1、 学校代码: 分类号: 密 级: UDC: 学 号: SIP协议通信安全机制的研究与实现 研究生姓名 : 导师姓 名 : 申请学位类别 学位授予单位 东 南 大 学 一级学科名称 论文答辩日期 二级学科名称 学位授予日期 答辩委员会主席 评 阅 人 摘要 关键词: Abstract Keywords: 目录 摘要 . II Abstract . III 目录 . IV 第一 章 引言 . 1 1.1 研究背景 . 1 1.2 研究内容 . 3 1.3 特色和创新 . 3 1.4 论文研究范围 . 4 1.5 论文的组织结构 . 4 第二章 SIP 信令体系简介 . 5 2.1 系统架构 . 5
2、 2.2 协议实现 . 6 2.3 SIP 协议结构 . 11 2.4 SIP 消息格式 . 13 2.4.1 请求消息 . 14 2.4.2 应答消息 . 14 2.4.3 消息头域 . 15 2.4.4 消息正文 . 15 2.5 本章小结 . 16 第三章 SIP 网络电话工具设计 . 17 3.1 Jain-SIP 平台简介 . 17 3.1.1 Jain-sip API 接口 . 17 3.1.2 Jain-sip 架构 . 18 3.1.3 Jain-sip 应用结构及功能 . 20 3.2 基于 Jain-Sip 的网络电话工具设计 . 23 3.2.1 功能需求 . 23 3.
3、2.2 系统原型设计 . 23 3.3 SIP 通信工具的概要设计 . 26 3.3.1 组件和模型设计 . 26 3.3.2 SIP 客户端模型 . 27 3.3.3 SIP 监听器模型 . 28 3.3.4 RTP 流媒体管理模型 . 29 3.3.5 SIP 通信工具时序图 . 31 3.4 本章小结 . 32 第四章 SIP 安全通信分析设计 . 33 4.1 SIP 通信安全概述 . 33 4.2 SIP 信令系统的主要威胁 . 34 4.2.1 DOS(拒绝服务攻击) . 34 4.2.2 注册服务劫持 . 35 4.2.3 模仿服务器攻击 . 36 4.2.4 修改 SIP 消息
4、包体 . 37 4.2.5 破坏 SIP 会话 . 37 4.3 SIP 安全机制 . 38 4.4 SIP 通信安全方案概要设计 . 42 4.4.1 安全 SIP 会话管理 . 42 4.4.2 安全实时媒体流传输 . 43 4.5 本章小结 . 44 第五章 SIP 安全通信工具的实现 . 45 5.1 搭建 SIP 通信系统实现 . 45 5.1.1 SIP 端到端通信工具客户端 . 45 5.1.1 客户端初始化 . 45 5.1.2 客户端监听器 . 51 5.1.3 RTP SocketAdapter . 56 5.2 SIP 会话安全通信的实现 . 62 5.2.1 SIP 消
5、息安全传输的实现 . 63 5.2.2 RTP 消息安全传输的实现 . 63 5.6 本章小结 . 64 第六章 SIP 安全通信应用 . 65 6.1 SIP 消息安全 通信 . 65 6.2 ZRTP 加密数据流 . 68 参考文献 . 71 第一章 引言 1.1 研究背景 随着全球 Internet 网络技术与多媒体技术的飞速发展以及网络接入业务的广泛普及,不断成熟的 IP 电话技术和实用的 网络应用软件已将我们带入网络电话( VoIP)的时代。 VoIP( 源自 Voice Over IP and VOIP Protocols 简称 VoIP,又名宽带电话或网络电话 ),即指在 互联网
6、或其它使用 IP 技术的 网络上使用 IP 协议以数据包的方式传输语音 或数据的新型电话通讯 。使用 VOIP 协议,不管是因特网、企业内部互连网还是局域网都可以 通过 VoIP 技术 实现语音通信。 1995 年 2 月 以色列 VocalTec 公司所推出的 Internet Phone,不但是 VoIP 网络电话的开端,也揭开了电信 IP 化的序幕。人们从此不但 可以享受到更便宜、甚至完全免费的通话及多媒体增值服务,电信业的服务内容及面貌也为之剧变。 1 目前 电信网中的业务除了传统电话业务外都是 IP 业务,而电话业务中的长途电话 业务尤其是跨国电话 70%已是 IP 电话 , 网络
