KR20130081141A - 에스아이피 기반 인터넷 전화 서비스의 보안 시스템 - Google Patents

에스아이피 기반 인터넷 전화 서비스의 보안 시스템 Download PDF

Info

Publication number
KR20130081141A
KR20130081141A KR1020120002147A KR20120002147A KR20130081141A KR 20130081141 A KR20130081141 A KR 20130081141A KR 1020120002147 A KR1020120002147 A KR 1020120002147A KR 20120002147 A KR20120002147 A KR 20120002147A KR 20130081141 A KR20130081141 A KR 20130081141A
Authority
KR
South Korea
Prior art keywords
sip
user
message
protocol
security server
Prior art date
Application number
KR1020120002147A
Other languages
English (en)
Other versions
KR101287588B1 (ko
Inventor
유승재
이극
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020120002147A priority Critical patent/KR101287588B1/ko
Publication of KR20130081141A publication Critical patent/KR20130081141A/ko
Application granted granted Critical
Publication of KR101287588B1 publication Critical patent/KR101287588B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1045Proxies, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1063Application servers providing network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 SIP 기반 인터넷 전화 서비스의 보안 시스템에 관한 것으로, 발신 단말, 착신 단말, 상기 발신 단말과 상기 착신 단말간의 상호 통화 연결을 시도하는 SIP 프락시 서버 및 보안 서버를 포함하는 SIP 기반 인터넷 전화 서비스의 보안 시스템에서, 상기 발신 단말과 상기 SIP 프락시 서버 사이 또는 상기 SIP 프락시 서버와 상기 착신 단말 사이에 SIP 보안서버가 구비되며, 상기 SIP 보안서버는 SIP 프로토콜에 의하여 전송된 패킷에서 사용자 정보를 추출하여 상기 추출된 사용자 정보에 따라 사용자를 인증하고 인증된 사용자 별로 세션에 대한 분류를 수행하고 분류된 세션에서 메시지 흐름을 분석하여 유효 메시지인지 판단한 후 유효 메시지만 전송하는 것을 특징으로 한다.
상기와 같이 구성된 본 발명에 따르면, 기존 SIP 프로토콜을 변형하지 않고 SIP 보안서버를 이용하여 사용자를 인증함으로써 기존 SIP 시스템과의 호환성을 가질 수 있는 효과가 있을 뿐만 아니라 기존 SIP 시스템의 보안을 강화하는 데 소용되는 비용을 절감할 수 있는 효과가 있으며, 기존 SIP 프로토콜을 변형하지 않고 사용자를 인증함으로써 SIP 프로토콜의 복잡성이 증가하지 않는 효과가 있을 뿐만 아니라, 기존 SIP 프로토콜에서 보안 요소를 측정하기 위한 시스템 과부하를 감소시킬 수 있는 효과가 있다.

