專利名稱:一種針對(duì)ip多媒體子系統(tǒng)的rtp威脅的檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實(shí)時(shí)傳輸協(xié)議(RTP, (Real-time Transport Protocol)威脅檢測(cè)技術(shù)���,尤其涉及一種針對(duì)IP多媒體子系統(tǒng)(MS,IP Multimedia Subsystem)的RTP威脅的檢測(cè)方法和系統(tǒng)�����。
背景技術(shù):
下一代網(wǎng)絡(luò)(NGN, Next Generation Network)是建立在IP技術(shù)基礎(chǔ)上的新型公共電信網(wǎng)絡(luò)�,也是國家的信息基礎(chǔ)設(shè)施的重要組成部分和信息通信的神經(jīng)樞紐,承擔(dān)著大范圍內(nèi)的公眾電信業(yè)務(wù)�。IP多媒體子系統(tǒng)(IMS, IP Multimedia Subsystem)是NGN控制層的核心構(gòu)架�����,是第三代移動(dòng)通信伙伴組織(3GPP,3rd Generation Partnership Project)在 Release 5版本標(biāo)準(zhǔn)中提出的支持IP多媒體業(yè)務(wù)的系統(tǒng)��。MS的特點(diǎn)是使用會(huì)話初始化協(xié)議(SIP, Session Initiation Protocol)呼叫控制機(jī)制來創(chuàng)建、管理和終結(jié)各種類型的多媒體業(yè)務(wù)��,實(shí)現(xiàn)了控制和承載的分離����,支持開放的應(yīng)用程序編程接口(API,ApplicationProgramming Interface),并基于IP分組網(wǎng)絡(luò)�����,支持各類接入方式�����。這些特點(diǎn)使得IMS存在比傳統(tǒng)電信網(wǎng)絡(luò)更多的安全脆弱性���。鑒于MS的重要地位�����,MS的安全問題已經(jīng)得到了廣泛的重視����。與傳統(tǒng)電信網(wǎng)相t匕,IMS的安全問題有著其自身的特殊性MS融合了傳統(tǒng)電信網(wǎng)和因特網(wǎng)��,借鑒了因特網(wǎng)的成功經(jīng)驗(yàn)����,采用了許多因特網(wǎng)關(guān)鍵技術(shù),如SIP等��。這導(dǎo)致因特網(wǎng)中的安全問題被引入到MS中��。研究MS的安全問題對(duì)于促進(jìn)下一代網(wǎng)絡(luò)順利��、安全地部署具有重要意義�。因此,安全問題是IMS下一步研究的重點(diǎn)����。實(shí)時(shí)傳輸協(xié)議(RTP, Real-time Transport Protocol)承擔(dān)了 IMS中媒體流傳輸?shù)闹饕ぷ鳌S捎赗TP具有不完善的加密機(jī)制����,缺乏消息認(rèn)證機(jī)制���,真實(shí)性和信息完整性沒有在RTP層定義,所以其數(shù)據(jù)易被監(jiān)聽和篡改���。當(dāng)SIP協(xié)議采用明文傳輸時(shí)��,監(jiān)聽者可從SIP協(xié)議所攜帶的會(huì)話描述協(xié)議(SDP, Session Description Protocol)信息中獲取RTP使用的端口號(hào)�����,從而從捕獲的數(shù)據(jù)包中過濾出RTP媒體流并篡改其參數(shù)信息,以實(shí)現(xiàn)如(SSRC��,Synchronization Source)沖突�、流插入等威脅。同時(shí)�,RTP也易受到互聯(lián)網(wǎng)上常見的如重放等威脅。因此�,研究IMS的RTP安全問題,有助于完善IMS網(wǎng)絡(luò)的安全體系和安全措施�����。當(dāng)前����,針對(duì)頂S網(wǎng)絡(luò)媒體流傳輸?shù)陌踩芯可形挥谄鸩诫A段����,業(yè)界缺乏一種針對(duì)MS的RTP威脅的檢測(cè)方法�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種一種針對(duì)IP多媒體子系統(tǒng)的RTP威脅的檢測(cè)方法和系統(tǒng)���,能檢測(cè)并構(gòu)造RTP數(shù)據(jù)包�����,從而實(shí)現(xiàn)對(duì)RTP各種威脅進(jìn)行檢測(cè)����。為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的—種針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法�����,包括
監(jiān)聽頂S中的數(shù)據(jù)流�����,過濾出實(shí)時(shí)傳輸協(xié)議RTP數(shù)據(jù)包��,對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析�����,提取所述RTP數(shù)據(jù)包的通話參數(shù)���;利用通話參數(shù)�,根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包�,并發(fā)送至通話用戶,實(shí)現(xiàn)威脅檢測(cè)����。優(yōu)選地���,所述過濾出RTP數(shù)據(jù)包�����,為獲取通話用戶雙方建立通話時(shí)的SIP信令�;對(duì)SIP信令進(jìn)行解析,獲得通話用戶雙方的IP地址及RTP使用的用戶數(shù)據(jù)包協(xié)議UDP端口號(hào)���;通話雙方建立通話后�����,根據(jù)IP地址及RTP使用的UDP端口號(hào)過濾出通話用戶雙方的RTP數(shù)據(jù)包���。 優(yōu)選地,所述過濾出RTP數(shù)據(jù)包�����,為檢測(cè)當(dāng)前所接收數(shù)據(jù)流是否與RTP數(shù)據(jù)流特征匹配����,匹配時(shí)將所接收數(shù)據(jù)流作為RTP數(shù)據(jù)流;所述RTP數(shù)據(jù)流特征包括以下特征的至少一項(xiàng)UDP載荷頭部的兩個(gè)比特是0x10����,指示其協(xié)議版本號(hào)為V = 2 ;RTP數(shù)據(jù)流的數(shù)據(jù)包載荷類型不變,且位于數(shù)據(jù)包的第9到15比特�;RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)SN隨傳輸數(shù)據(jù)包的數(shù)量遞增,增量為1�����,且位于第16到31比特;RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值隨傳輸時(shí)間遞增���,且位于數(shù)據(jù)包的第32到63比特�;RTP數(shù)據(jù)流的數(shù)據(jù)包的同步源標(biāo)識(shí)SSRC值不變�,且位于數(shù)據(jù)包的第64到95比特。