李　浩

【摘 要】VoIP(Voice over IP)技術(shù)因低成本和更靈活的特性,由原來的一種互聯(lián)網(wǎng)上的增值應(yīng)用發(fā)展成為一種得到廣泛使用的通信技術(shù)。但由于VoIP是基于普通的IP網(wǎng)絡(luò),因而也會遭遇到與IP網(wǎng)絡(luò)相關(guān)的安全挑戰(zhàn)。本文簡要介紹了VoIP技術(shù)并指出其在安全性上存在的缺陷,最后重點討論了目前和將來VoIP系統(tǒng)實施至關(guān)重要的攻擊手段的相應(yīng)對策。

【關(guān)鍵詞】 VoIP安全;安全分析;安全策略

一、簡述

VoIP(Voice over IP,IP電話)是建立在IP技術(shù)上的分組化、數(shù)字化傳輸技術(shù),其基本原理是通過語音壓縮算法對語音數(shù)據(jù)進行壓縮編碼處理,打包后經(jīng)過IP網(wǎng)絡(luò)傳輸?shù)浇邮盏?再對這些數(shù)據(jù)包進行解碼解壓縮處理,恢復(fù)成原來的語音信號。IP電話系統(tǒng)把普通電話的模擬信號轉(zhuǎn)換成計算機可接入因特網(wǎng)傳送的IP數(shù)據(jù)包,同時也將收到的IP數(shù)據(jù)包轉(zhuǎn)換成聲音的模擬電信號。

VoIP的基本結(jié)構(gòu)由網(wǎng)關(guān)(GW)和網(wǎng)守(GK)兩部分構(gòu)成。網(wǎng)關(guān)的主要功能是信令處理、H. 323協(xié)議處理、語音編解碼和路由協(xié)議處理等,對外分別提供與PSTN網(wǎng)連接的中繼接口以及與IP網(wǎng)絡(luò)連接的接口。網(wǎng)守的主要功能是用戶認證、地址解析、帶寬管理、路由管理、安全管理和區(qū)域管理。

VoIP的數(shù)據(jù)處理包含以下四個步驟:信令,編碼,傳輸和網(wǎng)關(guān)控制。信令技術(shù)保證電話呼叫的順利實現(xiàn)和話音質(zhì)量,目前被廣泛接受的VoIP控制信令體系包括ITU-T的H.323系列和IETF的SIP協(xié)議(Session Initiation Protocol,會話初始化協(xié)議)。話音壓縮編碼技術(shù)是IP電話技術(shù)的一個重要組成部分。目前,主要的編碼技術(shù)有ITU-T定義的G.729、G.723(G.723.1)等。實時傳輸技術(shù)主要是采用RTP協(xié)議(Real-time Transport Protocol,實時傳輸協(xié)議)。RTP是提供端到端的包括音頻在內(nèi)的實時數(shù)據(jù)傳送的協(xié)議。RTP包括數(shù)據(jù)和控制兩部分,后者叫RTCP。RTP包的頭字段中包含有供接收端正確地將包轉(zhuǎn)換成語音信號的數(shù)據(jù)。封裝好的數(shù)據(jù)包作為有效載荷通過UDP進行正常數(shù)據(jù)傳輸。IP網(wǎng)絡(luò)本身必須保證通過電話系統(tǒng)傳輸?shù)膶崟r會話由網(wǎng)關(guān)轉(zhuǎn)換成其它格式,即采用不同的基于IP的多媒體機制或PSTN標(biāo)準(zhǔn)的格式。

二、安全隱患

作為一種新興傳輸協(xié)議(如SIP),它尚不完善,采用類似于FTP、電子郵件或者HTTP服務(wù)的形式來發(fā)起用戶之間的連接,由于不是面向安全連接的協(xié)議,所以在將互聯(lián)網(wǎng)作為語音數(shù)據(jù)載體的同時,VoIP不僅會遇到與電路交換網(wǎng)絡(luò)相同的安全問題,如偷聽和資費欺騙,同時也會遇到來自互聯(lián)網(wǎng)的安全威脅。

1.常見攻擊

(1)拒絕服務(wù)攻擊

DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù),即無法呼叫或接收電話。該攻擊可以是阻止所有電話的呼叫或阻止對某一電話號碼的呼叫。

(2)數(shù)據(jù)流的監(jiān)聽

一個典型的VoIP呼叫需要信令和數(shù)據(jù)流這兩個建立的步驟,用于VoIP在IP網(wǎng)絡(luò)上傳輸?shù)葧r話音信息的RTP和RTCP是開放的協(xié)議,由于協(xié)議本身是開放的,任何人可通過網(wǎng)絡(luò)監(jiān)聽的方式監(jiān)聽VoIP通信建立過程的信令流,從而惡意用戶可以進行對信令流的篡改并可造成會話劫持、中間人攻擊、電話跟蹤等后果。黑客可以使用偽裝欺騙手段突破SIP和IP地址的限制而竊取到整個談話過程,用戶承受著敏感商業(yè)信息和個人隱私信息泄密的風(fēng)險。

