陳 翔

（杭州師范大學(xué)杭州國際服務(wù)工程學(xué)院，浙江杭州 310036）

基于SIP的VoIP在無線網(wǎng)狀網(wǎng)中的安全機(jī)制研究

陳 翔

（杭州師范大學(xué)杭州國際服務(wù)工程學(xué)院，浙江杭州 310036）

針對(duì)解決網(wǎng)絡(luò)電話（VoIP）在無線網(wǎng)狀網(wǎng)（WMN）中進(jìn)行安全傳輸問題，提出一種新的基于SIP的VoIP服務(wù)安全的解決方案.方案通過建立一種動(dòng)態(tài)可信安全模型來保障VoIP在WMN中的運(yùn)行，模型規(guī)定了在WMN中每個(gè)mesh節(jié)點(diǎn)必須包含其他節(jié)點(diǎn)的信任度，以此來解決各個(gè)mesh結(jié)點(diǎn)之間的相互認(rèn)證問題.仿真結(jié)果表明，與傳統(tǒng)的安全機(jī)制相比，這種方法提高了惡意節(jié)點(diǎn)的識(shí)別率，增強(qiáng)了基于SIP的VoIP在WMN網(wǎng)絡(luò)中的安全性.

無線網(wǎng)狀網(wǎng)；會(huì)話初始化協(xié)議；網(wǎng)絡(luò)電話；安全

由于低成本和使用便利等原因，網(wǎng)絡(luò)電話（voice over internet protocol，VoIP）的服務(wù)已越來越普遍.而無線網(wǎng)狀網(wǎng)（wireless mesh networks，WMNs）具備部署方便、覆蓋面廣等優(yōu)勢(shì)，這樣使得通過WMN的無線網(wǎng)絡(luò)為VoIP提供服務(wù)變得非?？尚?然而由于WMN的開放性，使得在WMN網(wǎng)絡(luò)中的VoIP容易受到未經(jīng)授權(quán)的訪問和惡意用戶的攻擊.

國外許多學(xué)者針對(duì)WMN和VoIP的特點(diǎn)提出了許多安全方法：Elbayoumy and Shepherd［1］提出了保護(hù)VoIP的Tiny加密算法（TEA）.Maccari，F(xiàn)antacci和Pecorella［2］提出了客戶端在WMN網(wǎng)絡(luò)中進(jìn)行快速、可靠移動(dòng)并再認(rèn)證的設(shè)想.Fank［3］提出了混合身份驗(yàn)證協(xié)議.H.Sengar［4］提出了跨協(xié)議的方法來檢測(cè)在VoIP中的拒絕服務(wù)攻擊（DoS）.但上述方法都是單獨(dú)地考慮兩者的安全性，并沒有把WMN和VoIP的安全結(jié)合在一起來考慮.因此，當(dāng)我們?cè)谝粋€(gè)多跳無線網(wǎng)狀網(wǎng)中來配置VoIP的時(shí)候，還要考慮許多其他安全問題，特別是基于SIP（session initiation protocol）的VoIP在mesh結(jié)點(diǎn)之間的相互認(rèn)證問題［5］.

本文通過研究基于SIP的VoIP在Mesh結(jié)點(diǎn)之間的相互認(rèn)證問題，提出建立一種動(dòng)態(tài)可信安全模型來保障VoIP在WMN中的運(yùn)行，模型規(guī)定了在WMN中每個(gè)Mesh節(jié)點(diǎn)必須包含其他節(jié)點(diǎn)的信任度，以此來解決各個(gè)Mesh結(jié)點(diǎn)之間的相互認(rèn)證問題.仿真結(jié)果表明，與傳統(tǒng)的安全機(jī)制相比，該方法提高了惡意節(jié)點(diǎn)的識(shí)別率，增強(qiáng)了基于SIP的VoIP在WMN網(wǎng)絡(luò)中的安全性.

1 基于SIP的VoIP在WMN中的安全性

無線網(wǎng)狀網(wǎng)絡(luò)的開放性使得它非常容易受到來自內(nèi)部和外部的入侵者的攻擊.外部入侵者可以通過分割網(wǎng)絡(luò)來崩潰路由.內(nèi)部的攻擊者由于它的隱蔽性，更容易導(dǎo)致嚴(yán)重的破壞.入侵者可以通過不同的方式使網(wǎng)絡(luò)失效，例如產(chǎn)生路由環(huán)路破壞路由數(shù)據(jù)、執(zhí)行拒絕服務(wù)攻擊（DoS）、偽造幀內(nèi)容或者通過中間人的偽裝攻擊等等.因此，基本的原始認(rèn)證的安全性、完整性和保密性對(duì)于WMN的功能實(shí)現(xiàn)非常重要.