7、数据 化成为整个电信网发展的必然趋势。 据统计, 2004 年底美国的家庭网络电话用户为 100 万户,预计今年网络电话用户可能增至 5 倍。日本 至少 有 500 万户 以上的 家庭安装了网络电话 。在欧洲, VOIP 电话已经成为能够和传统 PSTN 分庭抗争的重要固定语音通信方式 。目前在中国电话长途业务中,固定传统长途、移动长途、 IP 电话通话比重分别为 28.8%、 27.6%和 43.6%,电信运营商也在加快推进三网融合的进程。 可预 见的未来, 以 IP 为基础的网络 电 业务 话将逐步取代传统 通讯模式的 电话并最终完全 IP 化。发展和完善 VoIP(网络电话) 技术以取代
8、 PSTN(传统公共交换电话网)已 成为当前的一个研究热点。 一开始的网络电话是以软件的形式呈现,同时仅限于 电脑至电脑 间的通话,换句话说,人们只要分别在两端不同的 PC 上,安装网络电话软件,即可经由 IP 网络进行对话。随着宽频普及与相关网络技术的演进,网络电话也由单纯PC to PC 的通话形式,发 展出 IP to PSTN(公共开关电话网络)、 PSTN to IP、 PSTN to PSTN 及 IP to IP 等各种形式,当然他们的共通点,就是以 IP 网络为传输媒介,如此一来,电信业长久以 PSTN 电路交换网网络为传输媒介的惯例及独占性也逐渐被打破。 2 目前国际上构造
9、IP 电话( VoIP)网络主要采用两大信令体系: H.323 和 SIP。H.323 采用传统电话信令模式,是由 ITU-T 制定的用于在无服务质量保证( QoS)的分组网络上提供多媒体实时通信的系统标准;而 SIP(会话发起协议)借鉴了互联网协议,是由 IETF( Internet Engineering Task Force,互联网工程任务组)提出的应用控制协议。相对于复杂的 H.323 协议簇, SIP 是一种基于 IP 网络的实时通信应用信令协议,在开放性、复杂性、兼容性、可扩展性、资源的利用及管理、多服务的支持、互操作性及无线领域的应用等等方面远远优于 H.323 协议。可以说 S
10、IP 是未来 VoIP 网络发展的趋势,并且已经在实际应用领域得到了广泛的使用。 会话发起协议( SIP)是 IETF 创建 VoIP 通话连接的协议标准。 SIP 是一种应用层控制协议,用于和一个或多个 参与者创建、修改和终止会话。 SIP 的结构与 HTTP 相似,属于客户端 /服务器响应机制。客户机发出请求,并发送给服务器,服务器处理这些请求后给客户端回送一个响应。请求与响应形成一次交换( transaction)。 SIP 是一个点对点协议,需要一个相对简单的 (因此也是高度可扩展的 )核心网络,而将处理工作下放给连接在网络边缘的智能端点。 SIP 协议的众多特性使之将成为未来网络电话
11、的标准,包括提供语音及数据网络的集成能力,方便新应用软件嵌入的特性。现今 ,越来越多的 电信 运营商、本地运营商和 ITSP(Internet 电话服务提供商 )都在提供基于 SIP 的服务,如市话和长途电话技术、在线信息和即时消息、语音短信、 push-to-talk(按键通话 )、多媒体会议等等。独立软件供应商 (ISV)正在开发新的开发工具,用来为运营商网络构建基于 SIP 的应用程序以及 SIP 软件。网络设备供应商 (NEV)正在开发支持SIP 信令和服务的硬件。现在,有众多 IP 电话、用户代理、网络代理服务器、VOIP 网关、媒体服务器和应用服务器都在使用 SIP 协议。 然而,
12、 SIP 如同许多互联网协议一样,最初并不是根据安全的思路设计的,如今所面临的安全问题日益突出 ,我们有必要研究相关措施来提高协议安全,以保证其正常业务的实施。 1.2 研究内容 本项目的目标是研究 VOIP 应用中 SIP 信令体系下的语音及数据信息安全问题,旨在通过研究 SIP 协议的呼叫控制机制,寻找在 SIP 信令体制下通信中存在的安全隐患,对比分析经典的安全通信方案于 SIP 协议中的应用效果与缺陷, 实现一个基于 Jain-sip API 的 SIP 信令体制加密工具,用于辅助 SIP 网络电话软件的开发人员对语音及数据信息进行加密 。在充分保证 SIP 协议正常通信效果不受影响的
13、同时,提升整体系统的安全性能,实现 SIP 信令系统通信稳定 、可靠、安全。 具体包括以下主要内容: 1) 通过本项目研究分析了 SIP 信令系统的基本工作流程以及信令机制,结合 SIP 协议 (RF3428)内容 ,分析 SIP 会话连接建立与拆解过程; 2) 深入分析了 SIP 呼叫控制机制,结合目前网络电话信息安全现状,对 SIP系统中的安全隐患进行分析,对比不同安全技术于 SIP系统中的应用; 3) 使用 Jain-sip API 构架构建开发基本 SIP 端到端网络通信工具,并基于通信工具实现 SIP 信令加密功能,对不同信道传输的 SIP 会话管理信息和流媒体数据进行加密。 4)
