基于SIP协议体系的多媒体安全传输研究课件.ppt

使用TLS的SIP安全解决方案 TLS协议保证安全性 TLS协议的基本设计目标是为两个通信实体之间提供数据的保密性和完整性。 该协议分为两层：TLS记录协议和TLS握手协议 TLS工作流程 握手过程消息流程图 TLS协议安全模型 方案缺陷分析 TLS必须采用逐跳加密的方式，这样将大大延长用户加入会话的时间 SIP中采用的不能提供严格的端对端双向认证 应用的一个TLS主要问题是必须运行于TCP之上 加密开销大 对于缺陷的改进 在Proxy之间通过TLS实现逐跳加密，UA和Proxy之间不采用 将Proxy分为信任和非信任两个组。 基于数字水印的Audio身份认证 本文档支持任意编辑，下载使用，定会成功！ Company Logo LOGO 基于SIP的多媒体通信安全 Company Logo 多媒体通信安全问题 VoIP受到多方面的安全威胁，主要有： DoS攻击 服务窃取 服务窃取信令流的监听 媒体流的监听 上述VoIP系统存在的安全问题，实际上就是由信息的保密性、完整性、真实性得不到保证和通信主体的认证不足而造成的 Company Logo 方案—使用环境 OPAL的开源协议栈 Linux Kernel 2.6 redhat操作系统 Mplayer开源播放器 Company Logo 基于INTERNET的多媒体通信——SIP网络体系 Company Logo SIP协议体系 Company Logo SIP网络结构 Outbound Proxy Server Inbound Proxy Server SIP SIP SIP DNS Server DNS Location Server User Agent B User Agent A Media (RTP) SIP SIP--C/S协议。呼叫控制请求发出方称为客户，请求接受和处理方称为服务器。 用户代理客户UAC （User Agent Client）负责发起SIP的呼叫请求 用户代理服务器UAS（User Agent Server）负责对呼叫请求做出响应 End Devices SIP phone PC/laptop with SIP Client PDA mobile phone Company Logo SIP网络结构（续） 代理服务器（PS：proxyserver） 路由功能，将SIP用户请求和响应转发到相应的下一跳。 重定位服务器（RS：redirectserver） 地址解析服务，将SIP呼叫的目的地址映射成0个或多个新地址。 定位服务器（LS：locationserver） Company Logo SIP数据传输通路 在IP网络中，SIP消息传输路径和会话指定的信息流传输路径是相互独立的，因此用于控制多媒体会话的SIP消息可以经过一个或多个代理服务器或重定位服务器进行转发，而多媒体信息流可以直接在两端中传输。 Company Logo SIP会话建立 UserA SIP MG Setup Proxy SIP MG UserB Invite(SDP) Invite(SDP) Setup Call Proceeding 100 Trying 100 Trying Alerting 180 Ringing 180 Ringing Alerting Call Proceeding Connect 200 OK(SDP) 200 OK(SDP) Connect voice path ACK ACK Company Logo 会话释放 UserA A7515 Proxy A7515 UserB Bye Bye Disconnect 200 OK Release voice path Disconnect 200 OK Release Release Complete Release Complete Company Logo SDP协议 Company Logo SIP认证-解析过程 所谓注册就是把SIP标识用户和用户所在的SIP终端绑定。通常分为两步：解析和注册。 注册服务器 2、存储 4、查询 定位服务部件 代理服务器 Usera@ P 5、响应 3、Invite usera@ Userb@ P 1、注册 6、Invite usera@ 基于SIP的安全解决方案 （1） Company Logo 基于SIP的Audio安全解决方案 Company Logo 基于SIP的Audio安全解决方案 IPSec（Internet Protocol Security） 数字水印（Digital Watermarking）身份认证 基于TLS的媒体网关 SIP的鉴权机制（SIP Authentication） Company Log