實現(xiàn)運營商級的VoIP安全的核心通信技術
2004/07/30
一����、實現(xiàn)VoIP的安全是提供IP通信業(yè)務的前提
基于IP網絡的話音傳輸(VoIP)技術目前已經發(fā)展成為一種專門的通信技術,而不再是兩年前地方貝爾公司首席技術官所謂的科學項目(science project)或原來意義上簡單的Internet應用�����。作為一種新的通信方式��,為了和原來的稱謂有所區(qū)別��,有人建議將目前的VoIP改稱為IP通信(IP communication)�。VoIP的話音質量和可靠性已得到大幅度改進,并在企業(yè)網和公共網絡中廣泛應用����,它融合話音和數(shù)據網絡���,具有節(jié)省成本、通信靈活�����、支持新的特征功能�����、能提高生產率等優(yōu)勢�,這為那些試圖基于數(shù)據網提供傳統(tǒng)電話業(yè)務的業(yè)務提供商增加了獲得新收入的機會。隨著VoIP在最近幾個月的火爆發(fā)展����,主流媒體已宣布2004年為VoIP年。但我們注意到���,隨著VoIP應用承載的話音通信業(yè)務越來越多����,其安全問題也逐漸暴露出來��。由于IP網絡本身的開放性以及話音業(yè)務帶來的新要求,如何解決VoIP安全問題�����、提供運營商級的業(yè)務�����,已成為業(yè)務提供商面臨的一個難題�����。
二����、VoIP安全脆弱性分析
1.IP分組網本身的脆弱性
VoIP安全的重要性和迫切性不容忽視�����,因為在分組網中更容易刺探話音信息���,這比電路交換網的物理探測要容易得多��。所以�����,雖然VoIP本身并不存在更多的�����、新的脆弱性�,但是由于話音應用于IP網絡,從而導致其安全問題更加突出�。在傳統(tǒng)的模擬環(huán)境中,交換機和配線室的物理接入通常需要截取雙方的通信�����,而如今�����,數(shù)據網的分組話音傳輸使得話音通信的接入和截取非常容易����,尤其是在Inter net上可以很容易地發(fā)現(xiàn)大量惡意的工具集。
IP分組通信固有的安全脆弱性包括:
·嗅探數(shù)據包的話音監(jiān)聽(tapping)��;
·網絡身份欺騙(falsification of network ID)�;
·數(shù)據包操縱終止業(yè)務��;
·用戶賬號和設備欺騙�����,這與接入網絡的數(shù)據庫和IP地址有關�����;
·破壞網絡的完整性����,修改數(shù)據庫或復制設備而使得話音網絡擁堵或被控制�����。
其他安全威脅還包括終端用戶隱私權的泄漏等���。新的安全挑戰(zhàn)包括截取、修改呼叫控制(如SIP)數(shù)據包����,乃至改變數(shù)據包的目的地址和呼叫連接等。
IP分組網絡的性能無法達到電路交換網的水平�����,IP網絡安全脆弱性的存在加大了安全管理的風險。因為從風險管理的角度看����,如果運營VoIP業(yè)務的數(shù)據網絡遭受災難,公司將面臨同時喪失話音和數(shù)據通信能力的風險����,這樣對數(shù)據網業(yè)務的安全威脅就被延伸到兩個系統(tǒng),而原來相互分離的系統(tǒng)��,其風險相對來講要低一些�。面對IP網上如此眾多的安全威脅,當運營商推出VoIP業(yè)務時�,業(yè)務提供商必須適時實施針對威脅的安全和防護措施,以保證服務和相應收益得到保障��。
2.VoIP安全威脅
許多已知的安全脆弱性會相應地影響話音通信���,因此需要預防����。VoIP環(huán)境中特別需要注意的安全威脅包括:
·拒絕服務(DoS)攻擊:如IP電話�����、VoIP網關(SIP代理)等端點可能會受到SYN或ICMP數(shù)據包的攻擊,以致通信中斷�,無法正常提供業(yè)務;
·呼叫截取(call interception):指話音或實時傳輸協(xié)議(RTP)數(shù)據包受到非授權的跟蹤���;
