VoIP安全问题及解决措施分析

2009年 第 3期 1 VoIP技术及 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 标准 1.1 VoIP的工作原理 传统的电话以电路交换的方式传输语音，而 VoIP是以分组方式传送的，其实现原理如图 1。 VoIP通过 Internet 传输语音，它以 IP 分组交换 网络为传输平台，先将模拟的语音信号经过 A/D 转 换器进行量化，转换成数字语音数据，然后通过语音 压缩算法对语音数据进行压缩编码处理， 压缩成数 据帧，按 IP相关的协议打包分组、分配路由、存储交 换，经 IP网络传输到目的地，再将分组数据串起来， 进行解压解码等处理后还原成语音信号， 实现互联 网上的语音通信。 1.2 VoIP使用的主要协议标准 VoIP 的主要协议包括 ITU-T 提出的 H.323 协 议和 IETF 提出的 SIP 协议， 还有与 H.323 协议和 SIP协议不在同一层面上的 MGCP协议以及它的演 进协议 H.248协议。 H.323 协议的提出在 VoIP出现之前，所以它不 针对 VoIP，它是一个协议组，包含一系列的子协议， 提供了基于 IP网络的传送声音、视频和数据的基本 标准。 SIP是专门针对 VoIP 设计的协议，是在诸如 SMTP（简单邮件传送协议）和 HTTP（超文本传送协 议）基础上建立起来的协议，用来建立、改变和终止 基于 IP 网络的用户间的呼叫。 SIP 协议简单、易于 扩展、便于实现，正成为 NGN（下一代网络）的重要 协议。 MGCP 协议只涉及网关分解问题，因而它不仅 可以用于基于 H.323 的 VoIP 系统， 也可以用于基 于 SIP的 VoIP 系统。 MGCP 协议包括 SGCP（简单 网关控制协议）和 IPDC（IP 设备控制）协议。 H.248 协议作为 MGCP 的演进协议， 继承了 MGCP 的众 多优点，扩展性、安全性和互通性等方面的技术也日 臻完善， 所提供的功能不仅限于语音， 还增加了文 本、视频以及许多与 Internet服务相结合的新功能。 在中国，VoIP 技术于 1999 年被引用到电信运 营中，由于其“价廉物美”的特点而深受广大用户和 运营商的青睐。 到 2002年底，IP电话在国内长途和 国际长途业务中的应用已经远远超出了传统电话。 随着 Internet 的不断发展、 语音编码技术的提高以 及成本的进一步降低，VoIP取代传统电话已成为必 然趋势。 但 VoIP 在发展过程中遇到的安全性问题 是一个不能回避和值得探讨的问题。 2 VoIP可能出现的安全性问题 2.1 VoIP自身的问题 H.323 和 SIP 总体上都是开放的协议体系，而 VoIP 各个设备厂家都有独立的语音服务器来提供 语音网关或 IP 话机的注册和控制功能， 并且采用 Windows、Linux等操作系统， 这些开放的系统本身 就容易受到病毒和恶意攻击的影响。 尤其是某些设 备在需要提供基于 Web 的管理界面时，都可能采用 MicrosoftⅡS或 Apache来提供服务，这些应用在出 厂时已经安装在设备中， 无法保证这些产品能弥补 安全漏洞。 也就是说 VoIP 网关的自身安全性存在 VoIP安全问题及解决措施分析 王凌云， 陈 薇 （南京邮电大学通信与信息工程学院， 江苏省南京市 210003） 摘 要 VoIP是将传统电信技术与计算机网络技术融合的新型应用， 它基于 IP技术传 送语音，得到了迅速发展，但它还存在一些安全问题。 文章从 VoIP的工作原理出发，分析 了 VoIP可能存在的安全问题，提出了一些解决问题的措施。 关键词 VoIP； 安全问题； 基本原理； 解决措施 江 苏 省 高 技 术 研 究 计 划 （No.BG2003001； BG2007045）资助项目 科 普 园 地 44 2009年 第 3期 图 1 VoIP 的实现原理 问题，会造成语音服务器存在潜在的安全漏洞。 2.2 DOS攻击 VoIP系统各部分（如语音服务器、语音网关、IP 语音终端等） 通过 TCP、UDP等开放端口进行远端 管理或私有信息传递，因此存在端口漏洞，攻击者使 用扫描工具获取这些设备的 IP地址、语音应用有关 的 TCP/UDP 端口等信息， 发送大量带有虚假地址 的服务请求， 导致这些设备因处理此类请求而消耗 掉所有的资源，无法响应用户的正常请求。 