無線網(wǎng)絡安全第章5

無線網(wǎng)絡安全（第六章）高等院校密碼信息安全專業(yè)系列教材1中國密碼學會教育工作委員會推薦教材第六章無線VoIP安全2中國密碼學會教育工作委員會推薦教材組編目錄無線VoIP簡介VoIP原理VoIP標準基于H.323的VoIP安全H.323協(xié)議及安全威脅基于H.323的VoIP安全機制基于SIP的VoIP安全SIP協(xié)議及安全威脅基于SIP的VoIP安全機制

3中國密碼學會教育工作委員會推薦教材組編無線VoIP簡介VoIP原理VoIP是一種利用IP網(wǎng)絡來傳送語音的技術(shù)。VoIP可利用IP網(wǎng)絡傳遞包括話音、視頻等數(shù)據(jù)，即在分組交換網(wǎng)上通過TCP/IP協(xié)議實現(xiàn)傳統(tǒng)的電話應用。待發(fā)送的語音在經(jīng)過模數(shù)轉(zhuǎn)換、壓縮編碼、RTP/UDP/IP封裝成IP包，經(jīng)過IP網(wǎng)絡進行傳輸?shù)竭_接收端再進行解包、編碼解壓、數(shù)模轉(zhuǎn)換等實現(xiàn)分組包向語音的轉(zhuǎn)換，如下圖所示。4中國密碼學會教育工作委員會推薦教材組編VoIP原理圖5中國密碼學會教育工作委員會推薦教材組編無線VoIP簡介VoIP標準SIP協(xié)議是由IETF提出的一個在基于IP網(wǎng)絡中實現(xiàn)實時通信應用的一個應用層控制信令協(xié)議。IETF是制定Internet協(xié)議的工程任務組，其思路和傳統(tǒng)電信網(wǎng)絡不同，因此SIP協(xié)議的體系結(jié)構(gòu)與H.323是并列的。SIP協(xié)議具有簡單、擴展性好及和現(xiàn)有的Internet應用緊密結(jié)合的特點。SIP協(xié)議的出發(fā)點是以現(xiàn)有的Internet為基礎(chǔ)來構(gòu)建IP電話業(yè)務網(wǎng)。6中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全H.323協(xié)議及安全威脅基于H.323協(xié)議的VoIP網(wǎng)絡體系結(jié)構(gòu)終端：H.323TE是網(wǎng)絡中的一個端點，提供與其他的H.323TE、GW或MCU的實時雙向通信，是一種終端用戶設(shè)備，某終端可與另一個終端直接呼叫或由GK幫助建立呼叫。網(wǎng)守：GK是網(wǎng)絡中的一個H.323實體，負責電話號碼和IP地址之間的轉(zhuǎn)換，負責管理帶寬并提供終端登記和認證機制，包括為H.323終端、GW和MCU控制對網(wǎng)絡的訪問，為終端、GW和MCU提供諸如帶寬管理和GW定位的其他服務。網(wǎng)關(guān)：H.323GW是網(wǎng)絡中提供H.323終端與非H.323網(wǎng)絡上的終端之間的實時雙向通信的端點。網(wǎng)關(guān)通過轉(zhuǎn)換呼叫建立和釋放協(xié)議，來轉(zhuǎn)換兩個網(wǎng)絡的不同媒體格式。多點控制單元（MCU）：提供對三方終端以上的電話會議的支持。所有參與會議的終端與MCU建立一個連接。MCU管理會議資源、語音（視頻）編碼算法，以及媒體流。7中國密碼學會教育工作委員會推薦教材組編基于H.323VoIP網(wǎng)絡體系示意圖8中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全H.323協(xié)議及安全威脅H.323協(xié)議棧音頻G.711G.722G.723.1G.728視頻H.261H.263H.225.0音/視頻應用終端控制與管理數(shù)據(jù)應用G.729H.264RTCPH.225.0RAS信令呼叫信令（Q.931信令）控制信令T.125T.123加密TransportLayerSecurity(TLS)RTP認證不可靠傳輸（UDP）可靠傳輸（TCP）

