1. 核心网信令面概述

各位同学好,我是老张。今天咱们聊聊核心网信令面。说实话,做了十几年核心网安全,我见过太多因为信令面漏洞被攻破的案例。信令面是什么?说白了,它就是网络的“神经系统”。没有它,手机连个电话都打不出去。

嗯,咱们先从最基础的讲起。核心网架构从2G到5G,变化非常大。我刚开始入行那会儿,还在搞2G的七号信令,现在回头看,真是恍如隔世。

1.1 核心网架构演进(2G到5G)

核心网的演进,本质上就是一次“去中心化”的过程。2G时代,核心网是典型的“大铁盒子”架构。MSC、HLR、VLR,每个网元都身兼数职。我记得有一次排查故障,发现MSC的CPU负载飙到90%,就是因为信令处理不过来。

到了3G,引入了RNC和分组域。这时候核心网开始“分家”了——电路域管语音,分组域管数据。但问题也来了,两个域之间信令交互复杂,容易出漏洞。

4G时代是个分水岭。EPC架构把控制面和用户面彻底分离。MME管信令,S-GW和P-GW管数据。这个设计思路一直延续到5G。我个人觉得,这是核心网安全最大的进步——控制面集中了,攻击面反而缩小了。

5G核心网更进一步,采用了SBA(基于服务的架构)。每个网元都变成独立的“服务”,通过HTTP/2通信。你想想看,这相当于把一个大房子拆成了无数个小房间,每个房间都有独立的门锁。安全性确实提升了,但信令交互的复杂度也上去了。

核心网演进关键点:

  • 2G:TDM承载,七号信令,网元耦合度高
  • 3G:引入分组域,电路域与分组域并存
  • 4G:控制与用户面分离,全IP化
  • 5G:服务化架构,云原生,HTTP/2承载

下面这张图,是我自己画的。它展示了核心网信令面从2G到5G的演进逻辑。你看,信令协议越来越轻量,但交互越来越频繁。

核心网信令面架构演进 2G 核心网 MSC/HLR/VLR 七号信令(SS7) 3G 核心网 CS域 + PS域 RANAP + GTP 4G EPC MME/S-GW/P-GW S1AP + GTP-C 5GC SBA HTTP/2 关键特性对比 控制面与用户面 耦合 分离 信令协议 TDM → IP HTTP/2 网元形态 物理设备 虚拟化/云原生 安全风险 高(封闭网络) 中(IP化风险) 注:箭头表示演进方向,颜色深浅代表风险等级变化

1.2 信令面与控制面的关系

这个问题,我经常被刚入行的同事问。信令面和控制面,到底是不是一回事?

我的回答是:信令面是控制面的“子集”。控制面包含所有用于建立、维护、释放网络连接的逻辑。而信令面,特指那些在网元之间传递的控制消息。说白了,信令面是控制面的“通信管道”。

举个例子。你在手机上拨号,控制面负责决定“这个呼叫该走哪条路”,而信令面负责把“走这条路”的指令从MSC传到BSC。没有信令面,控制面就是个光杆司令。

我的经验: 在做安全审计时,我习惯先看信令面。为什么?因为信令面是攻击者最容易“下手”的地方。控制面的逻辑漏洞需要深入了解业务,而信令面的协议漏洞,往往只需要抓包分析就能发现。

1.3 信令协议栈简介

核心网信令协议,从2G到5G,经历了从“重”到“轻”的转变。我挑几个重点的给大家讲讲。

SIP(会话初始协议)

SIP主要用于IMS(IP多媒体子系统)。它负责建立、修改和终止多媒体会话。说白了,VoLTE电话就是靠SIP来“打招呼”的。

我曾经遇到过一个案例:攻击者伪造SIP INVITE消息,导致IMS网元资源耗尽。原因就是SIP消息的合法性校验没做好。嗯,这个后面会详细讲。

Diameter

Diameter是4G核心网的信令主力。它用于AAA(认证、授权、计费)。MME和HSS之间的通信,全靠Diameter。

Diameter协议有个特点:它基于AVP(属性值对)来传递信息。每个AVP都有特定的含义。攻击者可以篡改AVP的值,比如把“允许接入”改成“拒绝接入”。

注意: Diameter协议本身没有加密机制。虽然可以用TLS/IPSec来保护,但很多运营商为了性能,直接跑明文。这就是个大隐患。

HTTP/2

5G核心网引入了HTTP/2作为服务化接口的承载协议。为什么选HTTP/2?因为它支持多路复用、头部压缩,性能比HTTP/1.1好很多。

但HTTP/2也有安全问题。比如,攻击者可以利用“流依赖”关系发起拒绝服务攻击。我建议在做5GC安全评估时,重点关注HTTP/2的流控机制。

GTP-C(GPRS隧道协议-控制面)

GTP-C是4G/5G核心网中用于隧道管理的协议。它负责建立、修改和删除GTP隧道。S-GW和P-GW之间的信令,就是靠GTP-C。

GTP-C有个经典漏洞:没有源地址验证。攻击者可以伪造GTP-C消息,让S-GW把用户数据发到错误的P-GW。我曾经在测试环境中复现过这个攻击,效果“立竿见影”。

协议 主要用途 承载网络 安全风险
SIP IMS会话控制 4G/5G 消息伪造、资源耗尽
Diameter AAA、策略控制 4G 明文传输、AVP篡改
HTTP/2 5GC服务化接口 5G 流控攻击、头部注入
GTP-C 隧道管理 4G/5G 源地址欺骗、消息伪造

小结一下: 信令面是核心网的“命门”。从2G到5G,协议在变,但攻击的本质没变——都是利用协议设计或实现上的缺陷,达到窃听、篡改、拒绝服务的目的。后面几章,我会逐一拆解这些攻击路径。

好了,这一章就到这里。内容不多,但都是基础。下一章咱们聊SIP协议的攻击面,那才是真正“刀刀见血”的东西。


公众号:蓝海资料掘金营,微信deep3321