资料下载
SIP安全机制研究
好名字
分享资料个
会话初始协议(SIP)是IETF制订的多媒体通信系统框架协议之一,也是3GPP的IP多媒体子系统(IMS)的重要组成部分。面对复杂、开放的因特网环境,SIP协议自身缺乏有力的安全机制,使其在安全性方面显得较为薄弱。该文从分析SIP的安全威胁入手,针对SIP协议报文明文传送、缺乏有力的身份认证这两大脆弱性,从数据加密和身份鉴定两方面研究了相应的安全解决方案,讨论了如何利用现有技术和手段改善SIP的安全性,并提出了进一步改善SIP安全性的一些思路。
关 键 词 鉴定; 加密; 会话初始协议; 安全机制
会话初始协议(Session Initiation Protocol,SIP)[1]是IETF制订的多媒体通信系统框架协议之一,是用于建立、改变或者结束多媒体会话的应用层协议。SIP协议基于文本编码,独立于UDP/TCP底层传输协议,与RTP/RTCP、SDP、RTSP、DNS等协议配合实现实时视频共享、语音即时消息、语音−视频电话、视频会议、流媒体的企业协作、点击呼叫(Click-to-call)、自动发起的电话会议、聚合的呼叫中心通信等应用[2]。目前3GPP标准组织已经把SIP作为3G移动通信中的多媒体标准R5的内容之一,即IP多媒体子系统(IP Multimedia Subsystem,IMS)的重要组成部分。
但是,面对复杂、开放的Internet应用环境,SIP协议自身缺少有力的安全机制,使其在安全性方面显得较为薄弱[3]。本文从分析SIP所面临的安全威胁入手,讨论了如何利用现有技术和手段改善SIP的安全性,并提出了进一步改善SIP安全性的一些思路。
1 SIP的安全威胁
SIP协议在设计之初充分考虑了协议的易用性和灵活性,采用了类似HTTP协议的文本方式,没有将安全性作为重点,使其在安全性方面存在一定缺陷。此外,由于SIP消息通过Internet传输,同样面临着IP网络常见的安全威胁[4]。下面分析四种针对SIP的典型安全威胁。
1.1 注册攻击
SIP的注册机制是根据From域中的标识ID来决定是否添加或者修改To域中的Contact地址。SIP协议允许第三方代表用户注册联系信息,From字头又可以由用户代理(User Agent,UA)的所有者改写,这就给攻击者恶意注册提供了方便。这类威胁表明需要一种使得SIP实体能够认证请求发送者身份的安全机制。
1.2 伪装服务器
攻击者通过伪装服务器而达到攻击目的。如用户发往重定向服务器的请求被攻击者截获,并被假冒成该重定向服务器向请求者发送一条伪造消息,将用户的请求定向到不正确或者不安全的地方。攻击者只需要将应答的From字段改成正确的重定向服务器就可以达到伪造服务器的目的。要想防止这类威胁,就需要UA能够对接收请求的服务器进行身份鉴定。
1.3 拒绝服务和放大
拒绝服务(Denial of Service,DoS)是指向特定的网络接口发送大量的信息,消耗系统资源,达到破坏系统功能或使其暂不可用的目的。通常,SIP中的Proxy需要接收SIP呼叫请求,因此,直接面对开放的IP网络的众多终端设备较容易受到DoS攻击。攻击者通过伪造一个虚假的IP地址和相应的Via字段,假装是某个主机发来的请求,然后大量发送给SIP服务器,从而使服务器资源耗尽,陷入瘫痪。SIP主机除了作为直接被攻击的对象之外,还有可能作为DoS攻击的帮凶,起到放大DoS攻击的作用。这类安全威胁问题需要一个好的安全架构,将拒绝服务攻击造成的影响最小化,并且需要在安全机制中特别留意这类攻击。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
- 相关下载
- 相关文章
