KR101089269B1 - Attack Detection Method And System with Secure SIP Protocol - Google Patents
Attack Detection Method And System with Secure SIP Protocol Download PDFInfo
- Publication number
- KR101089269B1 KR101089269B1 KR1020090100461A KR20090100461A KR101089269B1 KR 101089269 B1 KR101089269 B1 KR 101089269B1 KR 1020090100461 A KR1020090100461 A KR 1020090100461A KR 20090100461 A KR20090100461 A KR 20090100461A KR 101089269 B1 KR101089269 B1 KR 101089269B1
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- session
- packet
- key
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격탐지방법 및 시스템에 관한 것으로, 복수의 클라이언트가 유무선통신망을 통해 에스아이피(SIP:Session Initiation Protocol) 프로토콜 파이어월(Firewall)을 구비한 프락시(Proxy)서버와 연결된 상태에서 보안 기능을 제공하는 에스아이피 프로토콜 기반 공격탐지시스템에 있어서, SIP 파이어월(24)은 입력되는 통신패킷을 필터링하는 SIP 패킷필터링모듈(242), 필터링된 통신패킷의 IP 혹은 MAC을 인증하기 위한 IP/MAC 인증모듈(244), 상기 IP/MAC 인증모듈(244)에 의해 인증된 통신패킷의 세션을 분류하기 위한 세션분류모듈(246), 상기 세션분류모듈(246)을 통과한 통신패킷을 추출하여 SIP 키를 확인하고 세션키를 생성하는 SIP 키 확인 및 생성모듈(254), 장치 전반을 제어하는 중앙제어부(240), 상기 세션분류모듈(246)을 통과한 통신패킷을 분류하여 분석하여 SIP 상태 테이블(264)에 저장하고 SIP 세션을 생성하고 SIP 포멀모델부(256)를 통해 세션상태를 체크하여 협상상태인 경우 암호화/복호화 알고리듬(258)을 통해 상태를 체크하며 블랙리스트 저장부(266)에 블랙리스트로 갱신시키거나 혹은 패킷을 출력하는 SIP 분석모듈(252), 다양한 포멀(formal)모델을 구비하여 상기 SIP 분석모듈(252)과 연동하여 동작하는 SIP 포멀모델부(256), 상기 SIP 분석모듈(252)과 함께 동작하며 다양한 형태의 공격에 대응하여 통신패킷을 암호화하거나 복호화하는 암호화/복호화 알고리듬(258)을 포함하여 이루어진 것을 특징으로 한다.The present invention relates to an attack detection method and system using a secure SIP protocol providing a security function, wherein a plurality of clients are provided with a proxy (SIP: Session Initiation Protocol) protocol firewall through a wired / wireless communication network. (Proxy) In the SIP protocol-based attack detection system that provides a security function in connection with the server, the SIP firewall 24 is a SIP packet filtering module 242 for filtering the input communication packet, the filtered communication packet IP / MAC authentication module 244 for authenticating IP or MAC, session classification module 246 for classifying sessions of communication packets authenticated by the IP / MAC authentication module 244, and session classification module 246 SIP key identification and generation module 254 for extracting the communication packet passed through the) to check the SIP key and generate the session key, the central control unit 240 for controlling the overall device, the session Classify and analyze the communication packets passing through the flow module 246 in the SIP state table 264, create a SIP session, check the session state through the SIP formal model unit 256, and encrypt / decrypt when negotiated. The SIP analysis module 252 checks the state through the algorithm 258 and blacklists or outputs a packet to the blacklist storage unit 266, and includes various formal models. SIP formal model unit 256 that operates in conjunction with 252, and the encryption / decryption algorithm 258 that operates in conjunction with the SIP analysis module 252 to encrypt or decrypt communication packets in response to various types of attacks, Characterized in that made.
에스아이피, 세션키, 암호화, 복호화 SIP, Session Key, Encryption, Decryption
Description
본 발명은 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템에 관한 것으로, 더욱 상세하게는 SIP 취약성을 해결하기 위해 SIP 상태코드를 모니터링하여 SIP 패킷 플러딩(Packet Flooding) 공격을 탐지하고 SIP 패킷에 대해 인증 및 보안 기능이 강화된 프로토콜을 제시하여 효과적으로 에스아이피 프로토콜의 보안기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템에 관한 것이다.The present invention relates to an attack detection method and system using a secure SIP protocol providing a security function, and more particularly, to detect a SIP packet flooding attack by monitoring the SIP status code to solve the SIP vulnerability The present invention relates to a method and system for detecting an attack using a secure SIP protocol that effectively provides a security function of an SIP protocol by presenting a protocol for which authentication and security functions are enhanced for SIP packets.
SIP 프로토콜 기반 VoIP 서비스는 편리함과 저렴한 통신비용으로 사용자 수가 급증하고 있다. 하지만 SIP 프로토콜은 텍스트 형태의 SIP 헤더 정보를 UDP 방식으로 전송하기 때문에 손쉽게 위변조 할 수 있으며, 송신자에 대한 인증 기능을 제공하고 있지 않기 때문에 악의적 공격자에 의해 SIP Packet Flooding 공격 등에 매우 취약하다.SIP protocol-based VoIP services are rapidly increasing in number due to convenience and low communication costs. However, because the SIP protocol transmits text header information in the form of UDP, it can be easily forged, and since it does not provide authentication function for the sender, it is very vulnerable to SIP packet flooding attack by malicious attacker.
SIPSIP 프로토콜 분석 Protocol analysis
SIP(Session Initiation Protocol)는 음성을 포함한 화상, 텍스트 등 멀티미디어 통신 세션을 생성, 삭제, 변경할 수 있는 프로토콜로서 국제 표준화 기구인 IETF(Internet Engineering Task Force)에서 채택된 기술이다. SIP는 H.323 프로토콜에 비해 여러가지 장점을 갖고 있으며, 이를 바탕으로 빠른 속도로 널리 사용되고 있다.Session Initiation Protocol (SIP) is a technology that can create, delete and change multimedia communication sessions such as video and text including voice, and is a technology adopted by the Internet Engineering Task Force (IETF). SIP has several advantages over H.323 protocol and is widely used at a high speed.
SIP 세션 설정 및 통신 과정은 사용자가 프록시 서버에 등록하는 과정부터 시작된다. SIP 프록시 서버(도시안됨)는 사용자로부터 호 연결 및 해제 요청을 대행해 주는 서버이다.The SIP session establishment and communication process begins with the user registering with the proxy server. SIP Proxy Server (not shown) is a server that handles call connection and release requests from users.
도 1은 종래기술에 따른 SIP 통신과정의 패킷 흐름에 대한 전반적인 도면이다.1 is a general diagram of a packet flow of a SIP communication process according to the prior art.
SIP 메시지는 텍스트 기반 메시지 형태로 구성되어 있다. 구체적인 내용을 보면 기존의 HTTP 언어 형태의 메시지 구조를 사용한다. 메시지의 구분과 형태는 표 1과 같다.SIP messages consist of text-based messages. In detail, the message structure of the existing HTTP language type is used. The categories and types of messages are shown in Table 1.
이러한 메시지들의 흐름을 Diagram을 이용하여 순서대로 표현하게 되면 도 2와 같이 에스아이피 프로토콜의 세션 상태(session state) 흐름을 나타낼 수 있다.When the flow of these messages is expressed in order using a diagram, it can represent the session state flow of the SIP protocol as shown in FIG. 2.
SIPSIP 취약점 분석 Vulnerability analysis
SIP 프로토콜은 많은 장점들을 가지고 있지만 동시에 현재의 SIP 서비스는 많은 취약성을 가지고 있다. 상기 설명된 바와 같이 SIP 프로토콜의 가장 큰 취약점은 UDP 또는 TCP 프로토콜을 이용하여 텍스트 기반의 패킷을 사용하고 이를 이용하여 공격자가 패킷을 자유자재로 수정/삭제하여 전송할 경우 다양한 형태의 서비스 오동작 및 연결해제 등과 같은 공격들이 발생한다는 것이다.The SIP protocol has many advantages, but at the same time, current SIP services have many vulnerabilities. As described above, the biggest vulnerability of the SIP protocol is that text-based packets using UDP or TCP protocols are used, and when an attacker freely modifies / deletes the packets and transmits them, various types of service malfunction and disconnection are performed. Such attacks occur.
