摘 要：SIP協(xié)議作為當(dāng)前新興發(fā)展起來的技術(shù)，其在下一代網(wǎng)絡(luò)協(xié)議中占有重要的地位，被認為是未來互聯(lián)網(wǎng)和網(wǎng)絡(luò)會話協(xié)議。隨著其在日常生活中廣泛地應(yīng)用，SIP協(xié)議安全性是人們遇到的棘手問題。本文從SIP協(xié)議存在的安全威脅入手，提出當(dāng)前SIP協(xié)議安全對策。

關(guān)鍵詞：SIP協(xié)議；安全性

中圖分類號：TN915

SIP協(xié)議作為應(yīng)用層信令控制協(xié)議，其連同其他協(xié)議為用戶提供服務(wù)。SIP協(xié)議運用UDP傳輸，利用自身應(yīng)用層可靠性機制確保傳輸信息的準(zhǔn)確性和可靠性。SIP協(xié)議是當(dāng)前使用較為廣泛的VoIP協(xié)議，控制實現(xiàn)IP網(wǎng)絡(luò)信令。SIP協(xié)議設(shè)計之初將協(xié)議靈活性和易用性考慮在內(nèi)，卻忽略了SIP協(xié)議安全性的重要性，致使，目前SIP協(xié)議安全性存在缺陷。

1 SIP協(xié)議存在的安全隱患

1.1 注冊劫持

SIP協(xié)議注冊指的是用戶終端將自己信息注冊到某個注冊服務(wù)器上，在這個注冊服務(wù)器上，根據(jù)address-of-record能找到該用戶地址，該注冊服務(wù)器可查看Register消息From字段確定消息能否修改注冊用戶的注冊地址。但From字段可能被UA擁有者修改，這就為惡意修改注冊信息提供了可能。比如，惡意攻擊者可模擬UA，以檢查的名義修改address-of-record相關(guān)聯(lián)系地址，惡意攻擊者首先注銷原有合法用戶注冊信息，接著，修改From字段，讓自己設(shè)備地址成為“合法注冊用戶”，通過這種修改，可讓自己設(shè)備成功訪問當(dāng)前合法用戶可訪問的位置。這種形式的攻擊是對無請求發(fā)送數(shù)字簽名的攻擊，通常情況下，大概所有的SIP UAs希望認證收到的請求，從而控制對自身資源的訪問。正是這種惡意威脅的存在讓SIP實體對原始請求做安全認證成為了一種必然。

1.2 偽裝服務(wù)器

偽裝服務(wù)器是攻擊者實現(xiàn)攻擊的一種手段，惡意攻擊者常常將自己偽裝成遠端服務(wù)器，用戶代理終端UA錯誤地被截獲。例如，惡意攻擊者在chicago.com區(qū)域，重定向服務(wù)器在biloxi.com區(qū)域，惡意攻擊者常將自己偽裝成為在biloxi.com區(qū)域，一旦用戶UA向biloxi.com區(qū)域發(fā)送消息，在chicago.com區(qū)域的惡意攻擊者便截獲用戶發(fā)往biloxi.com區(qū)域的請求，并假冒biloxi.com區(qū)域的重定向服務(wù)器向用戶回答偽造的應(yīng)答。這種惡意攻擊嚴重地威脅著相當(dāng)大一部分成員，一旦用戶發(fā)送給biloxi.com區(qū)域的信息被chicago.com區(qū)域截獲，同時應(yīng)答給用戶一個偽造的應(yīng)答，這樣一來，以后用戶UA所有的Register請求會發(fā)到chicago.com區(qū)域。攻擊者將應(yīng)答From字段改為重定向服務(wù)器就可實現(xiàn)偽裝服務(wù)器的目的，這就需要用戶UA認證接受請求的服務(wù)器安全性[1]。

1.3 篡改消息

篡改消息分為篡改SIP消息體和篡改SIP消息頭字段兩種類型。篡改SIP消息體是指攻擊者修改SIP消息的加密密鑰，SIP UA路由必然請求通過信任的proxy服務(wù)器，UA信任proxy服務(wù)器轉(zhuǎn)發(fā)請求，雖然，proxy服務(wù)器被信任，但它不希望proxy服務(wù)器得到會話密鑰，這是因為，一旦proxy服務(wù)器有惡意的存在，其就會像中間人一樣修改會話密鑰，從而破壞原始請求UA安全。篡改消息帶來的威脅不只是針對會話密鑰，其對SIP端到端的內(nèi)容都有一定的威脅，比如，對SDP、向用戶展示的MIME包體以及電話信令等等。如果攻擊者修改SDP包體，比如在RTP媒體流中安裝竊聽設(shè)備，那么就可以達到竊聽語音通信的目的。為了保護一些重要的SIP消息頭字段，UA要加密SIP包體，同時對端端之間的頭字段做限制，比如對于Subject主題字段，可能出現(xiàn)攻擊者將Subject重要請求改為次要請求，對于這種篡改SIP消息頭字段的惡意攻擊必須有一種安全機制來保護。但并非所有的頭字段需要保護，有一部分頭字段在proxy服務(wù)器處理請求的過程中合法更改的[2]。