優(yōu)選地���,所述對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析��,為獲取RTP數(shù)據(jù)包的完整IP包���,對(duì)所述完整IP包進(jìn)行IP、UDP�����、RTP的逐層解析�,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置��,提取出通話參數(shù)��;所述通話參數(shù)主要包括RTP數(shù)據(jù)包的序列號(hào)SN、RTP數(shù)據(jù)包的時(shí)間戳Timestamp���、數(shù)據(jù)包的SSRC���。優(yōu)選地,所述威脅檢測(cè)包括以下威脅檢測(cè)的至少一種會(huì)話中斷威脅檢測(cè)��、合法用戶被踢出會(huì)話威脅檢測(cè)和流插入威脅檢測(cè)����;所述檢測(cè)策略對(duì)應(yīng)包括以下策略的至少一種檢測(cè)會(huì)話中斷威脅的策略、檢測(cè)合法用戶被踢出會(huì)話威脅的策略和檢測(cè)流插入威脅策略�;其中,實(shí)現(xiàn)會(huì)話中斷威脅檢測(cè)為根據(jù)檢測(cè)會(huì)話中斷威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包��,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話����,并向RTP數(shù)據(jù)流接收者發(fā)送RTP控制協(xié)議RTCP終止標(biāo)識(shí)BYE包,并改變RTP數(shù)據(jù)流發(fā)送者的SSRC值��;所述檢測(cè)會(huì)話中斷威脅的策略為當(dāng)用戶A位于通話中����,且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包時(shí)����,監(jiān)聽獲取用戶A發(fā)送的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包�����,偽造的RTP數(shù)據(jù)包中SSRC值為x ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ;實(shí)現(xiàn)合法用戶被踢出會(huì)話威脅檢測(cè)為根據(jù)檢測(cè)合法用戶被踢出會(huì)話威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包���,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)送的數(shù)據(jù)包�����,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包���;所述檢測(cè)合法用戶被踢出會(huì)話威脅的策略為當(dāng)用戶A位于通話中,且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包����,監(jiān)聽獲取用戶A接收的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ���;實(shí)現(xiàn)流插入威脅檢測(cè)為根據(jù)檢測(cè)流插入威脅策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包����,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包�;所述檢測(cè)流插入威脅策略為用戶A和用戶B正在通話,且A作為RTP數(shù)據(jù)包發(fā)送者正在給用戶B發(fā)送RTP數(shù)據(jù)包�,監(jiān)聽獲取用戶A的IP地址、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)�����、發(fā)送的RTP數(shù)據(jù)包的SSRC值X�、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造RTP數(shù)據(jù)包,偽造的RTP數(shù)據(jù)包的SSRC值為X���、序列號(hào)為y和時(shí)間戳的值為z ;將偽造后的RTP數(shù)據(jù)包發(fā)給用戶B����,且使用的IP地址和端口號(hào)與用戶A的相同�。
在上述RTP威脅的檢測(cè)方法中,所述偽造RTP數(shù)據(jù)包的構(gòu)造方法為偽造模塊從監(jiān)聽模塊接收RTP參數(shù)�;同時(shí)可接收用戶從外部輸入的指令,指定要進(jìn)行何種威脅�����。偽造模塊根據(jù)參數(shù)和指令�����,調(diào)用開源的RTP庫,構(gòu)造符合標(biāo)準(zhǔn)的RTP數(shù)據(jù)包�����?����!N針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)�����,包括監(jiān)聽模塊��、過濾模塊����、解析及提取模塊、構(gòu)造模塊���、發(fā)送模塊和檢測(cè)模塊����,其中,監(jiān)聽模塊�,用于監(jiān)聽MS中的數(shù)據(jù)流��;過濾模塊�,用于過濾出RTP數(shù)據(jù)包;解析及提取模塊��,用于對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析�����,提取所述RTP數(shù)據(jù)包的通話參數(shù)�����;構(gòu)造模塊����,用于利用通話參數(shù),根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包��;發(fā)送模塊���,用于將偽造RTP數(shù)據(jù)包發(fā)送至通話用戶���;檢測(cè)模塊�,用于利用偽造RTP數(shù)據(jù)包實(shí)現(xiàn)威脅檢測(cè)����。優(yōu)選地,所述過濾模塊進(jìn)一步用于����,獲取通話用戶雙方建立通話時(shí)的SIP信令;對(duì)SIP信令進(jìn)行解析�,獲得通話用戶雙方的IP地址及RTP使用的用戶數(shù)據(jù)包協(xié)議UDP端口號(hào);并在通話雙方建立通話后��,根據(jù)IP地址及RTP使用的UDP端口號(hào)過濾出通話用戶雙方的RTP數(shù)據(jù)包�����。