【行业标准】 对支持SIP协议设备的安全性技术要求

ICS33.040
中华人民共和国通信行业标准
YD/T 2256-2011
对支持SIP协议设备的安全性技术要求Security requirements of SiP protocol2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件·
3缔略语
4总则
5针对SIP协议漏洞方面的安全性要求·自
5.1对 INVITE事务处理能力的安全性要求5.2对 REGISTER 事务处理能力的安全性婴求5.3对 CANCEL 事务处理能力的安全性要求5.4对BYE事务处理能力的安全性要求·.5.5对事务合法性识别的安全性要求6对 SIP报文解折能力的安全性要求6.1有效的SIP协议报文.
6.2无效的SIP消息的要求
6.3对SP消息事务层语义的要求.6.4SIP 消息应用层语义的要求
6.5对SIP消息向后兼容性的要求6.6对 SIP消息逻辑要求
6.7对SIP消息抵衔常见语法攻击的要求7对SIP协议报文健壮性要求
7.1概述-
健壮性要求分类：
健壮性安全要求
TKNYKACA
YD/T2256-2011
YD/T2256-2011
本标准是对支持SIP协议设备的安全性系列标准之一，该系列标准的名称及结构如下：1.YD/T2256-2011《对支持SIP协议设备的安全性技术要求》2.YD/T2257-2011《对支持SIP协议设备的安全性测试方法本标准由中国通信标准化协会提出并归口本标准起草单位：工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、大唐电信科技产业集团。
本标准主要起草人：卜哲、陈剑勇，高新菊、姜晓宁。TTKANYKACA
1范圈
对支持SP协设设备的安全性技术要求YD/T 2256-2011
本标准规定了支持SIP协议设备上的SIP协议安全性的技术要求，主要包括SIP协议漏洞、SIP报文解析处理、SP协议健壮性方面的安全性要求。本标准适用于支持SP协议的设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T 1522.1-2006
3缩略语
会话初始协议（SIP）技术要求第1部分，基本的会话初始协议下列缩略语适用于本文件。
4总则
Linear Whitespace
Sessicu Initiation Protocol
Universal Reaounce IdentifierProxy Call Session Control PunctionInterrogaring Call Session Control FunctionServing Call Session Control FunctionApplicationServer
线性空格符
会话初始化协议
通用资源标志符
代理呼叫会话控制功能
查询呼叫会话控制功能
服务呼叫会话控制功能
应用服务器
本标中提及的 INYTITEREGISTER/CANCEL/BYE报文等涉及 SIP协议本身的内穿见YD/T1522.1-2006中的定义。
5针对 SIP 协设漏洞方面的安全性要求5.1 对 INVITE 事务处理能力的安全性要求支持SIP协议的设备应该能够维护两个或者多个SP终端之间的会话，当网络中的替意攻击者发送通过网络探获取的正确的INVTTE报文，试图再次建立新的会话从而干扰或中断当前会话时，持SIP切设的设备能够识别攻击者发出的NVITE报文，对其不予处理，支持SIP协议的设备应该只识别所注册的SIP代理服务器或是SIP服务器发出的LNVTTE消息报文。当网络中有恶意攻击者以其他身份对注册者发送INVTTE报文试图建立会话时，该INVTTE报文中Via字段中为非注册的SIP代理服务器或是SIP服务器地址或域名，作为注册者的支持SP协议的设备该能够识别出攻击，对其发出的报文不予处理或者丢弃。1
TTTKONYKAA
