无线网络安全第6章讲解.ppt

高等院校密码信息安全专业系列教材 中国密码学会教育工作委员会推荐教材 无线网络安全（第六章） 第六章 无线VoIP安全 目录 无线VoIP简介 VoIP原理 VoIP标准 基于H.323的VoIP安全 H.323协议及安全威胁 基于H.323的VoIP安全机制 基于SIP的VoIP安全 SIP协议及安全威胁 基于SIP的VoIP安全机制 无线VoIP简介 VoIP原理 VoIP是一种利用IP网络来传送语音的技术。 VoIP可利用IP网络传递包括话音、视频等数据，即在分组交换网上通过TCP/IP协议实现传统的电话应用。 待发送的语音在经过模数转换、压缩编码、RTP/UDP/IP封装成IP包，经过IP网络进行传输到达接收端再进行解包、编码解压、数模转换等实现分组包向语音的转换，如下图所示。 无线VoIP简介 VoIP标准 SIP协议是由IETF提出的一个在基于IP网络中实现实时通信应用的一个应用层控制信令协议。 IETF是制定Internet协议的工程任务组，其思路和传统电信网络不同，因此SIP协议的体系结构与H.323是并列的。SIP协议具有简单、扩展性好及和现有的Internet应用紧密结合的特点。 SIP协议的出发点是以现有的Internet为基础来构建IP电话业务网。 基于H.323的VoIP安全 H.323协议及安全威胁 基于H.323协议的VoIP网络体系结构 终端：H.323 TE是网络中的一个端点，提供与其他的H.323 TE、GW或MCU的实时双向通信，是一种终端用户设备，某终端可与另一个终端直接呼叫或由GK帮助建立呼叫。 网守：GK是网络中的一个H.323实体，负责电话号码和IP地址之间的转换，负责管理带宽并提供终端登记和认证机制，包括为H.323终端、GW和MCU控制对网络的访问，为终端、GW和MCU提供诸如带宽管理和GW定位的其他服务。 网关：H.323 GW是网络中提供H.323终端与非H.323网络上的终端之间的实时双向通信的端点。网关通过转换呼叫建立和释放协议，来转换两个网络的不同媒体格式。 多点控制单元（MCU）：提供对三方终端以上的电话会议的支持。所有参与会议的终端与MCU建立一个连接。MCU管理会议资源、语音（视频）编码算法，以及媒体流。 基于H.323的VoIP安全 H.323协议及安全威胁 H.323协议栈 基于H.323的VoIP安全 H.323协议及安全威胁 基于H.323协议的VoIP安全威胁 窃取服务：一方面是窃取或假冒合法用户身份。另一方面是冒充合法的网络节点进行相应的欺骗，例如通过虚假关守，在终端没有进行对关守进行认证的情况下，不法分子获得用户的登录口令等信息。 监听信令流和媒体流：由于H.323信令的开放性，任何人可以通过网络监听的方式监听VoIP通信建立过程的信令流，从而恶意用户可以进行对信令流的篡改并可造成会话劫持、中间人攻击、电话跟踪等后果。另外，基于H.323的VoIP通信采用RTP/RTCP作为语音信息实时传输的协议。 DoS攻击：DoS攻击是包括任何导致系统不能正常提供服务的攻击，基于H.323的VoIP系统采用了很多开放端口用于呼叫建立和业务传输。在呼叫建立过程中，如果没有完成认证工作，就为DoS攻击提供了机会。这一攻击的原理和Internet中的TCP SYN Flooding如出一辙。 基于H.323的VoIP安全 基于H.323的VoIP安全机制 安全机制 基于H.323的VoIP网络的安全的具体实现主要有以下两种安全机制： 借助于外部协议的安全机制，如通过网络层/传输层的安全通道，实现H.323安全保护。 内部协议增强机制。对H.323协议簇中所涉及的信令增加安全机制，实现各种信道安全能力协商与安全保护，即制定自身的安全协议，如H.323协议的H.235安全协议。 基于H.323的VoIP安全 基于H.323的VoIP安全机制 安全机制 H.323协议族中有一个成员H.235负责身份验证、数据完整性和媒体流加密。H.235建议为H.323系统引入了安全机制，它建议了各种消息的流程、结构及算法，保证H.323系统中信令信道、媒体控制信道和媒体流的安全性。所采用的机制主要有： 保护H.225呼叫信令信道的保密性，采用TLS或IPSec。 保障H.245媒体控制信道的安全，以便实现媒体流的安全性。对于H.323系统，可以在H.225信令信道中传递各种安全相关的参数来实现H.245信道的安全。 密钥可更新。媒体流的最初密钥材料的传递需要通过H.245的开放逻辑信道或是通过响应消息。当处理了一定数量的包以后，需要更换会话密钥，这时候使用H.245中的加密更新命令等消息。 对不同安全要求的适应性，支持多