實(shí)現(xiàn)運(yùn)營(yíng)商級(jí)的VoIP安全

張 杰 信息產(chǎn)業(yè)部電信研究院通信信息研究所工程師

　　摘 要：隨著VoIP技術(shù)的日漸成熟及其應(yīng)用的普及，VoIP安全問(wèn)題迫切需要得到解決，而這也是運(yùn)營(yíng)商開(kāi)展業(yè)務(wù)的前提。VoIP安全可以分為業(yè)務(wù)的正常提供、業(yè)務(wù)內(nèi)容的保密、呼叫者身份確認(rèn)和系統(tǒng)安全，以及國(guó)內(nèi)涉及不多但在國(guó)外已經(jīng)很受重視的緊急呼叫服務(wù)的提供問(wèn)題等。指出VoIP目前存在的安全威脅，對(duì)有關(guān)技術(shù)防范措施進(jìn)行了分析。

　　關(guān)鍵詞：VoIP，IP通信，安全，IP電話，緊急呼叫服務(wù)

一、實(shí)現(xiàn)VoIP的安全是提供IP通信業(yè)務(wù)的前提

　　基于IP網(wǎng)絡(luò)的話音傳輸（VoIP）技術(shù)目前已經(jīng)發(fā)展成為一種專門(mén)的通信技術(shù)，而不再是兩年前地方貝爾公司首席技術(shù)官所謂的科學(xué)項(xiàng)目（science project）或原來(lái)意義上簡(jiǎn)單的Internet應(yīng)用。作為一種新的通信方式，為了和原來(lái)的稱謂有所區(qū)別，有人建議將目前的VoIP改稱為IP通信（IP communication）。VoIP的話音質(zhì)量和可靠性已得到大幅度改進(jìn)，并在企業(yè)網(wǎng)和公共網(wǎng)絡(luò)中廣泛應(yīng)用，它融合話音和數(shù)據(jù)網(wǎng)絡(luò)，具有節(jié)省成本、通信靈活、支持新的特征功能、能提高生產(chǎn)率等優(yōu)勢(shì)，這為那些試圖基于數(shù)據(jù)網(wǎng)提供傳統(tǒng)電話業(yè)務(wù)的業(yè)務(wù)提供商增加了獲得新收入的機(jī)會(huì)。隨著VoIP在最近幾個(gè)月的火爆發(fā)展，主流媒體已宣布2004年為VoIP年。但我們注意到，隨著VoIP應(yīng)用承載的話音通信業(yè)務(wù)越來(lái)越多，其安全問(wèn)題也逐漸暴露出來(lái)。由于IP網(wǎng)絡(luò)本身的開(kāi)放性以及話音業(yè)務(wù)帶來(lái)的新要求，如何解決VoIP安全問(wèn)題、提供運(yùn)營(yíng)商級(jí)的業(yè)務(wù)，已成為業(yè)務(wù)提供商面臨的一個(gè)難題。

二、VoIP安全脆弱性分析

1.IP分組網(wǎng)本身的脆弱性

　　VoIP安全的重要性和迫切性不容忽視，因?yàn)樵诜纸M網(wǎng)中更容易刺探話音信息，這比電路交換網(wǎng)的物理探測(cè)要容易得多。所以，雖然VoIP本身并不存在更多的、新的脆弱性，但是由于話音應(yīng)用于IP網(wǎng)絡(luò)，從而導(dǎo)致其安全問(wèn)題更加突出。在傳統(tǒng)的模擬環(huán)境中，交換機(jī)

和配線室的物理接入通常需要截取雙方的通信，而如今，數(shù)據(jù)網(wǎng)的分組話音傳輸使得話音通信的接入和截取非常容易，尤其是在Inter

net上可以很容易地發(fā)現(xiàn)大量惡意的工具集。

IP分組通信固有的安全脆弱性包括：

·嗅探數(shù)據(jù)包的話音監(jiān)聽(tīng)（tapping）；

·網(wǎng)絡(luò)身份欺騙（falsification of network ID）；

·數(shù)據(jù)包操縱終止業(yè)務(wù)；

·用戶賬號(hào)和設(shè)備欺騙，這與接入網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)和IP地址有關(guān)；

