摘要 H.323發(fā)展領(lǐng)先于其它VoIP協(xié)議。由于互聯(lián)網(wǎng)的開放性和缺乏有效監(jiān)控,以及H.323協(xié)議簇本身的協(xié)議漏洞,H.323網(wǎng)絡(luò)安全問題給H.323系統(tǒng)帶來諸多威脅。首先對H.323系統(tǒng)面臨的安全威脅進(jìn)行介紹,進(jìn)而對H.323網(wǎng)絡(luò)安全進(jìn)行詳細(xì)的分析介紹,最后介紹了國際國內(nèi)的相關(guān)標(biāo)準(zhǔn)制定情況。
隨著互聯(lián)網(wǎng)的飛速發(fā)展,VoIP業(yè)務(wù)得到廣泛開展。在過去的幾年中,由于H.323發(fā)展早而且符合運(yùn)營商的體系運(yùn)營思路,故其發(fā)展遠(yuǎn)遠(yuǎn)領(lǐng)先于其它VoIP協(xié)議,并大量部署到運(yùn)營網(wǎng)絡(luò)中。目前,絕大多數(shù)運(yùn)營的VoIP業(yè)務(wù)都基于H.323協(xié)議簇。但是,由于互聯(lián)網(wǎng)本身的開放性和缺乏有效監(jiān)控,以及H.323協(xié)議簇本身的協(xié)議漏洞,H.323網(wǎng)絡(luò)安全問題日益凸現(xiàn),給H.323系統(tǒng)帶來諸多威脅,嚴(yán)重阻礙了H.323的發(fā)展,其主要安全威脅有以下幾個方面:
●拒絕服務(wù)攻擊;陂_放端口的拒絕服務(wù)攻擊。對H.323系統(tǒng)關(guān)鍵設(shè)備進(jìn)行同步(SYN)、Internet控制報(bào)文協(xié)議(ICMP)數(shù)據(jù)包的大流量攻擊可導(dǎo)致通信中斷,無法正常提供業(yè)務(wù)。
●服務(wù)竊取。主要是針對非授權(quán)接入。其中包括:竊取用戶身份假冒合法用戶身份;冒充合法網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行服務(wù)欺騙。
●信令流攻擊。由于H.323控制信令的開放性,任何人都可以通過網(wǎng)絡(luò)監(jiān)聽器監(jiān)聽H.323信令流。惡意用戶攔截并篡改網(wǎng)絡(luò)中傳輸?shù)男帕顢?shù)據(jù)包,修改數(shù)據(jù)包中的域,使H.323呼叫不能正常使用。從而引入會話劫持、中間人攻擊、電話跟蹤等威脅。
●媒體流的監(jiān)聽。H.323系統(tǒng)中RTP/RTCP是在IP網(wǎng)上傳輸話音信息的協(xié)議。由于協(xié)議本身是開放的,惡意用戶可以通過網(wǎng)絡(luò)監(jiān)聽器監(jiān)聽媒體流,如果可以理解媒體流內(nèi)容即可破壞媒體流的機(jī)密性。
隨著網(wǎng)絡(luò)安全日益成為人們使用IP網(wǎng)絡(luò)最關(guān)注的問題,所以,網(wǎng)絡(luò)安全同樣也成為H.323系統(tǒng)面臨的最主要問題之一,可以說,網(wǎng)絡(luò)安全問題不解決,不僅將來H.323就沒有發(fā)展前景,現(xiàn)有H.323也很快失去生命力。
一、H.323網(wǎng)絡(luò)安全體系結(jié)構(gòu)
為了加強(qiáng)H.323系統(tǒng)的網(wǎng)絡(luò)安全,國際國內(nèi)標(biāo)準(zhǔn)組織、相關(guān)廠家開展積極的H.323網(wǎng)絡(luò)安全研究工作。圖1為H.323網(wǎng)絡(luò)安全體系示意圖,其中陰影部分是H.323所涉及的安全研究范圍。
圖1 H.323網(wǎng)絡(luò)安全體系示意
