ＶＯＩＰ系統安全技術的研究與實現

摘要：VoIP(Voice over IP)是建立在Internet基礎上的一種語音應用，首先研究和分析了VOIP應用過程中存在的主要安全威脅，并且針對這些安全威脅提出了一系列的解決方法和技術，通過對這些技術的合理應用可以增強VOIP應用的安全性。

關鍵詞：VOIP；防火墻；STUN；入侵防護系統

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1091-02

Reserch and Implementation of Security Technologies on VOIP System

ZHAO Jing

(Department of Computer and Electronics Engineering，University of Shanghai for Science and Technology，Shanghai 200093，China)

Abstract: In this article an analysis is made of the existing security concerns in VOIP system，then a series of methods and technologies are provided to protect VOIP application.In this way，the security of VOIP system will be enhanced.

Key words: VOIP; firewall; STUN; IPS

1 引言

VoIP也稱為網絡電話，它是在IP網絡上通過TCP/IP協議實現的一種語音應用，這種應用包括PC對PC連接、PC對電話連接、電話對電話連接等。目前，全球市場包括中國已有相當大的一部分語音業務通過IP來傳送，隨著VoIP的廣泛普及和應用，加強VoIP系統的安全性顯得日益緊迫。

2 VoIP基本原理及技術

IP電話是建立在IP技術上的分組化、數字化傳輸技術，它將普通電話的模擬信號轉換成可以在因特網上傳送的IP數據包，同時也將收到的IP數據包轉換成聲音的模擬電信號，其基本原理是：通過語音壓縮算法對語音數據進行壓縮編碼處理，然后把這些語音數據按IP等相關協議進行打包，經過IP網絡把數據包傳輸到目的端，再把這些語音數據包組裝起來，經過解碼解壓處理后，恢復成原來的語音信號，從而達到由IP網絡傳送語音的目的。

3 VoIP系統面臨的安全威脅

下面分析一下VOIP系統可能面臨的安全威脅，大致可以分為以下幾類。

3.1 常規威脅

由于VoIP基于可同時承載語音、數據等的統一IP網絡架構，語音和數據網絡的融合增加了網絡被攻擊的風險，對數據網絡的各種攻擊手段都會出現在語音和數據融合的網絡中。

3.2 VoIP特有的安全威脅

除了會遭遇上述的威脅外，VoIP系統還會遭遇以下這些與語音有關的主要威脅：

1） 產品本身易受攻擊：VoIP基礎設施需要添加專用交換機系統、網關、代理、注冊和定位服務器以及撥打到IP骨干網的電話，對數據通信的攻擊可通過IP語音基礎設施進行。

2） 相關協議實現的漏洞：VoIP涉及大量協議，如SIP、H.323、MGCP等，這些復雜的協議會由于軟件實現中的缺陷或錯誤而留下漏洞。

3） 信令協議篡改：惡意用戶可以監控和篡改建立呼叫后傳輸的數據包。

4） IP電話被盜打：通過竊取使用者IP電話的登錄密碼能夠獲得話機的權限。

5） 流媒體偵聽：VOIP存在通過對IP電話之間的RTP語音流竊取并重放的問題。

6） 呼叫黑洞：指未授權的拒絕通過VoIP傳輸，從而結束或阻止正在進行的信息交流。

4 可以采用的主要安全技術

在分析了VoIP系統可能受到的安全威脅之后，可以認識到加強VoIP系統安全的必要性和復雜性，可以采用下面介紹的這些主要技術和措施來保障VoIP系統的安全運行。

4.1 防火墻技術

傳統防火墻其自身的特性對VoIP的部署是一個障礙，因為它丟棄所有從外到內未開放端口的連接請求，而VoIP采用動態端口傳輸語音和視頻，若防火墻開放全部端口，意味著防火墻形同虛設；另外VoIP要求因特網上基于IP的資源是可預測、靜態可用的，因而當防火墻利用NAT技術時，要使VoIP有效通過防火墻會較困難，因而必須采用一些新技術。

