宋 坤，胡 凱

（1.武警部隊(duì)參謀部辦公室，北京 100089；2.武警部隊(duì)政治工作部軍事人力資源保障中心信息服務(wù)室，北京 100089）

0 引 言

目前，黨政、軍隊(duì)以及很多重要部門和團(tuán)體已建立了自己的私有IP網(wǎng)絡(luò)，利用了所有的IP技術(shù)，部分單位在語音通信領(lǐng)域引入了SIP技術(shù),構(gòu)建了SIP電話系統(tǒng)。SIP電話系統(tǒng)[1]包括IP網(wǎng)絡(luò)和SIP電話終端，由于本身技術(shù)機(jī)制問題，SIP電話系統(tǒng)面臨著兩個(gè)方面的安全威脅，主要包括：一是對IP網(wǎng)絡(luò)的攻擊，二是對SIP電話終端的攻擊。

1 SIP電話系統(tǒng)面臨的威脅

1.1 IP網(wǎng)絡(luò)安全威脅

基于IP技術(shù)的下一代網(wǎng)絡(luò)（NGN，Next Generation Network），提出了開放的網(wǎng)絡(luò)架構(gòu)，使得網(wǎng)絡(luò)極易受到威脅。可能面臨如下攻擊：非授權(quán)訪問、拒絕服務(wù)攻擊、偷聽、偽裝。

1.2 SIP電話面臨的安全威脅

SIP是一種基于文本的協(xié)議，以文本形式表達(dá)消息，很容易被攻擊者模仿、篡改和非法利用?？赡苊媾R以下攻擊：注冊攻擊、重放攻擊、拒絕服務(wù)、偽裝與欺詐、消息篡改、會話終止。

到目前為止，SIP電話系統(tǒng)還沒有一種成型的技術(shù)體制能夠全面應(yīng)對上述兩方面的安全威脅。為進(jìn)一步提升SIP電話的安全性能，亟需提出SIP電話系統(tǒng)的綜合性安全保密措施。

2 SIP電話通信的安全措施

綜合來看，SIP電話的通信安全需要從以下五個(gè)方面尋求重點(diǎn)突破，主要包括：訪問控制、身份認(rèn)證、機(jī)密性、完整性和不可否認(rèn)性。目前，成型的密碼技術(shù)恰恰能夠解決上述安全需求。從SIP電話通信機(jī)制（包括三個(gè)流程，即呼叫、建立鏈接、通話）來看，需要從安全認(rèn)證、信令安全、媒體流安全三個(gè)方面采取有效的措施，全方位的保障SIP話音通信的安全性。[1]

2.1 安全認(rèn)證措施

主要采用密碼學(xué)技術(shù)，從兩個(gè)方面引入安全認(rèn)證措施。

2.1.1 安全接入

安全接入是指用于SIP電話終端接入到SIP網(wǎng)絡(luò)前，需要通過接入網(wǎng)絡(luò)完[2]成對SIP電話終端的接入控制，使得合法的用戶終端可以接入到網(wǎng)絡(luò)，而拒絕非法接入的用戶終端。結(jié)合系統(tǒng)特點(diǎn)，借鑒基于MD5密碼算法的IEEE 802.1x認(rèn)證方式[3,4]設(shè)計(jì)一套適用于SIP電話系統(tǒng)的網(wǎng)絡(luò)接入機(jī)制是實(shí)現(xiàn)SIP電話的接入認(rèn)證的很好選擇。

2.1.2 身份認(rèn)證

在實(shí)際運(yùn)用過程中，SIP電話的身份認(rèn)證是指在SIP電話通信前，必須確認(rèn)雙方身份，只有合法的設(shè)備可進(jìn)行通信。在該系統(tǒng)中，安全認(rèn)證機(jī)制包含兩部分：SIP電話終端間的業(yè)務(wù)認(rèn)證、終端與管理中心的管理認(rèn)證。采用基于密碼學(xué)數(shù)字證書PKI系統(tǒng)的認(rèn)證方式可以實(shí)現(xiàn)SIP電話管理中心對SIP電話終端、以及SIP電話終端間的身份認(rèn)證。流程如下：

（1）管理認(rèn)證

管理中心CA給各密碼設(shè)備下發(fā)管理設(shè)備證書（根公鑰RPK）、加密設(shè)備公鑰PK（每個(gè)設(shè)備存儲自己的私鑰SK）。管理中心用根私鑰進(jìn)行加密并對其進(jìn)行簽名。假如下發(fā)給A相關(guān)的RPK、PKA，此時(shí)A用根公鑰RPK驗(yàn)簽名。如果驗(yàn)證正確，說明管理中心是可信方。

