VoIP媒体流安全通信解决方案研究

郭战旭

（中国电子科技集团公司第三十研究所，四川 成都 610041）

VoIP媒体流安全通信解决方案研究

郭战旭

（中国电子科技集团公司第三十研究所，四川 成都 610041）

随着网络技术的快速发展，消费者对VoIP等即时通信业务表现出越来越强烈的应用需求。与此同时，VoIP系统的安全问题也成为亟待解决的关键问题。首先简要介绍VoIP的工作原理，然后分析VoIP系统所面临的安全性问题以及现有安全解决方案的缺点。在此基础上，提出一种新的解决方案。该方案涵盖了几种类型的安全终端、安全网关以及密钥管理设备，重点解决了媒体流的安全性问题，具有较强的市场应用价值。

VoIP；安全问题；解决方案；媒体流

0 引 言

随着网络技术的快速发展，普通消费者以及企业客户对VoIP等即时通信业务的需求越来越强烈。除此之外，IP网络已经覆盖全球，而VoIP系统正是利用IP网络作为承载，不需要新建一套通信系统，且承载于IP网络上的应用多样，话音数据只是其中的一种，所以VoIP系统并不需要独占信道，因而可以给用户提供业务更加丰富、价格更加低廉的服务。基于IP网络，VoIP可以便捷地实现传真、视频、语音数据等多媒体信息交互，给人们提供如IP语音电话、视频电话、传真和短信消息等丰富多彩的多媒体业务。

然而，由于VoIP是利用IP网络实时传递图像、语音、数据、视频等多媒体业务，TCP/IP协议和服务器自身的安全缺陷，会造成任何针对IP网络的攻击都可能出现在VoIP电话网络中。同时，网络中的IP数据也很容易被黑客等非法截获，从而使数据丢失或被篡改。因此，人们在使用VoIP的同时，越来越关注其安全问题。

1 VoIP系统介绍

1.1 VoIP简介

生活中，常常听人说起IP电话或者互联网电话。其实，IP电话或互联网电话只是它的“小名”，正式的名称叫Voice over Internet Protocol，也就是VoIP[1]。简单来说，VoIP技术是先将模拟的语音数据进行数字化处理后再进行压缩和重新封装，之后以数据包（Data Packet）的形式，通过IP网络环境对语音数据进行实时传输。

1.2 VoIP工作原理

VoIP作为一种承载于IP网络上传输模拟语音或视频信号的技术，其基本原理是通过采样、编码、压缩、封包等步骤，让模拟的语音信号能以IP报文的形式在IP网络上进行交换和传输，到达接收端后再经由一系列相反处理，最终还原出原来的模拟语音信号提供给接收端[2]，处理流程如图1所示。

图1 VoIP数据处理流程

具体而言，VoIP系统对语音信号的处理可分为五个阶段。

（1）语音 数字信号：语音信号是一种模拟声波，当需要通过IP网络进行传输时，首先要对语音信号进行数据转换，采样完成后送入缓冲区，缓冲区的深度主要由编码方式和传输时延确定。压缩率越高的编码方式对缓冲区深度要求越大。对语音信号数字化处理后，使其转换为标准的ITU-T G.711编码格式。压缩编码可以采用VoIP系统中通用的G.729和G.723等编码方式。需要注意的是，发送端和接收端必须采用相同的压缩编码算法，才能保证接收端的VoIP终端能正确还原出原始的模拟语音信号。

（2）数字 IP报文：语音信号进行数字化处理后，按照特定的帧长对它进行IP数据封装。封装包的长度与选择的压缩编码相关，VoIP系统通常是按照每帧20 ms进行封装。例如，在G.711编码中，抽样率是8 kHz，则每1 ms会产生8 bytes的语音数据，20 ms就是160 bytes。终端处理器将这160 bytes封装成一个语音包后，为其添加IP报文首部、时间戳等信息后，通过IP网络发送到接收端。VoIP系统则是在发端和收端之间建立一条物理线路，并在这条线路上对承载了语音信号的IP报文进行传输。

