作为下一代网络融合的核心,IMS(IP Multimedia Subsystem,IP多媒体子系统)核心网取得了广泛的关注,但是因其业务控制协议SIP(Session Initiation Protocol,会话启动协议)协议自身存在一定的安全脆弱性,使得IMS核心网的部署和使用存在一定的障碍。首先在设计SIP协议时,IETF重点考虑的是协议的简单和易用性,对于协议的安全问题考虑不多;其次SIP协议经由Internet进行传输,必然面临着IP网中的各种安全威胁,由于SIP协议是基于文本的协议,使得SIP消息在传输过程中很容易被人拦截进行恶意篡改和模仿并被用来进行一些恶意的攻击,最好的例子就是通过畸形SIP消息进行的恶意攻击[1]。因此,SIP协议的安全防护问题对于IMS核心网而言至关重要。本文致力于研究与实现基于扩展有限状态机的SIP安全防护机制,并将其应用于IMS核心网接入设备SBC(Session Border Center,会话边缘控制器)中实现SBC的信令防护功能。本文使用扩展有限状态机来实现SIP消息的安全检测机制,旨在实现畸形SIP消息、用户注册数/呼叫数、用户注册速率/呼叫速率、DOS攻击等的检测功能,实现SIP安全防护最为重要的一步。对于检测出的非法用户,本文采用iptables对其进行拦截,通过更改iptables源码改变其原本对外提供的命令行使用方式,根据所要实现的具体功能向iptables传送配置数据,iptables将接收到的配置数据转换为功能所对应的规则信息并对规则表进行管理,进而实现对非法用户的拦截与释放等功能。测试结果显示本文实现的基于扩展有限状态机的SIP安全防护机制很好的完成了 SIP的安全防护功能,有效地实现了对非法用户的拦截。