YD/T2256-2011
支持SIP协议的设备应能够及时发现并避免自环INVTTE消息在支持SP设备上反复、重新发送，从而导致设备资源的消耗。当接收到自环INVTTE报文消息时，该报文中的request-uri置为支持SIP协议设备自身的IP地址（在IMS中可以是PCSCF、ICSCFSCSCF或AS服务器的地址），对其不予处理。5.2对REGISTEA事务处理能力的安全性要求支持SIP协议的设备应该能够保证正确的SIP终端注册到SIP服务器上。当网络中的恶意攻击者使用非注册终端的正地址对某一已注册的终端进行重新注册时，惑者以非注册端的地址试图注销对某一个已经注册的SIP终端时，支持SIP协议的设备应该能够识别出此攻击者发出的悉意REGISTER报文，对其不予处理。
5.9对 CANCEL 事务处理能力的安全性要求支持SP协议的设备应该能够保证SIP终端之间的正常通信。当网络中的两个SIP终端正在进行通话时，恶意攻击者以其中一个会话终端的身份发出一个CANCEL报文，该报文中含有不同的Call-ID字段试图中断当前会话时，支持SP协议的设备应该能够识别出攻击，对其发出的报文不予处理或者丢弃。5.4对 BYE享务处理能力的安全性要求支持SIP协议的设备应能够保证SIP终端之间的正常通信。当网络中的两个SIP然端正在进行通话时，恶意攻击者伪造其中一个会话终端的身份发出一个BYE报文，该报文中包括不同的Call-D，试图中断当前会话时，支持SIP协议的设备应该能够识别出攻击，对其发出的报文不予处理或者丢弃。5.5对享务合法性迟识别的安全性要求支持SIP协议的设备应能验证事务的合法性，对包含但不局限于P_Asserted_Identity、From头域的合法性进行检查，或是结合其他字段与网络层，传输层的信息，拒绝或修正错误的身份信息，识别伪造的P_Asserted_Identity、From等头城中的用户识别信息，防止来电显示欺骗或计费欺骗等安全问题的发生，6对 SIP 报文解析能力的安全性要求对于一些不规范的SP协议报文，支持SIP协设的设备应该具备解析这些报文的能力6.1有效的 SIP协议报文
6.1,对短小复态的 INVITE请求文的要求支持SIP协议的设备对包含下列一种或者多种情况的INVTTE报文都应该视其为有效的SIP协议报文。1）头字段分行：
2）包含引用中的转义字符；
3）包含空subjet:
4）在智号、分号、头字段值和其他头字段之间包含LWS：5）逗号隔离参数和瘀数单独成列的头学段值：6）同一头字段名称长短混杂：
7）未知的Request-URI参数：
8）未知的头字段；
9）未知头字段含有值，如果按照一般的语法，该值在语法上是无效的，10）非常规的头字段序列；
11）非常规的头字段名字符串：12）已知头字段的来知参数
TTIKANYKACA
13）URI参数没有值
14）头字段参数没有值，
15）整形域以0头。
6.1.2对报文中的有效字符处理的要求YD/T 2256-2011
支持SIP协议的设备对包含下列一种或多种情况的SIP报文都应该视其为无效SIP协议报文，并且根据SIP协议栈中不同的角色返回不同的错误代码。1）请求URI包含不常见的：但是合法的字符2）Via头字段中的branch梦数包含所有non-alpbanun字符：3）To头字段值引证串包含引证对扩展，其中包括引证一个空字符，4）From头字段的名字部分、末知的头字段参数tag参数值中包会带有所有non-Blphauum字符的多重标记；
5）Call-ID头字段值含有non-alphanum字符6）未知的头字段名字中带有non-alphanum标记字符和UTF8而非ASC值。6.1.3验证SIP协这报文中%（转义字符）转义机制的要求支持SP协议的设备对于包含下列一种或者的多种情况的SIP协议报文郁应该视其为有效报文。1)Request-URI 的用户部分包含转义字符：2）Frorl和To头字段的用户部分包含转义字符：3）Contact URI在URI参数部分包含转义字符。6.1.4对 SIP 协设报文 URIs 内使用转义空字符的要求支持S止协议的设备对R便用转移空宇符时正报证该视基为有效的S协设报文：6.1.5处理SIP协玻报文中在非转义标识时使用%的要求支持S正协议的备对包含下列一种戴者多种情说的S也报文都应该规其为无效报文，并根据不同的情况返回不同的错误代码或者不予处理。1）在%不是转义字符的情况下使用%，将使得请求方法名未知，例如，“RE%47IST%45Rsip:registrar.example.comSipr2.o\;2）在To和From头字段的显示名字部分使用%，\%Z呢45\不等同于死ZE，例如“To：“%Z%45\
From: \%Z%45\ ;tag=f232jadff23\;3)Contact方法名中使用%，它不等同于Contact，例如C%6Fatact”。6.1.6处理SIP协设报文中用户名与“<”之间有非LWS符号的要求支持SP协议的设备对用户名与“”之间含有非LwS将号的S正P协设报文应该视其为有效的报文。6处理别P协设报文中头字段含有超长效1的费求支持SIP协议的设备对包含下列一种或者多种情况的SIP报文都应该视其为有效的报文。1)To头段含有长的显示名字、长的URI数名称和值：2）From头字段含有长的参数名称和值以及长的tag标签：3）Call-D值很长，
6.1.8对SIP协设抵文中UDP净荷含有SIP协报文以外穴余字节的处理要求3
TTTKANRYKAA
YD/T 2256-2011
支持SIP协议的设备对带有额外的余字节的REGISTER报文应该视其为有效的报文。6.1.9对于Request-URl usar部分存在分号分隔的费数的要求支持SIP协议的设备应视Request-URuser部分含有分母的SIP协议报文为有效报文。6.1.10对于报文中不符合或者未知的传输协这的要求对于via字段包括不符合或者未知的传输协议的报文，支持SIP协议的设备应该视其为无效报文。6.1.11包含异常原因短语的报文的要求200应答报文中包含另外的原因短语，而不是通常的“OK”，这些因短语主要是提供给研究人员使用的，可以包含任何字符串，固此支持SP协议的设备应该将这类报文当作有效报文，6.1.12原因短语为空的协设报女的要求应答报文中的原因短语是提供给研究人员使用的，在报文中它是可选项，但是原因码后面的空字节是必须有的，因此对于一些格式规范但它既不包含原因短语又不包含空字节的应答报文，支持SP协议的设备应该格这类报文当作无效报文。6.2无效的SIP消惠的要求
6.2.1无效的头字段分隔符的要求一些报文的头字段中含有非分隔作用的分号和退号，对于这些报文，支持SP协议的设备应该将其视为无效报文。
6.2.2对Content-Length头字般数值为负值的要求在INVITE请求中Content-Length头字段数值为负值时，支持SIP协议的设备应该将其视为无效报文。62.3对头字段中数值过大的要求S报文中的某些字段值超出了它的合法范围：1）Cseq值大于22-1:
2)Max-Forwards值大于255；
3)Expires 值大于值 23-1;
4)Contactexpires值大于232-1。对于这类报女，支持SP协议的设备应该将其规为无效报文。6.2.4对Content-Léngt头字段数值大于实际消惠体长度的要求有些SIP报文的Content-Length头字段数值大于实际消息体长度，支持SIP协议的设备应该将这类报文视为无效报文。
6.2.5对头字段中displayname使用非终止引用字符的要求一些SIP协议报文的头字段中displayname使用非终止引用字符，支持SIP协议的投备应将这类报文视为无效报文。
6.2.6对 Request-URI 由 \\符号括起的摄文的要求一些SP协议报文中Request-URI由“\符号括起，支持SIP协议的设备应将这类报文视为无效报文。6.2.7对畸形的SIPAequest-URl(内嵌LWS)的要求INVTTE报文的Reguest-URI中含有内嵌非法LWS，支持SIP协议的设备应将其规此类报文为无效报文。
6.2.8对报文中头字段addr-spec中存在空格的要求4
TTIKANYKACA
YD/T2256-2011
一些SIP协议报文的头字段addr-Bpec中含有空格，对于此类报文，支持SIP协议的设备应将其视为无效摄文。
6.2.9对报文中头字段中 displayname 引用字符错误的要求支持sP协议的设备应该对头字段中displayame引用字符错误的报文视为无效的报文，6.2.10报文中协议版本未知
对于含有未知版本的SP协议报文，支持SIP协议的设各应该将其视为无效报文。6.2.11对 Requast-Line 和 CSeg 方法不匹配的要求当报文中Request-Line中的请求方法与Cseq请求方法不匹配时，支持SIP协议的设备应该将其视为无效报文，不予处理。
B,2.12 对报文中 Requast-Line 中未知请求方法而且与 CSeq 头字段中的值不匹配的要求当报文中Request-Line中含有未知的诸求方法而且还与CSeg头字段描述的方法不匹配时，支持SIP协议的设备应该将其视为无效报文。6.2.13对时间头字段中使用无效Timezone的要求当INVITE请求中DATE头字段中使用非GMT格式时，支持SIP协议的设备应该将其视为无效报文，6.2.14对于报文中头字段不完整的要求支持SIP协议的设备应该将头字段不完整SIP协议报文视为无效报文。6.3对SIP消享务层语的要求
有些SIP协议报文中Via头字段中的brancb参数没有提供事务标记，支持SIP协议的设备应该将其视为无效报文，不予处理。www.bzxz.net
6.4SIP消息应用层语义的要求
6.4.1协设报文中缺少必效头字段对于这些缺少必须头字段的S协议报文，支持SIP协议的设各应该将其视为无效报文，不执行协议报文命令，并响应4x报文。
6.4.2 Request-Line 中含有未知 URl 机制对于这些Request-URI中包含未知的URI机制的SP协议报文，支持SIP协议的设备应该将其视为无效报文，不热行协设报文命令，并响应4报文。6.4.3对头字段中使用未知URI机制的要求SIP协议报文的头字段中使用了未知URI机制，支持SIP协议的设备应该将其视为无效报文，不执行协议报文命令，并响应4xx报文。6.4.4对Conitert-Type是未知的内容类型的搬文要求如果INVTTE请求中含有未知的Content-TyPe头字段内容，那么支持SIP协议的设备应该将其视为无效报文，不执行协议报文命令，并响应4x报文。6.4.5对未知的监权机制的要求
有些Register请求中带有未知的Authorization头字段，此时支持SIP协议的设备作为注册者如果不使用challenge-response机制，则忽略此头字段，如果使用challenge-response机制，则回复401Unauthorized响应应答，如果支持SIP协议的设备为非注册者的回复405MethodNotAllowed应答6.4.6对报中的头字段重的要求
TKANYKACA
YD/T 2256-2011
有些SIP协议报文中含有多个单值头字段：如Call-D、To、Fro、Max-Forwards和Cseg头字段，对于此类报文支持P协议的设备应该将其视为无效报文，不执行协议报文命令，并响应4报文。6.4.7对于报女中头字段的值不正确的要求一些SIP协议报文中头字段的值不正确，对于这类报文支持SIP协议的设备应该将其视为有效报文。6.4.8REGISTER请求中头字段 Contact中的参数未知一些REGISTER请求报文中头字段Contact中的某个参数未知，支持SIP协议的设备应该将其视为有效报文，回复200OK应答，且在应答消息中，未知参数tag不能作为用于绑定的url够数。6.4.9对带有未知 url 参数的要求对Contact头字段带有未知url参数协议报文，支持sIP协议的设备应该将其视为无效报文，不予执行。6.4.10对URL的首部含有转移字符要求对于Contact头中使用转义字符的SIP协议报女，支持SIP协议的设备应该将其视为有效报文，并响应200 OK，并耳转义头字段必须出现在Coutact URI中。6.5对 SIP消息向后兼容性的要求一·些INVTTE报文中含有下列一种或者多种情况：1）Via头字段效有branch参数：2）没有From标签:
3)没有Content-Length头字段：4）没有Max-Forwards头学段。
支持S协议的设备应该将此类报文视为有效报文。6.6 对 SIP 消息逻辑要求
支持SP协议的设备应该能够正确维护各个SIP终端的状态，当网络中的一些恶意攻击者以某些SIF终端的身份发出一些逻辑上混乱的报文时，支持SP协议的设备能够予以正确的处理，不能因为外部网络的攻击而导致状态混乱，影响其他S甲会话6.7对SIP消患抵御常见语法攻击的要求6.7.1对利用AEGISTEA报文进行的DaS攻击的要求在一定的压力环境下，支持SIP协议的设备能够抵御利用REGESTER报文进行的DOS攻击，不影响其他SIP终端之间的通借。
6.72对利用INVITE报文进行的DoS攻击的要求在一定的压力环境下，支持SIP协议的设备能够抵御利用INVTTE报文进行的DOS攻击，不影响其他SIP终端之间的通信。
7对SIP协议报文健壮性要求
7.t概述
SIP协议报文的健壮性是指支持SP协议的设备对一些不预期输入的处理能力，或者是对压力环境的承受能力。
恶意攻击者一般会对支持SIP协议的设备发送一些错误格式或易混淆格式的SIP协议报文，目的是导致当前事务中断或者系统不可用等。SIP协议漏洞也极有可能被进一步利用，在SIP协议中的脆弱环节运行外部的代码。协议健壮性不佳的设备会无法处理这些非预期输入，从而使恶意入侵者能够轻松的6
TTIKANYKACA
利用这些缺陷来削弱支持SP协议设备的性能。YD/T 2256-2011
S协设的健壮性较好能使协设运行稳定，容错性能更好，事务处理可靠。健壮性的·SP协设栈也能够接受外来的各种格式滤乱或者内容不合理的SP协议报文，这样不但能提高用户的认可度而且也极大地降低了维护费用，健壮的SIP协议栈更安全。在本标推对SIP协议报文健壮性要求包含但不仅限于7.2中的6个方面。7.2健壮性要求分类
7.2.1对缓冲区溢出异常要求
缓存区溢出类的问题一般出现在用C语言或者C++语言实现SP协议的设备上，这是因为C或C1+语言中数组和指针是不做自动越界检查的，初使程序员犯错误，相对不安全。但是这并不意味者用其他语言实现SIP协议栈就不存在该类问感。缓冲区溢出异常所带来的问题在很大程度上会根据缓冲区溢出的类型不同而不同，通常会导致支持SIP协议的设备上的内存不可读或者拒绝服务。缓冲区溢出也可能会影响支持SP协议设备上的程序流程或者改变它的注册值。
支持SIP协议的设备应能够抵御SIP推文中面定长度的字段或者变长字段可能带来的缓冲区出异常，因为绥冲区溢出可能导致的支持SP协议设备的SIP协这栈在处理S正协议报文时不可用，还可能影响其他SIP终端之间的通信。
在SIP协议报文的Request-line中Method和Yersion之间存在一些多余的字符、Request-URI中存在一些非正常的连续的连接符、Request-Line中SIP版本中连接符为一些非正确的连接符、Contact字段的值不是一个URI面是一些字符等等，这些都有可能导致缓冲区出异常，支持SIP协议的设备应该能够处理上述类型的协议报文，并且不影响设备正常处理SIP协议。7.2.2对整型数据异常的要求
SIP协议报文中有些字段的值是数值，当这些数值是一些特殊数据如0、-1、65535等特殊数字时，就可能因为极端资源分配或者死锁，进而出现上溢、下溢、死循环等问题，出现的异常一般会根据不同字段而不间。
SIP协议报文中Requeat-line中的SIP协议版本、Contact字段的URI中的端口号、CSeg字段中的数值部分或者是Max-Forward字段的值为小数、负嫩、超大整激或者0这样的特殊整数等，这些都有可能带来整形数据异常问题。支持SIP协议的投备应至少能够正常处理该类型报文，避免可能带来的各种异常问题。7.2.3对IP 地址异常的要求
当SP协议报文中URI中的IP地址为loopback地址、广播地址、特殊地址0.0.0.0或者P地址格式错误时可能导致设备处理这些报文时终止当前操作或者降低支持SIP协议的设各的性能等。在SIP协议INVTTE报文的Request-URI中，IP地址错误地使用0、IP地址中存在大于255的正整数、存在负整数、存在错误的分隔符、P地址超出32位，点分法标识中存在大于ABCD4个字段或者IP地址缺少D类字段，此类现象也可能在Contact字段的URI、Fron字段的URI出现，这些都可能会导致IP地址异常。支持SIP协议的设备应该具备抵御SIP协议报文中的IP地址异常的能力。7.2.4对下溢异常的要求
在SIP协议报文中某些必要字段写得不完整或者缺少某些字段时，可能会导致设备在解析该类报文时读取数据过界，造成非法的内存访间，从而使得支持SP协议的设备中的软件系统谢溃，还可能由于7
TTTKAONYKACA
YD/T 2256-2011
没有解析到所需的必要学段而崩溃。SIP 协议报文中的 Conitact 字段的 URI 中缺少 domain 字段，缺少端口号或者缺少 User，在 From 字段或者To字段中缺少名项参数等等，这些都有可能导致下溢异常。支持SIP协议的设备应该能够正常处理上述各类SP协议报文，抵御该类型报文异常所可能带来的系统谢溃，不影响设备的SP处理功能。了25对存在元的报的整求
SIP协议报文中可能存在的重友字段或是字段中重的元素，可能会使设备无法准确判断这些重复元、字段，导致设备或是中断当前正常的SP事务，或是跳过对该字段的处理，甚至会导致缓冲区溢出，破坏协议栈。
在SIP协议报文中含有多个相同或者不同的From字段、Call-ID字段、To字段、Max-Forwards字段、Register 报文中含有多个 Expires 字段或者 From 中存在多个相同或者不同的 tag参数、Cortact URI 中含有两个Port等等，SP设备应该对上述但不局限于进行正确处理，避免恶意攻击者利用设备处理这些重复元囊、学段的缺陷，绕过一些身份监别、安全控制。7.2.6对ASCI表中的控制字符异常的要求ASCI表中前32个字符是不可打印的控制字符，如0X13（回车）、0x0a（换行）和0x07（响龄），这些控制字符是用作控制终端或者作为转义字符审的。若SP协议报文中出现这些控制字符，支持SP协议报文的设备通常会因为无法处理这些不预期的控制申而导致异常或者导致被测SP协议设备中的日志统不可用。
在SIP协议报文中的Contact字段的用户名部分、From字段中的用户名部分或者To字段的用户名部分含有控制字符0元13、0x07、0x0等情况，支持SIP协议的设备应能正确处理上述类型的协议报文，不影响设备支持SIP功能。
7.3健壮性安全要求
S协议所定义，使用的Inyite、Register、Cancel报文，易被恶意攻击者在网络中裁获，通过修改报文中Request-lire行、To字段、from字段、Via字段、ID字段等鉴权、识别字段等方式，发起针对SP协议设备、SP用户的攻击，影响SP业务正常建立、维护、释放。支持SIP协议的设备应能正确处理SIP协议相关报文相关字段中可能出现的整型数据异常、重复字段元案、ASCI表中的控制宇符异常、P地址异常、以及可能造成绥冲区溢出异常、下溢要求等情况，保证正常处理SP相关业务，抵御恶意入侵者利用S正协议满漏、S正协议健壮性缺陷发起的网络攻击行为。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。