Description

에스아이피 기반 인터넷 전화 서비스의 보안 시스템{Security System of the SIP base VoIP service}
본 발명은 SIP 기반 인터넷 전화 서비스의 보안 시스템에 관한 것으로, 구체적으로 SIP 프로토콜의 구조를 변형하지 않고 사용자 인증 및 메시지 변조를 방지할 수 있는 SIP 기반 인터넷 전화 서비스의 보안 시스템에 관한 것이다.
SIP(Session Initiation Protocol)를 이용한 VoIP(Voice over Internet Protocol) 서비스가 점차 확대되고 있으나 SIP 프로토콜은 기존 IP(Internet Protocol) 기반의 프로토콜이기 때문에 IP 기반의 공격 및 위협에 그대로 노출되어 도청, DoS(Denial of Service : 서비스 거부), DDoS(Distribute Denial of Service : 분산 서비스 거부), 요금사기, VoIP 스팸, 통화변조 등 다양한 문제가 지속적으로 발견되고 있으며, VoIP의 핵심인 QoS(Quality of Service : 품질관리)에도 영향을 미치고 있는 실정이다.
이러한 SIP 공격 방법으로 일반 네트워크에서 DoS와 비슷한 개념의 Message Flooding 공격 및 Malformed Message 공격(비유효 메시지 공격)이 있다.
Message Flooding 공격은 SIP 메시지를 대량으로 보내어 SIP 사용자나 사업자가 유효적인 서비스 이용 혹은 제공을 못하게 하는 것으로, 이 공격은 공격자가 INVITE, Register 등의 메시지들을 다량으로 보내어 유효적인 사용자 혹은 서버의 서비스 오작동이나 오류를 발생시켜 실질적인 사용자가 서비스를 사용할 수 없게 한다.
Malformed Message 공격은 SIP의 헤더와 바디 내용이 일반 문자로 되어 있다는 점을 이용하여 다른 문자들로 삽입, 변조 혹은 삭제하는 것이다.
이러한 SIP 공격에 대응하기 위하여 SIP 프락시 서버를 직접 수정하게 될 경우 SIP 프로토콜이 복잡해져 시스템 구축 비용이 상승하고, 기존 SIP 프로토콜과 호환성이 결여된다는 문제점이 있다.
본 발명은 전술한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 SIP 프락시 서버 전단에 SIP 프락시 서버의 상태정보를 분석하고 이를 기반으로 SIP 공격을 탐지하고 이를 차단할 수 있으며 기존 SIP 프로토콜과 호환 가능한 SIP 기반의 VoIP 보안 시스템을 제공하는 것을 목적으로 한다.
본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템은, 발신 단말, 착신 단말, 상기 발신 단말과 상기 착신 단말간의 상호 통화 연결을 시도하는 SIP 프락시 서버 및 보안 서버를 포함하는 SIP 기반 인터넷 전화 서비스의 보안 시스템에서, 상기 발신 단말과 상기 SIP 프락시 서버 사이 또는 상기 SIP 프락시 서버와 상기 착신 단말 사이에 SIP 보안서버가 구비되며, 상기 SIP 보안서버는 SIP 프로토콜에 의하여 전송된 패킷에서 사용자 정보를 추출하여 상기 추출된 사용자 정보에 따라 사용자를 인증하고 인증된 사용자 별로 세션에 대한 분류를 수행하고 분류된 세션에서 메시지 흐름을 분석하여 유효 메시지인지 판단한 후 유효 메시지만 전송하는 것을 특징으로 한다.
또한, 상기 SIP 보안 서버는, SIP 프락시 서버에게 발신 단말 또는 착신 단말로 인식되며, 발신 단말 또는 착신 단말에서는 SIP 프락시 서버로 인식되는 것을 특징으로 한다.
또한, 상기 SIP 보안 서버는, 상기 SIP 보안 서버로 입력된 네트워크 패킷에서 텍스트로 구성된 SIP 프로토콜에 정의된 사용자 정보 및 SIP 세션 정보를 포함한 특성 정보를 특성 단위인 SIP 필드로 구분하는 SIP 구조 변환을 수행하는 SIP 프로토콜 구조 변환 모델, 상기 SIP 필드에 포함된 사용자 정보를 이용하여 사용자 인증을 하며, 사용자 별로 세션 분류를 수행하는 SIP 인증 모델, 상기 SIP 인증 모델에서 분류된 세션에서의 메시지 흐름을 유효적인 메시지 흐름을 나타내는 SIP 정형 상태 모델(SIP Formal State Model)과 비교하여 유효 메시지인지 판단하는 SIP 상태 정도 관리 모델;
을 더 포함하는 것을 특징으로 한다.
또한, 상기 SIP 프로토콜 구조 변환 모델은, 상기 SIP 보안 서버에 입력된 네트워크 패킷에서 SIP 프로토콜에서 정의되지 않은 사용자 인증 및 패킷의 유효성을 포함한 추가 정보를 추출하는 것을 특징으로 한다.
또한, 상기 SIP 프로토콜 구조 변환 모델은, SIP 필드 구분과 동시에 SIP 필드의 유효성을 판단하여 유효하지 않은 필드를 가지는 패킷을 차단하는 것을 특징으로 한다.