網(wǎng)絡層（IPSec）鏈路層物理層9中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全H.323協(xié)議及安全威脅基于H.323協(xié)議的VoIP安全威脅竊取服務：一方面是竊取或假冒合法用戶身份。另一方面是冒充合法的網(wǎng)絡節(jié)點進行相應的欺騙，例如通過虛假關(guān)守，在終端沒有進行對關(guān)守進行認證的情況下，不法分子獲得用戶的登錄口令等信息。監(jiān)聽信令流和媒體流：由于H.323信令的開放性，任何人可以通過網(wǎng)絡監(jiān)聽的方式監(jiān)聽VoIP通信建立過程的信令流，從而惡意用戶可以進行對信令流的篡改并可造成會話劫持、中間人攻擊、電話跟蹤等后果。另外，基于H.323的VoIP通信采用RTP/RTCP作為語音信息實時傳輸?shù)膮f(xié)議。DoS攻擊：DoS攻擊是包括任何導致系統(tǒng)不能正常提供服務的攻擊，基于H.323的VoIP系統(tǒng)采用了很多開放端口用于呼叫建立和業(yè)務傳輸。在呼叫建立過程中，如果沒有完成認證工作，就為DoS攻擊提供了機會。這一攻擊的原理和Internet中的TCPSYNFlooding如出一轍。10中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全基于H.323的VoIP安全機制安全機制基于H.323的VoIP網(wǎng)絡的安全的具體實現(xiàn)主要有以下兩種安全機制：借助于外部協(xié)議的安全機制，如通過網(wǎng)絡層/傳輸層的安全通道，實現(xiàn)H.323安全保護。內(nèi)部協(xié)議增強機制。對H.323協(xié)議簇中所涉及的信令增加安全機制，實現(xiàn)各種信道安全能力協(xié)商與安全保護，即制定自身的安全協(xié)議，如H.323協(xié)議的H.235安全協(xié)議。11中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全基于H.323的VoIP安全機制安全機制H.323協(xié)議族中有一個成員H.235負責身份驗證、數(shù)據(jù)完整性和媒體流加密。H.235建議為H.323系統(tǒng)引入了安全機制，它建議了各種消息的流程、結(jié)構(gòu)及算法，保證H.323系統(tǒng)中信令信道、媒體控制信道和媒體流的安全性。所采用的機制主要有：保護H.225呼叫信令信道的保密性，采用TLS或IPSec。保障H.245媒體控制信道的安全，以便實現(xiàn)媒體流的安全性。對于H.323系統(tǒng)，可以在H.225信令信道中傳遞各種安全相關(guān)的參數(shù)來實現(xiàn)H.245信道的安全。密鑰可更新。媒體流的最初密鑰材料的傳遞需要通過H.245的開放邏輯信道或是通過響應消息。當處理了一定數(shù)量的包以后，需要更換會話密鑰，這時候使用H.245中的加密更新命令等消息。對不同安全要求的適應性，支持多種密碼算法。實現(xiàn)終端之間的交互兼容操作，提供安全性、非安全性混合環(huán)境下的操作，終端支持盡可能多的加密算法能力。12中國密碼學會教育工作委員會推薦教材組編基于H.323的VoIP安全基于H.323的VoIP安全機制安全流程身份認證（H.225.0RAS）H.235協(xié)議中提供了兩類認證方式：基于對稱加密體系和基于非對稱加密體系的認證。呼叫連接安全（H.225.0Q.931）呼叫連接安全涉及兩個方面：一是在接收呼叫之前要進行認證，以保證呼叫建立與連接信道的安全；二是通過對端點的認證來進行呼叫鑒權(quán)。呼叫控制安全（H.245）H.245呼叫控制信道本身可以通過TLS或IPSec進行加密。H.245包含了對各種信道加密的加密算法和密鑰，可以設(shè)置對媒體數(shù)據(jù)流加密的多種模式。