從圖1可以看到,H.225.0和H.245是H.323系統(tǒng)的核心協(xié)議。H.225.0負(fù)責(zé)呼叫控制,主要包括兩部分:呼叫接納(RAS)和呼叫信令協(xié)議。RAS主要用于傳送終端登記信息、認(rèn)證信息和呼叫處理信息。呼叫信令協(xié)議基于Q.931而制定主要用于完成呼叫建立過程。H.245用于媒體控制,主要實(shí)現(xiàn)媒體流通信信道的建立、維護(hù)和釋放。RTCP是媒體流實(shí)時傳輸控制協(xié)議,RTP是媒體流實(shí)時傳輸協(xié)議。媒體流安全傳輸將使用H.245信道中給出的算法與密鑰進(jìn)行編碼。H.323端點(diǎn)之間建立通信關(guān)系一般執(zhí)行三個控制過程:RAS,呼叫控制(呼叫信令)與連接控制(H.245)。
要實(shí)現(xiàn)安全的H.323業(yè)務(wù),首先要保證終端或MCU與網(wǎng)守之間安全傳遞RAS消息,以完成安全注冊,確保只有合法用戶可以使用H.323業(yè)務(wù)并進(jìn)行相應(yīng)的資源使用授權(quán),如國際、長途業(yè)務(wù)授權(quán)等。在保證RAS安全基礎(chǔ)上,可以建立安全的呼叫連接信道(H.225.0)與呼叫控制(H.245)信道,在此基礎(chǔ)上,為采用RTP協(xié)議的實(shí)時媒體流通信進(jìn)行加密算法與密鑰協(xié)商,完成媒體流通信機(jī)密性。
二、具體安全解決方案
H.323網(wǎng)絡(luò)安全實(shí)現(xiàn)主要有兩種安全機(jī)制:通過網(wǎng)絡(luò)層/傳輸層安全通道(如IPSec、SSL、TLS),實(shí)現(xiàn)H.323安全保護(hù);通過對H.323協(xié)議簇中所涉及到的信令本身增加安全機(jī)制,實(shí)現(xiàn)各種信道安全能力協(xié)商與安全保護(hù)。具體H.323網(wǎng)絡(luò)安全可根據(jù)實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境,綜合使用以上二種安全機(jī)制。由于通過安全通道進(jìn)行安全保護(hù)是通用的安全保護(hù),僅僅進(jìn)行H.323的外部保護(hù),和H.323協(xié)議簇本身沒有太大的關(guān)系,所以本文重點(diǎn)介紹第二種機(jī)制:對H.323協(xié)議簇中所涉及到的信令本身增加安全機(jī)制。
根據(jù)圖1所示,H.323安全研究內(nèi)容主要包括以下幾部分內(nèi)容:終端注冊安全、呼叫連接安全、呼叫控制安全、媒體流機(jī)密性和密鑰管理安全。
1.終端注冊安全
終端注冊安全主要體現(xiàn)為身份認(rèn)證與完整性方面,不包括網(wǎng)守與端點(diǎn)之間的消息保密。終端注冊安全主要有以下3種方法:
。1)口令+對稱加密認(rèn)證算法
(2)口令+散列(Hash)認(rèn)證算法
。3)證書+數(shù)字簽名認(rèn)證算法
以上三種認(rèn)證方法,既可實(shí)現(xiàn)單向認(rèn)證(終端向網(wǎng)守),也可實(shí)現(xiàn)雙向認(rèn)證。每一種認(rèn)證方法既可以是基于時間戳的二次握手協(xié)議,也可以使用挑戰(zhàn)/應(yīng)答的三次握手協(xié)議。對于時間戳機(jī)制,終端與網(wǎng)守之間必須有一個可接受的時間基準(zhǔn)?山邮軙r間偏差數(shù)由本地具體實(shí)現(xiàn)所考慮。挑戰(zhàn)/應(yīng)答協(xié)議使用一個隨機(jī)生成的,不可預(yù)測的挑戰(zhàn)數(shù)作為來自于認(rèn)證者的質(zhì)詢。每一種認(rèn)證方法,要求終端與網(wǎng)守的標(biāo)識符都是可知的。時間戳認(rèn)證機(jī)制必須精細(xì)調(diào)整時間粒度,防止消息重放攻擊。