또한, 상기 SIP 인증 모델은, 상기 발신 단말 또는 상기 SIP 프락시 서버의 MAC Address, 상기 SIP 보안서버로 입력된 네트워크 패킷의 소스(Source) IP와 상기 SIP 프로토콜 구조 변환 모델에서 추출된 SIP 필드 값을 포함한 사용자 정보를 이용하여 사용자를 특정하고, 특정된 사용자를 기 저장된 사용자 정보와 비교하여 패킷 전송 여부를 결정하는 것을 특징으로 한다.
또한, 상기 SIP 보안 서버는, 상기 SIP 보안 서버로 입력된 네트워크 패킷에서 텍스트로 구성된 SIP 프로토콜에 정의된 사용자 정보 및 SIP 세션 정보를 포함한 특성 정보를 특성 단위인 SIP 필드로 구분하는 SIP 구조 변환을 수행하는 제1단계, 상기 SIP 필드에 포함된 사용자 정보를 이용하여 사용자 인증을 하며, 사용자 별로 세션 분류를 수행하는 제2단계, 상기 분류된 세션에서의 메시지 흐름을 정상적인 메시지 흐름을 나타내는 SIP 정형 상태 모델(SIP Formal State Model)과 비교하여 유효 메시지인지 판단하는 제3단계 및 유효 메시지로 판단된 경우 유효 메시지를 전송하는 제4단계를 포함하여 구성된 메시지의 보안처리를 행하는 것을 특징으로 한다.
또한, 상기 제1단계는, 상기 SIP 보안 서버에 입력된 네트워크 패킷에서 SIP 프로토콜에서 정의되지 않은 사용자 인증 및 패킷의 유효성을 포함한 추가 정보를 추출하는 것을 특징으로 한다.
또한, 상기 제2단계는. 상기 발신 단말 또는 상기 SIP 프락시 서버의 MAC 주소(Media Access Control Address), 상기 SIP 보안서버로 입력된 네트워크 패킷의 소스(Source) IP(Internet Protocol) 주소와 상기 제1단계에서 추출된 SIP 필드 값을 포함한 사용자 정보를 이용하여 사용자를 특정하고, 특정된 사용자를 기 저장된 사용자 정보와 비교하여 패킷 전송 여부를 결정하는 것을 특징으로 한다.
상기와 같이 구성된 본 발명에 따르면, 기존 SIP 프로토콜을 변형하지 않고 SIP 보안서버를 이용하여 사용자를 인증함으로써 기존 SIP 시스템과의 호환성을 가질 수 있는 효과가 있을 뿐만 아니라 기존 SIP 시스템의 보안을 강화하는 데 소용되는 비용을 절감할 수 있는 효과가 있다.
또한, 기존 SIP 프로토콜을 변형하지 않고 사용자를 인증함으로써 SIP 프로토콜의 복잡성이 증가하지 않는 효과가 있을 뿐만 아니라, 기존 SIP 프로토콜에서 보안 요소를 측정하기 위한 시스템 과부하를 감소시킬 수 있는 효과가 있다.
도 1은 본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템의 전체구성도를 도시한 도면이다.
도 2는 SIP 보안 서버의 구조를 도시한 도면이다.
도 3은 SIP 프로토콜 구조 변환 모델의 일실시예를 도시한 도면이다.
도 4는 SIP 인증 모듈의 일실시예를 도시한 도면이다.
도 5는 SIP 상태 정도 관리 모듈의 일실시예를 도시한 도면이다.
도 6은 SIP 정형 상태 모델의 일실시예를 도시한 도면이다.
도 7은 SIP 상태 코드를 이용한 공격 패킷 통계를 도시한 도면이다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 설명한다. 본 발명의 권리범위는 이하에서 설명하는 실시예에만 한정되는 것은 아니며, 본 발명의 특허청구범위에 기재된 내용을 기준으로 해석되어야 할 것이다.
도 1은 본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템의 전체구성도를 도시한 도면이다. 도 1에 따르면, 본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템은 착신 단말(200)와의 연결을 위해 연결 요청신호를 포함한 메시지를 전송하는 발신 단말(100) 및 상기 발신 단말(100)와 상기 착신 단말(200) 사이에 구비되어, 상기 발신 단말(100)로부터 전송받은 연결 요청 신호를 포함한 메시지를 상기 착신 단말(200)에 전송하여, 상기 발신 단말(100)와 상기 착신 단말(200)간의 상호 통화 연결을 시도하는 SIP 프락시 서버(300)로 구비될 수 있다. 이때, 상기 발신 단말(100) 및 상기 SIP 프락시 서버(300) 또는 상기 SIP 프락시 서버(300) 및 상기 착신 단말(200) 사이에는 SIP 보안서버(400)가 구비되어 상기 발신단말(100) 또는 상기 SIP 프락시 서버(300)로부터 패킷 단위로 메시지를 받거나, 상기 착신 단말(200)으로 패킷 단위로 메시지를 송신하는데, SIP 보안서버(400)는 SIP 프로토콜에 의하여 전송된 네트워크 패킷에서 사용자 정보를 추출하여 인증하고 사용자 별로 세션에 대한 분류를 수행하고 분류된 세션에서 메시지 흐름을 분석하여 유효 메시지인지 판단한 후 유효 메시지만 전송한다. 상기 SIP 보안서버(400)의 상세한 작용에 대하여는 후술한다.
