天地一體化網絡多媒體業務跨域互聯技術研究

◆許書彬 劉曉東

?

天地一體化網絡多媒體業務跨域互聯技術研究

◆許書彬 劉曉東

(中國電子科技集團公司第五十四研究所 河北 050081)

針對天地一體化網絡由多個異構子網構成的網絡特點和多媒體業務的協議特點，有針對性地研究了天地一體化網絡中多媒體業務跨域互聯的關鍵技術。采用抗隱蔽通道的隔離交換技術，實現業務的跨域交換。采用特征自動生成的協議檢測技術，實現對多媒體信令的安全檢測，阻斷跨網攻擊。采用基于信令的會話動態控制技術，實現對語音、視頻數據的跨網互聯動態控制。可以有效解決多媒體業務跨域互聯的安全問題，實現天地一體化網絡環境中的安全互通。

天地一體化網絡；多媒體；隱蔽通道；協議檢測；動態控制

0 引言

天地一體化信息網絡作為國家信息化重要基礎設施，對拓展國家利益、維護國家安全、保障國計民生、促進經濟發展具有重大意義，是我國信息網絡實現信息全球覆蓋、寬帶傳輸、軍民融合、自由互聯的必由之路[1]。通過天基信息網、地面互聯網、移動通信網的全面融合、共同演進，形成覆蓋全球的天地一體化信息網絡，為各類用戶提供“隨遇接入、安全可信”的服務。

天地一體化信息網絡能夠屏蔽天地各類系統在技術體制層面的顯著差異，為終端用戶提供跨系統的、無需區分天地的各種服務與應用，實現一體化信息共享與利用[2]。包括語音、視頻在內的多媒體（Multimedia Service）業務具有多樣的應用方式和廣闊的應用前景[3]，將會是天地一體化網絡中一類重要的業務。

本文對天地一體化網絡環境中多媒體類業務跨域互聯的關鍵技術進行了研究，針對異構子網環境下跨域互聯問題，討論了抗隱蔽通道的隔離交換技術方案，針對多媒體協議的特點，討論了多媒體信令的安全檢測技術、媒體的動態控制技術，以實現異構網絡環境下多媒體業務安全、受控的跨域互聯互通。

1 一體化網絡多媒體業務跨域互聯安全問題分析

天地一體化信息網絡由天基信息網、地面互聯網和移動通信網組成，每種網絡中又包含多種子網，是一個大容量、多層次的異構網絡[4]。各異構網絡之間存在廣泛的多媒體業務互聯互通的需求，但由于各種異構網絡獨立建設，并且出于安全性的考慮彼此物理隔離，無法實現多媒體業務的互聯互通。多媒體業務是一類需要信息實時交互的業務，人工擺渡的方式無法滿足實時性要求，需要找到一種達到與物理隔離安全效果等價的網絡隔離通信方案，實現多媒體業務跨域互聯。

多媒體業務與數據類業務相比，在網絡層都采用TCP/IP協議承載，其面臨的安全問題類似，可以在天地一體化網絡多域網絡安全互聯的總體技術路線下統一分析解決。多媒體業務的特殊性更多地體現在應用層，需要針對其特點進行專門研究。

多媒體業務包括信令和媒體兩個層面。在信令層面，可采用H.323協議和SIP協議。其中，SIP協議結構簡單，易于實現和調試，并具有優秀的靈活性和擴展性，得到了越來越廣泛的應用。SIP協議以文本的形式編碼，在網絡傳輸中，文本形式表示的消息的詞法和語法分析比較簡單，攻擊者可以非常容易地模仿、篡改SIP信令消息，并非法竊取、利用SIP消息中的重要信息。天地一體化網絡具有信道開放、衛星節點暴露等特點，相比傳統地面網絡，更易遭受實體假冒、信息竊取、重放攻擊等安全威脅，SIP協議的特點也容易被攻擊者利用，通過安全等級低，安全防護能力弱的網絡作為跳板，發起跨網攻擊。多媒體業務在跨域互通時需要對會話協議進行深度安全檢測，檢測和阻斷攻擊，防止安全風險的擴散[5]。

