基于H.323协议的VoIP安全问题探讨

    1、引言

    VoIP（VoiceoverIP）通过对语音信号进行编码数字化，压缩处理成压缩帧，然后转换为IP数据包在IP网络上传输，从而完成语音通话的业务。VoIP技术使我们可以基于互联网实现电话业务。这种语音通话业务的实现模式能提供更多的集成功能、更高的通信带宽以及更灵活的管理能力，并能够显著降低成本。近年来，VoIP得到了迅猛发展和广泛应用。

    目前，VoIP有两种常用的应用层控制（信令）协议：H.323协议和会话初始协议（SIP，SessionInitiationProtocol）。两者的信令功能基本相同，都是利用实时传输协议（RTP，Real-timeTransport Protocol）进行媒体传输。SIP是由IETF提出的一个在基于IP网络中实现实时通信应用的一个应用层控制信令协议。H.323由ITU-T提出，它描述了在服务质量无保证的分组网络中提供多媒体通信业务的多媒体通信系统，它继承了通信领域传统的集中、分层控制的设计思想，在传统电信网络向基于IP的电信网络过渡的过程中，可以利用原有很多设备，避免了资源浪费。正是这些方面的特点，使得H.323已成为电信运营商、行业部门、企业建设VoIP网络广泛采用的协议方案。本文主要以H.323为例来分析和探讨VoIP网络的安全问题。

    2、基于H.323的VoIP系统简介

    H.323起初并不是为VoIP专门提出的，但因为非常适合电话到电话经由网关的这种VoIP工作方式，所以被借过来作为VoIP的标准。基于H.323的VoIP网络系统通常包括H.323终端（如PSTN话机、PC终端等）、网关、关守（gatekeeper）和多点控制单元（MCU），如图1所示。


   
    图1  基于H.323VoIP网络体系示意图

    图1中，H.323VoIP网络的各实体的功能如下。

    H.323终端是IP网络中能提供实时、双向通信的节点设备，也是一种终端用户设备，可以和网关、多点接入控制单元进行多媒体通信。

    网关用于连接H.323网络与非H.323网络（如ISDN，POTS），网关通过转换呼叫建立和释放协议，来转换两个网络的不同媒体格式。

    关守主要负责电话号码和IP地址之间的转换。它们还负责管理带宽并提供终端登记和认证机制。同时关守还提供了诸如呼叫传输、呼叫转发等服务。

    MCU提供对三方终端以上的电话会议的支持。所有参与会议的终端与MCU建立一个连接。MCU管理会议资源，语音（视频）编码算法，还可以管理媒体流。

    H.323协议是一个庞大的协议族，其中又包括许多相关的子协议，形成了一个协议栈，如图2所示。


    图2  H.323协议栈

[1] [2] [3] [4] 下一页