여기서, 상기 발신 단말(100)와 상기 착신 단말(200)은 인터넷망에 연결된 개인용 컴퓨터나 개인정보단말(PDA) 등에 인터넷 전화 기능이 탑재된 소프트 폰 또는 IP폰과 같은 하드폰을 들 수 있다. 이때, 상기 IP폰은 무선랜 사용이 가능한 핫스팟(hot spot) 지역에서 유무선 인프라를 이용해 음성전화는 물론 멀티미디어 데이터 통신을 사용할 수 있는 차세대 단말기를 말한다. 즉, 휴대폰에 무선랜을 결합해 이동전화 1 대로 길거리에서 인터넷과 무선랜, 이동전화 등을 이용할 수 있다. 또한, 상기 발신 단말(100)와 상기 착신 단말(200)에는 일반적으로 음성 통화 기능 및 비디오 코덱 디코딩 기능 그리고 이미지, 음원파일(MP3)을 재생할 수 있는 기능이 갖추어져 있다고 가정한다.
그리고 상기 SIP 프락시 서버(300)는 패킷 네트워크상에서 통신 단말기의 식별 및 상호간의 멀티미디어 통신 세션을 생성, 삭제, 변경 위한 절차를 명시한 시그널링 프로토콜의 구성요소로, 상기 발신 단말(100)에서 요청하는 세션을 수락하고 상기 착신 단말(200)의 주소 정보를 레지스트리 서버에 질의하는 기능을 하는 서버를 말한다. 즉, 상기 SIP 프락시 서버(300)는 인터넷 망을 통해 상기 발신 단말(100)와 연결되고, 상기 발신 단말(100)과 상기 착신 단말(200) 사이에서 신호 처리 역할을 수행한다.
또한, 상기 SIP 프락시 서버(300)는 시그널링 프로토콜을 이용하여 연결을 시도하는 상기 발신 단말(100)에 대하여 시그널링 프로토콜에 따라 등록과 호 처리 과정을 수행하는 역할을 한다.
그리고 상기 SIP 프락시 서버(300)는 상기 발신 단말(100)로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지나 연결 해지요청(BYE) 등의 메시지를 받으면 상기 착신 단말(200)가 인터넷망 또는 전화망에 연결되어 있는 경우 직접 상기 착신 단말(200)에게 전달하거나 상기 착신 단말(200)로부터의 응답을 받아 상기 발신 단말(100)로 전달하여 상기 발신 단말(100)와 상기 착신 단말(200)의 상호 통화를 연결시키거나 해지시킬 수 있다.
SIP 보안서버(400)는 SIP 프락시 서버(300)와 별도로 존재하며, 도 1에 도시한 바와 같이 SIP 프락시 서버(300)에게 발신 단말(100) 또는 착신 단말(200)로 인식되며, 발신 단말(100) 또는 착신 단말(200)에서는 SIP 프락시 서버(300)로 인식된다. 따라서 발신 단말(100) 또는 착신 단말(200)은 SIP 보안 서버(400)를 SIP 프락시 서버(300)로 판단하여, 모든 SIP 패킷을 SIP 보안 서버(400)로 보낸다. SIP 패킷을 받은 SIP 보안 서버(400)는 후술하는 바와 같이 SIP 프로토콜에 의하여 전송된 패킷에서 추출된 사용자 정보 및 세션 정보를 포함한 SIP 필드에서 사용자 정보를 자신으로 바꿔서 SIP 프락시 서버(300)로 전송한다. SIP 프락시 서버(300)는 상기와 같은 사용자 정보의 변경으로 SIP 보안 서버(400)를 단말로 판단하게 된다. 따라서, 그에 대한 응답 역시 SIP 보안 서버(400)로 전송하게 된다. SIP 보안 서버(400)는 다시 전송받은 응답에서 SIP 프락시 서버(300) 정보를 자신의 정보로 변경한 후 단말에 전송한다.
다음은 SIP 보안 서버(400) 내부에서 보안 위협 요소 탐지 및 차단하기 위한 과정 및 내부 모델에 대하여 설명한다. SIP 보안 서버(400)의 보안 위협 요소 탐지 및 차단은 도 2에 도시한 바와 같이 SIP 보안 서버(400)로 입력된 네트워크 패킷은 SIP 구조 분석 모델(410)을 통하여 ASCII 형식을 가지며 SIP 프로토콜을 구조화 시킨 정보인 SIP 필드 정보로 변환시킨다. 상기 SIP 필드 정보에는 SIP 사용자 정보 및 세션 정보가 포함된다.
이 경우 SIP 필드 정보 변환 중에 별도로 각 필드 값의 유효성을 판단하여 유효하지 않은 필드를 가지는 패킷을 차단함으로써 SIP 프로토콜의 보안성을 향상시킬 수 있다. 또한, 후술할 SIP 인증 모델(420) 및 SIP 상태 정도 관리 모델(430)에서도 상기 SIP 필드 값에 대한 유효성 판단이 지속적으로 수행되어 Fuzzing 공격에 의한 SIP 필드 값에 대한 결함을 지속적으로 체크하여 보안을 강화할 수 있다.
