實(shí)現運營(yíng)商級的VoIP安全的核心通信技術(shù)
2004/07/30
一、實(shí)現VoIP的安全是提供IP通信業(yè)務(wù)的前提
基于IP網(wǎng)絡(luò )的話(huà)音傳輸(VoIP)技術(shù)目前已經(jīng)發(fā)展成為一種專(zhuān)門(mén)的通信技術(shù),而不再是兩年前地方貝爾公司首席技術(shù)官所謂的科學(xué)項目(science project)或原來(lái)意義上簡(jiǎn)單的Internet應用。作為一種新的通信方式,為了和原來(lái)的稱(chēng)謂有所區別,有人建議將目前的VoIP改稱(chēng)為IP通信(IP communication)。VoIP的話(huà)音質(zhì)量和可靠性已得到大幅度改進(jìn),并在企業(yè)網(wǎng)和公共網(wǎng)絡(luò )中廣泛應用,它融合話(huà)音和數據網(wǎng)絡(luò ),具有節省成本、通信靈活、支持新的特征功能、能提高生產(chǎn)率等優(yōu)勢,這為那些試圖基于數據網(wǎng)提供傳統電話(huà)業(yè)務(wù)的業(yè)務(wù)提供商增加了獲得新收入的機會(huì )。隨著(zhù)VoIP在最近幾個(gè)月的火爆發(fā)展,主流媒體已宣布2004年為VoIP年。但我們注意到,隨著(zhù)VoIP應用承載的話(huà)音通信業(yè)務(wù)越來(lái)越多,其安全問(wèn)題也逐漸暴露出來(lái)。由于IP網(wǎng)絡(luò )本身的開(kāi)放性以及話(huà)音業(yè)務(wù)帶來(lái)的新要求,如何解決VoIP安全問(wèn)題、提供運營(yíng)商級的業(yè)務(wù),已成為業(yè)務(wù)提供商面臨的一個(gè)難題。
二、VoIP安全脆弱性分析
1.IP分組網(wǎng)本身的脆弱性
VoIP安全的重要性和迫切性不容忽視,因為在分組網(wǎng)中更容易刺探話(huà)音信息,這比電路交換網(wǎng)的物理探測要容易得多。所以,雖然VoIP本身并不存在更多的、新的脆弱性,但是由于話(huà)音應用于IP網(wǎng)絡(luò ),從而導致其安全問(wèn)題更加突出。在傳統的模擬環(huán)境中,交換機和配線(xiàn)室的物理接入通常需要截取雙方的通信,而如今,數據網(wǎng)的分組話(huà)音傳輸使得話(huà)音通信的接入和截取非常容易,尤其是在Inter net上可以很容易地發(fā)現大量惡意的工具集。
IP分組通信固有的安全脆弱性包括:
·嗅探數據包的話(huà)音監聽(tīng)(tapping);
·網(wǎng)絡(luò )身份欺騙(falsification of network ID);
·數據包操縱終止業(yè)務(wù);
·用戶(hù)賬號和設備欺騙,這與接入網(wǎng)絡(luò )的數據庫和IP地址有關(guān);
·破壞網(wǎng)絡(luò )的完整性,修改數據庫或復制設備而使得話(huà)音網(wǎng)絡(luò )擁堵或被控制。
其他安全威脅還包括終端用戶(hù)隱私權的泄漏等。新的安全挑戰包括截取、修改呼叫控制(如SIP)數據包,乃至改變數據包的目的地址和呼叫連接等。
IP分組網(wǎng)絡(luò )的性能無(wú)法達到電路交換網(wǎng)的水平,IP網(wǎng)絡(luò )安全脆弱性的存在加大了安全管理的風(fēng)險。因為從風(fēng)險管理的角度看,如果運營(yíng)VoIP業(yè)務(wù)的數據網(wǎng)絡(luò )遭受災難,公司將面臨同時(shí)喪失話(huà)音和數據通信能力的風(fēng)險,這樣對數據網(wǎng)業(yè)務(wù)的安全威脅就被延伸到兩個(gè)系統,而原來(lái)相互分離的系統,其風(fēng)險相對來(lái)講要低一些。面對IP網(wǎng)上如此眾多的安全威脅,當運營(yíng)商推出VoIP業(yè)務(wù)時(shí),業(yè)務(wù)提供商必須適時(shí)實(shí)施針對威脅的安全和防護措施,以保證服務(wù)和相應收益得到保障。
