SIP協(xié)議部署在NAT-防火墻環(huán)境下的安全性研究.pdf

1、基于IP的語音技術(shù)(Voice over IP，VoIP)是隨著20世紀(jì)90年代以來開始的Internet商業(yè)化革命和網(wǎng)絡(luò)融合技術(shù)發(fā)展起來的一門新興的通信技術(shù)。由于其和傳統(tǒng)的PSTN電信網(wǎng)相比，具有高效利用網(wǎng)絡(luò)資源、可提供多種增值服務(wù)等顯著優(yōu)點，VoIP技術(shù)得以蓬勃發(fā)展。SIP協(xié)議(Session Initiation Protocol)作為VoIP的核心信令協(xié)議，具有呼叫建立過程簡單，靈活便于實現(xiàn)，易于業(yè)務(wù)擴展等優(yōu)點。 然而在

2、VoIP逐步從試驗走向商用的過程中，也遇到了很多實際問題，特別是IP電話用戶的接入問題。由于IPv4地址緊缺以及安全等各種原因，當(dāng)前網(wǎng)上大量的企業(yè)網(wǎng)和駐地網(wǎng)基本上都采用私有IP地址進行內(nèi)部組網(wǎng)，并通過NAT/防火墻接入公網(wǎng)。由于NAT/防火墻技術(shù)與SIP技術(shù)存在固有的沖突問題，業(yè)界己經(jīng)提出了不少解決方案。然而現(xiàn)有的解決方案應(yīng)用于部署時都有弊端。其中最重要的是由于很多新方法、新擴展、新協(xié)議的引入使得SIP協(xié)議在NAT/防火墻環(huán)境下的安全脆

3、弱性暴露、安全威脅增加、安全措施實效，直接導(dǎo)致會話的機密性、可靠性、完整性不能得到保證。SIP協(xié)議安全面臨嚴(yán)峻挑戰(zhàn)。 本文在業(yè)界研究SIP協(xié)議安全性的基礎(chǔ)上，在NAT/防火墻部署的特殊環(huán)境下，綜合研究SIP協(xié)議的安全問題。分析NAT/防火墻環(huán)境下SIP協(xié)議所面臨的安全脆弱性、安全威脅以及攻擊手段，并且討論使用何種安全機制、如何使用安全措施才能最大限度的保證NAT/防火墻環(huán)境下SIP的安全。 首先對SIP協(xié)議和NAT/防火

4、墻具體技術(shù)進行綜述性介紹。包括SIP協(xié)議的安全威脅，SIP協(xié)議的安全措施，NAT/防火墻技術(shù)原理。然后提出了SIP協(xié)議部署在NAT/防火墻環(huán)境下的沖突問題，并具體介紹了SIP協(xié)議穿越NAT/防火墻常用技術(shù)。 接下來文章對SIP協(xié)議在NAT/防火墻環(huán)境下的安全問題展開研究。本章主要可分為兩個部分，安全威脅分析和安全措施分析。安全威脅分析研究了SIP協(xié)議部署于NAT/防火墻環(huán)境下存在的各種安全威脅，及其所造成的安全危害；安全措施分析