基于SIP協(xié)議的安全數(shù)據(jù)通信研究.pdf

1、上海交通大學工程碩士學位論文緒論11緒論1.1研究意義網(wǎng)絡(luò)為大眾提供豐富的信息資源和多樣化服務(wù)的同時，網(wǎng)絡(luò)安全問題也無時不在威脅著廣大用戶。作為最具現(xiàn)代化網(wǎng)絡(luò)技術(shù)代表性的Inter就有著分布式、開放性、資源共享等特點，這些特點使得網(wǎng)絡(luò)信息安全面臨了空前的挑戰(zhàn)。Inter的協(xié)議基礎(chǔ)是TCPIP協(xié)議。這個協(xié)議最初是面向研究機構(gòu)的互聯(lián)網(wǎng)環(huán)境的，這個環(huán)境遠比現(xiàn)在的網(wǎng)絡(luò)環(huán)境安全，所有用戶都互相信任，所有的內(nèi)容都是公開、自由的。但是隨著越來越多不同

2、目的和行為的人加入使用互聯(lián)網(wǎng)行列，目前互聯(lián)網(wǎng)上除了善意、誠實的用戶之外，還有企圖非法闖入計算機系統(tǒng)、非法獲取數(shù)據(jù)、擾亂通信秩序的人。自20世紀80年代末以來，Inter世界充斥著大量計算機犯罪和網(wǎng)絡(luò)入侵事件，信息缺乏有效的安全保護。據(jù)估計，全球每年由于Inter攻擊所造成的實際經(jīng)濟損失高達上千億美元。一個安全型得不到有效保障的Inter體系，將很難成為21世紀全球信息化的基礎(chǔ)架構(gòu)。信息安全已是亟待解決的最重要問題之一。1.2研究背景在設(shè)

3、計TCPIP協(xié)議時，并沒有考慮很多的安全因素，這在是符合當時的網(wǎng)絡(luò)環(huán)境的。然而在今天，當越來越多的口令被盜用，越來越多的信息被竊取，越來越多的IP被冒充、越來越多的攻擊出現(xiàn)的時候，網(wǎng)絡(luò)安全問題就顯得非常重要。目前Inter所面臨的安全威脅主要有體現(xiàn)在以下幾個方面：1Inter是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2Inter的數(shù)據(jù)傳

4、輸是基于TCPIP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。3Inter上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務(wù)。4在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來維系的。上海交通大學工程碩士學位論文緒論3道通信雙

5、方的IP地址。在目前的網(wǎng)絡(luò)環(huán)境下，通信雙方想要定位對方是十分困難的。此外，現(xiàn)在大量應(yīng)用的NAT設(shè)備和防火墻設(shè)備，也對IPsec連接的建立造成了一定的困難的問題。SIP（SessionInitiationProtocol）稱為會話啟動協(xié)議，其用于解決IP網(wǎng)上的信令控制。它出現(xiàn)于二十世紀九十年代中期，源于哥倫比亞大學計算機系副教授HenningSchulzrinne及其研究小組的研究。SIP協(xié)議工作在IP網(wǎng)絡(luò)分層模型上的應(yīng)用層上，它可以用來

6、創(chuàng)建、修改以及終結(jié)一個或者多個參與者的會話。SIP的一個重要特點是它不定義要建立的會話的類型，而只定義應(yīng)該如何管理會話。有了這種靈活性，也就意味著SIP可以用于眾多應(yīng)用和服務(wù)中，包括交互式游戲、音樂和視頻點播以及語音、視頻和Web會議。因此將SIP協(xié)議引入IPsec中，來相互彌補其在應(yīng)用上的不足之處，就顯得非常具有現(xiàn)實意義。1.3研究現(xiàn)狀及應(yīng)用作為網(wǎng)絡(luò)層的安全標準，IPsec一經(jīng)提出，就引起了IT界的廣泛注意，幾乎世界上所有的網(wǎng)絡(luò)公司都

7、宣布支持這一標準，并且不斷推出自己的產(chǎn)品，如Intel、Cisco、H3C、Junip等。此外，幾乎所有的操作系統(tǒng)，例如Windows系列、Linux、Unix、MacOS等，都在操作系統(tǒng)內(nèi)核里面內(nèi)置了IPsec的功能。針對IPSec的安全策略國內(nèi)外的研究者做了很多的研究工作，IETF為此專門成立一個IPSec安全策略(IPSecsecuritypolicy，IPSP)工作組，專門負責研究IPSec策略方面的工作，它們提出IPSec安全

8、策略（IPSP）的需求，這些需求定義了IPSec在策略協(xié)商中所需要的認證機制、加密機制、機密性、數(shù)據(jù)完整性、策略存取、策略分發(fā)、策略的集中管理和其它的一些IPSec屬性。有學者通過宏觀及微觀的基準對IPsec的性能進行了評測，并且將評測結(jié)果與其它的安全數(shù)據(jù)傳輸機制[50]，例如SSL、SCP和SFTP，作了比較。評測結(jié)果顯示，完成同樣的安全數(shù)據(jù)傳輸，IPsec的性能遠遠優(yōu)于其它的安全機制，這是由于IPsec對于數(shù)據(jù)包的處理非?？?，并且對

9、于每一個連接，它都不需要進行重復握手的步驟。由于在動態(tài)IP環(huán)境下實施IPsec是會遇到IP地址不斷變動的情況，對此，有人提出了使用DDNS來協(xié)助IPsec在動態(tài)IP環(huán)境中架設(shè)VPN的構(gòu)想[27]，該構(gòu)想使用DDNS可有效解決通信雙方都為動態(tài)IP時，IPsec連接的建立問題，但是在目前DNS劫持事件不斷發(fā)生的時代，這樣一種方法就顯得并不安全。由于NAT可以解決IPv4網(wǎng)絡(luò)中IP地址數(shù)量不足的問題，因此現(xiàn)在越來越多的NAT設(shè)備出現(xiàn)在了市場上