(3)身份和服務(wù)竊取

通常在IP話機首次登陸到系統(tǒng)時,系統(tǒng)會提示輸入個人的分機號碼和密碼。利用SIP協(xié)議的安全漏洞,黑客可以攻破IP語音網(wǎng)關(guān),不經(jīng)過認證隨意撥打IP電話,造成運營者的經(jīng)濟損失;或者攻擊語音服務(wù)器竊取用戶身份和密碼信息,從而盜用合法用戶的身份撥打IP電話,造成用戶的話費損失。

(4)資費欺騙(Toll Fraud)

資費欺騙是指攻擊者盜用(模仿)某個電話帳戶,以免費撥打長途電話,而其產(chǎn)生的大量話費則轉(zhuǎn)嫁給該帳戶的真正所有者。

(5)呼叫轉(zhuǎn)移(Redirection of Call)

攻擊者將受害者的呼叫轉(zhuǎn)移至其指定的號碼,而將打給受害者的電話重定向到攻擊者的電話來模仿受害者。

(6)垃圾信息(SPAM)

攻擊者建立一組具有VoIP電話地址列表的服務(wù)器,通過服務(wù)器向這些地址傳送大量消息給受害者或者塞滿受害者的語音郵箱。

2.基于VoIP的協(xié)議攻擊

SIP是一個應(yīng)用層協(xié)議,它可以實現(xiàn)IP網(wǎng)上的信令控制,包括建立、管理和終止由多方參與的語音會話進程。SIP協(xié)議在設(shè)計之初充分考慮了協(xié)議的易用性和靈活性,但沒有將安全性作為重點,使其在安全性方面存在一定缺陷。此外,由于SIP消息通過Internet傳輸,同樣面臨著IP網(wǎng)絡(luò)常見的安全威脅。

(1)SIP注冊攻擊

在SIP和其它VoIP協(xié)議中,用戶代理UA及IP電話必須向SIP代理服務(wù)器注冊,這樣可以通過代理服務(wù)器將來電傳給電話。當(dāng)攻擊者模仿一個真實的UA向SIP代理服務(wù)器注冊,并使用其地址代替真正的注冊時時即產(chǎn)生注冊攻擊。該攻擊會使所有傳向UA的來電被轉(zhuǎn)移到惡意UA(rogue UA)。注冊攻擊會造成被攻擊UA的來電丟失,通常發(fā)生在個人用戶,用戶組或大通信量的資源服務(wù),如媒體網(wǎng)關(guān)或語音郵件系統(tǒng)。

(2)SIP消息篡改

SIP消息沒有內(nèi)置的完整性機制,通過中間人攻擊(IP欺騙,MAC欺騙,SIP注冊),攻擊者可以截獲并修改SIP消息,并改變部分或全部的消息。

(3)SIP Cancel/Bye攻擊

攻擊者生成一個帶有Cancel或Bye命令的消息并發(fā)送到電話終端,結(jié)束正在進行的會話。如果攻擊者持續(xù)發(fā)送這樣的消息包給某個電話終端,則該終端將不能處理或接收呼叫。

(4)SIP畸形命令

SIP使用的是一種類似HTML的命令格式,這使得SIP協(xié)議很靈活并方便擴展實現(xiàn)VoIP的特性,但這也使SIP解析器很難使用各種可能的輸入進行測試。攻擊者會利用其發(fā)現(xiàn)的這一弱點,使用畸形命令并發(fā)送給脆弱節(jié)點,使該節(jié)點降級或癱瘓,進而使部分或整個VoIP系統(tǒng)無法使用。由互聯(lián)網(wǎng)瀏覽器所遇到的缺陷可以看到,對各種可能發(fā)送的信息是很難進行測試的。

(5)SIP重定向

SIP采用一個服務(wù)器應(yīng)用程序接收來自電話或代理服務(wù)器的請求,并返回一個重定向響應(yīng)指明該請求應(yīng)到何處重試。攻擊者通過攻擊重定向服務(wù)器,并命令將受害者的呼叫轉(zhuǎn)移至指定的號碼,攻擊者就可以得到其想要的受害者呼叫。攻擊者也可以重定向所有用戶的電話號碼到一個不存在的設(shè)備上,使整個網(wǎng)絡(luò)癱瘓。

(6)RTP載荷攻擊

RTP(Real-Time Transport Protocol,實時傳輸協(xié)議)承載著呼叫雙方的編碼語音信息。它是UDP協(xié)議加上順序信息的簡單擴展。使用中間人攻擊,攻擊者可以檢查或修改兩個節(jié)點間的RTP媒體流。此時,檢查即演變?yōu)楦`聽,修改方式可以是插入噪音或攻擊者自己的消息。

(7)RTP篡改

攻擊者通過修改RTP包頭字段中的順序號和時間戳,使數(shù)據(jù)包的順序或被打亂甚至不可用。在這種攻擊下,通信雙方的會話變得莫名其妙,或協(xié)議棧被破壞(破壞了節(jié)點接收的數(shù)據(jù)包),最終導(dǎo)致節(jié)點的掉線直至軟件重啟動。

