技術領域

本發明涉及一種實時傳輸協議(RTP，(Real-time?Transport?Protocol)威脅檢測技術，尤其涉及一種針對IP多媒體子系統(IMS，IP?Multimedia?Subsystem)的RTP威脅的檢測方法和系統。

背景技術

下一代網絡(NGN，Next?Generation?Network)是建立在IP技術基礎上的新型公共電信網絡，也是國家的信息基礎設施的重要組成部分和信息通信的神經樞紐，承擔著大范圍內的公眾電信業務。

IP多媒體子系統(IMS，IP?Multimedia?Subsystem)是NGN控制層的核心構架，是第三代移動通信伙伴組織(3GPP，3rd?Generation?Partnership?Project)在Release?5版本標準中提出的支持IP多媒體業務的系統。IMS的特點是使用會話初始化協議(SIP，Session?Initiation?Protocol)呼叫控制機制來創建、管理和終結各種類型的多媒體業務，實現了控制和承載的分離，支持開放的應用程序編程接口(API，Application?Programming?Interface)，并基于IP分組網絡，支持各類接入方式。這些特點使得IMS存在比傳統電信網絡更多的安全脆弱性。

鑒于IMS的重要地位，IMS的安全問題已經得到了廣泛的重視。與傳統電信網相比，IMS的安全問題有著其自身的特殊性：IMS融合了傳統電信網和因特網，借鑒了因特網的成功經驗，采用了許多因特網關鍵技術，如SIP等。這導致因特網中的安全問題被引入到IMS中。研究IMS的安全問題對于促進下一代網絡順利、安全地部署具有重要意義。因此，安全問題是IMS下一步研究的重點。

實時傳輸協議(RTP，Real-time?Transport?Protocol)承擔了IMS中媒體流傳輸的主要工作。由于RTP具有不完善的加密機制，缺乏消息認證機制，真實性和信息完整性沒有在RTP層定義，所以其數據易被監聽和篡改。當SIP協議采用明文傳輸時，監聽者可從SIP協議所攜帶的會話描述協議(SDP，Session?Description?Protocol)信息中獲取RTP使用的端口號，從而從捕獲的數據包中過濾出RTP媒體流并篡改其參數信息，以實現如(SSRC，Synchronization?Source)沖突、流插入等威脅。同時，RTP也易受到互聯網上常見的如重放等威脅。因此，研究IMS的RTP安全問題，有助于完善IMS網絡的安全體系和安全措施。當前，針對IMS網絡媒體流傳輸的安全研究尚位于起步階段，業界缺乏一種針對IMS的RTP威脅的檢測方法。

發明內容

有鑒于此，本發明的主要目的在于提供一種一種針對IP多媒體子系統的RTP威脅的檢測方法和系統，能檢測并構造RTP數據包，從而實現對RTP各種威脅進行檢測。

為達到上述目的，本發明的技術方案是這樣實現的：

一種針對IP多媒體子系統實時傳輸協議威脅的檢測方法，包括：

監聽IMS中的數據流，過濾出實時傳輸協議RTP數據包，對過濾出的RTP數據包進行解析，提取所述RTP數據包的通話參數；

利用通話參數，根據檢測策略構造偽造RTP數據包，并發送至通話用戶，實現威脅檢測。

優選地，所述過濾出RTP數據包，為：

獲取通話用戶雙方建立通話時的SIP信令；

對SIP信令進行解析，獲得通話用戶雙方的IP地址及RTP使用的用戶數據包協議UDP端口號；

通話雙方建立通話后，根據IP地址及RTP使用的UDP端口號過濾出通話用戶雙方的RTP數據包。

優選地，所述過濾出RTP數據包，為：

檢測當前所接收數據流是否與RTP數據流特征匹配，匹配時將所接收數據流作為RTP數據流；所述RTP數據流特征包括以下特征的至少一項：

UDP載荷頭部的兩個比特是0x10，指示其協議版本號為V＝2；

RTP數據流的數據包載荷類型不變，且位于數據包的第9到15比特；

RTP數據流中相鄰數據包的序列號SN隨傳輸數據包的數量遞增，增量為1，且位于第16到31比特；

RTP數據流中數據包的時間戳值隨傳輸時間遞增，且位于數據包的第32到63比特；

RTP數據流的數據包的同步源標識SSRC值不變，且位于數據包的第64到95比特。

優選地，所述對過濾出的RTP數據包進行解析，為：