2.VoIP安全威脅
許多已知的安全脆弱性會(huì )相應地影響話(huà)音通信,因此需要預防。VoIP環(huán)境中特別需要注意的安全威脅包括:
·拒絕服務(wù)(DoS)攻擊:如IP電話(huà)、VoIP網(wǎng)關(guān)(SIP代理)等端點(diǎn)可能會(huì )受到SYN或ICMP數據包的攻擊,以致通信中斷,無(wú)法正常提供業(yè)務(wù);
·呼叫截取(call interception):指話(huà)音或實(shí)時(shí)傳輸協(xié)議(RTP)數據包受到非授權的跟蹤;
·信令協(xié)議篡改(signal protocol tampering):與呼叫截取一樣,惡意用戶(hù)可以監控和篡改建立呼叫后傳輸的數據包,修改數據流中的域,使VoIP呼叫不能使用VoIP話(huà)機,或者進(jìn)行費率更高的呼叫(如國際電話(huà)),使IP-PBX認為呼叫來(lái)自另一個(gè)用戶(hù);
·狀態(tài)竊取(presence theft):假冒合法用戶(hù)收發(fā)數據;
·資費欺騙(toll fraud):惡意用戶(hù)或入侵者撥打欺騙性電話(huà);
·呼叫處理操作系統(call handling OS):許多IP-PBX系統的呼叫處理軟件都是基于操作系統或操作系統組件,它們可能是不安全的,例如使用Microsoft IIS作為IP-PBX的Web配置工具就會(huì )在VoIP環(huán)境中引入顯著(zhù)的安全脆弱性。
現有的安全威脅并不意味著(zhù)運營(yíng)商建設VoIP網(wǎng)絡(luò )和提供服務(wù)會(huì )遇到阻礙,通過(guò)實(shí)施各種安全措施可以解決這些問(wèn)題。在IP網(wǎng)絡(luò )上實(shí)施VoIP應用,運營(yíng)商需要提供不同層次的安全功能,如認證、加密、防火墻等。IETF RFC 2401定義的安全性IP(IPSec)是常用的安全協(xié)議,它提供了加密和認證功能。為了加解密,終端用戶(hù)點(diǎn)之間必須建立安全關(guān)聯(lián)(SA)并交換密鑰。簡(jiǎn)單來(lái)講,可以通過(guò)以下措施來(lái)減少安全威脅:
①在技術(shù)上盡量降低網(wǎng)絡(luò )暴露以減少DoS攻擊;
②對于信令協(xié)議被篡改,可基于執行狀態(tài)進(jìn)行判決,作為DoS進(jìn)行處理;
③加密VoIP流量可以防止VoIP呼叫受到監聽(tīng),這在過(guò)去不太容易實(shí)現,但是隨著(zhù)數字信號處理技術(shù),以及兩個(gè)主要VoIP協(xié)議——SIP和H.323的迅速發(fā)展,未來(lái)VoIP可以實(shí)現端到端的加密;
④對于狀態(tài)竊取所造成的安全威脅,最好的防范措施是采用強認證,如二元認證(two-factor authentication),IP端點(diǎn)的強認證雖然是一種新技術(shù),但可以很快實(shí)施;
⑤最后也是最重要的,就是呼叫處理軟件的運行平臺,如Microsoft或Linux操作系統,應該確保操作系統沒(méi)有運行任何非必需的軟件,并且已經(jīng)安裝了必要的安全補丁。此外,服務(wù)器、路由器的各種端口,除非必要,一般不要打開(kāi)。