도 3은 가장 대표적으로 SIP 서버와 클라이언트를 스캐닝하고 이에 맞는 패킷을 수정/삭제하여 공격을 할 수 있는 도구이다(SiVus 도구).3 is a tool that can typically attack by scanning SIP server and client and modifying / deleting packets accordingly (SiVus tool).
도 4는 대상 사용자와 프록시 서버의 취약점을 테스팅 하는 도구이다. 이 도구 또한 다양한 메시지를 수천 혹은 수만 개를 생성하여 보냄으로서 어떤 공격에 취약한지를 테스트함과 동시에 취약점에 대한 공격 기능도 제공한다.4 is a tool for testing vulnerabilities of target users and proxy servers. The tool also generates thousands or tens of thousands of messages and tests them for vulnerabilities.
이외에도 공격자는 와이어샤크(Wireshark) 등과 같은 기존의 공격 툴을 이용하여 SIP 프로토콜을 공격하고 자신이 원하는 정보를 얻을 수 있고 또한 이를 이용하여 정상적인 서비스를 방해하기 위해 손쉽게 패킷을 수정/삭제 할 수 있다. 그 결과로 발생하는 문제는 SIP 대량 스팸 발송, SIP 패킷 위조 공격 및 대량 중복 패킷 전송 등과 같은 DoS 공격들을 포함한 모든 공격 등이 가능하다. 따라서 단순히 다른 기존의 기술들처럼 공격탐지의 수준이 아닌 인증과 안전한 SIP 통신을 보장하고 서비스의 QoS를 보장하며 서비스 지연이 없이 안전하게 에스아이피 서비스를 제공하기 위해 추가적인 보안 기능 등이 제공되어야 한다.In addition, the attacker can attack the SIP protocol by using existing attack tools such as Wireshark and get the information he / she wants. Also, the attacker can easily modify / delete the packet to interrupt the normal service. The resulting problem could be any attack, including DoS attacks such as SIP mass spamming, SIP packet forgery attacks, and bulk duplicate packet transmission. Therefore, additional security functions must be provided to ensure authentication and secure SIP communication, guarantee the QoS of service, and provide SIP service without service delay like other existing technologies.
현재 상기와 같은 문제점을 해결하기 위한 여러 보안 메커니즘이 존재하지만 아직까지 새로운 공격에 즉각 대응하지 못하기에 많이 부족하다. 또한 지연시간의 문제와 시스템의 과부하 문제를 해결하지 못한다는 문제점이 있다. 따라서, SIP 프로토콜의 취약점을 해결하기 위해서는 에스아이피 프토로콜에 패킷에 대한 암복호화 및 인증 기능을 제공하는 방법 및 시스템을 통해 보안 기능을 향상시킬 필요가 있다.Currently, there are many security mechanisms for solving the above problems, but it is still insufficient to respond immediately to new attacks. In addition, there is a problem that does not solve the problem of delay and overload of the system. Therefore, in order to solve the weaknesses of the SIP protocol, it is necessary to improve the security function through a method and system that provides encryption and authentication functions for packets to SIP protocol.
본 발명의 목적은 상기 설명한 바와 같은 SIP 취약성을 해결하기 위해 SIP 상태코드를 모니터링하여 SIP Packet Flooding 공격을 탐지하고 SIP 패킷에 대해 인증 및 보안 기능이 강화된 프로토콜을 제공하는데 있다.An object of the present invention is to detect a SIP packet flooding attack by monitoring the SIP status code in order to solve the SIP vulnerability as described above, and to provide a protocol with enhanced authentication and security for SIP packets.
본 발명의 또 다른 목적은 상태정보를 분석함으로 보안침해사고를 일으키는 공격을 빠르게 분류하여 비정상적 행위를 효율적으로 탐지하는 기술을 수행하는 상태정보(stateful information) 기반 분석 기법과 각각의 사용자와 Proxy Server 사이의 인증을 통한 안전한 SIP 통신(Secure SIP)환경을 제공하는 데 있다.It is another object of the present invention to analyze a state information and quickly classify an attack causing a security breach, and to perform a technique for efficiently detecting abnormal behavior and a stateful information based analysis technique between each user and the Proxy Server. It is to provide a secure SIP environment through authentication of.
본 발명의 또 다른 목적은 이러한 기존의 문제점을 해결하기 위해 상태정보를 분석하고, 안전한 SIP 프로토콜의 통신을 보장하기 위해 각 사용자들의 개별적인 인증과 데이터의 무결성을 보장하고 안전한 세션을 보장하기 위한 보안기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템을 제공함에 있다.Another object of the present invention is to analyze the status information to solve this existing problem, to ensure the communication of the secure SIP protocol, to ensure the individual authentication and data integrity of each user, and a security function to ensure a secure session An object of the present invention is to provide an attack detection method and system using a secure SIP protocol.
상기와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시 예에 따르면, 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법은 복수의 클라이언트가 유무선통신망을 통해 에스아이피(SIP:Session Initiation Protocol)프로토콜 파이어월(Firewall)을 구비한 프락시(Proxy)서버와 연결된 상태에서 통신하는 에스아이피한 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격탐지방법에 있어서,According to a preferred embodiment of the present invention for achieving the above object, the attack detection method using a secure SIP protocol providing a security function is the SIP (Session Initiation Protocol) protocol through a plurality of clients through a wired or wireless communication network In the attack detection method using a secure SIP protocol that provides a secure security function that communicates with a proxy server having a firewall,
입력패킷을 SIP 패킷 필터링하여 SIP 패킷의 여부를 확인하고 블랙리스트(Black List)와 각 사용자별 세션키를 이용한 사용자 인증을 하는 제1단계,A first step of filtering an input packet to check SIP packets and authenticating users using a black list and session keys for each user;
각 사용자들의 세션을 분류한 후, 실제 SIP 패킷과 사용자의 키를 분리하여 키 테이블과의 확인(Verification) 단계를 통해 사용자 인증을 하고, 동시에 SIP 분석(Analysis)단계를 거쳐 SIP 상태 테이블(State Table)에 현재 상태정보를 최신화하는 제 2단계,After classifying each user's session, the user authenticates the user through the verification step with the key table by separating the actual SIP packet and the user's key, and at the same time, the SIP state table is passed through the SIP analysis step. ) To update the current status information in
SIP 포멀 모델(Formal Model) 기반의 실시간 상태정보를 비교/분석하여 정상적인 상태정보 여부가 오는지의 여부를 체크하는 단계와 패킷의 통과여부를 검증하는 제 3단계, 및A third step of checking whether or not normal status information comes by comparing / analyzing real-time status information based on SIP formal model, and a third step of verifying whether a packet has passed; and
협상단계(Negotiation state) 단계를 체크하고 해당될 시 SIP 파이어월(Firewall)에 있는 공개 알고리즘 테이블을 참조하여 필요한 알고리즘을 협상하는 단계를 수행하여 패킷을 출력하는 제4단계,A fourth step of outputting a packet by checking a negotiation state step and negotiating a necessary algorithm by referring to a public algorithm table in a SIP firewall if applicable;
를 포함하고,
클라이언트간의 통신을 위한 호 설정시와 SIP 파이어월은 각 사용자의 고유 세션키의 확인을 통한 사용자 인증단계를 반복하게 되고 호 연결을 요청한 두 사용자의 세션키를 조합한 새로운 세션키를 각 사용자에게 전달하는 것을 특징으로 한다.Including,
During call setup for client-to-client communication, and SIP firewall repeats the user authentication step by verifying each user's unique session key, and delivers a new session key that combines the session keys of the two users who requested the call connection. Characterized in that.