2.呼叫連接安全
呼叫連接安全涉及到二個方面:一是在接收呼叫之前,要進(jìn)行認(rèn)證,以保證呼叫建立與連接信道安全(如H.225.0);二是通過對端點(diǎn)的認(rèn)證來進(jìn)行呼叫授權(quán)。
呼叫連接安全主要有以下3種方法:
(1)利用獨(dú)立的安全協(xié)議實(shí)現(xiàn)呼叫連接安全:在交換呼叫連接信令消息之前,可以通過在一個安全的眾所周知端口上使用TLS或IPSEC,保證呼叫信令信道安全。
。2)利用證書在不安全信道上實(shí)現(xiàn)安全認(rèn)證和完整性檢查,并通過對安全能力與密鑰的協(xié)商機(jī)制進(jìn)行擴(kuò)展,可以確定后續(xù)信道的安全。
。3)在一個特定業(yè)務(wù)認(rèn)證(如AAA)基礎(chǔ)上,實(shí)現(xiàn)認(rèn)證與授權(quán)。
H.323網(wǎng)絡(luò)安全模式,在交換呼叫連接消息之前,即呼叫連接信道(H.225.0)與呼叫控制(H.245)信道在第一次消息交換內(nèi),就應(yīng)確定安全的或不安全模式。安全模式是協(xié)商出雙方共同支持的算法與密鑰,以支持媒體流傳輸;非安全模式是以明文消息形式進(jìn)行后面的媒體流傳輸。
3.呼叫控制安全
呼叫控制信道(H.245)應(yīng)該是安全的,包括認(rèn)證與機(jī)密性,以實(shí)現(xiàn)后續(xù)的媒體流加密。
依賴于所包含的H.323終端是否擁有某些協(xié)商與/或信令方式,整個H.245信道(邏輯信道0)可以在呼叫信令信道中,使用H.225.0信令來協(xié)商出所需要的算法和密鑰,然后以一種安全方式來打開。H.245消息的交換期間,可以對媒體流加密算法與加密密鑰進(jìn)行協(xié)商。并且在一個邏輯信道上,允許不同的媒體通過不同的機(jī)制來加密。
4.媒體流機(jī)密性
媒體流使用H.245信道中給出的算法與密鑰來進(jìn)行編碼。媒體會話密鑰可以使用三種機(jī)制進(jìn)行保護(hù)。如果H.245信道是安全的,會話密鑰不需要施加任何保護(hù);如果H.245信道是不安全的,可以使用證書(證書也可以用在安全H.245信道上),利用證書內(nèi)的公鑰加密媒體會話密鑰。會議中,任一個與會終端(接收者或發(fā)送者)如果懷疑丟失了邏輯信道同步,可以請求一個新密鑰。這樣作的原因是。主角色終端也可以決定異步分配新密鑰。接收一個加密更新請求以后,主角色終端將發(fā)出密鑰更新。如果會議是多點(diǎn)的,MC(也稱主角色終端)在把這個新密鑰給該發(fā)送者之前,應(yīng)分配這個新密鑰給所有的接收者。接收者應(yīng)在盡可能早的時間內(nèi)利用這個新密鑰。
5.密鑰管理安全
H.323安全的兩個基本要素是加密算法和密鑰管理。由于密碼系統(tǒng)的反復(fù)使用,僅靠加密算法已難以保證信息的安全了。事實(shí)上,加密信息的安全可靠主要依賴于密鑰系統(tǒng),密鑰是控制加密算法和解密算法的關(guān)鍵信息,它的產(chǎn)生、傳輸、存儲等工作是十分重要的。H.323密鑰管理主要包括RAS密鑰管理和呼叫連接密鑰管理。為了安全傳輸密鑰,可以使用IPSEC/SSL建立一個安全RAS或呼叫信令信道,或在不安全的明文信道使用公鑰加密和證書實(shí)現(xiàn)。
三、相關(guān)標(biāo)準(zhǔn)制定情況
