2008年第02期，第41卷 通 信 技 術 Vol.41，No.02,2008總第19

2008年第02期，第41卷 通 信 技 術 Vol.41，No.02,2008總第194期 Communications Technology No.194,Totally

基于SIP的IMS安全分析研究

王曉雷，郭云飛，俞柏鋒

（國家數字交換系統(tǒng)工程技術研究中心，河南 鄭州 450002）

【摘 要】文中首先分析了SIP協(xié)議的五個常見漏洞：注冊劫持、服務器偽裝、消息篡改、會話終止、拒絕服務，然后對IMS安全機制中的接入安全、網絡域安全以及安全聯盟的建立流程做了分析，并以此為基礎分析研究了在IMS中應用SIP協(xié)議的漏洞實施攻擊的可行性。從分析結果可以看出，IMS的安全機制能夠拒絕除了DOS攻擊之外的所有基于SIP漏洞的攻擊。最后給出了在IMS中實施DOS攻擊的流程，并利用Open SER服務器在100M的局域網中對DOS攻擊進行了仿真驗證。 【關鍵詞】SIP協(xié)議；IMS；DOS攻擊

【中圖分類號】TN918 【文獻標識碼】A 【文章編號】1002-0802(2008)02-0035-04

Ｓｅｃｕｒｉｔｙ　Ａｎａｌｙｓｉｓ?。幔睿洹。遥澹螅澹幔颍悖琛。猓幔螅澹洹。铮睢。樱桑小。椋睢。桑停?/p>

WANG Xiao-lei,GUO Yun-fei,YU Bai-feng

(National Digital Switching System Engineering &Technological Research Center, Zhengzhou Henan 450002, China)

【Abstract】This paper first analyzes the five ordinary leaks: register hijack, impersonation of a server, tampering of message bodies, tearing-down of sessions and denial of service, and then discusses the access security and network domain security in IMS security mechanism, and the establishment flow of security association. Based on these work it analyzes the feasibility of attack by making use of SIP leaks in IMS. The result shows that the security mechanism of IMS can resist all the attack based on SIP leaks except the DOS. Finally it gives an attack flow of DOS and describes a simulation of the DOS attack by using open SER in a 100M LAN.

　　　【Ｋｅｙ　ｗｏｒｄｓ】ＳＩＰ?。穑颍铮簦铮悖铮?；　ＩＭＳ；?。模希印。幔簦簦幔悖?/p>

0 引言

3GPP在R5版本中提出了IMS標準。IMS采用SIP作為其會話控制協(xié)議，被業(yè)界公認為未來網絡融合的控制平臺。SIP協(xié)議具有實現簡單、擴展性好、多媒體會話提供能力強等特點。但另一方面，SIP以文本形式表示的詞法和語法分析比較簡單，面對復雜的網絡環(huán)境，SIP協(xié)議缺少有力的安全機制。同時，IMS安全機制也正處于不斷完善之中。通過研究SIP協(xié)議的漏洞和現有IMS安全機制，去發(fā)現IMS的安全威脅和漏洞，具有重大的意義。

陷。目前針對SIP協(xié)議比較典型的安全威脅包括如下幾種。

（1）注冊劫持：注冊過程中，攻擊者截獲注冊消息，并向一個URI的所有Contact發(fā)送注冊注銷消息，然后注冊自己的設備為contact地址，這樣就將所有到用戶的呼叫全部轉向攻擊者的設備。

（2）服務器偽裝：呼叫過程中，UA通常直接向域中的服務器發(fā)送Invite消息。攻擊者偽裝成重定向服務器接收到該消息后，向用戶發(fā)送301消息表示當前SIP服務器已退出服務，同時將自己的地址指定為接替服務的SIP服務器。那么用戶所有的呼叫請求都被攻擊者截獲，而并非發(fā)向服

[1]

1 SIP協(xié)議漏洞分析

SIP協(xié)議在設計之初充分考慮了協(xié)議的易用性和靈活性，但并沒有將安全性作為重點，使其在安全方面存在一定的缺

務器。

（3）消息篡改：當UA通過信任的proxy來路由呼叫時，惡意的proxy就可以改動消息體。大部分端到端SIP消息中

收稿日期：2007-09-28。

作者簡介：王曉雷（1982-），男，碩士研究生，主要研究方向為無線移動通信；郭云飛（1963-），男，教授，博士生導師，863通信主題專家組組

長,主要研究方向為信息傳輸與交換、下一代網絡、無線移動通信；俞柏鋒（1981-），男，碩士研究生，主要研究方向為無線移動通信。

35

的內容都在可篡改之列，例如MIME、SDP、被封裝的電話信令等。

（4）會話終止：會話建立以后，可以通過發(fā)送信令消息修改會話的狀況。如果一個會話消息被攻擊者截獲，獲得了To、From等內容，然后在消息中插入BYE請求，于是用戶的正常會話會被終止。