본 발명의 또 다른 측면에 따르면, 복수의 클라이언트가 유무선통신망을 통해 에스아이피(SIP:Session Initiation Protocol) 프로토콜 파이어월(Firewall)을 구비한 프락시(Proxy)서버와 연결된 상태에서 통신하는 에스아이피한 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격탐지시스템에 있어서,According to still another aspect of the present invention, a plurality of clients communicate with a proxy server having a proxy server having a SIP (Session Initiation Protocol) protocol firewall through a wired or wireless network. In the attack detection system using a secure SIP protocol providing a function,
상기 SIP 파이어월은The SIP firewall
입력되는 통신패킷을 필터링하는 SIP 패킷필터링모듈,SIP packet filtering module for filtering the input communication packet,
필터링된 통신패킷의 IP 혹은 MAC을 인증하기 위한 IP/MAC 인증모듈,IP / MAC authentication module for authenticating the IP or MAC of the filtered communication packet,
상기 IP/MAC 인증모듈에 의해 인증된 통신패킷의 세션을 분류하기 위한 세션분류모듈,A session classification module for classifying sessions of the communication packet authenticated by the IP / MAC authentication module;
상기 세션분류모듈을 통과한 통신패킷을 추출하여 SIP 키를 확인하고 세션키를 생성하는 SIP 키 확인 및 생성모듈,SIP key identification and generation module for extracting the communication packet passed through the session classification module to verify the SIP key and generate a session key,
장치 전반을 제어하는 중앙제어부,Central control unit for controlling the overall device,
상기 세션분류모듈을 통과한 통신패킷을 분류하여 분석하여 SIP 상태 테이블에 저장하고 SIP 세션을 생성하고 SIP 포멀모델부를 통해 세션상태를 체크하여 협상상태인 경우 암호화/복호화 알고리듬을 통해 상태를 체크하며 블랙리스트 저장부에 블랙리스트로 갱신시키거나 혹은 패킷을 출력하는 SIP 분석모듈,Classify and analyze the communication packets that have passed through the session classification module, store them in a SIP state table, create a SIP session, check the state of the session through the SIP formal model unit, and check the state through encryption / decryption algorithms when negotiated. SIP analysis module for blacklisting or outputting packets to list storage,
다양한 포멀(formal)모델을 구비하여 상기 SIP 분석모듈과 연동하여 동작하는 SIP 포멀모델부,SIP formal model unit having a variety of formal (formal) model operating in conjunction with the SIP analysis module,
상기 SIP 분석모듈과 함께 동작하며 다양한 암호 알고리듬에 대응하여 통신패킷을 암호화하거나 복호화하는 암호화/복호화 알고리듬을 포함하고,
클라이언트간의 통신을 위한 호 설정시와 SIP 파이어월은 각 사용자의 고유 세션키의 확인을 통한 사용자 인증단계를 반복하게 되고 호 연결을 요청한 두 사용자의 세션키를 조합한 새로운 세션키를 각 사용자에게 전달하는 것을 특징으로 하는 안전한 에스아이피 프로토콜을 이용한 공격탐지시스템이 제공된다.It works with the SIP analysis module and includes an encryption / decryption algorithm for encrypting or decrypting a communication packet in response to various encryption algorithms,
During call setup for client-to-client communication, and SIP firewall repeats the user authentication step by verifying each user's unique session key, and delivers a new session key that combines the session keys of the two users who requested the call connection. An attack detection system using a secure SIP protocol is provided.
이상 설명한 바와 같이, 본 발명에 따른 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법에 의하면, SIP 공격탐지 시스템을 구축 하여 SIP 세션을 능동적으로 관리하였으며 보안 기능을 강화하기 위해 사용자 인증을 적용하여 SIP 프로토콜의 취약점을 해결한 효과가 있다.As described above, according to the attack detection method using the secure SIP protocol that provides the security function according to the present invention, a SIP attack detection system is established to actively manage SIP sessions, and user authentication is applied to enhance security functions. This solves the vulnerability of SIP protocol.
본 발명에서 제시한 기법은 기존 SIP 프로토콜에서의 보안 취약성을 해결하고 최소한의 트래픽 전송 지연만으로도 안전하게 패킷을 송수신할 수 있도록 하였으며 SIP 프록시 서버에서의 서비스 지연, 서버의 과부하 등의 문제를 최소화할 수 있는 효과가 있다.The technique proposed in the present invention solves the security vulnerabilities in the existing SIP protocol and enables the secure packet transmission and reception with minimal traffic transmission delay and minimizes the problems such as service delay and overload of the server in the SIP proxy server. It works.
본 발명에서 제안한 SIP Firewall을 통해 기존 SIP 서버의 과부하 문제 또한 해결하고 커버로스를 응용하여 각 사용자별 키 관리를 하여 빠르게 메시지와 사용자 인증 문제도 해결할 수 있는 효과가 있다.The SIP Firewall proposed in the present invention also solves the problem of overloading the existing SIP server and has the effect of quickly solving the message and user authentication problem by managing the key for each user by applying Kerberos.
이하 본 발명에 따른 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템에 대하여 첨부도면을 참조로 상세히 설명한다.Hereinafter, a method and system for detecting an attack using a secure SIP protocol providing a security function according to the present invention will be described in detail with reference to the accompanying drawings.
도 6은 본 발명에 따른 에스아이피 프로토콜의 흐름을 나타낸 도면이고, 도 7은 본 발명에 따른 에스아이피 프로토콜에서 통신 전 사용자 키등록 과정을 나타낸 도면이고, 도 8은 본 발명에 따른 에스아이피 프로토콜에서 사용자 키를 이용한 등록의 흐름을 나타낸 도면이고, 도 9는 본 발명에 따른 에스아이피 프로토콜에서 사용자 키를 이용한 사용자 인증 및 등록과정을 나타낸 도면이고, 도 10은 본 발명에 따른 에스아이피 프로토콜에서 각 호 설정 요청시의 인증단계를 나타낸 도면이고, 도 11은 본 발명에 따른 에스아이피 프로토콜에서 인증된 사용자의 호 설정과정을 나타낸 도면이고, 도 12는 본 발명에 따른 에스아이피 프로토콜에서 세션 키 전달과정을 나타낸 도면이고, 도 13은 본 발명에 따른 에스아이피 프로토콜의 인증패킷 구조를 나타낸 도면이고, 도 14는 본 발명에 따른 에스아이피 프로토콜이 적용되는 전체시스템 구조를 개략적으로 나타낸 도면이고, 도 15는 본 발명에 따른 에스아이피 프로토콜에서 에스아이피 포멀 상태모델(Formal State Model)을 나타낸 도면이고, 도 16은 본 발명에 따른 에스아이피 프로토콜에서 안전한 에스아이피 기반의 에스아이피 방화벽의 전체 모듈 구성도를 나타낸 것이고, 도 17은 본 발명에 따른 에스아이피 프로토콜에서 에스아이피 패킷 암호화/복호화와 비교분석과정을 나타낸 도면이고, 도 18은 본 발명에 따른 에스아이피 프로토콜을 이용한 공격탐지시스템의 SIP Firewall 구조를 나타낸 블럭도이다.6 is a view showing the flow of the SIP protocol according to the present invention, Figure 7 is a view showing a user key registration process before communication in the SIP protocol according to the present invention, Figure 8 is a SIP protocol in accordance with the
전체 프로토콜 구조Full protocol structure
본 발명에서 제안하는 시스템 구조는 도 6과 같이 기존의 SIP 통신환경에 SIP Firewall을 추가하고, 상태정보를 실시간으로 체크 할 수 있고 안전한 SIP 통신을 제공하기 위해 인증 모듈과 암/복호 알고리즘을 협상하는 단계를 적용하여 안전한 SIP 프로토콜을 설계하였다. 그 결과 기존 SIP에 없었던 실시간 상태정보, 인증정보 확인 그리고 암호화 알고리즘의 협상단계를 통해 데이터의 무결성을 보장하면서 통신가능한 안전한 SIP 프로토콜을 제안하고, 또한 기존 SIP 프로토콜에 최소한의 변화와 SIP Firewall을 통해 작업을 분산 처리 하면서 서비스의 지연 문제를 해결하였다.The system structure proposed by the present invention adds a SIP Firewall to an existing SIP communication environment as shown in FIG. 6, and can check status information in real time and negotiate an encryption / decryption algorithm with an authentication module to provide secure SIP communication. A secure SIP protocol was designed by applying the steps. As a result, we propose a secure SIP protocol that can communicate while guaranteeing the integrity of data through the negotiation process of real-time status information, authentication information, and encryption algorithm that did not exist in the existing SIP, and also works through the SIP firewall with minimal changes to the existing SIP protocol. We solved the problem of service delay while distributed processing.