WMN網(wǎng)絡(luò)安全有2個(gè)關(guān)鍵性因素：Mesh結(jié)點(diǎn)（MP）和Mesh客戶端（Mesh clients）.當(dāng)眾多的MP互聯(lián)構(gòu)成骨干網(wǎng)絡(luò)時(shí)，MP要求有最高的安全等級(jí).因此，所有發(fā)送的數(shù)據(jù)都應(yīng)使用如128位或256位的AES加密技術(shù)的安全標(biāo)準(zhǔn)進(jìn)行加密，所有的MP應(yīng)該在網(wǎng)絡(luò)中進(jìn)行身份驗(yàn)證.同樣針對(duì)客戶端，它需要使用如RADIUS和802.1x的認(rèn)證服務(wù)，然后通過使用802.11i/EAS/TKIP等標(biāo)準(zhǔn)來加密所有的客戶端通信量.

這些安全機(jī)制可以對(duì)WMN的安全性起到一定的作用.但是，這些都是基于完全信任的WMN節(jié)點(diǎn)，都沒有考慮已通過驗(yàn)證的內(nèi)部節(jié)點(diǎn)的泄密問題.

SIP是由IETF（Internet Engineering Task Force）組織于1999年提出的一個(gè)在IP網(wǎng)絡(luò)中（特別是多媒體網(wǎng)絡(luò)）實(shí)現(xiàn)實(shí)時(shí)通信的信令協(xié)議.由于SIP不僅要建立一個(gè)會(huì)話，而且要建立一個(gè)安全的通信，因此，SIP的安全對(duì)于VoIP的安全性也顯得至關(guān)重要.然而，SIP面臨以下威脅：1）注冊(cè)攻擊；2）偽裝服務(wù)器攻擊；3）修改消息包體攻擊；4）斷開會(huì)話攻擊；5）DOS（拒絕服務(wù)）攻擊.

為了解決這些問題，RFC 3261［6］規(guī)定了SIP的標(biāo)準(zhǔn)，提出若干個(gè)安全機(jī)制.SIP規(guī)范建議使用TLS或IPSec來保護(hù)在SIP網(wǎng)絡(luò)中的SIP信令傳輸路徑.它建議使用通過S/MIME（安全/多用途Internet郵件擴(kuò)展）機(jī)制來保護(hù)SIP消息的完整性和保密性.然而，由于網(wǎng)絡(luò)中間的代理服務(wù)器需要檢驗(yàn)和修改消息的某些參數(shù)，導(dǎo)致不能完全加密在端到端的用戶之間的SIP請(qǐng)求和響應(yīng)，也就意味著無法保護(hù)在這中間傳輸?shù)腟IP消息的安全性.因此，為了使RFC3261建議中的安全機(jī)制能夠有效地執(zhí)行，必須設(shè)置一個(gè)可信任的中間設(shè)備.

2 WMN中VoIP動(dòng)態(tài)可信安全模型

根據(jù)在第二部分中提到的層次結(jié)構(gòu)和安全問題，筆者通過在文獻(xiàn)［7］中提出的β分布和Bayes公式，提出了一種信任模型.這種模型考慮到了在WMN的這些中間設(shè)備各節(jié)點(diǎn)之間的直接和間接的信任關(guān)系.

2.1 動(dòng)態(tài)可信模型

在模型中，首先定義一個(gè)數(shù)據(jù)結(jié)構(gòu)作為信任度表TDTi，在這個(gè)數(shù)據(jù)結(jié)構(gòu)中任意節(jié)點(diǎn)i包含（α，β，r，s）4個(gè)參數(shù).TDTi存儲(chǔ)著對(duì)應(yīng)于通過節(jié)點(diǎn)i維持的每一個(gè)節(jié)點(diǎn)的信任度.

然后定義TDij是通過節(jié)點(diǎn)i維持節(jié)點(diǎn)j的信任度.信任度作為一個(gè)概率分布，使節(jié)點(diǎn)具有完全的自由度，可以不受一些離散的信任度等級(jí)的限制.隨著時(shí)間的推移每個(gè)節(jié)點(diǎn)通過SIP注冊(cè)信息來建立信任度表中的每個(gè)條目，記作SRij.TDij和SRij的關(guān)系記作TDij＝F（SRij，TDij）.其中，SRij對(duì)應(yīng)于一對(duì)（r，s），是通過節(jié)點(diǎn)i分配給節(jié)點(diǎn)j的最新的動(dòng)作的評(píng)價(jià).它是用來遞歸地更新在節(jié)點(diǎn)i中的節(jié)點(diǎn)j的信任度.F（）函數(shù)負(fù)責(zé)根據(jù)新的監(jiān)測(cè)來更新節(jié)點(diǎn)j的信任度.

