用于IP多媒体子系统（IMS）核心以防御基于SIP注册的DOS/ODDS攻击的会话初始化协议（SIP）防火墙的制作方法与工艺

用于IP多媒体子系统（IMS）核心以防御基于SIP注册的DOS/ODDS攻击的会话初始化协议（SIP）防火墙技术领域概括地，本发明涉及通信系统，并且更具体地，本发明涉及用于保护IMS网络免受基于SIP的攻击的防火墙。

背景技术：
当前受到欢迎的一种通信网络是IP多媒体子系统（IMS）网络。如在第三代合作伙伴计划（3GPP）或3GPP2中所提出的，IMS为汇聚网络提供具有接入无关网络架构的通用核心网络。服务提供商正在下一代网络演进中使用该架构以便为移动用户（以及还有固定接入用户）提供多媒体服务。IMS使用IP（国际互联网协议），并且更具体地使用会话初始化协议（SIP）以作为呼叫控制协议。随着IMS网络部署的激增，需要确保IMS基础结构（“IMS核心”）免受基于SIP的攻击。这样处理的一个方式是通过SIP防火墙，其中将SIP防火墙松散地定义为阻挡通过SIP消息设置的攻击的设备。SIP防火墙必须处理的最困难的攻击是分布式拒绝服务（DDOS）攻击，例如包括利用来自大量来源的格式正确和SIP兼容的注册请求对SIP防火墙进行大量的泛洪以使网络过载。接入边界是最容易受到攻击的，因为接入网络可以是部分或全部共用的，连接接入边界的固定或移动用户的数量可以非常大，这使得“每个订户”的安全规则不可实现。为了使情况复杂，订户（或黑客）可通过SIP代理连接，或通过PBX，使得基于IP源的拒绝规则无效。有利的是，防火墙可阻止泛洪以保护下一节点（被称为受保护节点），但是另一方面，防火墙一定不能关门以便对来自合法用户的注 册进行初始化，否则DDOS攻击会成功。由于仅下一受保护的节点可执行认证，因为在IMS网络中，防火墙没有办法区分“好的”注册（也就是，来自合法用户）和“坏的”注册（也就是，与DDOS攻击相关联），因此这是个复杂的问题。

技术实现要素：
通过防火墙（在一个实施例中，SIP防火墙）执行算法以防御DDoS攻击，解决了现有技术中的这种问题，并且得到了进步：防火墙适于允许来自合法用户的（非认证）注册，且在不影响或涉及受保护的节点的情况下，停止注册的DDoS模式（或者至少使它们非常困难或成本高）。在一个实施方式中，提供一种由驻留在接入网络和核心网络之间的防火墙实现的方法。防火墙相对于一个或多个门限（例如，非限制性地，过载门限和注册失败门限）监测注册消息业务，注册消息业务包括从尝试获得对核心网络的接入的多个用户设备发布的注册请求。响应于注册消息业务超出一个或多个门限中的任一个，防火墙利用伪造认证挑战对多个注册请求进行挑战；并且接收响应于伪造认证挑战的多个挑战响应。防火墙确认挑战响应和用于一个或多个用户设备的相应的伪造认证挑战之间的关联；并且从具有挑战响应和相应的伪造认证挑战之间的确认关联的一个或多个用户设备打开到核心网络的注册窗口。在另一实施方式中，提供一种适于在接入网络和核心网络之间操作的防火墙装置。防火墙包括存储器和与存储器耦合的至少一个处理器。将处理器配置为相对于一个或多个门限（例如，非限制性地，过载门限和注册失败门限）来监测注册消息业务，注册消息业务包括从尝试获得接入核心网络的多个用户设备发布的注册请求。响应于注册消息业务超出一个或多个门限中的任一个，处理器利用伪造认证挑战对多个注册请求进行挑战；并且接收响应于伪造认证挑战的多个挑战响应。将处理器进一步配置为确认挑战响应和相应的伪造认证挑战之间的关联；并从具有挑战响应和相应的伪造认证挑战之间的确认关联的一个或多个用户设备打开到核心网络的 注册窗口。