2.3 服务窃取 一般在 IP电话首次登陆到系统时，会要求输入 个人的分机号码和密码。 很多已经拥有 VoIP 的企 业都会在分配给员工一个桌面电话的同时再分配一 个 IP电话，即授予密码和拨号权限。 一旦密码被窃 取，或被黑客利用 SIP协议的安全漏洞攻破 IP 语音 网关，或攻击语音服务器而获得其登录口令，都会给 用户带来一定程度的损失。 2.4 媒体流的窃听 信令和媒体流是建立一个典型 VoIP 呼叫必不 可少的，RTP/RTCP 是基于包的网络上传输等时话 音信息的协议，这些协议都是开放的，通过网络监听 的方式，截取任何一段连续时间的 RTP 报文，就可 以恢复出相应的语音，让双方的通话内容暴露无遗， 从而对用户的隐私安全构成威胁。 2.5 伪造攻击 SIP中伪造攻击非常类似于 SMTP。攻击者改变 消息的头域和消息体， 接收者则认为是非发起者发 出的请求。 请求伪造就是模仿消息发出者的身份欺 骗合法的接收者。 2.6 对数据网络的安全威胁 以 IP数据网为支撑的 VoIP技术与互联网同样 面临着来自数据网络病毒、木马、恶意程序和代码的 威胁。 此外，VoIP账号在数据网络上的安全问题也 是一个安全隐患。 2.7 紧急呼叫问题 VoIP 不像 PSTN 那样在用户拨打火警等报警 电话时能反应及时， 而且 VoIP 也无法准确给出来 电的确切物理位置， 在这一领域的应用有待进一步 研究和发展。 3 VoIP安全性问题的解决措施 3.1 隔离用于话音和数据传输的网络 这里的隔离不是物理隔离，而是将所有的 IP话 机放到一个独立的 VLAN 当中，不允许无关的终端 进入此网段。 很多调查都证实了划分 VLAN是目前 最为简单有效的方法，可以隔离病毒和简单的攻击。 同时，配合数据网络的 QoS 设定，还有助于提高话 音质量。 3.2 对 VoIP软件运行平台进行管理 对 VoIP 呼叫管理控制软件的运行平台 （如 Windows或 Linux操作系统或路由器上不同软件平 台），应该确保操作系统日常运行的安全性，并且已 经安装了最新的安全补丁。 3.3 语音数据的加密 语音窃听主要是截获未加保护的流媒体数据， 对语音数据进行加密可以有效防止窃听。 H.323 中 H.235 是负责身份认证、 数据完整性和媒体流加密 的。 因此，H.323 协议的 VoIP终端设备可以提供对 音频流的加密保护。 3.4 安全框架 IP 电话终端或其他设备可通过防火墙得到保 护。防火墙运行管理员通过对一个点的管理和控制， 防止黑客和侵入者等未经授权用户接入 IP。 防火墙 增强了安全管理，通过防火墙可以保障 IP的安全。 由于 IP电话业务是语音与数据基础设施的融合 应用，因此，在安全框架内实施 IP电话安全战略至关 重要， 而能否提供一个安全 IP电话实现 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 将是决 定 IP电话能否顺利发展的关键环节， 只有很好地解 决了 IP电话的安全问题，基于 IP电话的应用才能稳 定发展，并成为解决低话费、高效率、可移动语音通信 需求的有效方法。 随着 IP电话所遵循的 SIP协议不 断完善，相关的鉴别、授权、认证及密钥技术将会逐渐 引入 IP电话技术体系，安全通信将会成为 IP 系统的 一种增值特性。 3.5 加强安全管理 作为个人用户， 就如定期升级自己的杀毒软件 科 普 园 地 45 2009年 第 3期 （上接第 43页） OTGMonitor：OTG信息寄存器，格式见 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 2。 4）实现方法 该模块用状态机实现 OTG 的状态转换， 从而 实现设备的连接、枚举、SRP和 HNP协议，由于该模 块涉及到各个状态持续时间的定时， 为了让定时更 加的灵活和连接的稳定， 该模块通过中断向上层的 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 ，启动上层软件定时。