（3）传送 封装后的语音数据报文在传输过程中，每个节点都会根据报文中携带的寻址信息进行寻址，最终将报文传送至接收端。由于IP网络传输具有一定的抖动性，传送的时间并不固定，需通过设置一个接收缓冲区，从而使电话终端可以平滑这种由于网络本身带来的传送时延抖动。

（4）IP报文 语音数据：接收端的终端电话收到语音报文后，将其存入一个可变长度的接收缓冲区。该缓冲区能存储不定量的语音报文，需要用户根据实际网络情况设置缓冲器的深度。根据封装协议，终端电话的处理器从缓冲区中读取语音报文，去除报文首部和相关控制信息后，提取语音数据净荷，然后送入解码器进行解码处理。

（5）数字 语音信号：解码器接收到语音数据净荷，首先进行解压编码，还原为G.711编码格式后，再通过D/A转换，还原为原本的模拟语音信号，并通过扬声器等外设进行播放。

2 VoIP系统安全性分析

与传统PSTN电话相比，VoIP面临的安全威胁具体表现为以下几个方面[3-4]。

（1）DoS攻击。导致系统不能正常提供服务的任何攻击都可称之为DoS攻击。一方面，攻击者可以通过“合法”手段，发起数量巨大的服务请求，以占用很多资源，致使合法用户得不到服务器的正常响应。呼叫建立过程中，很多开放的端口被VoIP系统所采用。在此过程中，若不提供认证服务，DoS攻击者往往就有了可乘之机。

（2）未授权获取数据。不法分子通常会假冒其他合法用户的身份，窃取合法用户的登录口令，从而获取账号的使用权利。

（3）信令流攻击。VoIP系统使用的信令协议是开放的，不法分子可以通过网络监听信令流，截获后修改相关的信令数据包，从而影响正常的VoIP呼叫。更有甚者，攻击者会劫持会话、跟踪会话。

（4）媒体流攻击。音频、视频等多媒体业务采用的是开放的RTP/RTCP协议。不法分子利用协议的开放性，通过网络监听器对音频、视频等媒体流进行监听。只要能监听到任意时间段内持续的RTP数据，都可以对相应的信息进行恢复还原。

3 VoIP系统现有安全解决方案

由上文分析可知，VoIP系统的协议和标准比较开放，加上IP网络自身的漏洞，要解决VoIP系统面临的安全问题，就必须从管理机制、安全配置、系统漏洞等方面考虑应对策略，建立一整套切实安全可行的机制。

为此，由赛门铁克、Avaya和西门子等知名企业发起并成立了“VoIP安全联盟”。该联盟在主要负责有关VoIP网络安全方面研究的同时，也发布相应的白皮书以及业界前沿的VoIP动态，目前已有22个成员。该联盟表示，虽然VoIP的普及速度越来越快，但人们通常会忽视对VoIP在安全方面的隐患，联盟将不遗余力地向公众传达这样一个观念：VoIP并非绝对安全，仍需业界在其安全性方面更加关注，并做出实际努力，否则将阻碍VoIP的发展。

在通信流保护上，国内外研究大多从单一的信令安全或者承载安全方面来考虑，并没有建立完善的VoIP安全保密体系。在信令流保护上，应用于SIP中的安全机制可以分为两类：端到端保护和逐跳保护。由于端到端保护机制存在一系列穿越中间服务器的问题，实际部署的较少。而逐跳保护机制具有业务影响程度小、无需对现有设备进行修改等一系列特点，因此在一些研究中得到了一定应用。在媒体流保护上，有很多机构和公司在研究VoIP媒体流的保密通信方案。这些方案大多以SRTP为主导思想，是基于分组密码、密钥协商和公钥密码体制的加密方案。然而，这些复杂的加密方案存在实现困难、系统消耗大、投资大等困难，扩展和部署缺乏灵活性，因此急需一种新的安全解决方案。

