随着互联网的飞速发展,VoIP业务得到广泛开展。在过去的几年中,由于H.323发展早而且符合运营商的体系运营思路,故其发展远远领先于其它VoIP协议,并大量部署到运营网络中。目前,绝大多数运营的VoIP业务都基于H.323协议簇。但是,由于互联网本身的开放性和缺乏有效监控,以及H.323协议簇本身的协议漏洞,H.323网络安全问题日益凸现,给H.323系统带来诸多威胁,严重阻碍了H.323的发展,其主要安全威胁有以下几个方面:
●拒绝服务攻击。基于开放端口的拒绝服务攻击。对H.323系统关键设备进行同步(SYN)、Internet控制报文协议(ICMP)数据包的大流量攻击可导致通信中断,无法正常提供业务。
●服务窃取。主要是针对非授权接入。其中包括:窃取用户身份假冒合法用户身份;冒充合法网络节点进行服务欺骗。
●信令流攻击。由于H.323控制信令的开放性,任何人都可以通过网络监听器监听H.323信令流。恶意用户拦截并篡改网络中传输的信令数据包,修改数据包中的域,使H.323呼叫不能正常使用。从而引入会话劫持、中间人攻击、电话跟踪等威胁。
●媒体流的监听。H.323系统中RTP/RTCP是在IP网上传输话音信息的协议。由于协议本身是开放的,恶意用户可以通过网络监听器监听媒体流,如果可以理解媒体流内容即可破坏媒体流的机密性。
随着网络安全日益成为人们使用IP网络最关注的问题,所以,网络安全同样也成为H.323系统面临的最主要问题之一,可以说,网络安全问题不解决,不仅将来H.323就没有发展前景,现有H.323也很快失去生命力。
一、H.323网络安全体系结构
为了加强H.323系统的网络安全,国际国内标准组织、相关厂家开展积极的H.323网络安全研究工作。图1为H.323网络安全体系示意图,其中阴影部分是H.323所涉及的安全研究范围。
从图1可以看到,H.225.0和H.245是H.323系统的核心协议。H.225.0负责呼叫控制,主要包括两部分:呼叫接纳(RAS)和呼叫信令协议。RAS主要用于传送终端登记信息、认证信息和呼叫处理信息。呼叫信令协议基于Q.931而制定主要用于完成呼叫建立过程。H.245用于媒体控制,主要实现媒体流通信信道的建立、维护和释放。RTCP是媒体流实时传输控制协议,RTP是媒体流实时传输协议。媒体流安全传输将使用H.245信道中给出的算法与密钥进行编码。H.323端点之间建立通信关系一般执行三个控制过程:RAS,呼叫控制(呼叫信令)与连接控制(H.245)。
要实现安全的H.323业务,首先要保证终端或MCU与网守之间安全传递RAS消息,以完成安全注册,确保只有合法用户可以使用H.323业务并进行相应的资源使用授权,如国际、长途业务授权等。在保证RAS安全基础上,可以建立安全的呼叫连接信道(H.225.0)与呼叫控制(H.245)信道,在此基础上,为采用RTP协议的实时媒体流通信进行加密算法与密钥协商,完成媒体流通信机密性。