下一代网络(NGN)中的软交换技术研究
第8卷第6期 2009年6月 软件导刊 SoftwareGuide VO1.8No.6 Jun.2009
下一代网络(NGN)中的软交换技术研究 郎永祥,董勇,刘晓洪
(重庆城市管理职业学院,重庆400055)
摘要:对NGN及软交换技术以及SIP协议作了介绍, (Digest)认证机制,给出了一种改进的摘要认证机制. 关键词:下一代网络;软交换;SIP协议;摘要认证机制 中图分类号:TP393.03文献标识码:A 0引言
SIP协议是应用于IP电话技术的信令控制协议,是软交换 系统中的重要协议之一,它具有很好的扩展性,目前仍然是一 个发展中的协议,广泛应用于NGN和3G网络.在电信网络由 传统网络向分组网络转型的今天.对SIP协议的研究和应用具 有极大的现实意义.
1NGN网络及软交换技术介绍 1.1NGN网络及软交换技术介绍
NGN是以IP网为核心,支持多媒体业务,智能化的,融合 的,可管理可运营的全业务网络..它的目标是将语音,数据, 视频业务逐渐融合到统一,开放的网络平台,降低网络成本.可 以派生许多新业务,使电信运营商更快找到新的利润增长点. 软交换作为NGN网络的核心单元,整合了语音,数据和视 频通讯,并且在独立的网络之间进行协议转换.软交换处于 NGN分层结构中的控制层,软交换提供的主要功能有:呼叫控 制和处理功能,媒体接入功能,业务提供功能,互通功能,操作 维护功能,计费及认证授权功能等. 1.2软交换中最重要的S协议介绍
SIP(会话初始协议)的开发目的是在Intemet上建立高级 电话业务,目前1P电话正向商业电话模式演进,并且已经形成 一
定规模,它和ITu-T(国际电信联盟电信标准化部门)提出的 H.323协议是当前IP电话技术的两大信令控制协议.伴随着 VoIP技术的不断完善,基于IP网络的分组通讯网不断发展. SIP协议越来越得到重视.SIP协议的标准主要由IETF来负责 制定和维护,其主体由RFC3261来表述,同时有很多补充协议 对SIP系统面临的安全问题进行了研究,重点讨论了摘要 文章编号:1672—7800(2009)06—0125—03
11RFC3262~z],RFC3263”等.随着SIP协议及其应用的不断完 善.3GPP组织已经将SIP作为3G全IP网络多媒体子系统 (IMS)的控制协议,在下一代网络(NGN)中SIP协议也成为核 心协议.
SIP协议是应用层控制协议.独立于底层协议.可以使用 TCP或UDP作为底层传输协议.SIP协议和其他协议如RTP, SDP等一起给用户提供完整的服务.用于建立,修改和终止IP 网上的双方或多方多媒体会话.SIP是IETF标准进程的一部 分,它借鉴了诸如SMTP(简单邮件传送协议)和H1TrP(超文本 传送协议)等成功的互联网协议,采用文本方式编码,使用者可 以根据需要自行扩展协议的头域,具有实现方便,扩展性强的 特点
2SIP协议面临的安全问题
SIP协议主要面临如下几种安全问题:
(1)拒绝服务攻击.拒绝服务攻击(DenialofService)的目 的是使SIP网元不能正常工作.即通过向SIP网元发送大量的 消息,消耗服务器的资源.最终使服务器性能降低甚至不能正 常工作.这种攻击方式是基于客户/1t务器模式的系统必须面 对的一种攻击方式,并且较难防范.
(2)注册劫持.攻击者中途拦截到合法的REGISTER消息, 将消息中的联系地址改为自己的联系地址.这样后续发送到合 法用户的消息就会发送到攻击者的联系地址.此外,SIP支持
第三方注册.即允许第三方用户向SIP系统注册其它用户的联 系地址.如果攻击者截获了注册消息,就可能伪装成合法的第 三方请求者.可以先清除掉rro头域中所标识用户的所有联系 地址,然后注册自己的联系地址,这样后续发往合法用户的消 息就会全部转向攻击者注册的联系地址. 基金项目:重庆市教育委员会资助项目(kj072002)
作者简介:郎永祥(1970-),男,重庆人,重庆城市管理职业学院实验师,研究方向为数字化校园建设,网络安全;董勇(1973一),男,四川内江人,重庆
城市管理职业学院信息工程学院副教授,研究方向为计算机科学与技术;刘晓洪(1978一),男,重庆人,重庆城市管理职业学院网络中心 实验师,研究方向为网络安全. ?
126?软件导刊2009正
(3)伪装服务器.SIP消息中的请求行指定了请求的服务 域,通常SIP用户终端直接和该域的服务器交互,以发送请求, 接收响应.但攻击者可以伪装成服务器,从而拦截SIP用户的 请求,给出错误响应,或者利用收集到的消息作为后续攻击的 信息来源.
(4)篡改消息.SIP消息以文本方式编码,易用解析和修改, 这给攻击者篡改消息带来了方便.例如攻击者可以修改SIP消 息中的SDP消息内容,使得RTP流引向监听装置.某些端到端
有意义的头域也可能被篡改.例如Subject头域通常指请求的 主题,攻击者可以改变其值.使某些重要的请求失去本来意义. (5)请求欺骗.请求欺骗是指伪造合法用户的请求,以使接 收者误认为请求来自合法的用户.请求欺骗可能会造成通话中 断,或者使合法用户之间的通讯被监听等危害. 3SIP协议的Digest认证机制分析 3.1S协议总体构架
SIP摘要认证的架构与HTrP摘要认证的架构非常相似, 特别是认证模式,认证参数,挑战,域,域值和凭证的BNF都是 一
样的.两者都是基于挑战一响应模式,架构如图1. 请求(未包含鉴权信息) 挑战(挑战参数) 请求(包含鉴权信息) 图1捅要认证机制架构
如果客户端发起的请求没有包含鉴权信息,则服务器会向 客户端发起挑战,客户端收到挑战后,重新构建包含鉴权信息 的请求,服务器认证成功后,则接受此请求.SIP认证对特定域 有意义.每个保护域都有自己的用户名和密码,服务器在其挑 战中应该包含域信息,提示客户端提供此域的用户名和密码信 息,在SIP摘要认证中域字符串单独的定义了保护空间,因为 SIP消息中的Request—URI可能在经过代理服务器时改变,所
下一代网络(NGN)中的软交换技术研究
