YD_T 2256-2011对支持SIP协议设备的安全性技术要求.pdf

ICS 33.040M33中华人民共和国通信行业标准YD/T 2256-2011对支持SIP协议设备的安全性技术要求Security requirements of SiP protocol2011-06-01 发布2011-06-01实施中华人民共和国工业和信息化部发布 YD/T 2256-2011目次前言范围·2规范性引用文件3缩略语·4总则5针对 SIP 协议漏洞方面的安全性要求5.1对 INVITE事务处理能力的安全性要求·5.2对 REGISTER 事务处理能力的安全性要求5.3对 CANCEL 事务处理能力的安全性要求·5.4对 BYE 事务处理能力的安全性要求5.5对事务合法性识别的安全性要求·6对 SIP 报文解析能力的安全性要求6.1有效的SIP协议报文6.2无效的 SIP 消息的要求·:46.3对SIP消息事务层语义的要求.·6.4　SIP 消息应用层语义的要求·6.5对SIP消息向后兼容性的要求.6.6对 SIP消息逻辑要求·6.7对SIP消息抵御常见语法攻击的要求·7 对 SIP 协议报文健壮性要求·7.1概述·7.2健壮性要求分类7.3健壮性安全要求 YD/T 2256-2011没有解析到所需的必要字段而崩溃。段或者To字段中缺少各项参数等等，这些都有可能导致下溢异常。支持 SIP协议的设备应该能够正常处理上述各类SIP协议报文，抵御该类型报文异常所可能带来的系统崩溃，不影响设备的 SIP处理功能。7.2.5对存在重复元素的 SIP 报文的要求SIP协议报文中可能存在的重复字段或是字段中重复的元素，可能会使设备无法准确判断这些重复元素、字段，导致设备或是中断当前正常的 SP事务，或是跳过对该字段的处理，甚至会导致缓冲区溢出，破坏协议栈。在 SIP 协议报文中含有多个相同或者不同的 From 字段、Call-ID 字段、To 字段、Max-Forwards 字段、Register 报文中含有多个 Expires 字段或者 From 中存在多个相同或者不同的 tag 参数、Contact URI 中含有两个port等等，SIP设备应该对上述但不局限于进行正确处理，避免恶意攻击者利用设备处理这些重复元素、字段的缺陷，绕过一些身份鉴别、安全控制。7.2.6对 ASCII表中的控制字符异常的要求ASCI表中前32个字符是不可打印的控制字符，如0X13（回车）、0xOa（换行）和0x07（响铃），这些控制字符是用作控制终端或者作为转义字符串的。若SIP协议报文中出现这些控制字符，支持SIP协议报文的设备通常会因为无法处理这些不预期的控制串而导致异常或者导致被测SIP协议设备中的日志系统不可用。在SIP协议报文中的Contact字段的用户名部分、From字段中的用户名部分或者To字段的用户名部分含有控制字符0x13、0x07、0x0a等情况，支持SIP协议的设备应能正确处理上述类型的协议报文，不影响设备支持SIP功能。7.3健壮性安全要求SIP协议所定义、使用的Invite、Register、Cancel报文，易被恶意攻击者在网络中截获，通过修改报文中Request-line行、To字段、from字段、Via字段、D字段等鉴权、识别字段等方式，发起针对SIP协议设备、SIP用户的攻击，影响SIP业务正常建立、维护、释放。支持SIP协议的设备应能正确处理SIP协议相关报文相关字段中可能出现的整型数据异常、重复字段元素、ASCI表中的控制字符异常、IP地址异常、以及可能造成缓冲区溢出异常、下溢要求等情况，保证正常处理SIP相关业务，抵御恶意入侵者利用SIP协议漏洞、SIP协议健壮性缺陷发起的网络攻击行为。 YD/T 2256-2011中华人民共和国通信行业标准对支持SIP协议设备的安全性技术要求YD/T 2256-2011水人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码：100061宝隆元（北京）印刷技术有限公司印刷版权所有不得翻印开本：880×12301/162011年9月第1版印张：12011年9月北京第1次印刷字数：21千字ISBN 978 - 7 - 115 - 2400/ 11 - 351本书如有印装质量问题，请与本社联系电话：010 YD/T 2256-2011言本标准是对支持 SP协议设备的安全性系列标准之一，该系列标准的名称及结构如下：1。YD/T2256-2011《对支持 SIP协议设备的安全性技术要求》2.YD/T2257-2011《对支持 SIP协议设备的安全性测试方法》本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、大唐电信科技产业集团。本标准主要起草人：卜哲、陈剑勇、高新菊、姜晓宁。