·信令協(xié)議篡改(signal protocol tampering):與呼叫截取一樣���,惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據包,修改數(shù)據流中的域�,使VoIP呼叫不能使用VoIP話機,或者進行費率更高的呼叫(如國際電話)��,使IP-PBX認為呼叫來自另一個用戶����;
·狀態(tài)竊取(presence theft):假冒合法用戶收發(fā)數(shù)據���;
·資費欺騙(toll fraud):惡意用戶或入侵者撥打欺騙性電話���;
·呼叫處理操作系統(tǒng)(call handling OS):許多IP-PBX系統(tǒng)的呼叫處理軟件都是基于操作系統(tǒng)或操作系統(tǒng)組件,它們可能是不安全的��,例如使用Microsoft IIS作為IP-PBX的Web配置工具就會在VoIP環(huán)境中引入顯著的安全脆弱性。
現(xiàn)有的安全威脅并不意味著運營商建設VoIP網絡和提供服務會遇到阻礙�,通過實施各種安全措施可以解決這些問題。在IP網絡上實施VoIP應用�����,運營商需要提供不同層次的安全功能�,如認證、加密����、防火墻等。IETF RFC 2401定義的安全性IP(IPSec)是常用的安全協(xié)議����,它提供了加密和認證功能。為了加解密�,終端用戶點之間必須建立安全關聯(lián)(SA)并交換密鑰。簡單來講�,可以通過以下措施來減少安全威脅:
①在技術上盡量降低網絡暴露以減少DoS攻擊�����;
����、趯τ谛帕顓f(xié)議被篡改�����,可基于執(zhí)行狀態(tài)進行判決��,作為DoS進行處理��;
�����、奂用躒oIP流量可以防止VoIP呼叫受到監(jiān)聽���,這在過去不太容易實現(xiàn),但是隨著數(shù)字信號處理技術����,以及兩個主要VoIP協(xié)議——SIP和H.323的迅速發(fā)展,未來VoIP可以實現(xiàn)端到端的加密����;
�、軐τ跔顟B(tài)竊取所造成的安全威脅��,最好的防范措施是采用強認證���,如二元認證(two-factor authentication),IP端點的強認證雖然是一種新技術����,但可以很快實施;
�����、葑詈笠彩亲钪匾�����,就是呼叫處理軟件的運行平臺��,如Microsoft或Linux操作系統(tǒng)����,應該確保操作系統(tǒng)沒有運行任何非必需的軟件,并且已經安裝了必要的安全補丁�����。此外,服務器��、路由器的各種端口����,除非必要,一般不要打開����。
在上述各種措施的配合下,VoIP系統(tǒng)的安全性就可以大大加強���,但是要實現(xiàn)運營商級的網絡安全��,還須建立安全的網絡架構�����,在架構中綜合利用各種因素���,盡量提高安全性。
三�、VOIP安全的網絡架構
在VoIP網絡中,應該識別三類數(shù)據包:話音、信令和數(shù)據分組數(shù)據包���。在有些情況下,視頻數(shù)據包也通過Internet傳輸����。信令數(shù)據包用于在兩個基于非面向連接的IP網絡端點之間建立虛擬連接,如兩個IP話機��,信令數(shù)據包在IP話機和呼叫服務器或代理服務器之間傳輸�。虛擬連接一旦建立,就可以在兩部IP話機之間基于不同的路徑傳輸話音數(shù)據包�。與話音數(shù)據包一樣,分組數(shù)據包可以來自同一個裝置或與之關聯(lián)的另一個裝置(如連接IP話機的PC)���,但是經由的路徑有可能不同�。
1.減少因安全關聯(lián)/密鑰交換引起的延遲
因信令數(shù)據包��、話音數(shù)據包和數(shù)據分組數(shù)據包分別經由不同的路徑���,所以會各自建立不同類型的SA��,每次建立SA必須交換安全密鑰信息�,從而大大增加了延遲(通常是幾秒)。這在話音通信中是不可忍受的��,延遲嚴重影響了呼叫的建立和話音質量����。
對于實時的話音處理,如果在PSTN中建立(調整)信令數(shù)據包的延遲超過300ms�����,呼叫將被拋棄��;如果建立(調整)話音數(shù)據包的延遲超過300ms���,用戶會聽到長的靜音��,呼叫過程中話音也會產生鳴響���。因此應該盡量最小化建立信令和話音數(shù)據包間SA的延遲。
每部IP話機都有一個主要呼叫服務器(primary call server)�����,理想情況是一次就建立呼叫發(fā)起IP話機和主要呼叫服務器間的SA�,然而SA的生命周期很短��,因此每次呼叫都要建立SA���。如果SA在一次呼叫過程中過期,呼叫會被終止�����,需要重建連接����,這時用戶將聽到靜音�。
解決上述問題的方法是延長話音應用SA的生命周期。對于較長的呼叫����,如果SA過期,主要有兩種解決方法:第一種方法是釋放呼叫�、重新建立SA,用戶將被警告連接已經斷開��,但這種方法并不十分理想���;第二種方法是保持通話�、重建SA,盡管這不符合呼叫處理流程����,但對話音質量影響小,不失為解決話音質量問題的較好方案����。
此外,數(shù)據應該能夠與另一個端點建立SA�����,多數(shù)場合獨立于信令和話音應用���。數(shù)據包有時僅能在已經建立虛擬連接的兩個端點間傳輸�。
2.減少因加密操作引起的延遲
實現(xiàn)安全傳輸最可能和可行的方法是利用虛擬專用網(VPN)或其他方法完成加密���。因為一般的加密處理會增加話音數(shù)據包的延遲乃至降低整個網絡的VoIP性能�,尤其是在多個加密點進行加密處理時�。但如果采用合適的網絡運行結構或加密方法,就可以將延遲的影響等減弱�����,例如采用VPN就會使得用來加密的數(shù)據處理負荷幾乎不會影響VoIP系統(tǒng)的性能。此外���,采用硬件加密可以將影響話音質量的風險降至最低���。
高級加密標準(AES)加密協(xié)議要求與數(shù)據分組一樣的處理時間,這意味著延遲將加倍��;運用數(shù)據加密標準(DES)加密時�����,延遲更大����;三重數(shù)據加密標準(3DES)中��,延遲時間大約是一重DES的三倍����,話音加密使得延遲變得無法接受。許多話音應用選用安全的實時傳輸協(xié)議(SRTP)�����,該協(xié)議采用AES標準,而不是IPSec�����。
3.合理選擇VPN和加密
VPN在端點和VPN服務器之間建立虛擬連接�,運營商可以將IP電話作為VPN服務的一部分來提供。這時IPSec成為通用的VPN安全協(xié)議���,在各種VPN模式中都可以使用��。
(1)多VPN隧道模式(Multiple-VPN Pipe Model)
在這種模式中�����,每種形式的數(shù)據包均建立一個VPN�����,IPSec用于信令和數(shù)據的加密����。話音數(shù)據包使用SRTP或IPSec加密以降低加密帶來的延遲��。但這需要建立多個VPN和IP地址�����,而且在一次呼叫中不同VPN間需要關注同步問題,從而增加了復雜性����。
(2)加密的VPN模式(VPN Model with Encryption)
在這種模式中,所有數(shù)據包都使用一個加密的VPN�。VPN終止IPSec,VPN服務器在公司或ISP網絡中不再有安全保障�����。因此�,一般使用SRTP加密話音,以提供端到端的安全��。這意味著話音是用IPSec和SRTP這兩種方式進行加解密的�。盡管這會增加延遲�,但話機和VPN間的連接只需在開始時建立一次,從而降低了延遲的增加��。這種模式的優(yōu)點在于:最小化IP地址的數(shù)目和呼叫處理同步所需的工作��,是一種較好的方法�����。
(3)沒有加密的VPN模式(VPN Model without Encryption)
