一種針對ip多媒體子系統的rtp威脅的檢測方法和系統的製作方法

2023-09-24 03:48:55

專利名稱：一種針對ip多媒體子系統的rtp威脅的檢測方法和系統的製作方法
技術領域：
本發明涉及一種實時傳輸協議(RTP, (Real-time Transport Protocol)威脅檢測技術，尤其涉及一種針對IP多媒體子系統(MS，IP Multimedia Subsystem)的RTP威脅的檢測方法和系統。
背景技術：
下一代網絡(NGN, Next Generation Network)是建立在IP技術基礎上的新型公共電信網絡，也是國家的信息基礎設施的重要組成部分和信息通信的神經樞紐，承擔著大範圍內的公眾電信業務。IP多媒體子系統(IMS, IP Multimedia Subsystem)是NGN控制層的核心構架，是第三代移動通信夥伴組織(3GPP,3rd Generation Partnership Project)在 Release 5版本標準中提出的支持IP多媒體業務的系統。MS的特點是使用會話初始化協議(SIP, Session Initiation Protocol)呼叫控制機制來創建、管理和終結各種類型的多媒體業務，實現了控制和承載的分離，支持開放的應用程式編程接口(API，ApplicationProgramming Interface),並基於IP分組網絡，支持各類接入方式。這些特點使得IMS存在比傳統電信網絡更多的安全脆弱性。鑑於MS的重要地位，MS的安全問題已經得到了廣泛的重視。與傳統電信網相t匕，IMS的安全問題有著其自身的特殊性MS融合了傳統電信網和網際網路，借鑑了網際網路的成功經驗，採用了許多網際網路關鍵技術，如SIP等。這導致網際網路中的安全問題被引入到MS中。研究MS的安全問題對於促進下一代網絡順利、安全地部署具有重要意義。因此，安全問題是IMS下一步研究的重點。實時傳輸協議(RTP, Real-time Transport Protocol)承擔了 IMS中媒體流傳輸的主要工作。由於RTP具有不完善的加密機制，缺乏消息認證機制，真實性和信息完整性沒有在RTP層定義，所以其數據易被監聽和篡改。當SIP協議採用明文傳輸時，監聽者可從SIP協議所攜帶的會話描述協議(SDP, Session Description Protocol)信息中獲取RTP使用的埠號，從而從捕獲的數據包中過濾出RTP媒體流並篡改其參數信息，以實現如(SSRC，Synchronization Source)衝突、流插入等威脅。同時，RTP也易受到網際網路上常見的如重放等威脅。因此，研究IMS的RTP安全問題，有助於完善IMS網絡的安全體系和安全措施。當前，針對頂S網絡媒體流傳輸的安全研究尚位於起步階段，業界缺乏一種針對MS的RTP威脅的檢測方法。

發明內容
有鑑於此，本發明的主要目的在於提供一種一種針對IP多媒體子系統的RTP威脅的檢測方法和系統，能檢測並構造RTP數據包，從而實現對RTP各種威脅進行檢測。為達到上述目的，本發明的技術方案是這樣實現的—種針對IP多媒體子系統實時傳輸協議威脅的檢測方法，包括
監聽頂S中的數據流，過濾出實時傳輸協議RTP數據包，對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數；利用通話參數，根據檢測策略構造偽造RTP數據包，並發送至通話用戶，實現威脅檢測。優選地，所述過濾出RTP數據包，為獲取通話用戶雙方建立通話時的SIP信令；對SIP信令進行解析，獲得通話用戶雙方的IP位址及RTP使用的用戶數據包協議UDP埠號；通話雙方建立通話後，根據IP位址及RTP使用的UDP埠號過濾出通話用戶雙方的RTP數據包。 優選地，所述過濾出RTP數據包，為檢測當前所接收數據流是否與RTP數據流特徵匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特徵包括以下特徵的至少一項UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ;RTP數據流的數據包載荷類型不變，且位於數據包的第9到15比特；RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位於第16到31比特；RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位於數據包的第32到63比特；RTP數據流的數據包的同步源標識SSRC值不變，且位於數據包的第64到95比特。