優(yōu)選地�,所述過濾模塊進(jìn)一步用于,檢測(cè)當(dāng)前所接收數(shù)據(jù)流是否與RTP數(shù)據(jù)流特征匹配���,匹配時(shí)將所接收數(shù)據(jù)流作為RTP數(shù)據(jù)流��;所述RTP數(shù)據(jù)流特征包括以下特征的至少一項(xiàng)UDP載荷頭部的兩個(gè)比特是0x10�,指示其協(xié)議版本號(hào)為V = 2 ;RTP數(shù)據(jù)流的數(shù)據(jù)包載荷類型不變,且位于數(shù)據(jù)包的第9到15比特��;RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)SN隨傳輸數(shù)據(jù)包的數(shù)量遞增����,增量為1�����,且位于第16到31比特��;RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值隨傳輸時(shí)間遞增�,且位于數(shù)據(jù)包的第32到63比特;RTP數(shù)據(jù)流的數(shù)據(jù)包的同步源標(biāo)識(shí)SSRC值不變����,且位于數(shù)據(jù)包的第64到95比特。優(yōu)選地����,所述解析及提取模塊進(jìn)一步用于,獲取RTP數(shù)據(jù)包的完整IP包����,對(duì)所述完整IP包進(jìn)行IP�、UDP�����、RTP的逐層解析����,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置,提取出通話參數(shù)�;所述通話參數(shù)主要包括RTP數(shù)據(jù)包的序列號(hào)SN、RTP數(shù)據(jù)包的時(shí)間戳Timestamp��、數(shù)據(jù)包的SSRC。優(yōu)選地,所述威脅檢測(cè)包括以下威脅檢測(cè)的至少一種會(huì)話中斷威脅檢測(cè)����、合法用戶被踢出會(huì)話威脅檢測(cè)和流插入威脅檢測(cè)����;所述檢測(cè)策略對(duì)應(yīng)包括以下策略的至少一種檢測(cè)會(huì)話中斷威脅的策略����、檢測(cè)合法用戶被踢出會(huì)話威脅的策略和檢測(cè)流插入威脅策略����;檢測(cè)模塊進(jìn)一步地��,根據(jù)檢測(cè)會(huì)話中斷威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包����,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話,并向RTP數(shù)據(jù)流接收者發(fā)送RTP控制協(xié)議RTCP終止標(biāo)識(shí)BYE包�����,并改變RTP數(shù)據(jù)流發(fā)送者的SSRC值���;所述檢測(cè)會(huì)話中斷威脅的策略為當(dāng)用戶A位于通話中,且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包時(shí)�����,監(jiān)聽獲取用戶A發(fā)送的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包�,偽造的RTP數(shù)據(jù)包中 SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ;或者�����,所述檢測(cè)模塊進(jìn)一步地,實(shí)現(xiàn)合法用戶被踢出會(huì)話威脅檢測(cè)為根據(jù)檢測(cè)合法用戶被踢出會(huì)話威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包�����,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)送的數(shù)據(jù)包����,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包;所述檢測(cè)合法用戶被踢出會(huì)話威脅的策略為當(dāng)用戶A位于通話中��,且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包���,監(jiān)聽獲取用戶A接收的RTP數(shù)據(jù)包的SSRC值x ;偽造RTP數(shù)據(jù)包���,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ;或者���,所述檢測(cè)模塊進(jìn)一步地��,根據(jù)檢測(cè)流插入威脅策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包�,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包�����;所述檢測(cè)流插入威脅策略為用戶A和用戶B正在通話,且A作為RTP數(shù)據(jù)包發(fā)送者正在給用戶B發(fā)送RTP數(shù)據(jù)包�,監(jiān)聽獲取用戶A的IP地址、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)�、發(fā)送的RTP數(shù)據(jù)包的SSRC值X、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造RTP數(shù)據(jù)包�����,偽造的RTP數(shù)據(jù)包的SSRC值為X�����、序列號(hào)為y和時(shí)間戳的值為z ;將偽造后的RTP數(shù)據(jù)包發(fā)給用戶B�����,且使用的IP地址和端口號(hào)與用戶A的相同�。本發(fā)明中�����,首先在數(shù)據(jù)流中檢測(cè)出RTP數(shù)據(jù)流�,再對(duì)當(dāng)前數(shù)據(jù)流中所檢測(cè)出的RTP數(shù)據(jù)流進(jìn)行解析,獲取RTP數(shù)據(jù)流的各種通話參數(shù)��,然后根據(jù)所獲取的通話參數(shù)構(gòu)造出偽造RTP數(shù)據(jù)包,發(fā)送給待檢測(cè)的通話方�����,再利用檢測(cè)策略�����,實(shí)現(xiàn)RTP威脅的檢測(cè)����。本發(fā)明能主動(dòng)確定頂S系統(tǒng)中的RTP威脅,大大方便了 MS系統(tǒng)的安全策略的制定�,從而提升MS系統(tǒng)的服務(wù)質(zhì)量。
圖I為本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)的組成結(jié)構(gòu)示意圖����;圖2為本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法的流程圖。
