1 / 33

P2P 机制的 VOIP 系统的安全体系分析

P2P 机制的 VOIP 系统的安全体系分析. 尹国利 技术总监 Coobol Technologies Co., Ltd. Coobol Technologies. 致力于 P2P 技术研究 我们的目标是成为 P2P 技术 的行业专家. P2P 机制的 VOIP 系统的安全体系分析. P2P 机制的 VOIP 系统的特点 P2P 机制的 VOIP 系统的安全体系.

finn-bowman
Download Presentation

P2P 机制的 VOIP 系统的安全体系分析

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. P2P机制的VOIP系统的安全体系分析 尹国利 技术总监 Coobol Technologies Co., Ltd.

  2. Coobol Technologies • 致力于P2P技术研究 • 我们的目标是成为P2P技术的行业专家

  3. P2P机制的VOIP系统的安全体系分析 • P2P机制的VOIP系统的特点 • P2P机制的VOIP系统的安全体系 以目前流行的Voip软件Skype为例,分析基于P2P技术的VOIP系统的特点以及其安全体系架构,并针对其系统特点,在P2P通讯(Skype)的识别和授权等应用领域提出了我们自己的解决方案。

  4. P2P机制的VOIP系统的特点 • 去中心化的P2P网络结构 • NAT(网络地址转换)穿越和防火墙穿透 • 智能路由选择

  5. 去中心化的P2P网络结构

  6. 去中心化的P2P网络结构 • 要点: • SN节点动态产生 • 传统服务器的功能下放到SN(超级节点) • 优势: • 用户群扩张的边际成本极低

  7. 去中心化的P2P网络结构 • 要点: • SN节点动态产生 • 传统服务器的功能下放到SN(超级节点) • 优势: • 用户群扩张的边际成本极低 • 网络稳定,不容易被封堵 • 劣势: • 传统服务器中负担的授权、管理、服务的功能下放到SN上 • 服务器对用户的管理功能被削弱 • SN架设在不可信的用户节点上,带来新的安全问题

  8. P2P机制的VOIP系统的特点 • 去中心化的P2P网络结构 • NAT穿越和防火墙穿透 • 智能路由选择

  9. NAT穿越和防火墙穿透

  10. NAT穿越和防火墙穿透

  11. P2P机制的VOIP系统的特点 • 去中心化的P2P网络结构 • NAT穿越和防火墙穿透 • 智能路由选择

  12. 智能路由选择

  13. 智能路由选择

  14. P2P机制的VOIP系统的特点 • 去中心化的P2P网络结构 • NAT穿越和防火墙穿透 • 智能路由选择

  15. Skype不可控吗?

  16. P2P机制的VOIP系统的安全体系分析 • P2P机制的VOIP系统的特点 • P2P机制的VOIP的安全体系

  17. P2P机制的VOIP的安全体系 • 认证与授权 • 私有的会话建立协议 (session-establishment protocol)

  18. Skype的安全策略 • 用户名唯一并作为唯一识别的ID • 用户名和密码或者用户名和服务器签发的认证书在被认证的时候需要同时提供来进行用户的认证 • 通过会话传递的信息是端到端加密的,中间节点不可能获得明文

  19. 注册的安全体系 • 最重要的一个密钥是中心服务器用于给用户证书签名的私钥

  20. 注册的安全体系 Con. 1 • 用户注册的时候,用户端会准备好用户名、密码和一对RSA的密钥对,其中用户的RSA密钥对中的私钥和用户密码的HASH值会被加密存放在文件中。然后,用户端生成一个随机数作为Session KEY,并向中心服务器发起一个256BIT的AES加密的会话,将自己的用户名、密码的HASH值、RSA密钥对中的公钥传送给中心服务器,在这个会话建立前,用户端会验证服务器的身份。

  21. 注册的安全体系 Con. 2 • 中心服务器在验证用户密码的唯一性和合法性后,将用户密码的HASH值再次做HASH运算,并将结果和用户名一起保存在服务器的数据库中,然后服务器会对用户发放认证证书,认证证书采用中心服务器的私钥签名,包括用户名、用户的公钥等信息。

  22. P2P通讯中的身份认证 • P2P网络中的一个节点需要向另一个节点建立会话时,会通过双方的认证证书相互进行身份认证,并通过协商建立一个256位长的KEY用于后续的会话 • 会话中的加密方式是将明文和AES算法产生的加密流进行异或处理

  23. Skype中用到的加密算法 • AES Block cipher • RSA public key cryptosystem • ISO 9796-2 signature • SHA-1 hash function • RC4 stream cipher

  24. 可能存在的攻击 • 基于系统和网络的攻击 • 操作系统的漏洞 • 网络平台的漏洞 • 后门/木马恶意程序等等 • 其他方面的攻击 • Skype的安全体系是建立在标准加密算法上,并且这个加密体系在目前的攻击强度下是可靠的,但是城池并不一定是要从城门攻破的 • Skype将会受到基于协议的攻击

  25. P2P机制的VOIP系统的安全体系 结论: P2P机制的VOIP系统可以通过标准的加密算法构建相当完善的安全体系,Skype在目前看来,仍然是最安全的VOIP系统,但是像其他的P2P系统一样,Skype同样会面临来自安全领域新的的挑战。

  26. Question & Answer

  27. Web www.Coobol.com Email guoli.yin@gmail.com QQ技术讨论群 15145648 Coobol的产品技术路线 Skype网络授权解决方案(防火墙插件) 网络智能路由传输控制技术(NAT/防火墙穿越/中转) P2P实时网络平台技术(语音、视频 、协作) Contact Us

  28. Thanks! 插图由周继荣制作,特此感谢

More Related