4.1.1 語音感知應用層網關（ALG）

應用層網關被設計成能夠識別指定的協議（如H.323、SIP或MGCP等），它不是簡單地察看包頭信息來決定數據包是否可以通過，而是更深層的分析數據包載荷內的數據，也就是應用層的數據。采用這種技術可以使網絡能夠動態開放和關閉防火墻端口。

4.1.2 STUN (Simple Traversal of UDP Through NAT)

STUN是一種UDP流協議穿透NAT的協議，其解決NAT問題的思路如下：私網接入用戶通過某種機制預先得到其地址對應在出口NAT上的對外地址，然后直接填寫出口NAT上的對外地址，而不是私網內用戶的私有IP地址，這樣報文負載中的內容在經過NAT時就無需被修改了，只需按普通NAT流程轉換報文頭的IP地址即可，而此時負載中的IP地址信息和報文頭地址信息是一致的。

4.1.3 TURN（Traversal Using Relay NAT）

TURN方式解決NAT問題的思路與STUN相似，采用TURN Server的地址和端口作為客戶端對外的接收地址和端口，即私網用戶發出的報文都要經過TURN Server進行Relay轉發。這種應用方式除了具有STUN方式的優點外，還解決了STUN無法穿透對稱NAT的問題

4.1.4 深度包檢測技術

深度包檢測技術以基于指紋匹配、啟發式技術、異常檢測以及統計學分析等技術的規則集，決定如何處理數據包。通常深度包檢測技術深入檢查通過防火墻的每個數據包及其應用載荷，因為很多惡意行為可能隱藏在數據載荷中。

4.1.5 會話邊界控制器（SBC）

SBC可以被看作支持VoIP的防火墻，它還可以修改IP包的包頭，使IP包能夠順利通過網絡邊緣設備。SBC是一種“可識別應用層”的設備，可以識別第五層和第七層的消息，并且還可以處理第五層的眾多會話信令協議，修改數據包頭的地址，從而實現“遠端防火墻穿越”。同時SBC可以通過對會話數目的限制，實現應用層防DOS攻擊。

4.2 虛擬局域網（VLAN）技術

讓語音和數據在不同的虛擬局域網上傳輸，把所有的VoIP電話放在單獨的虛擬局域網上，并且使用不可路由的RFC 1918地址。防止VLAN間進行通信可緩解竊聽電話的現象，還可為VoIP虛擬局域網賦予較高優先級。

4.3 加密技術

可以使用加密技術比如IPsec來保持VoIP的安全，加密還可以挫敗需要對基礎設施獲得物理訪問權的其他類型的攻擊。

4.4 入侵防護系統（IPS）

IPS可以緩解從內部發動攻擊這個問題。例如，利用SIP發送大量的“注冊”請求會導致服務器無力處理請求，而如果IPS能夠理解SIP，就可以檢測這些攻擊。

4.5 加強操作系統安全

支持VoIP的服務器一般運行在Linux、Windows等操作系統上，而這些操作系統又有著不同的漏洞和補丁需要完善。VoIP設備一般都放在機房內獨立運行，不需要人為干預，但是這些設備出廠的時候，如果沒有打上最新的補丁，就需要網管維護部門不斷跟蹤最新的安全信息或者和設備廠商保持聯系，為這些骨干設備升級操作系統，避免遭到黑客的攻擊，另外還要認真限制對它們的訪問。

5 結束語

本文對VOIP應用過程中存在的主要安全威脅進行了研究和分析，并且針對這些安全威脅提出了一系列的解決方法和技術，通過對這些技術的合理應用可以極大的增強VOIP應用的安全性。

參考文獻：

[1] Rosenberg J， Schulzrinne H， Camarillo G，et al. SIP:Session initiation protocol[EB/OL][S.L].IETF，2002，6.

[2] Lippmann R P，Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural Networks.Computer Networks-the International Journal of Computer and Telecommunica- tions Networking，2000，34(4):597-603

[3] ITU-T RFC 3015 Megaco Protocol Version 1.0. [S]，2000.11.

[4] ITU-T RFC 3525 Gateway Control Protocol Version 1.[S]，2003.06.