IMS网络SIP会话防纂改装置及方法制造方法及图纸

本发明专利技术属于通信网络安全技术领域，特别涉及一种IMS网络SIP会话防纂改装置及方法，该装置包含：参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。本发明专利技术通过提取呼叫业务中的关键参数，并对过往所有信令进行参数匹配，实现对SIP会话篡改的检测；对于不同类型SIP信令消息，通过建立状态机进行流程匹配检测，对匹配结果分析来判断SIP信令消息是否被篡改，保证SIP会话安全性、可靠性，对移动网络通信安全具有重要指导意义。

SIP Session Codification Prevention Device and Method in IMS Network

The invention belongs to the field of communication network security technology, in particular to an IMS network SIP session anti-codification device and method. The device includes a parameter extraction module for extracting message parameters in SIP messages. The message parameters include at least message type, dialogue ID, main-called Tag field, main-called SIP address, connection address, header SIP address, transaction parameter and request sequence. Number and master are called IP; detection and analysis module is used to match message parameters sequentially, delete state machine and/or tamper with alarm according to matching results. The invention realizes the detection of SIP session tampering by extracting key parameters of call service and matching parameters of all signaling in the past; for different types of SIP signaling messages, it establishes a state machine to detect process matching, and analyzes matching results to determine whether SIP signaling messages have been tampered with, to ensure SIP session security and reliability, and to ensure the security of mobile network communication. It has important guiding significance.

【技术实现步骤摘要】
IMS网络SIP会话防纂改装置及方法
本专利技术属于通信网络安全
，特别涉及一种IMS网络SIP会话防纂改装置及方法，用于IMS网络会话流程中纂改攻击的防御。
技术介绍
IMS(IPMultimediaSubsystem)是基于IP网提供话音及多媒体业务的网络体系架构。IMS可以实现固定用户业务、移动用户业务与因特网业务融合，语音、数据、视频等多媒体业务融合，是下一代网络的核心技术。IMS网络体系架构中，使用SIP协议的会话控制能力来支持多媒体服务。SIP是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的多媒体会话。SIP请求消息有INVITE消息和REGISTER消息，INVITE消息表示主叫用户发起会话请求，邀请其他用户加入一个会话。REGISTER消息表示客户端向SIP服务器端注册列在To字段中的地址信息。针对IMS网络SIP会话的防篡改方法可以有效提高IMS网络会话的可靠性和安全性，对存在篡改的消息进行及时告警，提升用户信息安全。
技术实现思路
为及时告警IMS网络SIP会话的纂改攻击，本专利技术提供一种IMS网络SIP会话防纂改装置及方法，检测IMS网络SIP会话流程中可能存在篡改攻击的行为，简单、有效，有利于提高IMS网络会话的安全性和可靠性。按照本专利技术所提供的设计方案，一种IMS网络SIP会话防纂改装置，该检测装置部署在网络架构实体前，对IMS网络中SIP消息进行持续检测处理；其包含：参数提取模块和检测分析模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。上述的，检测分析模块包含状态机创建子模块、纂改告警子模块和状态机删除处理子模块，其中，状态机创建子模块，用于根据消息类型创建状态机并存储；篡改告警子模块，用于按序对消息类型和当前消息的请求序列号进行匹配，并根据匹配结果进行纂改告警；状态机删除处理子模块，用于依次对消息类型和当前消息的请求序列号进行匹配，并根据匹配情况执行删除状态机操作。一种IMS网络SIP会话防纂改方法，包含如下内容：A)提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；B)通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。上述的方法，A)中，从SIP消息中提取源/目的IP，作为主被叫IP。上述的方法，B)中具体包含如下内容：B1)根据消息类型创建状态机并存储；B2)判断消息类型是否为呼叫发起，若是，则根据当前消息的请求序列号进行状态机匹配，并根据匹配结果进行纂改告警，否则执行步骤B3)；B3)判断消息类型是否为注册消息，若不是，则返回A)中，提取下一条SIP消息，否则根据当前消息的请求序列号进行状态机匹配，并根据匹配情况进行当前状态机删除或篡改告警。上述的方法，B1)中，判断消息类型是否为呼叫发起或注册消息，若是，则创建状态机并存储，该状态机中建立内容至少包含消息参数及状态机创建时间，否则，执行B2)。上述的方法，B1)中，还包含：判断状态机中是否存在当前消息对话ID的状态机，若不存在，则返回A)中，读取下一条SIP消息，否则，判断消息类型是否为呼叫终止或服务器端错误或全局故障，若是三者中任一个，则删除当前状态机，否则，执行步骤B2)。上述的方法，B2)中，判断当前消息的请求序列号是否为呼叫发起，不是，则执行B3)，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出篡改告警，否则，返回A)中，读取下一条SIP消息。上述的方法中，对当前消息中项目进行状态机匹配中，该项目包含：当前呼叫发起消息中的主被叫IP、主叫SIP地址、被叫SIP地址、主叫Tag字段、被叫Tag字段、连接地址、头域SIP地址和事务参数进行状态机匹配。上述的方法，B3)中，判断当前消息的请求序列号是否为注册消息，若不是，则返回A)中，读取下一条SIP消息，否则，判断当前消息的请求序列号是否为响应消息，若是，则删除当前状态机，否则，对当前消息中项目进行状态机匹配，若匹配不成功，则发出纂改告警，否则，返回A)中，读取下一条SIP消息。本专利技术的有益效果：本专利技术通过把检测装置部署于CSCF实体前，提取呼叫业务中的关键参数建立状态机，通过对过往所有信令进行参数匹配，实现对SIP会话篡改的检测，提高IMS网络的安全性；对于不同类型的SIP信令消息，通过建立状态机并针对INVITE或REGISTER消息进行流程检测，对不同的消息进行内容匹配，通过对匹配结果的分析，判断SIP信令消息是否被篡改，保证SIP会话安全性和可靠性，简单、有效，对移动网络的通信安全具有重要的指导意义。附图说明：图1为实施例中防纂改装置示意图；图2为实施例中检测分析模块示意图；图3为实施例中防纂改方法流程图一；图4为实施例中消息参数匹配流程图；图5为实施例中状态机建立及检测示意图；图6为实施例中SIP消息提取字段示意图；图7为实施例中防纂改方法流程图二。具体实施方式：为使本专利技术的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本专利技术作进一步详细的说明。SIP消息格式由三部分组成，即：起始行(startline)，消息头(header)和消息体(messagebody)。起始行是消息第一行，标识消息类型和SIP标识；消息头格式为<头字段的名字>:<字段值>，详见附图6所示。消息体在消息尾部，根据消息头中指定可以为空，也可以为SDP协议格式，如图6所示。MS网络体系架构中，使用SIP协议的会话控制能力来支持多媒体服务。SIP是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的多媒体会话。为保证通信会话的安全性，及时预防IMS网络SIP会话的纂改攻击，本专利技术实施例，参见图1所示，提供一种IMS网络SIP会话防纂改装置，包含：参数提取模块和检测分析模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。本实施例中将该检测装置部署在网络架构实体前，对IMS网络中SIP消息进行持续检测处理；通过提取呼叫业务中的关键参数，并对过往所有信令进行参数匹配，实现对SIP会话篡改的检测，提高IMS网络的安全性。在对消息参数依次进行匹配过程中，本专利技术的另一个实施例中，参见图2所示，检测分析模块包含状态机创建子模块、纂改告警子模块和状态机删除处理子模块，其中，状态机创建子模块，用于根据消息类型创建状态机并存储；篡改告警子模块，用于按序对消息类型和当前消息的请求序列号进行匹配，并根据匹配结果进行纂改告警；状态机删除处理子模块，用于依次对消息类型和当前消息的请求序列号进本文档来自技高网...

【技术保护点】
1.一种IMS网络SIP会话防纂改装置，其特征在于，该检测装置部署在网络架构实体前，对IMS网络中SIP消息进行持续检测处理；其包含：参数提取模块和检测分析模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。

【技术特征摘要】
1.一种IMS网络SIP会话防纂改装置，其特征在于，该检测装置部署在网络架构实体前，对IMS网络中SIP消息进行持续检测处理；其包含：参数提取模块和检测分析模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；检测分析模块，用于通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。2.根据权利要求1所述的IMS网络SIP会话防纂改装置，其特征在于，检测分析模块包含状态机创建子模块、纂改告警子模块和状态机删除处理子模块，其中，状态机创建子模块，用于根据消息类型创建状态机并存储；篡改告警子模块，用于按序对消息类型和当前消息的请求序列号进行匹配，并根据匹配结果进行纂改告警；状态机删除处理子模块，用于依次对消息类型和当前消息的请求序列号进行匹配，并根据匹配情况执行删除状态机操作。3.一种IMS网络SIP会话防纂改方法，其特征在于，包含如下内容：A)提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、主被叫Tag字段、主被叫SIP地址、连接地址、头域SIP地址、事务参数、请求序列号和主被叫IP；B)通过对消息参数依次进行匹配，根据匹配结果进行状态机删除处理和/或篡改告警。4.根据权利要求3所述的IMS网络SIP会话防纂改方法，其特征在于，A)中，从SIP消息中提取源/目的IP，作为主被叫IP。5.根据权利要求3所述的IMS网络SIP会话防纂改方法，其特征在于，B)中具体包含如下内容：B1)根据消息类型创建状态机并存储；B2)判断消息类型是否为呼叫发起，若是，则根据当前消息的请求序列号进行状态机匹配，并根据匹配结果进行纂改告警，否则执行步骤B3)...

【专利技术属性】
技术研发人员：刘彩霞，王凯，刘树新，李森有，李星，吉立新，李英乐，柏溢，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南,41