天地一体化网络多媒体业务跨域互联技术研究

2017-10-13 13:56许书彬刘晓东
网络安全技术与应用 2017年6期
关键词:跨域信令报文

◆许书彬 刘晓东



天地一体化网络多媒体业务跨域互联技术研究

◆许书彬 刘晓东

(中国电子科技集团公司第五十四研究所 河北 050081)

针对天地一体化网络由多个异构子网构成的网络特点和多媒体业务的协议特点,有针对性地研究了天地一体化网络中多媒体业务跨域互联的关键技术。采用抗隐蔽通道的隔离交换技术,实现业务的跨域交换。采用特征自动生成的协议检测技术,实现对多媒体信令的安全检测,阻断跨网攻击。采用基于信令的会话动态控制技术,实现对语音、视频数据的跨网互联动态控制。可以有效解决多媒体业务跨域互联的安全问题,实现天地一体化网络环境中的安全互通。

天地一体化网络;多媒体;隐蔽通道;协议检测;动态控制

0 引言

天地一体化信息网络作为国家信息化重要基础设施,对拓展国家利益、维护国家安全、保障国计民生、促进经济发展具有重大意义,是我国信息网络实现信息全球覆盖、宽带传输、军民融合、自由互联的必由之路[1]。通过天基信息网、地面互联网、移动通信网的全面融合、共同演进,形成覆盖全球的天地一体化信息网络,为各类用户提供“随遇接入、安全可信”的服务。

天地一体化信息网络能够屏蔽天地各类系统在技术体制层面的显著差异,为终端用户提供跨系统的、无需区分天地的各种服务与应用,实现一体化信息共享与利用[2]。包括语音、视频在内的多媒体(Multimedia Service)业务具有多样的应用方式和广阔的应用前景[3],将会是天地一体化网络中一类重要的业务。

本文对天地一体化网络环境中多媒体类业务跨域互联的关键技术进行了研究,针对异构子网环境下跨域互联问题,讨论了抗隐蔽通道的隔离交换技术方案,针对多媒体协议的特点,讨论了多媒体信令的安全检测技术、媒体的动态控制技术,以实现异构网络环境下多媒体业务安全、受控的跨域互联互通。

1 一体化网络多媒体业务跨域互联安全问题分析

天地一体化信息网络由天基信息网、地面互联网和移动通信网组成,每种网络中又包含多种子网,是一个大容量、多层次的异构网络[4]。各异构网络之间存在广泛的多媒体业务互联互通的需求,但由于各种异构网络独立建设,并且出于安全性的考虑彼此物理隔离,无法实现多媒体业务的互联互通。多媒体业务是一类需要信息实时交互的业务,人工摆渡的方式无法满足实时性要求,需要找到一种达到与物理隔离安全效果等价的网络隔离通信方案,实现多媒体业务跨域互联。

多媒体业务与数据类业务相比,在网络层都采用TCP/IP协议承载,其面临的安全问题类似,可以在天地一体化网络多域网络安全互联的总体技术路线下统一分析解决。多媒体业务的特殊性更多地体现在应用层,需要针对其特点进行专门研究。

多媒体业务包括信令和媒体两个层面。在信令层面,可采用H.323协议和SIP协议。其中,SIP协议结构简单,易于实现和调试,并具有优秀的灵活性和扩展性,得到了越来越广泛的应用。SIP协议以文本的形式编码,在网络传输中,文本形式表示的消息的词法和语法分析比较简单,攻击者可以非常容易地模仿、篡改SIP信令消息,并非法窃取、利用SIP消息中的重要信息。天地一体化网络具有信道开放、卫星节点暴露等特点,相比传统地面网络,更易遭受实体假冒、信息窃取、重放攻击等安全威胁,SIP协议的特点也容易被攻击者利用,通过安全等级低,安全防护能力弱的网络作为跳板,发起跨网攻击。多媒体业务在跨域互通时需要对会话协议进行深度安全检测,检测和阻断攻击,防止安全风险的扩散[5]。

