求，從而獲取用戶個(gè)人信息。為研究黑客或者不法分子利用這一漏洞竊聽用戶的語音通話和短消息內(nèi)容所造成的信息安全問題，分析了通過對(duì)移動(dòng)用戶歸屬位置寄存器HLR的信令增強(qiáng)改造，從而有效防范這一漏洞的方法，旨在更好地保護(hù)用戶信息安全。

關(guān)鍵詞：SS7 漏洞 網(wǎng)絡(luò)信息安全

1 引言

二十一世紀(jì)是信息爆炸的時(shí)代，人們的日常生活已經(jīng)越來越離不開手機(jī)。從人際關(guān)系溝通（比如語音、短信、微信朋友圈），到日常消費(fèi)（如網(wǎng)絡(luò)購(gòu)物、電子支付），再到日常出行（如滴滴打車、實(shí)時(shí)導(dǎo)航），金融理財(cái)（比如股票證券、手機(jī)銀行）?？梢哉f人們的衣食住行，一切的社會(huì)活動(dòng)都濃縮在了小小的手機(jī)上以及隱藏在了手機(jī)背后復(fù)雜的移動(dòng)網(wǎng)絡(luò)中。

信息泄露造成的社會(huì)危害越來越嚴(yán)重，國(guó)際上比較轟動(dòng)的泄密事件包括2014年2月，美國(guó)駐烏克蘭大使遭遇的尷尬的泄密事件。美國(guó)駐烏克蘭大使與美國(guó)助理國(guó)務(wù)卿維多利亞·努蘭的一次秘密談話被貼到了YouTube上，談話中努蘭對(duì)歐盟嗤之以鼻。

我國(guó)近年來電信詐騙案件數(shù)量增多，影響惡劣。幾名大學(xué)生甚至因此而送命，事件引起了社會(huì)各界的廣泛關(guān)注，輿論的矛頭再次指向了電信運(yùn)營(yíng)商。然而，欲防范電信詐騙，用戶的個(gè)人信息安全的鞏固非常重要，對(duì)此，運(yùn)營(yíng)商、設(shè)備廠商以及其他相關(guān)部門應(yīng)積極配合，尋求可行的技術(shù)增強(qiáng)網(wǎng)絡(luò)安全。本文將分析移動(dòng)通信網(wǎng)絡(luò)SS7（七號(hào)信令網(wǎng)絡(luò)）中的漏洞并提出安全增強(qiáng)解決方案。

2 SS7基本概念

SS7也被稱為“七號(hào)信令系統(tǒng)”，是一種廣泛應(yīng)用于移動(dòng)通信和固定通信網(wǎng)絡(luò)之間的數(shù)據(jù)網(wǎng)絡(luò)，是一系列管理數(shù)據(jù)交換的技術(shù)協(xié)議。它出現(xiàn)于上世紀(jì)80年代，目的是跨運(yùn)營(yíng)商網(wǎng)絡(luò)跟蹤和連接。它將手機(jī)運(yùn)營(yíng)商和國(guó)家經(jīng)營(yíng)者控制的節(jié)點(diǎn)連接成封閉網(wǎng)絡(luò)，引導(dǎo)移動(dòng)流量從手機(jī)信號(hào)塔通向互聯(lián)網(wǎng)。數(shù)以千計(jì)的公司擁有SS7訪問權(quán)，同時(shí)也可以將訪問權(quán)共享給第三方使用。SS7現(xiàn)主要用于手機(jī)計(jì)費(fèi)信令傳輸和短信收發(fā)業(yè)務(wù)，以及跨運(yùn)營(yíng)商和區(qū)域交換中心路由。SS7是電信骨干網(wǎng)的一部分，但卻不是語音通話流經(jīng)的網(wǎng)絡(luò)，它是帶有不同功能的獨(dú)立管理網(wǎng)絡(luò)。七號(hào)信令網(wǎng)是獨(dú)立于電話網(wǎng)的一個(gè)專門用于傳送七號(hào)信令消息的數(shù)據(jù)網(wǎng)，在實(shí)際的通信過程中，摘機(jī)、撥號(hào)、掛機(jī)等這些動(dòng)作是用“電信號(hào)”來表示的，和普通傳送的語音信號(hào)不同，稱這些“電信號(hào)”為信令或信號(hào)，它們可用來指揮交換機(jī)干活。

