探讨SIP协议及其安全性分析

摘 要：SIP协议作为当前新兴发展起来的技术，其在下一代网络协议中占有重要的地位，被认为是未来互联网和网络会话协议。随着其在日常生活中广泛地应用，SIP协议安全性是人们遇到的棘手问题。本文从SIP协议存在的安全威胁入手，提出当前SIP协议安全对策。

关键词：SIP协议；安全性

中图分类号：TN915

SIP协议作为应用层信令控制协议，其连同其他协议为用户提供服务。SIP协议运用UDP传输，利用自身应用层可靠性机制确保传输信息的准确性和可靠性。SIP协议是当前使用较为广泛的VoIP协议，控制实现IP网络信令。SIP协议设计之初将协议灵活性和易用性考虑在内，却忽略了SIP协议安全性的重要性，致使，目前SIP协议安全性存在缺陷。

1 SIP协议存在的安全隐患

1.1 注册劫持

SIP协议注册指的是用户终端将自己信息注册到某个注册服务器上，在这个注册服务器上，根据address-of-record能找到该用户地址，该注册服务器可查看Register消息From字段确定消息能否修改注册用户的注册地址。但From字段可能被UA拥有者修改，这就为恶意修改注册信息提供了可能。比如，恶意攻击者可模拟UA，以检查的名义修改address-of-record相关联系地址，恶意攻击者首先注销原有合法用户注册信息，接着，修改From字段，让自己设备地址成为“合法注册用户”，通过这种修改，可让自己设备成功访问当前合法用户可访问的位置。这种形式的攻击是对无请求发送数字签名的攻击，通常情况下，大概所有的SIP UAs希望认证收到的请求，从而控制对自身资源的访问。正是这种恶意威胁的存在让SIP实体对原始请求做安全认证成为了一种必然。

1.2 伪装服务器

伪装服务器是攻击者实现攻击的一种手段，恶意攻击者常常将自己伪装成远端服务器，用户终端UA错误地被截获。例如，恶意攻击者在区域，重定向服务器在区域，恶意攻击者常将自己伪装成为在区域，一旦用户UA向区域发送消息，在区域的恶意攻击者便截获用户发往区域的请求，并假冒区域的重定向服务器向用户回答伪造的应答。这种恶意攻击严重地威胁着相当大一部分成员，一旦用户发送给区域的信息被区域截获，同时应答给用户一个伪造的应答，这样一来，以后用户UA所有的Register请求会发到区域。攻击者将应答From字段改为重定向服务器就可实现伪装服务器的目的，这就需要用户UA认证接受请求的服务器安全性[1]。

1.3 篡改消息

篡改消息分为篡改SIP消息体和篡改SIP消息头字段两种类型。篡改SIP消息体是指攻击者修改SIP消息的加密密钥，SIP UA路由必然请求通过信任的proxy服务器，UA信任proxy服务器转发请求，虽然，proxy服务器被信任，但它不希望proxy服务器得到会话密钥，这是因为，一旦proxy服务器有恶意的存在，其就会像中间人一样修改会话密钥，从而破坏原始请求UA安全。篡改消息带来的威胁不只是针对会话密钥，其对SIP端到端的内容都有一定的威胁，比如，对SDP、向用户展示的MIME包体以及电话信令等等。如果攻击者修改SDP包体，比如在RTP媒体流中安装窃听设备，那么就可以达到窃听语音通信的目的。为了保护一些重要的SIP消息头字段，UA要加密SIP包体，同时对端端之间的头字段做限制，比如对于Subject主题字段，可能出现攻击者将Subject重要请求改为次要请求，对于这种篡改SIP消息头字段的恶意攻击必须有一种安全机制来保护。但并非所有的头字段需要保护，有一部分头字段在proxy服务器处理请求的过程中合法更改的[2]。

