實(shí)現(xiàn)運(yùn)營商級的VoIP安全的核心通信技術(shù)
2007/05/09
一、實(shí)現(xiàn)VoIP的安全是提供IP通信業(yè)務(wù)的前提
基于IP網(wǎng)絡(luò)的話音傳輸(VoIP)技術(shù)目前已經(jīng)發(fā)展成為一種專門的通信技術(shù),而不再是兩年前地方貝爾公司首席技術(shù)官所謂的科學(xué)項(xiàng)目(science
project)或原來意義上簡單的Internet應(yīng)用。作為一種新的通信方式,為了和原來的稱謂有所區(qū)別,有人建議將目前的VoIP改稱為IP通信(IP
communication)。VoIP的話音質(zhì)量和可靠性已得到大幅度改進(jìn),并在企業(yè)網(wǎng)和公共網(wǎng)絡(luò)中廣泛應(yīng)用,它融合話音和數(shù)據(jù)網(wǎng)絡(luò),具有節(jié)省成本、通信靈活、支持新的特征功能、能提高生產(chǎn)率等優(yōu)勢,這為那些試圖基于數(shù)據(jù)網(wǎng)提供傳統(tǒng)電話業(yè)務(wù)的業(yè)務(wù)提供商增加了獲得新收入的機(jī)會。隨著VoIP在最近幾個(gè)月的火爆發(fā)展,主流媒體已宣布2004年為VoIP年。但我們注意到,隨著VoIP應(yīng)用承載的話音通信業(yè)務(wù)越來越多,其安全問題也逐漸暴露出來。由于IP網(wǎng)絡(luò)本身的開放性以及話音業(yè)務(wù)帶來的新要求,如何解決VoIP安全問題、提供運(yùn)營商級的業(yè)務(wù),已成為業(yè)務(wù)提供商面臨的一個(gè)難題。
二、VoIP安全脆弱性分析
1.IP分組網(wǎng)本身的脆弱性
VoIP安全的重要性和迫切性不容忽視,因?yàn)樵诜纸M網(wǎng)中更容易刺探話音信息,這比電路交換網(wǎng)的物理探測要容易得多。所以,雖然VoIP本身并不存在更多的、新的脆弱性,但是由于話音應(yīng)用于IP網(wǎng)絡(luò),從而導(dǎo)致其安全問題更加突出。在傳統(tǒng)的模擬環(huán)境中,交換機(jī)和配線室的物理接入通常需要截取雙方的通信,而如今,數(shù)據(jù)網(wǎng)的分組話音傳輸使得話音通信的接入和截取非常容易,尤其是在Inter
net上可以很容易地發(fā)現(xiàn)大量惡意的工具集。
IP分組通信固有的安全脆弱性包括:
- 嗅探數(shù)據(jù)包的話音監(jiān)聽(tapping);
- 網(wǎng)絡(luò)身份欺騙(falsification of network ID);
- 數(shù)據(jù)包操縱終止業(yè)務(wù);
- 用戶賬號和設(shè)備欺騙,這與接入網(wǎng)絡(luò)的數(shù)據(jù)庫和IP地址有關(guān);
- 破壞網(wǎng)絡(luò)的完整性,修改數(shù)據(jù)庫或復(fù)制設(shè)備而使得話音網(wǎng)絡(luò)擁堵或被控制。
其他安全威脅還包括終端用戶隱私權(quán)的泄漏等。新的安全挑戰(zhàn)包括截取、修改呼叫控制(如SIP)數(shù)據(jù)包,乃至改變數(shù)據(jù)包的目的地址和呼叫連接等。
