水表厂家
免费服务热线

Free service

hotline

010-00000000
水表厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

看一看专家评析:VoIP应用中的安全性挑战

发布时间:2021-11-18 15:21:11 阅读: 来源:水表厂家

随着 IP 语音(VoIP)技术在全球电信市场的不断普及,对服务供应商、设备制造商和终究用户而言,性能改进、本钱降落和功能支持使VoIP 成为1种极富吸引力的事物。由于人们对 VoIP 的兴趣日益增加,语音通讯的安全性有可能发展成为 VoIP解决方案的1项关键要求。基于分组的通讯对安全风险特别脆弱,这些风险包括:数据包监听语音“窃听”、捏造网络 ID的未付费服务使用和操纵数据包酿成的服务中断等。虽然已包括了安全特性的VoIP实行尚为数不多,但我们目前已将几种标准纳入了考虑范围之内。 为什么要讨论 VoIP 的安全性? 既然PSTN(公共交换电话网络)语音呼唤通常都不安全,那么 VoIP 呼唤真的还有必要具有安全性吗?答案有两重。首先,IP网络的分组性质使其比 PSTN 更容易遭到安全威胁。就当前为数据网络提供服务的技术而言,在数据包网络上刺探语音信息比物理刺探电路交换网络要更加容易。另外,就当前社会政治条件提出的新型安全顾虑而言,在我们的语音网络中集成安全特性对服务供应商和终究用户都有益。 从服务供应商的角度看,实行安全保障措施可避免各种破坏性行动,这些行动可能导致偷窃服务和损失大笔收入等。通过访问网络数据库及IP 地址,可以获得捏造的服务注册,无需付费即可使用服务,或其费用会转嫁到另外1实际客户头上。另外,电话终端设备的实行和配置可能会使其好像有效的终端设备的克隆1样,能够在不为人知的情况下免费而有效地访问服务。如果网络黑客能够成功访问网络设备、修改数据库或复制设备的话,那么他们就会成为威胁,导致语音网络的关闭或“拥堵”,并控制语音网络。最后,诸如会话启动协议(SIP)、H.323和媒体网关控制协议(MGCP)等分组网络协议可通过访问数据包进行操纵,从而修改协议信息,导致数据包目的地或呼唤连接的变化。 其他安全威胁会对终究用户构成隐私威胁。黑客只需通过简单的分组网络“窃听”拆迁补偿给产权人还是居住人,就能够“听到”语音载体通道,或“看到”呼唤设置(信令)信息,从而取得详细的呼唤信息。如果用户的个人信息、行动及习惯被提取用于非法途径或破坏性行动,那么这就会导致个人信息被盗或名誉受损。终端电话设备克隆经过配置,通过上述网络协议操纵伪装成其他无辜用户,或“窃听”正在进行的语音和相干信号传送流量用于脱机分析,就能够实现上述目的。 虽然上述安全威胁切实存在,但这其实不意味着 VoIP 部署是完全脆弱的。我们可实行各种安全特性以解决上述困难。 互联网安全组件 安全的 VoIP 可利用大部分目前数据通讯已有的安全性组件。当前互联网安全基础设施的关键功能之1就是传输数据的完全性。该组件既保证两实体之间的消息不被破坏,又确保接收方进行确认。与此类似的组件是对不可否认性的支持,即排挤数字签名消息(通过安全钥匙),从而避免收费。互联网安全的保密度可确保只有消息的接收方和传输方才能看到该消息的内容。安全组件集(security element suite)的认证功能可保证网络用户只有在身份得到满意确认后才能访问特定的网络。 根据终究用户或服务供应商对安全关心的程度不同,可要求多种不同级别的安全特性。1个共有特性就是语音有效负载本身的加密。另外1安全级别则要求建立电话呼唤的信令消息必须加密。 IP 安全工具包与相干标准 加密/解密算法及其相干密钥是解决消息机密性的常常使用工具。加密算法有很多种,算法中还有各种模式,密钥实行类型也各不相同,这就使可能的实行配置数目繁多。先进的加密标准AES和3重数据加密标准(3DES)是两种常见的加密方案。