由于H.323系統(tǒng)安全問題的日益嚴(yán)重,國際國內(nèi)相關(guān)標(biāo)準(zhǔn)組織都非常重視,并針對H.323安全開展了大量標(biāo)準(zhǔn)研究工作。
1.國際標(biāo)準(zhǔn)情況
H.323是ITU-T近幾年制定的一個非常成功的標(biāo)準(zhǔn)。為了保證H.323可以安全穩(wěn)定應(yīng)用,ITU-T在H.323開始應(yīng)用的時候就針對H.323安全問題開始制定H.235標(biāo)準(zhǔn),并隨著H.323安全研究進(jìn)展多次更新H.235:在1998年2月,發(fā)布了H.235v1;在2000年11月,發(fā)布了H.235v2;在2003年8月,發(fā)布了H.235v3;在2005年9月,發(fā)布了H.235v4。目前,H.235v4是最新版本,該版本最大的特點(diǎn)就是把原來的H.235拆分為1O個部分,具體結(jié)構(gòu)如圖2所示。
圖2 ITU-T H.235標(biāo)準(zhǔn)結(jié)構(gòu)示意
H.235是H.3xx體系系列中的有關(guān)安全方面的一種標(biāo)準(zhǔn),主要為基于H.323-、H.225.0-、H.245-以及H.460-的體系提供安全程序。H.235可以應(yīng)用于任何以H.245作為控制協(xié)議的終端點(diǎn)對點(diǎn)會議和多點(diǎn)會議。H.235主要提供了身份認(rèn)證、數(shù)據(jù)加密和完整性功能。H.235為人而并非設(shè)備提供了一種識別方法。H.235能在通用模式下協(xié)商所需的服務(wù)和功能,并選擇加密技術(shù)和其它功能。這種特定的方式與系統(tǒng)能力、應(yīng)用程序需求及特定安全策略限制相關(guān)聯(lián)。H.235支持各種加密算法,并支持不同的加密選項(xiàng)用于不同的目的。
2.國內(nèi)標(biāo)準(zhǔn)情況
CCSA TC8主要負(fù)責(zé)網(wǎng)絡(luò)與信息安全,研究領(lǐng)域包括:面向公眾服務(wù)的互聯(lián)網(wǎng)的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn),電信網(wǎng)與互聯(lián)網(wǎng)結(jié)合中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn),特殊通信領(lǐng)域中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)。其中,《H.323網(wǎng)絡(luò)安全技術(shù)要求》是TC8成立以后確立的最早一批標(biāo)準(zhǔn)項(xiàng)目之一,經(jīng)過一年多的努力,該項(xiàng)目在深入研究國際標(biāo)準(zhǔn)以及結(jié)合國內(nèi)實(shí)際應(yīng)用的情況下,完成了報(bào)批稿。
四、結(jié)束語
H.323系統(tǒng)和其它VoIP系統(tǒng)所存在的安全問題一直受到大家的關(guān)注。作為IP網(wǎng)絡(luò)上的一種新興的應(yīng)用,H.323所面臨的一些安全問題,實(shí)際是IP網(wǎng)絡(luò)上存在的若干安全問題的延續(xù)。只要很好地解決了IP網(wǎng)絡(luò)的安全問題,同時配合H.323自身的一些安全機(jī)制,H.323的安全問題才可以最終解決。另外,H.323安全問題的解決也同時為其它IP業(yè)務(wù)提供了借鑒,從而推動整個IP業(yè)務(wù)安全研究與實(shí)施工作的進(jìn)展。
作者:落紅衛(wèi) 吉宏宇 來源:泰爾網(wǎng)