浅析基于SIP统一通信安全问题

摘要：本文从统一通信的底层支撑协议―SIP协议出发，分析出当前统一通信安全解决方案的不足之处，最后引入TNC的思想，提出了一套新的统一通信安全解决方案。

关键词：统一通信；安全；SIP；TNC

1.绪论

当今，科学技术高速发展，信息化程度不断提高，人们之间是否能够快速准确地沟通便显得尤为重要，而统一通信的到来更是让本己快捷的沟通变得更加的高效起来。自2006年统一通信被提出起来，统一通信发展相当迅速，现如今，已成为提高企业信息化程度的利器，但是，同时它所带来的安全问题也严重制约了统一通信的高速发展。

想要解决统一通信的安全问题，必须从根本上找原因，从统一通信的本质上找原因。本文从统一通信的底层支撑协议―SIP协议出发，研究了针对SIP信令层的攻击方式和解决方法，最后结合TNC技术，提出了一套新的统一通信安全解决方案。

2.基于SIP信令层的攻击方式

2.1注册劫持

注册劫持是指攻击者利用SIP协议注册机制的漏洞，将自己的地址伪装成注册服务器中的合法用户地址，从而使得原本发送给合法用户的信息，都发送给了攻击者本身。

SIP注册机制，就是指用户终端向注册服务器发送注册信息，注册服务器在进行身份合法性认证后，将用户信息保存，建立用户与地址的一一对应关系，从而使服务器或重定向服务器发往用户终端的信息能够准确达到。攻击者可以向要攻击的注册地址发送coniact为*，Expires为0的注册请求，通过这个操作，攻击者可以注销该合法用户的一切联系地址，然后，针对该记录，攻击者发送另一个注册申请将其中的Coniact改成了自己的正地址，这样，就改写了合法用户的联系地址，以后，所有本应该发送到合法用户的SIP呼叫，都会发送到攻击者的地址上来。

2.2伪装服务器

伪装服务器是指攻击者将自己伪装成服务器，向用户发送消息，而让用户以为是服务器发送的，又或者是让用户原本发送给服务器的消息发给自己。用户向服务器发出呼叫请求后，服务器根据呼叫请求的类别，决定转发。由于SIP消息是明文传送的，也就是说，当消息被截获后，很有可能泄露服务器的关键信息，因此攻击者就可以伪装成服务器了。

2.3消息篡改

SIP消息篡改是指攻击者拦截并修改SIP消息，以达到其非法目的。之所以能篡改消息而不被察觉，是因为用户发出的消息可以通过服务器达到目的地，但是消息接受者确不会检查消息是否有被恶意的篡改。SIP客户端是通过信任的SIP服务器来进行路由呼叫的，而且媒体会话加密的密钥也是客户端通过SIP消息体来传送的，这个时候，恶意的服务器就可以修改消息体，或者服务器作为中间人，直接修改会话加密的一些安全特性，而且在SIP消息的头字段中，有许多字段都具有重要的意义，一旦在消息传递过程中被恶意篡改，就会造成很多意想不到的后果。

2.4结束会话

结束会话是在会话连接建立以后，在消息的传递过程中，我们可以发送消息来修改会话的状态。例如，可以通过发送BYE请求来结束会话，但是，我们确不能识别这个BYE请求是否合法，也就是说我们不知道这个BYE请求有没有经过恶意篡改或者是不是由非法用户发送的。如果攻击者伪造了一个BYE请求，当接收者接收到这个请求之后，会话就会被非法终止。

3.基于SIP攻击的安全对策

3.1HTTP摘要认证

HTTP摘要认证采用客户端/服务器端模式。首先客户端向服务器端发送连接请求，服务器端收到请求后，如果客户端不能够提供有效的身份证明，那么服务器端就会发送401消息，向客户端说明需要其提供认证信息，同时这个消息里还有随机值nonee和作用域realm。客户端收到挑战后，通过服务器返回的相关信息，例如nonce，:ealm，用户名和密码等，通过哈希算法来生成一个摘要值response，通常情况下，使用的是MDS，服务器端收到客户端发送过来的response值之后，与自己计算生成的response值进行比较，就可以知道客户端是否是合法的客户端。如果这两个值相等，那么服务器端就向客户端返回200消息，确认认证连接成功。