媒體信道安全媒體流使用H.245信道中給出的算法與密鑰來進行加密，只加密RTP數(shù)據(jù)報的負載。如果H.245信道是安全的，則會話密鑰不需要施加任何保護。13中國密碼學會教育工作委員會推薦教材組編基于SIP的VoIP安全SIP協(xié)議及安全威脅SIP協(xié)議SIP在IETF協(xié)議族中的位置14中國密碼學會教育工作委員會推薦教材組編基于SIP的VoIP安全SIP協(xié)議及安全威脅SIP協(xié)議SIP協(xié)議定義了多種實體：用戶代理、重定向服務器、代理服務器、注冊服務器。用戶代理負責根據(jù)用戶的操作發(fā)起呼叫，接收呼叫并做出響應。代理服務器負責接收UA發(fā)起的會話請求，根據(jù)策略將請求路由傳給相應的服務器，并根據(jù)收到的應答對UA做出響應。重定向服務器與代理服務器類似，負責接受UA的請求，但它不路由該請求，只是返回用戶有可能出現(xiàn)的位置列表，由UA去進行用戶定位的嘗試，引入重定向服務器可有效減少負責路由請求的代理服務器的負荷，提高信令路徑的魯棒性。注冊服務器負責接收用戶的注冊/注銷請求，從位置服務器中將用戶的地址信息添加/刪除，完成用戶地址的注冊。15中國密碼學會教育工作委員會推薦教材組編SI抗P協(xié)議罵中的叫實體16中國弓密碼乳學會熊教育旁工作珠委員工會推吊薦教譜材組編SI鴿P信令包交換17中國瞧密碼與學會泊教育航工作蓬委員御會推市薦教縫材組編基于SI甩P的Vo通IP安全SI釘P協(xié)議世及安華全威丑脅基于SI墳P的Vo風IP安全倚威脅注冊擋攻擊值。SI吉P協(xié)議朋允許軌第三恨方代嶄表用賞戶注連冊聯(lián)遲系信導息，F(xiàn)r聯(lián)om字頭墻又可東以由UA的所啊有者燥改寫碧，這猛就給妥攻擊晴者惡養(yǎng)意注第冊提編供了禿方便漿。注覺冊攻超擊就氧是攻悟擊者徹向注移冊服棕務器掩偽造類注冊判行為歸，例廊如攻形擊者囑注冊森其設(shè)危備作窮為被私攻擊客對象輪的聯(lián)鈔系地堂址，四同時各注銷拜被攻販擊對役象的蓋聯(lián)系騎地址吧。這迅樣所報有的考發(fā)向閥被攻忽擊者兵的請粥求都拳將被筐導向僻到攻合擊者召的設(shè)勿備。偽造刃。攻擊落者改兵變消易息的精頭域鄭和消縱息體弓，模橡仿消境息發(fā)企出者剃的身正份欺孔騙合決法的罩接收場者。器包括In唱vi宅te請求忌偽造嚼、By剖e請求途偽造搞、Ca膊nc市el請求古偽造標。篡改扁。用戶鞭代理冤向某盞服務如器請骨求通短信時定，攻卻擊者匆可以晚假冒換該服今務器咬做出姓應答森，而候用戶毀代理訴無法陵識別鉛該應針答是五否來疑自于賀期望逼的服呢務器聲。例頓如攻委擊者跨篡改莊應答在消息盾，并求在該進應答淺中增拆加Re抬co情rd墓-R淡ou滑te字段識頭，戲就可殿以使及該攻績擊者叛始終榴處于帖信令當路徑覽上，麗從而銹進行坊有效哄的監(jiān)禍聽。18中國爐密碼電學會世教育載工作簡委員同會推炭薦教載材組編基于SI每P的Vo暗IP安全SI茄P協(xié)議崗及安透全威吃脅基于SI錄P的Vo拐IP安全知威脅監(jiān)聽古。SI米P消息竹頭會物暴露蓄通信墓方式影等信劑息，SI燃P消息葛體也瘡會暴堵露一蓋些不艘能公興開的獅用戶僑信息防，如慌媒體鞋流格萌式、宮編碼扶方式浙、IP地址團和端蠅口、美會話琴加密紡密鑰亦等。Do概S攻擊機。SI邁P代理謙服務季器接楚受來汁自In豆te喜rn遵et的請雀求，魯因此早成為Do牛S攻擊路的潛斷在目醫(yī)標。交攻擊兵者可跪以發(fā)乖出包園含偽IP地址大及其癢相關(guān)獎的Vi養(yǎng)a頭域攀的請聚求，珠這個Vi擴a頭域臉標識副了被烘攻擊真的主急機地令址。也當攻幸擊者甘發(fā)送照這個告請求烏給大海量的SI野P節(jié)點單，SI巧P的UA或者池代理劑服務紀器就誘會給悟被攻侍擊的團主機椅產(chǎn)生娛大量停的垃勺圾應典答，冠從而漆形成Do心S攻擊拆。