IMS中RTP脆弱性利用方法的研究与实现_.ppt

* #/27 * #/27 随着IMS的引入，IMS的安全问题也越来越受到关注。传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程，封闭的信令网能够保证网络的安全。而且传输采用时分复用（TDM）的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和安全威胁。但是IMS基于全IP化的分组网络，IP网络的开放性和脆弱性，使得IMS将面临比传统电信网络多得多的安全问题，而这些安全问题是IMS的发展和应用中必须要解决的。 维度：网元、具体业务、协议体系架构 * #/27 * #/27 * #/27 尽管从技术上来说安全实时传输协议能轻松地纳入新的加密算法，但安全实时传输协议标准指出除上述加密算法以外的新的加密算法不一定能被简单地添加到一些安全实时传输协议的具体实现中去。添加一种新的加密算法并确保它与安全实时传输协议标准相兼容的唯一有效方式是发布一个明确定义该算法的新的伴生的标准跟踪RFC。 * #/27 消息认证（Message Authentication）[18]，就是验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。消息认证实际上是对消息本身产生一个冗余的信息－MAC（消息认证码），消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一和一一对应的。因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。例如在IMS的信令层，IMS AKA机制[19]被使用来实现用户和网络之间的双向认证。在IMS的注册过程中，携带AKA参数的SIP信令在UE和IMS网络认证实体之间进行交互，按照AKA机制来传输和协商AKA参数，从而实现接入认证和密钥协商的过程。 * #/27 加密随机数：RTP数据包的加密中使用的随机数存在安全漏洞，在为RTP、RTCP加密时，为了传输而封装的所有字节将在底层的包中作为一个单元加密。对RTCP，每个单元在加密之前必须在前面附加一个32字节的随机数。对RTP，不必在前面加前缀，而是让序列号和时间戳字段都用随机偏移量初始化。由于较差的随机性质。这其实是一个弱的初始化向量（initialization vector， IV）。另外，如果其后的SSRC字段被非法用户得到，则加密算法将出现新的薄弱点。 加密算法：尽管RTP协议也支持其他的加密算法，通信双方可以通过协商来使用保密性较高的加密算法，但这需要通信各方在RTP协议外进行协商，由于设备的兼容性等原因，除了一些特殊的网络，这种方式并没有被大量采用。但是，默认采用的DES-CBC加密算法被发现很容易专用硬件被破解。 时间敏感性，不加密：处于一般媒体流的时间敏感性的原因，部分RTP不加密。即使在拥有默认加密算法的情况下，为RTP数据包添加加密字段，会损失一些传输带宽，同时，每一个数据包的加密解密过程会造成一些时延，为了保障RTP的实时性，部分IMS中甚至采用不加密的RTP协议传输媒体流 * #/27 RTP协议的规范中提到，RTP协议中的安全措施只负责一部分的安全问题， 它没有定义一个完整的安全架构，而是相信底层协议能够帮助其补充解决其他的安全问题。但是，由于RTP作为一个独立的技术存在，底层协议的安全技术的配合并不能解决所有的安全问题。比如RTP与IPSec配合，由IPSec来实现加密和完整性保护，那么确实能够在一定程度上提高RTP媒体流的安全性，但IPSec不支持多播，当RTP 采用多播技术传输实时音频和视频数据时，网络的通信安全将得不到保障。 * #/27 加密随机数：RTP数据包的加密中使用的随机数存在安全漏洞，在为RTP、RTCP加密时，为了传输而封装的所有字节将在底层的包中作为一个单元加密。对RTCP，每个单元在加密之前必须在前面附加一个32字节的随机数。对RTP，不必在前面加前缀，而是让序列号和时间戳字段都用随机偏移量初始化。由于较差的随机性质。这其实是一个弱的初始化向量（initialization vector， IV）。另外，如果其后的SSRC字段被非法用户得到，则加密算法将出现新的薄弱点。 加密算法：尽管RTP协议也支持其他的加密算法，通信双方可以通过协商来使用保密性较高的加密算法，但这需要通信各方在RTP协议外进行协商，由于设备的兼容性等原因，除了一些特殊的网络，这种方式并没有被大量采用。但是，默认采用的DES-CBC加密算法被发现很容易专用硬件被破解。 时间敏感性，不加密：处于一般媒体流的时间敏感性的原因，部分RTP不加密。即使在拥有默认加密算法的情况下，为RTP数据包添加加密字段，会损失一些传输带宽，同时，每一个数据包的加密解密过程会造成一些时延，为了保障RTP的实时性，部分IMS中甚至采用不加密的RTP协议