在媒體層面，多媒體業務基于RTP協議傳輸語音、視頻等數據，并使用UDP協議承載。天地一體化網絡中的異構子網安全等級各不相同，跨域的語音、視頻通信需要進行嚴格的限制和檢查，防止信息的非法泄露。UDP協議的無連接特性容易被攻擊者利用，通過篡改、重放等方式進行非法信息傳輸或跨網攻擊，天地一體化網絡的信道開放環境，更加劇了媒體數據的跨域傳輸安全風險。需要結合信令協議的協商過程，對媒體類數據進行動態、細粒度的跨網互通控制[6]。

2 一體化網絡多媒體業務跨域互聯控制關鍵技術研究

2.1抗隱蔽通道的隔離交換

為了實現信息實時、可靠的跨域安全傳輸，需要一種達到與物理隔離安全效果等價的網絡隔離通信方案[7]，實現基于OSI 網絡模型的七層全部斷開，以非網絡方式交換數據，并且交換的是非網絡數據[8]（可以是文件，但不能是IP包等標準協議格式），如圖所示。

圖1 OSI模型七層斷開示意圖

為了實現OSI模型的七層完全斷開，需要消除跨域通信過程中的隱蔽通道。根據形成原因，隱蔽通道可以分為3類：消息內容自身隱蔽通道、數據分組大小隱蔽通道（PLCC，packet lengths。covert channel）和狀態信息隱蔽通道（SCC，status covert channel）。其中第一類隱蔽通道存在于所有的網絡通信中，不可避免；第二、三類隱蔽通道可以通過適當方式予以避免。文獻[7]針對PLCC和SCC兩類隱蔽通道，提出了NICS解決方案。NICS方案以硬件隔離裝置為基礎，確保拆分前后的數據分組長度之間不存在固定的映射關系，實現抗PLCC功能；為每個作業分組全程攜帶校驗碼及糾錯碼，可保障數據傳輸高可靠性，并實現抗SCC功能。在交互相同信息量的前提下，可實現與物理隔離等價的抗隱蔽通道的安全效果，具有高實時性、高安全性和高可靠性。

與數據類業務相比，多媒體業務的數據量大，實時性要求高，且在會議等應用需求中，并發量大。跨網交換位置容易成為多媒體業務的瓶頸，影響通信效果，需要在文獻[7]的基礎上，進一步研究NICS方案對多媒體業務的跨域通信支持能力，保證業務跨域互聯安全，并提高用戶體驗。

2.2基于特征自動生成的信令協議檢測

SIP協議的文本編碼特點，一方面有力地促進了協議的推廣使用，另一方面也容易引人攻擊，造成安全風險。畸形報文攻擊是SIP協議面臨的一大類攻擊。它通過構造符合SIP報文格式，但可能沒有任何意義的報文消息發送給SIP實體，使SIP實體無法處理，達到探測信息、崩潰系統、拒絕服務、注冊劫持、權限提升等攻擊效果，并可在此基礎上結合其它攻擊手段實現更具價值的攻擊目標。精心設計的畸形消息往往能達到較強的攻擊效果。由于SIP協議自身沒有專門的安全補充協議，也沒專門的安全機制，需要通過其他手段來保證SIP通信的安全性[9]。

針對SIP畸形報文攻擊的安全威脅，可采用根據協議特征自動生成正則表達式的方法，實現對SIP信令協議的深度安全檢測和攻擊阻斷。根據SIP消息的ABNF范式，自動生成一組SIP消息字段的正則表達式，并將這組正則表達式應用于SIP信令消息的協議檢測。