具體實(shí)施例方式圖I為本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)的組成結(jié)構(gòu)示意圖�����,如圖I所示�����,本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)包括監(jiān)聽模塊10、過濾模塊11����、解析及提取模塊12、構(gòu)造模塊13��、發(fā)送模塊14和檢測(cè)模塊15�����,其中�,監(jiān)聽模塊10,用于監(jiān)聽MS中的數(shù)據(jù)流����;過濾模塊11,用于過濾出RTP數(shù)據(jù)包��; 解析及提取模塊12��,用于對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析�����,提取所述RTP數(shù)據(jù)包的通話參數(shù)�;構(gòu)造模塊13,用于利用通話參數(shù)���,根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包�����;發(fā)送模塊14�,用于將偽造RTP數(shù)據(jù)包發(fā)送至通話用戶���;檢測(cè)模塊15�����,用于利用偽造RTP數(shù)據(jù)包實(shí)現(xiàn)威脅檢測(cè)��。上述過濾模塊11進(jìn)一步用于�,獲取通話用戶雙方建立通話時(shí)的SIP信令�����;對(duì)SIP 信令進(jìn)行解析�����,獲得通話用戶雙方的IP地址及RTP使用的用戶數(shù)據(jù)包協(xié)議UDP端口號(hào);并 在通話雙方建立通話后���,根據(jù)IP地址及RTP使用的UDP端口號(hào)過濾出通話用戶雙方的RTP數(shù)據(jù)包���。或者�����,上述過濾模塊11進(jìn)一步用于����,檢測(cè)當(dāng)前所接收數(shù)據(jù)流是否與RTP數(shù)據(jù)流特征匹配,匹配時(shí)將所接收數(shù)據(jù)流作為RTP數(shù)據(jù)流�;所述RTP數(shù)據(jù)流特征包括以下特征的至少一項(xiàng)UDP載荷頭部的兩個(gè)比特是0x10,指示其協(xié)議版本號(hào)為V = 2 ;RTP數(shù)據(jù)流的數(shù)據(jù)包載荷類型不變���,且位于數(shù)據(jù)包的第9到15比特�;RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)SN隨傳輸數(shù)據(jù)包的數(shù)量遞增��,增量為1���,且位于第16到31比特��;RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值隨傳輸時(shí)間遞增����,且位于數(shù)據(jù)包的第32到63比特�����;RTP數(shù)據(jù)流的數(shù)據(jù)包的同步源標(biāo)識(shí)SSRC值不變����,且位于數(shù)據(jù)包的第64到95比特。上述解析及提取模塊12進(jìn)一步用于���,獲取RTP數(shù)據(jù)包的完整IP包�����,對(duì)所述完整IP包進(jìn)行IP�、UDP���、RTP的逐層解析���,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置�,提取出通話參數(shù)�;所述通話參數(shù)主要包括RTP數(shù)據(jù)包的序列號(hào)SN、RTP數(shù)據(jù)包的時(shí)間戳Timestamp����、數(shù)據(jù)包的SSRC。上述威脅檢測(cè)包括以下威脅檢測(cè)的至少一種會(huì)話中斷威脅檢測(cè)��、合法用戶被踢出會(huì)話威脅檢測(cè)和流插入威脅檢測(cè)�����;上述檢測(cè)策略對(duì)應(yīng)包括以下策略的至少一種檢測(cè)會(huì)話中斷威脅的策略����、檢測(cè)合法用戶被踢出會(huì)話威脅的策略和檢測(cè)流插入威脅策略;檢測(cè)模塊15進(jìn)一步地��,根據(jù)檢測(cè)會(huì)話中斷威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包�,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話,并向RTP數(shù)據(jù)流接收者發(fā)送RTP控制協(xié)議RTCP終止標(biāo)識(shí)BYE包��,并改變RTP數(shù)據(jù)流發(fā)送者的SSRC值�����;所述檢測(cè)會(huì)話中斷威脅的策略為當(dāng)用戶A位于通話中,且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包時(shí)�,監(jiān)聽獲取用戶A發(fā)送的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包�����,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ����;或者,檢測(cè)模塊15進(jìn)一步地����,實(shí)現(xiàn)合法用戶被踢出會(huì)話威脅檢測(cè)為根據(jù)檢測(cè)合法用戶被踢出會(huì)話威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)送的數(shù)據(jù)包���,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包���;所述檢測(cè)合法用戶被踢出會(huì)話威脅的策略為當(dāng)用戶A位于通話中,且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包���,監(jiān)聽獲取用戶A接收的RTP數(shù)據(jù)包的SSRC值x ;偽造RTP數(shù)據(jù)包��,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ���;或者����,檢測(cè)模塊15進(jìn)一步地��,根據(jù)檢測(cè)流插入威脅策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包��,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包����;所述檢測(cè)流插入威脅策略為用戶A和用戶B正在通話,且A作為RTP數(shù)據(jù)包發(fā)送者正在給用戶B發(fā)送RTP數(shù)據(jù)包����,監(jiān)聽獲取用戶A的IP地址、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)����、發(fā)送的RTP數(shù)據(jù)包的SSRC值X、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造RTP數(shù)據(jù)包��,偽造的RTP數(shù)據(jù)包的SSRC值為X����、序列號(hào)為y和時(shí)間戳的值為z ;將偽造后的RTP數(shù)據(jù)包發(fā)給用戶B�����,且使用的IP地址和端口號(hào)與用戶A的相同��。