1.4 惡意修改或結(jié)束對話

SIP根據(jù)BYE請求結(jié)束會話，有的惡意攻擊者會偽造這種請求，如果偽造的請求被接收到，會話會提前被結(jié)束。比如，非會話方的惡意攻擊者獲得初始信息，這些初始信息包括會話雙方在會話過程中的參數(shù)，一旦惡意攻擊者在會話過程中發(fā)送BYE請求，當(dāng)BYE請求被接收到后，會話會提前結(jié)束。除了會話終止還有惡意修改等，比如，發(fā)送re-INVITE請求改變會話。惡意攻擊者之所以能惡意修改會話或者提前終止會話都是因為其在會話雙方建立會話階段捕獲了一些初始消息，獲取了一些重要的會話參數(shù)，比如，F(xiàn)rom字段、To字段等等，如果這些重要的會話參數(shù)被加密傳輸，惡意攻擊者就不能偽造請求了。

1.5 拒絕服務(wù)

拒絕服務(wù)是指攻擊者通過轉(zhuǎn)發(fā)網(wǎng)絡(luò)通訊堵塞其網(wǎng)絡(luò)接口，從而使某個特定的網(wǎng)絡(luò)節(jié)點不能正常工作，因攻擊受害的可能是網(wǎng)絡(luò)、聯(lián)網(wǎng)主機或路由器等。常見的拒絕服務(wù)有以下兩種[3]：（1）對SIP中間服務(wù)器的攻擊；（2）對SIP終端系統(tǒng)的攻擊。

2 SIP協(xié)議安全對策

2.1 網(wǎng)絡(luò)層和傳輸層的安全保護

為確保消息的安全性和可靠性，要對消息進行完全加密，理論上，SIP協(xié)議由其自身底層安全機制確保自身安全，比如利用網(wǎng)絡(luò)層IPSec、傳輸層TLS等加密SIP消息。但基于IPSec網(wǎng)絡(luò)的復(fù)雜性，這種方法的成本較高，所以，考慮TLS，TLS可能遭受IP欺騙，但其作為一個能確保會話安全性的手段，可以考慮采用TLS加密SIP消息。TLS工作在應(yīng)用程序和TCP層之間，面向TCP以上傳輸層的安全，在傳輸過程中，得益于其TLS套接口，消息的可靠性和機密性得到了保證。然而，對SIP服務(wù)器來說，不能維持過量的TLS負荷，其的擴展性是應(yīng)該考慮的問題。

2.2 HTTP摘要認證

SIP協(xié)議常采用HTTP摘要認證機制來完成身份的認證，HTTP摘要認證可有唯一確定的用戶名及密碼認證一個用戶，其認證機制主要有Proxy-to-User和User -to-User兩種模式。其中，User -to-User只實現(xiàn)Register-to-User情況，因此，通過ser -to-User實現(xiàn)UA之間認證的可靠性并不能保證。目前，HTTP摘要認證只能實現(xiàn)Server在本區(qū)域UA認證，不能實現(xiàn)Proxy對域外UA認證、Proxy之間的認證以及UA對Server的認證。

2.3 應(yīng)用層端到端加密

SIP協(xié)議可利用PGP加密方式和S/MIME加密方式來完成應(yīng)用層端到端的加密，這是因為PGP和S/MIME均是公私鑰和單向散列算法相結(jié)合的加密體系，均能提供數(shù)字簽名、鑒別以及保密的功能，這樣可確保被加密信息的機密性和真實性。但考慮到一些SIP消息頭域只有對Proxy可見才行，所以，端到端的加密不一定能完成對SIP消息的完全加密。

3 結(jié)束語

本文詳細地闡述了當(dāng)前SIP協(xié)議存在的安全威脅，并提出了提高SIP協(xié)議安全性的一些認證機制，但這些提出的安全策略都存在一定的弊端，隨著信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對SIP協(xié)議及其安全性要進行更深入地探討。

參考文獻：

[1]俞志春，方濱興，張兆心.SIP協(xié)議的安全性研究[J].計算機應(yīng)用，2007（11）：2124-2125.

[2]司端鋒，潘愛民.IP電話中的安全性研究[J].計算機工程，2007（03）：105-107.

[3]黃元飛，金麗萍.網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化現(xiàn)狀及下一步研究重點[J].電信科學(xué)，2008（01）：23-26.

[4]薛曉飛，陳璐等.RTP基于SIP和RTP的VOIP通信[J].指揮信息系統(tǒng)與技術(shù)，2012（01）：68-71.

[5]趙鑫.采用無比特率編碼的可管理P2P流媒體分發(fā)模式[J].指揮信息系統(tǒng)與技術(shù)，2012（05）：40-45.

作者簡介：紀凌（1980.07-），男，回族，南京人，工程師，工學(xué)學(xué)士，研究方向：通信工程。

作者單位：中電集團第二十八研究所，南京 210007