技術領域

本發(fā)明涉及系統(tǒng)安全檢測技術，尤其涉及一種IP多媒體子系統(tǒng)漏洞檢測的方法及系統(tǒng)。

背景技術

IP多媒體子系統(tǒng)(IP?Multimedia?Subsystem，IMS)是由第三代移動通信伙伴組織(3rd?Generation?Partnership?Project，3GPP)在Release5版本標準中提出的支持IP多媒體業(yè)務的子系統(tǒng)。IMS的核心特點是基于IP分組網(wǎng)絡，支持開放的應用程序接口(Application?Programming?Interface，API)，采用會話起始協(xié)議(Session?Initial?Protocol，SIP)作為會話控制協(xié)議，會話描述協(xié)議(SessionDescription?Protocol，SDP)作為多媒體會話描述協(xié)議，實現(xiàn)業(yè)務、呼叫控制和承載的相互分離，并可屏蔽接入手段的差異。IMS是解決移動網(wǎng)和固網(wǎng)融合，引入語音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務的重要方式。IMS的體系結構采用分層設計的方式，包括承載層、信令控制層和應用層，其中，信令控制層是IMS網(wǎng)絡中的中間層，主要由網(wǎng)絡控制服務器組成，負責管理呼叫以及會話的設置、修改和釋放，所有IP多媒體業(yè)務的信令控制都在這一層完成。

SIP協(xié)議是互聯(lián)網(wǎng)工程任務組(The?Internet?Engineering?Force，IETF)提出的、在IP網(wǎng)絡上進行多媒體通信的應用層控制協(xié)議，同時也是IMS網(wǎng)絡中重要的信令控制協(xié)議。SIP協(xié)議是基于因特網(wǎng)兩個成功的服務Web和E-mail進行設計的。SIP協(xié)議借鑒了Internet的標準和協(xié)議設計思想，堅持簡潔、開放和可擴展、可重用性的原則，為組建多媒體通信網(wǎng)絡、提供多媒體業(yè)務提供了一種可以將簡單的應用結合到復雜的服務中的方法。SIP協(xié)議通過便捷的方式來建立和控制各種類型的點到點媒體會話，與Internet協(xié)議類似，它采用的是一種模塊化結構、請求/應答模式、基于文本方式，因此使用非常簡單靈活，升級擴展也很方便。

鑒于IMS的重要性和SIP協(xié)議在IMS中的重要地位，SIP協(xié)議的安全問題目前成為學術界和工業(yè)界共同關注的焦點之一。雖然SIP協(xié)議具有易用性、靈活性和擴展性強等特點，但由于SIP協(xié)議一般使用文本方式在IP網(wǎng)絡上傳輸，且SIP協(xié)議的傳輸使用了代理服務器、重定向服務器等中間設備，使其信令的完整性、保密性、可用性和真實性存在安全隱患。另外，在將SIP協(xié)議轉化為產品的過程中，由于開發(fā)人員素質的參差不齊、以及SIP標準開發(fā)的產品長時間不進行維護，也會無形中增加一些安全漏洞。然而，SIP協(xié)議與公共交換的電話網(wǎng)絡密切相關，因此，如何避免網(wǎng)絡中的病毒與惡意威脅，避免被網(wǎng)絡竊聽等已經(jīng)成為采用SIP協(xié)議產品的重要考慮因素。

目前，SIP協(xié)議的安全問題已經(jīng)得到了廣泛重視，為了減輕畸形SIP信令對IMS網(wǎng)絡的威脅，關鍵是找到SIP產品的漏洞以對其進行修復。

發(fā)明內容

有鑒于此，本發(fā)明的主要目的在于提供一種IP多媒體子系統(tǒng)漏洞檢測的方法及系統(tǒng)，實現(xiàn)IMS的漏洞檢測。

為達到上述目的，本發(fā)明的技術方案是這樣實現(xiàn)的：

一種IP多媒體子系統(tǒng)漏洞檢測的方法，所述方法包括下述步驟：

根據(jù)SIP信令規(guī)范及特點，構造IP多媒體子系統(tǒng)IMS的畸形SIP信令，并設置所述畸形SIP信令的威脅維度；

根據(jù)用戶的需求及所述畸形SIP信令的威脅維度，設置IMS的檢測策略；

根據(jù)用戶選擇的檢測策略、測試方案，選取畸形SIP信令發(fā)送至IMS；

檢測IMS的網(wǎng)絡狀態(tài)，生成檢測報告。

其中，所述根據(jù)SIP信令規(guī)范及特點構造IMS的畸形SIP信令為：將SIP信令劃分成不同的字段；根據(jù)預先定義的畸形規(guī)則構造方法，定位SIP信令的字段；根據(jù)定位得到的SIP信令的字段，獲取所述字段對應的異常元素類型；根據(jù)所述異常元素類型，構造IMS的畸形SIP信令。

其中，所述將SIP信令劃分成不同的字段為：在SIP信令塊層面上，將SIP信令劃分為請求行或者狀態(tài)行、SIP信令頭以及SIP信令體；或者，

在SIP信令行層面上，利用換行符號將SIP信令劃分為行集合；或者，

在SIP信令字符串層面上，利用分界符將SIP信令劃分為字符串集合；或者，

在SIP信令單詞層面上，將SIP信令劃分成單詞集合。

具體地，所述畸形規(guī)則構造方法包括字段重復、字段刪除、字段插入及字段亂序的一種或多種；