在媒体层面,多媒体业务基于RTP协议传输语音、视频等数据,并使用UDP协议承载。天地一体化网络中的异构子网安全等级各不相同,跨域的语音、视频通信需要进行严格的限制和检查,防止信息的非法泄露。UDP协议的无连接特性容易被攻击者利用,通过篡改、重放等方式进行非法信息传输或跨网攻击,天地一体化网络的信道开放环境,更加剧了媒体数据的跨域传输安全风险。需要结合信令协议的协商过程,对媒体类数据进行动态、细粒度的跨网互通控制[6]。

2 一体化网络多媒体业务跨域互联控制关键技术研究

2.1抗隐蔽通道的隔离交换

为了实现信息实时、可靠的跨域安全传输,需要一种达到与物理隔离安全效果等价的网络隔离通信方案[7],实现基于OSI 网络模型的七层全部断开,以非网络方式交换数据,并且交换的是非网络数据[8](可以是文件,但不能是IP包等标准协议格式),如图所示。

图1 OSI模型七层断开示意图

为了实现OSI模型的七层完全断开,需要消除跨域通信过程中的隐蔽通道。根据形成原因,隐蔽通道可以分为3类:消息内容自身隐蔽通道、数据分组大小隐蔽通道(PLCC,packet lengths。covert channel)和状态信息隐蔽通道(SCC,status covert channel)。其中第一类隐蔽通道存在于所有的网络通信中,不可避免;第二、三类隐蔽通道可以通过适当方式予以避免。文献[7]针对PLCC和SCC两类隐蔽通道,提出了NICS解决方案。NICS方案以硬件隔离装置为基础,确保拆分前后的数据分组长度之间不存在固定的映射关系,实现抗PLCC功能;为每个作业分组全程携带校验码及纠错码,可保障数据传输高可靠性,并实现抗SCC功能。在交互相同信息量的前提下,可实现与物理隔离等价的抗隐蔽通道的安全效果,具有高实时性、高安全性和高可靠性。

与数据类业务相比,多媒体业务的数据量大,实时性要求高,且在会议等应用需求中,并发量大。跨网交换位置容易成为多媒体业务的瓶颈,影响通信效果,需要在文献[7]的基础上,进一步研究NICS方案对多媒体业务的跨域通信支持能力,保证业务跨域互联安全,并提高用户体验。

2.2基于特征自动生成的信令协议检测

SIP协议的文本编码特点,一方面有力地促进了协议的推广使用,另一方面也容易引人攻击,造成安全风险。畸形报文攻击是SIP协议面临的一大类攻击。它通过构造符合SIP报文格式,但可能没有任何意义的报文消息发送给SIP实体,使SIP实体无法处理,达到探测信息、崩溃系统、拒绝服务、注册劫持、权限提升等攻击效果,并可在此基础上结合其它攻击手段实现更具价值的攻击目标。精心设计的畸形消息往往能达到较强的攻击效果。由于SIP协议自身没有专门的安全补充协议,也没专门的安全机制,需要通过其他手段来保证SIP通信的安全性[9]。

针对SIP畸形报文攻击的安全威胁,可采用根据协议特征自动生成正则表达式的方法,实现对SIP信令协议的深度安全检测和攻击阻断。根据SIP消息的ABNF范式,自动生成一组SIP消息字段的正则表达式,并将这组正则表达式应用于SIP信令消息的协议检测。

SIP畸形报文检测方案如图2所示,包括畸形报文特征预处理和畸形报文的协议检测两部分。其中,畸形报文特征预处理模块包括SIP协议特征解析、SIP协议检测规则集转换两部分。在SIP协议特征解析部分,利用编译器设计中的词法分析和语法分析过程进行SIP协议特征解析,再将SIP协议解析结果处理成正则表达式,作为SIP协议的检测特征。在畸形报文协议检测部分,首先对输入的SIP数据包进行捕获,然后解析数据包,将解析后的数据包进行检测特征匹配,根据匹配结果生成检测结果。发现异常信令后将其阻断,避免其跨网渗透,并产生告警信息,实现基于威胁态势的全网安全防护的联动管控[10]。