SIP 인증 모델(420)은 상기 SIP 필드 정보에 포함된 사용자 정보를 이용하여 사용자 인증을 하며, 상기 SIP 구조 분석 모델(410)에서 변환된 SIP 필드 정보를 이용하여 사용자 별로 정밀한 세션 분류를 한다. SIP 상태 정도 관리 모델(430)은 SIP 인증 모델(420)에서 분류된 세션에서의 메시지 흐름을 SIP 상태 정도 관리 모델(430)에 저장된 유효적인 메시지 흐름을 나타내는 SIP 정형 상태 모델(SIP Formal State Model)과 비교하여 유효 메시지인지 최종적으로 판단하게 된다.
다음은 SIP 보안 서버(400)를 구성하는 각각의 모델에 대하여 구체적인 동작을 살펴본다.
SIP 프로토콜은 요청 메시지와 응답 메시지로 나뉜다. SIP 프로토콜은 메시지 시작 줄과 메시지 바디로 이루어져 있는데 메시지 바디에는 여러 필드들이 포함되어 있다. 이 필드들은 요청 메시지에서만 쓰이는 필드가 있고 응답 메시지에서만 쓰이는 필드가 있으며, 요청과 응답 두 메시지 모두 쓰이는 필드도 있다. 각 필드마다 필드 값들은 정해진 형식에 따라 기록되게 된다. 이러한 SIP 프로토콜의 구조는 텍스트로 되어 있다.
SIP 프로토콜 구조 변환 모델(410)은 도 3에 도시한 바와 같이 시스템의 과부하를 줄이기 위해 텍스트로 구성된 SIP 프로토콜에 정의된 사용자 정보 및 SIP 세션 정보를 포함한 특성 정보를 보안 위협 요소 탐지/차단 판단이 용이하도록 특성 단위인 SIP 필드로 구분하는 SIP 구조 변환을 수행한다.
또한, SIP 프로토콜 구조 변환 모델(410)은 SIP 보안 서버(400)에 입력된 네트워크 패킷에서 SIP 프로토콜에서 정의된 사용자 정보 및 SIP 세션 정보 외에 사용자 인증, 패킷의 유효성 등 추가 정보를 추출할 수 있다. 상기 추출된 추가 정보를 이용하여 사용자 인증 및 패킷의 유효성 판단 자료로 사용함으로써 보안을 강화할 수 있을 뿐만 아니라, SIP 프로토콜의 변조 여부도 쉽게 판단할 수 있다.
SIP 인증 모델(420)은 도 4에 도시한 바와 같이 SIP 프로토콜 구조 변환 모델(410)에 의하여 특성 단위로 구분되어 구조 변환된 SIP 필드 정보를 이용하여, SIP 인증을 수행한다. SIP 인증방법은 종래의 SIP 프로토콜의 인증 방법에 발신 단말(100) 또는 SIP 프락시 서버(300)의 MAC Address와 SIP 보안서버(400)로 입력된 네트워크 패킷의 소스(Source) IP와 SIP 프로토콜 구조 변환 모델(410)에서 추출된 SIP 필드 값을 종합 분석하여 사용자를 특정하고, 특정된 사용자가 기 저장된 블랙리스트 또는 화이트리스트에 속하는 지 여부를 판단하여 패킷 전송의 승인/거부를 결정한다. 여기에서 블랙리스트는 공격자로 판단되는 사용자들의 리스트이고, 화이트리스트는 신뢰할 수 있다고 판단되는 사용자들의 리스트이다. 사용자 판단 이후, 사용자 별 세션에 대해 분류를 수행한다. 분류를 위해 앞서 추출한 사용자 정보와 함께, SIP 프로토콜 필드에서 ‘To', 'From', 'Branch', 'Call-ID' 등 독립 세션을 표현하는 필드를 이용해서 한 사용자 안에서 세션을 분류한다.
SIP 상태정보 관리 모델(430)은 SIP 인증 모델(420)에서 분류된 세션 정보를 이전에 기록된 메시지 흐름인 ‘SIP 정형 상태 모델(SIP Formal State Model)'과 비교하여 올바른 순서의 메시지인지 판단하게 된다. 즉 SIP 프로토콜의 상태정보를 유지하여 올바른 요청/응답을 판단한다.
SIP 인증 모델(420)에서 분류된 세션 정보에서는 각 사용자의 각 세션의 메시지 흐름이 기록되어 있다. 이 상태정보 유지는 세션을 이룬 당사자가 아닌 제 3자가 세션을 변경, 종료 하는 것을 방지할 수 있다.
SIP 프락시 서버(300)의 경우에도 상태정보를 유지하는 'Stateful Proxy Server'가 존재하지만, 보안관점에서의 상태정보 유지가 아니며 SIP 상태정보 관리 모델(430)과는 달리 유효 사용자 인지 판단하는 부분은 결여되어 있다. SIP 상태정보 관리 모델(430)은 SIP 인증 모델(420)에 의한 사용자 관리가 선행되며, 도 6에 도시한 바와 같이 보안 관점에서 SIP 정형 상태 모델(SIP Formal State Model)을 생성하여 이를 SIP 인증 모델(420)에서 분류된 세션 정보와 비교하여 SIP 프로토콜의 상태를 상세히 비교/검토할 수 있다. SIP 정형 상태 모델(SIP Formal State Model)과의 비교/검토 후에 승인된 메시지의 경우, 세션정보에 메시지를 추가하고 변경된 SIP 정보에 따라 SIP 프로토콜을 생성하여 SIP 프락시 서버(300)에 전송한다.
다음은 본 발명에 따른 SIP 기반 VoIP의 보안 시스템의 성능을 검증하기 위한 실험에 대하여 설명한다. 실험은 공격 실험과 시스템 과부하, 서비스 지연에 대하여 진행하였으며 발신 단말(100) 또는 착신 단말(200)인 SIP 폰과 SIP 프락시 서버(300), 그리고 SIP 보안 서버(400)의 간단한 구성으로 SIP 통신 환경을 설정하였다.
