日本久久网站_淺析IP網(wǎng)絡(luò )的話(huà)音傳輸VoIP安全技術(shù)_voip

淺析IP網(wǎng)絡(luò )的話(huà)音傳輸VoIP安全技術(shù)

E劍 2006/01/12

　　基于IP網(wǎng)絡(luò )的話(huà)音傳輸(VoIP)技術(shù)目前已經(jīng)發(fā)展成為一種專(zhuān)門(mén)的話(huà)音通信技術(shù)，其應用范圍越來(lái)越廣。但是研究發(fā)現，除服務(wù)質(zhì)量等問(wèn)題外，安全問(wèn)題是企業(yè)首席技術(shù)官(CIO)們在做VoIP決策時(shí)重點(diǎn)考慮的內容。在現實(shí)中，許多客戶(hù)表示，安全狀況不能達到企業(yè)的應用標準是他們暫時(shí)不想部署 VoIP的原因。目前，VoIP面臨的安全議題主要有4個(gè):拒絕服務(wù)(DoS)攻擊、非法接入、話(huà)費詐欺或竊聽(tīng)等威脅。

　　市場(chǎng)研究機構的調查結果顯示，亞太區服務(wù)供應商在VoIP安全性方面的支出遠遠落后于美國和歐洲。預計2005年亞太區服務(wù)供應商在VoIP安全性方面的支出還不到3300萬(wàn)美元，而亞太區以外的所有地區則將支出8360萬(wàn)美元，并且這一差距還將進(jìn)一步加大，預計2008年亞太區在這方面的支出大約為1.7億美元，而亞太以外其它地區的總支出將超過(guò)3.7億美元。這種差距顯示了當前亞太區在VoIP安全方面意識的欠缺。

　　VoIP安全聯(lián)盟(VoIPSA)是一個(gè)旨在提高公眾對網(wǎng)絡(luò )電話(huà)安全性和保密性意識的開(kāi)放性組織，旨在發(fā)現、理解并避免與網(wǎng)絡(luò )電話(huà)安全性相關(guān)的風(fēng)險，專(zhuān)注于VoIP安全性的研究和教育。其成員來(lái)源非常廣泛，包括廠(chǎng)商、業(yè)務(wù)提供商、研究人員和顧問(wèn)人員。其主要活動(dòng)方式是討論列表、白皮書(shū)、支持 VoIP安全性研究項目，以及開(kāi)發(fā)供公眾使用的工具和方法，為VoIP提供更全面的安全理念、安全產(chǎn)品、解決方案以及管理標準等。2005年2月，提出的兩個(gè)最初目標是制定威脅分類(lèi)(threat taxonomy)和定義安全需求。近期，正致力于起草VoIP網(wǎng)絡(luò )需要的安全措施以及威脅模式的相關(guān)文件。

寬帶電話(huà)的技術(shù)特點(diǎn)和面臨的安全威脅

　　寬帶電話(huà)是依據寬帶接入實(shí)現的，是目前VoIP的主要商用形式，其安全是以寬帶接入安全為基礎的。寬帶電話(huà)隨著(zhù)寬帶接入的普及而流行。寬帶接入作為逐步成為主流的互聯(lián)網(wǎng)接入方式，通過(guò)不同的頻道，在一根同軸電纜或光纖上承載多個(gè)獨立的信道，有利用電纜調制解調器(cable modem)、數字用戶(hù)線(xiàn)(DSL)或光纖等接入方式，其速率一般都超過(guò)1 Mbit/s，具有連接地址固定、傳輸速率高等特點(diǎn)。

　　由于寬帶服務(wù)一般以包月方式提供，用戶(hù)PC等智能終端采用永久連接網(wǎng)絡(luò )的方式，這意味著(zhù)永遠在線(xiàn)，也就存在隨時(shí)可能受到入侵和攻擊的威脅。寬帶連接，一方面在時(shí)間上給黑客提供了嘗試攻擊的機會(huì );另一方面，永久連接經(jīng)常使用固定IP地址，目標固定，增加了攻擊成功的幾率。而由于終端功能的智能性、信息內容的豐富性，一旦黑客控制了系統，他們不僅可以盜走敏感信息、破壞文件，甚至利用它作為對其它站點(diǎn)發(fā)動(dòng)攻擊的跳板，進(jìn)行網(wǎng)絡(luò )攻擊。網(wǎng)絡(luò )安全直接影響到寬帶電話(huà)的安全。　　信息技術(shù)的發(fā)展和進(jìn)步超過(guò)了實(shí)際的安全需求，寬帶電話(huà)尤其如此。目前，還沒(méi)有出現專(zhuān)門(mén)針對主流或商用VoIP的攻擊威脅，但威脅的出現只是時(shí)間問(wèn)題。盡管VoIP威脅并不比其它Web應用面臨的嚴峻，但是要保證安全則更加嚴峻，這是由VoIP的特點(diǎn)決定的。例如VoIP一般需要比Web瀏覽和E-mail更多的連接，流媒體連接是動(dòng)態(tài)的，因此安全需求更加復雜。