본 발명에서 제안한 Stateful/Secure SIP 프로토콜은 앞서 설명되었듯이 SIP 프로토콜의 근본적인 문제를 해결하기 위해 각 단계별로 세부적으로 준비 단계와 인증확인, 협상단계가 순차적으로 필요하다. Stateful / Secure SIP protocol proposed in the present invention, in order to solve the fundamental problem of the SIP protocol as described above, the preparation step, authentication verification, negotiation step is required in detail for each step.
Kerberos 프로토콜은 MIT의 Athena프로젝트의 일부로 개발된 인증 서비스로 워크스테이션을 이용할 때 분산된 네트워크 환경에서 사용자 인증을 목적으로 쓰였다. 이는 대칭키 알고리즘 같이 이전부터 많이 사용된 알고리즘을 사용하고 패킷 스푸핑, 위조 및 재전송 공격을 대응하기 위한 기법이다. Kerberos는 티켓이라는 인증매체를 이용하고, 모든 종류의 암호화 기법을 지원한다. Kerberos 프로토콜은 도 5와 같이 제 3자 인증 서비스로서 인증을 수행한다. Kerberos는 호스트 오퍼레이팅 시스템의 인증에 의존하지 않고, 호스트 주소에 대한 신뢰를 기초로 하지 않으며, 네트워크상의 모든 호스트의 실제 보안을 요구하지 않고, 네트워크에 돌아다니는 패킷을 언제든지 읽고 수정하고 삽입할 수 있다는 가정 하에서 ID를 검증할 수 있는 수단을 제공한다.The Kerberos protocol is an authentication service developed as part of MIT's Athena project. It is used for user authentication in a distributed network environment when using workstations. It is a technique used to cope with packet spoofing, forgery, and retransmission attacks by using a previously used algorithm such as symmetric key algorithm. Kerberos uses an authentication medium called a ticket and supports all types of cryptography. The Kerberos protocol performs authentication as a third party authentication service as shown in FIG. The assumption that Kerberos does not rely on the authentication of the host operating system, is not based on trust in host addresses, does not require the actual security of all hosts on the network, and can read, modify, and insert packets that traverse the network at any time. Provides a means to verify identity under
용어 정의(Term definition ( NotationNotation DefinitionDefinition ))
본 발명에서 제안하는 프로토콜을 이해하기 위한 용어 설명을 표 2에서 보여주고 있다. Table 2 shows the terminology for understanding the protocol proposed by the present invention.
키 등록 및 Key registration and SIPSIP 레지스트리Registry 단계 step
본 발명에서 제안한 기법은 Kerberos 프로토콜을 응용하고, 간소화하여 SIP프로토콜에 적용한 기법이다. 빠르고 안전한 통신을 시작하기 위한 첫 번째 준비 과정으로 사용자 인증과 안전한 호 설정 과정을 위한 준비 단계이다. 도 7에서와 같이 offline 형식의 사용자들의 개인의 키를 등록하는 과정이다.The technique proposed in the present invention is a technique applied to the SIP protocol by applying the Kerberos protocol and simplifying it. The first step in getting started with fast and secure communications is the preparation phase for user authentication and secure call setup. As shown in FIG. 7, a process of registering private keys of offline users.
도 7에서와 같이 각각의 사용자 Client A(10-1N), B(10-2N)는 자신의 키를 오프라인 형태로 네트워크 환경을 거치지 않고 키 {Ka,Kb}를 사전에 SIP Firewall에 안전하게 등록하게 된다. 또한 이 과정을 통해 등록 되어진 키를 이용해 각각의 사용자는 자신과 서버사이의 각종 등록, 전화요청 등의 단계를 서버에 요청하기 전에 SIP Firewall을 통해 사전 인증단계와 안전한 연결을 주고받을 수 있도록 한다. 위의 단계를 거친 후 사용자는 실시간 인증과정을 통해 도 8에서와 같이 안전한 호 설정과 Register 단계를 수행할 수 있게 된다. 또한, 각 사용자의 인증키가 일치하지 않을 경우 SIP Firewall단에서 실질적인 등록을 차단하여 SIP Proxy Server(22)의 과부하 문제 또한 해결할 수 있게 된다.As shown in FIG. 7, each of Client A (10-1N) and B (10-2N) can register key {Ka, Kb} securely with SIP Firewall in advance without going through network environment. do. Also, by using the key registered through this process, each user can exchange the pre-authentication step and secure connection through the SIP Firewall before requesting the server for various registration and call requests between himself and the server. After the above steps, the user can perform a secure call setup and register step as shown in FIG. 8 through a real-time authentication process. In addition, if the authentication key of each user does not match, it is possible to solve the overload problem of the
본 발명에서는 위의 도 7과 같이 사전의 교환된 키를 통해 도 9와 같이 각각의 사용자들은(10-1N,10-2N) 자신들의 키를 통해 안전하게 호 설정 및 연결을 할 수 있도록 제안하였다. 또한 SIP 통신 환경과 속도에 최대한 지장을 주지 않기 위해서 도 9에서와 같이 패킷의 전체에 대한 암/복호화가 아닌 불필요한 부분을 제하고 인증을 위한 일부분의 필요한 정보에 대해서만 각 사용자의 키를 통해 암호화함으로써 복호화의 시간 또한 절약하였다.In the present invention, each user (10-1N, 10-2N) as shown in Figure 9 through the previously exchanged key as shown in FIG. 7 proposed to securely set up and connect through their keys. In addition, in order not to interfere with the SIP communication environment and speed as much as possible, as shown in FIG. 9, by eliminating unnecessary parts of the entire packet, only the necessary information for authentication is encrypted through each user's key. The time of decryption is also saved.
SIPSIP 호 설정 단계 Call setup step
SIP 통신과정 중 상대방 사용자와 통화(RTP/RTCP)를 하기위해 Invite 단계를 통해 요청하는 단계가 있다. 기존의 SIP 취약점 중 공격자(10-3N)가 메시지를 수정/삭제하기 위해 가장 많이 간섭하는 단계 중 하나이다. 따라서 본 발명에서는 이러한 공격들을 사전에 방지하기 위해 기존의 프로토콜에 전 단계에서 설명한 사용자별 키를 이용해 인증단계를 추가시켰다. 본 발명에서 제안한 SIP 프로토콜 흐름 나타내는 도 10을 참조하면, 기존 프로토콜에 사용자 인증 단계를 추가시켜 SIP Firewall(24)과 사용자가 서로 신뢰할 수 있는 통신을 보장받을 수 있는 환경을 표현하고 있다.There is a step of requesting through the Invite step to make a call (RTP / RTCP) with the counterpart user during the SIP communication process. Among the existing SIP vulnerabilities, the attacker (10-3N) is one of the most intrusive steps to modify / delete the message. Therefore, in the present invention, in order to prevent such attacks in advance, an authentication step is added to the existing protocol by using the user-specific key described in the previous step. Referring to FIG. 10 showing the SIP protocol flow proposed in the present invention, the
등록 단계와 도 10에서와 마찬가지로 Invite 호 설정 요청 시와 기타 호 설정 시 각 사용자와 SIP Firewall 사이에 안전한 연결을 위해 패킷의 일부분을 암호화하여 신뢰할 수 있는 SIP통신환경을 제안하였다. 호 설정 또한 SIP 서비스의 지연을 최대한 줄이기 위해 패킷의 일부분만 암/복호화함으로써 시간을 절약하였다(도 11참조).As in the registration step and in FIG. 10, a reliable SIP communication environment is proposed by encrypting a part of a packet for a secure connection between each user and a SIP firewall when making an Invite call setup request and other call setup. Call setup also saves time by encrypting / decrypting only a portion of the packet in order to minimize delay of SIP service (see FIG. 11).