在又一个实施方式中，提供一种由驻留在接入网络和IMS核心网络之间的防火墙实现的方法。SIP防火墙相对于一个或多个门限（例如，非限制性地，过载门限和注册失败门限）来监测SIP注册消息业务，SIP注册消息业务通常包括来自尝试获得接入IMS核心网络的一个或多个用户设备中的每个用户设备的第一和第二SIP注册请求。响应于SIP注册消息业务超出一个或多个门限中的任一个，SIP防火墙利用伪造认证挑战对多个第一SIP注册请求进行挑战；并且接收响应于伪造认证挑战的一个或多个第二SIP注册请求。SIP防火墙通过确认第二SIP注册请求和相应的伪造认证挑战之间的关联，验证一个或多个用户设备的有效IP地址和状态模式；并从具有经验证的状态模式和有效IP地址的一个或多个用户设备打开到核心网络的注册窗口。附图说明通过阅读下面的详细描述并参照附图，本发明的前述和其它优势会变得更明显，其中：图1描述了本发明示例性实施方式中包括SIP防火墙的IMS网络；和图2是描述本发明示例性实施方式中由SIP防火墙执行的防御初始化注册DDoS攻击的方法的流程图。具体实施方式图1描述了驻留在IP接入网络102和IP对等网络104之间的IMS网络100。接入网络102是IMS移动（或固定）用户连接IMS核心的地方：他们注册、建立SIP会话和回答SIP会话请求。IMS用户（在图中没有示出）可描述合法用户或攻击者的特征；并且他们可直接通过用户设备（UE）、通过SIP代理（汇聚来自多个用户的业务）或从PBX进行连接。将与接入网络接界的IMS网络的边界称为“接入边界”。对等网络104表示IMS网络100与任何其它IMS核心网、通过扩展与不能被信赖为IMS核心内部 成员（insider）的任何应用服务器的对等连通性。将与IP对等网络接界的IMS网络100的边界称为“IP互联边界”。通常，IMS网络、接入网络和对等网络之间的消息业务可在两个功能面中的一个中进行表征：用于信令业务的控制面106和用于诸如多媒体内容的承载业务的承载面108。在IMS网络的边界，SIP防火墙110用于信令控制（也就是，在控制面106上），并且承载防火墙112用于媒体控制（也就是，在承载面108上）。将由SIP防火墙保护的IMS网络的一部分称为IMS核心114；并且将用于传送承载业务的网络的一部分称为IP核心网络116。通常，SIP防火墙110和承载防火墙112驻留在同一物理结构上，将其称为会话边界控制器（SBC）。在下文中，将对SIP防火墙110的引用理解为包括SIP防火墙的任意实现方式，是否可实现在独立设备上，或与承载防火墙（例如，在SBC中）或任意其它组件集成。IMS核心114包括一个或多个受保护节点（在图中没有示出），其包含任何系统、服务器、应用或适于在IMS网络中为呼叫提供服务的功能。在组件中，受保护节点可包括用于执行诸如处理SIP注册、SIP会话请求和对用户进行认证的动作的呼叫会话控制功能（CSCF）、代理CSCP（P-CSCF）、或家庭订户服务器（HSS）。可以理解的是，受保护的节点是可驻留在一个或多个物理设备或结构中、并可物理驻留在SIP防火墙110或IMS核心114中的功能元件。SIP防火墙110的基本目的是使受保护的节点免受拒绝服务（DoS）或分布式DoS（DDoS）攻击，使得受保护的节点具有足够的资源以处理标称的负载。DDoS攻击在SIP中是重要的，这是由于异常的消息会以较高速率来发送，从而控制了SIP防火墙，并使其不能分析进入的消息负载。为了从正常的消息中分离出异常消息，SIP防火墙应当能够通过各种句法检查来分析SIP消息：长度字段匹配实际的字节计数，出现在序列中的每个消息是句法上正确的，等等。