三、安全機制

針對上述攻擊行為,下面提出的一些安全機制將會有效地進行防御。

1.身份認證

身份認證用于確定終端用戶的身份,是H.323安全體制中最為重要的環(huán)節(jié),如果沒有它,任何一個用戶都可以冒充合法用戶進入網(wǎng)絡(luò)。首先是確定終端用戶的身份,防止用戶假冒,它是整個安全體系的基礎(chǔ),因為只有當(dāng)來自一個節(jié)點的H.323呼叫首先被確認身份之后,才能夠提供進一步的安全保證。其次是用于證實機制,防止某些用戶否認他們曾參與某一個H.323呼叫。并且H.235的其他安全措施只有當(dāng)來自一個節(jié)點的H.323呼叫首先被確認身份之后,才能夠提供進一步的安全保證。

2.隔離VoIP和數(shù)據(jù)傳輸

隔離傳輸可以防止大量將PC和工作站作為侵入VoIP網(wǎng)絡(luò)的入口的攻擊。出于成本上的考慮,這種方法是通過VLAN來實施的。實施VLAN時,網(wǎng)絡(luò)交換機僅允許按照網(wǎng)絡(luò)管理者配置的同一VLAN上的設(shè)備間的路由。

數(shù)據(jù)和語音LAN之間需要保持一些連接。語音郵件服務(wù)器通常放置在網(wǎng)絡(luò)的數(shù)據(jù)網(wǎng)絡(luò)段。VoIP呼叫控制服務(wù)器被控

制連接到語音郵件服務(wù)器。

3.信令認證

當(dāng)一個VoIP電話注冊到SIP服務(wù)器時,電話需要提供其身份標(biāo)識,該身份標(biāo)識包括電話的MAC和IP地址。雖然相關(guān)的地址保護可以減少攻擊者使用這些地址進行欺詐,但并不能完全消除威脅。利用IPsec協(xié)議提供的認證和加密機制,可以在VoIP電話和呼叫管理服務(wù)器之間使用IPsec協(xié)議提供了一種強認證機制。

針對SIP的攻擊,通常采用認證的防御方法,如注冊時使用UDP和TCP在UA和控制節(jié)點間傳遞注冊信息,采用TLS建立認證安全連接來代替開放連接將會避免SIP注冊攻擊的發(fā)生。為避免Cancel/Bye攻擊,可以在UA和控制節(jié)點間引入強認證機制,UA驗證接收到的Cancel或Bye命令是否來自一個使用基于認證證書的可信節(jié)點。強認證同樣可避免攻擊者發(fā)送畸形命令到節(jié)點。

4.媒體加密

保護語音會話不被偷聽是VoIP實施時主要考慮的問題。使用SRTP(Secure RTP, 安全RTP)則可避免載荷數(shù)據(jù)被偵聽和篡改,發(fā)送方加密RTP數(shù)據(jù)包后在網(wǎng)絡(luò)中傳輸,最后由接收方解密。SRTP避免了竊聽和在數(shù)據(jù)包傳輸過程中添加新的信息。SRTP協(xié)議使得接收節(jié)點能夠檢測到RTP數(shù)據(jù)包頭部被修改后,在處理之前就丟棄掉,這將避免應(yīng)用軟件受到不正常行為的干擾。還可以將VoIP傳輸限定在LAN/VLAN內(nèi),與非VoIP傳輸隔離,增加了攻擊者獲取VoIP內(nèi)容的難度,則避免這種類型的攻擊的發(fā)生。

四、結(jié)束語

本文給出了一種隔離VoIP和數(shù)據(jù)傳輸?shù)陌踩珜嵤┎呗?并結(jié)合端口認證,信令認證及媒體加密等方法,可以更好地提供VoIP實施過程的安全保證?？紤]到所面臨的惡意攻擊,必須注意到VoIP實施仍然面臨巨大挑戰(zhàn)來消除這些威脅。今后的研究工作一方面需要加強安全機制和服務(wù)方面的研究,以支持不同系統(tǒng)級別的VoIP;另一方面,將安全標(biāo)準(zhǔn)和VoIP產(chǎn)品標(biāo)準(zhǔn)的緊密結(jié)合,將有助于更好地保護用戶數(shù)據(jù)安全。

參考文獻

[1]Chong Hui Min,Matthews H S.Comparative Analysis of Traditional Telephone and Voice-over-Internet Protocol(VoIP)Systems[J].IEEE,May 2004:106-111.

[2] Rosenberg J, Schulzrinne H, Camarillo G. SIP: Session Initiation Protocol. RFC 3261[S],2002.

[3] 劉偉明,鮮繼清,陳偉凌. VoIP安全——基于 SIP協(xié)議的深入剖析和解決策略[J]. 計算機應(yīng)用, 2006, 26(6):167-170.

[4]劉志軍,王鳳著,張孟輝.軟交換技術(shù)協(xié)議SIP及其在VoIP中應(yīng)用[J].微計算機信息,2006,27(9):169-172.

[5] 俞志春,方濱興,張兆心. SIP協(xié)議的安全性研究[J]. 計算機應(yīng)用, 2006, 26(9):2124-2126.