[发明专利]电信网信令安全主动防护方法

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种电信网信令安全主动防护方法。

背景技术

针对当前基于事后统计规律被动地发现和阻断已经发生的信令攻击行为的电信网信令信息实施安全防护方法对以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为并不具备发现和预防能力的问题，本发明提供了一种电信网信令安全主动防护方法，用以解决上述技术问题。本发明为电信网信令安全防护提供一种新的解决方案。相关方法适用于采用PSTN、软交换等各种技术体制，具有高安全等级要求的专用电信网络的建设或安全性能升级。通信信令是电信网的控制信号，各类电信业务都是在信令的控制和引导下完成呼叫接续和通信过程。信令中携带大量与网络拓扑、通信个体行为密切相关的信息。以基本的电话呼叫为例，从呼叫开始到呼叫结束的过程中，电话交换设备间需要通过信令交互传递网络路由及信道地址、业务种类及媒体编解码格式、终端种类及身份标识、主叫用户号码、被叫用户号码、呼叫开始时间、结束时间等信息。对这些信息进行分析统计即可了解掌握电信网的核心网元配置分布、网络规模与拓扑结构、业务路由构成及资源配备、用户号段编配及用户数量等网络关键信息，还可掌握电信用户的通信地址、个人习惯与行为规律、社会关系等私密信息。网络攻击者一旦掌握这些信息，不仅有助于针对网络核心区域、关键节点设备实施扰乱致瘫等攻击活动，还可借助信令引导，针对目标电信用户实施通信窃听、业务劫持或拒绝服务攻击等不法网络行为。

目前，针对电信网信令信息实施安全防护的主要方法有异常信令监测、异常信令流量管控、信令黑白名单鉴权等，这些方法都是基于事后的统计规律被动地发现和阻断已经发生的信令攻击行为，对于以获得网情信息和窃取用户隐私信息为目的的网络攻击行为或攻击前期准备行为并不具备发现和预防能力。

发明内容

针对现有技术中的不足，本发明提供一种电信网信令安全主动防护方法，适用于采用PSTN、软交换等技术体制，具有高安全等级要求的专用电信网络的建设或安全性能升级等。

按照本发明所提供的设计方案，一种电信网信令安全主动防护方法，包含如下步骤：

步骤1.异构协议动态切换，信令数据在交互过程中，根据电信网异构呼叫控制协议的共性要素生成包含基本流程、消息和参数的伪协议，呼叫控制时，在呼叫控制逻辑上采用伪协议进行交互，在物理承载上随机动态选择电信网异构呼叫控制协议进行呼叫控制；

步骤2.呼叫标识虚拟化，建立与呼叫标识组相对应的虚拟呼叫标识，呼叫标识组包含多个具有不同源信令设备、目的信令设备及呼叫编号的呼叫标识，呼叫启动时，源信令设备与目的信令设备采用虚拟呼叫标识完成握手，其后则由源信令设备与目的信令设备根据虚拟呼叫标识所对应的呼叫标识组随机可变地选择呼叫标识组中某个呼叫标识进行后续的信令消息交互和呼叫识别；

步骤3.用户信息打散携带，信令控制中强制将主叫用户信息和被叫用户信息分离并结合步骤2中的虚拟呼叫标识，解除同一呼叫信令流中不同信令消息间的耦合性；

步骤4.信令多通道传送，基于异构呼叫控制协议，信令节点间建立不同类型的信令传送通道，针对同一类型的信令传送通道，对其两端的信令设备配置多个信令地址，由信令设备双方建立信令通道动态切换机制，结合步骤1中的异构协议动态切换，在信令数据传送中依据预制策略随机改变同向呼叫或同源同宿呼叫的信令流所使用的信令通道类型及物理路径。

所述步骤3中还包含针对敏感用户，将主叫用户信息或被叫用户信息拆分多段，通过不同的信令消息携带传送。

步骤1中所述电信网异构呼叫控制协议包含七号信令TUP和ISUP协议、BICC协议、SIP协议。

步骤2中呼叫标识虚拟化依据七号信令多点码和IP端口多地址建立与呼叫标识组相对应的虚拟呼叫标识，虚拟呼叫标识与呼叫标识组具有相同的编码及分配方式。

本发明的有益效果：

1.本发明通过对信令数据在承载的协议种类、呼叫标识、携带参数和传送通道等方面进行多维一体的动态等价变换，使得同一呼叫或不同呼叫中涉及的控制信令，无论从信令消息本身的参数结构、语义等方面，还是从信令流的构成、传送模式等方面，都在时空域上失去其固有的相似性和确定性，呈现出多样化、动态化和随机化，使攻击者即便截获了信令数据，也很难对大量离散、无规律的数据进行正确的重组和还原，从而形成针对信令攻击的主动防护能力，提高网络信息安全保障水平。