七號(hào)信令屬于公共信道信令，將在通信網(wǎng)中各個(gè)交換局在完成各種呼叫接續(xù)時(shí)采用的通信語言的集合稱為七號(hào)信令網(wǎng)。

在移動(dòng)通信時(shí)代SS7被用于設(shè)置漫游，以便能在所屬運(yùn)營(yíng)商范圍之外也能撥打電話和收發(fā)短信。漫游地運(yùn)營(yíng)商通過SS7向歸屬運(yùn)營(yíng)商發(fā)送獲取手機(jī)唯一ID的請(qǐng)求以便跟蹤手機(jī)，還會(huì)請(qǐng)求手機(jī)通信被重定向到其網(wǎng)絡(luò)，以便投遞呼叫和短信。這是一種確?？缇W(wǎng)絡(luò)通信的手段。

3 SS7安全漏洞淺析

傳統(tǒng)SS7基于信任的網(wǎng)絡(luò)，網(wǎng)絡(luò)收到任何SS7請(qǐng)求都被認(rèn)為是合法的。因此，任何能登入SS7網(wǎng)絡(luò)服務(wù)器或網(wǎng)關(guān)的人，都可以向電信公司發(fā)送位置漫游和重定向請(qǐng)求，而電信公司多半會(huì)遵從請(qǐng)求（即使漫游請(qǐng)求是從圣彼得堡或孟買發(fā)出而你的手機(jī)卻在紐約）。傳統(tǒng)固話PSTN網(wǎng)絡(luò)以及傳統(tǒng)移動(dòng)通信核心網(wǎng)SS7網(wǎng)絡(luò)是基于TDM連接的，所以基于信任的SS7網(wǎng)絡(luò)不會(huì)造成信息泄露。但是在目前的IP網(wǎng)絡(luò)時(shí)代，黑客可以利用遠(yuǎn)端電腦輕易侵入IP SS7網(wǎng)絡(luò)，獲取用戶信息。這就使得攻擊者可以遠(yuǎn)程竊聽立法者、公司高管、軍方人員、激進(jìn)分子和其他人士通話。值得注意的是，通過劫持用戶的短信和通話，攻擊者也就能夠獲取其他服務(wù)通過短信發(fā)送的雙因子身份驗(yàn)證登錄碼。已經(jīng)獲取用戶名和密碼的攻擊者即能在用戶收到驗(yàn)證碼之前攔截，登錄賬戶。

而誰可以登入SS7呢？全世界數(shù)百家電信公司都可以。政府情報(bào)機(jī)構(gòu)可以訪問這一網(wǎng)絡(luò)，無論電信公司允許與否。商業(yè)公司可以將SS7電話追蹤服務(wù)售賣給政府和其他客戶。有能力收買電信員工的犯罪團(tuán)伙同樣可以使用SS7，攻破了有漏洞的SS7設(shè)備的黑客也能登入SS7。

圖1是黑客通過SS7信令網(wǎng)絡(luò)獲取用戶信息后攔截并竊聽用戶通話的流程示意圖：

在移動(dòng)網(wǎng)絡(luò)中，有兩個(gè)關(guān)鍵網(wǎng)元存儲(chǔ)有用戶的關(guān)鍵數(shù)據(jù)信息，他們是HLR（Home Location Register，歸屬位置寄存器）和MSCS（Mobile Switching Centres，移動(dòng)交換中心）。由于SS7基于信任的網(wǎng)絡(luò)，所以目前主流HLR和MSCS都很容易泄露用戶關(guān)鍵數(shù)據(jù)信息。

黑客通過SS7信令網(wǎng)可以竊取到的用戶關(guān)鍵信息如下：

IMSI：國(guó)際移動(dòng)用戶識(shí)別碼，是識(shí)別移動(dòng)用戶的標(biāo)志，IMSI在全網(wǎng)和全球中是唯一的（當(dāng)然，非法制造商也可能造出IMSI相同的SIM卡），一般在入網(wǎng)和TMSI更新失敗時(shí)使用。

TMSI：臨時(shí)移動(dòng)用戶識(shí)別碼，它是IMSI的臨時(shí)“代表”，出于IMSI的安全考慮，為盡量避免在空中接口傳遞IMSI，由VLR（Visiting Location Registers，拜訪位置寄存器）給用戶分配，TMSI在當(dāng)前VLR中是唯一的。

