探討SIP協(xié)議及其安全性分析

摘 要：SIP協(xié)議作為當(dāng)前新興發(fā)展起來(lái)的技術(shù)，其在下一代網(wǎng)絡(luò)協(xié)議中占有重要的地位，被認(rèn)為是未來(lái)互聯(lián)網(wǎng)和網(wǎng)絡(luò)會(huì)話協(xié)議。隨著其在日常生活中廣泛地應(yīng)用，SIP協(xié)議安全性是人們遇到的棘手問(wèn)題。本文從SIP協(xié)議存在的安全威脅入手，提出當(dāng)前SIP協(xié)議安全對(duì)策。

關(guān)鍵詞：SIP協(xié)議；安全性

中圖分類號(hào)：TN915

SIP協(xié)議作為應(yīng)用層信令控制協(xié)議，其連同其他協(xié)議為用戶提供服務(wù)。SIP協(xié)議運(yùn)用UDP傳輸，利用自身應(yīng)用層可靠性機(jī)制確保傳輸信息的準(zhǔn)確性和可靠性。SIP協(xié)議是當(dāng)前使用較為廣泛的VoIP協(xié)議，控制實(shí)現(xiàn)IP網(wǎng)絡(luò)信令。SIP協(xié)議設(shè)計(jì)之初將協(xié)議靈活性和易用性考慮在內(nèi)，卻忽略了SIP協(xié)議安全性的重要性，致使，目前SIP協(xié)議安全性存在缺陷。

1 SIP協(xié)議存在的安全隱患

1.1 注冊(cè)劫持

SIP協(xié)議注冊(cè)指的是用戶終端將自己信息注冊(cè)到某個(gè)注冊(cè)服務(wù)器上，在這個(gè)注冊(cè)服務(wù)器上，根據(jù)address-of-record能找到該用戶地址，該注冊(cè)服務(wù)器可查看Register消息From字段確定消息能否修改注冊(cè)用戶的注冊(cè)地址。但From字段可能被UA擁有者修改，這就為惡意修改注冊(cè)信息提供了可能。比如，惡意攻擊者可模擬UA，以檢查的名義修改address-of-record相關(guān)聯(lián)系地址，惡意攻擊者首先注銷原有合法用戶注冊(cè)信息，接著，修改From字段，讓自己設(shè)備地址成為“合法注冊(cè)用戶”，通過(guò)這種修改，可讓自己設(shè)備成功訪問(wèn)當(dāng)前合法用戶可訪問(wèn)的位置。這種形式的攻擊是對(duì)無(wú)請(qǐng)求發(fā)送數(shù)字簽名的攻擊，通常情況下，大概所有的SIP UAs希望認(rèn)證收到的請(qǐng)求，從而控制對(duì)自身資源的訪問(wèn)。正是這種惡意威脅的存在讓SIP實(shí)體對(duì)原始請(qǐng)求做安全認(rèn)證成為了一種必然。

1.2 偽裝服務(wù)器

偽裝服務(wù)器是攻擊者實(shí)現(xiàn)攻擊的一種手段，惡意攻擊者常常將自己偽裝成遠(yuǎn)端服務(wù)器，用戶代理終端UA錯(cuò)誤地被截獲。例如，惡意攻擊者在chicago.com區(qū)域，重定向服務(wù)器在biloxi.com區(qū)域，惡意攻擊者常將自己偽裝成為在biloxi.com區(qū)域，一旦用戶UA向biloxi.com區(qū)域發(fā)送消息，在chicago.com區(qū)域的惡意攻擊者便截獲用戶發(fā)往biloxi.com區(qū)域的請(qǐng)求，并假冒biloxi.com區(qū)域的重定向服務(wù)器向用戶回答偽造的應(yīng)答。這種惡意攻擊嚴(yán)重地威脅著相當(dāng)大一部分成員，一旦用戶發(fā)送給biloxi.com區(qū)域的信息被chicago.com區(qū)域截獲，同時(shí)應(yīng)答給用戶一個(gè)偽造的應(yīng)答，這樣一來(lái)，以后用戶UA所有的Register請(qǐng)求會(huì)發(fā)到chicago.com區(qū)域。攻擊者將應(yīng)答From字段改為重定向服務(wù)器就可實(shí)現(xiàn)偽裝服務(wù)器的目的，這就需要用戶UA認(rèn)證接受請(qǐng)求的服務(wù)器安全性[1]。