IP分組網(wǎng)絡(luò)的性能無法達(dá)到電路交換網(wǎng)的水平,IP網(wǎng)絡(luò)安全脆弱性的存在加大了安全管理的風(fēng)險(xiǎn)。因?yàn)閺娘L(fēng)險(xiǎn)管理的角度看,如果運(yùn)營VoIP業(yè)務(wù)的數(shù)據(jù)網(wǎng)絡(luò)遭受災(zāi)難,公司將面臨同時(shí)喪失話音和數(shù)據(jù)通信能力的風(fēng)險(xiǎn),這樣對數(shù)據(jù)網(wǎng)業(yè)務(wù)的安全威脅就被延伸到兩個(gè)系統(tǒng),而原來相互分離的系統(tǒng),其風(fēng)險(xiǎn)相對來講要低一些。面對IP網(wǎng)上如此眾多的安全威脅,當(dāng)運(yùn)營商推出VoIP業(yè)務(wù)時(shí),業(yè)務(wù)提供商必須適時(shí)實(shí)施針對威脅的安全和防護(hù)措施,以保證服務(wù)和相應(yīng)收益得到保障。
2.VoIP安全威脅
許多已知的安全脆弱性會相應(yīng)地影響話音通信,因此需要預(yù)防。VoIP環(huán)境中特別需要注意的安全威脅包括:
- 拒絕服務(wù)(DoS)攻擊:如IP電話、VoIP網(wǎng)關(guān)(SIP代理)等端點(diǎn)可能會受到SYN或ICMP數(shù)據(jù)包的攻擊,以致通信中斷,無法正常提供業(yè)務(wù);
- 呼叫截取(call interception):指話音或?qū)崟r(shí)傳輸協(xié)議(RTP)數(shù)據(jù)包受到非授權(quán)的跟蹤;
- 信令協(xié)議篡改(signal protocol tampering):與呼叫截取一樣,惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據(jù)包,修改數(shù)據(jù)流中的域,使VoIP呼叫不能使用VoIP話機(jī),或者進(jìn)行費(fèi)率更高的呼叫(如國際電話),使IP-PBX認(rèn)為呼叫來自另一個(gè)用戶;
- 狀態(tài)竊取(presence theft):假冒合法用戶收發(fā)數(shù)據(jù);
- 資費(fèi)欺騙(toll fraud):惡意用戶或入侵者撥打欺騙性電話;
- 呼叫處理操作系統(tǒng)(call handling OS):許多IP-PBX系統(tǒng)的呼叫處理軟件都是基于操作系統(tǒng)或操作系統(tǒng)組件,它們可能是不安全的,例如使用Microsoft
IIS作為IP-PBX的Web配置工具就會在VoIP環(huán)境中引入顯著的安全脆弱性。
現(xiàn)有的安全威脅并不意味著運(yùn)營商建設(shè)VoIP網(wǎng)絡(luò)和提供服務(wù)會遇到阻礙,通過實(shí)施各種安全措施可以解決這些問題。在IP網(wǎng)絡(luò)上實(shí)施VoIP應(yīng)用,運(yùn)營商需要提供不同層次的安全功能,如認(rèn)證、加密、防火墻等。IETF
RFC 2401定義的安全性IP(IPSec)是常用的安全協(xié)議,它提供了加密和認(rèn)證功能。為了加解密,終端用戶點(diǎn)之間必須建立安全關(guān)聯(lián)(SA)并交換密鑰。簡單來講,可以通過以下措施來減少安全威脅:
- 在技術(shù)上盡量降低網(wǎng)絡(luò)暴露以減少DoS攻擊;
- 對于信令協(xié)議被篡改,可基于執(zhí)行狀態(tài)進(jìn)行判決,作為DoS進(jìn)行處理;
- 加密VoIP流量可以防止VoIP呼叫受到監(jiān)聽,這在過去不太容易實(shí)現(xiàn),但是隨著數(shù)字信號處理技術(shù),以及兩個(gè)主要VoIP協(xié)議——SIP和H.323的迅速發(fā)展,未來VoIP可以實(shí)現(xiàn)端到端的加密;
- 對于狀態(tài)竊取所造成的安全威脅,最好的防范措施是采用強(qiáng)認(rèn)證,如二元認(rèn)證(two-factor authentication),IP端點(diǎn)的強(qiáng)認(rèn)證雖然是一種新技術(shù),但可以很快實(shí)施;