構(gòu)造模塊13從解析及提取模塊12接收RTP的相關(guān)通話參數(shù)����,并可接收用戶從外部輸入的指令�,獲取要構(gòu)造出何種RTP威脅數(shù)據(jù)包��。構(gòu)造模塊13根據(jù)相關(guān)通話參數(shù)和輸入 指令�����,調(diào)用開源的RTP庫����,構(gòu)造符合標(biāo)準(zhǔn)的RTP數(shù)據(jù)包。上述發(fā)送模塊14獲取構(gòu)造模塊13構(gòu)造的RTP包�,將其按發(fā)送設(shè)置類型轉(zhuǎn)發(fā)出去。當(dāng)檢測(cè)會(huì)話中斷威脅���、合法用戶被踢出會(huì)話威脅時(shí)���,只需直接使用開源的RTP庫的發(fā)送功能進(jìn)行發(fā)送即可�����;當(dāng)驗(yàn)證流插入威脅時(shí)�,要使用原始套接字手填寫IP頭部的源IP地址字段���,進(jìn)行IP偽裝�,再將RTP包作為UDP的載荷��,構(gòu)造IP/UDP包��,發(fā)送到目的MS終端�。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本發(fā)明圖I所示的針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)中的各處理模塊所實(shí)現(xiàn)的功能可通過運(yùn)行于處理器上的程序而實(shí)現(xiàn)�����,也可通過具體的邏輯電路而實(shí)現(xiàn)��。圖2為本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法的流程圖����,如圖2所示��,本發(fā)明針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法包括以下步驟步驟201 :檢測(cè)者監(jiān)聽MS核心網(wǎng)中正常通話用戶之間的數(shù)據(jù)流����,并從中過濾出RTP數(shù)據(jù)包��。具體的���,本發(fā)明中監(jiān)聽MS核心網(wǎng)中的數(shù)據(jù)流是獲取RTP數(shù)據(jù)包的基礎(chǔ)���,包括以下方式廣域網(wǎng)監(jiān)聽方式和局域網(wǎng)監(jiān)聽方式��。所述局域網(wǎng)監(jiān)聽方式包括以下兩種廣播式局域網(wǎng)監(jiān)聽方式���、交換式局域網(wǎng)監(jiān)聽方式�。本發(fā)明中濾出RTP數(shù)據(jù)包是進(jìn)行威脅檢測(cè)的基礎(chǔ)����,包括以下方式結(jié)合SIP呼叫信令過濾RTP的方式、根據(jù)RTP數(shù)據(jù)流特征過濾RTP的方式����。所述結(jié)合SIP呼叫信令過濾RTP方式���,具體為根據(jù)SIP消息體中提供的IP地址和UDP端口來過濾RTP數(shù)據(jù)包,執(zhí)行過程包括以下步驟第一步獲取正常用戶建立通話時(shí)的SIP信令�;第二步對(duì)SIP信令進(jìn)行解析,獲得通話雙方的IP地址及RTP使用的UDP端口號(hào)����;第三步雙方通話建立后,根據(jù)IP地址及RTP使用的UDP端口號(hào)來過濾通話雙方的RTP數(shù)據(jù)包���。所述根據(jù)RTP數(shù)據(jù)流特征過濾RTP方式��,具體為結(jié)合RTP協(xié)議的特點(diǎn)�����,進(jìn)行多方面的特征匹配�,從監(jiān)聽到的大量數(shù)據(jù)流中過濾有效的RTP數(shù)據(jù)流����。其中,所述RTP協(xié)議的特點(diǎn)包括
(I)UDP載荷頭部的兩個(gè)比特是0x10,指示其協(xié)議版本號(hào)為V = 2 ;(2)對(duì)某一個(gè)RTP數(shù)據(jù)流來說��,其數(shù)據(jù)包的載荷類型(Payload Type)不變�����,其位置位于RTP數(shù)據(jù)包的第9到15比特��;(3) RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)(Sequence Number, SN)隨包數(shù)遞增,增量為I��,其位置位于RTP數(shù)據(jù)包的第16到31比特��;⑷RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值(Timestamp)隨時(shí)間遞增���,其位置位于RTP數(shù)據(jù)包的第32到63比特��;(5)對(duì)某一個(gè)RTP數(shù)據(jù)流來說���,其RTP數(shù)據(jù)包的同步源標(biāo)識(shí)(SSRC����,Synchronization Source)值不變,其位置位于RTP數(shù)據(jù)包的第64到95比特。步驟202 :檢測(cè)者對(duì)得到的RTP數(shù)據(jù)包進(jìn)行分析����,提取出重要的通話參數(shù)����。 具體的��,本發(fā)明中對(duì)RTP數(shù)據(jù)包的分析方法為�����;獲取RTP數(shù)據(jù)包的完整IP包之后����,對(duì)其進(jìn)行IP、UDP�、RTP的逐層解析,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置�,將這些通話參數(shù)從完整數(shù)據(jù)中取出。其中����,所述重要的通話參數(shù)主要包括SN、Timestamp�、SSRC等。步驟203 :檢測(cè)者利用通話參數(shù)��,根據(jù)檢測(cè)需求制定檢測(cè)策略,構(gòu)造的偽造RTP數(shù)據(jù)包��。具體的��,本發(fā)明中述檢測(cè)需求包括(I)會(huì)話中斷威脅檢測(cè)����,即根據(jù)特定的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話���,并發(fā)送RTCPBYE包給接收者����,同時(shí)改變自己的SSRC值�;(2)合法用戶被踢出會(huì)話威脅檢測(cè),即根據(jù)特定的策略構(gòu)造并發(fā)RTP數(shù)據(jù)包�,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)來的數(shù)據(jù)包,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包����;(3)流插入威脅檢測(cè),即根據(jù)特定的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包��,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包�����。