宋淑惠 邱明

【摘要】 信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得移動(dòng)網(wǎng)絡(luò)通信取得了更好的效果，就發(fā)展現(xiàn)狀來看，移動(dòng)通信系統(tǒng)將會(huì)實(shí)現(xiàn)以將lP為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，同時(shí)完成提供數(shù)據(jù)、語音以及圖像等將多媒體業(yè)務(wù)。IMS具有分布式、標(biāo)準(zhǔn)開放并且與介入無關(guān)等特點(diǎn)，已經(jīng)成為未來網(wǎng)絡(luò)融合控制平臺(tái)。本文對基于SIP的IMS安全進(jìn)行了分析。

【關(guān)鍵詞】 SIP IMS 網(wǎng)絡(luò)構(gòu)架

SIP是一個(gè)應(yīng)用層信令控制協(xié)議，主要來實(shí)現(xiàn)創(chuàng)建、修改以及釋放一個(gè)或者多個(gè)參與者會(huì)話，具有良好的擴(kuò)展性，在應(yīng)用上更為簡單，可以為多媒體會(huì)話提供多項(xiàng)功能。但是從應(yīng)用效果上來看SIP協(xié)議安全性比較低，在網(wǎng)絡(luò)環(huán)境中更容易被模仿、篡改以及攻擊。因此必須要做好基于SIP的IMS安全機(jī)制的分析，利用SIP協(xié)議漏洞與安全機(jī)制，發(fā)現(xiàn)IMS存在的安全威脅，對提高其執(zhí)行安全性具有重要意義。

一、SIP安全機(jī)制與漏洞分析

1.1 安全機(jī)制

IMS為支持IP多媒體業(yè)務(wù)的子系統(tǒng)，應(yīng)用了SIP協(xié)議與固定寬帶進(jìn)行軟交換。SIP協(xié)議在應(yīng)用上具有支持用戶漫游以及接入無關(guān)性等優(yōu)點(diǎn)，基于其對IMS進(jìn)行研究，可以更好的為移動(dòng)網(wǎng)絡(luò)通信的發(fā)展提供幫助。但是在應(yīng)用中，SIP協(xié)議為基于IP網(wǎng)絡(luò)的實(shí)時(shí)通信協(xié)議，這樣在IP網(wǎng)絡(luò)開放性、廣域性等特點(diǎn)增加了SIP的隱患。SIP協(xié)議安全機(jī)制主要包括認(rèn)證與數(shù)據(jù)加密兩種，其中HTTP摘要認(rèn)證是最為常用的認(rèn)證方式。SIP協(xié)議安全機(jī)制存在安全問題，需要對其存在漏洞進(jìn)行分析，并借此來判斷IMS存有的安全漏洞。

1.2 協(xié)議漏洞

1.2.1 注冊劫持

在注冊過程中，攻擊者可以截取register消息，并向一個(gè)URI所有contact發(fā)送注冊消息，并將自己設(shè)備注冊成contact地址，進(jìn)而所有用戶呼叫都會(huì)轉(zhuǎn)向攻擊者設(shè)備。

1.2.2 篡改消息

如果UA通過信任的proxy來路由呼叫，則存在的惡意proxy會(huì)對消息體進(jìn)行改動(dòng)。就實(shí)際應(yīng)用看大部分端到端SIP消息內(nèi)容都可以進(jìn)行篡改，如SDP、MIME等，攻擊者對消息SDP部分進(jìn)行改動(dòng)，完成對通信內(nèi)容的竊聽。

1.2.3 服務(wù)器篡改

呼叫過程中，UA一般都是直接向域中服務(wù)器發(fā)送呼叫請求Invite消息。在這個(gè)過程中攻擊者偽裝成重定向服務(wù)器接收到該消息后，向用戶發(fā)送301消息表示當(dāng)前SIP服務(wù)器已經(jīng)退出服務(wù)，并將自己位置指定為接替服務(wù)的SIP服務(wù)器。這樣攻擊者就可以截取所有用戶的呼叫請求，而不是由服務(wù)器來接收。