（5）拒絕服務：由于SIP的服務基于IP網絡，SIP服務器就不可避免的存在遭受DOS攻擊的可能性。攻擊者通常偽造一個虛假的IP地址和相應的Via字段，假裝是某個主機發(fā)來的請求。然后大量發(fā)送給SIP服務器，從而使服務器遭受D0S攻擊。

間的SA采用IPSec ESP的隧道模式，所有來自不同安全域的業(yè)務都由SEG進行路由。2.3 SA的建立流程

在IMS的5個安全聯盟中，UE和網絡的相互認證是建立安全聯盟的基礎，文中以安全聯盟②為例，詳細說明SA的建立過程。

2.3.1UE獲取IP地址

以GPRS接入網為例，UE在GPRS附著流程完成后向SGSN發(fā)送一個激活PDP上下文請求，SGSN根據該消息中的APN連通請求和分組連接類型來選擇合適的GGSN，并向其發(fā)送一個創(chuàng)建PDP上下文請求。GGSN收到請求后把一個64bit的IPv6前綴包含在一個創(chuàng)建PDP上下文響應中，并通過SGSN透傳給UE。UE選擇任意IPv6后綴，組成一個128bit的IPv6地址。2.3.2 P-CSCF發(fā)現

IMS終端通過P-CSCF發(fā)現流程來獲得一個P-CSCF的IP地址。P-CSCF發(fā)現流程分為兩種：一是與接入IP-CAN的流程相結合，即UE在獲取自身IP地址的同時也獲得了P-CSCF的地址；二是作為一個獨立的流程進行。

在P-CSCF發(fā)現流程的獨立形式中，當IMS終端與IP-CAN連接后，IMS終端向DHCPv6服務器發(fā)出消息，請求獲得P-CSCF域名和DNS服務器地址列表。終端從域名列表中選擇

2 IMS安全機制分析

IMS用戶在被允許接入多媒體業(yè)務前，用戶和IMS之間需要建立安全聯盟SA（Security Association）以保護消息的安全。IMS安全體系

[2，3]

如圖1。圖1中的數字分別代表了

對應于IMS不同安全需求的5個安全聯盟。

合適的域名，然后向合適的DNS發(fā)送消息把域名解析成IPv6地址，從而獲得P-CSCF的地址。2.3.3 IMS層注冊

IMS層注冊就是IMS用戶在IMS網絡請求授權使用IMS業(yè)務的流程 。以UE使用ISIM進行注冊為例，ISIM和HSS共享的參數有IMPU、IMPI、用戶歸屬網絡的域名、IMS域內的SQN序列號、認證密鑰key。注冊通過一個SIP REGISTER請求來完成，共有兩次往返過程，如圖2所示。

UE

P-CSCF

[6]

圖1 IMS安全體系

2.1 接入安全

[4]

接入安全包括用戶和網絡認證以及保護IMS終端和網絡間的業(yè)務，由如下兩個安全聯盟負責：安全聯盟①：完成終端的注冊以及終端和網絡間的相互認證；安全聯盟②：為UE和P-CSCF間的信令和數據提供完整性保護，在用戶的注冊過程中建立。2.2 網絡安全

[5]

I-CSCF HSS S-CSCF

網絡安全處理網絡節(jié)點之間的業(yè)務保護。IMS網絡被劃分為若干的安全域，安全域通常是一個由單獨管理機構管理的網絡。不同的安全域之間由安全網關SEG建立安全聯盟，保護安全域之間的邊界。網絡安全由以下三個安全聯盟負責：安全聯盟③：為網絡域內的Cx接口提供機密性和完整性保護；安全聯盟④：當P-CSCF位于漫游網絡時，為不同網絡間具有SIP能力的結點提供安全，對所有經過Za接口的數據提供認證和完整性保護；安全聯盟⑤：當P-CSCF位于歸屬網絡時，為網絡內部具有SIP能力的結點提供安全，即在同一個安全域內各個實體之間建立安全聯盟。 安全聯盟③～⑤的建立過程和安全聯盟②相同。SEG之36

圖2 在IMS層的注冊流程

假設用戶user向域名為sip:home.net的歸屬網絡進行注冊。則(1)REGISTER消息的簡要格式如下。

REGISTER sip: home.net SIP/2.0

From: ;tag=s8732nTo:

Contact:Authorization : Digest username=“user_private@home.net” realm=“home.net ”,nonce=“” uri=“sip:home.net”,response=“”Security-Client: ipsec-3gpp; alg=hmac-sha-1-96; spi-c=23456789;spi-s=12345678; port-c=2468;port-s=1357

3 IMS安全漏洞分析與攻擊實驗

信令消息的安全通常分為四個方面：完整性、機密性、真實性、可用性。在IMS中通過建立安全聯盟SA實現了對SIP消息的完整性保護，通過對UE進行認證實現了對消息的真實性和可用性保護。

在SIP常見的威脅中，服務器偽裝、消息竄改、會話終止都是在會話過程中發(fā)起攻擊，分別對消息進行完整性、可用性和真實性破壞。因為IMS發(fā)起會話邀請時已經建立了SA，并對所有的消息都進行了保護，所以此三種攻擊手段在IMS中無效。文中重點分析在注冊階段發(fā)起的注冊劫持和DOS攻擊在IMS中的威脅。3.1 IMS中的注冊劫持攻擊

假設攻擊者為attacker，截獲(1)REGISTER消息后對消息進行篡改，篡改后格式如下。

REGISTER sip: home.net SIP/2.0

From: ;tag=s8732nTo:

Contact:

從格式中可以看出，attacker把自己的地址寫進了Contact和From域中。S-CSCF返回的401未授權消息將直接發(fā)往attacker，然后attacker把消息發(fā)回到UE對網絡進行認證。但是當ＵE對網絡認證完成后發(fā)送(11)REGISTER消息時已經受到SA的保護，attacker無法從消息中獲取終端的認證應答XRES，所以由attacker偽造的注冊流程無法完成。常規(guī)的注冊劫持攻擊無法在IMS中實現。3.2 IMS中的拒絕服務攻擊

常見的DOS攻擊通常采用IP欺騙等方式向服務器發(fā)送大量的無用數據包。SA建立之后，IMS能夠杜絕IP地址欺騙。但是UE在發(fā)送(11)REGISTER消息之前，沒有對所傳送的消息進行任何保護。所以在注冊流程的第一個往返過程中可能發(fā)生DOS攻擊。因為3GPP/3GPP2沒有對如何防止DOS對DNS的攻擊作相關定義，所以可以在P-CSCF發(fā)現流程中對DNS發(fā)起DOS攻擊。設計攻擊流程如圖3。

UE

DHCP

DNS

[7]

圖2中(1)REGISTER消息沒有進行任何安全性保護。Authorization字段包含了IMPI、歸屬網絡域名，其中nonce和response用來進行認證，此時值為空。Security-Client字段用于建立SA。

P-CSCF通過執(zhí)行DNS流程定位I-CSCF，并把REGISTER消息發(fā)送到I-CSCF。I-CSCF在收到注冊消息后向HSS發(fā)送包含IMPU、IMPI、拜訪網絡標識的Diameter用戶認證請求。HSS根據參數內容做出應答，并返回一組S-CSCF的性能。I-CSCF根據S-CSCF的性能為用戶選擇一個合適的S-CSCF，并把REGISTER消息發(fā)向S-CSCF。S-CSCF收到注冊消息后從HSS下載若干5維的認證向量V 。

V =(RAND , AUTN , XRES , IK , CK ) ， (1)AUTN 由共享的密鑰key 和序列號SQN 生成。S-CSCF利用第一個認證向量建立一個401未授權響應來傳送nonce 值和CK 、IK ：

nonce =RAND AUTN =RAND key SQN 。 (2) P-CSCF收到401未授權響應后取出CK和IK用來建立SA，然后把剩下的消息發(fā)送給UE。此時401消息中Authorization和Security-Server字段為：

Authorization : Digest realm=“home.net ” nonce=“dcd98b7102dd2f0e8b11d0f600bfb ” algorithm=AKAv1-MD5

Security-Server: ipsec-3gpp; q=0.1;alg=hmac-sha-1-96; spi-c=98765432;spi-s=87654321; port-c=8642;port-s=7531

[6]

UE收到401消息后，由nonce 的值推算出RAND 、AUTN 、CK 、IK 。IMSI使用共享的key 和SQN 計算得到一個AUTN ，如果它和接收到的AUTN 值一樣，則網絡通過認證。IMSI使用key 和接收到的RAND 產生響應值RES ，并通過(11)REGISTER消息的response 字段發(fā)送給S-CSCF。S-CSCF把接收到的RES 值與預期認證向量中的XRES 進行比較，如果匹配，則終端UE通過認證，并返回一個200(OK)消息。2.3.4 SA的建立