SIP畸形報文檢測方案如圖2所示，包括畸形報文特征預處理和畸形報文的協議檢測兩部分。其中，畸形報文特征預處理模塊包括SIP協議特征解析、SIP協議檢測規則集轉換兩部分。在SIP協議特征解析部分，利用編譯器設計中的詞法分析和語法分析過程進行SIP協議特征解析，再將SIP協議解析結果處理成正則表達式，作為SIP協議的檢測特征。在畸形報文協議檢測部分，首先對輸入的SIP數據包進行捕獲，然后解析數據包，將解析后的數據包進行檢測特征匹配，根據匹配結果生成檢測結果。發現異常信令后將其阻斷，避免其跨網滲透，并產生告警信息，實現基于威脅態勢的全網安全防護的聯動管控[10]。

圖2 基于特征自動生成的SIP畸形報文檢測

基于特征自動生成的SIP協議檢測方法，能夠自動化處理大量的協議定義，并具有靈活的可擴展性。該SIP協議檢測方法可以部署在受保護的SIP實體以外，SIP實體對此無感，不會引入額外的傳輸和處理開銷；同時，不論是來自內部還是來自外部的畸形消息，都可被監控和檢測。由于RFC3261中定義SIP消息類型是有限的，在完成檢測特征的設計后，檢測規則并不需要頻繁地更新，檢測特征集可以保持相對穩定。

2.3會話業務動態控制

多媒體業務通信過程中，語音、視頻等媒體數據的通信受信令的控制。多媒體通信會話過程中，首先要進行信令協商，針對會話的主從控制、媒體通信能力等進行動態協商。信令協商成功后，再根據協商結果開始語音、視頻通信。可基于信令實現對媒體數據的動態、細粒度控制。在信令協商過程中，解析跨域互聯信令消息，提取其中的媒體通信能力信息，根據信息協商結果下發媒體數據的控制策略。在媒體通信過程中，根據控制策略對跨域互通的媒體數據進行檢查，如發現異常則阻斷異常數據的跨網傳輸，并產生告警信息，基于威脅態勢進行全網聯動管控，如圖所示。

圖3 基于信令的會話動態控制

4 結束語

多媒體業務是天地一體化網絡中一類重要的業務。針對天地一體化網絡的環境特點和多媒體業務的協議特點，有針對性地研究了多媒體業務跨域互聯的安全技術。針對天地一體化網絡包含多個異構子網的網絡環境，討論了采用抗隱蔽通道的隔離交換技術實現業務的跨域互通，該技術方案可達到與物理隔離等價的安全效果。針對多媒體協議的特點，研究了基于特征自動生成的多媒體信令協議檢測技術，有效解決了應用層畸形報文攻擊風險；研究了基于信令的會話動態控制技術，實現對媒體數據跨域通信的動態、細粒度控制。

未來將在上述關鍵技術研究的基礎上，進一步研究天地一體化網絡中多媒體業務跨域互聯的實現方案。

[1]吳曼青，吳巍，周彬等.天地一體化信息網絡總體架構設想[J].衛星與網絡，2016.

[2]張乃通，趙康僆，劉功亮.對建設我國“天地一體化信息網絡”的思考[J].電子科學研究院學報，2015.

[3]梅敬青.適用于多媒體業務的異構無線網絡若干關鍵技術研究[D].北京郵電大學，2011.

[4]沈榮駿.我國天地一體化航天互聯網構想 [J].中國工程科學，2006.

[5]孫論強，秦海權，尹丹.物聯網安全接入網關的設計與實現[J].信息網絡安全，2011.

[6]鄧鵬程.SIP多媒體會議系統媒體服務器控制框架的設計與實現[D].電子科技大學，2011.

[7]李鳳華，談苗苗，樊凱等.抗隱蔽通道的網絡隔離通信方案[J].通信學報，2014.

[8]王永健，楊建華，郭廣濤等.網絡安全物理隔離技術分析及展望[J].信息安全與通信保密，2016.

[9]李佳.基于特征自動生成的畸形SIP信令檢測技術的研究與實現[D].北京郵電大學，2010.

[10]劉蘭.網絡安全事件管理關鍵技術研究[D].華中科技大學，2007.