SBC功能部署规范 - RFC5853中文翻译(5)
3.7 媒体加密
3.7.1. 功能说明和要求
SBC用于在网络边缘执行媒体加密/解密.当媒体加密(例如,安全实时传输协议(SRTP))仅在接入网络(外部网络)侧使用并且媒体在内部网络中未加密地传送时就是这种情况. 一些运营商提供了进行合法拦截的能力,同时仍然使其客户能够加密接入网络中的媒体. 一种可能的方法是执行媒体加密功能.
3.7.2. 风险说明
在执行媒体加密功能时,SBC需要能够将自己或某个其他实体注入媒体路径.必须指出的是,这种行为与传统的MITM攻击相同.因此,SBC具有与3.2节中所述相同的架构问题.
3.7.3. 例子
图14示出了SBC执行与媒体加密相关的功能的示例(为简洁起见省略了ACK).
首先,UAC发送INVITE请求,并且第一个SBC以将其自身注入媒体路径的方式修改会话描述符.第二个SBC也是如此.然后,用户代理服务器(UAS)回复200 OK响应,并且SBC将自己注入返回的媒体路径.在发信号之后,媒体开始流动,并且两个SBC执行媒体加密和解密.
4. 未来SIP标准化工作的衍生要求
本节中列出的某些功能比其他功能更不友好.此要求列表源自在未经用户同意的情况下由SBC执行的以某种方式违反SIP原则的功能.派生的要求是:
要求-1: 应该有一种SIP友好的方式来隐藏网络拓扑信息.目前,这是通过剥离和替换头字段来完成的,这代表了某些头字段的SIP原则(参见第3.1节).
要求-2: 应该有一种SIP友好的方式来通过中介来引导媒体流量.目前,这是通过修改会话描述符来完成的,这违反了SIP的原则(参见第3.2,3.4,3.5和3.7节).
要求-3: 应该有一种SIP友好的方法来修复SIP消息中的功能不匹配.在复杂的不匹配情况下,例如3GPP / SIP [1]网络不匹配,这个要求更难实现.目前,这是通过修改SIP消息来完成的,这些消息可能代表某些标头字段违反了端到端安全性(参见第3.3和3.6节.
要求-1和要求-3至今没有现成的标准化解决方案。 IETF正在进行处理要求-2的工作,例如SIP会话策略[10],使用NAT周围的中继(TURN)[11]和交互式连接建立(ICE)[12]。 尽管如此,为了开发满足这些要求的解决方案,还需要进一步开展工作.
5. 安全考虑因素
本文档描述的许多功能都具有重要的安全和隐私含义。 一个主要的安全问题是由SBC实现的许多功能(例如,拓扑隐藏和媒体流量管理)在没有用户代理同意的情况下修改SIP消息及其主体。 结果是用户代理可以将SBC采取的动作解释为MITM攻击。 SBC修改SIP消息,因为它允许它们例如保护内部网络中的元素免受直接攻击.
将自己(或其他实体)置于媒体路径上的SBC可用于窃听对话. 由于用户代理通常无法区分攻击者的行为和SBC的行为,因此用户无法知道他们是否被窃听,或者路径上的SBC是否正在执行某些其他功能.SBC将自己放在媒体路径上,因为它允许它们例如执行合法拦截.
在一般情况下,SBC阻止使用端到端身份验证。 这是因为SBC需要能够执行看起来像MITM攻击的操作,并且为了使用户代理进行通信,它们必须允许这些类型的攻击。 换句话说,用户代理不能使用端到端安全性。 这尤其有害,因为除了SBC之外,其他网络元素也可以进行类似的攻击。 但是,在某些情况下,用户代理可以在彼此之间建立加密的媒体连接。 一个例子是SBC用于启用媒体监控但不用于拦截的场景.
从架构的角度来看,SBC是单点故障。 这使其成为DoS攻击的有吸引力的目标。 SBC的某些功能要求那些SBC维持会话特定信息的事实使情况更糟。 如果SBC崩溃(或被攻击者摧毁),正在进行的会话会遇到不确定的行为.
如果IETF决定开发标准机制来满足第4节中提出的要求,那么这些机制的安全和隐私相关方面当然需要加以考虑.
6. 致谢
2004年11月9日在第61届IETF会议期间在华盛顿举行的关于SBC的特别会议为本文件提供了宝贵的意见。 作者还要感谢Sridhar Ramachandran,Gaurav Kulshreshtha和Rakendu Devdhar。 评论家Spencer Dawkins和Francois Audet也值得特别感谢.
7. 附录
规范性参考文献
- Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.
- Peterson, J., "A Privacy Mechanism for the Session Initiation Protocol (SIP)", RFC 3323, November 2002.
- Willis, D. and B. Hoeneisen, "Session Initiation Protocol (SIP) Extension Header Field for Registering Non-Adjacent Contacts", RFC 3327, December 2002.
- Peterson, J. and C. Jennings, "Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP)", RFC 4474, August 2006.
- Rosenberg, J. and H. Schulzrinne, "An Offer/Answer Model with Session Description Protocol (SDP)", RFC 3264, June 2002.
7.2. 信息参考
- 3GPP, "IP Multimedia Subsystem (IMS); Stage 2", 3GPP TS 23.228 10.0.0, March 2010.
- Handley, M., Jacobson, V., and C. Perkins, "SDP: Session Description Protocol", RFC 4566, July 2006.
- Munakata, M., Schubert, S., and T. Ohba, "User-Agent-Driven Privacy Mechanism for SIP", RFC 5767, 四月 2010.
- Eggert, L. and G. Fairhurst, "Unicast UDP Usage Guidelines for Application Designers", BCP 145, RFC 5405, November 2008.
- Hilt, V., Camarillo, G., and J. Rosenberg, "A Framework for Session Initiation Protocol (SIP) Session Policies", Work in Progress, February 2010.
- Mahy, R., Matthews, P., and J. Rosenberg, "Traversal Using Relays around NAT (TURN): Relay Extensions to Session Traversal Utilities for NAT (STUN)", RFC 5766, 四月 2010.
- Rosenberg, J., "Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal for Offer/Answer Protocols", RFC 5245, MonthTBD 2010.