H.323发展领先于其它VoIP协议。由于互联网的开放性和缺乏有效监控，以及H.323协议簇本身的协议漏洞，H.323网络安全问题给H.323系统带来诸多威胁。首先对H.323系统面临的安全威胁进行介绍，进而对H.323网络安全进行详细的分析介绍，最后介绍了国际国内的相关标准制定情况。

　　随着互联网的飞速发展，VoIP业务得到广泛开展。在过去的几年中，由于H.323发展早而且符合运营商的体系运营思路，故其发展远远领先于其它VoIP协议，并大量部署到运营网络中。目前，绝大多数运营的VoIP业务都基于H.323协议簇。但是，由于互联网本身的开放性和缺乏有效监控，以及H.323协议簇本身的协议漏洞，H.323网络安全问题日益凸现，给H.323系统带来诸多威胁，严重阻碍了H.323的发展，其主要安全威胁有以下几个方面：

　　●　拒绝服务攻击。基于开放端口的拒绝服务攻击。对H.323系统关键设备进行同步（SYN）、Internet控制报文协议（ICMP）数据包的大流量攻击可导致通信中断，无法正常提供业务。

　　●　服务窃取。主要是针对非授权接入。其中包括：窃取用户身份假冒合法用户身份；冒充合法网络节点进行服务欺骗。

　　●　信令流攻击。由于H.323控制信令的开放性，任何人都可以通过网络监听器监听H.323信令流。恶意用户拦截并篡改网络中传输的信令数据包，修改数据包中的域，使H.323呼叫不能正常使用。从而引入会话劫持、中间人攻击、电话跟踪等威胁。

　　●　媒体流的监听。H.323系统中RTP/RTCP是在IP网上传输话音信息的协议。由于协议本身是开放的，恶意用户可以通过网络监听器监听媒体流，如果可以理解媒体流内容即可破坏媒体流的机密性。

　　随着网络安全日益成为人们使用IP网络最关注的问题，所以，网络安全同样也成为H.323系统面临的最主要问题之一，可以说，网络安全问题不解决，不仅将来H.323就没有发展前景，现有H.323也很快失去生命力。

　　一、H.323网络安全体系结构

　　为了加强H.323系统的网络安全，国际国内标准组织、相关厂家开展积极的H.323网络安全研究工作。图1为H.323网络安全体系示意图，其中阴影部分是H.323所涉及的安全研究范围。

图1　H.323网络安全体系示意

　　从图1可以看到，H.225.0和H.245是H.323系统的核心协议。H.225.0负责呼叫控制，主要包括两部分：呼叫接纳（RAS）和呼叫信令协议。RAS主要用于传送终端登记信息、认证信息和呼叫处理信息。呼叫信令协议基于Q.931而制定主要用于完成呼叫建立过程。H.245用于媒体控制，主要实现媒体流通信信道的建立、维护和释放。RTCP是媒体流实时传输控制协议，RTP是媒体流实时传输协议。媒体流安全传输将使用H.245信道中给出的算法与密钥进行编码。H.323端点之间建立通信关系一般执行三个控制过程：RAS，呼叫控制（呼叫信令）与连接控制（H.245）。

　　要实现安全的H.323业务，首先要保证终端或MCU与网守之间安全传递RAS消息，以完成安全注册，确保只有合法用户可以使用H.323业务并进行相应的资源使用授权，如国际、长途业务授权等。在保证RAS安全基础上，可以建立安全的呼叫连接信道（H.225.0）与呼叫控制（H.245）信道，在此基础上，为采用RTP协议的实时媒体流通信进行加密算法与密钥协商，完成媒体流通信机密性。

    　二、具体安全解决方案

　　H.323网络安全实现主要有两种安全机制：通过网络层/传输层安全通道（如IPSec、SSL、TLS），实现H.323安全保护；通过对H.323协议簇中所涉及到的信令本身增加安全机制，实现各种信道安全能力协商与安全保护。具体H.323网络安全可根据实际网络应用环境，综合使用以上二种安全机制。由于通过安全通道进行安全保护是通用的安全保护，仅仅进行H.323的外部保护，和H.323协议簇本身没有太大的关系，所以本文重点介绍第二种机制：对H.323协议簇中所涉及到的信令本身增加安全机制。