垃圾短信监控的原理与实现

1 引言
      随着中国手机用户数量的迅猛增长，手机短信业务因其使用方便、价格便宜和随时随地收发等优点而在短时间内得到大面积普及。短信业务自2000年起在中国正式推广，现已获得爆炸性的增长，手机短信成为人们交流的一种新手段。2005年中国手机用户数将超过4亿，形成全球最大的移动电话市场；短信业务量也在迅速增长，2004年达到2 200亿条，与2003年相比增长了58%。据统计，仅2005年春节7天时间，全国的短信发送总量就突破了100亿条，短信业务的市场空间巨大。

      但短信业务的迅猛发展同时也带来了信息安全方面的问题。很多不轨分子利用短信骚扰他人、干扰他人正常生活；利用短信发布虚假信息进行诈骗；利用短信煽动闹事、散布谣言、攻击政府，影响社会稳定；利用短信传播色情、反动消息，危害公共安全；通过短信大量发布广告，影响人们的正常生活。

      如何在保持短信业务活力的同时限制有害短信的传播、净化短信内容成为一个亟待解决的问题。目前除了在行政法规方面加强对信息发布的管理外，各电信运营商还应通过技术手段建立垃圾短信监控系统，对短信内容进行有效的监控和过滤。

2 短信安全现状
      短信的安全监控是一个较新的课题，加上短信业务流程复杂、接入方式灵活多变，因此对短信内容的监控和过滤非常困难，目前并没有成熟的解决办法，各运营商都在积极探索，希望针对各自网络的特点建立一套严密而行之有效的安全监控系统。

      垃圾短信(包含广告短信和各种有害、非法短信)和垃圾邮件在一定程度上有相同之处，但是短信的安全监控还是一个新兴事物，在监控方式上不像监控垃圾邮件那样成熟，因此，在现有条件下，要从技术手段上完全杜绝垃圾短信不现实，只能在最大程度上限制垃圾短信的传播。

      从中国的情况来看，中国移动、中国联通发展短信业务的时间长，积累了大量的系统运营和业务发展经验，目前已经在全国范围内建立了短信安全监控系统，对于消除短信的负面影响、遏制有害信息的传播起到了积极的作用。中国电信和中国网通的固网短信业务刚刚起步，与中国移动、中国联通的短信互通也仅仅在2004年底才实现，运营时间短、经验相对不足，因此垃圾短信的监控仍在起步阶段。

3 短信业务系统安全性分析
      短信业务是GSM和CDMA移动通信系统提供的主要电信业务之一，它通过无线信道进行传输，经短消息中心(SMSC)完成存储和转发[1]。短消息系统基本体系结构如图1所示。安全隐患存在于3个部分：接入部分、短信中心(SMSC)和短信网关(SMG)。

      (1)接入部分的安全 
      移动用户(MS)对SMSC的接入包括两段：第一，MS和基站(BTS)之间的无线链路；第二，基站到移动交换中心(MSC)再到SMSC的有线网络。

      短信数据包在无线链路(从MS到BTS)的传输可以利用A5算法进行加密，不过目前的GSM网络没有对语音、数据和信令加密，而是以明文的形式来传输，很难防止无线链路上的信号被截取，那么需要确保的就是在攻击者获得数据的情况下不能利用这些数据进一步进行破坏，比如窃取机密、伪造信息等。

      在有线网络中，由于采取的传输协议不同，所以相应的安全措施也不同。在7号信令协议(SS7)上，SS7本身没有定义关于安全的操作，如果要加强安全性可以采取虚拟专用网(VPN)技术；在TCP／IP上，可以采用的安全措施很多，例如在IP层上采用VPN技术，在TCP层上采用传输层安全协议(TLS)机制。

      (2)SMSC的安全
      SMSC的功能模块结构及其对外接口如图2所示。由4个部分组成：信令接口模块、短信控制中心模块、数据库模块、外部信息源接口模块。

• 信令接口模块把从7号信令网上发来的消息转换为IP包，发送给短信控制中心；将短信控制中心发送来的消息转换成7号信令消息，并发送出去。所遵循的协议是MAP、TCAP、SCCP等。
• 短信控制中心模块负责SMSC的正常运作及管理，实现短信的存储及转发和维护管理等功能。
• 数据库模块负责存储短信数据和一些系统维护管理信息。
• 外部信息源接口模块实现与外部应用的接口，遵循的协议是SMPP。
  

