论文部分内容阅读
会话初始协议(Session Initiation Protocol,SIP),作为下一代网络的重要协议之一,凭借其成熟的设计思想、简单的语法结构以及良好的灵活性和扩展性,使得它在提出不久,便开始得到广泛的重视和应用。然而,另一方面,Internet 工程任务组(InternetEngineering Task Force,IETF)在最初设计SIP信令协议时,并没有为其指定专门的安全协议,所以,对于一种即将获得广泛应用的协议来说,其安全问题,是一个至关重要的问题,而这也是SIP协议至今尚未解决的一个问题。本课题就是针对这个现状,通过研究SIP会话发起过程,提出了一个安全性能更高的SIP会话认证机制,并通过实验验证了该机制的可行性。
本文首先分析了SIP协议的各个基本元素及其构成,对SIP的会话过程进行了详细的描述。在此基础上,总结出SIP协议在会话发起过程中所存在的安全问题,包括保证信息的机密性和完整性;防止重放攻击和信息欺骗;提供会话中对参与者的身份鉴别;防止拒绝服务(Denial of service,DoS)攻击以及应用的安全性等。针对其中存在的身份冒充、中间人攻击以及信息截取和欺骗这些安全威胁,在现有的SIP会话安全认证机制的基础上,提出了一种更加安全可靠的混合型认证机制。其主要思想为:
1.引入了传统的HTTP摘要鉴别认证机制,用于会话发起过程中的身份认证。针对传统HTTP摘要鉴别只能进行服务端到客户端的单向认证,为了防止假冒服务器的欺骗攻击,对SIP协议进行扩展,采用双向HTTP摘要鉴别认证机制。
2.双向HTTP摘要鉴别机制虽然解决了客户机和服务器间双向认证的问题,但其仍不具备提供密钥协商的功能,为此引入了S/MIME(Secure Multipurpose Internet Mail Extensions)安全机制,解决了双向HTTP摘要鉴别认证后的正常安全的通信问题。
最后,针对该安全认证机制,设计了几个会话测试用例,用数据证明了该混合安全认证机制的安全性和健壮性。