RTPRTP /Of RTCPRTCP 통신 단계 Communication phase
본 발명에서는 안전한 RTP 통신을 위한 준비를 하기 위해 도 12와 같이 RTP/RTCP 통신의 호 설정 단계(Ringing)에서 SIP Firewall을 통해 두 사용자만의 특별한 세션키를 전달할 수 있는 단계를 추가시켰다. 이는 SIP 통신이 UDP 통신을 한다는 전제조건을 감안하여 혹시 있을 패킷지연에 대한 사전 대응방법이다. 도 12에서와 같이 각 호 설정 시 SIP Firewall 단에서의 각 사용자의 고유 세션키의 확인을 통한 사용자 인증단계를 반복하게 되고 호 연결을 요청한 두 사용자의 세션키를 조합한 새로운 세션키인 Kab를 각 사용자에게 전달하게 된다. In the present invention, in order to prepare for secure RTP communication, as shown in FIG. 12, a special session key of only two users can be delivered through a SIP firewall in a call setup step (Ringing) of RTP / RTCP communication. This is a preliminary countermeasure against packet delay in consideration of the precondition that SIP communication is UDP communication. As shown in FIG. 12, each call is repeated when the user establishes each session by verifying the unique session key of each user at the SIP firewall, and each Kab, which is a new session key combining the session keys of the two users who requested the call connection, is repeated. To the user.
각 사용자가 통신을 위한 키를 체크하게 되면 두 사용자는 그림 12에서와 같이 패킷의 일부분을 암호화해서 보낼 수 있고 각각 복호화 단계를 통해 비정상적인 사용자 혹은 정상적인 사용자에게서 전달된 패킷인지의 여부를 확인할 수 있다. When each user checks the key for communication, the two users can send the encrypted part of the packet as shown in Figure 12, and each decryption step can check whether the packet is from an abnormal user or a normal user.
위의 수학식 1은 각 사용자의 개인키 Ka, Kb를 조합하여 새로운 Kab를 생성하여 SIP Firewall을 통해 서로 전달받는 과정이다. α는 TS(현재시간), TD(키의 유효시간)을 포함한다.
SIP Firewall 은 각각의 사용자만이 공유키로 복호화하여 Kab의 세션키를 확인 할 수 있도록 따로 암호화하여 인증된 사용자들이 공유할 수 있도록 도와준다.SIP Firewall helps authenticated users to share by encrypting separately so that each user can decrypt Kab's session key.
또한 더욱더 안전한 SIP 통신환경을 위해 키 교환이 안전하게 교환되었다는 확인이 되면 통화를 시작하기 전에 마지막 준비 단계인 협상단계(Negotiation)를 통해 미리 제안된 대칭키 알고리즘의 선택과 키 길이에 대한 협상 단계를 거쳐 이를 바탕으로 RTP 통신을 하게 된다. α에 현재포함하고 있는 두 가지 정보이외에 또한 추가적인 정보도 추가 가능하다.In addition, if it is confirmed that the key exchange is securely exchanged for a more secure SIP communication environment, the negotiation step for the selection of the proposed symmetric key algorithm and the length of the key through the negotiation stage (Negotiation) before the call starts Based on this, RTP communication is performed. In addition to the two information currently included in α, additional information can also be added.
위의 수학식 3은 세션키 Kab를 교환 후에 협상단계에서의 과정이다. 랜덤 값을 통해 암호화 알고리즘과 암/복호화 할 평문의 길이를 선정하는 단계이다. RTP/RTCP 통신단계에서 사용할 암호화 알고리즘과 길이가 정해지면 이를 이용하여 통신을 하게 된다.
세션키Session key 교환기반의 사용자 인증 및 데이터 무결성 보장 Switch-based user authentication and data integrity guarantee
본 발명에서 사용하는 키는 크게 사용자별로 각자 가지고 있는 키와 두 사용자가 호 연결 신청을 했을 때 통신을 위해 생성되어지는 세션키가 있다. 이 두 개의 키를 통해 패킷의 일부분을 암호화 하고 비교 분석하여 이를 통해 정상적인 사용자의 인증과 데이터의 무결성을 동시에 보장하는 기법을 제시하였다. 도 13은 본 발명에서 제안한 인증 패킷 구조이다. 설명에서와 같이 SIP Header, SDP 패킷의 일부분을 복사하여 사용자별 키로 암호화하여 패킷의 뒷부분에 첨가하여 SIP Firewall에서 정확한 사용자인지의 여부를 검토하고 인증을 한다. 또한 생성된 세션키와 협상단계(Negotiation Step) 단계에서 결정된 암호화 알고리즘을 통해 RTP/RTCP 통신 패킷도 일부분 암호화하여 인증단계와 데이터의 무결성을 확인하게 된다.The key used in the present invention is a key which has a key for each user and a session key generated for communication when two users request a call connection. Through these two keys, a part of the packet is encrypted and compared, and through this, a scheme is proposed to ensure normal user authentication and data integrity at the same time. 13 is an authentication packet structure proposed in the present invention. As in the description, part of SIP Header, SDP packet is copied and encrypted by user key and added to the back of packet to check whether it is the correct user in SIP Firewall and authenticate. In addition, through the generated session key and the encryption algorithm determined in the negotiation step, the RTP / RTCP communication packet is partially encrypted to verify the authentication step and the integrity of the data.
앞서 지속적으로 언급했던 부분 또한 도 13에 나타나 있다. 기존의 SIP 암/복호화 프로토콜들과는 다른 방법인 패킷의 일부분만 암호화하고, 기존 패킷과 비교/분석함으로써 패킷의 변조 여부와 정상적인 사용자에 대한 인증과정을 통해 보다 안전한 통신을 보장할 수 있다. The above-mentioned parts are also shown in FIG. 13. By encrypting only a part of the packet, which is a method different from the existing SIP encryption / decryption protocols, and comparing / analyzing the existing packet, it is possible to ensure more secure communication through whether the packet has been tampered with and authenticated to a normal user.
공격 탐지 및 대응 메커니즘Attack detection and response mechanism
본 발명에서 제안하는 시스템 구조는 도 14와 같이 기존의 SIP 통신환경에 변화를 최소화하고 가급적 기존의 방식을 유지하는 방식을 제안하였다. (1) 기존의 SIP 통신장비와 SIP 통신패킷의 인증모듈을 적용시킨 SIP 사용자 (2) 사용자 키를 관리 및 확인, 전달하는 SIP Firewall로 크게 두 가지로 나눌 수 있다. 따라서 이 구조를 통해 각 사용자와 서버 사이의 상태정보를 수시로 체크하고, 사용자별 키를 체크하여 정상적인 사용자가 호 연결을 요청 했는지의 인증과정과, 각 메시지의 무결성을 체크 할 수 있다.The system structure proposed by the present invention proposed a method of minimizing changes in the existing SIP communication environment and maintaining the existing method as much as possible, as shown in FIG. (1) SIP user who applied the existing SIP communication equipment and authentication module of SIP communication packet. (2) SIP Firewall which manages, checks and delivers user keys. Therefore, through this structure, it is possible to check the status information between each user and the server from time to time, check the key for each user, and verify the authenticity of each call request and the integrity of each message.