優選地，所述對過濾出的RTP數據包進行解析，為獲取RTP數據包的完整IP包，對所述完整IP包進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，提取出通話參數；所述通話參數主要包括RTP數據包的序列號SN、RTP數據包的時間戳Timestamp、數據包的SSRC。優選地，所述威脅檢測包括以下威脅檢測的至少一種會話中斷威脅檢測、合法用戶被踢出會話威脅檢測和流插入威脅檢測；所述檢測策略對應包括以下策略的至少一種檢測會話中斷威脅的策略、檢測合法用戶被踢出會話威脅的策略和檢測流插入威脅策略；其中，實現會話中斷威脅檢測為根據檢測會話中斷威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並向RTP數據流接收者發送RTP控制協議RTCP終止標識BYE包，並改變RTP數據流發送者的SSRC值；所述檢測會話中斷威脅的策略為當用戶A位於通話中，且作為發送者正在給其他用戶發送RTP數據包時，監聽獲取用戶A發送的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為x ;並將偽造後的RTP數據包發給用戶A ;實現合法用戶被踢出會話威脅檢測為根據檢測合法用戶被踢出會話威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發送的數據包，轉而接收威脅者發來的偽造的RTP數據包；所述檢測合法用戶被踢出會話威脅的策略為當用戶A位於通話中，且作為接收者正在其他用戶發送的RTP數據包，監聽獲取用戶A接收的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ；實現流插入威脅檢測為根據檢測流插入威脅策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包；所述檢測流插入威脅策略為用戶A和用戶B正在通話，且A作為RTP數據包發送者正在給用戶B發送RTP數據包，監聽獲取用戶A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造RTP數據包，偽造的RTP數據包的SSRC值為X、序列號為y和時間戳的值為z ;將偽造後的RTP數據包發給用戶B，且使用的IP位址和埠號與用戶A的相同。
在上述RTP威脅的檢測方法中，所述偽造RTP數據包的構造方法為偽造模塊從監聽模塊接收RTP參數；同時可接收用戶從外部輸入的指令，指定要進行何種威脅。偽造模塊根據參數和指令，調用開源的RTP庫，構造符合標準的RTP數據包。—種針對IP多媒體子系統實時傳輸協議威脅的檢測系統，包括監聽模塊、過濾模塊、解析及提取模塊、構造模塊、發送模塊和檢測模塊，其中，監聽模塊，用於監聽MS中的數據流；過濾模塊，用於過濾出RTP數據包；解析及提取模塊，用於對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數；構造模塊，用於利用通話參數，根據檢測策略構造偽造RTP數據包；發送模塊，用於將偽造RTP數據包發送至通話用戶；檢測模塊，用於利用偽造RTP數據包實現威脅檢測。優選地，所述過濾模塊進一步用於，獲取通話用戶雙方建立通話時的SIP信令；對SIP信令進行解析，獲得通話用戶雙方的IP位址及RTP使用的用戶數據包協議UDP埠號；並在通話雙方建立通話後，根據IP位址及RTP使用的UDP埠號過濾出通話用戶雙方的RTP數據包。優選地，所述過濾模塊進一步用於，檢測當前所接收數據流是否與RTP數據流特徵匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特徵包括以下特徵的至少一項UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ;RTP數據流的數據包載荷類型不變，且位於數據包的第9到15比特；RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位於第16到31比特；RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位於數據包的第32到63比特；RTP數據流的數據包的同步源標識SSRC值不變，且位於數據包的第64到95比特。優選地，所述解析及提取模塊進一步用於，獲取RTP數據包的完整IP包，對所述完整IP包進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，提取出通話參數；所述通話參數主要包括RTP數據包的序列號SN、RTP數據包的時間戳Timestamp、數據包的SSRC。