《短消息信息安全监控的原理与实现.doc》由会员分享,可在线阅读,更多相关《短消息信息安全监控的原理与实现.doc(7页珍藏版)》请在金锄头文库上搜索。
1、短消息信息安全监控的原理与实现(中兴通讯)一、引言随着中国手机用户数的迅猛增长,手机短消息业务作为一项新的移动增值业务,由于发送方便、价格便宜和随时随地接收等优点使得这项业务在短时间内得到大面积普及,成为了人们进行沟通和交流的一种新手段。但是在短消息业务迅猛发展的同时也带来了信息安全方面的问题,很多不轨分子利用短消息大量发布广告,发布虚假信息进行诈骗,影响人们的正常生活;利用短消息煽动闹事、散布谣言,影响社会稳定;利用短消息传播色情、反动消息,危害公共安全。由于这些问题的存在,手机短消息的信息安全问题得到了全社会的重视,如何在保持短消息业务的活力和健康发展的同时限制有害短信的传播、净化短消息的
2、内容成为一个棘手的问题。目前除了在行政法规方面加强对信息发布的管理外,各移动运营商必须在技术手段上建立短消息监控系统,对所有短消息内容进行有效的监控和过滤。二、短消息安全现状短消息的信息安全监控和有害信息的拦截是一个较新的课题。短消息业务的长足发展只有三、四年的时间,在信息安全方面的问题也只是近两、三年才出现,再加上业务流程复杂、接入方式灵活多变,因此对短消息内容的监控和过滤是一件非常困难的事情,从近几年国内外运营商的经验来看,目前对于短消息的安全监控并没有非常成熟和有效的方法,各运营商都在实践中积极探索,希望针对各自网络的特点建立一套严密而行之有效的安全监控系统。三、垃圾短信的监控原理与实现
3、短消息业务是GSM、CDMA数字蜂窝移动通信系统提供的主要增值业务之一,它通过无线控制信道进行传输,经短消息业务中心(SMSC)完成存储和转发功能。短消息系统主要分为三个部分:接入部分、短消息中心和短消息业务实体。因此,我们一般选取这三部分的接口作为短消息的信息监控点。图1 短消息系统基本体系结构针对短消息的安全需求,对于信息的监控(提取和过滤)在技术上有三种不同的实现机制:实时过滤机制话单分析机制协议监测机制这三种监控机制已经在各移动通信运营商的现网中采用,是现阶段应用较多、相对成熟的技术。不管采用什么样的监控机制,需要实现的目标是共同的:(1)监控全面,能够覆盖目前几乎所有的短信业务;(2
4、)信息采集安全、方便,能够灵活扩展,不影响正常的短信业务流程,对原系统的影响小;(3)信息过滤采用多种不同的机制,能够按照重要性灵活配置过滤规则,对信息内容有模糊识别功能,能最大限度的避免遗漏;(4)对于多种途径采集到的短消息能够正常识别内容、及时存储,并且提供多种手段进行后续的分析和处理;(5)对于过滤后的垃圾短信黑名单号码能够通过自动和手工两种方式及时拦截,从发现到拦截的处理时间应该尽量短。下面将分别讨论三种机制的实现原理和特点。1. 实时过滤机制注:短消息的发起方和接收方可以是普通用户,也可以是连接在短信中心的实体。图2 实时过滤机制短消息中心接收到普通用户发送或实体提交的短消息后,发送
5、一个鉴权请求消息到监控系统,监控系统对短消息内容进行判断,返回给短消息中心鉴权响应消息,如果短消息内容合法,则返回鉴权成功消息,短消息中心将该消息下发给短消息接收方;如果内容不合法,则返回鉴权失败消息,短消息中心将该消息直接丢弃,不下发给接收方。国家信息产业部颁布了短信息中心(SMSC)与短信息监控中心(SMMC)接口规范,采用的就是这种实现方式。目前已经有部分通信设备厂商根据该规范开发出了短消息实时过滤系统。图3 实时过滤机制的信令流程图3是短信息中心(SMSC)与短信息监控中心(SMMC)接口规范定义的短消息中心(SMSC)和短消息监控中心(SMMC)之间的信息交互方式,采用标准的SMPP