19中國誦密碼桑學會研教育稀工作眠委員諸會推扭薦教鋼材組編基于SI旅P的Vo星IP安全基于SI今P的Vo筐IP安全諷機制SI宗P安全減性方鴉案20中國難密碼建學會卻教育怨工作壘委員券會推嘩薦教賣材組編基于SI停P的Vo腿IP安全基于SI舞P的Vo長IP安全倚機制IP尚Se廣cIP排Se醉c作為章一個諒公開墊的框并架標錫準為IP層提您供消塘息鑒炎別和碼加密辱服務乓。在IP溉Se都c中使章用3種協(xié)逐議來鴿完成澆這一解功能窄，分趴別是顆：封姻裝安勁全有淚效載團荷協(xié)歲議（ES肯P），篩提供模機密陶性的普服務限，包頌括報座文內(nèi)茂容的耗機密土性和循通信年量的鐵機密撫性；延鑒別擁首部取協(xié)議擾（AH），激提供茅鑒別論服務狡；基于IP駛Se此c的VP替N通道泄可以漏在有嶺特殊砌安全洋需求蔑的SI揭P會話經(jīng)參與添者之熄間建摔立，菊即一晃個加燈密的VP則N隧道謀，使磚得通退信數(shù)好據(jù)只鑰能被撞通信煩雙方猾理解車。通輩過創(chuàng)磨建安寶全隧資道來沈通過繭不信訪任的盤網(wǎng)絡努，實跨現(xiàn)SI我P會話旅參與納者之漠間的禁安全狡連接倒。21中國違密碼黃學會赴教育段工作屆委員儲會推住薦教杰材組編基于SI蠻P的Vo研IP安全基于SI左P的Vo叔IP安全玻機制TL格STL掠S提供其面向呈連接醬的傳抽輸層社安全往服務須。它什工作葬于TC腔P層和他應用脆程序劉之間培，通戚過其資提供及的TL色S套接毫字可節(jié)以保鈴證數(shù)創(chuàng)據(jù)在天傳輸?shù)A過程失中的羽機密流性。供該協(xié)勝議分稍為上侵層的TL踩S握手鑼協(xié)議餅和下過層的TL畝S記錄斜協(xié)議我。在SI晝P網(wǎng)絡束中應枝用TL膠S可以相為需鬼要逐搶跳間運安全守通信莊的主店機提傍供安勞全服億務，摔保證層會話繭的安請全。TL茫S也可漫為SI皮P實體刊提供見對鄰廉近的象服務咸器的畜鑒別吵服務塞，若神要提努供對智客戶駱端的析鑒別蠢服務噸則需櫻要分默發(fā)客乖戶端羨的證斤書。TL洗S的一達個缺叮陷就給是必遭須運箱行在TC練P之上港，對泡于通談常運傍行在UD孝P之上既的SI命P服務吵器來朱說，聽同時當維持哪大量細的TL塌S連接素會引凳發(fā)負唇載較初重的憂問題懇。解揮決的壺辦法剝是在Pr指ox竭y之間險通過TL陵S實現(xiàn)棍逐跳再加密墨，用芳戶代膜理和Pr灣ox托y之間禁則采豆用HT拘TP摘要橋認證盤方式銷。22中國擊密碼覆學會會教育牛工作攻委員壤會推米薦教腥材組編基于SI辮P的Vo掘IP安全基于SI芽P的Vo奇IP安全魂機制HT行TP摘要佩認證驅(qū)機制Pr創(chuàng)ox充y收到奧用戶正請求糕后對邊用戶漆發(fā)起凡挑戰(zhàn)鏟，挑峽戰(zhàn)包纖括隨滾機數(shù)仇（No址nc撞e）、直作用足域（Re封al巖m）等嗚信息支。用戶微將收套到的營隨機雄數(shù)、湊作用瓦域和搞用戶暢名、施密碼肝（與瓣服務怒器共掃享）遍等信氣息經(jīng)龜摘要酒算法房誠運算早后生虜成應膝答值冤，然星后把凈應答尤值嵌菠入到攤一個返新的矩請求缺消息襯中，運重新褲發(fā)送殲給Pr適ox晶y。Pr飄ox添y通過毛將收客到的瘋應答陳值同運預期商計算抖值相垮比較再來判陸斷用序戶的閘合法萌性。23中國慰密碼膨?qū)W會住教育伶工作頁委員肚會推輩薦教統(tǒng)材組編基于SI污P的Vo烏IP安全基于SI足P的Vo攀IP安全急機制S/矮MI刪ME機制SI宴P消息靜體可華以為MI案ME格式禾，因延此使瘡用MI剖ME的安廉全機蒸制S/閉MI殘ME就可引以方繭便地妥為SI底P提供關(guān)安全梳性。S/計MI轎ME是Se鞏cu況re磨M奇ul沖ti廳pa拼rt富I忠nt鼠er宜ne寺t句Ma喇il蠻E砍xt粘en樸si揮on的簡煩稱，傾它是炒從PE才M和MI捐ME發(fā)展野而來圈的，故其特棕點是猴通過浪單向ha回sh算法奮對郵鉗件內(nèi)混容進痛行簽束名，翻以保瘦證郵請件內(nèi)扁容不板被篡復改，談使用既非對青稱加鏡密技欠術(shù)保死證郵哪件內(nèi)硬容保段密且芽不可前否認勞