4 一种新的VoIP安全通信解决方案

鉴于VoIP面临的众多安全威胁，需要建立VoIP安全保密系统，以提高VoIP系统的网络安全性。根据VoIP系统的特征及安全需求，本文设计了一种新的安全加密系统。在VoIP系统中，媒体流加密是用户关注的首要问题，因此该加密系统仅考虑媒体流的安全加密问题，信令流的传输安全问题可以通过IMS网络中自身的接入认证系统加以保障。

IMS[5]（IP Multimedia Subsystem，IP多媒体子系统）由3GPP（3rdGeneration Partnership Project，第三代合作伙伴计划）在其R5版本中首次提出。IMS能够最大程度地满足客户对数据、视频和语音等多媒体业务的需求。

现在，IMS已被国际电信联盟远程通信标准化组织（ITU-T）和欧洲电信标准化协会（European Telecommunications Standards Institute，ETSI）认可，并被认为是下一代网络（NGN）的核心标准框架，同时也是解决固定网络和移动网络融合的技术基础。

4.1 方案简介

文中的解决方案可以直接附加于IMS网络中，可在不改变网络拓扑及基础通信设施的前提下，为基于SIP的VoIP业务实施全程安全加密，从而为用户提供一套VoIP安全通信解决方案。

本安全通信解决方案包括：千兆VoIP安全网关（下文简称GVGE）、SIP安全终端（下文简称STE）、安全SIP电话机（下文简称SEP）、USB安全终端（下文简称UVE）和VoIP密钥管理设备（下文简称VKMD）。将它部署于软交换/IMS网络中，为用户提供语音、视频及数据业务的媒体流加密能力，并无缝兼容互通3G、4G体制下的IP保密手机终端，建立完善的基于SIP的VoIP安全加密系统。

4.2 数据封装协议设计

针对VoIP中实时媒体流的安全性保护，IETF提交了RTP的安全性协议标准SRTP[6]。在保证RTP载荷机密性的同时，SRTP也可以提供抗重放攻击和完整性等措施。其中，通过加密RTP的载荷来实现机密性保护，通过对RTP报文进行MAC计算，以实现完整性保护。

在本安全通信解决方案中，考虑到加密对服务质量的影响，对媒体流的加密，借鉴SRTP协议，设计了一种零开销的数据封装模式，即在应用层对媒体流进行加密，并将其称之为“改进SRTP”。

图2为标准SRTP报文格式，图3为改进SRTP封装。通过比较图2和图3发现，16 bit的校验是唯一显性增加的字段，并采用TCP/IP协议族相同的校验算法。校验在加密前进行，保证了整个RTP报文的明文完整性。若加密前校验字段也进行计算，则计算前校验字段置0，其余字段含义跟标准SRTP报文一致。

图2 标准SRTP报文格式

图3 改进SRTP封装

4.3 密钥分发协议设计

根据对系统安全等级及网络服务性能要求进行综合考虑，本方案采用离线式对称和非对称式相结合密钥管理模式的密钥分发和交换模式。加密系统中的各安全设备间要进行密钥协商，首先要从管理设备处获取证书，然后双方可在管理设备不在线的情况下，通过密钥协商过程，形成共享的会话密钥KS和初始化向量IV。协商流程如图4所示，在一个交互流程的3次通信中，完成了双方的共享秘密基础（即公私钥点乘对）协商。

图4 密钥分发流程

5 方案典型应用

文中提出并设计的安全加密方案适用于由全球主流设备商提供的网络设备（如呼叫控制设备、语音网关、路由器等）所搭建的软交换/IMS网络，为用户提供安全的语音、视频及数据通信业务。

对于政府、机关用户而言，随着政务信息化建设的推进，各级政府部门构建的内部通信网络部署都具有相当规模。本VoIP加密系统可附加于现有网络中，根据政府机构、部门灵活配置，实现分级体系的统一管理，为用户提供安全、灵活、高效的VoIP通讯系统级安全解决方案。