图2 基于特征自动生成的SIP畸形报文检测

基于特征自动生成的SIP协议检测方法,能够自动化处理大量的协议定义,并具有灵活的可扩展性。该SIP协议检测方法可以部署在受保护的SIP实体以外,SIP实体对此无感,不会引入额外的传输和处理开销;同时,不论是来自内部还是来自外部的畸形消息,都可被监控和检测。由于RFC3261中定义SIP消息类型是有限的,在完成检测特征的设计后,检测规则并不需要频繁地更新,检测特征集可以保持相对稳定。

2.3会话业务动态控制

多媒体业务通信过程中,语音、视频等媒体数据的通信受信令的控制。多媒体通信会话过程中,首先要进行信令协商,针对会话的主从控制、媒体通信能力等进行动态协商。信令协商成功后,再根据协商结果开始语音、视频通信。可基于信令实现对媒体数据的动态、细粒度控制。在信令协商过程中,解析跨域互联信令消息,提取其中的媒体通信能力信息,根据信息协商结果下发媒体数据的控制策略。在媒体通信过程中,根据控制策略对跨域互通的媒体数据进行检查,如发现异常则阻断异常数据的跨网传输,并产生告警信息,基于威胁态势进行全网联动管控,如图所示。

图3 基于信令的会话动态控制

4 结束语

多媒体业务是天地一体化网络中一类重要的业务。针对天地一体化网络的环境特点和多媒体业务的协议特点,有针对性地研究了多媒体业务跨域互联的安全技术。针对天地一体化网络包含多个异构子网的网络环境,讨论了采用抗隐蔽通道的隔离交换技术实现业务的跨域互通,该技术方案可达到与物理隔离等价的安全效果。针对多媒体协议的特点,研究了基于特征自动生成的多媒体信令协议检测技术,有效解决了应用层畸形报文攻击风险;研究了基于信令的会话动态控制技术,实现对媒体数据跨域通信的动态、细粒度控制。

未来将在上述关键技术研究的基础上,进一步研究天地一体化网络中多媒体业务跨域互联的实现方案。

[1]吴曼青,吴巍,周彬等.天地一体化信息网络总体架构设想[J].卫星与网络,2016.

[2]张乃通,赵康僆,刘功亮.对建设我国“天地一体化信息网络”的思考[J].电子科学研究院学报,2015.

[3]梅敬青.适用于多媒体业务的异构无线网络若干关键技术研究[D].北京邮电大学,2011.

[4]沈荣骏.我国天地一体化航天互联网构想 [J].中国工程科学,2006.

[5]孙论强,秦海权,尹丹.物联网安全接入网关的设计与实现[J].信息网络安全,2011.

[6]邓鹏程.SIP多媒体会议系统媒体服务器控制框架的设计与实现[D].电子科技大学,2011.

[7]李凤华,谈苗苗,樊凯等.抗隐蔽通道的网络隔离通信方案[J].通信学报,2014.

[8]王永健,杨建华,郭广涛等.网络安全物理隔离技术分析及展望[J].信息安全与通信保密,2016.

[9]李佳.基于特征自动生成的畸形SIP信令检测技术的研究与实现[D].北京邮电大学,2010.

[10]刘兰.网络安全事件管理关键技术研究[D].华中科技大学,2007.

猜你喜欢
跨域信令报文
跨域异构体系对抗联合仿真试验平台
基于J1939 协议多包报文的时序研究及应用
基于多标签协同学习的跨域行人重识别
为群众办实事,崂山区打出“跨域通办”组合拳
G-SRv6 Policy在跨域端到端组网中的应用
CTCS-2级报文数据管理需求分析和实现
SLS字段在七号信令中的运用
浅析反驳类报文要点
移动信令在交通大数据分析中的应用探索
基于信令分析的TD-LTE无线网络应用研究