與上述的威脅檢測(cè)對(duì)應(yīng)的�,本發(fā)明中檢測(cè)策略包括(I)檢測(cè)會(huì)話中斷威脅的策略,即當(dāng)用戶A正在通話中��,并且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包�����,監(jiān)聽模塊通過監(jiān)聽的方法�,獲取A發(fā)送的RTP數(shù)據(jù)包的SSRC值x ;偽造模塊偽造RTP數(shù)據(jù)包(其中SSRC值為X);發(fā)送模塊將RTP數(shù)據(jù)包發(fā)給用戶A����。(2)檢測(cè)合法用戶被踢出會(huì)話威脅的策略,即當(dāng)用戶A正在通話中�,并且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包,監(jiān)聽模塊通過監(jiān)聽的方法��,獲取A接收的RTP數(shù)據(jù)包的SSRC值X ;偽造模塊偽造RTP數(shù)據(jù)包(其中SSRC值為x);發(fā)送模塊將RTP數(shù)據(jù)包發(fā)給用戶A0(3)檢測(cè)流插入威脅策略���,即當(dāng)用戶A和用戶B正在通話中��,并且A作為發(fā)送者正在給B發(fā)送RTP數(shù)據(jù)包��,監(jiān)聽模塊通過監(jiān)聽的方法�����,獲取A的IP地址�、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)、發(fā)送的RTP數(shù)據(jù)包的SSRC值X��、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造模塊偽造RTP數(shù)據(jù)包(其中SSRC值為X�、序列號(hào)為y和時(shí)間戳的值為z);發(fā)送模塊將數(shù)據(jù)包發(fā)給用戶B,使用的IP地址和端口號(hào)與用戶A的相同���。本發(fā)明中偽造RTP數(shù)據(jù)包的構(gòu)造方式具體為獲取RTP的各通話參數(shù)���;同時(shí)結(jié)合用戶輸入的指令,根據(jù)指令所指定的需要構(gòu)造何種RTP威脅�����,調(diào)用開源的RTP庫����,構(gòu)造符合標(biāo)準(zhǔn)的RTP數(shù)據(jù)包。步驟204 :檢測(cè)者將偽造的RTP數(shù)據(jù)包發(fā)送至正常的通話用戶��。具體的,本發(fā)明中RTP數(shù)據(jù)包的發(fā)送方法為獲取所構(gòu)造的偽造RTP包��,將其按發(fā)送設(shè)置類型轉(zhuǎn)發(fā)出去�����。當(dāng)檢測(cè)會(huì)話中斷威脅�����、合法用戶被踢出會(huì)話威脅時(shí)���,只需直接使用開源的RTP庫的發(fā)送功能進(jìn)行發(fā)送即可;當(dāng)驗(yàn)證流插入威脅時(shí)���,要使用原始套接字手動(dòng)填寫IP頭部的源IP地址字段����,進(jìn)行IP偽裝���,再將RTP包作為UDP的載荷��,構(gòu)造IP/UDP包����,發(fā)送到目的終端。當(dāng)驗(yàn)證流插入威脅時(shí)��,偽造模塊構(gòu)造的第一個(gè)RTP包要插入一些參數(shù)���,這個(gè)包負(fù)責(zé)與發(fā)送模塊進(jìn)行通信����。該包的結(jié)構(gòu)如表I所示 IP頭部UDP頭部RTP頭部
I丨, j 目的IP 一源端口 j目的端口 ^RTP有效載荷表I如表I所示����,所述插入的參數(shù)包括源IP和源端口,即驗(yàn)證流插入威脅時(shí)���,使用到的發(fā)送地址和端口��;目的IP和目的端口�,即被威脅者的地址和端口��。這些參數(shù)被固定插入到RTP頭部及其有效載荷之間�����。發(fā)送模塊在接收到以上帶參數(shù)的RTP包時(shí),需要從中提取并保存參數(shù)����,之后將該包恢復(fù)為原(不含插入?yún)?shù)的)RTP數(shù)據(jù)包,最后進(jìn)行轉(zhuǎn)發(fā)����。以上所述��,僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法�����,其特征在于����,所述方法包括 監(jiān)聽IP多媒體子系統(tǒng)MS中的數(shù)據(jù)流,過濾出實(shí)時(shí)傳輸協(xié)議RTP數(shù)據(jù)包�����,對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析���,提取所述RTP數(shù)據(jù)包的通話參數(shù)�; 利用通話參數(shù),根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包�,并發(fā)送至通話用戶,實(shí)現(xiàn)威脅檢測(cè)�����。
2.根據(jù)權(quán)利要求I所述的方法��,其特征在于����,所述過濾出RTP數(shù)據(jù)包,為 獲取通話用戶雙方建立通話時(shí)的SIP信令��; 對(duì)SIP信令進(jìn)行解析�,獲得通話用戶雙方的IP地址及RTP使用的用戶數(shù)據(jù)包協(xié)議UDP端口號(hào); 通話雙方建立通話后���,根據(jù)IP地址及RTP使用的UDP端口號(hào)過濾出通話用戶雙方的RTP數(shù)據(jù)包�����。
3.根據(jù)權(quán)利要求I所述的方法���,其特征在于�,所述過濾出RTP數(shù)據(jù)包����,為 檢測(cè)當(dāng)前所接收數(shù)據(jù)流是否與RTP數(shù)據(jù)流特征匹配,匹配時(shí)將所接收數(shù)據(jù)流作為RTP數(shù)據(jù)流�����;所述RTP數(shù)據(jù)流特征包括以下特征的至少一項(xiàng) UDP載荷頭部的兩個(gè)比特是0x10��,指示其協(xié)議版本號(hào)為V = 2 ; RTP數(shù)據(jù)流的數(shù)據(jù)包載荷類型不變,且位于數(shù)據(jù)包的第9到15比特����; RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)SN隨傳輸數(shù)據(jù)包的數(shù)量遞增����,增量為1,且位于第16到31比特���; RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值隨傳輸時(shí)間遞增�����,且位于數(shù)據(jù)包的第32到63比特�����; RTP數(shù)據(jù)流的數(shù)據(jù)包的同步源標(biāo)識(shí)SSRC值不變�����,且位于數(shù)據(jù)包的第64到95比特��。