- 最后也是最重要的,就是呼叫處理軟件的運(yùn)行平臺,如Microsoft或Linux操作系統(tǒng),應(yīng)該確保操作系統(tǒng)沒有運(yùn)行任何非必需的軟件,并且已經(jīng)安裝了必要的安全補(bǔ)丁。此外,服務(wù)器、路由器的各種端口,除非必要,一般不要打開。
在上述各種措施的配合下,VoIP系統(tǒng)的安全性就可以大大加強(qiáng),但是要實(shí)現(xiàn)運(yùn)營商級的網(wǎng)絡(luò)安全,還須建立安全的網(wǎng)絡(luò)架構(gòu),在架構(gòu)中綜合利用各種因素,盡量提高安全性。
三、VOIP安全的網(wǎng)絡(luò)架構(gòu)
在VoIP網(wǎng)絡(luò)中,應(yīng)該識別三類數(shù)據(jù)包:話音、信令和數(shù)據(jù)分組數(shù)據(jù)包。在有些情況下,視頻數(shù)據(jù)包也通過Internet傳輸。信令數(shù)據(jù)包用于在兩個(gè)基于非面向連接的IP網(wǎng)絡(luò)端點(diǎn)之間建立虛擬連接,如兩個(gè)IP話機(jī),信令數(shù)據(jù)包在IP話機(jī)和呼叫服務(wù)器或代理服務(wù)器之間傳輸。虛擬連接一旦建立,就可以在兩部IP話機(jī)之間基于不同的路徑傳輸話音數(shù)據(jù)包。與話音數(shù)據(jù)包一樣,分組數(shù)據(jù)包可以來自同一個(gè)裝置或與之關(guān)聯(lián)的另一個(gè)裝置(如連接IP話機(jī)的PC),但是經(jīng)由的路徑有可能不同。
1.減少因安全關(guān)聯(lián)/密鑰交換引起的延遲
因信令數(shù)據(jù)包、話音數(shù)據(jù)包和數(shù)據(jù)分組數(shù)據(jù)包分別經(jīng)由不同的路徑,所以會各自建立不同類型的SA,每次建立SA必須交換安全密鑰信息,從而大大增加了延遲(通常是幾秒)。這在話音通信中是不可忍受的,延遲嚴(yán)重影響了呼叫的建立和話音質(zhì)量。
對于實(shí)時(shí)的話音處理,如果在PSTN中建立(調(diào)整)信令數(shù)據(jù)包的延遲超過300ms,呼叫將被拋棄;如果建立(調(diào)整)話音數(shù)據(jù)包的延遲超過300ms,用戶會聽到長的靜音,呼叫過程中話音也會產(chǎn)生鳴響。因此應(yīng)該盡量最小化建立信令和話音數(shù)據(jù)包間SA的延遲。
每部IP話機(jī)都有一個(gè)主要呼叫服務(wù)器(primary call server),理想情況是一次就建立呼叫發(fā)起IP話機(jī)和主要呼叫服務(wù)器間的SA,然而SA的生命周期很短,因此每次呼叫都要建立SA。如果SA在一次呼叫過程中過期,呼叫會被終止,需要重建連接,這時(shí)用戶將聽到靜音。
解決上述問題的方法是延長話音應(yīng)用SA的生命周期。對于較長的呼叫,如果SA過期,主要有兩種解決方法:第一種方法是釋放呼叫、重新建立SA,用戶將被警告連接已經(jīng)斷開,但這種方法并不十分理想;第二種方法是保持通話、重建SA,盡管這不符合呼叫處理流程,但對話音質(zhì)量影響小,不失為解決話音質(zhì)量問題的較好方案。
此外,數(shù)據(jù)應(yīng)該能夠與另一個(gè)端點(diǎn)建立SA,多數(shù)場合獨(dú)立于信令和話音應(yīng)用。數(shù)據(jù)包有時(shí)僅能在已經(jīng)建立虛擬連接的兩個(gè)端點(diǎn)間傳輸。
2.減少因加密操作引起的延遲
