基于ENUM技术的VoIP认证系统研究与实现摘要：简单介绍了促进多网融合的关键技术ENUM，探讨了VoIP所面临的安全威胁，最后提出一种解决VoIP安全认证问题的技术方案。关键词：电话号码映射；基于因特网的语音传输；认证；会话初始协议：TP309.2文献标志码：A：1001-3695（2007）09-0086-041ENUM技术简介ENUM是IETF电话号码映射工作组定义的协议――RFC2916、RFC3761。该协议定义了将标准的E.164号码转换成域名格式的规则。以E.164电话号码+86-10-12345678为例，ENUM对电话号码的处理过程如下：a)将一个电话号码处理成一个标准的E.164号码的格式，如：+86-10-12345678。b)去掉除最左端“+”外的所有连接符，变成+861012345678。c)去掉“+”号，并将号码翻转：876543210168。d)在每个数字之间加上域名分割符“.”：8.7.6.5.4.3.2.1.0.1.6.8。e）在这个串后面加上特定的ENUM域后缀。目前使用的后缀为“.e164.arpa”，得到一个域名格式的字符串“8.7.6.5.4.3.2.1.0.1.6.8.e164.arpa”后，就可以为这个电话号码在DNS中添加NAPTR资源记录。NAPTR的资源记录格式如下：INNAPTR1010"u""E2U+mailto""!^.*??$!mailto:enum@cnnic!"INNAPTR1020"u""E2U+sip""!^.*??$!sip:enum@sip.asrc!"INNAPTR1030"u""E2U+""!^.*??$!wwenum!".ENUM通过上面的方式，将E.164电话号码861012345678对应的URI信息记录存储在DNS中。支持ENUM解析功能的应用终端，就可以通过ENUM解析请求获得相应的记录信息，如Web终端可以获得记录，访问网站wwenum，邮件终端可以获得邮件地址enum@cnnic，并向其发送电子邮件。SIP终端可以向该号码对应的SIP地址记录enum@sip.asrc发起呼叫等。也就是说，ENUM可以为这些不同的通信方式提供不同的地址，保证用户能得到所请求的正确信息。IANA统一定义了ENUM中所支持的服务类型，目前已定义的服务类型包括、FT、EMAIL、SIP、H323、SMS、EMS、MMS、TEL、FAX、LDAP等十多种服务类型。2VoIP面临的安全威胁VoIP通常称为网络电话技术。VoIP技术使得基于类似Internet这样的数据网络实现电话业务成为可能。与传统电话业务相比，这种实现模式能够提供更多的集成功能、更高的通信带宽、更稳定的通信质量以及更灵活的管理能力，并能够显著降低成本。最为重要的是，VoIP为市场提供了传统通信服务商之外的选择，对整个行业的格局产生了深远影响。VoIP所无法回避的一个问题就是安全。安全方面的负担已经成为VoIP技术的致命伤，这也是影响VoIP替代传统电话服务的关键因素。为解决VoIP隐私权与安全性的问题，VoIP安全联盟（voiceoverIPsecurityalliance，VoIPSA）于2005年2月正式成立。参与成员包括Avaya、Qwest、Siemens、Symantec、Sprint、VeriSign、Nortel、3Com、Juniper与SonicWall等共一百多家会员。2005年10月24日，VoIPSA发表了1.0版本的VoIP安全威胁分类说明（VoIPsecuritythreattaxonomy），将现有VoIP的主要安全威胁划分成社会威胁、窃听、拦截与修改、系统服务滥用、网际网络服务阻断、其他服务阻断等六大类别。社会威胁主要包括骚扰、勒索等语音内容以及语音垃圾电话和盗窃服务等；窃听类别则包括通话模式追踪与封包流量撷取等安全威胁；至于当前众所周知的通话劫持、身份冒用，抑或采用通话转址技术的pharming（域欺骗）等安全问题，均归于拦截与修改的类目之下；所谓的网际网络服务阻断，则泛指针对不同目标或采用不同手法的各种DDoS攻击；至于其他类别，则专指电力或系统耗尽的DoS攻击。对以上的VoIP威胁进行分析可以发现，很多的安全威胁都是由于无法认证用户的真实身份导致的（图1）。在现有的大多数VoIP系统中，尚无可靠的信息或身份认证机制，伪造呼叫方的ID也不是难事。这样就无法确认主叫号码的真正身份，从而带来了安全威胁。例如，攻击者可以通过伪造一个假的数字身份，让它看起来好像来自一个明确具体的，然后给其他用户打骚扰电话，也可以通过编写程序向其他用户发送大量的垃圾语音电话，甚至通过模拟他人声音来进行欺诈活动。攻击者也可能通过伪造的数字身份来拨打公共服务电话（120、110、119等），来扰乱社会治安。而在传统PSTN电话网络内，这类欺骗的操作要困难得多。因为操...