실험환경의 기본 구성 요소는 다음과 같다.
- PC : 6대(SIP 프락시 서버(300) 2대, SIP 보안 서버(400) 1대, SIP 유저 에이전트 2대, SIP 테스팅 툴 1대)
- SIP 프락시 서버(300) : Partysip ver.2.2.3
- SIP 유저 에이전트 : Kphone ver.3.11
- SIP 테스팅 툴 : SIPNess
SIP 통신 실험을 위해 SIP 프락시 서버(300)와 SIP 폰이 통신할 수 있는 환경을 구성하고 간단한 공격 실험을 한다. SIP 프락시 서버(300)의 구축을 위해 Partysip을 사용하였다. 버전은 최신 버전인 2.2.3을 사용하였다. Partysip은 완전한 오픈소스인 GNU SIP 스택을 구현한 프락시 서버이다. SIP 폰으로 Kphone ver.3.11을 사용하였다. Kphone은 현재 존재하는 SIP 소프트폰(Softphone) 중 하나이다. 공격 실험을 위한 테스팅 툴은 SIPNess를 사용하였다. SIPNess는 SIP 어플리케이션을 테스트할 수 있는 툴이다. 가상 SIP 프락시 서버는 SIP에서 인증 프로토콜에 대한 정보를 수신한다. 수신된 SIP 인증정보는 가상 프락시 SIP 서버에 설정된 Possible State Diagram에 따라서 공격여부를 판단하게 되며 공격일 경우 차단 신호를 보내어 차단을 수행하게 된다.
SIP를 사용하는 클라이언트 프로그램은“REGISTER” 패킷을 계속적으로 송신한다. 이에 따라PROXY 서버는 “200 OK” 패킷을 지속적으로 전송하게 된다. 그러므로 가상 프락시 서버에서는 “REGISTER”와 “200 OK”를 독립적으로 처리하지만 “INVITE” 패킷의 경우 자주 사용하는 패킷이 아니며 “INVITE”, “Trying”, “Ringing” 순서로 흐르게 된다. 따라서 SIP 공격과 같이 동일한 패킷을 지속적으로 전송하게 되는 경우 프로토콜의 순서를 무시하게 된다. 도 7에 도시한 Ssible State Diagram을 통하여 공격탐지가 가능하다는 것을 알 수 있다.
SIP 환경에서는 실시간으로 패킷을 전송하고 모니터링을 해야 하기 때문에 패킷의 수정과정을 거치지 않고 패킷헤더를 추출하여 바로 전송과정을 거친다. 하지만 공격을 탐지하고 대응을 하기 위해서는 IP 주소와 MAC 주소를 이용하여 차단할 패킷을 판단하는 과정을 거쳐야한다. 본 발명에서는 차단 IP 주소와 MAC 주소 비교과정을 거치게 되며 이러한 비교과정으로 인한 SIP 통신에 영향을 끼쳐서는 안된다. 하기 표 1의 가상 프락시 서버와 vIDS의 처리 상태 코드 비교표에 의하면 본 발명의 SIP 공격 탐지 및 대응모델은 사용자에게 영향을 미치지 않으면서 관리자는 실시간 모니터링을 할 수 있다는 것을 알 수 있다.
Figure pat00001
상기 표 1에 나타난 바와 같이 기존의 vIDS는 다양한 상태를 고려하고 있지만 Busy here, CANCEL, Request Terminated와 같은 자주 나올 수 있는 상태를 고려하지 않고 있다. 대체적인 Message Flooding 공격은 SIP 통신상에서 호 설정 및 해지에 대한 공격이 대부분이다. 대표적인 예로 Invite, Busy here 메시지에 대한 공격은 호 설정을 방해하고, Cancel, Request Terminated 메시지에 대한 공격은 연결이 되어있는 통신을 중간에 임의대로 종료시키기 위해 사용된다. 따라서 이러한 공격에 대한 탐지 및 대응이 필요하다.
본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템은 기존의 vIDS 시스템과 마찬가지로 SIP 패킷분석 기능을 제공하며 해당 SIP 세션에 대한 분류기능을 포함하고 있다. 하지만 본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템은 추가적으로 유무선 SIP 트래픽에 대한 이상탐지기능을 제공 할 수 있으며, SIP 프락시 서버와 연계되어 프락시 서버의 성능을 높이고 SIP 프로토콜구조의 안전성을 높일 수 있다. 또한 본 발명에 따른 SIP 기반 인터넷 전화 서비스의 보안 시스템은 실제 SIP 통신을 사용함으로써 vIDS에서 고려되지 않은 상태를 찾아내어 기존의 SIP 공격탐지보다 더 많은 공격을 탐지 할 수 있다.
이상에서는 본 발명의 바람직한 실시예를 예시적으로 설명하였으나, 본 발명의 범위는 이 같은 특정 실시예에만 한정되지 않으며 해당 분야에서 통상의 지식을 가진 자라면 본 발명의 특허청구범위 내에 기재된 범주 내에서 적절하게 변경이 가능할 것이다.
100: 발신 단말 200: 착신 단말
300: SIP 프락시 서버 400: SIP 보안서버
410: SIP 구조 분석 모델 420: SIP 인증 모델
430: SIP 상태 정도 관리 모델