實(shí)現(xiàn)安全傳輸最可能和可行的方法是利用虛擬專用網(wǎng)(VPN)或其他方法完成加密。因?yàn)橐话愕募用芴幚頃黾釉捯魯?shù)據(jù)包的延遲乃至降低整個(gè)網(wǎng)絡(luò)的VoIP性能,尤其是在多個(gè)加密點(diǎn)進(jìn)行加密處理時(shí)。但如果采用合適的網(wǎng)絡(luò)運(yùn)行結(jié)構(gòu)或加密方法,就可以將延遲的影響等減弱,例如采用VPN就會使得用來加密的數(shù)據(jù)處理負(fù)荷幾乎不會影響VoIP系統(tǒng)的性能。此外,采用硬件加密可以將影響話音質(zhì)量的風(fēng)險(xiǎn)降至最低。
高級加密標(biāo)準(zhǔn)(AES)加密協(xié)議要求與數(shù)據(jù)分組一樣的處理時(shí)間,這意味著延遲將加倍;運(yùn)用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)加密時(shí),延遲更大;三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(3DES)中,延遲時(shí)間大約是一重DES的三倍,話音加密使得延遲變得無法接受。許多話音應(yīng)用選用安全的實(shí)時(shí)傳輸協(xié)議(SRTP),該協(xié)議采用AES標(biāo)準(zhǔn),而不是IPSec。
3.合理選擇VPN和加密
VPN在端點(diǎn)和VPN服務(wù)器之間建立虛擬連接,運(yùn)營商可以將IP電話作為VPN服務(wù)的一部分來提供。這時(shí)IPSec成為通用的VPN安全協(xié)議,在各種VPN模式中都可以使用。
(1)多VPN隧道模式(Multiple-VPN Pipe Model)
在這種模式中,每種形式的數(shù)據(jù)包均建立一個(gè)VPN,IPSec用于信令和數(shù)據(jù)的加密。話音數(shù)據(jù)包使用SRTP或IPSec加密以降低加密帶來的延遲。但這需要建立多個(gè)VPN和IP地址,而且在一次呼叫中不同VPN間需要關(guān)注同步問題,從而增加了復(fù)雜性。
(2)加密的VPN模式(VPN Model with Encryption)
在這種模式中,所有數(shù)據(jù)包都使用一個(gè)加密的VPN。VPN終止IPSec,VPN服務(wù)器在公司或ISP網(wǎng)絡(luò)中不再有安全保障。因此,一般使用SRTP加密話音,以提供端到端的安全。這意味著話音是用IPSec和SRTP這兩種方式進(jìn)行加解密的。盡管這會增加延遲,但話機(jī)和VPN間的連接只需在開始時(shí)建立一次,從而降低了延遲的增加。這種模式的優(yōu)點(diǎn)在于:最小化IP地址的數(shù)目和呼叫處理同步所需的工作,是一種較好的方法。
(3)沒有加密的VPN模式(VPN Model without Encryption)
在這種模式中,所有數(shù)據(jù)包流經(jīng)沒有加密的VPN,在VPN隧道之外進(jìn)行加密。在進(jìn)入VPN隧道之前,信令和數(shù)據(jù)分組可以用IPSec加密,話音可以用SRTP加密。但VPN不再加密使安全性有所降低。
4.網(wǎng)絡(luò)地址翻譯和呼叫控制
網(wǎng)絡(luò)地址翻譯(NAT)協(xié)議充分利用公網(wǎng)IP地址,并將其映射到多個(gè)私有LAN地址,對所有呼出的呼叫,VoIP應(yīng)用必須登記其RTP、UDP/TCP端口和帶有NAT單元(unit)的IP地址;對于呼入的數(shù)據(jù)包,如果不知道發(fā)起和結(jié)束的IP地址,便使用NAT單元阻擋住。因此,NAT單元的作用就像防火墻,但這對呼入的呼叫會產(chǎn)生一定的影響。解決方法是登記全部即插即用(uPnP)設(shè)備的IP地址、UDP/TCP端口號和RTP端口號。NAT單元檢查出人數(shù)據(jù)包的uPnP單元;UDP/TCP端口必須一直開放,以使VoIP可以接收呼入的呼叫;RTP端口僅在呼叫建立時(shí)才會生成。這使得所有VoIP應(yīng)用都必須登記NAT單元,以免呼叫被阻擋。