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析���,為 獲取RTP數(shù)據(jù)包的完整IP包��,對(duì)所述完整IP包進(jìn)行IP�、UDP�����、RTP的逐層解析,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置�,提取出通話參數(shù);所述通話參數(shù)主要包括=RTP數(shù)據(jù)包的序列號(hào)SN�����、RTP數(shù)據(jù)包的時(shí)間戳Timestamp��、數(shù)據(jù)包的SSRC�。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于��,所述威脅檢測(cè)包括以下威脅檢測(cè)的至少一種 會(huì)話中斷威脅檢測(cè)�、合法用戶被踢出會(huì)話威脅檢測(cè)和流插入威脅檢測(cè); 所述檢測(cè)策略對(duì)應(yīng)包括以下策略的至少一種 檢測(cè)會(huì)話中斷威脅的策略���、檢測(cè)合法用戶被踢出會(huì)話威脅的策略和檢測(cè)流插入威脅策略; 其中���,實(shí)現(xiàn)會(huì)話中斷威脅檢測(cè)為 根據(jù)檢測(cè)會(huì)話中斷威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包���,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話,并向RTP數(shù)據(jù)流接收者發(fā)送RTP控制協(xié)議RTCP終止標(biāo)識(shí)BYE包����,并改變RTP數(shù)據(jù)流發(fā)送者的SSRC值���;所述檢測(cè)會(huì)話中斷威脅的策略為當(dāng)用戶A位于通話中,且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包時(shí)��,監(jiān)聽獲取用戶A發(fā)送的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包�,偽造的RTP數(shù)據(jù)包中SSRC值為x ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ;實(shí)現(xiàn)合法用戶被踢出會(huì)話威脅檢測(cè)為根據(jù)檢測(cè)合法用戶被踢出會(huì)話威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包��,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)送的數(shù)據(jù)包���,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包�����;所述檢測(cè)合法用戶被踢出會(huì)話威脅的策略為當(dāng)用戶A位于通話中�����,且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包�����,監(jiān)聽獲取用戶A接收的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包��,偽造的RTP數(shù)據(jù)包中SSRC值為x ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ��; 實(shí)現(xiàn)流插入威脅檢測(cè)為根據(jù)檢測(cè)流插入威脅策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包�����,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包��;所述檢測(cè)流插入威脅策略為用戶A和用戶B正在通話���,且A作為RTP數(shù)據(jù)包發(fā)送者正在給用戶B發(fā)送RTP數(shù)據(jù)包��,監(jiān)聽獲取用戶A的IP地址�����、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)�����、發(fā)送的RTP數(shù)據(jù)包的SSRC值X、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造RTP數(shù)據(jù)包����,偽造的RTP數(shù)據(jù)包的SSRC值為X�����、序列號(hào)為y和時(shí)間戳的值為z ;將偽造后的RTP數(shù)據(jù)包發(fā)給用戶B����,且使用的IP地址和端口號(hào)與用戶A的相同�����。
在上述RTP威脅的檢測(cè)方法中�,所述偽造RTP數(shù)據(jù)包的構(gòu)造方法為偽造模塊從監(jiān)聽模塊接收RTP參數(shù);同時(shí)可接收用戶從外部輸入的指令�����,指定要進(jìn)行何種威脅���。偽造模塊根據(jù)參數(shù)和指令��,調(diào)用開源的RTP庫��,構(gòu)造符合標(biāo)準(zhǔn)的RTP數(shù)據(jù)包�����。
6.一種針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)�,其特征在于,所述系統(tǒng)包括監(jiān)聽模塊��、過濾模塊�����、解析及提取模塊�、構(gòu)造模塊、發(fā)送模塊和檢測(cè)模塊����,其中,監(jiān)聽模塊�,用于監(jiān)聽MS中的數(shù)據(jù)流; 過濾模塊����,用于過濾出RTP數(shù)據(jù)包; 解析及提取模塊�����,用于對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析����,提取所述RTP數(shù)據(jù)包的通話參數(shù); 構(gòu)造模塊�����,用于利用通話參數(shù)���,根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包����; 發(fā)送模塊��,用于將偽造RTP數(shù)據(jù)包發(fā)送至通話用戶��; 檢測(cè)模塊�,用于利用偽造RTP數(shù)據(jù)包實(shí)現(xiàn)威脅檢測(cè)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于���,所述過濾模塊進(jìn)一步用于��,獲取通話用戶雙方建立通話時(shí)的SIP信令����;對(duì)SIP信令進(jìn)行解析,獲得通話用戶雙方的IP地址及RTP使用的用戶數(shù)據(jù)包協(xié)議UDP端口號(hào)���;并在通話雙方建立通話后��,根據(jù)IP地址及RTP使用的UDP端口號(hào)過濾出通話用戶雙方的RTP數(shù)據(jù)包����。