1.3 篡改消息

篡改消息分為篡改SIP消息體和篡改SIP消息頭字段兩種類型。篡改SIP消息體是指攻擊者修改SIP消息的加密密鑰，SIP UA路由必然請(qǐng)求通過(guò)信任的proxy服務(wù)器，UA信任proxy服務(wù)器轉(zhuǎn)發(fā)請(qǐng)求，雖然，proxy服務(wù)器被信任，但它不希望proxy服務(wù)器得到會(huì)話密鑰，這是因?yàn)椋坏﹑roxy服務(wù)器有惡意的存在，其就會(huì)像中間人一樣修改會(huì)話密鑰，從而破壞原始請(qǐng)求UA安全。篡改消息帶來(lái)的威脅不只是針對(duì)會(huì)話密鑰，其對(duì)SIP端到端的內(nèi)容都有一定的威脅，比如，對(duì)SDP、向用戶展示的MIME包體以及電話信令等等。如果攻擊者修改SDP包體，比如在RTP媒體流中安裝竊聽設(shè)備，那么就可以達(dá)到竊聽語(yǔ)音通信的目的。為了保護(hù)一些重要的SIP消息頭字段，UA要加密SIP包體，同時(shí)對(duì)端端之間的頭字段做限制，比如對(duì)于Subject主題字段，可能出現(xiàn)攻擊者將Subject重要請(qǐng)求改為次要請(qǐng)求，對(duì)于這種篡改SIP消息頭字段的惡意攻擊必須有一種安全機(jī)制來(lái)保護(hù)。但并非所有的頭字段需要保護(hù)，有一部分頭字段在proxy服務(wù)器處理請(qǐng)求的過(guò)程中合法更改的[2]。

1.4 惡意修改或結(jié)束對(duì)話

SIP根據(jù)BYE請(qǐng)求結(jié)束會(huì)話，有的惡意攻擊者會(huì)偽造這種請(qǐng)求，如果偽造的請(qǐng)求被接收到，會(huì)話會(huì)提前被結(jié)束。比如，非會(huì)話方的惡意攻擊者獲得初始信息，這些初始信息包括會(huì)話雙方在會(huì)話過(guò)程中的參數(shù)，一旦惡意攻擊者在會(huì)話過(guò)程中發(fā)送BYE請(qǐng)求，當(dāng)BYE請(qǐng)求被接收到后，會(huì)話會(huì)提前結(jié)束。除了會(huì)話終止還有惡意修改等，比如，發(fā)送re-INVITE請(qǐng)求改變會(huì)話。惡意攻擊者之所以能惡意修改會(huì)話或者提前終止會(huì)話都是因?yàn)槠湓跁?huì)話雙方建立會(huì)話階段捕獲了一些初始消息，獲取了一些重要的會(huì)話參數(shù)，比如，F(xiàn)rom字段、To字段等等，如果這些重要的會(huì)話參數(shù)被加密傳輸，惡意攻擊者就不能偽造請(qǐng)求了。

1.5 拒絕服務(wù)

拒絕服務(wù)是指攻擊者通過(guò)轉(zhuǎn)發(fā)網(wǎng)絡(luò)通訊堵塞其網(wǎng)絡(luò)接口，從而使某個(gè)特定的網(wǎng)絡(luò)節(jié)點(diǎn)不能正常工作，因攻擊受害的可能是網(wǎng)絡(luò)、聯(lián)網(wǎng)主機(jī)或路由器等。常見的拒絕服務(wù)有以下兩種[3]：（1）對(duì)SIP中間服務(wù)器的攻擊；（2）對(duì)SIP終端系統(tǒng)的攻擊。