5.其他安全措施
其他一些安全措施包括:分別為話音和數(shù)據(jù)組建獨(dú)立的虛擬局域網(wǎng)(VLAN),VLAN將VoIP與數(shù)據(jù)流分離,既可以提高QoS,又可以增加黑客嗅探或捕獲網(wǎng)絡(luò)數(shù)據(jù)包的復(fù)雜性;如果交換機(jī)和路由器可以避免轉(zhuǎn)發(fā)與允許的設(shè)備媒體接入控制(MAC)地址或IP地址列表不匹配的設(shè)備數(shù)據(jù)包,就會減少非授權(quán)設(shè)備和欺騙,但是這一措施對運(yùn)行在PC上的軟電話不適用,因?yàn)樗试S數(shù)據(jù)網(wǎng)內(nèi)設(shè)備的通信。利用過濾器或防火墻控制話音和數(shù)據(jù)VLAN間的流量,可以防止DoS攻擊和欺騙,過濾有不良記錄者的入侵。
四、運(yùn)營商級的VoIP需提供緊急接入等必要的安全服務(wù)
在美國和歐盟各國,除業(yè)務(wù)提供、業(yè)務(wù)保障等安全技術(shù)的要求外,VoIP網(wǎng)絡(luò)的安全還包括緊急呼叫服務(wù)要求,范圍更大一些還涉及執(zhí)法監(jiān)聽問題、間接保障大眾安全等。由于國家政策的不同,對于后者可以不多加考慮,但如果作為運(yùn)營商業(yè)務(wù)運(yùn)行,對緊急呼叫服務(wù)的提供則有必要及早提出要求。
在技術(shù)上,IP電話支持快速、簡便的移動(dòng)和改變,這一移動(dòng)性也使得電話的物理跟蹤變得困難。美國VoIP業(yè)務(wù)提供商Vonage在2003年通過與提供緊急呼叫電信業(yè)務(wù)公司的合作,使得對用戶進(jìn)行位置跟蹤成為可能。也就是說,基于VoIP系統(tǒng)提供緊急呼叫服務(wù)在技術(shù)上是可行的,但由于跨平臺的技術(shù)還沒有標(biāo)準(zhǔn)化,在多廠商環(huán)境中使用仍有欺騙的可能。
一些廠商已經(jīng)提供了實(shí)現(xiàn)緊急呼叫服務(wù)的安全方案,如思科利用其位置數(shù)據(jù)庫和相應(yīng)的軟件,使得該公司的IP電話能夠被跟蹤,目前要解決的關(guān)鍵問題是話機(jī)移動(dòng)時(shí)如何實(shí)現(xiàn)數(shù)據(jù)庫的自動(dòng)更新。3Com公司也在做類似的工作,北電網(wǎng)絡(luò)則向美國聯(lián)邦通信委員會(FCC)建議實(shí)施有關(guān)的標(biāo)準(zhǔn)。
五、結(jié) 語
對于VoIP安全問題,目前運(yùn)營商一般是基于數(shù)據(jù)業(yè)務(wù)的眾多安全協(xié)議提供VoIP服務(wù)。而且運(yùn)營商還可以提供綁定VPN的VoIP服務(wù),本身就有一定的安全保障。但是,要使VoIP滿足運(yùn)營商的安全期望仍有很多挑戰(zhàn),如密鑰交換、加解密和SA生命周期所帶來的延遲問題等,而且滿足實(shí)時(shí)要求的VoIP安全機(jī)制也有待提高。隨著新的安全措施的使用,VoIP安全得以保障后,運(yùn)營商可以提供理想的高可靠性和高服務(wù)質(zhì)量的話音服務(wù),VoIP替代PSTN的時(shí)代終將來臨。
chinaitlab
相關(guān)鏈接: