ＶＯＩＰ系统安全技术的研究与实现.docVIP

ＶＯＩＰ系统安全技术的研究与实现 　　摘要：VoIP(Voice over IP)是建立在Internet基础上的一种语音应用，首先研究和分析了VOIP应用过程中存在的主要安全威胁，并且针对这些安全威胁提出了一系列的解决方法和技术，通过对这些技术的合理应用可以增强VOIP应用的安全性。 　　关键词：VOIP；防火墙；STUN；入侵防护系统 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1091-02 　　Reserch and Implementation of Security Technologies on VOIP System 　　ZHAO Jing 　　(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China) 　　Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced. 　　Key words: VOIP; firewall; STUN; IPS 　　 　　1 引言 　　 　　VoIP也称为网络电话，它是在IP网络上通过TCP/IP协议实现的一种语音应用，这种应用包括PC对PC连接、PC对电话连接、电话对电话连接等。目前，全球市场包括中国已有相当大的一部分语音业务通过IP来传送，随着VoIP的广泛普及和应用，加强VoIP系统的安全性显得日益紧迫。 　　 　　2 VoIP基本原理及技术 　　 　　IP电话是建立在IP技术上的分组化、数字化传输技术,它将普通电话的模拟信号转换成可以在因特网上传送的IP数据包，同时也将收到的IP数据包转换成声音的模拟电信号，其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按IP等相关协议进行打包，经过IP网络把数据包传输到目的端，再把这些语音数据包组装起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送语音的目的。 　　 　　3 VoIP系统面临的安全威胁 　　 　　下面分析一下VOIP系统可能面临的安全威胁，大致可以分为以下几类。 　　3.1 常规威胁 　　由于VoIP基于可同时承载语音、数据等的统一IP网络架构，语音和数据网络的融合增加了网络被攻击的风险，对数据网络的各种攻击手段都会出现在语音和数据融合的网络中。 　　3.2 VoIP特有的安全威胁 　　除了会遭遇上述的威胁外，VoIP系统还会遭遇以下这些与语音有关的主要威胁： 　　1） 产品本身易受攻击：VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话，对数据通信的攻击可通过IP语音基础设施进行。 　　2） 相关协议实现的漏洞：VoIP涉及大量协议，如SIP、H.323、MGCP等，这些复杂的协议会由于软件实现中的缺陷或错误而留下漏洞。 　　3） 信令协议篡改：恶意用户可以监控和篡改建立呼叫后传输的数据包。 　　4） IP电话被盗打：通过窃取使用者IP电话的登录密码能够获得话机的权限。 　　5） 流媒体侦听：VOIP存在通过对IP电话之间的RTP语音流窃取并重放的问题。 　　6） 呼叫黑洞：指未授权的拒绝通过VoIP传输，从而结束或阻止正在进行的信息交流。 　　 　　4 可以采用的主要安全技术 　　 　　在分析了VoIP系统可能受到的安全威胁之后,可以认识到加强VoIP系统安全的必要性和复杂性，可以采用下面介绍的这些主要技术和措施来保障VoIP系统的安全运行。 　　4.1 防火墙技术 　　传统防火墙其自身的特性对VoIP的部署是一个障碍，因为它丢弃所有从外到内未开放端口的连接请求，而VoIP采用动态端口传输语音和视频，若防火墙开放全部端口，意味着防火墙形同虚设；另外VoIP要求因特网上基于IP的资源是可预测、静态可用的，因而当防火墙利用NAT技术时，要使VoIP有效通过防火墙会较困难，因而必须采用一些新技术。 　　4.1.1 语音感知应用层网关（ALG） 　　应用层网关被设计成能够识别指定的协议（如H.323、SIP或MGCP等），它不