在這種模式中,所有數(shù)據包流經沒有加密的VPN�,在VPN隧道之外進行加密。在進入VPN隧道之前����,信令和數(shù)據分組可以用IPSec加密,話音可以用SRTP加密��。但VPN不再加密使安全性有所降低�。
4.網絡地址翻譯和呼叫控制
網絡地址翻譯(NAT)協(xié)議充分利用公網IP地址,并將其映射到多個私有LAN地址�,對所有呼出的呼叫,VoIP應用必須登記其RTP�、UDP/TCP端口和帶有NAT單元(unit)的IP地址;對于呼入的數(shù)據包��,如果不知道發(fā)起和結束的IP地址�����,便使用NAT單元阻擋住�。因此,NAT單元的作用就像防火墻,但這對呼入的呼叫會產生一定的影響�����。解決方法是登記全部即插即用(uPnP)設備的IP地址����、UDP/TCP端口號和RTP端口號。NAT單元檢查出人數(shù)據包的uPnP單元�����;UDP/TCP端口必須一直開放��,以使VoIP可以接收呼入的呼叫����;RTP端口僅在呼叫建立時才會生成。這使得所有VoIP應用都必須登記NAT單元��,以免呼叫被阻擋�����。
5.其他安全措施
其他一些安全措施包括:分別為話音和數(shù)據組建獨立的虛擬局域網(VLAN)�,VLAN將VoIP與數(shù)據流分離,既可以提高QoS�����,又可以增加黑客嗅探或捕獲網絡數(shù)據包的復雜性����;如果交換機和路由器可以避免轉發(fā)與允許的設備媒體接入控制(MAC)地址或IP地址列表不匹配的設備數(shù)據包,就會減少非授權設備和欺騙��,但是這一措施對運行在PC上的軟電話不適用���,因為它要允許數(shù)據網內設備的通信����。利用過濾器或防火墻控制話音和數(shù)據VLAN間的流量����,可以防止DoS攻擊和欺騙,過濾有不良記錄者的入侵�����。
四���、運營商級的VoIP需提供緊急接入等必要的安全服務
在美國和歐盟各國���,除業(yè)務提供���、業(yè)務保障等安全技術的要求外,VoIP網絡的安全還包括緊急呼叫服務要求�,范圍更大一些還涉及執(zhí)法監(jiān)聽問題、間接保障大眾安全等�。由于國家政策的不同,對于后者可以不多加考慮�,但如果作為運營商業(yè)務運行,對緊急呼叫服務的提供則有必要及早提出要求���。
在技術上��,IP電話支持快速���、簡便的移動和改變,這一移動性也使得電話的物理跟蹤變得困難��。美國VoIP業(yè)務提供商Vonage在2003年通過與提供緊急呼叫電信業(yè)務公司的合作�����,使得對用戶進行位置跟蹤成為可能���。也就是說��,基于VoIP系統(tǒng)提供緊急呼叫服務在技術上是可行的����,但由于跨平臺的技術還沒有標準化��,在多廠商環(huán)境中使用仍有欺騙的可能�。
一些廠商已經提供了實現(xiàn)緊急呼叫服務的安全方案,如思科利用其位置數(shù)據庫和相應的軟件���,使得該公司的IP電話能夠被跟蹤��,目前要解決的關鍵問題是話機移動時如何實現(xiàn)數(shù)據庫的自動更新�����。3Com公司也在做類似的工作���,北電網絡則向美國聯(lián)邦通信委員會(FCC)建議實施有關的標準。
五���、結 語
對于VoIP安全問題�,目前運營商一般是基于數(shù)據業(yè)務的眾多安全協(xié)議提供VoIP服務。而且運營商還可以提供綁定VPN的VoIP服務�,本身就有一定的安全保障。但是�����,要使VoIP滿足運營商的安全期望仍有很多挑戰(zhàn)�,如密鑰交換、加解密和SA生命周期所帶來的延遲問題等�,而且滿足實時要求的VoIP安全機制也有待提高。隨著新的安全措施的使用�,VoIP安全得以保障后,運營商可以提供理想的高可靠性和高服務質量的話音服務�����,VoIP替代PSTN的時代終將來臨����。
ChinaByte(e.chinabyte.com)—現(xiàn)代電信科技