一种基于IPSec实现SIP通信安全的方法*

张鹤鸣，陈南洋

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

随着多媒体应用的迅速发展，人们对多媒体通信提出了更多要求。语音、视频和数据业务进一步融合，以SIP（Session Initiation Protocol，即初始会话协议）为核心的融合应用正在成为一个主要的研究热点。

SIP是IETF提出的基于文本编码的IP多媒体电话协议，工作于应用层，主要用来进行会话的管理，包括发起和终止会话、修改会话参数、引入其他用户、控制多方参与的多媒体会话进程等，是下一代增值业务平台的基础。

但是，SIP的安全问题一直是SIP应用的主要问题之一。由于SIP信令是基于文本形式的IP电话信令协议，信息容易被模仿、纂改，并加以非法利用。比如，在SIP信令消息中，有许多重要的用户参数信息，如果被截获，用户业务将存在极大的安全隐患。另外，用户数据在互联网中透明传输，对互联网的窃取行为没有任何的防范能力。IPSec（因特网安全协议）是IETF提出的基于IP层的安全协议，能够为上层数据包提供透明保护，主要用于解决TCP/IP协议的安全问题。但是，采用IPSec保障SIP的通信安全，却面临两个关键的问题：（1）SIP用户广泛分布于互联网中，IP地址不可预知，安全防范范围大；（2）IPSec工作在网络层，无法感知上层的应用数据，对媒体通道随时变化的SIP通信来说，IPSec通道的建立异常困难。

本文将基于IPSec提出一套SIP安全通信模型，在保持原有网络架构的基础上，通过为IPSec赋予SIP应用的感知能力[1]来保证SIP的通信安全。第1节从安全策略数据库和安全关联数据库入手，对IPSec的实现架构进行分析，为IPSec赋予应用感知能力；第2节对基于IPSec的SIP安全通信方案进行详细描述；第3节将对方案中涉及的安全关联数据库的维护策略进行探讨分析；最后对全文进行总结。

1 IPSEC的实现构架

IPSec是一个协议簇，是应用于IP层之上保护网络数据安全的一整套体系结构。

在IPSec实现过程中，策略决定了通信双方能否进行安全通信以及如何进行安全通信。安全关联（Security Association，SA）、安全关联数据库（SA Database，SADB）和安全策略数据库（Security Policy Database，SPD）构成了策略的核心。

（1）安全关联

安全关联SA是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定。它决定了用来保护数据安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等。安全关联将安全服务、密钥与要保护的数据联系到一起，主要解决如何保护通信数据、保护什么样的通信数据以及由谁来实施保护的问题。

（2）安全关联数据库

在IPSec实施方案中，一般会构建一个SADB。它是所有SA与相关参数的容器，维护了IPSec协议用来保障数据安全的SA记录。在SADB中，SA是单向存在的。因此，针对外出方向和进入方向的数据处理，需要分别维护一个单独的SA记录。

（3）安全策略数据库

安全策略决定了为某种类型的数据包提供的安全服务，主要包括丢弃数据包、绕过安全服务和应用安全服务3种情况。在IPSec的实施方案中，一般会将安全策略保存在SPD中。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。对于进入或离开IP协议栈的每个数据包，必须检索SPD，调查可能存在的安全应用。SPD使用一系列选择器将业务流映射到特定的SA上，而这些选择器包括IP层和上层协议的字段值。

从实现的角度讲，IPSec主要分为两部分：（1）运行于用户空间的IKE模块，主要完成通信双方密钥的交换和安全关联的建立；（2）运行于内核空间的IPSec模块，主要负责协议的具体实现，包括AH/ESP数据处理、SPD/SADB的管理、数据认证/加解密算法管理以及与网络应用程序进行交互的IPSec虚接口等，如图1所示[2]。

图1 IPSec实现框架

基于IPSec实现SIP通信安全的主要设计思路是，SIP应用模块将SIP通信过程中的信令通道与媒体通道信息实时传达到IKE模块，IKE模块启动与对端协商的SA流程。SA协商成功后，通过SPD/SADB管理模块更新内核空间的SPD和SADB，从而激活IPSec对SIP应用数据的保护。

2 基于IPSec的SIP通信安全模型

2.1 SIP通信安全流程分析

SIP通信安全的实质是信令安全与媒体安全。采用IPSec方案保障SIP的通信安全，面临的两个关键问题在本文的引言部分已经阐述。本模型将通过SIP终端主动申请建立IPSec通道的方式，解决SIP用户范围广、IP地址不可预知的问题，以保障信令安全。通过解析SIP信令，实时将通信过程中的媒体通道信息传达到IKE模块，解决IPSec无法感知上层应用的问题，以保障媒体安全。以SIP话机的通信流程为例，SIP安全通信整体示意图如图2所示。

2.2 信令安全实现流程分析

SIP信令是以相对独立的处理阶段展开的，每个阶段之间的关系并不密切[3]。对SIP信令的保护，主要集中于SIP终端与SIP服务器之间。在实际应用中，由于SIP服务器的IP地址与信令端口相对固定，因此可以通过SIP终端主动申请的方式预先协商IPSec通道，以完成对SIP信令的保护。