1.4 恶意修改或结束对话

SIP根据BYE请求结束会话，有的恶意攻击者会伪造这种请求，如果伪造的请求被接收到，会话会提前被结束。比如，非会话方的恶意攻击者获得初始信息，这些初始信息包括会话双方在会话过程中的参数，一旦恶意攻击者在会话过程中发送BYE请求，当BYE请求被接收到后，会话会提前结束。除了会话终止还有恶意修改等，比如，发送re-INVITE请求改变会话。恶意攻击者之所以能恶意修改会话或者提前终止会话都是因为其在会话双方建立会话阶段捕获了一些初始消息，获取了一些重要的会话参数，比如，From字段、To字段等等，如果这些重要的会话参数被加密传输，恶意攻击者就不能伪造请求了。

1.5 拒绝服务

拒绝服务是指攻击者通过转发网络通讯堵塞其网络接口，从而使某个特定的网络节点不能正常工作，因攻击受害的可能是网络、联网主机或路由器等。常见的拒绝服务有以下两种[3]：（1）对SIP中间服务器的攻击；（2）对SIP终端系统的攻击。

2 SIP协议安全对策

2.1 网络层和传输层的安全保护

为确保消息的安全性和可靠性，要对消息进行完全加密，理论上，SIP协议由其自身底层安全机制确保自身安全，比如利用网络层IPSec、传输层TLS等加密SIP消息。但基于IPSec网络的复杂性，这种方法的成本较高，所以，考虑TLS，TLS可能遭受IP欺骗，但其作为一个能确保会话安全性的手段，可以考虑采用TLS加密SIP消息。TLS工作在应用程序和TCP层之间，面向TCP以上传输层的安全，在传输过程中，得益于其TLS套接口，消息的可靠性和机密性得到了保证。然而，对SIP服务器来说，不能维持过量的TLS负荷，其的扩展性是应该考虑的问题。

2.2 HTTP摘要认证

SIP协议常采用HTTP摘要认证机制来完成身份的认证，HTTP摘要认证可有唯一确定的用户名及密码认证一个用户，其认证机制主要有Proxy-to-User和User -to-User两种模式。其中，User -to-User只实现Register-to-User情况，因此，通过ser -to-User实现UA之间认证的可靠性并不能保证。目前，HTTP摘要认证只能实现Server在本区域UA认证，不能实现Proxy对域外UA认证、Proxy之间的认证以及UA对Server的认证。

2.3 应用层端到端加密

SIP协议可利用PGP加密方式和S/MIME加密方式来完成应用层端到端的加密，这是因为PGP和S/MIME均是公私钥和单向散列算法相结合的加密体系，均能提供数字签名、鉴别以及保密的功能，这样可确保被加密信息的机密性和真实性。但考虑到一些SIP消息头域只有对Proxy可见才行，所以，端到端的加密不一定能完成对SIP消息的完全加密。

3 结束语

本文详细地阐述了当前SIP协议存在的安全威胁，并提出了提高SIP协议安全性的一些认证机制，但这些提出的安全策略都存在一定的弊端，随着信息网络技术的不断发展，对SIP协议及其安全性要进行更深入地探讨。

参考文献：

[1]俞志春，方滨兴，张兆心.SIP协议的安全性研究[J].计算机应用，2007（11）：2124-2125.

[2]司端锋，潘爱民.IP电话中的安全性研究[J].计算机工程，2007（03）：105-107.

[3]黄元飞，金丽萍.网络与信息安全标准化现状及下一步研究重点[J].电信科学，2008（01）：23-26.

[4]薛晓飞，陈璐等.RTP基于SIP和RTP的VOIP通信[J].指挥信息系统与技术，2012（01）：68-71.

[5]赵鑫.采用无比特率编码的可管理P2P流媒体分发模式[J].指挥信息系统与技术，2012（05）：40-45.

作者简介：纪凌（1980.07-），男，回族，南京人，工程师，工学学士，研究方向：通信工程。

作者单位：中电集团第二十八研究所，南京 210007