본 발명에서 제시한 모듈에서는 보다 안전하고 효율적인 공격의 탐지를 하기 위해 클라이언트와 서버 간의 SIP 프로토콜 상태정보를 저장하고 관리한다. 사용자 인증과정을 수행한 후에 도 15에서와 같이 본 발명에서 추가한 사용자 인증단계를 고려하여 작성된 SIP Formal State를 비교/분석하고 실시간 정상적인 상태정보를 유지하고 분석한다.The module proposed in the present invention stores and manages SIP protocol state information between the client and the server in order to detect more secure and efficient attacks. After performing the user authentication process, as shown in FIG. 15, the SIP Formal State is compared / analyzed in consideration of the user authentication step added in the present invention, and the normal state information is maintained and analyzed in real time.
또한 도 15에서와 같이 기존에 없던 각 단계별 인증단계를 추가로 삽입하여 보다 안정적으로 보장된 SIP 통신이 가능해 졌다. In addition, as shown in Figure 15 by inserting the authentication step for each step that did not exist in the existing more stable SIP communication is possible.
도 16은 본 발명에서 제안한 SeureSIP 기반의 SIP Firewall의 전체 모듈 구성도이다. 앞서 설명한 각 사용자별 인증과, 정상적인 상태정보 패킷에 대한 검사, RTP 통신을 위한 암/복호화 알고리즘 테이블을 참조하는 단계를 수행한다.16 is a diagram illustrating the entire module configuration of the SeureSIP-based SIP Firewall proposed in the present invention. A step of referring to the authentication for each user, the inspection of the normal status information packet, and the encryption / decryption algorithm table for RTP communication is performed.
- 1단계 : Filtering 단계를 거쳐 SIP 패킷의 여부를 확인하고 Black List와 각 사용자별 세션키를 이용한 사용자 인증을 하는 단계.-Step 1: Checking whether there is a SIP packet through the filtering step and authenticating a user using a black list and session keys for each user.
- 2단계 : 각 사용자들의 Session Classification단계 수행 후, 실제 SIP 패킷과 사용자의 키를 분리하여 Key table과의 Verification 단계를 통해 사용자 인증을 한다. 또한 동시에 SIP Analysis 단계를 거쳐 SIP State Table에 현재 상태정보를 최신화하는 단계.Step 2: After performing the Session Classification step of each user, the user authenticates the user through Verification step with the key table by separating the actual SIP packet and the user's key. At the same time, it updates the current state information in the SIP State Table through the SIP Analysis step.
- 3단계 : SIP Formal Model 기반의 실시간 상태정보를 비교/분석하여 정상적인 상태정보 여부가 오는지의 여부를 체크하는 단계와 패킷의 통과여부를 검증하는 단계.-Step 3: comparing / analyzing real time status information based on SIP Formal Model to check whether normal status information is coming and verifying whether the packet has passed.
- 4단계 : 협상단계(Negotiation state) 단계를 체크하고 해당될 시 SIP Firewall에 있는 공개 알고리즘 테이블을 참조하여 필요한 알고리즘을 협상하는 단계를 수행.Step 4: Check the Negotiation state step and negotiate the necessary algorithm by referring to the open algorithm table in the SIP Firewall, if applicable.
위와 같은 모듈을 통해 정상적으로 인증된 사용자의 여부와 정상적인 상태정보를 포함한 패킷인지의 여부를 검토하여 기존의 공격을 사전 방어/대응을 하게 된다. Through the above module, it is possible to proactively defend / respond to existing attacks by examining whether the user is normally authenticated and whether the packet contains normal status information.
또한, 이러한 흐름에 방해가 되거나 일치하지 않는 패킷은 공격이라 판단하며, 실시간 BlackList에 등록과정을 통해 다음번의 경우에 이를 사전에 빠르게 차단할 수 있도록 정보를 갱신한다.In addition, it is determined that a packet that disturbs or does not match such a flow is an attack, and updates information so that it can be blocked in advance in the next case through a real-time BlackList registration process.
도 18은 본 발명에 따른 에스아이피 프로토콜을 이용한 공격탐지시스템의 SIP Firewall 구조를 나타낸 블럭도이다.18 is a block diagram illustrating a SIP firewall structure of an attack detection system using an SIP protocol according to the present invention.
도 18을 참조하면, SIP 파이어월(24)은Referring to FIG. 18, the
입력되는 통신패킷을 필터링하는 SIP 패킷필터링모듈(242),SIP
필터링된 통신패킷의 IP 혹은 MAC을 인증하기 위한 IP/MAC 인증모듈(244),IP /
상기 IP/MAC 인증모듈(244)에 의해 인증된 통신패킷의 세션을 분류하기 위한세션분류모듈(246),A
상기 세션분류모듈(246)을 통과한 통신패킷을 추출하여 SIP 키를 확인하고 세션키를 생성하는 SIP 키 확인 및 생성모듈(254),SIP key identification and
장치 전반을 제어하는 중앙제어부(240),
상기 세션분류모듈(246)을 통과한 통신패킷을 분류하여 분석하여 SIP 상태 테이블(264)에 저장하고 SIP 세션을 생성하고 SIP 포멀모델부(256)를 통해 세션상태를 체크하여 협상상태인 경우 암호화/복호화 알고리듬(258)을 통해 상태를 체크하며 블랙리스트 저장부(266)에 블랙리스트로 갱신시키거나 혹은 패킷을 출력하는 SIP 분석모듈(252),Classify and analyze the communication packets that have passed through the
다양한 포멀(formal)모델을 구비하여 상기 SIP 분석모듈(252)과 연동하여 동작하는 SIP 포멀모델부(256),SIP
상기 SIP 분석모듈(252)과 함께 동작하며 다양한 형태의 Reference에 대응하여 통신패킷을 암호화하거나 복호화하는 암호화/복호화 알고리듬(258)을 포함하여 이루어진다.It operates in conjunction with the
안정성 보장Guaranteed stability
본 발명을 통해 제안된 Stateful/Secure SIP 프로토콜은 기존의 문제점을 해 결하고 SIP 인증 취약점을 보완하기 위해 제안한 대응 메커니즘이다. Stateful / Secure SIP protocol proposed through the present invention is a countermeasure mechanism proposed to solve the existing problems and to supplement the SIP authentication vulnerability.
SIP 메시지의 변조 공격에 대한 탐지 및 대응Detection and response to tampering attacks in SIP messages
앞서 설명 되었듯이 기존 SIP 프로토콜의 패킷은 텍스트 형식이다. 이는 가장 큰 장점인 동시에 단점이 되어 공격에 쉽게 수정 및 삭제가 된다는 문제점을 안고 있다. 본 발명에서는 근본적인 SIP 메시지의 변조 공격에 대한 탐지 및 대응을 하기 위한 방법을 제시하였다. SIP 메시지의 변조에는 크게 몇 가지가 있다. 공격자가 자신의 IP로 패킷을 돌리기 위해 필요한 정보를 수정하거나, 통신 중간에 끊는 상태정보를(Cancel, Bye) 수정 및 삽입하여 정상적인 서비스를 방해한다. 본 발명에서는 도 16에서와 같이 SIP 통신 패킷에 대한 일부를 암호화하고 SIP Firewall에서 비교/분석하여 패킷의 변조 여부에 대해 확인을 하게 된다. 따라서 중요한 일부분의 대조한 결과 비정상적인 사용자로 하여금 수정/변조 여부를 확인하여 공격을 탐지하고 이를 블랙리스트(BlackList)에 갱신(Update)하여 다음 공격에 대한 사전 대응을 한다.As explained earlier, the packets of the existing SIP protocol are in text format. This is the biggest advantage and the disadvantage is that it is easy to modify and delete the attack. In the present invention, a method for detecting and responding to an underlying tampering attack of a SIP message is presented. There are a few major variations of SIP messages. The attacker modifies the information needed to direct the packet to his IP, or modifies and inserts the status information (Cancel, Bye) that is interrupted in the middle of communication to interrupt normal service. In the present invention, as shown in FIG. 16, a part of the SIP communication packet is encrypted and compared / analyzed by the SIP firewall to check whether the packet has been tampered with. Therefore, as a result of contrasting important parts, an abnormal user can detect an attack by checking whether it has been modified / modulated and update it on a blacklist to proactively respond to the next attack.
