如移动ip中的隧道技术应用层sip.pptVIP

关于SIP--服务，安全，应用 覃刚君 outline 服务与应用 SIP实现来电转移 SIP实现移动IP 安全 SIP中的安全攻击 用户认证 SIP 实现来电转移 无条件转移 无应答转移 遇忙转移 通过这三个例子感知SIP实现增值业务的简单易用的特点 定义 无条件转移：对某个特定URI 的所有呼叫都被无条件的转移到另一个URI。 遇忙转移：对某一个特定URI 进行呼叫，如果该URI 绑定的终端处于忙碌状态，则呼叫会被转移到另一个预设的URI 上。 无应答转移：对某一个特定URI 的呼叫在一段时间内无应答则会被转移到另一个设定好的URI 上。 无条件转移 无应答转移 遇忙转移 SIP实现来电转移 电信增值业务可以用SIP以一种很简单的方式实现 SIP的出现，可以说已经悄然引起了一场革命，它将人们从电信服务的高投入、低增值中解放出来，把人们带入低投入、高增值的服务中去 SIP与移动性 通过注册，用户可以将逻辑地址与不同的物理地址相关联，很好的支持移动性。 SIP实现移动IP 基本 移 动 IP存在的三角路由问题。 数据包在选路时，首先要到达HA，然后由HA通过隧道传送到节点所在的FA，再由FA转发 至用户 解决方法 网络层：如移动IP中的隧道技术 应用层？SIP？ 呼叫中SIP对IP移动性的支持 通信中SIP对IP移动性的支持 SIP实现移动IP 在利用SIP支持IP移动性时，较好地克服了移动IP中存在的三角路由问题，而且在通 信过程中节点进行移动时，SIP移动性机制可以保证通信的直接性。 虽然在通信建立过程(呼叫过程)中相对于移动IP存在着一定时延，但这种时延是发生在MN和CN正式通信之前，避免了通信过程中移动IP一直存在的转发时延。从用户角度来看，通信建立前的时延在一定程度上是可以接受的 SIP中攻击和威胁模式 注册服务 Hijacking 模拟一个UA，通过第三方注册来修改一个address-of-record的相关联系地址 例如先注销某个URI的所有联系地址，然后把自己的设备地址注册上去，这样所有对原来URI的地址的请求将发往攻击者的设备 需要服务器对请求发送方UA进行身份验证 SIP中攻击和威胁模式 模仿一个服务器 就是攻击者把自己模仿成为远端的服务器，这样UA的请求可能会被中间人截获 当注册服务信息发送给的被截获，并且回应给注册者一个伪造的301(Moved Permanently)应答。这个应答可能看起来是从来的，并且指明了作为新的注册服务。那么UA的所有REGISTER请求就会转发到。 需要UA能够对接收他们请求的服务器进行身份鉴定 SIP中攻击和威胁模式 修改消息包体 修改会话密钥，SDP内容等 UA可以加密SIP包体，并且对端到端的头域做一定的限制 破坏会话 一个第三者攻击者截获了一些初始信息(to tag,from tag,Sid等) ，可以伪造re-INVITE或者BYE等消息修改会话参数或者终止会话 拒绝服务 比如攻击者可以用在请求中伪造的Route头域值来标志被攻击的目的主机，并且把这个消息发送到分支proxy，这些分支proxy会放大请求数量发送给目标主机 安全机制 保护消息的隐私性和完整性，保护重现（replay）攻击或者消息欺骗，提供会话参与者的身份认证和隐私保护，保护拒绝服务攻击 SIP可以重用已经存在的HTTP或者SMTP的安全机制。 HTTP Authentication S/MIME 例子 安全注册 * Register SIP： SIP/2.0 Via: SIP/2.0/UDP From:SIP:123@ To: SIP:123@ Call-Id CSeq:1 register Contact:123@ Expires:3600 * * * IMS网络选择SIP协议作为呼叫控制协议 ，SIP已经被3GPP工作组定义为第3代移动通信系统的信令协议 。 步骤 1一 4 MN从DHCP服务器处获得临时的 IP地址(即转交地址Care-of Address)，假设获取的IP地址为10 步骤 5 MN利用新得到的IP地址向本地代理 服务器proxy. visited. net进行登记，登记过程如 下 REGISTE Rs ip:vi sited.ne tS IP/2.0 Vi a: $I P /2 .0 / UDP 199.10 0.14.210 Fro m: sip :M N@h ome.ne t To; sip :M N @h ome.ne t Ca l-I D :663826@ 10 Cse q: lR EGISTER Con tac t: si p:MN@1 1 0