      SMSC的安全威胁主要是关于数据库的管理。目前的短信数据都是以明文的形式保存在数据库中，对数据库的管理主要有两个方面：首先，保证SMSC和有关部门以外的第三方不能访问数据库；其次，防止可以接触到数据库的工作人员或者非法入侵者窃取数据库中的重要信息，因为一旦利用短消息来开展电子商务，那么数据就要有一定的机密性保证。

      (3)SMG的安全
      SMG与短信业务提供商(SP)之间的逻辑连接如图3所示。

      从图3可以看出，SMG是SP与移动网内SMSC之间的中介实体。SMG一方面负责接收SP发送给MS的信息并提交给SMSC；另一方面，MS点播SP业务的信息将由SMSC通过SMG发给SP。

      SMG与SP、SMSC之间的通信都是在TCP/IP网络上，只不过在应用层上采用的协议不同。在SMSC与互联网SMG之间用的是SMPP协议，而在SMG与SP之间采用的是各电信运营商自己开发的协议，如中国移动使用CMPP协议，中国联通使用SGIP协议。

4 垃圾短信的监控原理与实现
      从以上分析中可以看出，短信系统在安全性方面有较大的不足，本文的主要目的在于探讨如何监控短信内容，因此短信系统存在安全性问题的几个关键点也就成为了对短信内容的监控点。
针对短消息的安全需求，对于信息的监控(提取和过滤)在技术上有3种不同的实现机制：实时过滤机制、话单分析机制和协议监测机制。

      这3种监控机制均在各移动通信运营商的现网中采用，是现阶段应用较多、相对成熟的技术。不管采用什么样的监控机制，需要实现的目标是共同的：

      (1)监控全面，能够覆盖目前几乎所有的短信业务。

      (2)信息采集安全、方便，能够灵活扩展，不影响正常的短信业务流程，对原系统的影响小。

      (3)信息过滤采用多种不同的机制，能够按照重要性灵活配置过滤规则，对信息内容有模糊识别功能，能最大限度地避免遗漏。

      (4)对于多种途径采集到的短消息能够正常识别内容、及时存储，并且提供多种手段进行后续的分析和处理。

      (5)对于过滤后的垃圾短信黑名单号码能够通过自动和手动两种方式及时拦截，且拦截处理时间短。

      下面对上述3种机制的实现原理和特点进行讨论。

4.1实时过滤机制
      实时过滤流程如图4所示。

      (1)方案概述
      SMSC接收到普通用户发送或实体提交的短消息后，发送一个鉴权请求消息到监控系统，监控系统对短消息内容进行判断，返回给SMSC鉴权响应消息，如果短消息内容合法，则返回鉴权成功消息，SMSC将该消息下发给短消息接收方；如果内容不合法，则返回鉴权失败消息，SMSC将该消息直接丢弃，不下发给接收方。

      中国信息产业部颁布了《短信息业务中心与短信息监控中心接口规范》，采用的就是这种实现方式。目前已经有部分通信设备厂商根据该规范开发出了短信实时过滤系统。

      (2)方案优点
      该方案能够实现真正地实时过滤，理论上能够做到“一条不漏”的监控和拦截。为了最大限度减少信息过滤对正常业务造成的不利影响，SMSC设置了超时处理机制，如果SMSC到监控系统的通信接口或者监控系统本身发生了故障导致SMSC在短时间内(一般为几秒钟)收不到鉴权响应消息，则SMSC将该消息直接下发。

      该方案控制灵活，对于同一发起方发送的消息，能够做到只拦截不合法的消息，不拦截合法的消息。

      (3)方案缺点
      该方案需要更改原有的短信业务流程，现有的SMSC需要配合监控系统进行相应的改造，同时业务流程变长(增加两条消息交互)将会导致SMSC实际处理能力下降，据测算，SMSC做相应改造后的处理能力下降了30%左右，同时流程变长也会导致时延增大。

      (4)方案原理与实现
      根据《短信息业务中心与短信息监控中心接口规范》定义，SMSC和SMMC之间的信息交互采用标准的SMPP协议，SMSC通过DELIVER_SM将起呼(MO, Mobile Original)消息提交给SMMC，SMMC提取DELIVER SM中short_message_text字段的内容，按照既定的规则进行实时过滤，并且返回给SMSC一条DELIVER SM RESP消息，如果DELIVER SM RESP的状态字段取值是“E PERMIT”，则表示“鉴权成功”，则SMSC将该MO消息入库后转换成MT消息下发；如果DELIVER SM RESP的状态字段取值是“E DENY”，则表示“鉴权失败”，SMSC将该MO消息直接丢弃。

      在错误处理上，如果SMSC等待响应消息的时间大于等于5 s，则SMSC记录日志，不必重发，正常下发信息。如果错误是SMPP层的错误或操作超时，则SMSC按照正常流程处理(发送短信)。

