IMS网络SIP会话防纂改装置及方法与流程

本发明属于通信网络安全技术领域，特别涉及一种ims网络sip会话防纂改装置及方法，用于ims网络会话流程中纂改攻击的防御。

背景技术：

ims(ipmultimediasubsystem)是基于ip网提供话音及多媒体业务的网络体系架构。ims可以实现固定用户业务、移动用户业务与因特网业务融合，语音、数据、视频等多媒体业务融合，是下一代网络的核心技术。ims网络体系架构中，使用sip协议的会话控制能力来支持多媒体服务。sip是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的多媒体会话。sip请求消息有invite消息和register消息，invite消息表示主叫用户发起会话请求，邀请其他用户加入一个会话。register消息表示客户端向sip服务器端注册列在to字段中的地址信息。针对ims网络sip会话的防篡改方法可以有效提高ims网络会话的可靠性和安全性，对存在篡改的消息进行及时告警，提升用户信息安全。

技术实现要素：

为及时告警ims网络sip会话的纂改攻击，本发明提供一种ims网络sip会话防纂改装置及方法，检测ims网络sip会话流程中可能存在篡改攻击的行为，简单、有效，有利于提高ims网络会话的安全性和可靠性。

按照本发明所提供的设计方案，一种ims网络sip会话防纂改装置，该检测装置部署在网络架构实体前，对ims网络中sip消息进行持续检测处理；其包含：参数提取模块和检测分析模块，其中，

参数提取模块，用于提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、主被叫tag字段、主被叫sip地址、连接地址、头域sip地址、事务参数、请求序列号和主被叫ip；

检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。

上述的，检测分析模块包含状态机创建子模块、纂改告警子模块和状态机删除处理子模块，其中，

状态机创建子模块，用于根据消息类型创建状态机并存储；

篡改告警子模块，用于按序对消息类型和当前消息的请求序列号进行匹配，并根据匹配结果进行纂改告警；

状态机删除处理子模块，用于依次对消息类型和当前消息的请求序列号进行匹配，并根据匹配情况执行删除状态机操作。

一种ims网络sip会话防纂改方法，包含如下内容：

a)提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、主被叫tag字段、主被叫sip地址、连接地址、头域sip地址、事务参数、请求序列号和主被叫ip；

b)通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。

上述的方法，a)中，从sip消息中提取源/目的ip，作为主被叫ip。

上述的方法，b)中具体包含如下内容：

b1)根据消息类型创建状态机并存储；

b2)判断消息类型是否为呼叫发起，若是，则根据当前消息的请求序列号进行状态机匹配，并根据匹配结果进行纂改告警，否则执行步骤b3)；

b3)判断消息类型是否为注册消息，若不是，则返回a)中，提取下一条sip消息，否则根据当前消息的请求序列号进行状态机匹配，并根据匹配情况进行当前状态机删除或篡改告警。

上述的方法，b1)中，判断消息类型是否为呼叫发起或注册消息，若是，则创建状态机并存储，该状态机中建立内容至少包含消息参数及状态机创建时间，否则，执行b2)。

上述的方法，b1)中，还包含：判断状态机中是否存在当前消息对话id的状态机，若不存在，则返回a)中，读取下一条sip消息，否则，判断消息类型是否为呼叫终止或服务器端错误或全局故障，若是三者中任一个，则删除当前状态机，否则，执行步骤b2)。

上述的方法，b2)中，判断当前消息的请求序列号是否为呼叫发起，不是，则执行b3)，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出篡改告警，否则，返回a)中，读取下一条sip消息。

上述的方法中，对当前消息中项目进行状态机匹配中，该项目包含：当前呼叫发起消息中的主被叫ip、主叫sip地址、被叫sip地址、主叫tag字段、被叫tag字段、连接地址、头域sip地址和事务参数进行状态机匹配。

上述的方法，b3)中，判断当前消息的请求序列号是否为注册消息，若不是，则返回a)中，读取下一条sip消息，否则，判断当前消息的请求序列号是否为响应消息，若是，则删除当前状态机，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出纂改告警，否则，返回a)中，读取下一条sip消息。

本发明的有益效果：

本发明通过把检测装置部署于cscf实体前，提取呼叫业务中的关键参数建立状态机，通过对过往所有信令进行参数匹配，实现对sip会话篡改的检测，提高ims网络的安全性；对于不同类型的sip信令消息，通过建立状态机并针对invite或register消息进行流程检测，对不同的消息进行内容匹配，通过对匹配结果的分析，判断sip信令消息是否被篡改，保证sip会话安全性和可靠性，简单、有效，对移动网络的通信安全具有重要的指导意义。

附图说明：

图1为实施例中防纂改装置示意图；

图2为实施例中检测分析模块示意图；

图3为实施例中防纂改方法流程图一；

图4为实施例中消息参数匹配流程图；

图5为实施例中状态机建立及检测示意图；

图6为实施例中sip消息提取字段示意图；

图7为实施例中防纂改方法流程图二。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

sip消息格式由三部分组成，即：起始行(startline)，消息头(header)和消息体(messagebody)。起始行是消息第一行，标识消息类型和sip标识；消息头格式为<头字段的名字>:<字段值>，详见附图6所示。消息体在消息尾部，根据消息头中指定可以为空，也可以为sdp协议格式，如图6所示。ms网络体系架构中，使用sip协议的会话控制能力来支持多媒体服务。sip是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的多媒体会话。为保证通信会话的安全性，及时预防ims网络sip会话的纂改攻击，本发明实施例，参见图1所示，提供一种ims网络sip会话防纂改装置，包含：参数提取模块和检测分析模块，其中，