또한 SIP Message Flooding공격과 같이 다량의 메시지를 보내 정상적인 서비스를 방해하는 경우에도 위의 도 16과 도 14의 정상적인 상태 정보 패턴과 맵핑하여 공격의 여부를 판단하고 대응한다. 종래기술의 문제점이 이었던 SIP Register Message Flooding 공격에 대한 문제 또한 각 사용자와 세션에 대한 보장을 통해 이를 간단하게 해결할 수 있었다. In addition, even when sending a large amount of messages, such as SIP Message Flooding attacks to interfere with the normal service, it is determined by mapping with the normal state information patterns of Figs. 16 and 14 above to determine and respond to the attack. The problem of the SIP Register Message Flooding attack, which was a problem of the prior art, was also easily solved by guaranteeing each user and session.
메시지 및 사용자 인증Message and user authentication
메시지의 변조의 여부 분석을 위해 메시지, 사용자의 인증은 필수적인 요소이다. 본 발명에서는 이와 같은 문제를 빠른 속도와 안전한 키 전달을 위한 발명을 하였다. 그 결과 안전한 키 전달은 Out-of-band를 통해 offline에서의 키를 전달하였다. 또한 SIP 서비스의 지연문제 해결과 정상적인 속도의 보장을 위해 패킷의 필요한 일부분만을 복사하여 암호화하고 이를 SIP Firewall에서 비교 및 분석하였다. In order to analyze whether the message is tampered with, the user's authentication is essential. In the present invention, the problem for high speed and secure key delivery. As a result, secure key delivery has delivered the key in offline through out-of-band. Also, to solve the delay problem of SIP service and to guarantee the normal speed, only the necessary part of the packet was copied and encrypted and compared and analyzed in the SIP firewall.
메시지 및 사용자 인증에서 msg는 SIP 원본 메시지를 나타내고, Pmsg는 암호화할 SIP 메시지의 일부분을 나타낸다. 또한 Ka는 키 집합 사용자의 본인의 개인키이다. 사용자 인증시 msg패킷의 중요 일부를 선택해서 Pmsg를 생성하여 Pmsg를 키 Ka로 암호화한 후 다른 사용자에게 전달하기 이전에 SIP Firewall을 거쳐 사용자와 메시지 인증을 받게 된다. 이는 암호화된 Pmsg를 복호화하여 실제 Pmsg와 비교/대조하여 일치하는지의 여부를 통해 각 사용자들의 키와 메시지의 변조 유무를 확인하는 단계이다. In the message and user authentication, msg represents the SIP original message, and Pmsg represents the portion of the SIP message to encrypt. Ka is also the private key of the key set user. When authenticating a user, the user selects an important part of the msg packet, generates a Pmsg, encrypts the Pmsg with a key Ka, and authenticates the user and message through the SIP firewall before passing it to another user. In this step, the encrypted Pmsg is decrypted and compared / conformed with the actual Pmsg to confirm whether the key and the message of each user are tampered with.
따라서 이러한 과정을 통해 정상적인 사용자와 정상적인 키의 여부 확인과 메시지의 변조 여부를 검토하여 메시지의 인증과정을 동시에 확인하여 이를 효율적으로 인증하게 된다. Therefore, through this process, it checks whether the normal user and the normal key and whether the message has been tampered with to verify the authentication process of the message at the same time to efficiently authenticate it.
1) 기밀성 보장1) Confidentiality
기밀성이란 허락 되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다. 본 발명에서는 필요한 중요 일부 정보를 암/복호화 과정을 통해 SIP 통신의 기밀성 보장을 하고 보다 안전한 SIP 통신환경을 보장하였다.Confidentiality means that unauthorized users or objects cannot know the content of the information. It is closely related to privacy protection in the sense of preventing unwanted disclosure of information. In the present invention, the confidentiality of the SIP communication is guaranteed through the encryption / decryption process of necessary important information and a more secure SIP communication environment is secured.
2) 무결성 보장2) ensure integrity
허락되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다. 따라서 공격자로 하여금 SIP 통신 패킷 즉, 메시지를 임의로 수정/삭제할 수 없도록 보장해야한다. 본 발명에서는 SIP 통신의 무결성을 보장하기 위해 패킷의 일부를 복사하고 암호화 과정을 통해 원본 패킷의 변조가 이루어졌는지의 여부를 검토함으로써 공격의 여부를 판단하게 된다. 따라서 SIP 통신상의 무결성 또한 보장할 수 있다.This is to prevent unauthorized users or objects from tampering with the information. Therefore, it is necessary to guarantee that an attacker cannot arbitrarily modify / delete SIP communication packets, that is, messages. In the present invention, to ensure the integrity of the SIP communication to determine whether the attack by copying a part of the packet and examining whether or not the original packet has been tampered through the encryption process. Thus, the integrity of SIP communication can also be guaranteed.
3) 가용성 보장3) Guaranteed availability
허락된 사용자 또는 객체가 정보에 접근하려 하고자 할 때 이것이 방해받지 않도록 하는 것이다. SIP 환경에서의 가용성을 해치는 대표적인 공격은 SIP Message Flooding, Parser 공격이 있다. 이는 본 발명에서 제안한 Formal State Diagram을 통해 정상적인 형태의 패킷이 아닐 경우 이를 탐지하고 이를 대응함으로써 가용성을 보장하게 된다.When an authorized user or object attempts to access information, it is not disturbed. Representative attacks that impair availability in SIP environments include SIP Message Flooding and Parser attacks. This ensures availability by detecting and responding to a case of non-normal packets through a formal state diagram proposed in the present invention.
4) 인증4) Certification
본 발명에서 제안한 사용자 개인의 키와 RTP/RTCP 통신 하에 사용하는 두 사용자만의 세션키를 통해 인증과정을 수행하게 된다. 사용자별 개인의 키는 호 설정 과정에서의 SIP Firewall에서의 검증을 통해 정상적인 사용자의 패킷 여부를 검토 하게 되고 RTP/RTCP 통신이전에는 SIP Firewall에서 두 사용자의 새롭게 조합된 세션키를 전달하고 또한 랜덤하게 선택된 대칭키 알고리즘과 암호문의 길이를 협상하여 보다 안전한 통신을 제공한다.The authentication process is performed through the user's private key proposed by the present invention and the session key of only two users used under RTP / RTCP communication. Each user's individual key is verified by SIP Firewall during call setup process and examines normal user's packet. Before RTP / RTCP communication, SIP Firewall delivers newly combined session key of two users and randomly. Negotiate the ciphertext length with the selected symmetric key algorithm to provide more secure communication.
따라서 본 발명에서는 위의 네 가지 보안 요소를 모두 제공한다. 또한, 기존 의 문제였던 서버의 과부하 문제와 서비스의 지연문제 또한 빠르게 해결할 수 있도록 필요한 기능을 제공하여 안전하고 빠른 SIP 통신을 보장할 수 있다.Therefore, the present invention provides all four security elements above. In addition, it is possible to ensure the secure and fast SIP communication by providing the necessary functions to solve the problems of server overload and service delay, which were previously existing problems.
도 1은 종래기술에 따른 에스아이피 프로토콜의 등록과정을 나타낸 도면이다.1 is a view showing a registration process of the SIP protocol according to the prior art.
도 2는 종래기술에 따른 에스아이피 상태 다이어그램을 나타낸 도면이다.2 is a diagram showing a SIP state diagram according to the prior art.