建議模式中考慮到了在各個(gè)節(jié)點(diǎn)之間直接和間接的信任關(guān)系.每個(gè)節(jié)點(diǎn)的信任度以及各個(gè)節(jié)點(diǎn)之間的信任度將在以下各節(jié)中進(jìn)行說明.

2.2 信任度建模

通過采用Bayes公式和β分布，在節(jié)點(diǎn)i沒有收到SRij任何信息的情況下，得到節(jié)點(diǎn)j的信任度：

其中，αj和βj分別代表在節(jié)點(diǎn)i和節(jié)點(diǎn)j之間可信或不可信的相互影響（從節(jié)點(diǎn)i的視角出發(fā)），然后來計(jì)算信任度函數(shù)的統(tǒng)計(jì)期望值Tij＝E（TDij）.

2.3 直接信任的信任度更新

在式（1）中，沒有考慮SIP注冊(cè)消息攜帶的信息，而直接用靜態(tài)值來量化節(jié)點(diǎn)i的信任度.為了動(dòng)態(tài)地制定信任模型，筆者提出一個(gè)在節(jié)點(diǎn)直接觀察到SIP注冊(cè)信息時(shí)的更新信任度的方法.

假設(shè)：1）節(jié)點(diǎn)i已為節(jié)點(diǎn)j建立了一個(gè)信任度矩陣，TDij；2）節(jié)點(diǎn)i因?yàn)閞，s中的事件再次與節(jié)點(diǎn)j進(jìn)行交互，其中r表示可信，s表示不可信；3）r和s是整數(shù).綜上所述，這個(gè)信任度可更新為

兩個(gè)參數(shù)αj，βj的值分別是

其中，ω是衰減因子，范圍在（0，1）之間.

2.4 間接信任的信任度更新

如果節(jié)點(diǎn)i通過節(jié)點(diǎn)k收到了關(guān)于節(jié)點(diǎn)j的信任度信息，，）就表示間接觀測(cè)到的信息.節(jié)點(diǎn)i已經(jīng)擁有的先前的關(guān)于j和k的信任度信息，分別用（αj，βj）和（αk，βk）來表示.我們需要結(jié)合這些信息，來取得關(guān)于j的新的信任度信息，）.應(yīng)用Dempster－Shafer的原理［8］，對(duì)于間接信任的信任度更新的公式如下：

2.5 SIP擴(kuò)展機(jī)制的改進(jìn)

使用由IETF定義的SIP擴(kuò)展，并允許任意一個(gè)用戶代理把它的功能和特點(diǎn)，轉(zhuǎn)發(fā)給其他用戶代理和服務(wù)器［9］.

通過以下辦法來改進(jìn)這種機(jī)制：增加2個(gè)新的參數(shù)（整數(shù)）ci和nci到REGISTER信息的連接頭字段中.ci和nci分別表示“可信的交互”和“不可信的交互”.例如，SIP的末尾填充了如下REGISTER信息的連接頭：Contact：＜sip：flying＠192.168.1.1＞；ci＝“1”；nci＝“0”.通過查看參數(shù)“from”，“to”，“contact ci nci”，就可以知道該REGISTER信息所攜帶的信息是直接的還是間接的，同時(shí)還可以證實(shí)它是否可信.

3 仿真分析

WMN安全所需要的重要能力之一是能抵御身份攻擊，因此筆者比較了傳統(tǒng)的加密認(rèn)證機(jī)制和本文的動(dòng)態(tài)信任安全模型在身份攻擊和防御上的性能.

使用的仿真工具為NS2.31，并按文獻(xiàn)［10］實(shí)現(xiàn)802.16Mesh模式.在此基礎(chǔ)上擴(kuò)展了路由層.仿真環(huán)境參數(shù)按照802.16標(biāo)準(zhǔn)系統(tǒng)配置profP3＿10設(shè)置參數(shù)（表1）.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為網(wǎng)格狀，網(wǎng)絡(luò)范圍為1 000m＊1 000m，網(wǎng)格大小為8×8，隨機(jī)分布共50個(gè)節(jié)點(diǎn).根據(jù)不同場(chǎng)景設(shè)置可信節(jié)點(diǎn)的數(shù)量，即在REGISTER信息的連接頭中設(shè)置ci＝“1”，否則設(shè)置nci＝“1”.圖1中的數(shù)據(jù)為10次仿真結(jié)果的均值.在方案（a）中，網(wǎng)絡(luò)節(jié)點(diǎn)中有30%是有惡意的，這樣導(dǎo)致只有約70%的連接是成功的，這個(gè)比例與在網(wǎng)絡(luò)中的友好節(jié)點(diǎn)的百分比相當(dāng).在方案（b）中，模擬一個(gè)敵對(duì)的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)中有70%的節(jié)點(diǎn)是惡意節(jié)點(diǎn).