優選地，所述威脅檢測包括以下威脅檢測的至少一種會話中斷威脅檢測、合法用戶被踢出會話威脅檢測和流插入威脅檢測；所述檢測策略對應包括以下策略的至少一種檢測會話中斷威脅的策略、檢測合法用戶被踢出會話威脅的策略和檢測流插入威脅策略；檢測模塊進一步地，根據檢測會話中斷威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並向RTP數據流接收者發送RTP控制協議RTCP終止標識BYE包，並改變RTP數據流發送者的SSRC值；所述檢測會話中斷威脅的策略為當用戶A位於通話中，且作為發送者正在給其他用戶發送RTP數據包時，監聽獲取用戶A發送的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中 SSRC值為X ;並將偽造後的RTP數據包發給用戶A ；或者，所述檢測模塊進一步地，實現合法用戶被踢出會話威脅檢測為根據檢測合法用戶被踢出會話威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發送的數據包，轉而接收威脅者發來的偽造的RTP數據包；所述檢測合法用戶被踢出會話威脅的策略為當用戶A位於通話中，且作為接收者正在其他用戶發送的RTP數據包，監聽獲取用戶A接收的RTP數據包的SSRC值x ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ；或者，所述檢測模塊進一步地，根據檢測流插入威脅策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包；所述檢測流插入威脅策略為用戶A和用戶B正在通話，且A作為RTP數據包發送者正在給用戶B發送RTP數據包，監聽獲取用戶A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造RTP數據包，偽造的RTP數據包的SSRC值為X、序列號為y和時間戳的值為z ;將偽造後的RTP數據包發給用戶B，且使用的IP位址和埠號與用戶A的相同。本發明中，首先在數據流中檢測出RTP數據流，再對當前數據流中所檢測出的RTP數據流進行解析，獲取RTP數據流的各種通話參數，然後根據所獲取的通話參數構造出偽造RTP數據包，發送給待檢測的通話方，再利用檢測策略，實現RTP威脅的檢測。本發明能主動確定頂S系統中的RTP威脅，大大方便了 MS系統的安全策略的制定，從而提升MS系統的服務質量。


圖I為本發明針對IP多媒體子系統實時傳輸協議威脅的檢測系統的組成結構示意圖；圖2為本發明針對IP多媒體子系統實時傳輸協議威脅的檢測方法的流程圖。
具體實施例方式圖I為本發明針對IP多媒體子系統實時傳輸協議威脅的檢測系統的組成結構示意圖，如圖I所示，本發明針對IP多媒體子系統實時傳輸協議威脅的檢測系統包括監聽模塊10、過濾模塊11、解析及提取模塊12、構造模塊13、發送模塊14和檢測模塊15，其中，監聽模塊10，用於監聽MS中的數據流；過濾模塊11，用於過濾出RTP數據包； 解析及提取模塊12，用於對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數；構造模塊13，用於利用通話參數，根據檢測策略構造偽造RTP數據包；發送模塊14，用於將偽造RTP數據包發送至通話用戶；檢測模塊15，用於利用偽造RTP數據包實現威脅檢測。上述過濾模塊11進一步用於，獲取通話用戶雙方建立通話時的SIP信令；對SIP 信令進行解析，獲得通話用戶雙方的IP位址及RTP使用的用戶數據包協議UDP埠號；並 在通話雙方建立通話後，根據IP位址及RTP使用的UDP埠號過濾出通話用戶雙方的RTP數據包。或者，上述過濾模塊11進一步用於，檢測當前所接收數據流是否與RTP數據流特徵匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特徵包括以下特徵的至少一項UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ;RTP數據流的數據包載荷類型不變，且位於數據包的第9到15比特；RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位於第16到31比特；RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位於數據包的第32到63比特；RTP數據流的數據包的同步源標識SSRC值不變，且位於數據包的第64到95比特。