Claims (9)

  1. 발신 단말, 착신 단말, 상기 발신 단말과 상기 착신 단말간의 상호 통화 연결을 시도하는 SIP(Session Initiation Protocol) 프락시 서버 및 보안 서버를 포함하는 SIP 기반 인터넷 전화 서비스의 보안 시스템에서,
    상기 발신 단말과 상기 SIP 프락시 서버 사이 또는 상기 SIP 프락시 서버와 상기 착신 단말 사이에 SIP 보안서버가 구비되며,
    상기 SIP 보안서버는 상기 발신 단말 또는 상기 SIP 프락시 서버로부터의 메시지를 SIP 프로토콜에 의하여 전송한 패킷에서 사용자 정보를 추출하여 상기 추출된 사용자 정보에 따라 사용자를 인증하고 인증된 사용자 별로 세션에 대한 분류를 수행하고 분류된 세션에서 메시지 흐름을 분석하여 유효 메시지인지 판단한 후 유효 메시지만 전송하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  2. 제1항에 있어서,
    상기 SIP 보안 서버는,
    SIP 프락시 서버에게 발신 단말 또는 착신 단말로 인식되며, 발신 단말 또는 착신 단말에서는 SIP 프락시 서버로 인식되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  3. 제1항에 있어서,
    상기 SIP 보안 서버는,
    상기 SIP 보안 서버로 입력된 네트워크 패킷에서 텍스트로 구성된 SIP 프로토콜에 정의된 사용자 정보 및 SIP 세션 정보를 포함한 특성 정보를 특성 단위인 SIP 필드로 구분하는 SIP 구조 변환을 수행하는 SIP 프로토콜 구조 변환 모델;
    상기 SIP 필드에 포함된 사용자 정보를 이용하여 사용자 인증을 하며, 사용자 별로 세션 분류를 수행하는 SIP 인증 모델;
    상기 SIP 인증 모델에서 분류된 세션에서의 메시지 흐름을 유효적인 메시지 흐름을 나타내는 SIP 정형 상태 모델(SIP Formal State Model)과 비교하여 유효 메시지인지 판단하는 SIP 상태 정도 관리 모델;
    을 더 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  4. 제3항에 있어서,
    상기 SIP 프로토콜 구조 변환 모델은,
    상기 SIP 보안 서버에 입력된 네트워크 패킷에서 SIP 프로토콜에서 정의되지 않은 사용자 인증 및 패킷의 유효성을 포함한 추가 정보를 추출하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  5. 제3항에 있어서,
    상기 SIP 프로토콜 구조 변환 모델은,
    SIP 필드 구분과 동시에 SIP 필드의 유효성을 판단하여 유효하지 않은 필드를 가지는 패킷을 차단하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  6. 제3항에 있어서,
    상기 SIP 인증 모델은,
    상기 발신 단말 또는 상기 SIP 프락시 서버의 MAC 주소(Media Access Control Address), 상기 SIP 보안서버로 입력된 네트워크 패킷의 소스(Source) IP(Internet Protocol) 주소와 상기 SIP 프로토콜 구조 변환 모델에서 추출된 SIP 필드 값을 포함한 사용자 정보를 이용하여 사용자를 특정하고, 특정된 사용자를 기 저장된 사용자 정보와 비교하여 패킷 전송 여부를 결정하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  7. 제1항에 있어서,
    상기 SIP 보안 서버는,
    상기 SIP 보안 서버로 입력된 네트워크 패킷에서 텍스트로 구성된 SIP 프로토콜에 정의된 사용자 정보 및 SIP 세션 정보를 포함한 특성 정보를 특성 단위인 SIP 필드로 구분하는 SIP 구조 변환을 수행하는 제1단계;
    상기 SIP 필드에 포함된 사용자 정보를 이용하여 사용자 인증을 하며, 사용자 별로 세션 분류를 수행하는 제2단계;
    상기 분류된 세션에서의 메시지 흐름을 정상적인 메시지 흐름을 나타내는 SIP 정형 상태 모델(SIP Formal State Model)과 비교하여 유효 메시지인지 판단하는 제3단계; 및
    유효 메시지로 판단된 경우 유효 메시지를 전송하는 제4단계;
    를 포함하여 구성된 메시지의 보안처리를 행하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  8. 제7항에 있어서,
    상기 제1단계는,
    상기 SIP 보안 서버에 입력된 네트워크 패킷에서 SIP 프로토콜에서 정의되지 않은 사용자 인증 및 패킷의 유효성을 포함한 추가 정보를 추출하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.
  9. 제3항에 있어서,
    상기 제2단계는.
    상기 발신 단말 또는 상기 SIP 프락시 서버의 MAC 주소(Media Access Control Address), 상기 SIP 보안서버로 입력된 네트워크 패킷의 소스(Source) IP(Internet Protocol) 주소와 상기 제1단계에서 추출된 SIP 필드 값을 포함한 사용자 정보를 이용하여 사용자를 특정하고, 특정된 사용자를 기 저장된 사용자 정보와 비교하여 패킷 전송 여부를 결정하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스의 보안 시스템.

