1. 核心网信令面概述
各位同学好,我是老张。今天咱们聊聊核心网信令面。说实话,做了十几年核心网安全,我见过太多因为信令面漏洞被攻破的案例。信令面是什么?说白了,它就是网络的“神经系统”。没有它,手机连个电话都打不出去。
嗯,咱们先从最基础的讲起。核心网架构从2G到5G,变化非常大。我刚开始入行那会儿,还在搞2G的七号信令,现在回头看,真是恍如隔世。
1.1 核心网架构演进(2G到5G)
核心网的演进,本质上就是一次“去中心化”的过程。2G时代,核心网是典型的“大铁盒子”架构。MSC、HLR、VLR,每个网元都身兼数职。我记得有一次排查故障,发现MSC的CPU负载飙到90%,就是因为信令处理不过来。
到了3G,引入了RNC和分组域。这时候核心网开始“分家”了——电路域管语音,分组域管数据。但问题也来了,两个域之间信令交互复杂,容易出漏洞。
4G时代是个分水岭。EPC架构把控制面和用户面彻底分离。MME管信令,S-GW和P-GW管数据。这个设计思路一直延续到5G。我个人觉得,这是核心网安全最大的进步——控制面集中了,攻击面反而缩小了。
5G核心网更进一步,采用了SBA(基于服务的架构)。每个网元都变成独立的“服务”,通过HTTP/2通信。你想想看,这相当于把一个大房子拆成了无数个小房间,每个房间都有独立的门锁。安全性确实提升了,但信令交互的复杂度也上去了。
核心网演进关键点:
- 2G:TDM承载,七号信令,网元耦合度高
- 3G:引入分组域,电路域与分组域并存
- 4G:控制与用户面分离,全IP化
- 5G:服务化架构,云原生,HTTP/2承载
下面这张图,是我自己画的。它展示了核心网信令面从2G到5G的演进逻辑。你看,信令协议越来越轻量,但交互越来越频繁。
1.2 信令面与控制面的关系
这个问题,我经常被刚入行的同事问。信令面和控制面,到底是不是一回事?
我的回答是:信令面是控制面的“子集”。控制面包含所有用于建立、维护、释放网络连接的逻辑。而信令面,特指那些在网元之间传递的控制消息。说白了,信令面是控制面的“通信管道”。
举个例子。你在手机上拨号,控制面负责决定“这个呼叫该走哪条路”,而信令面负责把“走这条路”的指令从MSC传到BSC。没有信令面,控制面就是个光杆司令。
我的经验: 在做安全审计时,我习惯先看信令面。为什么?因为信令面是攻击者最容易“下手”的地方。控制面的逻辑漏洞需要深入了解业务,而信令面的协议漏洞,往往只需要抓包分析就能发现。
1.3 信令协议栈简介
核心网信令协议,从2G到5G,经历了从“重”到“轻”的转变。我挑几个重点的给大家讲讲。
SIP(会话初始协议)
SIP主要用于IMS(IP多媒体子系统)。它负责建立、修改和终止多媒体会话。说白了,VoLTE电话就是靠SIP来“打招呼”的。
我曾经遇到过一个案例:攻击者伪造SIP INVITE消息,导致IMS网元资源耗尽。原因就是SIP消息的合法性校验没做好。嗯,这个后面会详细讲。
Diameter
Diameter是4G核心网的信令主力。它用于AAA(认证、授权、计费)。MME和HSS之间的通信,全靠Diameter。
Diameter协议有个特点:它基于AVP(属性值对)来传递信息。每个AVP都有特定的含义。攻击者可以篡改AVP的值,比如把“允许接入”改成“拒绝接入”。
注意: Diameter协议本身没有加密机制。虽然可以用TLS/IPSec来保护,但很多运营商为了性能,直接跑明文。这就是个大隐患。
HTTP/2
5G核心网引入了HTTP/2作为服务化接口的承载协议。为什么选HTTP/2?因为它支持多路复用、头部压缩,性能比HTTP/1.1好很多。
但HTTP/2也有安全问题。比如,攻击者可以利用“流依赖”关系发起拒绝服务攻击。我建议在做5GC安全评估时,重点关注HTTP/2的流控机制。
GTP-C(GPRS隧道协议-控制面)
GTP-C是4G/5G核心网中用于隧道管理的协议。它负责建立、修改和删除GTP隧道。S-GW和P-GW之间的信令,就是靠GTP-C。
GTP-C有个经典漏洞:没有源地址验证。攻击者可以伪造GTP-C消息,让S-GW把用户数据发到错误的P-GW。我曾经在测试环境中复现过这个攻击,效果“立竿见影”。
| 协议 | 主要用途 | 承载网络 | 安全风险 |
|---|---|---|---|
| SIP | IMS会话控制 | 4G/5G | 消息伪造、资源耗尽 |
| Diameter | AAA、策略控制 | 4G | 明文传输、AVP篡改 |
| HTTP/2 | 5GC服务化接口 | 5G | 流控攻击、头部注入 |
| GTP-C | 隧道管理 | 4G/5G | 源地址欺骗、消息伪造 |
小结一下: 信令面是核心网的“命门”。从2G到5G,协议在变,但攻击的本质没变——都是利用协议设计或实现上的缺陷,达到窃听、篡改、拒绝服务的目的。后面几章,我会逐一拆解这些攻击路径。
好了,这一章就到这里。内容不多,但都是基础。下一章咱们聊SIP协议的攻击面,那才是真正“刀刀见血”的东西。
公众号:蓝海资料掘金营,微信deep3321