摘要本文简要介绍了H.323协议网络结构、子协议功能及工作流程。分析了VoIP网络系统潜在的威胁及安全要求,最后结合H.323VoIP的通信流程,分析了H.235建议所采用的安全措施。
1、引言
VoIP(VoiceoverIP)通过对语音信号进行编码数字化,压缩处理成压缩帧,然后转换为IP数据包在IP网络上传输,从而完成语音通话的业务。VoIP技术使我们可以基于互联网实现电话业务。这种语音通话业务的实现模式能提供更多的集成功能、更高的通信带宽以及更灵活的管理能力,并能够显著降低成本。近年来,VoIP得到了迅猛发展和广泛应用。
目前,VoIP有两种常用的应用层控制(信令)协议:H.323协议和会话初始协议(SIP,SessionInitiationProtocol)。两者的信令功能基本相同,都是利用实时传输协议(RTP,Real-timeTransport Protocol)进行媒体传输。SIP是由IETF提出的一个在基于IP网络中实现实时通信应用的一个应用层控制信令协议。H.323由ITU-T提出,它描述了在服务质量无保证的分组网络中提供多媒体通信业务的多媒体通信系统,它继承了通信领域传统的集中、分层控制的设计思想,在传统电信网络向基于IP的电信网络过渡的过程中,可以利用原有很多设备,避免了资源浪费。正是这些方面的特点,使得H.323已成为电信运营商、行业部门、企业建设VoIP网络广泛采用的协议方案。本文主要以H.323为例来分析和探讨VoIP网络的安全问题。
2、基于H.323的VoIP系统简介
H.323起初并不是为VoIP专门提出的,但因为非常适合电话到电话经由网关的这种VoIP工作方式,所以被借过来作为VoIP的标准。基于H.323的VoIP网络系统通常包括H.323终端(如PSTN话机、PC终端等)、网关、关守(gatekeeper)和多点控制单元(MCU),如图1所示。
图1 基于H.323VoIP网络体系示意图
图1中,H.323VoIP网络的各实体的功能如下。
H.323终端是IP网络中能提供实时、双向通信的节点设备,也是一种终端用户设备,可以和网关、多点接入控制单元进行多媒体通信。
网关用于连接H.323网络与非H.323网络(如ISDN,POTS),网关通过转换呼叫建立和释放协议,来转换两个网络的不同媒体格式。
关守主要负责电话号码和IP地址之间的转换。它们还负责管理带宽并提供终端登记和认证机制。同时关守还提供了诸如呼叫传输、呼叫转发等服务。
MCU提供对三方终端以上的电话会议的支持。所有参与会议的终端与MCU建立一个连接。MCU管理会议资源,语音(视频)编码算法,还可以管理媒体流。
H.323协议是一个庞大的协议族,其中又包括许多相关的子协议,形成了一个协议栈,如图2所示。
图2 H.323协议栈
从图2可以看到,H.225.0和H.245是H.323系统的核心协议。H.225.0负责呼叫控制,主要包括两部分:呼叫接纳信令(RAS)和呼叫信令协议。RAS主要用于传送终端登记信息、认证信息和呼叫处理信息;呼叫信令协议基于Q.931而制定,主要用于完成呼叫建立过程,也常称为Q.931信令。H.245用于媒体控制,主要实现媒体流通信信道的建立、维护和释放。RTCP是媒体流实时传输控制协议,RTP是媒体流实时传输协议。媒体流安全传输将使用H.245信道中给出的算法与密钥进行编码。
H.323终端之间建立通信关系通常执行四个控制过程:RAS,H.225.0呼叫控制(Q.931信令),连接控制(H.245)及媒体RTP信道建立的过程。
图3简要描述了一个基于H.323的PC2PC的VoIP呼叫的建立过程以及呼叫过程中各相关协议的控制作用。当一个H.323终端想要与另一个端点建立呼叫时,首先,源端点使用RAS信令从一个关守那里获得许可;然后,源端点使用H.225.0呼叫控制(Q.931信令)来建立与目的端点的通信;接着,源端点使用H.245连接控制信令与目的端点协商媒体参数并建立RTP信道;最后,两端点通过RTP信道进行媒体传送。
图3 H.323的呼叫建立过程与协议控制
3、基于H.323的VoIP安全分析
3.1VoIP的安全威胁
VoIP作为一种多媒体通信服务运行在IP网上,语音分组数据包是在IP网中传输的,由于IP网络的开放性、可获得性及广域性,所有在互联网中存在的安全问题,VoIP系统同样存在。VoIP受到多方面的安全威胁,主要有:
(1)DoS攻击:DoS(拒绝服务)攻击是包括任何导致系统不能正常提供服务的攻击,最基本的DoS攻击就是利用合理的服务器请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。目前,基于H.323的VoIP系统采用了很多开放端口用于呼叫建立和业务传输。在呼叫建立过程中,如果没有做好认证工作,就为DoS攻击提供了机会。
(2)服务窃取:一方面是窃取合法用户身份,假冒合法用户身份,例如通过网络窃听方式窃取使用者IP电话的登录密码就可以获得使用账号的权利。另一方面是冒充合法的网络节点进行相应的欺骗,例如通过冒充合法的关守,在终端没有进行对关守进行认证的情况下,不法分子获得用户的登录口令等个人信息。