      但是这种实时过滤机制也有一定局限性，如果只对消息内容做简单判断，一般采取关键字匹配的方式，这样就无法对发送频率、成功率等因素进行复杂的统计分析。为了实现更准确的过滤，安全中心也可以在实时过滤的同时将消息内容全部入库，利用现有的比较成熟的模糊匹配、神经网络等智能算法，对消息内容、发送频率、成功率等做更为详尽的分析，然后再根据分析的结果有针对性地对某类型的消息进行拦截。

      在实际应用中，SMMC往往要连接多个SMSC，为了实现灵活扩展，SMMC往往由两部分构成，首先由汇接网关汇聚来自多个SMSC的消息，然后将鉴权消息提交给安全中心进行过滤，安全中心将响应消息返回给汇接网关，汇接网关再返回给SMSC。

4.2 话单分析机制
      话单分析流程如图5所示。

      (1)方案概述
      由于计费服务器上的原始话单文件中包含了MO消息话单(包括普通用户发送的点对点消息和ESME提交的短消息)，因此该方案是将计费服务器上的原始话单文件作为统计数据源，垃圾短信监控服务器从统计信息源获取数据。垃圾短信监控服务器定时连接计费服务器，下载最新的原始话单记录到本地，由统计模块进行处理。统计模块定时扫描工作目录，根据原始话单文件的先后顺序依次处理，在处理完成后将本地原始话单文件转移到备份目录，以便维护人员通过维护终端进行消息内容检查。

      (2)方案优点
      该方案实现简单，对原有系统的影响很小。

      (3)方案缺点
      该方案采用了后处理方式，从短信发送到话单采集存在时间差(约
15 min)，无法做到对垃圾短信的实时监控，这种准实时的处理方式有可能导致部分敏感信息无法及时监控和拦截。

      该方案利用SMSC本身的黑名单功能进行拦截，发送用户一旦列入黑名单，将不能发送任何短消息。另外，如果ESME发送了垃圾短信，则只能人工中断该ESME与SMSC的连接。

      (4)方案原理与实现
      话单分析的处理流程如图6所示。话单采集模块通过FTP方式接收SMSC计费服务器传递过来的短信话单，然后将话单解析转换，再写入数据库。

      统计监控模块对数据库内容进行统计分析，主要有以下3种统计分析方式：

• 监控起呼信息条数：在监控系统中设定在一段时间内MO消息条数的门限阀值(例如设定为100 条/h)，当某用户发送短消息条数达到或超过设定的阀值时，即认为该用户是可疑用户。
• 消息内容监控：将短消息内容和监控系统中事先设定的关键字进行比较，当某条短消息内容和关键字相匹配时，系统即认为该条消息为可疑消息。
• 发送成功率监控：当监控系统检测到某用户发送短消息的成功率达到或超过设定的阀值时，即认为该用户是可疑用户。
  

      黑白名单管理模块自动接收统计监控模块监测到的可疑用户(黑名单)，或者通过操作维护台人工判断是否生成黑名单，对于特权用户可以生成白名单，不受流量或内容限制。黑名单的取消可以采用系统操作员手动取消或系统自动定时取消两种方式。

      接口模块提供与SMSC业务处理模块之间的接口，黑名单号码将及时传送给SMSC，由SMSC进行拦截。接口模块也可以直接和营帐系统或归属位置寄存器(HLR)连接，发送指令到HLR，停止黑名单用户的短信功能。

      在具体实现时，监控系统可以作为SMSC本身的一个功能模块，实现垃圾短信监控的功能。

4.3 协议监测机制
      协议监测流程如图7所示。

      (1)方案概述
      该方案通过“监听”现有系统的方式进行监测，发往SMSC的消息被旁路到短信监测系统，监测系统将监听到的消息进行实时分析，一旦判断短信发起方发送的是垃圾短信，则通过“反馈机制”拦截这些消息。

      (2)方案优点
      该方案对现有系统不产生任何的影响，仅仅通过“旁听”的方式实现，不需要现有系统作任何配合和改变，易于实施。监测系统的配置非常灵活，能够根据垃圾短信监控的需要和短信系统的变化情况灵活调整，扩展性良好。

      (3)方案缺点
      由于该方案采取的是后处理的方式实现，因此从监控到拦截存在一定的时延，会导致部分垃圾消息不能及时拦截。另外，监测系统本身并不具备拦截功能，需要通过SMSC黑名单或HLR来停止发送方的短信功能，一旦用户加入黑名单或在HLR停止短信功能，该用户将不能发送任何短信。另外，如果ESME发送了垃圾短信，则只能人工中断该ESME与SMSC的连接。