消息摘译是使用密钥创建消息认证码(MAC)并提取预编码信息进行消息完全性及认证的算法。消息摘译5(MD5)和安全散列算法1(SHA⑴)是两种用于认证的常见算法。公共密钥交换和密钥分配(如用于上述加密和认证方案)对整体安全系统相当重要。ITUx.509 标准定义了获得密钥数字签名的格式,这就为密钥认证提供了权限。 IETF 通过 IP 安全协议(IPsec)来解决互联网数据利用的安全性问题。该协议层的目的在于提供密码安全服务,可通过协议栈中立即运行于 IP 层之上的网络层安全性灵活地支持认证、完全性、访问控制和机密性的结合。IPSec 为传输控制协议(TCP)或Unigram数据协议(UDP)层及以上提供了安全性,它包括两个子协议:IPsec 封装安全有效负载(ESP)与IPsec认证报头(AH)。ESP 是上述2种协议中更常见的1个,它通过保证任何跟随在分组报头以后内容的安全性实现了认证、完全性、回放保护(replay protection)和机密性。AH 可实现认证、完全性和回放保护,但不具机密性。 除使用 UDP 之外,VoIP解决方案通常采取实时协议(RTP)传输电话有效负载,采取实时控制协议(RTCP)用于消息控制。安全RTP(SRTP)是当前IETF的1项草案,为RTP 提供了安全配置文件(security profile),向数据包添加了机密性、消息认证及分组回放保护拆迁居住房怎么补偿,专门解决了互联网上的电话技术利用问题。SRTP 的目的在于只保证 RTP 和 RTCP 流的安全性,而不提供完全的网络安全架构。SRTP 使用RTP/RTCP报头信息与AES 算法,得到代数方法上适用于 RTP/RTCP 有效负载的密钥流。SRTP 可调用基于散列的消息认证码(HMAC)——将可 SHA1 算法用于认证功能。 早期实行——PacketCable 虽然目前大部分 VoIP 部署的安全特性仍然为数不多,采取也不广泛,但 VoCable 市场部分还是有1定的安全实行的。有线电视服务供应商1直以来都担心其基于有线线路的服务会有安全性与盗用问题。因此,上述供应商在进入语音市场进程中积极推行安全特性,这其实不足为奇。 PacketCable 规范集是 CableLabs 计划的1部分,其中包括完全的安全语音通讯规范,其要求:1)载体通道信息、RTP 与 RTCP 分组(语音、电话数据)加密和认证,(AES)和MMH分别是用于RTP的标准,AES与SHA1或MD5用于RTCP;2)电话信令信息的机密性和消息的完全性,该功能由IPSec ESP 传输模式支持,其实行 ESP_3DES 和 ESP_Null 作为加密算法(在信令有效负载上实行,而非在报头上)。IPSec ESP_AES 是信令的可选算法。SHA1 用于认证;3)带有PKINIT的Kerberos用于创建 IPSec 安全关联,并在 PacketCable 呼唤管理服务器与电话终点或媒体终端适配器之间分配密钥。 VoIP 企业可从 PacketCable CableLabs 已完成的测试和认证进程工作中大大受益。举例而言,最初由PacketCable 指定的语音有效负载加密算法是 RC4 算法。但是,RC4 编码方案包括 RTP 有效负载加密,而且我们发现,如果数据包丢失的话,关键性端到真个定时信息将没法恢复。因此,我们就选择了 AES分组算法(仅用来加密负载)来替换RC4。 虽然在某些方面 VoIP 比传统基于 TDM 的解决方案更容易遭到安全问题的干扰,但实际上在 VoIP 系统中实行并部署安全特性要更加简单。安全通讯会成为 VoIP 系统相对传统的 PSTN 通讯而言所提供的1种增值特性。支持安全的 IP 语音通讯所必须的基础设施建设进展顺利。随着 IETF 中的安全 RTP 工作不断发展,相干机密性和认证实行也将开始渗透 VoIP 市场。(end)资讯分类行业动态帮助文档展会专题报道5金人物商家文章