在上述各種措施的配合下,VoIP系統的安全性就可以大大加強,但是要實(shí)現運營(yíng)商級的網(wǎng)絡(luò )安全,還須建立安全的網(wǎng)絡(luò )架構,在架構中綜合利用各種因素,盡量提高安全性。
三、VOIP安全的網(wǎng)絡(luò )架構
在VoIP網(wǎng)絡(luò )中,應該識別三類(lèi)數據包:話(huà)音、信令和數據分組數據包。在有些情況下,視頻數據包也通過(guò)Internet傳輸。信令數據包用于在兩個(gè)基于非面向連接的IP網(wǎng)絡(luò )端點(diǎn)之間建立虛擬連接,如兩個(gè)IP話(huà)機,信令數據包在IP話(huà)機和呼叫服務(wù)器或代理服務(wù)器之間傳輸。虛擬連接一旦建立,就可以在兩部IP話(huà)機之間基于不同的路徑傳輸話(huà)音數據包。與話(huà)音數據包一樣,分組數據包可以來(lái)自同一個(gè)裝置或與之關(guān)聯(lián)的另一個(gè)裝置(如連接IP話(huà)機的PC),但是經(jīng)由的路徑有可能不同。
1.減少因安全關(guān)聯(lián)/密鑰交換引起的延遲
因信令數據包、話(huà)音數據包和數據分組數據包分別經(jīng)由不同的路徑,所以會(huì )各自建立不同類(lèi)型的SA,每次建立SA必須交換安全密鑰信息,從而大大增加了延遲(通常是幾秒)。這在話(huà)音通信中是不可忍受的,延遲嚴重影響了呼叫的建立和話(huà)音質(zhì)量。
對于實(shí)時(shí)的話(huà)音處理,如果在PSTN中建立(調整)信令數據包的延遲超過(guò)300ms,呼叫將被拋棄;如果建立(調整)話(huà)音數據包的延遲超過(guò)300ms,用戶(hù)會(huì )聽(tīng)到長(cháng)的靜音,呼叫過(guò)程中話(huà)音也會(huì )產(chǎn)生鳴響。因此應該盡量最小化建立信令和話(huà)音數據包間SA的延遲。
每部IP話(huà)機都有一個(gè)主要呼叫服務(wù)器(primary call server),理想情況是一次就建立呼叫發(fā)起IP話(huà)機和主要呼叫服務(wù)器間的SA,然而SA的生命周期很短,因此每次呼叫都要建立SA。如果SA在一次呼叫過(guò)程中過(guò)期,呼叫會(huì )被終止,需要重建連接,這時(shí)用戶(hù)將聽(tīng)到靜音。
解決上述問(wèn)題的方法是延長(cháng)話(huà)音應用SA的生命周期。對于較長(cháng)的呼叫,如果SA過(guò)期,主要有兩種解決方法:第一種方法是釋放呼叫、重新建立SA,用戶(hù)將被警告連接已經(jīng)斷開(kāi),但這種方法并不十分理想;第二種方法是保持通話(huà)、重建SA,盡管這不符合呼叫處理流程,但對話(huà)音質(zhì)量影響小,不失為解決話(huà)音質(zhì)量問(wèn)題的較好方案。
此外,數據應該能夠與另一個(gè)端點(diǎn)建立SA,多數場(chǎng)合獨立于信令和話(huà)音應用。數據包有時(shí)僅能在已經(jīng)建立虛擬連接的兩個(gè)端點(diǎn)間傳輸。
2.減少因加密操作引起的延遲
實(shí)現安全傳輸最可能和可行的方法是利用虛擬專(zhuān)用網(wǎng)(VPN)或其他方法完成加密。因為一般的加密處理會(huì )增加話(huà)音數據包的延遲乃至降低整個(gè)網(wǎng)絡(luò )的VoIP性能,尤其是在多個(gè)加密點(diǎn)進(jìn)行加密處理時(shí)。但如果采用合適的網(wǎng)絡(luò )運行結構或加密方法,就可以將延遲的影響等減弱,例如采用VPN就會(huì )使得用來(lái)加密的數據處理負荷幾乎不會(huì )影響VoIP系統的性能。此外,采用硬件加密可以將影響話(huà)音質(zhì)量的風(fēng)險降至最低。
