دانلود پروژه: تحلیل امنیتی پروتکل SIP و ارائه روشی برای بهبود ضعف های امنیتی آن
دوره کارشناسي ارشد مهندسي فناوری اطلاعات گرایش امنیت اطلاعات
تحلیل امنیتی پروتکل SIP و ارائه روشی برای بهبود ضعف های امنیتی آن
چکيده
با گسترش شبکه اينترنت و کاربرد آن در زمينه هاي مختلف تجاري، پزشکي و …، نياز بشر به ايجاد ارتباطات تلفن اينترنتي، کنفرانس چند رسانه اي، آموزش از راه دور و …پديدار گرديد. در اين خصوص پروتکل هايي مثل پروتکل SIP که يک پروتکل بر اساس تکنولوژي سرويس دهنده- سرويس گيرنده هستند، معرفي گرديد. در سال ۱۹۹۹ميلادي IETF موفق به تدوين و ارائهي پروتکل SIP شد. SIP، ساختار پروتکلي ساده، سرعت عمل، انعطاف پذيري بيشتري را نسبت به پروتکل هاي ديگر فراهم مي کند و همچنين پروتکل SIP يکي از بهترين کانديدها براي پياده سازي سرويس تلفني بر پايه IP در آينده است ولي از آنجاييکه احراز هويت در SIP بر اساس احراز هويت در طراحيHTTP است، اين طراحي اجازه مي دهد دشمن بتواند بين طرفين جعل هويت کرده و يا هزينه Call را براي طرفين ديگر قرار دهد و همچنين مشکلات امنيتي ديگري بوجود آورد. ولي از آنجا که پروتکل SIP از لحاظ کاربردي بسيار مورد توجه قرار گرفته، بنابراين با توجه به ضعف اين پروتکل در احراز هويت، روشهاي مختلفي پيشنهاد شده است که هدف ما در اين تحقيق نگاهي به روشهاي پيشنهادي نوين و ارائه روشی امن و موثر در خصوص احراز هویت پروتکل SIP است. در فصل اول مقدمه ای در مورد پروتکل SIP مطرح می شود، در فصل دوم، مفاهیم مربوط به پروتکل SIP بیان می گردد، در فصل 3 به بررسي روش ها مي پردازيم. در فصل چهارم، CLF های مربوط به سرور SIP مورد مطالعه قرار می گیرد، آسیب های موجود در فاز احراز هویت را بررسی می کنیم و براساس ضعف های موجود آن،ُ روشی امن برای احراز هویت پروتکل SIP پیشنهاد می گردد، در فصل پنجم، سرور SIP را پیاده سازی کرده و با بکارگیری از نقاط آسیب پذیری آن، سناریوی حمله طراحی شده را بر روی سرور SIP پیاده سازی می کنیم. در پایان خصوصیات امنیتی روش پیشنهادی را آنالیز کرده و نشان می دهیم، روش پیشنهادی روشی امن، برای کاربردهایی است که به امنیت بالا در پیاده سازی پروتکل SIP نیاز دارند. فصل ششم، فصل نتیجه گیری است، که در این فصل کارهای انجام شده به صورت کلی مطرح می شود.
کليد واژه: آسیب پذیری، امنیت، حمله، احراز هویت، رمزنگاری، نفوذ پذیری، SIP، HTTP ، CLF، RFC، Digest Access Authentication،certificateless public-key cryptography ،Elliptic Curves، SSL، TLS، IPSec