2 SIP協(xié)議安全對(duì)策

2.1 網(wǎng)絡(luò)層和傳輸層的安全保護(hù)

為確保消息的安全性和可靠性，要對(duì)消息進(jìn)行完全加密，理論上，SIP協(xié)議由其自身底層安全機(jī)制確保自身安全，比如利用網(wǎng)絡(luò)層IPSec、傳輸層TLS等加密SIP消息。但基于IPSec網(wǎng)絡(luò)的復(fù)雜性，這種方法的成本較高，所以，考慮TLS，TLS可能遭受IP欺騙，但其作為一個(gè)能確保會(huì)話安全性的手段，可以考慮采用TLS加密SIP消息。TLS工作在應(yīng)用程序和TCP層之間，面向TCP以上傳輸層的安全，在傳輸過(guò)程中，得益于其TLS套接口，消息的可靠性和機(jī)密性得到了保證。然而，對(duì)SIP服務(wù)器來(lái)說(shuō)，不能維持過(guò)量的TLS負(fù)荷，其的擴(kuò)展性是應(yīng)該考慮的問(wèn)題。

2.2 HTTP摘要認(rèn)證

SIP協(xié)議常采用HTTP摘要認(rèn)證機(jī)制來(lái)完成身份的認(rèn)證，HTTP摘要認(rèn)證可有唯一確定的用戶名及密碼認(rèn)證一個(gè)用戶，其認(rèn)證機(jī)制主要有Proxy-to-User和User -to-User兩種模式。其中，User -to-User只實(shí)現(xiàn)Register-to-User情況，因此，通過(guò)ser -to-User實(shí)現(xiàn)UA之間認(rèn)證的可靠性并不能保證。目前，HTTP摘要認(rèn)證只能實(shí)現(xiàn)Server在本區(qū)域UA認(rèn)證，不能實(shí)現(xiàn)Proxy對(duì)域外UA認(rèn)證、Proxy之間的認(rèn)證以及UA對(duì)Server的認(rèn)證。

2.3 應(yīng)用層端到端加密

SIP協(xié)議可利用PGP加密方式和S/MIME加密方式來(lái)完成應(yīng)用層端到端的加密，這是因?yàn)镻GP和S/MIME均是公私鑰和單向散列算法相結(jié)合的加密體系，均能提供數(shù)字簽名、鑒別以及保密的功能，這樣可確保被加密信息的機(jī)密性和真實(shí)性。但考慮到一些SIP消息頭域只有對(duì)Proxy可見才行，所以，端到端的加密不一定能完成對(duì)SIP消息的完全加密。

3 結(jié)束語(yǔ)

本文詳細(xì)地闡述了當(dāng)前SIP協(xié)議存在的安全威脅，并提出了提高SIP協(xié)議安全性的一些認(rèn)證機(jī)制，但這些提出的安全策略都存在一定的弊端，隨著信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對(duì)SIP協(xié)議及其安全性要進(jìn)行更深入地探討。

參考文獻(xiàn)：

[1]俞志春，方濱興，張兆心.SIP協(xié)議的安全性研究[J].計(jì)算機(jī)應(yīng)用，2007（11）：2124-2125.

[2]司端鋒，潘愛民.IP電話中的安全性研究[J].計(jì)算機(jī)工程，2007（03）：105-107.

[3]黃元飛，金麗萍.網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化現(xiàn)狀及下一步研究重點(diǎn)[J].電信科學(xué)，2008（01）：23-26.

[4]薛曉飛，陳璐等.RTP基于SIP和RTP的VOIP通信[J].指揮信息系統(tǒng)與技術(shù)，2012（01）：68-71.

[5]趙鑫.采用無(wú)比特率編碼的可管理P2P流媒體分發(fā)模式[J].指揮信息系統(tǒng)與技術(shù)，2012（05）：40-45.

作者簡(jiǎn)介：紀(jì)凌（1980.07-），男，回族，南京人，工程師，工學(xué)學(xué)士，研究方向：通信工程。

作者單位：中電集團(tuán)第二十八研究所，南京 210007