基于SIP協(xié)議的安全數(shù)據(jù)通信研究.pdf

1、上海交通大學(xué)工程碩士學(xué)位論文緒論11緒論1.1研究意義網(wǎng)絡(luò)為大眾提供豐富的信息資源和多樣化服務(wù)的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也無(wú)時(shí)不在威脅著廣大用戶。作為最具現(xiàn)代化網(wǎng)絡(luò)技術(shù)代表性的Inter就有著分布式、開(kāi)放性、資源共享等特點(diǎn)，這些特點(diǎn)使得網(wǎng)絡(luò)信息安全面臨了空前的挑戰(zhàn)。Inter的協(xié)議基礎(chǔ)是TCPIP協(xié)議。這個(gè)協(xié)議最初是面向研究機(jī)構(gòu)的互聯(lián)網(wǎng)環(huán)境的，這個(gè)環(huán)境遠(yuǎn)比現(xiàn)在的網(wǎng)絡(luò)環(huán)境安全，所有用戶都互相信任，所有的內(nèi)容都是公開(kāi)、自由的。但是隨著越來(lái)越多不同

2、目的和行為的人加入使用互聯(lián)網(wǎng)行列，目前互聯(lián)網(wǎng)上除了善意、誠(chéng)實(shí)的用戶之外，還有企圖非法闖入計(jì)算機(jī)系統(tǒng)、非法獲取數(shù)據(jù)、擾亂通信秩序的人。自20世紀(jì)80年代末以來(lái)，Inter世界充斥著大量計(jì)算機(jī)犯罪和網(wǎng)絡(luò)入侵事件，信息缺乏有效的安全保護(hù)。據(jù)估計(jì)，全球每年由于Inter攻擊所造成的實(shí)際經(jīng)濟(jì)損失高達(dá)上千億美元。一個(gè)安全型得不到有效保障的Inter體系，將很難成為21世紀(jì)全球信息化的基礎(chǔ)架構(gòu)。信息安全已是亟待解決的最重要問(wèn)題之一。1.2研究背景在設(shè)

3、計(jì)TCPIP協(xié)議時(shí)，并沒(méi)有考慮很多的安全因素，這在是符合當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境的。然而在今天，當(dāng)越來(lái)越多的口令被盜用，越來(lái)越多的信息被竊取，越來(lái)越多的IP被冒充、越來(lái)越多的攻擊出現(xiàn)的時(shí)候，網(wǎng)絡(luò)安全問(wèn)題就顯得非常重要。目前Inter所面臨的安全威脅主要有體現(xiàn)在以下幾個(gè)方面：1Inter是一個(gè)開(kāi)放的、無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客經(jīng)常會(huì)侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2Inter的數(shù)據(jù)傳

4、輸是基于TCPIP通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過(guò)程中的信息不被竊取的安全措施。3Inter上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來(lái)支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問(wèn)題會(huì)直接影響安全服務(wù)。4在計(jì)算機(jī)上存儲(chǔ)、傳輸和處理的電子信息，還沒(méi)有像傳統(tǒng)的郵件通信那樣進(jìn)行信封保護(hù)和簽字蓋章。信息的來(lái)源和去向是否真實(shí)，內(nèi)容是否被改動(dòng)，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來(lái)維系的。上海交通大學(xué)工程碩士學(xué)位論文緒論3道通信雙

5、方的IP地址。在目前的網(wǎng)絡(luò)環(huán)境下，通信雙方想要定位對(duì)方是十分困難的。此外，現(xiàn)在大量應(yīng)用的NAT設(shè)備和防火墻設(shè)備，也對(duì)IPsec連接的建立造成了一定的困難的問(wèn)題。SIP（SessionInitiationProtocol）稱為會(huì)話啟動(dòng)協(xié)議，其用于解決IP網(wǎng)上的信令控制。它出現(xiàn)于二十世紀(jì)九十年代中期，源于哥倫比亞大學(xué)計(jì)算機(jī)系副教授HenningSchulzrinne及其研究小組的研究。SIP協(xié)議工作在IP網(wǎng)絡(luò)分層模型上的應(yīng)用層上，它可以用來(lái)

6、創(chuàng)建、修改以及終結(jié)一個(gè)或者多個(gè)參與者的會(huì)話。SIP的一個(gè)重要特點(diǎn)是它不定義要建立的會(huì)話的類(lèi)型，而只定義應(yīng)該如何管理會(huì)話。有了這種靈活性，也就意味著SIP可以用于眾多應(yīng)用和服務(wù)中，包括交互式游戲、音樂(lè)和視頻點(diǎn)播以及語(yǔ)音、視頻和Web會(huì)議。因此將SIP協(xié)議引入IPsec中，來(lái)相互彌補(bǔ)其在應(yīng)用上的不足之處，就顯得非常具有現(xiàn)實(shí)意義。1.3研究現(xiàn)狀及應(yīng)用作為網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)，IPsec一經(jīng)提出，就引起了IT界的廣泛注意，幾乎世界上所有的網(wǎng)絡(luò)公司都

7、宣布支持這一標(biāo)準(zhǔn)，并且不斷推出自己的產(chǎn)品，如Intel、Cisco、H3C、Junip等。此外，幾乎所有的操作系統(tǒng)，例如Windows系列、Linux、Unix、MacOS等，都在操作系統(tǒng)內(nèi)核里面內(nèi)置了IPsec的功能。針對(duì)IPSec的安全策略國(guó)內(nèi)外的研究者做了很多的研究工作，IETF為此專門(mén)成立一個(gè)IPSec安全策略(IPSecsecuritypolicy，IPSP)工作組，專門(mén)負(fù)責(zé)研究IPSec策略方面的工作，它們提出IPSec安全

8、策略（IPSP）的需求，這些需求定義了IPSec在策略協(xié)商中所需要的認(rèn)證機(jī)制、加密機(jī)制、機(jī)密性、數(shù)據(jù)完整性、策略存取、策略分發(fā)、策略的集中管理和其它的一些IPSec屬性。有學(xué)者通過(guò)宏觀及微觀的基準(zhǔn)對(duì)IPsec的性能進(jìn)行了評(píng)測(cè)，并且將評(píng)測(cè)結(jié)果與其它的安全數(shù)據(jù)傳輸機(jī)制[50]，例如SSL、SCP和SFTP，作了比較。評(píng)測(cè)結(jié)果顯示，完成同樣的安全數(shù)據(jù)傳輸，IPsec的性能遠(yuǎn)遠(yuǎn)優(yōu)于其它的安全機(jī)制，這是由于IPsec對(duì)于數(shù)據(jù)包的處理非?？?，并且對(duì)

9、于每一個(gè)連接，它都不需要進(jìn)行重復(fù)握手的步驟。由于在動(dòng)態(tài)IP環(huán)境下實(shí)施IPsec是會(huì)遇到IP地址不斷變動(dòng)的情況，對(duì)此，有人提出了使用DDNS來(lái)協(xié)助IPsec在動(dòng)態(tài)IP環(huán)境中架設(shè)VPN的構(gòu)想[27]，該構(gòu)想使用DDNS可有效解決通信雙方都為動(dòng)態(tài)IP時(shí)，IPsec連接的建立問(wèn)題，但是在目前DNS劫持事件不斷發(fā)生的時(shí)代，這樣一種方法就顯得并不安全。由于NAT可以解決IPv4網(wǎng)絡(luò)中IP地址數(shù)量不足的問(wèn)題，因此現(xiàn)在越來(lái)越多的NAT設(shè)備出現(xiàn)在了市場(chǎng)上