（2）業(yè)務(wù)認(rèn)證

與管理認(rèn)證一樣，包括證書交換和認(rèn)證兩部分。

證書交換：A、B雙方，交換公鑰證書；

驗(yàn)證：A用自己的私鑰SKA加密數(shù)據(jù)SKA(data)，B用A發(fā)過來的公鑰證書CertA進(jìn)行驗(yàn)證。同樣，B用自己的私鑰SKB加密數(shù)據(jù)SKB(data)，A用B發(fā)過來的公鑰證書CertB進(jìn)行驗(yàn)證。

2.2 信令安全措施

信令安全分析：信令保護(hù)是防止呼叫服務(wù)被盜、避免合法呼叫中斷或竊聽的關(guān)鍵。信令消息的安全性[5,6]主要包含4個(gè)方面：完整性、機(jī)密性、可用性和真實(shí)性。SIP信令安全性分析如表1所示。

表1 SIP信令安全性分析

主要采用密碼學(xué)技術(shù)，從兩個(gè)方面引入信令安全措施。

2.2.1 傳輸層安全（TLS）保護(hù)

基于密碼算法的TLS在網(wǎng)絡(luò)傳輸層提供了端點(diǎn)身份認(rèn)證與通訊保密，其基礎(chǔ)是公鑰基礎(chǔ)設(shè)施（PKI）。建立TCP鏈接后，TLS客戶端發(fā)送ClientHello以發(fā)起握手，TLS服務(wù)器端以ServerHello響應(yīng)。這里，確定通信所需算法，然后發(fā)送證書?？蛻舳耸盏较⒑螅梢粭l秘密消息，使用TLS服務(wù)器的公鑰對其進(jìn)行加密，并將其傳遞。TLS服務(wù)器端用自己的私鑰解密后，會話密鑰協(xié)商結(jié)果，雙方即可以通信。

2.2.2 HTTP摘要身份認(rèn)證

SIP信令采用基于HTTP的質(zhì)詢/響應(yīng)機(jī)制，即僅接受有證書的請求，對沒有證書的請求，可用401/407請求另一方重新發(fā)送包含認(rèn)證信息的請求。

HTTP摘要認(rèn)證是服務(wù)器端通過基于MD5密碼算法發(fā)送摘要信息取代直接發(fā)送明文密碼。同時(shí)，為防止重放攻擊的發(fā)送，服務(wù)器向客戶端發(fā)送一個(gè)隨機(jī)數(shù)，這個(gè)數(shù)值時(shí)刻發(fā)生變化，使得摘要信息每次都不相同，從而來完成HTTP的安全認(rèn)證方式。引入此認(rèn)證方式后，SIP服務(wù)器具備了對SIP電話終端的單向認(rèn)證能力。

2.3 媒體流安全措施

除SIP信令需要保護(hù)外，傳輸?shù)脑捯魳I(yè)務(wù)也需要保護(hù)。目前，SIP網(wǎng)絡(luò)中使用的多媒體傳輸協(xié)議是實(shí)時(shí)傳輸協(xié)議（RTP）和實(shí)時(shí)傳輸控制協(xié)議協(xié)議（RTCP）。IEEE擴(kuò)展了RTP協(xié)議，并提出了安全實(shí)時(shí)傳輸協(xié)議（SRTP），該協(xié)議采用密碼技術(shù)，增強(qiáng)了安全性，并定義了數(shù)據(jù)加密、消息認(rèn)證、完整性保護(hù)和重放攻擊保護(hù)的安全措施，以彌補(bǔ)RTP和RTCP協(xié)議的安全性不足。

SIP媒體流加密可以采用序列算法加密或分組算法序列化加密方式。只要通信雙方能夠產(chǎn)生對稱密鑰，并采用約定的加密算法對RTP和RTCP數(shù)據(jù)進(jìn)行安全保護(hù)，即可以有效的保護(hù)媒體流。問題的核心是如何動態(tài)的協(xié)商通信雙方的會話密鑰。

2.3.1 密鑰協(xié)商

Mikey協(xié)議[7,8]中給出了三種協(xié)商兩個(gè)通話終端之間密鑰的方式。

第一種：預(yù)分配密鑰。兩個(gè)通話終端中預(yù)分配一個(gè)主密鑰，通過協(xié)議交互參數(shù)，并使用主密鑰和參數(shù)來產(chǎn)生媒體的加密密鑰和驗(yàn)證密鑰。在這種方式下，網(wǎng)絡(luò)擴(kuò)展性問題很大，只能在一些預(yù)分配密鑰的終端之間通話。另外，一旦有一個(gè)終端淪陷，則整個(gè)網(wǎng)絡(luò)的通話安全無法保證。

第二種：公私鑰和證書機(jī)制。發(fā)送方使用通話接收端的公鑰來加密發(fā)送會話密鑰。這種方式下，安全性得到了保障。這種方式下，使用非對稱加解密方法，對于價(jià)格低廉計(jì)算能力較差的電話終端很難實(shí)現(xiàn)計(jì)算要求。