表1 仿真環(huán)境參數(shù)的設(shè)置Tab.1 Simulation environment and parameters setting

方案（a）和（b）模擬的結(jié)果分別如圖1，2所示.由圖可見，在剛開始由于每個(gè)節(jié)點(diǎn)要花一定的時(shí)間來建立它們之間的信任關(guān)系，因此在第1個(gè)20s，對(duì)于惡意節(jié)點(diǎn)的識(shí)別率，傳統(tǒng)機(jī)制要高于動(dòng)態(tài)信任模型.

隨著仿真運(yùn)行時(shí)間的增加，在傳統(tǒng)網(wǎng)絡(luò)和惡意網(wǎng)絡(luò)中節(jié)點(diǎn)間的信任關(guān)系開始建立，此時(shí)筆者所建議的動(dòng)態(tài)信任模型在識(shí)別惡意節(jié)點(diǎn)的能力上要優(yōu)于傳統(tǒng)的加密驗(yàn)證機(jī)制，特別是在惡意網(wǎng)絡(luò)中.

以上兩個(gè)實(shí)驗(yàn)的結(jié)果表明，本文模型可以更有效地提高基于SIP的VoIP在WMN網(wǎng)絡(luò)中的安全性.

4 結(jié) 論

提出一種基于Bayes公式和β分布的動(dòng)態(tài)信任模型，此模型可以應(yīng)用開發(fā)實(shí)時(shí)的可信節(jié)點(diǎn)網(wǎng)絡(luò).通過NS2仿真，驗(yàn)證了該動(dòng)態(tài)信任模型的性能，該模型為增強(qiáng)基于SIP的VoIP在WMN網(wǎng)絡(luò)中的安全性，提供了一個(gè)更加切實(shí)可行的解決方案.

［1］Ashraf D E，Simon S.A comprehensive secure VoIP solution［J］.International Journal of Network Security，2007，5（2）：233－240.

［2］Romano F，Leonardo M，Tommaso P，etal.A secure and performant token－based authentication for infrastructure and Mesh 802.lx networks［C］//Proceedings of IEEE INFOCOM，2006：46－57.

［3］Thomas K.Fire detection with temperature sensors arrays［C］//Proceeding of 34th IEEE Annual International Carnahan Conference on Security Technology，2000：262－268.

［4］Bryan D，Lowekamp B，Jennings C.SOSIMPL E：a serverless，standards－based，P2PSIP communication system［C］//Proc of the First International Workshop on Advanced Architectures and Algorithms for Internet Delivery and Applications.Washington DC：IEEE Computer Society，2005：42－49.

［5］張春紅，裘曉峰，弭偉，等.P2P技術(shù)全面解析［M］.北京：人民郵電出版社，2010：15－20.

［6］Rosenberg J，Schulzrinne H，Camarillo G，etal.RFC3261，SIP：Session Initiation Protocol［S］.IETF，2002.

［7］Saurabh G，Laura K，Mani B.Reputation－based framework for high integrity sensor networks［J］.ACM Transactions on Sensor Networks，2008，4（3）：1－37.

［8］Yum D H，Leener P J.Generic const ruction of certificateless signature［C］//Proc of ICCSA 2004.Berlin：Springer－Verlag，2004：200－211.

［9］J?sang A.A logic for uncertain probabilities［J］.International Journal of Uncertainty，F(xiàn)uzziness and Knowledge－Based Systems，2001，9（3）：279－311.

［10］Lein H，Jian R，Changlu L.Design of DLbased certificateless digital signatures［J］.Journal of Systems and Software，2009，82（5）：789－793.

Researches on the New Security Mechanism for SIP－Based VoIP over WMN

CHEN Xiang

（Hangzhou Institute of Service Engineering，Hangzhou Normal University，Hangzhou 310036，China）

To overcome the security transmission problem in VoIP service over WMN，the paper proposed a new SIP－based VoIP service security solution.The solution secured the VoIP over WMN with a credible dynamic security model，which determined each mesh node in WMN should contain the credibility of other nodes to identify the mesh nodes with each other.The simulation results indicate that，compared with traditional security mechanism，this method has improved the recognition rate of malicious nodes，and enhanced the security of SIP－based VoIP over WMN.

WMN；SIP；VoIP；security

TP393

A

1674－232X（2012）01－0081－04

11.3969/j.issn.1674－232X.2012.01.018

2011－09－28

浙江省教育廳科研基金項(xiàng)目（Y201016580）.

陳 翔（1977—），男，講師，碩士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全研究.E－mail：xchen＠hznu.edu.cn