图2 SIP安全通信流程

具体实现流程如下：

（1）根据SIP服务器的IP地址与指定的信令端口，SIP终端通过IKE用户模块向SPD中添加安全策略，此时该业务流的处理策略是丢弃数据包；

（2）SIP终端通过IKE用户模块与SIP服务器之间协商SA；

（3）SA协商成功后，SIP终端通过IKE用户模块把SA添加到SADB中，同时修改SPD中的安全策略，将处理行为修改为应用安全服务，并将SIP信令的业务流映射到本条SA上；

（4）SIP服务器通过IKE用户模块将协商的SA添加到SADB中，同时SIP服务器根据SIP终端的IP地址与端口，向自身的SPD中添加安全策略。该业务流的处理策略是应用安全服务，并将该业务流映射到本条SA上。

至此，SIP终端与SIP服务器之间已成功建立IPSec通道，所有的信令数据均可以通过该通道进行安全防护。

2.3 媒体安全实现流程分析

实时传输协议RTP定义了端到端的实时数据传输格式，同时包含了一系列端到端的实时数据传输服务，如净荷类型识别、序列号编码、时间戳和传输监控等。媒体安全的实质是保障RTP媒体流的安全，是在SIP呼叫流程完成后展开的。RTP媒体流的通道信息是在SIP信令中协商完成的，因此每次通话都可能不同。应对不断变化的媒体通道，是赋予IPSec特定应用动态感知能力的关键。

具体实现流程如下：

（1）在SIP呼叫过程中，主叫与被叫的SIP终端分别通过解析INVITE、200 OK等关键信令，获取本次通话媒体通道的地址信息[1]和RTP媒体流的启动时间，其中媒体通道的地址信息主要包括通话双方的IP地址、协商的RTP媒体流端口信息等；

（2）主叫与被叫的SIP终端分别将媒体通道的地址信息通过IKE用户模块向SPD中添加安全策略，此时该业务流的处理策略为丢弃数据包；

（3）SIP终端通过IKE用户模块与对端（SIP代理或SIP终端）协商媒体通道的SA；

（4）SA协商成功后，主叫与被叫的SIP终端分别将本条SA记录添加到自身的SADB中，并将SPD中的安全策略映射到本条SA记录之上，修改业务流的处理策略为应用安全服务；

（5）通过解析BYE信令获取RTP媒体流结束的时间点，SIP终端通过IKE用户模块及时删除SPD中已经过时的安全策略和SADB中相关的SA记录，释放内存空间，以保证服务器或终端的性能安全。

至此，SIP终端与对端（SIP代理或SIP终端）之间成功建立IPSec通道，所有的媒体数据均可以通过该通道进行安全防护。

3 SA的维护策略

在基于IPSec的SIP安全通信模型中，IPSec信令通道和媒体通道SA的建立，增加了服务器和终端对SIP信令、RTP媒体流的处理流程。这种额外的负担，可能会对SIP呼叫的及时性和通话质量产生一定影响，因此对服务器和终端的IPSec处理性能提出了较高要求。同时，由于SIP是基于分组网络完成的数据传输，这条数据通路不可避免会出现各种异常，如丢包、延时和突然中断等情况。因此，为保持SIP通信的体系安全性、密码的前向安全性和服务器/终端性能之间的平衡，实施过程中需要对SPD中的安全策略和SADB中的SA采取必要的措施进行维护。

本模型在标准IPSec SA维护措施的基础上，增加以下几个方面的考虑：

（1）定时扫描SPD，删除在指定时期内未被调用过的安全策略；

（2）定时扫描SADB，删除在指定时期内未被使用过的SA；

（3）对于保障信令通道的SA，如果指定的生命周期结束，由SIP终端的IKE模块主动发起请求，申请协商新SA；

（4）由于数据延时的存在，为保证SA在重新协商过程中的无缝切换，在新SA生效后，旧SA需要设置一定的存活时间，不可立即删除，以防止由于SA切换导致的丢包。

4 结 语

本文通过对IPSec的实现框架进行分析，提出了一套基于IPSec实现的SIP通信安全的方法。该方法利用策略数据库和安全关联数据库，可以解决SIP用户分布范围广、IP地址与端口信息不可预知的问题，有效保障了SIP的通信安全。同时，利用该方法可以采取不同的IPSec策略保护不同的应用。

参考文献：

[1] 范奕俊.基于安全SIP环境的IPsec通信[J].硅谷 ,2010(16)：133-135.FAN Yi-jun.IPsec Communication Based on Secure SIP Environment[J].Silicon Valley,2010(16)：133-135.

[2] 姜林枫.IPSec安全数据库研究[J].计算机安全 ,2007(02)：14-16.JIANG Lin-feng.IPSec Security Database Research[J].Network and Computer Security,2007(02)：14-16.

[3] 庞红玲,安可,戎锋洪.基于身份加密系统的SIP认证机制[J].信息安全与通信保密,2007(05)：29-31.PANG Hong-ling,AN Ke,RONG Feng-hong.SIP Authentication Mechanism Using Identitybased Cryptography[J].Information Security And Communications Privacy,2007(05)：29-31.