位置信息：包括移動(dòng)用戶當(dāng)前注冊(cè)的網(wǎng)絡(luò)MSC/VLR信息，無線小區(qū)ID。

簽約信息：用戶在HLR中的簽約數(shù)據(jù)信息。

圖2是兩個(gè)移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)間信令互通示意圖，由于SS7網(wǎng)絡(luò)的天然特性，所以網(wǎng)絡(luò)間SS7以及MAP都缺乏網(wǎng)元相互鑒權(quán)的機(jī)制和流程，所以黑客可以通過公共SS7網(wǎng)絡(luò)切入到運(yùn)營(yíng)商的核心網(wǎng)SS7信令網(wǎng)絡(luò)中，獲取用戶的關(guān)鍵信息，并監(jiān)聽控制用戶的語音和短信業(yè)務(wù)。

為了防止用戶個(gè)人信息泄露造成正常業(yè)務(wù)被竊聽，核心網(wǎng)存儲(chǔ)用戶信息的關(guān)鍵網(wǎng)元HLR和MSCS需要進(jìn)行信令增強(qiáng)，確保用戶信息安全。下文將介紹針對(duì)HLR用戶位置寄存器的可能攻擊場(chǎng)景及安全增強(qiáng)思路建議。

4 核心網(wǎng)HLR安全增強(qiáng)方案

4.1 可能的攻擊場(chǎng)景

HLR用戶歸屬位置寄存器在移動(dòng)網(wǎng)絡(luò)中用以保存用戶的關(guān)鍵信息，包括用戶識(shí)別信息、鑒權(quán)信息、用戶簽約信息和用戶位置信息?；诋?dāng)前網(wǎng)絡(luò)架構(gòu)漏洞，黑客一般會(huì)通過SS7或者M(jìn)AP信令對(duì)HLR實(shí)施非法攻擊，攻擊手段如下：

◆偽裝成服務(wù)網(wǎng)元

攻擊者偽裝成網(wǎng)絡(luò)中的服務(wù)網(wǎng)元節(jié)點(diǎn)，非法獲取SS7接口的信令消息和控制消息。

◆偽裝成用戶

攻擊者偽裝成用戶來使用被攻擊者的服務(wù)。

◆拒絕服務(wù)

攻擊者可能會(huì)頻繁嘗試某種特定用戶，造成網(wǎng)絡(luò)擁塞，進(jìn)而阻礙正常用戶的業(yè)務(wù)進(jìn)行。

4.2 信令增強(qiáng)方案

（1）增強(qiáng)網(wǎng)元間MAP消息鑒權(quán)

業(yè)務(wù)網(wǎng)元間MAP ATI（anyTime Interrogation，任意時(shí)間查詢）流程如圖3所示：

針對(duì)黑客模擬成業(yè)務(wù)網(wǎng)元，通過MAP ATI向HLR獲取用戶的IMSI、MSC/VLR、Cell ID、IMEI等敏感信息的情況，HLR可以有如下防護(hù)措施：

◆完全禁止MAP ATI請(qǐng)求；

◆限制MAP ATI請(qǐng)求，只對(duì)已經(jīng)配置為信任的對(duì)端網(wǎng)元GT地址的網(wǎng)元運(yùn)行MAP ATI請(qǐng)求和回響應(yīng)。

業(yè)務(wù)網(wǎng)元間MAP-SRI-for-SMS向HLR發(fā)送請(qǐng)求路由信息，獲取用戶的IMSI、MSC/VLR信息的消息流程如圖4所示：

針對(duì)黑客模擬成業(yè)務(wù)網(wǎng)元，通過MAP-SRI-for-SMS向HLR發(fā)送請(qǐng)求路由信息，獲取用戶的IMSI、MSC/VLR信息。HLR可以有如下防護(hù)措施：

◆限制MAP-SRI-for-SMS請(qǐng)求，只對(duì)已經(jīng)配置為信任的對(duì)端網(wǎng)元GT地址的網(wǎng)元運(yùn)行MAP ATI請(qǐng)求和回響應(yīng)。

◆在MAP-SRI-for-SMS消息中過濾SMSC地址，防止非法SMSC查詢。

◆部署SMS短消息網(wǎng)關(guān)路由器，外網(wǎng)只能看到短消息網(wǎng)關(guān)路由器，HLR對(duì)外網(wǎng)短消息中心不可見。

網(wǎng)元間MAP消息還有很多，需要移動(dòng)運(yùn)營(yíng)商和設(shè)備商詳細(xì)分析，有針對(duì)性給出安全增強(qiáng)方案，切實(shí)防護(hù)用戶信息非法泄露。