14、通过实际应用开发案例完成整个 SIP 网络电 话端到端安全通信模块的测试。 1.3 特色和创新 采用 JAVA 的 JAIN SIP 接口 API 为 SIP 网络电话应用的开发与实现提供了Java 与 SIP 两种技术的综合,该底层 API 能够直接对 SIP 协议栈进行操作,实现了协议栈底层到 SIP 实体的接口,简化了 SIP 应用开发方式。 同时多种信道加密方式,可以使得 SIP 应用中对用户身份进行认证, 防止恶意用户 查看 到 客户隐私或向其发送虚假消息; 在 SIP 消息传输的过程中, 可以 防止恶意用户对该 SIP 消息进行 篡改 , 防止黑客对消息进行窃听攻击或截取信息。采用
15、 Zfone 技术对于 RTP 媒体数据的保 护也很有特点, 基本上不需要公共密钥基础设施 (PKI)的支持就可以提供公共密钥加密。这个基本的机制允许持续使用某些密钥信息,把某些密钥数据存储起来以便下一次使用,为 系统 提供类似于SSH(安全外壳 )的加密。 1.4 论文研究范围 本项目所应用的安全通信及加密技术如 TLS(传输层安全)、 SRTP(安全实时传输协议)、 ZRTP、 PKI(公钥基础设施)等详细技术内容及优缺点都能够被方便查询到,因此本文中不包括对于这些技术细节每个方面的详细介绍及比较,仅对相关部分做分析。 Jain-sip API 是 SIP 信令的底层接口 java 实现,
16、本项目应用基于这个 API 但并不实现此接口所提供的所有功能特性,所以本文不包含所有 Jain-sip 功能细节探讨。 一部 SIP 网络电话一般提供电话所包括的所有功能(拨号、保存联系人、录音、来电显示等等)和供用户使用的 GUI 图形化界面。本端到端 SIP 通信工具并非完整的 SIP 网络电话系统,开发仅用于实验,因此更像一个用于测试 SIP 通信及安全功能的原型系统。 1.5 论文的组织结构 论文的组织结构如下: 第一章:引言。介绍项目背景,概括了国内外研究水平和现状,然后对于论文主要内容以及论文的特点和创新进行了总结。 第二章 ,首先介绍了 SIP 信令体系的相关理论与架构,主要包括
17、了 SIP 信令系统架构、通信工作流程、应用程序结构以及应用开发现状;随后介绍了开发环境及相关技术工具。 第三章,介绍了 Jain-sip API 开发 SIP 端到端通信系统的理论基础和相关技术。对系统进行了需求分析,并在此基础上进行 sip 网络电话原型的系统设计。 第四章, sip 安全工具的设计。进行了需求分析、系统功能模块及类的划分和总体规划。并简单介绍了系统设计思路及模型。 第五章, sip 安全工具的实现。使用 Jain-sip api 开发搭建了整个系统,然后阐述了各 个模块中关键部分的实现。 第六章,通过利用插件进行应用实例的开发,进行了插件功能的测试。第二章 SIP信令体系
18、简介 2.1 系统架构 会话发起协议( Session Initiation Protocol,缩写 SIP)是一个由 IETF MMUSIC 工作组开发的协议,工作于应用层 ,作为标准被提议用于建立,修改和终止包括视频,语音,即时通信,在线游戏和虚拟现实等多种多媒体元素在内的交互式用户会话。 2000 年 11月, SIP 被正式批准成为 3GPP 信号协议之一,并成为 IMS 体系结构的一个永久单元。 SIP 与 H.323 一样 ,是用于 VoIP 最主要的信令协议之一。 图 2-1 VOIP 系统架构图 SIP 最早由 Henning Schulzrinne 和 Mark Handle
19、y 于 1996年所设计 . SIP的设计目标之一是提供类似公用交换电话网( PSTN)中呼叫处理功能的扩展集。在这个扩展集中,实现类似日常电话的操作:拨号,振铃,回铃音或者忙音,只是实现方式和术语有所不同。 SIP 也实现了许多信令系统 7(SS7)中更高级的呼叫处理功能,尽管这两个协议相差很远。 SS7 是一个高度集中处理的协议,其特点表现为高复杂度的中心网络结构 和无智能的哑终端 (传统的电话机 )。 SIP 则是一个点对点协议,所以它只需要一个相对简单的 (因此也高度可扩展的 )核心网络,而将处理工作下放给连接在网络边缘的智能端点 (装有硬件或软件的终端设备 )。 SIP 的许多功能在端点中