高級加密標準(AES)加密協(xié)議要求與數據分組一樣的處理時(shí)間,這意味著(zhù)延遲將加倍;運用數據加密標準(DES)加密時(shí),延遲更大;三重數據加密標準(3DES)中,延遲時(shí)間大約是一重DES的三倍,話(huà)音加密使得延遲變得無(wú)法接受。許多話(huà)音應用選用安全的實(shí)時(shí)傳輸協(xié)議(SRTP),該協(xié)議采用AES標準,而不是IPSec。
3.合理選擇VPN和加密
VPN在端點(diǎn)和VPN服務(wù)器之間建立虛擬連接,運營(yíng)商可以將IP電話(huà)作為VPN服務(wù)的一部分來(lái)提供。這時(shí)IPSec成為通用的VPN安全協(xié)議,在各種VPN模式中都可以使用。
(1)多VPN隧道模式(Multiple-VPN Pipe Model)
在這種模式中,每種形式的數據包均建立一個(gè)VPN,IPSec用于信令和數據的加密。話(huà)音數據包使用SRTP或IPSec加密以降低加密帶來(lái)的延遲。但這需要建立多個(gè)VPN和IP地址,而且在一次呼叫中不同VPN間需要關(guān)注同步問(wèn)題,從而增加了復雜性。
(2)加密的VPN模式(VPN Model with Encryption)
在這種模式中,所有數據包都使用一個(gè)加密的VPN。VPN終止IPSec,VPN服務(wù)器在公司或ISP網(wǎng)絡(luò )中不再有安全保障。因此,一般使用SRTP加密話(huà)音,以提供端到端的安全。這意味著(zhù)話(huà)音是用IPSec和SRTP這兩種方式進(jìn)行加解密的。盡管這會(huì )增加延遲,但話(huà)機和VPN間的連接只需在開(kāi)始時(shí)建立一次,從而降低了延遲的增加。這種模式的優(yōu)點(diǎn)在于:最小化IP地址的數目和呼叫處理同步所需的工作,是一種較好的方法。
(3)沒(méi)有加密的VPN模式(VPN Model without Encryption)
在這種模式中,所有數據包流經(jīng)沒(méi)有加密的VPN,在VPN隧道之外進(jìn)行加密。在進(jìn)入VPN隧道之前,信令和數據分組可以用IPSec加密,話(huà)音可以用SRTP加密。但VPN不再加密使安全性有所降低。
4.網(wǎng)絡(luò )地址翻譯和呼叫控制
網(wǎng)絡(luò )地址翻譯(NAT)協(xié)議充分利用公網(wǎng)IP地址,并將其映射到多個(gè)私有LAN地址,對所有呼出的呼叫,VoIP應用必須登記其RTP、UDP/TCP端口和帶有NAT單元(unit)的IP地址;對于呼入的數據包,如果不知道發(fā)起和結束的IP地址,便使用NAT單元阻擋住。因此,NAT單元的作用就像防火墻,但這對呼入的呼叫會(huì )產(chǎn)生一定的影響。解決方法是登記全部即插即用(uPnP)設備的IP地址、UDP/TCP端口號和RTP端口號。NAT單元檢查出人數據包的uPnP單元;UDP/TCP端口必須一直開(kāi)放,以使VoIP可以接收呼入的呼叫;RTP端口僅在呼叫建立時(shí)才會(huì )生成。這使得所有VoIP應用都必須登記NAT單元,以免呼叫被阻擋。
5.其他安全措施
