Механизм ИБ sip-сети на базе протокола tls 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Механизм ИБ sip-сети на базе протокола tls



 

Протокол TLS обеспечивает аутентификацию, целостность сообщений и шифрование.

В соответствии с требованиями стандарта RFC 3261 прокси-серверы, серверы перенаправления и регистрации должныреализовыватьпротокол TLS и обеспечивать взаимную и одностороннюю аутентификацию. Строго рекомендуется, чтобы UAS могли также действовать как серверы TLS. Прокси-серверы, серверы перенаправления и регистрации должнысодержать сертификаты своего хоста. Серверы агента пользователя могут иметь собственные сертификаты для взаимной аутентификации по протоколу TLS. Все элементы сети SIP, которые используют протокол TLS, должны иметь механизм для проверки достоверности сертификатов, полученных при обмене по протоколу TLS. Для этого необходимо обладать одним или несколькими корневыми сертификатами (предпочтительно одним или несколькими хорошо известными распределителями сертификационных сайтов, сравнимых с теми распределителями, которые выпускают корневые сертификаты для веб-браузеров).

В стандарте RFC 3261 отмечается, что протокол TLS наиболее пригоден для архитектуры, в которой ИБ между ретрансляторами (hop-by-hop), не была установлена доверительная связь. Например, Алис доверяет ее местному прокси-серверу. Этот прокси-сервер после обмена сертификатами доверяет местному прокси-серверу Боба, которому доверяет и Боб. Поэтому Боб и Алис взаимно аутентифицированы и могут безопасно общаться. TLS не является полностью независимым от приложения SIP. Необходимо, чтобы TLS в сетях SIP использовал как минимум (в соответствии с требованиями стандарта RFC 3261) протокол шифрования с открытым ключом RSA, протокол шифрования с общим ключом AES и длиной ключа 128 бит. Для совместимости требуется также поддержка протокола тройной DES. Могут использоваться и другие протоколы.

Схема с указанием в запросах и ответах sips, а не sip означает требование процедур обеспечения ИБ. Присутствие в поле заголовка Request-URI sips означает, что каждый ретрансляционный участок, через который посылается запрос, должен быть защищен с помощью протокола TLS.Как только запрос достигает локального домена вызываемого пользователя, вполне возможно он пересылается на последнем участке к серверу агента пользователя UAS c использованием протокола TLS. Должна быть подтверждена подлинность полученных в процессе аутентификации сертификатов с помощью корневых сертификатов, содержащихся у клиента. Отказ в подлинности сертификата служит основанием в отказе на запрос.

 

18.2.3.3. Механизм ИБ SIP-сети на базе протокола S/MIME

 

Протокол S/MIME (Secure/MIME, защищенный MIME) так же, как и TLS обеспечивает аутентификацию, целостность сообщений и шифрование. Для обеспечения этих функций в предыдущей версии стандарта по SIP (RFC 2543) был предусмотрен другой протокол безопасности электронной почты – PGP, описание которого приведено в главе 13.

С точки зрения общих функциональных возможностей обеспечения ИБ протоколы защиты электронной почты S/MIME и PGP очень похожи [9]. Оба протокола обеспечивают шифрование и цифровую подпись.

В сети SIP S/MIME обеспечивает шифрование сообщений сигнализации из конца в конец, а

TLS обеспечивает шифрование/дешифрование между смежными узлами (hop-by-hop).

S/MIME – это дополнение протокола электронной почты MIME спецификацией безопасности. В S/MIME защита объекта MIME обеспечивается цифровой подписью, шифрованием или и тем и другим одновременно. Объектом MIME может быть как все сообщение, так и одна или несколько частей сообщения (multipart). Объект MIME вместе с некоторыми связанными с ним данными защиты (например, сертификатами, идентификаторами алгоритмов шифрования и хеширования) обрабатываются средствами S/MIME, чтобы получить то, что обычно называется объектом PKCS и означает «спецификация криптографии с открытым ключом» (Public Key Cryptography Specificaton).

В S/MIME определены следующие типы содержимого:

- multipart/signed (открытое подписанное сообщение из двух частей – сообщение и его подпись). В сети SIP этот тип обеспечивает целостность и аутентификацию. Открытая часть сообщения является телом запроса SIP.

- application/pkcs7-mime (приложение). Это позволяет шифровать отдельно из конца в конец тело сообщения, не воздействуя на заголовок.

Этот тип содержит два блока – подтип шифрования объекта S/MIME или упакованных данных (envelopedData) и блок подписанные данные (signedData).

Блок envelopedData выполняет следующие действия:

  • генерирует псевдослучайный сеансовый ключ;
  • шифруется открытым ключом получателя сеансовый ключ (создается цифровой конверт);
  • формируется блок информации для получателя, в который входят сертификат открытого ключа отправителя, цифровой конверт (зашифрованный открытым ключом отправителя сеансовый ключ), идентификатор алгоритма шифрования и сообщение;
  • этот блок информации шифруется с помощью сеансового ключа.

Блоки информации для получателя, за которыми следует зашифрованное сообщение, вместе составляют блок envelopedData. Вся эта информация кодируется в формате Radix64 (см. глава 13, протокол PGP). Результат такой обработки называется объектом.

На приеме объекта сначала снимается кодировка, с помощью закрытого ключа получателя определяется сеансовый ключ, а затем расшифровывается принятое сообщение.

Блок signedData выполняет следующие действия:

  • выбирается алгоритм создания профиля сообщения (SHA-1 или MD5);
  • вычисляется профиль сообщения, которое должно быть подписано;
  • формируется цифровая подпись с помощью закрытого ключа отправителя;

· формируется блок информации подписавшей стороны, включающий сертификат его открытого ключа, идентификатор алгоритма шифрования и цифровую подпись. Объект signedData состоит из нескольких блоков информации подписавшей стороны и самого подписываемого сообщения. Объект может также включать набор сертификатов открытых ключей, достаточный для того, чтобы составить цепочку от центра сертификации высшего уровня доверия к объекту, подписавшему документ. Эта информация затем кодируется в формате Radix64.

Чтобы восстановить подписанное сообщение и проверить подпись, получатель сначала снимает кодировку Radix64, а затем расшифровывает профиль сообщения открытым ключом подписавшего сообщение. После этого получатель проверяет его совпадение с вычисленным профилем полученного сообщения.



Поделиться:


Последнее изменение этой страницы: 2017-01-19; просмотров: 112; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.201.59.20 (0.005 с.)