上述解析及提取模塊12進一步用於，獲取RTP數據包的完整IP包，對所述完整IP包進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，提取出通話參數；所述通話參數主要包括RTP數據包的序列號SN、RTP數據包的時間戳Timestamp、數據包的SSRC。上述威脅檢測包括以下威脅檢測的至少一種會話中斷威脅檢測、合法用戶被踢出會話威脅檢測和流插入威脅檢測；上述檢測策略對應包括以下策略的至少一種檢測會話中斷威脅的策略、檢測合法用戶被踢出會話威脅的策略和檢測流插入威脅策略；檢測模塊15進一步地，根據檢測會話中斷威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並向RTP數據流接收者發送RTP控制協議RTCP終止標識BYE包，並改變RTP數據流發送者的SSRC值；所述檢測會話中斷威脅的策略為當用戶A位於通話中，且作為發送者正在給其他用戶發送RTP數據包時，監聽獲取用戶A發送的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ；或者，檢測模塊15進一步地，實現合法用戶被踢出會話威脅檢測為根據檢測合法用戶被踢出會話威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發送的數據包，轉而接收威脅者發來的偽造的RTP數據包；所述檢測合法用戶被踢出會話威脅的策略為當用戶A位於通話中，且作為接收者正在其他用戶發送的RTP數據包，監聽獲取用戶A接收的RTP數據包的SSRC值x ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ；或者，檢測模塊15進一步地，根據檢測流插入威脅策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包；所述檢測流插入威脅策略為用戶A和用戶B正在通話，且A作為RTP數據包發送者正在給用戶B發送RTP數據包，監聽獲取用戶A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造RTP數據包，偽造的RTP數據包的SSRC值為X、序列號為y和時間戳的值為z ;將偽造後的RTP數據包發給用戶B，且使用的IP位址和埠號與用戶A的相同。構造模塊13從解析及提取模塊12接收RTP的相關通話參數，並可接收用戶從外部輸入的指令，獲取要構造出何種RTP威脅數據包。構造模塊13根據相關通話參數和輸入 指令，調用開源的RTP庫，構造符合標準的RTP數據包。上述發送模塊14獲取構造模塊13構造的RTP包，將其按發送設置類型轉發出去。當檢測會話中斷威脅、合法用戶被踢出會話威脅時，只需直接使用開源的RTP庫的發送功能進行發送即可；當驗證流插入威脅時，要使用原始套接字手填寫IP頭部的源IP位址欄位，進行IP偽裝，再將RTP包作為UDP的載荷，構造IP/UDP包，發送到目的MS終端。本領域技術人員應當理解，本發明圖I所示的針對IP多媒體子系統實時傳輸協議威脅的檢測系統中的各處理模塊所實現的功能可通過運行於處理器上的程序而實現，也可通過具體的邏輯電路而實現。圖2為本發明針對IP多媒體子系統實時傳輸協議威脅的檢測方法的流程圖，如圖2所示，本發明針對IP多媒體子系統實時傳輸協議威脅的檢測方法包括以下步驟步驟201 :檢測者監聽MS核心網中正常通話用戶之間的數據流，並從中過濾出RTP數據包。具體的，本發明中監聽MS核心網中的數據流是獲取RTP數據包的基礎，包括以下方式廣域網監聽方式和區域網監聽方式。所述區域網監聽方式包括以下兩種廣播式區域網監聽方式、交換式區域網監聽方式。本發明中濾出RTP數據包是進行威脅檢測的基礎，包括以下方式結合SIP呼叫信令過濾RTP的方式、根據RTP數據流特徵過濾RTP的方式。所述結合SIP呼叫信令過濾RTP方式，具體為根據SIP消息體中提供的IP位址和UDP埠來過濾RTP數據包，執行過程包括以下步驟第一步獲取正常用戶建立通話時的SIP信令；第二步對SIP信令進行解析，獲得通話雙方的IP位址及RTP使用的UDP埠號；第三步雙方通話建立後，根據IP位址及RTP使用的UDP埠號來過濾通話雙方的RTP數據包。所述根據RTP數據流特徵過濾RTP方式，具體為結合RTP協議的特點，進行多方面的特徵匹配，從監聽到的大量數據流中過濾有效的RTP數據流。其中，所述RTP協議的特點包括