1.2.4 拒絕服務(wù)

SIP所有服務(wù)都基于IP網(wǎng)絡(luò)來實(shí)現(xiàn)，這樣SIP服務(wù)器在執(zhí)行過程中會(huì)不可避免的存在受到DOS攻擊的可能性。攻擊者只要偽裝一個(gè)虛假的IP地址以及相應(yīng)的Via字段，并假裝由某個(gè)主機(jī)發(fā)來的請求，將其大量發(fā)送給SIP服務(wù)器，就會(huì)導(dǎo)致服務(wù)器受到DOS的攻擊。

二、基于SIP的IMS安全方案分析

2.1 雙向身份認(rèn)證、密鑰協(xié)商

SIP安全機(jī)制常選擇用HTTP摘要認(rèn)證機(jī)制，本身存在一定的局限性，在對IMS安全機(jī)制進(jìn)行研究時(shí)，需要結(jié)合HTTP摘要認(rèn)證與SIP協(xié)議的特點(diǎn)，通過擴(kuò)展以及豐富SIP消息頭域內(nèi)容，對HTTP摘要認(rèn)證進(jìn)行了優(yōu)化，設(shè)計(jì)一套更適合IMS執(zhí)行的安全機(jī)制，實(shí)現(xiàn)client與server的雙向身份認(rèn)證與密鑰協(xié)商等。想要實(shí)現(xiàn)雙方身份認(rèn)證與密鑰協(xié)商，則服務(wù)器在可以向想客戶端發(fā)送認(rèn)證的基礎(chǔ)上，客戶端也可以實(shí)現(xiàn)向服務(wù)器發(fā)生認(rèn)證。在呼叫過程中，服務(wù)器端信息為challenge-s，包括作用域realm-s、摘要算法H1等?？蛻舳藢hallenge-s的響應(yīng)值response-c將用戶名username、隨機(jī)數(shù)nonce-s、共享秘鑰passwd等按照一定規(guī)則進(jìn)行組合，通過Hl摘要算法運(yùn)算后生成?？蛻舳诵畔閏hallenge-c，由response-c將用戶名username、隨機(jī)數(shù)nonce-c、客戶端支持機(jī)密算法、摘要算法H2以及模式等構(gòu)成，服務(wù)器端對response-c的響應(yīng)為response-s將服務(wù)器端域名、隨機(jī)數(shù)nonce-c、共享秘鑰passwd等按照一定規(guī)則組合，經(jīng)過H2算法預(yù)算后生成。

2.2 媒體流加解密與認(rèn)證

應(yīng)用的媒體數(shù)據(jù)包頭由4個(gè)部分組成，其中code證明所采用音視頻編解碼類型Flag第一位指示是都對數(shù)據(jù)進(jìn)行了加密，Auth為對序列號(hào)、SSRC以及媒體數(shù)據(jù)計(jì)算認(rèn)證值后截取前32位，極愛SSRC為同步源標(biāo)識(shí)符。通過對序列號(hào)進(jìn)行認(rèn)證可以避免重放攻擊，由主密鑰生成會(huì)話密鑰與認(rèn)證密鑰過程與SRTD相似，其中用32位序列號(hào)代替SRTP中48位Index值。對媒體數(shù)據(jù)進(jìn)行加密處理，由會(huì)話密鑰以序列號(hào)信息作為依據(jù)，對每一個(gè)數(shù)據(jù)包都生成一個(gè)密鑰，然后在利用此密鑰對此數(shù)據(jù)包媒體數(shù)據(jù)進(jìn)行加密。

三、結(jié)束語

通過對SIP安全機(jī)制存在的威脅的分析，針對基于SIP通信系統(tǒng)安全進(jìn)行研究，對安全機(jī)制進(jìn)行適當(dāng)?shù)男薷?，爭取提高?zhí)行的安全性。