其他一些安全措施包括:分別為話(huà)音和數據組建獨立的虛擬局域網(wǎng)(VLAN),VLAN將VoIP與數據流分離,既可以提高QoS,又可以增加黑客嗅探或捕獲網(wǎng)絡(luò )數據包的復雜性;如果交換機和路由器可以避免轉發(fā)與允許的設備媒體接入控制(MAC)地址或IP地址列表不匹配的設備數據包,就會(huì )減少非授權設備和欺騙,但是這一措施對運行在PC上的軟電話(huà)不適用,因為它要允許數據網(wǎng)內設備的通信。利用過(guò)濾器或防火墻控制話(huà)音和數據VLAN間的流量,可以防止DoS攻擊和欺騙,過(guò)濾有不良記錄者的入侵。
四、運營(yíng)商級的VoIP需提供緊急接入等必要的安全服務(wù)
在美國和歐盟各國,除業(yè)務(wù)提供、業(yè)務(wù)保障等安全技術(shù)的要求外,VoIP網(wǎng)絡(luò )的安全還包括緊急呼叫服務(wù)要求,范圍更大一些還涉及執法監聽(tīng)問(wèn)題、間接保障大眾安全等。由于國家政策的不同,對于后者可以不多加考慮,但如果作為運營(yíng)商業(yè)務(wù)運行,對緊急呼叫服務(wù)的提供則有必要及早提出要求。
在技術(shù)上,IP電話(huà)支持快速、簡(jiǎn)便的移動(dòng)和改變,這一移動(dòng)性也使得電話(huà)的物理跟蹤變得困難。美國VoIP業(yè)務(wù)提供商Vonage在2003年通過(guò)與提供緊急呼叫電信業(yè)務(wù)公司的合作,使得對用戶(hù)進(jìn)行位置跟蹤成為可能。也就是說(shuō),基于VoIP系統提供緊急呼叫服務(wù)在技術(shù)上是可行的,但由于跨平臺的技術(shù)還沒(méi)有標準化,在多廠(chǎng)商環(huán)境中使用仍有欺騙的可能。
一些廠(chǎng)商已經(jīng)提供了實(shí)現緊急呼叫服務(wù)的安全方案,如思科利用其位置數據庫和相應的軟件,使得該公司的IP電話(huà)能夠被跟蹤,目前要解決的關(guān)鍵問(wèn)題是話(huà)機移動(dòng)時(shí)如何實(shí)現數據庫的自動(dòng)更新。3Com公司也在做類(lèi)似的工作,北電網(wǎng)絡(luò )則向美國聯(lián)邦通信委員會(huì )(FCC)建議實(shí)施有關(guān)的標準。
五、結 語(yǔ)
對于VoIP安全問(wèn)題,目前運營(yíng)商一般是基于數據業(yè)務(wù)的眾多安全協(xié)議提供VoIP服務(wù)。而且運營(yíng)商還可以提供綁定VPN的VoIP服務(wù),本身就有一定的安全保障。但是,要使VoIP滿(mǎn)足運營(yíng)商的安全期望仍有很多挑戰,如密鑰交換、加解密和SA生命周期所帶來(lái)的延遲問(wèn)題等,而且滿(mǎn)足實(shí)時(shí)要求的VoIP安全機制也有待提高。隨著(zhù)新的安全措施的使用,VoIP安全得以保障后,運營(yíng)商可以提供理想的高可靠性和高服務(wù)質(zhì)量的話(huà)音服務(wù),VoIP替代PSTN的時(shí)代終將來(lái)臨。
ChinaByte(e.chinabyte.com)—現代電信科技
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
沅陵县|
瑞丽市|
汾阳市|
巴马|
琼结县|
太和县|
乡城县|
绥棱县|
平昌县|
博湖县|
靖州|
凉城县|
郑州市|
夏津县|
淮阳县|
铅山县|
临夏县|
屏东县|
武威市|
泸水县|
樟树市|
清河县|
会宁县|
东源县|
徐州市|
庆阳市|
方正县|
长丰县|
聂荣县|
太谷县|
武汉市|
城步|
文登市|
竹北市|
呼玛县|
泰和县|
巴南区|
微博|
寿阳县|
宁安市|
高淳县|
http://444
http://444
http://444
http://444
http://444
http://444