(I)UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ;(2)對某一個RTP數據流來說，其數據包的載荷類型(Payload Type)不變，其位置位於RTP數據包的第9到15比特；(3) RTP數據流中相鄰數據包的序列號(Sequence Number, SN)隨包數遞增,增量為I，其位置位於RTP數據包的第16到31比特；⑷RTP數據流中數據包的時間戳值(Timestamp)隨時間遞增，其位置位於RTP數據包的第32到63比特；(5)對某一個RTP數據流來說，其RTP數據包的同步源標識(SSRC，Synchronization Source)值不變,其位置位於RTP數據包的第64到95比特。步驟202 :檢測者對得到的RTP數據包進行分析，提取出重要的通話參數。 具體的，本發明中對RTP數據包的分析方法為；獲取RTP數據包的完整IP包之後，對其進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，將這些通話參數從完整數據中取出。其中，所述重要的通話參數主要包括SN、Timestamp、SSRC等。步驟203 :檢測者利用通話參數，根據檢測需求制定檢測策略，構造的偽造RTP數據包。具體的，本發明中述檢測需求包括(I)會話中斷威脅檢測，即根據特定的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並發送RTCPBYE包給接收者，同時改變自己的SSRC值；(2)合法用戶被踢出會話威脅檢測，即根據特定的策略構造並發RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發來的數據包，轉而接收威脅者發來的偽造的RTP數據包；(3)流插入威脅檢測，即根據特定的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包。與上述的威脅檢測對應的，本發明中檢測策略包括(I)檢測會話中斷威脅的策略，即當用戶A正在通話中，並且作為發送者正在給其他用戶發送RTP數據包，監聽模塊通過監聽的方法，獲取A發送的RTP數據包的SSRC值x ；偽造模塊偽造RTP數據包(其中SSRC值為X);發送模塊將RTP數據包發給用戶A。(2)檢測合法用戶被踢出會話威脅的策略，即當用戶A正在通話中，並且作為接收者正在其他用戶發送的RTP數據包，監聽模塊通過監聽的方法，獲取A接收的RTP數據包的SSRC值X ;偽造模塊偽造RTP數據包(其中SSRC值為x);發送模塊將RTP數據包發給用戶A0(3)檢測流插入威脅策略，即當用戶A和用戶B正在通話中，並且A作為發送者正在給B發送RTP數據包，監聽模塊通過監聽的方法，獲取A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造模塊偽造RTP數據包(其中SSRC值為X、序列號為y和時間戳的值為z);發送模塊將數據包發給用戶B，使用的IP位址和埠號與用戶A的相同。本發明中偽造RTP數據包的構造方式具體為獲取RTP的各通話參數；同時結合用戶輸入的指令，根據指令所指定的需要構造何種RTP威脅，調用開源的RTP庫，構造符合標準的RTP數據包。步驟204 :檢測者將偽造的RTP數據包發送至正常的通話用戶。具體的，本發明中RTP數據包的發送方法為獲取所構造的偽造RTP包，將其按發送設置類型轉發出去。當檢測會話中斷威脅、合法用戶被踢出會話威脅時，只需直接使用開源的RTP庫的發送功能進行發送即可；當驗證流插入威脅時，要使用原始套接字手動填寫IP頭部的源IP位址欄位，進行IP偽裝，再將RTP包作為UDP的載荷，構造IP/UDP包，發送到目的終端。當驗證流插入威脅時，偽造模塊構造的第一個RTP包要插入一些參數，這個包負責與發送模塊進行通信。該包的結構如表I所示 IP頭部UDP頭部RTP頭部
I丨, j 目的IP 一源埠 j目的埠 ^RTP有效載荷表I如表I所示，所述插入的參數包括源IP和源埠，即驗證流插入威脅時，使用到的發送地址和埠；目的IP和目的埠，即被威脅者的地址和埠。這些參數被固定插入到RTP頭部及其有效載荷之間。發送模塊在接收到以上帶參數的RTP包時，需要從中提取並保存參數，之後將該包恢復為原(不含插入參數的)RTP數據包，最後進行轉發。以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。
權利要求
1.一種針對IP多媒體子系統實時傳輸協議威脅的檢測方法，其特徵在於，所述方法包括 監聽IP多媒體子系統MS中的數據流，過濾出實時傳輸協議RTP數據包，對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數； 利用通話參數，根據檢測策略構造偽造RTP數據包，並發送至通話用戶，實現威脅檢測。
2.根據權利要求I所述的方法，其特徵在於，所述過濾出RTP數據包，為 獲取通話用戶雙方建立通話時的SIP信令； 對SIP信令進行解析，獲得通話用戶雙方的IP位址及RTP使用的用戶數據包協議UDP埠號； 通話雙方建立通話後，根據IP位址及RTP使用的UDP埠號過濾出通話用戶雙方的RTP數據包。
3.根據權利要求I所述的方法，其特徵在於，所述過濾出RTP數據包，為 檢測當前所接收數據流是否與RTP數據流特徵匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特徵包括以下特徵的至少一項 UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ; RTP數據流的數據包載荷類型不變,且位於數據包的第9到15比特； RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位於第16到31比特； RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位於數據包的第32到63比特； RTP數據流的數據包的同步源標識SSRC值不變，且位於數據包的第64到95比特。
4.根據權利要求I所述的方法，其特徵在於，所述對過濾出的RTP數據包進行解析，為 獲取RTP數據包的完整IP包，對所述完整IP包進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，提取出通話參數；所述通話參數主要包括=RTP數據包的序列號SN、RTP數據包的時間戳Timestamp、數據包的SSRC。
5.根據權利要求I所述的方法，其特徵在於，所述威脅檢測包括以下威脅檢測的至少一種 會話中斷威脅檢測、合法用戶被踢出會話威脅檢測和流插入威脅檢測； 所述檢測策略對應包括以下策略的至少一種 檢測會話中斷威脅的策略、檢測合法用戶被踢出會話威脅的策略和檢測流插入威脅策略； 其中，實現會話中斷威脅檢測為 根據檢測會話中斷威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並向RTP數據流接收者發送RTP控制協議RTCP終止標識BYE包，並改變RTP數據流發送者的SSRC值；所述檢測會話中斷威脅的策略為當用戶A位於通話中，且作為發送者正在給其他用戶發送RTP數據包時，監聽獲取用戶A發送的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為x ;並將偽造後的RTP數據包發給用戶A ；實現合法用戶被踢出會話威脅檢測為根據檢測合法用戶被踢出會話威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發送的數據包，轉而接收威脅者發來的偽造的RTP數據包；所述檢測合法用戶被踢出會話威脅的策略為當用戶A位於通話中，且作為接收者正在其他用戶發送的RTP數據包，監聽獲取用戶A接收的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為x ;並將偽造後的RTP數據包發給用戶A ； 實現流插入威脅檢測為根據檢測流插入威脅策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包；所述檢測流插入威脅策略為用戶A和用戶B正在通話，且A作為RTP數據包發送者正在給用戶B發送RTP數據包，監聽獲取用戶A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造RTP數據包，偽造的RTP數據包的SSRC值為X、序列號為y和時間戳的值為z ;將偽造後的RTP數據包發給用戶B，且使用的IP位址和埠號與用戶A的相同。
在上述RTP威脅的檢測方法中，所述偽造RTP數據包的構造方法為偽造模塊從監聽模塊接收RTP參數；同時可接收用戶從外部輸入的指令，指定要進行何種威脅。偽造模塊根據參數和指令，調用開源的RTP庫，構造符合標準的RTP數據包。
6.一種針對IP多媒體子系統實時傳輸協議威脅的檢測系統，其特徵在於，所述系統包括監聽模塊、過濾模塊、解析及提取模塊、構造模塊、發送模塊和檢測模塊，其中，監聽模塊，用於監聽MS中的數據流； 過濾模塊，用於過濾出RTP數據包； 解析及提取模塊，用於對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數； 構造模塊，用於利用通話參數，根據檢測策略構造偽造RTP數據包； 發送模塊，用於將偽造RTP數據包發送至通話用戶； 檢測模塊，用於利用偽造RTP數據包實現威脅檢測。
7.根據權利要求6所述的系統，其特徵在於，所述過濾模塊進一步用於，獲取通話用戶雙方建立通話時的SIP信令；對SIP信令進行解析，獲得通話用戶雙方的IP位址及RTP使用的用戶數據包協議UDP埠號；並在通話雙方建立通話後，根據IP位址及RTP使用的UDP埠號過濾出通話用戶雙方的RTP數據包。
8.根據權利要求6所述的系統，其特徵在於，所述過濾模塊進一步用於，檢測當前所接收數據流是否與RTP數據流特徵匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特徵包括以下特徵的至少一項 UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V = 2 ; RTP數據流的數據包載荷類型不變，且位於數據包的第9到15比特； RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位於第16到31比特； RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位於數據包的第32到63比特； RTP數據流的數據包的同步源標識SSRC值不變，且位於數據包的第64到95比特。
9.根據權利要求6所述的系統，其特徵在於，所述解析及提取模塊進一步用於，獲取RTP數據包的完整IP包，對所述完整IP包進行IP、UDP、RTP的逐層解析，根據RTP協議棧中各通話參數所處的位置，提取出通話參數；所述通話參數主要包括=RTP數據包的序列號SN、RTP數據包的時間戳Timestamp、數據包的SSRC。
10.根據權利要求I所述的方法，其特徵在於，所述威脅檢測包括以下威脅檢測的至少一種 會話中斷威脅檢測、合法用戶被踢出會話威脅檢測和流插入威脅檢測； 所述檢測策略對應包括以下策略的至少一種 檢測會話中斷威脅的策略、檢測合法用戶被踢出會話威脅的策略 和檢測流插入威脅策略； 檢測模塊進一步地，根據檢測會話中斷威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流發送者中斷自己的RTP會話，並向RTP數據流接收者發送RTP控制協議RTCP終止標識BYE包，並改變RTP數據流發送者的SSRC值；所述檢測會話中斷威脅的策略為當用戶A位於通話中，且作為發送者正在給其他用戶發送RTP數據包時，監聽獲取用戶A發送的RTP數據包的SSRC值X ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ； 或者，所述檢測模塊進一步地，實現合法用戶被踢出會話威脅檢測為根據檢測合法用戶被踢出會話威脅的策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者放棄原始發送者發送的數據包，轉而接收威脅者發來的偽造的RTP數據包；所述檢測合法用戶被踢出會話威脅的策略為當用戶A位於通話中，且作為接收者正在其他用戶發送的RTP數據包，監聽獲取用戶A接收的RTP數據包的SSRC值x ;偽造RTP數據包，偽造的RTP數據包中SSRC值為X ;並將偽造後的RTP數據包發給用戶A ； 或者，所述檢測模塊進一步地，根據檢測流插入威脅策略構造並發送RTP數據包，檢測是否能使正常通話中的RTP數據流接收者同時接收來自用戶A和威脅者發來的RTP數據包；所述檢測流插入威脅策略為用戶A和用戶B正在通話，且A作為RTP數據包發送者正在給用戶B發送RTP數據包，監聽獲取用戶A的IP位址、發送RTP數據包使用的埠號、發送的RTP數據包的SSRC值X、序列號y和時間戳的值z ;偽造RTP數據包，偽造的RTP數據包的SSRC值為X、序列號為y和時間戳的值為z ;將偽造後的RTP數據包發給用戶B，且使用的IP位址和埠號與用戶A的相同。
全文摘要
本發明公開了一種針對IP多媒體子系統實時傳輸協議威脅的檢測方法，包括監聽IMS中的數據流，過濾出RTP數據包，對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數；利用通話參數，根據檢測策略構造偽造RTP數據包，並發送至通話用戶，實現威脅檢測。本發明同時公開了一種實現上述方法的針對IP多媒體子系統實時傳輸協議威脅的檢測系統。本發明能主動確定IMS系統中的RTP威脅，大大方便了IMS系統的安全策略的制定，從而提升IMS系統的服務質量。
文檔編號H04L29/06GK102739458SQ20111008070
公開日2012年10月17日 申請日期2011年3月31日 優先權日2011年3月31日
發明者於曉燕, 雙鍇, 徐鵬, 楊放春, 沈佳坤, 王玉龍, 童綏, 蘇森 申請人:北京郵電大學