      (4)方案原理与实现
      该方案需要通过两种不同的方式来实施，针对普通用户发送的点对点消息，采用监测SS7的方式，针对网关或其他ESME发送的消息，采用监测SMPP协议数据包的方式。监测系统先将监听到的消息分别按照对应的协议解码入库，然后按照预先设定的规则进行分析过滤，根据不同的设置条件生成黑名单。

      图8是综合监测系统的监测点位置图。共有3个监测点：

      (1)监测点A：MAP信令监测
      由于所有的普通用户的起呼消息都是通过SS7传送给SMSC的，因此，通过监听MSC到SMSC的SS7信令(MAP协议)，就能监测所有的普通用户起呼消息。监测实现如图9所示。

      侦听单元通过高阻接入，实时进行协议分析，负责捕捉链路上的信令单元，分析、发送捕捉的信令数据到预处理和分发模块。

      预处理和分发模块完成SS7信令链路上原始MSU数据包的解包和短消息内容的还原等与处理工作，在解出了MO短消息的内容之后，将MO消息按照一定的分发策略分发给实时分析模块处理。
实时分析模块对收到的MT消息进行实时地分析处理，按照预定义的内容和流量策略进行分析，同时将原始消息和分析结果存放到相关的数据库中。

      (2)监测点B：SMSC协议监测
      由于所有的ESME都是通过SMPP协议连接到SMSC的，因此通过监听ESME发往SMSC的TCP/IP数据包，就能监测所有的ESME起呼消息。其监测实现如图10所示。

      侦听预处理和分发模块实时地捕获流经短消息中心网卡的所有TCP/IP数据包，按照SMPP协议解包，最后进行分析，整个过程并不影响数据的正常传输。

      (3)监测点C：短信网关协议监测
      由于ESME发送SMSC的部分消息不需要监测(例如ESME是计费系统或客服系统的情况)，为了减少监测的数据量，可以考虑在网关和网关之间或者SP系统和网关之间设置监测点，只监测有需要的数据。在这种情况下，监测点C可以取代监测点B。监测实现如图11所示。

      侦听预处理和分发模块实时地捕获流经网关网卡的所有TCP/IP数据包，然后进行分析，整个过程并不影响数据的正常传输。目前中国联通采用的是SGIP协议，中国移动采用的是CMPP协议，因此，解码模块需要针对不同的协议分别设计。

      虽然所有的协议数据流都是双向的，但是在这里只需要考虑用户或ESME起呼的消息，也就是发往SMSC的消息，这样就能够实现垃圾短信监控的目的。

5 结束语
      以上对当前现网中采用的3种垃圾短信监控机制做了详细的分析，表1对比了这3种实现机制的优缺点。

      这3种方案都是现阶段较为成熟的方案，在实际应用中采用何种方案，需要根据网络结构、系统容量、投资规模等综合考虑。实时过滤机制能够提供最完整的解决方案，因此对于新建短信中心或者对垃圾短信监控要求很高，并且预算充足时，应该优先考虑采用此方案；如果希望垃圾短信监控功能的实现对原有短信中心影响最小，并且实现较好的监控效果，可以考虑采用协议监测机制；如果投资较小，但是又想实现垃圾短信监控，可以考虑采用话单分析机制。

      实际上，由于实现机制的不同，这3种方案的监控侧重点并不完全一致，对于非法信息或是一些特定内容的敏感信息监控，实时过滤是最合适的；对于垃圾广告信息的监控，协议监测最合适，因此，在实际应用中可以考虑将这3种方案中的两种组合使用，以实现更好的监控效果。

6 参考文献
[1] 单广玉, 范晓晖, 杨义先. 短消息业务系统安全性分析[J]. 信息网络安全, 2003,(11):52—54.

收稿日期：2005-07-15

[摘要] 垃圾短信监控是针对手机短信的安全而提出的一个新课题。短信业务系统的安全隐患存在于接入部分、短信中心和短信网关，现网中应用较多的监控机制有3种：实时过滤机制、话单分析机制和协议监测机制。它们的侧重点各不相同，可以组合使用。

[关键词] 短消息；信息安全；原理；监控；垃圾短信拦截

[Abstract] Monitoring Spam short message is a new task for the Short Message (SM) service management. Concerning security issues, there are vulnerabilities in the access part, SM center and SM gateway of SM service system. Three monitoring mechanisms are usually adopted, i.e., real-time blocking, bill analysis and protocol inspection. Each of them has different advantages and they can also be combined together.

[Keywords] short message; information security; principle; monitoring; spam short message blocking