(1)REGISTER消息中的Security-Client字段和(10)401未授權消息中Security-Server字段包含了建立安全聯盟所需的參數。這些參數包括終端和P-CSCF所支持的安全機制(ipsec-3gpp)、算法(hmac-sha-1-96)，以及安全連接標識符SPIs和端口號。(11)REGISTER消息之后所有的SIP消息都將受到SA的保護。

圖3 DOS攻擊流程

圖3中攻擊者attacker截獲UE發(fā)向DNS的域名解析請求，并把IP地址偽裝成UE的地址，然后向DNS發(fā)送大量的數據包直到服務器無法正常工作。3.3 DOS的攻擊試驗

37

實驗中服務器端軟件使用OpenSER (Open SIP Express Router)擔任UE、DHCP、DNS等多種邏輯角色，主機操作系統(tǒng)使用Redhat Enterprise Linux 4。實驗在100M局域網中進行，服務器和attacker的硬件配置為P-4 1.6GHz雙核處理器、1GB內存。

采用sipsak(SIP swiss army knife)這一測試工具的flood.mode測試模式進行模擬攻擊。由主機attacker執(zhí)行攻擊，再利用sipsak的探測模式從另一臺主機探測DNS的響應時間。

正常情況下DNS的響應時間測試值在100ms左右。從探測結果圖4可以看出，在攻擊發(fā)起的前9s時間內，DNS的響應時間沒有多大變化。當攻擊發(fā)生21s以后，DNS的響應時間

迅速增加至接近25s。

4 結語

通過文中的研究結果可以看出，IMS的安全機制對于現有的攻擊手段來說還是比較完善的。但是IMS是基于全IP架構的網絡，隨著終端智能化的發(fā)展，IMS面臨的威脅也不斷升級。對IMS安全機制的研究和改進將是一個長期的研究課題。

參考文獻

1 俞志春,方濱興,張兆心. SIP協(xié)議的安全性研究[J].計算機應用,2006,26(09):2124-2126.

2 Camarillo G, Miguel A.Garicia-Martin. The 3G IP Multimedia Subsystem[M].Finland: John Wiley & Sons.Inc,2005:182-188.3 3GPP.TS 23.228(V6.7.1 2006.12), IP Multimedia Subsystem (IMS)[S].France:3rd Generation Partnership Project:5-11.4 3GPP.TS 33.203(V7.4.0 2006-12), 3G Security:Access Security

測試響應時間

for IP-based Service(SA3)[S].France:3rd Generation Partnership Project:14-21.

5 3GPP.TS 33.210(V6.6.0 2006.09), 3G Security:Nerwork Domain Security,IP network Layer Security[S].France:3rd Generation Partnership Project:7-13.

6 IETF.RFC3263(2002.02),SIP:Locating SIP Servers.America:IETF:94-115[S].

攻擊時間/s

（上接第31頁）

1 POHST M. On the computation of lattice vectors of minimal length, successive minima and reduced basis with applications[J]. ACM SIGSAM Bull, 1981, 15(01): 37-44.2 VITERBO E，BOUTROS J. A universal lattice code decoder[C]. France，1993: 611-614.

3 BRUNEL L, BOUTROS J. Euclidean space lattice decoding for joint detection in CDMA systemsin[C]. South Africa, June 1999.

4 DAMEN M O, CHKEIF A, BELFIORE J. Lattice codes decoder for

R SN /(dB)

4 結語

CL算法的誤碼性能非常好，但它的復雜度非常高，限制了它在許多實際系統(tǒng)中的應用。為了降低復雜度，文中提出了一種改進的球解碼算法BLAST-SD算法，這個算法是在犧牲有限誤碼性能的情況下大幅度降低了算法的復雜度，進一步加快了解碼的速度。

參考文獻

38

/ms

7 方濱興.信息安全四要素.[DB/OL].http://pact518.hit.edu.cn/

viewpoint/annotation/view.2005-07-05/2007-09-04.

圖4 DOS攻擊DNS的響應能力

space-time codes[J]. IEEE Communication Letter, 2000, 4(05): 161-163.

5 Foschini G J. Layered space-time architecture for wireless communications in a fading environment when using multi-element antennas[J]. Bell Labs Technical Journal, Aut.1996, 1(02): 41-59.

6 VITERBO E, BOUTROS J. A universal lattice code decoder for fading channels[J]. IEEE Trans on Information Theory, 1999, 45(07): 1639-1642.

7 CHAN A M, LEE I. A new reduced-complexity sphere decoder for multiple antenna system[C]. 2002: 460-465.

圖2 CL、BLAST-SD 不同信噪比下的迭代次數