8.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于��,所述過濾模塊進(jìn)一步用于�,檢測(cè)當(dāng)前所接收數(shù)據(jù)流是否與RTP數(shù)據(jù)流特征匹配�,匹配時(shí)將所接收數(shù)據(jù)流作為RTP數(shù)據(jù)流;所述RTP數(shù)據(jù)流特征包括以下特征的至少一項(xiàng) UDP載荷頭部的兩個(gè)比特是0x10���,指示其協(xié)議版本號(hào)為V = 2 ; RTP數(shù)據(jù)流的數(shù)據(jù)包載荷類型不變��,且位于數(shù)據(jù)包的第9到15比特�����; RTP數(shù)據(jù)流中相鄰數(shù)據(jù)包的序列號(hào)SN隨傳輸數(shù)據(jù)包的數(shù)量遞增����,增量為1�����,且位于第16到31比特���; RTP數(shù)據(jù)流中數(shù)據(jù)包的時(shí)間戳值隨傳輸時(shí)間遞增���,且位于數(shù)據(jù)包的第32到63比特; RTP數(shù)據(jù)流的數(shù)據(jù)包的同步源標(biāo)識(shí)SSRC值不變���,且位于數(shù)據(jù)包的第64到95比特���。
9.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于��,所述解析及提取模塊進(jìn)一步用于��,獲取RTP數(shù)據(jù)包的完整IP包,對(duì)所述完整IP包進(jìn)行IP����、UDP、RTP的逐層解析���,根據(jù)RTP協(xié)議棧中各通話參數(shù)所處的位置��,提取出通話參數(shù)����;所述通話參數(shù)主要包括=RTP數(shù)據(jù)包的序列號(hào)SN�����、RTP數(shù)據(jù)包的時(shí)間戳Timestamp����、數(shù)據(jù)包的SSRC。
10.根據(jù)權(quán)利要求I所述的方法��,其特征在于��,所述威脅檢測(cè)包括以下威脅檢測(cè)的至少一種 會(huì)話中斷威脅檢測(cè)�����、合法用戶被踢出會(huì)話威脅檢測(cè)和流插入威脅檢測(cè); 所述檢測(cè)策略對(duì)應(yīng)包括以下策略的至少一種 檢測(cè)會(huì)話中斷威脅的策略����、檢測(cè)合法用戶被踢出會(huì)話威脅的策略 和檢測(cè)流插入威脅策略; 檢測(cè)模塊進(jìn)一步地����,根據(jù)檢測(cè)會(huì)話中斷威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包�����,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流發(fā)送者中斷自己的RTP會(huì)話�����,并向RTP數(shù)據(jù)流接收者發(fā)送RTP控制協(xié)議RTCP終止標(biāo)識(shí)BYE包�,并改變RTP數(shù)據(jù)流發(fā)送者的SSRC值;所述檢測(cè)會(huì)話中斷威脅的策略為當(dāng)用戶A位于通話中���,且作為發(fā)送者正在給其他用戶發(fā)送RTP數(shù)據(jù)包時(shí)�����,監(jiān)聽獲取用戶A發(fā)送的RTP數(shù)據(jù)包的SSRC值X ;偽造RTP數(shù)據(jù)包�����,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ���; 或者�,所述檢測(cè)模塊進(jìn)一步地��,實(shí)現(xiàn)合法用戶被踢出會(huì)話威脅檢測(cè)為根據(jù)檢測(cè)合法用戶被踢出會(huì)話威脅的策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包��,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者放棄原始發(fā)送者發(fā)送的數(shù)據(jù)包����,轉(zhuǎn)而接收威脅者發(fā)來的偽造的RTP數(shù)據(jù)包;所述檢測(cè)合法用戶被踢出會(huì)話威脅的策略為當(dāng)用戶A位于通話中����,且作為接收者正在其他用戶發(fā)送的RTP數(shù)據(jù)包,監(jiān)聽獲取用戶A接收的RTP數(shù)據(jù)包的SSRC值x ;偽造RTP數(shù)據(jù)包�,偽造的RTP數(shù)據(jù)包中SSRC值為X ;并將偽造后的RTP數(shù)據(jù)包發(fā)給用戶A ; 或者��,所述檢測(cè)模塊進(jìn)一步地�����,根據(jù)檢測(cè)流插入威脅策略構(gòu)造并發(fā)送RTP數(shù)據(jù)包,檢測(cè)是否能使正常通話中的RTP數(shù)據(jù)流接收者同時(shí)接收來自用戶A和威脅者發(fā)來的RTP數(shù)據(jù)包�;所述檢測(cè)流插入威脅策略為用戶A和用戶B正在通話,且A作為RTP數(shù)據(jù)包發(fā)送者正在給用戶B發(fā)送RTP數(shù)據(jù)包�,監(jiān)聽獲取用戶A的IP地址、發(fā)送RTP數(shù)據(jù)包使用的端口號(hào)�����、發(fā)送的RTP數(shù)據(jù)包的SSRC值X���、序列號(hào)y和時(shí)間戳的值z(mì) ;偽造RTP數(shù)據(jù)包,偽造的RTP數(shù)據(jù)包的SSRC值為X�����、序列號(hào)為y和時(shí)間戳的值為z ;將偽造后的RTP數(shù)據(jù)包發(fā)給用戶B��,且使用的IP地址和端口號(hào)與用戶A的相同���。
全文摘要
本發(fā)明公開了一種針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)方法���,包括監(jiān)聽IMS中的數(shù)據(jù)流�,過濾出RTP數(shù)據(jù)包���,對(duì)過濾出的RTP數(shù)據(jù)包進(jìn)行解析����,提取所述RTP數(shù)據(jù)包的通話參數(shù)��;利用通話參數(shù)�,根據(jù)檢測(cè)策略構(gòu)造偽造RTP數(shù)據(jù)包,并發(fā)送至通話用戶�,實(shí)現(xiàn)威脅檢測(cè)。本發(fā)明同時(shí)公開了一種實(shí)現(xiàn)上述方法的針對(duì)IP多媒體子系統(tǒng)實(shí)時(shí)傳輸協(xié)議威脅的檢測(cè)系統(tǒng)�����。本發(fā)明能主動(dòng)確定IMS系統(tǒng)中的RTP威脅��,大大方便了IMS系統(tǒng)的安全策略的制定����,從而提升IMS系統(tǒng)的服務(wù)質(zhì)量。
文檔編號(hào)H04L29/06GK102739458SQ20111008070
公開日2012年10月17日 申請(qǐng)日期2011年3月31日 優(yōu)先權(quán)日2011年3月31日
發(fā)明者于曉燕, 雙鍇, 徐鵬, 楊放春, 沈佳坤, 王玉龍, 童綏, 蘇森 申請(qǐng)人:北京郵電大學(xué)