- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.2. Подмена сервера
- •18.2.1.4. Прерывание сеанса связи
- •18.2.1.5. Отказ в обслуживании
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Транспортировка данных в сети sip
- •18.3.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
Протокол S/MIME (Secure/MIME, защищенный MIME) так же, как и TLS обеспечивает аутентификацию, целостность сообщений и шифрование. Для обеспечения этих функций в предыдущей версии стандарта по SIP (RFC 2543) был предусмотрен другой протокол безопасности электронной почты – PGP, описание которого приведено в главе 13.
С точки зрения общих функциональных возможностей обеспечения ИБ протоколы защиты электронной почты S/MIME и PGP очень похожи [9]. Оба протокола обеспечивают шифрование и цифровую подпись.
В сети SIP S/MIME обеспечивает шифрование сообщений сигнализации из конца в конец, а
TLS обеспечивает шифрование/дешифрование между смежными узлами (hop-by-hop).
S/MIME – это дополнение протокола электронной почты MIME спецификацией безопасности. В S/MIME защита объекта MIME обеспечивается цифровой подписью, шифрованием или и тем и другим одновременно. Объектом MIME может быть как все сообщение, так и одна или несколько частей сообщения (multipart). Объект MIME вместе с некоторыми связанными с ним данными защиты (например, сертификатами, идентификаторами алгоритмов шифрования и хеширования) обрабатываются средствами S/MIME, чтобы получить то, что обычно называется объектом PKCS и означает «спецификация криптографии с открытым ключом» (Public Key Cryptography Specificaton).
В S/MIME определены следующие типы содержимого:
- multipart/signed (открытое подписанное сообщение из двух частей – сообщение и его подпись). В сети SIP этот тип обеспечивает целостность и аутентификацию. Открытая часть сообщения является телом запроса SIP.
- application/pkcs7-mime (приложение). Это позволяет шифровать отдельно из конца в конец тело сообщения, не воздействуя на заголовок.
Этот тип содержит два блока – подтип шифрования объекта S/MIME или упакованных данных (envelopedData) и блок подписанные данные (signedData).
Блок envelopedData выполняет следующие действия:
генерирует псевдослучайный сеансовый ключ;
шифруется открытым ключом получателя сеансовый ключ (создается цифровой конверт);
формируется блок информации для получателя, в который входят сертификат открытого ключа отправителя, цифровой конверт (зашифрованный открытым ключом отправителя сеансовый ключ), идентификатор алгоритма шифрования и сообщение;
этот блок информации шифруется с помощью сеансового ключа.
Блоки информации для получателя, за которыми следует зашифрованное сообщение, вместе составляют блок envelopedData. Вся эта информация кодируется в формате Radix64 (см. глава 13, протокол PGP). Результат такой обработки называется объектом.
На приеме объекта сначала снимается кодировка, с помощью закрытого ключа получателя определяется сеансовый ключ, а затем расшифровывается принятое сообщение.
Блок signedData выполняет следующие действия:
выбирается алгоритм создания профиля сообщения (SHA-1 или MD5);
вычисляется профиль сообщения, которое должно быть подписано;
формируется цифровая подпись с помощью закрытого ключа отправителя;
формируется блок информации подписавшей стороны, включающий сертификат его открытого ключа, идентификатор алгоритма шифрования и цифровую подпись.
Объект signedData состоит из нескольких блоков информации подписавшей стороны и самого подписываемого сообщения. Объект может также включать набор сертификатов открытых ключей, достаточный для того, чтобы составить цепочку от центра сертификации высшего уровня доверия к объекту, подписавшему документ. Эта информация затем кодируется в формате Radix64.
Чтобы восстановить подписанное сообщение и проверить подпись, получатель сначала снимает кодировку Radix64, а затем расшифровывает профиль сообщения открытым ключом подписавшего сообщение. После этого получатель проверяет его совпадение с вычисленным профилем полученного сообщения.