[发明专利]一种防止SIP设备被攻击的方法、主叫设备及被叫设备

说明书

本发明公开了一种防止SIP设备被攻击的方法、主叫设备及被叫设备，属于网络安全领域。针对现有技术中存在的公网端口被扫描情况下的SIP报文恶意攻击的问题，本发明提供了一种防止SIP设备被攻击的方法、主叫设备及被叫设备，该方法包括主叫设备与被叫设备生成相同的公有密码，主叫设备向被叫设备发送连接请求；被叫设备对连接请求进行头域验证，校验连接请求中是否携带规定头域；被叫设备对连接请求进行设备验证，若通过验证，则被叫设备和主叫设备生成规定信息，主叫设备重新向被叫设备发送连接请求；被叫设备对连接请求进行身份验证，若通过验证，则被叫设备与主叫设备建立连接，实现过滤伪装的数据，达到不易被攻击的效果，实现用户的无感知体验。

技术领域

本发明涉及网络安全领域，更具体地说，涉及一种防止SIP设备被攻击的方法、主叫设备及被叫设备。

背景技术

SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。会话的参与者可以通过组播(multicast)、网状单播(unicast)或两者的混合体进行通信。

随着计算机科学技术的进步，基于分组交换技术的IP数据网络以其便捷性和廉价性，取代了基于电路交换的传统电话网在通信领域的核心地位。SIP协议作为应用层信令控制协议，为多种即时通信业务提供完整的会话创建和会话更改服务，由此，SIP协议的安全性对于即时通信的安全起着至关重要的作用。

随着网络的高速发展和黑客技术的逐渐提升，因为SIP的传输是通过文本形式传输，所以越来越多搭建在公网的SIP设备面临着被攻击的风险。黑客们可通过端口扫描工具来确认当前公网设备监听的端口，并且往对应的端口发送截获的伪装数据用以对SIP设备进行攻击。使其瘫痪无法正常使用。

中国专利申请，申请号CN200910260082.2，公开日2010年6月9日，公开了一种SIP视频监控系统跨域访问安全方法，该方法通过扩展RFC3261中定义的INVITE方法，完成跨域路由探测、服务器安全能力协商以及服务器之间的双向身份认证，并且安全传递服务器之间的2个共享密钥，路由探测完成后，通过基于对2个共享密钥以及用户身份等信息的摘要运算保障后续跨域信令来源的合法性，从而保障用户跨域访问的安全。该发明的不足之处在于无法兼容第三方设备的接入，并且在第一次验证请求时就携带了AUTH头域，易被破解。

发明内容

1.要解决的技术问题

针对现有技术中存在的公网端口被扫描情况下的SIP报文恶意攻击的问题，本发明提供了一种防止SIP设备被攻击的方法、主叫设备及被叫设备，它通过增加校验流程且不增加头域，只修改头域值内容，实现过滤伪装的数据，达到不易被攻击的效果。

2.技术方案

本发明的目的通过以下技术方案实现。

一种防止SIP设备被攻击的方法，包括以下步骤：

主叫设备与被叫设备生成相同的公有密码，主叫设备向被叫设备发送连接请求；

被叫设备对连接请求进行头域验证，校验连接请求中是否携带规定头域，若不携带，进行设备验证，否则进行身份验证；

被叫设备对连接请求进行设备验证，若通过验证，则被叫设备和主叫设备生成规定信息，主叫设备重新向被叫设备发送连接请求，否则丢弃连接请求；

被叫设备对连接请求进行身份验证，若通过验证，则被叫设备与主叫设备建立连接，否则丢弃连接请求。

进一步的，被叫设备对连接请求进行设备验证包括以下步骤：

被叫设备对连接请求中头域的Call_id值进行计算；