第三種：Diffie-Hellman密鑰交換算法。發(fā)送方產(chǎn)生隨機(jī)數(shù)，通過計(jì)算得到RandA，發(fā)送給接收方B。同時(shí)，對協(xié)商報(bào)文進(jìn)行完整性、可認(rèn)證性保護(hù)，傳遞給接收方B。接收方B驗(yàn)證RandA的有效性，然后進(jìn)行協(xié)商報(bào)文的完整性、可認(rèn)證性驗(yàn)證。最后，雙方通過計(jì)算協(xié)商出本次通信的密鑰WKAB和WKBA。

根據(jù)SIP通信的特點(diǎn)，選擇第二種、第三種方式結(jié)合的方法，實(shí)現(xiàn)密鑰協(xié)商，能夠規(guī)避單一密鑰協(xié)商算法的劣勢，提高整個(gè)密鑰協(xié)商過程的可靠性。

2.3.2 媒體流加密

通信雙方協(xié)商得到會話密鑰后，就可以采用加密傳輸協(xié)議進(jìn)行加密封裝。SRTP加密傳輸協(xié)議基于標(biāo)準(zhǔn)RTP協(xié)議，對協(xié)議進(jìn)行適當(dāng)改造，增加對多媒體業(yè)務(wù)的防重放和完整性保護(hù)。加密傳輸協(xié)議沿用標(biāo)準(zhǔn)RTP頭部定義，數(shù)據(jù)域攜帶密碼信息、加密業(yè)務(wù)數(shù)據(jù)信息和校驗(yàn)數(shù)據(jù)。[9]數(shù)據(jù)包格式定義如圖1所示。

圖1 加密傳輸協(xié)議數(shù)據(jù)包格式

3 安全性分析

對于第1節(jié)中，提到的SIP存在諸如注冊欺騙、冒充服務(wù)器、篡改消息體等的方面安全問題，本文提到的安全認(rèn)證措施和信令安全措施提供了SIP管理中心對電話終端之間的單向認(rèn)證，解決了注冊欺騙和冒充服務(wù)器的問題。此外，媒體流安全措施對發(fā)送的整個(gè)媒體流進(jìn)行加密，解決了竊聽和篡改消息的問題。

3.1 對于身份欺騙攻擊

媒體流加密用的工作密鑰通過公鑰算法協(xié)商產(chǎn)生，敵方難以通過對協(xié)商過程的攻擊獲得共享的秘密數(shù)據(jù)。由于攻擊者無法獲取A或B的私鑰，因此無法生成有效的數(shù)字簽名。并且，即使攻擊者截取該消息然后使用他的公鑰而不是合法通信者的公鑰，并用他的私鑰對該消息進(jìn)行簽名，接收者也可以檢測到。

3.2 對于拒絕服務(wù)攻擊

在業(yè)務(wù)處理層采用適合于高速過濾處理的認(rèn)證加密算法，通過高性能硬件處理，抵御大范圍高強(qiáng)度的業(yè)務(wù)層攻擊；在密鑰管理層，通過挑戰(zhàn)應(yīng)答機(jī)制緩和大運(yùn)算量的響應(yīng)處理，避免了對密碼服務(wù)的攻擊。

3.3 對于消息的篡改攻擊

由于攻擊者無法生成有效簽名，因此接收者將會發(fā)現(xiàn)對信息中關(guān)鍵部分的任何改動。攻擊者可以修改信息頭via中的內(nèi)容，將自身插入到信息的轉(zhuǎn)發(fā)路徑并監(jiān)聽。但，對于媒體流又做了加密處理，因此即使被監(jiān)聽，也不會產(chǎn)生嚴(yán)重后果。

3.4 對于會話的終止攻擊

在呼叫建立過程中，BYE消息進(jìn)行認(rèn)證，即消息只接受從會話另一方發(fā)送的BYE消息。如果保證會話的隱私性，則攻擊者無法獲取消息參數(shù)，也就無法偽造BYE消息。

4 結(jié) 語

目前，IP網(wǎng)絡(luò)已經(jīng)逐步取代PSTN網(wǎng)絡(luò)，成為通信的骨干網(wǎng)絡(luò)，在部署方便、應(yīng)用靈活的同時(shí)，帶來了嚴(yán)重的安全問題。

SIP話音通信存在各種安全隱患，包括注冊攻擊、消息篡改等最常見的攻擊方式。SIP電話系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)該充分應(yīng)用密碼技術(shù)，并進(jìn)行部署實(shí)施，才能保證通信的安全性。本文從安全認(rèn)證、信令安全、媒體流安全等方面，提出并論證了SIP電話的安全威脅、安全機(jī)制以及應(yīng)采取的安全措施，保證了SIP電話系統(tǒng)的安全性。