对于大、中、小型企业用户而言，当企业总部、分部和分支机构通过IP专网、Internet互连，VoIP加密系统，可在不改变网络拓扑及基础通信设施的前提下，完美融入企业现有的连接，为用户提供安全、实用、经济的VoIP安全通讯解决方案。

该方案一个典型的应用，如图5所示。

图5 典型应用

GVGE部署于IMS网元子网边界处，保护整个中心子网；STE部署于SIP/IMS电话的线路侧，串接于SIP终端和网络之间，可保护一个或多个SIP电话；SEP部署于用户侧，一体式安全语音通信终端，提供对媒体流的加密保护；UVE通过USB接口保护一台Windows操作系统便携机的SIP软终端的VoIP通信；VKMD部署于IMS网元所在的子网中，为GVGE、STE、SEP和UVE提供设备注册、证书颁发及设备秘钥、在线集中配置管理等功能。

6 结 语

VoIP具有成本低、操作简便等特点，所以越来越多的消费者使用VoIP。由于VoIP是承载于IP网络来提供多媒体业务，TCP/IP协议和服务器自身的安全缺陷，会造成任何针对IP网络的攻击都可能出现在VoIP电话网络中。因此，VoIP系统的安全性问题越来越受到关注。鉴于目前市场上缺乏真正实用、好用的VoIP安全防护系统，文中提出了一套新的、完整的VoIP安全通信解决方案。它能够有效地为用户提供安全的语音、视频及数据通信业务，具有较为广阔的市场前景。

[1] Coode B.Voice over Internet Protocol(VoIP)[J].Proc.of the IEEE,2002,90(09):1495-1517.

[2] 陈红宇.分组语音技术[J].无线电通信技术,2002, 28(03):58-60. CHEN Hong-yu.Packet Voice Technology[J].Radio Communication Technology,2002,28(03):58-60.

[3] Endle D,Ghosal D,Jafari R.VOIP Security and Privacy Threat Taxonomy Public Release 1.0. Voice over IP SecurityAllianee(VOIPSA)[R].2005.

[4] 王文涛,陈鸿昶,黄海.VoIP的安全性分析及防护研究[J].通信技术,2008,41(01):102-104. WANG Wen-tao,CHEN Hong-chang,HUANG Hai.Security Analysis and Protection of the VoIP[J].Communications Technology,2008,41(01):102-104.

[5] Miikka Poikselkä.IMS:IP多媒体概念和服务[M].望玉梅,译.北京:机械工业出版社,2007:4-6. Miikka Poikselkä.IMS:IP Multimedia Concepts and Services[M].WANG Yu-mei,Translated.Bei Jing:Machinery Industry Press,2007:4-6.

[6] Baugher M,McGrew D,Naslund M,et al.The Secure Realtime Transport Protocol(SRTP)[S].RFC 3711,IETF,2004.

Security Solution for Media Stream of VoIP

GUO Zhan-xu
(No.30 Institule of CECT, Chengdu Sichuan 610041, China)

With the rapid development of internet technology, Consumers exhibit on increasingly strong demand for real-time communication services, such as VoIP.At the same time, VoIP security becomes a key problem demanding prompt solution. Firstly, the working principle of VoIP is briefly described. Then, the security problems of VoIP system and the shortcomings of the existing security solutions are analyzed. Based on this, a new solution is proposed, which covers several types of security terminal, security gateway and key management device, and principally solves the security problem of media stream, and possesses strong market application value.

VoIP; security issue; solution; media stream

TN918.91

A

1002-0802(2016)-12-1709-05

10.3969/j.issn.1002-0802.2016.12.025

2016-08-16

2016-11-14 Received date:2016-08-16;Revised date:2016-11-14

郭战旭（1982—），男，硕士，工程师，主要研究方向为保密技术、网络信息安全研究。