（2）增強(qiáng)對(duì)用戶的消息鑒權(quán)

黑客模擬成用戶向HLR發(fā)送MAP位置更新請(qǐng)求消息流程如圖5所示：

針對(duì)黑客模擬成用戶向HLR發(fā)送MAP位置更新請(qǐng)求消息，獲取用戶簽約信息和用戶位置信息的情況。HLR可以有如下安全增強(qiáng)防護(hù)措施：

◆對(duì)漫游控制配置更精確的MSC/VLR地址信息或者前綴。

◆限制MAP LU請(qǐng)求，只對(duì)已經(jīng)配置為信任的對(duì)端網(wǎng)元GT地址的網(wǎng)絡(luò)發(fā)來的MAP LU請(qǐng)求回響應(yīng)。

（3）拒絕服務(wù)類增強(qiáng)

黑客可能模擬周邊網(wǎng)元，向HLR發(fā)送過負(fù)荷的信令請(qǐng)求消息，造成HLR無法處理正常的用戶業(yè)務(wù)請(qǐng)求。針對(duì)這種攻擊，信令網(wǎng)可以考慮如下網(wǎng)絡(luò)安全增強(qiáng)：

◆實(shí)時(shí)監(jiān)控拜訪地信令業(yè)務(wù)請(qǐng)求消息情況；

◆對(duì)信令消息異常的拜訪地網(wǎng)元設(shè)置黑名單以禁止消息發(fā)送。

黑客可能會(huì)偽裝成HLR向MSC/SGSN發(fā)送HLR Reset消息，造成信令網(wǎng)絡(luò)風(fēng)暴。針對(duì)這種攻擊，信令網(wǎng)可以考慮如下網(wǎng)絡(luò)增強(qiáng)：

◆限制從他網(wǎng)發(fā)送的HLR Reset消息；

◆檢查HLR Reset消息中源GT地址和HLR GT地址，規(guī)避虛假消息。

5 結(jié)束語

SS7信令網(wǎng)絡(luò)IP化改造后，由于自身協(xié)議架構(gòu)的漏洞，很容易被黑客攻擊。而通過增強(qiáng)移動(dòng)網(wǎng)絡(luò)MAP消息的鑒權(quán)，對(duì)MAP消息流程進(jìn)行適當(dāng)?shù)母脑旎蛘咴黾酉⒃L問限制，可以顯著地增強(qiáng)SS7網(wǎng)絡(luò)安全性，有效地保護(hù)用戶信息安全。IP化網(wǎng)絡(luò)一方面簡(jiǎn)化了網(wǎng)絡(luò)部署，增強(qiáng)了網(wǎng)絡(luò)靈活性，另一方面也引入了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。增強(qiáng)IP網(wǎng)絡(luò)安全，切實(shí)保護(hù)用戶信息，提高網(wǎng)絡(luò)可靠性，是一個(gè)永恒的話題，需要從業(yè)各方認(rèn)真分析研究，針對(duì)新網(wǎng)絡(luò)新形式，不斷提高網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 3GPP TS 29.204. Signalling System No. 7 （SS7） security gateway； Architecture， functional description and protocol details[S]. 2015.

[2] 3GPP TS 29.002. Mobile Application Part （MAP） specification[S]. 2015.

[3] 3GPP TS 33.102 V13.0.0. 3G Security； Security architecture （Release 13）[S]. 2016.

[4] 3GPP TS 33.203. 3G security； Access security for IP-based services[S]. 2016.

[5] 3GPP TS 33.204. 3G Security； Network Domain Security （NDS）； Transaction Capabilities Application Part （TCAP） user security[S]. 2016.

[6] 3GPP TS 33.200. 3G Security； Network Domain Security （NDS）； Mobile Application Part （MAP） application layer security[S]. 2015.

[7] 3GPP TS 23.002 V13.7.0. Network Architecture （Release 13）[S]. 2016.

[8] 3GPP TS 23.003 V13.7.0. Numbering， addressing and identification （Release 13）[S]. 2016.

[9] 劉建偉，王育民. 網(wǎng)絡(luò)安全——技術(shù)與實(shí)踐[M]. 北京： 清華大學(xué)出版社， 2005.

[10] 朱可云，俞定玖，湯紅波. 增強(qiáng)的七號(hào)信令安全網(wǎng)關(guān)及信令防護(hù)技術(shù)研究[J]. 信息工程大學(xué)學(xué)報(bào)， 2010（5）： 513-516. ★