讽刺的是，为了停止更多复杂攻击，SIP防火墙分析SIP消息的越多，其使用的资源越多，并且因此其越容易被DoS攻击。实际的挑战是这必须不仅以很高的速度进行以应付合法请求的较高 业务到达速率，而且还要较低的成本。在一个实施方式中，这通过基于硬件的，专用CPU实现方式来完成，以便在吉比特或更多的数量级上为可到达接入边界的代表性负载提供服务。在一个实施例中，SIP防火墙利用以C和C++编码的CaviumOcteon处理器。处理器的CaviumOcteon家族是用于从100Mbps到40Gbps的智能网络应用的可伸缩、高性能和低功耗方案。连同先进的安全性、存储和应用硬件加速，这些软件兼容的处理器集成下一代网络I/O，提供非常高的吞吐量和良好的可编程性。该产品接近每个CPU每秒350000个SIP消息的显著处理能力，其足以同时和实时对几个一吉比特或两吉比特链路进行过滤。然而，可以理解的是，SIP防火墙以可替换的形式及可替换的处理器组件实现，并可进行调整以适应更小或更大的处理能力。SIP防火墙可集成在相同的物理设备或分布在多个设备中。根据本发明的原理，增加SIP防火墙110的能力以防御SIP注册DoS/DDoS攻击。在用户注册前将它们认为是不可信的，也就是说，注册消息来自未知的源IP地址和/或未知的SIP标识（例如，私人用户标识（PUID））。然而，回想到SIP防火墙必须允许来自用户的初始不可信的注册请求，因为这是合法用户可成为可信的并从IMS网络获得服务的唯一方式。这还是“最薄弱点”，其中攻击者可利用初始化注册对SIP防火墙进行泛洪。图2是描述由SIP防火墙执行的防御初始化注册DDoS攻击的方法的流程图。将参照图1中的IMS网络100来描述图2的步骤。图2中流程图的步骤不是全部包括在内的，并且还可包括没有示出的其它步骤。该方法在步骤202开始，其中SIP防火墙按正常模式进行操作，其中SIP防火墙接受全部的初始注册。需要说明的是，在正常条件下，尝试注册IMS会话的用户会利用受保护的节点（例如，P-CSCF）执行两步注册：其包括初始注册请求，其中当将初始注册请求传递给P-CSCF时，促使P-CSCF向用户设备（UE）发送认证挑战。UE利用包括由P-CSCF所处理的挑战响应的第二注册消息进行响应，以完成对用户的认证；并且如果 认证成功，则P-CSCF会将“200OK”消息发送给UE。需要说明的是，SIP防火墙功能的一部分是过滤掉不正确地形成的或SIP非兼容的消息，从而可以假设在步骤202由SIP防火墙所处理的注册消息是正确地格式化的和SIP兼容的消息，由此SIP防火墙不能区分好的和坏的业务。在步骤204，SIP防火墙与一个或多个门限相比较地监测注册消息业务，以便检测DDoS攻击或从注册消息业务特征中得到的疑似DDoS攻击。如在这里所使用的，应当将术语“注册消息业务”理解为包括在SIP防火墙的任一侧发起的注册消息业务，也就是，包括来自试图获得接入核心网络的多个用户设备的注册请求；和注册响应（例如，非限制性的，在对用户认证时由P-CSCF发起的200OK消息）。在一个实施方式中，在步骤204中，SIP防火墙监测注册过载（也就是，由不正常高数量的注册请求造成的）和相对于可能指示DDoS攻击或疑似DDoS攻击的适当门限的注册失败。回想到成功的注册通常会要求来自UE的2个注册请求，当注册成功时从P-CSCF产生单一的“200OK”消息。因此，当怀疑注册消息的数量大于由SIP防火墙观测的“200OK”消息的数量时，可以指示注册失败，这指示有过多不成功的注册。当注册消息和200OK消息之间的差距大于门限时，这可以指示DDoS攻击或疑似DDoS攻击。