　　寬帶網(wǎng)絡(luò )受到病毒、垃圾郵件、拒絕服務(wù)攻擊等威脅，而VoIP還面臨與其他Internet應用不同的安全和隱私問(wèn)題，如呼叫跟蹤，呼叫劫持，以及偷聽(tīng)等最危險的威脅。這兩方面的攻擊威脅都給寬帶電話(huà)的安全帶來(lái)風(fēng)險。

　　概括而言，寬帶電話(huà)受到攻擊的目標可能是電話(huà)呼叫各方之間交換的信息內容，呼叫者和被叫者的身份，IP 電話(huà)功能實(shí)體，IP電話(huà)網(wǎng)元，以及服務(wù)器、主機等。

寬帶電話(huà)的安全脆弱性分析

1.IP分組網(wǎng)本身的脆弱性

IP分組通信網(wǎng)作為開(kāi)放的網(wǎng)絡(luò )，本身固有數據網(wǎng)的安全脆弱性，這包括:

嗅探數據包的話(huà)音監聽(tīng);

網(wǎng)絡(luò )身份欺騙、以免費使用服務(wù);

數據包操縱終止業(yè)務(wù);

用戶(hù)帳號和設備欺騙，這與接入網(wǎng)絡(luò )的數據庫和IP地址有關(guān);

破壞網(wǎng)絡(luò )的完整性，修改數據庫或復制設備，使話(huà)音網(wǎng)絡(luò )擁堵或被控制;

其它安全威脅，包括終端用戶(hù)隱私權的泄漏等;新的安全挑戰包括截取、修改呼叫控制(如SIP)數據包，乃至改變數據包的目的地址和呼叫連接等。

　　IP分組網(wǎng)絡(luò )的性能無(wú)法達到電路交換網(wǎng)的水平，其網(wǎng)絡(luò )安全脆弱性加大了寬帶電話(huà)的安全風(fēng)險。因為從風(fēng)險管理的角度看，如果運營(yíng)VoIP業(yè)務(wù)的數據網(wǎng)絡(luò )遭受災難，公司將面臨同時(shí)丟失話(huà)音和數據通信的風(fēng)險，原來(lái)單獨數據網(wǎng)業(yè)務(wù)的安全威脅被延伸到兩個(gè)系統。

2.VoIP受到的安全攻擊

VoIP環(huán)境中特別需要注意的安全攻擊威脅包括:

拒絕服務(wù)(DoS) 攻擊:如IP電話(huà)、VoIP網(wǎng)關(guān)(SIP代理) 等端點(diǎn)，可能受到SYN 或ICMP數據包的攻擊，以致通信中斷，無(wú)法正常提供寬帶電話(huà)服務(wù)。

呼叫截取:話(huà)音或實(shí)時(shí)傳輸協(xié)議(RTP) 數據包受到非授權的跟蹤。

信令協(xié)議篡改: 與呼叫截取一樣，惡意用戶(hù)可以監控和篡改建立呼叫后傳輸的數據包，修改數據流中的域，使VoIP呼叫不使用VoIP話(huà)機，或者它們可以進(jìn)行費率更高的呼叫(如國際電話(huà))，使IP-PBX認為呼叫來(lái)自另一個(gè)用戶(hù)。

狀態(tài)竊取:假冒合法用戶(hù)收發(fā)數據。

資費欺騙: 惡意用戶(hù)或入侵者撥打欺騙性電話(huà)。

呼叫處理操作系統: 許多IP-PBX系統的呼叫處理軟件都是基于操作系統或操作系統組件，它們可能是不安全的。例如，使用Microsoft IIS做為IP-PBX的Web配置工具就會(huì )在VoIP環(huán)境引入顯著(zhù)的安全脆弱性。

實(shí)現寬帶電話(huà)服務(wù)的安全

　　由于寬帶電話(huà)受到IP網(wǎng)絡(luò )和VoIP安全兩方面的攻擊威脅，所以寬帶電話(huà)的安全應該從保障IP網(wǎng)絡(luò )安全和VoIP安全兩方面進(jìn)行防范。

1.保障IP分組網(wǎng)的安全

　　IP網(wǎng)絡(luò )是實(shí)現寬帶電話(huà)的基礎，要保障寬帶電話(huà)的安全，首先應該保障寬帶網(wǎng)絡(luò )的安全。這方面的防護措施主要包括以下內容:

防火墻:防火墻在兩個(gè)網(wǎng)絡(luò )之間執行訪(fǎng)問(wèn)控制策略，可以是軟件或硬件設備。

入侵檢測和防護:在網(wǎng)絡(luò )中不同端點(diǎn)安裝和實(shí)施，以監測系統、網(wǎng)絡(luò )運行狀況和流量，在故障出現之前盡快采取防護和補救措施，將損失降至最低。

反病毒軟件:可以在網(wǎng)元設備和終端上分別安裝和實(shí)施。

加密:對于內容敏感的通信，進(jìn)行加密。

調制解調器安全:調制解調器會(huì )存儲配置和驗證信息，要保護這些信息;對于電纜調制解調器連接，要確定服務(wù)供應商將網(wǎng)絡(luò )和設備采用了基于線(xiàn)纜數據傳輸服務(wù)接口標準(DOCSIS)，以提高連接安全性。

內容檢查:Java、JavaScript、ActiveX 等互動(dòng)技術(shù)是寬帶內容站點(diǎn)和E-mail的重要組成部分，同時(shí)也是黑客攻擊的潛在媒體，在瀏覽器和E-mail中盡量禁止這些功能。

操作系統安全。

2.保障寬帶電話(huà)安全

　　在技術(shù)上，寬帶電話(huà)作為話(huà)音技術(shù)的一種實(shí)現方式，必須保障安全和隱私，因為使用IP技術(shù)，并不意味著(zhù)它只能或可以是不安全的。新服務(wù)的實(shí)現，不應該以降低服務(wù)質(zhì)量和安全為代價(jià)。寬帶電話(huà)的安全應該解決以下幾方面的技術(shù)問(wèn)題:

保證帶寬等網(wǎng)絡(luò )資源，帶寬是實(shí)現較高質(zhì)量寬帶電話(huà)的基礎和優(yōu)勢所在。

減少因安全關(guān)聯(lián)(SA)/密鑰交換、加密操作引起的延遲，減少對話(huà)音質(zhì)量的影響。

合理選擇VPN和加密，平衡安全性和質(zhì)量。

選擇合適的多VPN隧道模式，如加密的VPN模式和沒(méi)有加密的VPN模式。

網(wǎng)絡(luò )地址翻譯和呼叫控制，減少操作時(shí)間給話(huà)音質(zhì)量帶來(lái)的影響。

其它安全措施:包括采用強認證方式，如二元認證，公共密鑰基礎設施(PKI)、SIP和H.323協(xié)議中也嵌套了安全功能，包括地址認證; 保證呼叫處理軟件運行平臺的安全，如Microsoft或Linux操作系統，應該確保操作系統沒(méi)有運行任何非必需軟件的重要性，并且已安裝必要的安全補丁，服務(wù)器、路由器的各個(gè)端口，除非必要，一般不要打開(kāi)。

結論

　　在IP網(wǎng)絡(luò )上實(shí)施寬帶電話(huà)的安全功能，運營(yíng)商需要在不同的網(wǎng)絡(luò )層次實(shí)施各種安全措施，如認證、加密、防火墻等。消除所有的安全威脅是不可能的，但可以采取幾個(gè)簡(jiǎn)潔步驟，如:盡量降低網(wǎng)絡(luò )暴露，以減少拒絕服務(wù)(DoS)攻擊;對于信令協(xié)議篡改，可基于執行狀態(tài)進(jìn)行判決;加密VoIP流量可以防止 VoIP呼叫受到監聽(tīng)，未來(lái)VoIP可以實(shí)現端到端的加密。

　　此外，實(shí)現寬帶電話(huà)安全，不僅可以從技術(shù)方面采取措施，也可以依靠管制政策來(lái)獲得幫助。但是，由于IP網(wǎng)絡(luò )跨越國界，很難在全球范圍內實(shí)現一致的管制，就易實(shí)現程度和可行性而言，應該致力于提高技術(shù)方面的安全性，而不是游說(shuō)外部管制部門(mén)。但是，因為安全問(wèn)題的重要性，ITU已經(jīng)在考慮有關(guān)的IP 電話(huà)安全問(wèn)題，這方面舉措也值得關(guān)注和研究。

賽迪論壇

相關(guān)鏈接:

論VoIP在NGN演進(jìn)中的積極意義 2006-01-12

免費電話(huà)離我們還有多遠 2006-01-10

綜述：蓄勢待發(fā)的IP手機市場(chǎng) 2006-01-09

ICE的技術(shù) VoIP再添動(dòng)力 2006-01-09

VoIP: 摸著(zhù)石頭過(guò)河 2006-01-06