参数提取模块，用于提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、主被叫tag字段、主被叫sip地址、连接地址、头域sip地址、事务参数、请求序列号和主被叫ip；

检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。

本实施例中将该检测装置部署在网络架构实体前，对ims网络中sip消息进行持续检测处理；通过提取呼叫业务中的关键参数，并对过往所有信令进行参数匹配，实现对sip会话篡改的检测，提高ims网络的安全性。

在对消息参数依次进行匹配过程中，本发明的另一个实施例中，参见图2所示，检测分析模块包含状态机创建子模块、纂改告警子模块和状态机删除处理子模块，其中，

状态机创建子模块，用于根据消息类型创建状态机并存储；

篡改告警子模块，用于按序对消息类型和当前消息的请求序列号进行匹配，并根据匹配结果进行纂改告警；

状态机删除处理子模块，用于依次对消息类型和当前消息的请求序列号进行匹配，并根据匹配情况执行删除状态机操作。

基于上述的防纂改装置，本发明实施例还提供一种ims网络sip会话防纂改方法，参见图3所示，包含如下内容：

a)提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、主被叫tag字段、主被叫sip地址、连接地址、头域sip地址、事务参数、请求序列号和主被叫ip；

b)通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。

针对sip消息，提取消息参数过程中，从sip消息包中提取源/目的ip，作为主被叫ip。

对消息参数依次进行匹配，本发明的再一个实施例中，参见图4所示，匹配过程具体包含如下内容：

b1)根据消息类型创建状态机并存储；

b2)判断消息类型是否为呼叫发起，若是，则根据当前消息的请求序列号进行状态机匹配，并根据匹配结果进行纂改告警，否则执行步骤b3)；

b3)判断消息类型是否为注册消息，若不是，则返回a)中，提取下一条sip消息，否则根据当前消息的请求序列号进行状态机匹配，并根据匹配情况进行当前状态机删除或篡改告警。

上述的方法，b1)中，判断消息类型是否为呼叫发起或注册消息，若是，则创建状态机并存储，该状态机中建立内容至少包含消息参数及状态机创建时间，否则，判断状态机中是否存在当前消息对话id的状态机，若不存在，则返回a)中，读取下一条sip消息，否则，判断消息类型是否为呼叫终止或服务器端错误或全局故障，若是三者中任一个，则删除当前状态机，否则，执行步骤b2)。b2)中，判断当前消息的请求序列号是否为呼叫发起，不是，则执行b3)，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出篡改告警，否则，返回a)中，读取下一条sip消息。对当前消息中项目进行状态机匹配中，该项目包含：当前呼叫发起消息中的主被叫ip、主叫sip地址方案、被叫sip地址方案、主叫tag字段、被叫tag字段、连接地址、头域sip地址和事务参数进行状态机匹配。b3)中，判断当前消息的请求序列号是否为注册消息，若不是，则返回a)中，读取下一条sip消息，否则，判断当前消息的请求序列号是否为响应消息，若是，则删除当前状态机，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出纂改告警，否则，返回a)中，读取下一条sip消息。

为进一步验证本发明的有效性，如图7所示，通过具体的sip消息进行说明：

步骤(一)：顺序处理接收的一个sip信令，从起始行，call-id，from/to、contact和via中分别提取消息类型、call-id、主被叫sip-uri/tag、contact-uri，via-sipuri和对应的branch，并从消息包中提取源/目的ip，并标记为主被叫ip；

步骤(二)：判断消息类型，若消息类型为invite或register，建立状态机并存储；

(状态机建立内容为：：call-id，主叫ip，被叫ip，主叫sip-uri，被叫sip-uri，主叫tag，被叫tag，contact-uri，via-sipuri和对应的branch，创建时间，如图5(a)所示)

步骤(三)：若消息类型为其他消息，状态机中查询当前call-id所在状态机，若不存在，转到实施步骤八；存在则继续。

步骤(四)：消息类型是否为bye或5xx或6xx消息，若是则删除该call-id所在状态机；若否，则继续。

步骤(五)：若当前消息的cseq为invite，则按照invite匹配项目进行匹配，若匹配失败，则发出存在篡改告警，成功转到实施步骤八；

(invite消息匹配项目为：主被叫ip，主叫sip-uri，被叫sip-uri，主叫tag，被叫tag，contact-uri，via-sipuri和对应的branch，如图5(b)所示)。

步骤(六)：若cseq为register消息，则按照register匹配项目进行匹配，若匹配失败，则发出存在篡改告警，成功则转到实施步骤八；

(register消息匹配项目为：主被叫ip，主叫sip-uri，被叫sip-uri，主叫tag，被叫tag，contact-uri，如图5(c)所示)

步骤(七)：若cseq为其他消息，则不做处理；

步骤(八)：返回实施步骤(一)，处理下一条sip信令消息。

如今移动通信网安全形势日益严峻，ims网络会话流程中可能存在篡改攻击的行为。本发明实施例用到的sip请求消息有invite消息和register消息，invite消息表示主叫用户发起会话请求，邀请其他用户加入一个会话。register消息表示客户端向sip服务器端注册列在to字段中的地址信息。针对ims网络sip会话的防篡改方法可以有效提高ims网络会话的可靠性和安全性，对存在篡改的消息进行及时告警，提升用户信息安全，对移动通信网络安全发展具有重要的意义。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。