如果初始注册的数量没有超过指示疑似DDoS攻击的第一门限，并且如果注册消息和200OK消息之间的差距没有超过指示疑似DDoS攻击的第二门限，在步骤202中SIP防火墙继续正常的操作。但是如果SIP防火墙检测通常较高数量的初始注册或者在注册消息和200OK消息之间不常见的较高差别，有理由怀疑DDoS攻击在进行中，并且SIP防火墙进入步骤206以相对于过多的注册开始执行保护策略。需要说明的是，初始注册过载还可由注册“风暴”（也就是，非常大量的合法用户尝试同时进行注册）造成，例如其会发生在网络故障或设备失效的时刻。在任一情况下，SIP防火墙假定这是攻击，并进入步骤206。在步骤206，根据本发明的示例性实施方式，SIP防火墙会开始执行保 护策略以限制其传递到受保护节点的注册的数量而不关闭合法用户的注册窗口，通过首先利用“伪造的”认证挑战（看起来源自受保护的节点）和在挑战响应中使用的预定随机数（nonce）对每个初始SIP注册请求进行响应。在一个实施方式中，预定随机数是从SIP消息计算的具有短时间有效性的伪随机字符串，从而对UE来说是难以预知的。响应于该伪造的认证挑战，UE必须以包括随机数和挑战响应的第二注册请求进行回答。在一个实施方式中，在为受保护的节点打开注册窗口前，通过验证随机数（由于其是伪造请求，因此不是挑战响应），SIP防火墙会确认挑战响应和对应的伪造认证挑战之间的关联。在这种方式中，SIP防火墙强制使UE处于“状态（stateful）”模式，并使用有效IP地址以便设置成功的攻击，这使得攻击非常困难并且成本很高。状态模式是这样的模式：其中用户节点必须保留状态信息以便完成或继续其发起的或其响应的事务处理。在本发明的实施方式中，假定SIP防火墙促使UE处于状态，这是因为UE必须存储中间信息以便回应包括随机数和挑战响应的第二注册请求，并且从而获得传递给SIP防火墙并接入开放注册窗口的机会。此外，所描述的实施方式促使UE使用有效的IP地址，这是因为如果UE使用欺骗的IP地址，则其不会接收认证挑战和随机数。更具体地，系统的一个重要方面在于利用冗余验证码对挑战进行加密：是可预测的。在来自UE的挑战响应中，如果是由SIP防火墙自身产生的，SIP防火墙可识别其挑战，但是没有攻击者可产生“良好的挑战”。由于SIP防火墙可认证其自身产生的任何一个挑战，因此SIP防火墙不需要记住其返回了哪个挑战（在这个阶段是无状态的）。另一方面，攻击者必须记住其首个注册以利用正确的挑战进行响应（也就是，它必须是有状态的）。在一个实施方式中，通过在短时间内将流程设置为“预先可信”模式，并仅对于2个SIP注册消息有效，完成注册窗口的打开（在验证随机数后）。SIP防火墙拒绝具有短稍后重试值的初始注册，从而促使UE重新尝试初始注册；并且这样会允许该后续注册（只要UE是“预先可信的 （pre-trusted）”）以进入受保护节点。在一个实施方式中，在将后续注册转发给CSCF前，SIP防火墙会移除由UE使用的授权报头以响应“伪造的”认证挑战。这会使得该（后续的）注册请求看起来像对P-CSCF的初始响应，并且P-CSCF可根据通常的2步骤SIP注册流“正常地”对其进行挑战。步骤206的策略确保攻击者正在使用真实的、非欺骗的IP地址，但是应用另一保护策略是有用的：与在步骤204中实现的SIP防火墙监测注册过载和注册失败（在这种情况下，注册请求来自任意地方）相似，在步骤208中SIP防火墙基于每个源IP地址监测注册过载和注册失败。回想起可通过比较初始注册的数量与第一门限数量来检测注册负载，并且可通过监测注册消息和200OK消息之间的差别并与第二门限比较来检测注册失败过载。