實現運營商級的VoIP安全

2019-11-03 09:01:57

字體：大中小

來源：轉載

供稿：網友

張杰信息產業部電信研究院通信信息研究所工程師

　　摘要：隨著Voip技術的日漸成熟及其應用的普及，VoIP安全問題迫切需要得到解決，而這也是運營商開展業務的前提。VoIP安全可以分為業務的正常提供、業務內容的保密、呼叫者身份確認和系統安全，以及國內涉及不多但在國外已經很受重視的緊急呼叫服務的提供問題等。指出VoIP目前存在的安全威脅，對有關技術防范措施進行了分析。

　　關鍵詞：VoIP，IP通信，安全，IP電話，緊急呼叫服務

一、實現VoIP的安全是提供IP通信業務的前提

　　基于IP網絡的話音傳輸（VoIP）技術目前已經發展成為一種專門的通信技術，而不再是兩年前地方貝爾公司首席技術官所謂的科學項目（science PRoject）或原來意義上簡單的Internet應用。作為一種新的通信方式，為了和原來的稱謂有所區別，有人建議將目前的VoIP改稱為IP通信（IP communication）。VoIP的話音質量和可靠性已得到大幅度改進，并在企業網和公共網絡中廣泛應用，它融合話音和數據網絡，具有節省成本、通信靈活、支持新的特征功能、能提高生產率等優勢，這為那些試圖基于數據網提供傳統電話業務的業務提供商增加了獲得新收入的機會。隨著VoIP在最近幾個月的火爆發展，主流媒體已宣布2004年為VoIP年。但我們注意到，隨著VoIP應用承載的話音通信業務越來越多，其安全問題也逐漸暴露出來。由于IP網絡本身的開放性以及話音業務帶來的新要求，如何解決VoIP安全問題、提供運營商級的業務，已成為業務提供商面臨的一個難題。

二、VoIP安全脆弱性分析

1.IP分組網本身的脆弱性

　　VoIP安全的重要性和迫切性不容忽視，因為在分組網中更容易刺探話音信息，這比電路交換網的物理探測要容易得多。所以，雖然VoIP本身并不存在更多的、新的脆弱性，但是由于話音應用于IP網絡，從而導致其安全問題更加突出。在傳統的模擬環境中，交換機和配線室的物理接入通常需要截取雙方的通信，而如今，數據網的分組話音傳輸使得話音通信的接入和截取非常容易，尤其是在Internet上可以很容易地發現大量惡意的工具集。

IP分組通信固有的安全脆弱性包括：

·嗅探數據包的話音監聽（tapping）；

·網絡身份欺騙（falsification of network ID）；

·數據包操縱終止業務；

·用戶賬號和設備欺騙，這與接入網絡的數據庫和IP地址有關；

·破壞網絡的完整性，修改數據庫或復制設備而使得話音網絡擁堵或被控制。

　　其他安全威脅還包括終端用戶隱私權的泄漏等。新的安全挑戰包括截取、修改呼叫控制（如SIP）數據包，乃至改變數據包的目的地址和呼叫連接等。

　　IP分組網絡的性能無法達到電路交換網的水平，IP網絡安全脆弱性的存在加大了安全管理的風險。因為從風險管理的角度看，如果運營VoIP業務的數據網絡遭受災難，公司將面臨同時喪失話音和數據通信能力的風險，這樣對數據網業務的安全威脅就被延伸到兩個系統，而原來相互分離的系統，其風險相對來講要低一些。面對IP網上如此眾多的安全威脅，當運營商推出VoIP業務時，業務提供商必須適時實施針對威脅的安全和防護措施，以保證服務和相應收益得到保障。

2.VoIP安全威脅

　　許多已知的安全脆弱性會相應地影響話音通信，因此需要預防。VoIP環境中特別需要注意的安全威脅包括：

·拒絕服務（DoS）攻擊：如IP電話、VoIP網關（SIP代理）等端點可能會受到SYN或ICMP數據包的攻擊，以致通信中斷，無法正常提供業務；

·呼叫截?。╟all interception）：指話音或實時傳輸協議（RTP）數據包受到非授權的跟蹤；

·信令協議篡改（signal protocol tampering）：與呼叫截取一樣，惡意用戶可以監控和篡改建立呼叫后傳輸的數據包，修改數據流中的域，使VoIP呼叫不能使用VoIP話機，或者進行費率更高的呼叫（如國際電話），使IP-PBX認為呼叫來自另一個用戶；

·狀態竊?。╬resence theft）：假冒合法用戶收發數據；

·資費欺騙（toll fraud）：惡意用戶或入侵者撥打欺騙性電話；

·呼叫處理操作系統（call handling OS）：許多IP-PBX系統的呼叫處理軟件都是基于操作系統或操作系統組件，它們可能是不安全的，例如使用Microsoft IIS作為IP-PBX的Web配置工具就會在VoIP環境中引入顯著的安全脆弱性。

　　現有的安全威脅并不意味著運營商建設VoIP網絡和提供服務會遇到阻礙，通過實施各種安全措施可以解決這些問題。在IP網絡上實施VoIP應用，運營商需要提供不同層次的安全功能，如認證、加密、防火墻等。IETF RFC 2401定義的安全性IP（IPSec）是常用的安全協議，它提供了加密和認證功能。為了加解密，終端用戶點之間必須建立安全關聯（SA）并交換密鑰。簡單來講，可以通過以下措施來減少安全威脅：

①在技術上盡量降低網絡暴露以減少DoS攻擊；

②對于信令協議被篡改，可基于執行狀態進行判決，作為DoS進行處理；

③加密VoIP流量可以防止VoIP呼叫受到監聽，這在過去不太容易實現，但是隨著數字信號處理技術，以及兩個主要VoIP協議——SIP和H.323的迅速發展，未來VoIP可以實現端到端的加密；

④對于狀態竊取所造成的安全威脅，最好的防范措施是采用強認證，如二元認證（two-factor authentication），IP端點的強認證雖然是一種新技術，但可以很快實施；

⑤最后也是最重要的，就是呼叫處理軟件的運行平臺，如Microsoft或linux操作系統，應該確保操作系統沒有運行任何非必需的軟件，并且已經安裝了必要的安全補丁。此外，服務器、路由器的各種端口，除非必要，一般不要打開。

　　在上述各種措施的配合下，VoIP系統的安全性就可以大大加強，但是要實現運營商級的網絡安全，還須建立安全的網絡架構，在架構中綜合利用各種因素，盡量提高安全性。

三、VOIP安全的網絡架構

　　在VoIP網絡中，應該識別三類數據包：話音、信令和數據分組數據包。在有些情況下，視頻數據包也通過Internet傳輸。信令數據包用于在兩個基于非面向連接的IP網絡端點之間建立虛擬連接，如兩個IP話機，信令數據包在IP話機和呼叫服務器或代理服務器之間傳輸。虛擬連接一旦建立，就可以在兩部IP話機之間基于不同的路徑傳輸話音數據包。與話音數據包一樣，分組數據包可以來自同一個裝置或與之關聯的另一個裝置（如連接IP話機的PC），但是經由的路徑有可能不同。

1.減少因安全關聯/密鑰交換引起的延遲

　　因信令數據包、話音數據包和數據分組數據包分別經由不同的路徑，所以會各自建立不同類型的SA，每次建立SA必須交換安全密鑰信息，從而大大增加了延遲（通常是幾秒）。這在話音通信中是不可忍受的，延遲嚴重影響了呼叫的建立和話音質量。

　　對于實時的話音處理，如果在PSTN中建立（調整）信令數據包的延遲超過300ms，呼叫將被拋棄；如果建立（調整）話音數據包的延遲超過300ms，用戶會聽到長的靜音，呼叫過程中話音也會產生鳴響。因此應該盡量最小化建立信令和話音數據包間SA的延遲。

　　每部IP話機都有一個主要呼叫服務器（primary call server），理想情況是一次就建立呼叫發起IP話機和主要呼叫服務器間的SA，然而SA的生命周期很短，因此每次呼叫都要建立SA。如果SA在一次呼叫過程中過期，呼叫會被終止，需要重建連接，這時用戶將聽到靜音。

　　解決上述問題的方法是延長話音應用SA的生命周期。對于較長的呼叫，如果SA過期，主要有兩種解決方法：第一種方法是釋放呼叫、重新建立SA，用戶將被警告連接已經斷開，但這種方法并不十分理想；第二種方法是保持通話、重建SA，盡管這不符合呼叫處理流程，但對話音質量影響小，不失為解決話音質量問題的較好方案。

　　此外，數據應該能夠與另一個端點建立SA，多數場合獨立于信令和話音應用。數據包有時僅能在已經建立虛擬連接的兩個端點間傳輸。

2.減少因加密操作引起的延遲

　　實現安全傳輸最可能和可行的方法是利用虛擬專用網（VPN）或其他方法完成加密。因為一般的加密處理會增加話音數據包的延遲乃至降低整個網絡的VoIP性能，尤其是在多個加密點進行加密處理時。但如果采用合適的網絡運行結構或加密方法，就可以將延遲的影響等減弱，例如采用VPN就會使得用來加密的數據處理負荷幾乎不會影響VoIP系統的性能。此外，采用硬件加密可以將影響話音質量的風險降至最低。

　　高級加密標準（AES）加密協議要求與數據分組一樣的處理時間，這意味著延遲將加倍；運用數據加密標準（DES）加密時，延遲更大；三重數據加密標準（3DES）中，延遲時間大約是一重DES的三倍，話音加密使得延遲變得無法接受。許多話音應用選用安全的實時傳輸協議（SRTP），該協議采用AES標準，而不是IPSec。

3.合理選擇VPN和加密

　　VPN在端點和VPN服務器之間建立虛擬連接，運營商可以將IP電話作為VPN服務的一部分來提供。這時IPSec成為通用的VPN安全協議，在各種VPN模式中都可以使用。

（1）多VPN隧道模式（Multiple-VPN Pipe Model）

　　在這種模式中，每種形式的數據包均建立一個VPN，IPSec用于信令和數據的加密。話音數據包使用SRTP或IPSec加密以降低加密帶來的延遲。但這需要建立多個VPN和IP地址，而且在一次呼叫中不同VPN間需要關注同步問題，從而增加了復雜性。

（2）加密的VPN模式（VPN Model with Encryption）

　　在這種模式中，所有數據包都使用一個加密的VPN。VPN終止IPSec，VPN服務器在公司或ISP網絡中不再有安全保障。因此，一般使用SRTP加密話音，以提供端到端的安全。這意味著話音是用IPSec和SRTP這兩種方式進行加解密的。盡管這會增加延遲，但話機和VPN間的連接只需在開始時建立一次，從而降低了延遲的增加。這種模式的優點在于：最小化IP地址的數目和呼叫處理同步所需的工作，是一種較好的方法。

（3）沒有加密的VPN模式（VPN Model without Encryption）

　　在這種模式中，所有數據包流經沒有加密的VPN，在VPN隧道之外進行加密。在進入VPN隧道之前，信令和數據分組可以用IPSec加密，話音可以用SRTP加密。但VPN不再加密使安全性有所降低。

4.網絡地址翻譯和呼叫控制

　　網絡地址翻譯（NAT）協議充分利用公網IP地址，并將其映射到多個私有LAN地址，對所有呼出的呼叫，VoIP應用必須登記其RTP、UDP/TCP端口和帶有NAT單元（unit）的IP地址；對于呼入的數據包，如果不知道發起和結束的IP地址，便使用NAT單元阻擋住。因此，NAT單元的作用就像防火墻，但這對呼入的呼叫會產生一定的影響。解決方法是登記全部即插即用（uPnP）設備的IP地址、UDP/TCP端口號和RTP端口號。NAT單元檢查出人數據包的uPnP單元；UDP/TCP端口必須一直開放，以使VoIP可以接收呼入的呼叫；RTP端口僅在呼叫建立時才會生成。這使得所有VoIP應用都必須登記NAT單元，以免呼叫被阻擋。

5.其他安全措施

　　其他一些安全措施包括：分別為話音和數據組建獨立的虛擬局域網（VLAN），VLAN將VoIP與數據流分離，既可以提高QoS，又可以增加黑客嗅探或捕獲網絡數據包的復雜性；如果交換機和路由器可以避免轉發與允許的設備媒體接入控制（MAC）地址或IP地址列表不匹配的設備數據包，就會減少非授權設備和欺騙，但是這一措施對運行在PC上的軟電話不適用，因為它要允許數據網內設備的通信。利用過濾器或防火墻控制話音和數據VLAN間的流量，可以防止DoS攻擊和欺騙，過濾有不良記錄者的入侵。

四、運營商級的VoIP需提供緊急接入等必要的安全服務

　　在美國和歐盟各國，除業務提供、業務保障等安全技術的要求外，VoIP網絡的安全還包括緊急呼叫服務要求，范圍更大一些還涉及執法監聽問題、間接保障大眾安全等。由于國家政策的不同，對于后者可以不多加考慮，但如果作為運營商業務運行，對緊急呼叫服務的提供則有必要及早提出要求。

　　在技術上，IP電話支持快速、簡便的移動和改變，這一移動性也使得電話的物理跟蹤變得困難。美國VoIP業務提供商Vonage在2003年通過與提供緊急呼叫電信業務公司的合作，使得對用戶進行位置跟蹤成為可能。也就是說，基于VoIP系統提供緊急呼叫服務在技術上是可行的，但由于跨平臺的技術還沒有標準化，在多廠商環境中使用仍有欺騙的可能。

　　一些廠商已經提供了實現緊急呼叫服務的安全方案，如思科利用其位置數據庫和相應的軟件，使得該公司的IP電話能夠被跟蹤，目前要解決的關鍵問題是話機移動時如何實現數據庫的自動更新。3Com公司也在做類似的工作，北電網絡則向美國聯邦通信委員會（FCC）建議實施有關的標準。

五、結語

　　對于VoIP安全問題，目前運營商一般是基于數據業務的眾多安全協議提供VoIP服務。而且運營商還可以提供綁定VPN的VoIP服務，本身就有一定的安全保障。但是，要使VoIP滿足運營商的安全期望仍有很多挑戰，如密鑰交換、加解密和SA生命周期所帶來的延遲問題等，而且滿足實時要求的VoIP安全機制也有待提高。隨著新的安全措施的使用，VoIP安全得以保障后，運營商可以提供理想的高可靠性和高服務質量的話音服務，VoIP替代PSTN的時代終將來臨。

摘自　現代電信科技

上一篇：VoIP技術及其應用（上）

下一篇：數據業務網絡發展趨勢