도 3은 종래기술에 따른 에스아이피와 클라이언트 공격도구를 나타낸 도면이다.3 is a diagram showing an SIP and a client attack tool according to the prior art.
도 4는 종래기술에 따른 대상 사용자와 프록시 서버의 취약점을 테스팅하는 도구를 나타낸 도면이다.4 is a diagram illustrating a tool for testing a vulnerability of a target user and a proxy server according to the related art.
도 5는 종래기술에 따른 프로토콜에서의 사용자 인증서비스 과정을 나타낸 도면이다.5 is a view showing a user authentication service process in the protocol according to the prior art.
도 6은 본 발명에 따른 에스아이피 프로토콜의 흐름을 나타낸 도면이다.6 is a view showing the flow of the SIP protocol according to the present invention.
도 7은 본 발명에 따른 에스아이피 프로토콜에서 통신 전 사용자 키등록과정을 나타낸 도면이다.7 is a diagram illustrating a user key registration process before communication in the SIP protocol according to the present invention.
도 8은 본 발명에 따른 에스아이피 프로토콜에서 사용자 키를 이용한 등록의 흐름을 나타낸 도면이다.8 is a diagram showing the flow of registration using the user key in the SIP protocol according to the present invention.
도 9는 본 발명에 따른 에스아이피 프로토콜에서 사용자 키를 이용한 사용자 인증 및 등록과정을 나타낸 도면이다.9 is a view showing a user authentication and registration process using a user key in the SIP protocol according to the present invention.
도 10은 본 발명에 따른 에스아이피 프로토콜에서 각 호 설정 요청시의 인증단계를 나타낸 도면이다.10 is a view showing an authentication step when each call setup request in the SIP protocol according to the present invention.
도 11은 본 발명에 따른 에스아이피 프로토콜에서 인증된 사용자의 호 설정 과정을 나타낸 도면이다.11 is a diagram illustrating a call setup process of an authenticated user in the SIP protocol according to the present invention.
도 12는 본 발명에 따른 에스아이피 프로토콜에서 세션 키 전달과정을 나타낸 도면이다.12 is a diagram illustrating a session key delivery process in an SIP protocol according to the present invention.
도 13은 본 발명에 따른 에스아이피 프로토콜의 인증패킷 구조를 나타낸 도면이다.13 is a view showing the authentication packet structure of the SIP protocol according to the present invention.
도 14는 본 발명에 따른 에스아이피 프로토콜이 적용되는 전체시스템 구조를 개략적으로 나타낸 도면이다.14 is a diagram schematically showing the overall system structure to which the SIP protocol according to the present invention is applied.
도 15는 본 발명에 따른 에스아이피 프로토콜에서 에스아이피 포멀 상태모델(Formal State Model)을 나타낸 도면이다.FIG. 15 is a diagram illustrating an SPI formal state model in an SPI protocol according to the present invention.
도 16은 본 발명에 따른 에스아이피 프로토콜에서 안전한 에스아이피 기반의 에스아이피 방화벽의 전체 모듈 구성도를 나타낸 것이다.Figure 16 shows the overall module configuration of the secure IP-based SPI firewall in the SIP protocol according to the present invention.
도 17은 본 발명에 따른 에스아이피 프로토콜에서 에스아이피 패킷 암호화/복호화와 비교분석과정을 나타낸 도면이다.FIG. 17 is a diagram illustrating a process of comparing and analyzing SIP packet encryption / decryption in the SIP protocol according to the present invention.
도 18은 본 발명에 따른 에스아이피 프로토콜을 이용한 공격탐지시스템의 SIP Firewall 구조를 나타낸 블럭도이다.18 is a block diagram illustrating a SIP firewall structure of an attack detection system using an SIP protocol according to the present invention.
* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings
10-1N, 10-2N, 10-3N: 클라이언트(사용자)10-1N, 10-2N, 10-3N: Client (User)
20: 프락시서버20: proxy server
24: SIP 파이어월24: SIP firewall
242: SIP 패킷필터링모듈242: SIP packet filtering module
244: IP/MAC 인증모듈244: IP / MAC authentication module
246: 세션분류모듈246: session classification module
254: SIP 키 확인 및 생성모듈254: SIP key identification and generation module
240: 중앙제어부240: central control unit
252: SIP 분석모듈252 SIP analysis module
256: SIP 포멀모델부256: SIP formal model unit
258: 암호화/복호화 알고리듬258: encryption / decryption algorithm
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090100461A KR101089269B1 (en) | 2009-10-21 | 2009-10-21 | Attack Detection Method And System with Secure SIP Protocol |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090100461A KR101089269B1 (en) | 2009-10-21 | 2009-10-21 | Attack Detection Method And System with Secure SIP Protocol |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110043371A KR20110043371A (en) | 2011-04-27 |
KR101089269B1 true KR101089269B1 (en) | 2011-12-02 |
Family
ID=44048655
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090100461A KR101089269B1 (en) | 2009-10-21 | 2009-10-21 | Attack Detection Method And System with Secure SIP Protocol |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101089269B1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101287588B1 (en) * | 2012-01-06 | 2013-07-19 | 한남대학교 산학협력단 | Security System of the SIP base VoIP service |
KR20140044970A (en) | 2012-09-13 | 2014-04-16 | 한국전자통신연구원 | Method and apparatus for controlling blocking of service attack by using access control list |
KR101394542B1 (en) * | 2013-04-26 | 2014-05-13 | (주)소만사 | System and method for collection and management of ssl/tls domain name |
CN114697136B (en) * | 2022-05-07 | 2024-05-14 | 苏州雄立科技有限公司 | Network attack detection method and system based on switching network |
-
2009
- 2009-10-21 KR KR1020090100461A patent/KR101089269B1/en active IP Right Grant
Non-Patent Citations (1)
Title |
---|
한국인터넷정보학회 인터넷정보학회논문지 제9권 제6호 - SIP 프로토콜 상태정보 기반 공격 탐지 기능을 제공하는 가상 프록시 서버 설계 및 구현 (이형우, 2008-12, P37-48)* |
Also Published As
Publication number | Publication date |
---|---|
KR20110043371A (en) | 2011-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rescorla et al. | Guidelines for writing RFC text on security considerations | |
Wustrow et al. | {TapDance}:{End-to-Middle} Anticensorship without Flow Blocking | |
Ristic | Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications | |
Kuhn et al. | Security considerations for voice over IP systems | |
CN1833403B (en) | Communication system, communication device and communication method | |
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
Callegati et al. | Man-in-the-Middle Attack to the HTTPS Protocol | |
US7584505B2 (en) | Inspected secure communication protocol | |
Gupta et al. | Security analysis of voice-over-IP protocols | |
US20060190723A1 (en) | Payload layer security for file transfer | |
Lucena et al. | Syntax and semantics-preserving application-layer protocol steganography | |
CN101729871B (en) | Method for safe cross-domain access to SIP video monitoring system | |
CN113904809A (en) | Communication method, communication device, electronic equipment and storage medium | |
JP4783340B2 (en) | Protecting data traffic in a mobile network environment | |
US20080133915A1 (en) | Communication apparatus and communication method | |
CN101710900A (en) | Method for interacting signaling safely in session ignition protocol (SIP) registration domain | |
KR101089269B1 (en) | Attack Detection Method And System with Secure SIP Protocol | |
Bellovin et al. | Security mechanisms for the Internet | |
Atighetchi et al. | Safe configuration of TLS connections | |
Joshi | Network security: know it all | |
Thalhammer | Security inVoIP-Telephony Systems | |
Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks | |
Moravčík et al. | Survey of real-time multimedia security mechanisms | |
Limniotis et al. | Cryptography threats | |
CN116346505B (en) | Internet of things data security communication method, system and computer readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
N231 | Notification of change of applicant | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140918 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151126 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20161125 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171031 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20181127 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191101 Year of fee payment: 9 |