6、协议。在错误处理上,如果SMSC等待响应消息的时间大于等于5秒,则SMSC记录日志,正常下发信息。如果错误是SMPP层的错误或操作超时,则SMSC应该按照正常流程下发消息。这样就能最大限度减少信息过滤对正常业务造成的不利影响。2. 话单分析机制图4 话单分析机制由于计费服务器上的原始话单文件中包含了MO消息话单(包括普通用户发送的点对点消息和SME提交的短消息),因此该方案是将计费服务器上的原始话单文件作为统计数据源,垃圾短信监控系统从统计信息源获取数据,然后进行统计分析。统计监控模块对数据库内容进行统计分析,有以下三种统计分析方式:图5 话单分析机制的处理流程(1)监控起呼信息条数:在监控系
7、统中设定在一段时间内MO消息条数的门限阀值(例如设定为100条/小时),当某用户发送短消息条数达到或超过设定的阀值时,即认为该用户是可疑用户。(2)消息内容监控:将短消息内容和监控系统中事先设定的关键字进行比较,当某条短消息内容和关键字相匹配时,系统即认为该条消息为可疑消息。(3)发送成功率监控:当监控系统检测到某用户发送短消息的成功率达到或超过设定的阀值时,即认为该用户是可疑用户。3. 协议监测机制该方案通过“监听”现有系统的方式进行监测,发往短消息中心的消息被旁路到短消息监测系统,监测系统将监听到的消息进行实时分析,一旦判断短消息发起方发送的是垃圾短信,则通过“反馈机制”拦截这些消息。图6
8、 协议监测机制该方案需要通过两种不同的方式来实施,针对普通用户发送的点对点消息,采用监测SS7信令的方式,针对网关或其他SME发送的消息,采用监测SMPP协议数据包的方式。监测系统先将监听到的消息分别按照对应的协议解码入库,然后按照预先设定的规则进行分析过滤,根据不同的设置条件生成黑名单。图7 协议监测系统监测点位置图监测点A:MAP信令监测由于所有普通用户的起呼消息(MO消息)都是通过NO.7信令网传送给短消息中心的,因此,通过监听MSC到SMSC的SS7信令(MAP协议),就能监测所有的普通用户起呼消息。图9 B点SMPP协议监测实现图侦听单元通过高阻接入,实时进行协议分析,负责捕捉链路上
9、的信令单元,分析、发送捕捉的信令数据到预处理和分发模块。预处理和分发模块完成SS7信令链路上原始MSU数据包的解包和短消息内容的还原与处理工作,在解出了MO短消息的内容之后,将MO消息按照一定的分发策略分发给实时分析模块处理。实时分析模块对收到的MT消息进行实时地分析处理,按照预定义的内容和流量策略进行分析,同时将原始消息和分析结果存放到相关的数据库中。监测点B:SMSC协议监测由于所有的SME都是通过SMPP协议连接到短消息中心的,因此通过监听SME发往SMSC的TCP/IP数据包,就能监测所有的SME起呼消息。图8 A点MAP信令监测实现图侦听预处理和分发模块实时地捕获流经短消息中心SMS
10、C网卡的所有TCP/IP数据包,按照SMPP协议解包,最后进行分析,整个过程并不影响数据的正常传输。监测点C:短消息网关协议监测由于SME发送SMSC的部分消息不需要监测(例如SME是计费系统或客服系统的情况),为了减少监测的数据量,可以考虑在网关和网关之间或者SP系统和网关之间设置监测点,只监测有需要的数据。在这种情况下,监测点C可以取代监测点B,监测方式与监测点B的方式类似。只是在短消息网关与SP之间采用的是各电信运营商自己开发的协议,中国联通采用SGIP协议,中国移动采用CMPP协议,因此,解码模块需要针对不同的协议分别设计。四、总结以上对目前现网中采用的三种垃圾短信监控机制做了详细的分
11、析,下面对这三种实现机制的优缺点做一简单的对比分析。表1 三种垃圾短信监控机制优缺点对比这三种方案都是现阶段应用较多的方案,在实际应用中采用何种方案,需要根据网络结构、设计容量、投资规模等综合考虑,方案一能够提供最完整的解决方案,因此对于新建短信中心或者对垃圾短信监控要求很高、并且预算充足时,应该优先考虑采用方案一;如果希望垃圾短信监控功能的实现对原有短信中心影响最小,并且实现较好的监控效果,可以考虑采用方案三;如果投资较小,但是又想实现垃圾短信监控,可以考虑采用方案二。实际上,由于实现机制的不同,这三种方案的监控侧重点并不完全一致,对于非法信息或是一些特定内容的敏感信息监控,方案一是最合适的;对于垃圾广告信息的监控,方案三最合适,因此,在实际应用中可以考虑将这三种方案中的两种组合使用,以实现更好的监控效果。
