隨著互聯網的飛速發展,VoIP業務得到廣泛開展。在過去的幾年中,由于H.323發展早而且符合運營商的體系運營思路,故其發展遠遠領先于其它VoIP協議,并大量部署到運營網絡中。目前,絕大多數運營的VoIP業務都基于H.323協議簇。但是,由于互聯網本身的開放性和缺乏有效監控,以及H.323協議簇本身的協議漏洞,H.323網絡安全問題日益凸現,給H.323系統帶來諸多威脅,嚴重阻礙了H.323的發展,其主要安全威脅有以下幾個方面:
●拒絕服務攻擊。基于開放端口的拒絕服務攻擊。對H.323系統關鍵設備進行同步(SYN)、Internet控制報文協議(ICMP)數據包的大流量攻擊可導致通信中斷,無法正常提供業務。
●服務竊取。主要是針對非授權接入。其中包括:竊取用戶身份假冒合法用戶身份;冒充合法網絡節點進行服務欺騙。
●信令流攻擊。由于H.323控制信令的開放性,任何人都可以通過網絡監聽器監聽H.323信令流。惡意用戶攔截并篡改網絡中傳輸的信令數據包,修改數據包中的域,使H.323呼叫不能正常使用。從而引入會話劫持、中間人攻擊、電話跟蹤等威脅。
●媒體流的監聽。H.323系統中RTP/RTCP是在IP網上傳輸話音信息的協議。由于協議本身是開放的,惡意用戶可以通過網絡監聽器監聽媒體流,如果可以理解媒體流內容即可破壞媒體流的機密性。
隨著網絡安全日益成為人們使用IP網絡最關注的問題,所以,網絡安全同樣也成為H.323系統面臨的最主要問題之一,可以說,網絡安全問題不解決,不僅將來H.323就沒有發展前景,現有H.323也很快失去生命力。
一、H.323網絡安全體系結構
為了加強H.323系統的網絡安全,國際國內標準組織、相關廠家開展積極的H.323網絡安全研究工作。圖1為H.323網絡安全體系示意圖,其中陰影部分是H.323所涉及的安全研究范圍。
從圖1可以看到,H.225.0和H.245是H.323系統的核心協議。H.225.0負責呼叫控制,主要包括兩部分:呼叫接納(RAS)和呼叫信令協議。RAS主要用于傳送終端登記信息、認證信息和呼叫處理信息。呼叫信令協議基于Q.931而制定主要用于完成呼叫建立過程。H.245用于媒體控制,主要實現媒體流通信信道的建立、維護和釋放。RTCP是媒體流實時傳輸控制協議,RTP是媒體流實時傳輸協議。媒體流安全傳輸將使用H.245信道中給出的算法與密鑰進行編碼。H.323端點之間建立通信關系一般執行三個控制過程:RAS,呼叫控制(呼叫信令)與連接控制(H.245)。
要實現安全的H.323業務,首先要保證終端或MCU與網守之間安全傳遞RAS消息,以完成安全注冊,確保只有合法用戶可以使用H.323業務并進行相應的資源使用授權,如國際、長途業務授權等。在保證RAS安全基礎上,可以建立安全的呼叫連接信道(H.225.0)與呼叫控制(H.245)信道,在此基礎上,為采用RTP協議的實時媒體流通信進行加密算法與密鑰協商,完成媒體流通信機密性。