只要没有检测到过载或注册失败过载，SIP防火墙继续进行步骤206的策略。但是当检测到过载或者200OK和注册请求之间的差别指示注册失败过载时，SIP防火墙进入到步骤208。在步骤208，SIP防火墙会继续步骤206中的方式以促使用户处于“状态”模式并使用有效的IP地址，并开始将严格的限制施加在仅来自侵犯IP地址的初始注册。由于所提出的状态保护算法确保攻击者真正拥有该IP地址，因此这是合理的。该附加的保护还消除了使攻击者从使用可路由IP地址的一个或少量强大机器发起“初始注册”状态攻击的危险。从而成功的攻击必须是有状态的，并从使用真实IP地址的成百上千个节点进行大量分布，而这被认为是非常难实现的。需要说明的是，在“预先可信”的模式（也就是在“正常”模式中）中接收注册的过程中，可以预期的是，至少部分注册可由IMS核心（例如，P-CSCF）成功地进行确认。在这样的情况下，SIP防火墙知道UE是可信的，并且从而将“可信”的策略分配给特定的UE。图1-图2和上述的说明描述了本发明的特定示例性实施方式，以教导那些本领域技术人员如何制造和使用该发明。所描述的实施方式在各方面仅解释性的而不是限制性的。在不偏离由所述权利要求指示的本发明范围 的情况下，本发明可以其它特定形式实施。在权利要求等价物的含义或范围内，全部变化包括在它们的范围内。例如，所描述的实施方式在这里涉及示例性SIP防火墙架构，用于保护IMS网络免受基于SIP的攻击，更具体地是特别给基于SIP的网络带来麻烦的“初始注册”攻击。然而，应当了解的是，本发明不局限于SIP防火墙，IMS网络或防御初始注册攻击。更一般地，本发明可在驻留在接入网络和任意类型的通用网络介质之间的防火墙中实现，以防御疑似的较高的注册消息业务，并不局限于指向特定网络的基于SIP的注册业务。这里使用的术语“注册”通常涉及在建立一些服务前，由用户、运行的用户设备（UE）必须首先利用网络介质进行注册的过程。通常，该过程包括对用户的认证。一旦进行了注册，用户典型地获得对系统的完全接入，并可被认为是“可信的”。本发明关注注册消息业务，这是因为在注册阶段用户通常是不被了解的，并且是不可信的，直到他们通过认证的时刻为止。利用IMS或其它基于SIP的网络，注册强制性地是2步骤过程（包括初始和后续的注册请求），并且不提供服务，直到UE成功地注册到核心网络为止。然而，可以理解的是，本发明可在在协议、语法等方面不同并且比相对于基于SIP的网络表征更少或更多注册步骤的特征的非基于SIP的网络中实现。此外，所描述的实施方式涉及用于通过监测涉及门限条件的注册过载和注册失败来检测疑似较高注册业务、在注册过载或注册失败过载的情况下触发保护方法以预防DDoS攻击的示例性过程。然而，可以理解的是，本发明可替换地通过仅检测注册过载和注册失败中的一个，或者通过检测其他可替换的表示DDoS攻击或疑似DDoS攻击的特征来实现，从而触发可保护措施。对本领域技术人员显而易见的是，防火墙（无论是基于SIP的还是基于非SIP的）可实现为执行存储在存储器（包括计算机、处理器、或机器可读存储介质）中的计算机程序代码的为处理器（或计算机或包括处理器的机器）。对于本发明，本领域技术人员可容易地处理合适的计算机程序代 码，以便执行这里描述的协议。可以理解的是，这里使用的术语“处理器”意在包括一个或多个处理设备，包括中央处理单元（CPU）或包括但不局限于一个或多个信号处理器、一个或多个集成电路等的其他处理电路。此外，这里使用的术语“存储器”意在包括与处理器或CPU相关联的存储器，例如RAM、ROM、固定存储器设备（例如，硬盘驱动器）、或可拆除存储器设备（例如，磁盘或CDROM）。