状态切换的状态通过写寄 存器 OTGStateCmd 实现。 3 结束语 本文通过对 USB OTG 协议的分析， 设计了 USB OTG的硬件、软件实现方案。 当然对于不同芯 片的选择、硬件实现的任务有所不同。如果选用功能 强大的芯片，那么上层固件会承担较少的任务，反之 会承担更多的任务。 文中的 OTG 设计方案的验证 主要通过 SystemC进行功能验证。 参考文献 1 王成儒，李英伟 . USB2.0 原理与工程开发 .北京：国防工 业出版社,2004. 2 萧世文．USB2.0 硬件设计.北京：清华大学出版社，2002. 3 肖踞雄，翁铁成，宋中庆. USB 技术及应用设计[M].北京： 清华大学出版社，2003. 4 周立功,等. USB 2.0 与 OTG 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 及开发指南[M].北京： 北京航空航天大学出版社，2004. 王华强（1982—）,男，硕士研究生 ,主要研究方 向为第三代移动通信。 收稿日期：2008-11-13 表 2 OTGMonitor 描述 寄存器名 R/W 位 描述 OTGMonitor R/W 7 0：ID信号线为低电平；1：ID信号线为高电平 5～6 00b：SE0； 01b：J； 10b：K； 11b：SE1 4 0：VBUS_SESS_END无效；1：有效 3 0：VB_SESS_END无效；1：有效 2 0：VB_SESS_VLD无效；1：有效 1 0：VA_SESS_VLD无效；1：有效 0 0：VA_VBUS_VLD有效；1：无效 一样，要定期查找 IP服务器和 IP 终端的漏洞，及时 进行修补。 而作为企业用户， 要合理制订单位内部 VoIP用户的使用权限。 3.6 利用协议优势提供安全保护 H.323 和 SIP 协议针对 VoIP 的应用也提供了 一些相应的安全保护措施。 H.323 协议在呼叫通过 用户身份验证之后才能进行下一步的操作， 这种保 护机制无疑加强了对合法用户的监视和管理。此外， 它还通过数据包的加密和校验， 进一步加强了对数 据完整性的保证。 H.323 还允许扩展密钥算法和机 制来保证密钥传输和验证的安全性和可靠性。 SIP 也同样提供了用户鉴别和授权来保证用户的合法 性。 SIP网络还引入了 IPSec来加强安全管理。 它还 可以在目的地接收数据包时验证数据包的完整性， 可以使用 NAT技术来保障网络安全。 4 结束语 随着 VoIP 使用越来越广泛，对其安全问题的 关注将越来越多， 必将成为研究人员和工程技术 人员研究的热点。 本文对 VoIP 的安全性问题进行 了分析，提出了一些解决措施，能为相关技术的研 究提供参考。 随着电信技术和互联网技术的不断 发展，VoIP 的安全性问题近期有望得到圆满解决。 参考文献 1 Stefano Salsano，Luca Veltri，Donald Papalilo. SIP Secu- rity Issues：The SIP Authentication Procedure and its Processing Load. December 2002. 2 Franklin D Ohrtman，JR 著. 软交换技术[M]. 李晓刚，许 刚，译. 北京：电子工业出版社，2003. 3 Daniel Collins 著 . VoIP 技术与应用 （Carrier Grade Voice over IP）[M]. 舒华英，李 勇，译. 北京：人民邮电 出版社，2003. 4 刘伟明， 等. VoIP 安全———基于 SIP 协议的深入剖析和 解决策略[J]. 计算机应用，2006（6）：167~170. 5 郑 勇， 等. 基于软交换的 VoIP 技术在 CRM 呼叫中心 中的应用与研究[J]. 邮电设计技术，2008（8）：70~73. 王凌云（1987—），男，主要研究方向为网络通 信与网络安全。 收稿日期：2008-11-29 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 科 普 园 地 46