基于ENUM技术VoIP认证系统研究与实现.docVIP

基于ENUM技术VoIP认证系统研究与实现 　　摘要：简单介绍了促进多网融合的关键技术ENUM，探讨了VoIP所面临的安全威胁，最后提出一种解决VoIP安全认证问题的技术方案。 　　关键词：电话号码映射； 基于因特网的语音传输； 认证； 会话初始协议 　　中图分类号：TP309.2 　　文献标志码：A 　　文章编号：1001-3695（2007）09-0086-04 　　 　　1ENUM技术简介 　　 　　ENUM是IETF电话号码映射工作组定义的协议――RFC2916、RFC3761。该协议定义了将标准的E.164号码转换成域名格式的规则。以E.164电话号码+86-10例，ENUM对电话号码的处理过程如下： 　　a)将一个电话号码处理成一个标准的E.164号码的格式，如：+86-10 　　b)去掉除最左端“+”外的所有连接符，变成+861012345678。 　　c)去掉“+”号，并将号码翻转：876543210168。 　　d)在每个数字之间加上域名分割符“.”：..。 　　e）在这个串后面加上特定的ENUM域后缀。目前使用的后缀为“.”，得到一个域名格式的字符串“...”后，就可以为这个电话号码在DNS中添加NAPTR资源记录。 　　NAPTR的资源记录格式如下： 　　IN NAPTR 10 10 u E2U+mailto !^.*??$!mailto:enum@! 　　IN NAPTR 10 20u E2U+sip !^.*??$!sip:enum@! 　　IN NAPTR 10 30u E2U+http !^.*??$!!. 　　ENUM通过上面的方式，将E.164电话号码861012345678对应的URI信息记录存储在DNS中。支持ENUM解析功能的应用终端，就可以通过ENUM解析请求获得相应的记录信息，如Web终端可以获得HTTP记录，访问网站，邮件终端可以获得邮件地址enum@，并向其发送电子邮件。SIP终端可以向该号码对应的SIP地址记录enum@发起呼叫等。也就是说，ENUM可以为这些不同的通信方式提供不同的地址，保证用户能得到所请求的正确信息。IANA统一定义了ENUM中所支持的服务类型，目前已定义的服务类型包括HTTP、FT、EMAIL、SIP、H323、SMS、EMS、MMS、TEL、FAX、LDAP等十多种服务类型。 　　 　　2VoIP 面临的安全威胁 　　 　　VoIP通常称为网络电话技术。VoIP技术使得基于类似Internet这样的数据网络实现电话业务成为可能。与传统电话业务相比，这种实现模式能够提供更多的集成功能、更高的通信带宽、更稳定的通信质量以及更灵活的管理能力，并能够显著降低成本。最为重要的是，VoIP为市场提供了传统通信服务商之外的选择，对整个行业的格局产生了深远影响。 　　VoIP所无法回避的一个问题就是安全。安全方面的负担已经成为VoIP技术的致命伤，这也是影响VoIP替代传统电话服务的关键因素。为解决VoIP隐私权与安全性的问题，VoIP安全联盟（voice over IP security alliance，VoIPSA）于2005年2月正式成立。参与成员包括Avaya、Qwest、Siemens、Symantec、Sprint、VeriSign、Nortel、3Com、Juniper与SonicWall等共一百多家会员。 　　2005年10月24日，VoIPSA发表了1.0版本的VoIP安全威胁分类说明（VoIP security threat taxonomy），将现有VoIP的主要安全威胁划分成社会威胁、窃听、拦截与修改、系统服务滥用、网际网络服务阻断、其他服务阻断等六大类别。 　　社会威胁主要包括骚扰、勒索等语音内容以及语音垃圾电话和盗窃服务等；窃听类别则包括通话模式追踪与封包流量撷取等安全威胁；至于当前众所周知的通话劫持、身份冒用，抑或采用通话转址技术的pharming（域欺骗）等安全问题，均归于拦截与修改的类目之下；所谓的网际网络服务阻断，则泛指针对不同目标或采用不同手法的各种DDoS攻击；至于其他类别，则专指电力或系统耗尽的DoS攻击。 　　对以上的VoIP威胁进行分析可以发现，很多的安全威胁都是由于无法认证用户的真实身份导致的（图1）。在现有的大多数VoIP系统中，尚无可靠的信息或身份认证机制，伪造呼叫方的ID也不是难事。这样就无法确认主叫号码的真正身份，从而带来了安全威胁。例如，攻击者可以通过伪造一个假的数字身份，让它看起来好像来自一个明确具体的来源，然后给其他用户打骚扰电话，也可以通过编写程序向其他用户发送大量的垃圾语音电话，甚至通过模拟他人声音来进行欺诈