3.2IPsee保护

IPSee是Intemet协议安全性的缩写，它是一种具有开放标准的安全保护框架。IPSee通过使用加密的安全保护服务来确保信息在IP网络上的传输安全。它主要有两个目标，第一个是保护IP数据包，也就是说为数据提供机密性与完整性的保护。第二个是防御网络攻击，当数据要穿过不信任的网络的时候，IPSee可以创建隧道，来达到防御网络攻击的目的。IPSec能够在网络层上为SIP消息提供加密的服务，并且所有基于TCP、UDP和SCTP的SIP信令协议都可以使用IPSee来加强安全性保护。

3.3TLS保护

TLS保护的过程包含三个基本阶段:

l)协商密钥算法。

2)身份认证。

3)数据传输保密。

具体来说，就是TLS客户端首先建立TCP连接，建立后，就向TLS服务器端发出ClientHelfo消息进行握手，自己的密钥算法就在这个消息里面。TLS服务器端收到消息之后，开始确定密钥算法，完成后会回应一个serverHello消息，然后，再向客户端发送身份认证。客户端在收到认证之后，就会向服务器发送一个用TLS服务器的公钥加密过的消息，在服务器这边，TLS服务器端接收到此秘密消息之后，就用自己的私钥进行解密，最后会话密钥协商成功。

3.4端到端加密

对于端对端的加密，在SIP中还可以应用S/MIME加密方式和端到端的PGP加密方式。S/MIME是多用途网际邮件扩充协议的英文缩写，是MIME的安全版本。S/MIME原本是设计用来加密邮件，它基于MIME标准的，可以为电子消息类的应用程序提供认证、完整性、私密性等安全性保护功能。虽然，S/MIME在传统领域上是用来加密发送邮件和解密接收邮件，但是，现在，它已经不再只是应用于邮件系统中，其实，只要是能够传输MIME类型

数据的的传送机制，都可以应用。

4.改进后的统一信息方案体系结构

在原有的统一通信系统安全机制的基础之上，引入TNC的思想，可以产生一种新的结合TNC思想的统一通信安全解决方案。

该模型共有五层，最底层是TCP/IP层，是统一通信的承载层。倒数第二层则是加密层，这里主要是对SIP信令以及流媒体进行加密。倒数第三层是身份认证层，使用HTTP摘要认机制进行身份认证。再往上就是SIP层，这一层是统一通信的信令层，也是统一通信的底层协议。最顶上的一层就是则是业务应用层，这一层除了统一通信的应用之外，还有包括安全防护组件。

新统一通信安全解决方案可以实现以下功能。

(1)身份认证:采用HTTP摘要认证机制实现。

(2)信令加密:采用TLS实现。

(3)流媒体加密:采用SRTP实现。

(4)端点完整性检测:采用安全防护组件实现。在用户终端请求接入网络时，对其完整性进行检测，当用户终端的完整性符合策略的时候，才允许进入，否则，进行隔离修复。

(5)安全状况周期性检查:采用安全防护组件实现。在用户终端成功接入网络之后，对其安全状况进行周期性的检查，发现异常就报警或者进行异常处理。

从以上的分析可以，新的统一通信安全解决方案是在原有的统一通信安全解决方案基础之上，结合TNC的思想而形成的。它的工作流程描述为:

步骤1:客户端向服务器发起SIP/SIMPLE连接请求。

步骤2:客户端和服务器建立TLS连接。

步骤3:客户端与服务器交互认证，同时对用户授权。

步骤4:客户端安全防护组件收集用户终端完整性状态信息，发送到服务器。

步骤5:服务器端安全防护组件验证结果，形成接入建议报告，发送给客户端安全防护组件。

步骤6:客户端安全防护组件根据建议，对用户终端的接入请求进行处理，允许或者拒绝。

步骤7:在用户终端的整个通信过程中，安全防护组件周期性检测用户终端的健康状况。

5.结论

本文是从统一通信的底层支撑协议出发，从而分析出当前统一通信安全解决方案的不足之处，提出了一套新的统一通信安全解决方案。随着统一通信的发展，其必将出现许多新的安全性问题，而以后的统一通信安全问题的研究还将继续下去。■

参考文献

[1]娄颖.SIP协议安全机制研究[J].广东通信技术，2004，第24卷第4期Ps一8.

[2]俞志春，方滨兴，张兆心.SIP协议的安全性研究121.计算机应用，2006，第26卷:p2124一2126.