KR1020120002147A 2012-01-06 2012-01-06 에스아이피 기반 인터넷 전화 서비스의 보안 시스템 KR101287588B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120002147A KR101287588B1 (ko) 2012-01-06 2012-01-06 에스아이피 기반 인터넷 전화 서비스의 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120002147A KR101287588B1 (ko) 2012-01-06 2012-01-06 에스아이피 기반 인터넷 전화 서비스의 보안 시스템

Publications (2)

Publication Number Publication Date
KR20130081141A true KR20130081141A (ko) 2013-07-16
KR101287588B1 KR101287588B1 (ko) 2013-07-19

Family

ID=48992969

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120002147A KR101287588B1 (ko) 2012-01-06 2012-01-06 에스아이피 기반 인터넷 전화 서비스의 보안 시스템

Country Status (1)

Country Link
KR (1) KR101287588B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190120049A (ko) 2018-04-13 2019-10-23 베이징 하너지 솔라 파워 인베스트먼트 컴퍼니 리미티드 기와 고정 장치, 기와 설치 방법 및 지붕
KR20190120050A (ko) 2018-04-13 2019-10-23 베이징 하너지 솔라 파워 인베스트먼트 컴퍼니 리미티드 기와, 기와 유닛 및 기와 제조방법
KR102437480B1 (ko) * 2021-11-26 2022-08-29 한국인터넷진흥원 Sip 비암호화 탐지 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101075750B1 (ko) * 2004-10-04 2011-10-24 삼성전자주식회사 멀티미디어 전화 서비스 네트워크에서 멀티미디어링백톤을 제공하기 위한 방법 및 시스템
KR101107742B1 (ko) * 2008-12-16 2012-01-20 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
KR101089269B1 (ko) * 2009-10-21 2011-12-02 한신대학교 산학협력단 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190120049A (ko) 2018-04-13 2019-10-23 베이징 하너지 솔라 파워 인베스트먼트 컴퍼니 리미티드 기와 고정 장치, 기와 설치 방법 및 지붕
KR20190120050A (ko) 2018-04-13 2019-10-23 베이징 하너지 솔라 파워 인베스트먼트 컴퍼니 리미티드 기와, 기와 유닛 및 기와 제조방법
KR102437480B1 (ko) * 2021-11-26 2022-08-29 한국인터넷진흥원 Sip 비암호화 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR101287588B1 (ko) 2013-07-19

Similar Documents

Publication Publication Date Title
Keromytis A comprehensive survey of voice over IP security research
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8635693B2 (en) System and method for testing network firewall for denial-of-service (DoS) detection and prevention in signaling channel
JP5225468B2 (ja) 分散システムにおける攻撃検知支援方法
US20200053136A1 (en) Originating caller verification via insertion of an attestation parameter
JP4692776B2 (ja) Sipベースのアプリケーションを保護する方法
KR20110065091A (ko) 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
Keromytis A survey of voice over IP security research
Azad et al. Multistage spit detection in transit voip
US20150150076A1 (en) Method and device for instructing and implementing communication monitoring
JP4602158B2 (ja) サーバ装置保護システム
KR101287588B1 (ko) 에스아이피 기반 인터넷 전화 서비스의 보안 시스템
Keromytis Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research
Shan et al. Research on security mechanisms of SIP-based VoIP system
Bremler-Barr et al. Unregister attacks in SIP
Srihari et al. Security aspects of SIP based VoIP networks: A survey
Phithakkitnukoon et al. Voip security—attacks and solutions
Ackermann et al. Vulnerabilities and Security Limitations of current IP Telephony Systems
Li et al. An efficient intrusion detection and prevention system against SIP malformed messages attacks
Duanfeng et al. Security mechanisms for SIP-based multimedia communication infrastructure
Vrakas et al. Evaluating the security and privacy protection level of IP multimedia subsystem environments
KR101095878B1 (ko) 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법
Sonwane et al. Security analysis of session initiation protocol in IPv4 and IPv6 based VoIP network
Seedorf et al. Session PEERing for Multimedia INTerconnect (SPEERMINT) Security Threats and Suggested Countermeasures
Ochang et al. Security Analysis of VoIP Networks Through Penetration Testing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160623

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170623

Year of fee payment: 5