·破壞網(wǎng)絡(luò)的完整性，修改數(shù)據(jù)庫(kù)或復(fù)制設(shè)備而使得話音網(wǎng)絡(luò)擁堵或被控制。

　　其他安全威脅還包括終端用戶隱私權(quán)的泄漏等。新的安全挑戰(zhàn)包括截取、修改呼叫控制（如SIP）數(shù)據(jù)包，乃至改變數(shù)據(jù)包的目的地址和呼叫連接等。

　　IP分組網(wǎng)絡(luò)的性能無(wú)法達(dá)到電路交換網(wǎng)的水平，IP網(wǎng)絡(luò)安全脆弱性的存在加大了安全管理的風(fēng)險(xiǎn)。因?yàn)閺娘L(fēng)險(xiǎn)管理的角度看，如果運(yùn)營(yíng)VoIP業(yè)務(wù)的數(shù)據(jù)網(wǎng)絡(luò)遭受災(zāi)難，公司將面臨同時(shí)喪失話音和數(shù)據(jù)通信能力的風(fēng)險(xiǎn)，這樣對(duì)數(shù)據(jù)網(wǎng)業(yè)務(wù)的安全威脅就被延伸到兩個(gè)系統(tǒng)，而原來(lái)相互分離的系統(tǒng)，其風(fēng)險(xiǎn)相對(duì)來(lái)講要低一些。面對(duì)IP網(wǎng)上如此眾多的安全威脅，當(dāng)運(yùn)營(yíng)商推出VoIP業(yè)務(wù)時(shí)，業(yè)務(wù)提供商必須適時(shí)實(shí)施針對(duì)威脅的安全和防護(hù)措施，以保證服務(wù)和相應(yīng)收益得到保障。

2.VoIP安全威脅

　　許多已知的安全脆弱性會(huì)相應(yīng)地影響話音通信，因此需要預(yù)防。VoIP環(huán)境中特別需要注意的安全威脅包括：

·拒絕服務(wù)（DoS）攻擊：如IP電話、VoIP網(wǎng)關(guān)（SIP代理）等端點(diǎn)可能會(huì)受到SYN或ICMP數(shù)據(jù)包的攻擊，以致通信中斷，無(wú)法正常提供業(yè)務(wù)；

·呼叫截�。╟all interception）：指話音或?qū)崟r(shí)傳輸協(xié)議（RTP）數(shù)據(jù)包受到非授權(quán)的跟蹤；

·信令協(xié)議篡改（signal protocol tampering）：與呼叫截取一樣，惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據(jù)包，修改數(shù)據(jù)流中的域，使VoIP呼叫不能使用VoIP話機(jī)，或者進(jìn)行費(fèi)率更高的呼叫（如國(guó)際電話），使IP-PBX認(rèn)為呼叫來(lái)自另一個(gè)用戶；

·狀態(tài)竊�。╬resence theft）：假冒合法用戶收發(fā)數(shù)據(jù)；

·資費(fèi)欺騙（toll fraud）：惡意用戶或入侵者撥打欺騙性電話；

·呼叫處理操作系統(tǒng)（call handling OS）：許多IP-PBX系統(tǒng)的呼叫處理軟件都是基于操作系統(tǒng)或操作系統(tǒng)組件，它們可能是不安全的，例如使用Microsoft IIS作為IP-PBX的Web配置工具就會(huì)在VoIP環(huán)境中引入顯著的安全脆弱性。

　　現(xiàn)有的安全威脅并不意味著運(yùn)營(yíng)商建設(shè)VoIP網(wǎng)絡(luò)和提供服務(wù)會(huì)遇到阻礙，通過(guò)實(shí)施各種安全措施可以解決這些問(wèn)題。在IP網(wǎng)絡(luò)上實(shí)施VoIP應(yīng)用，運(yùn)營(yíng)商需要提供不同層次的安全功能，如認(rèn)證、加密、防火墻等。IETF RFC 2401定義的安全性IP（IPSec）是常用的安全協(xié)議，它提供了加密和認(rèn)證功能。為了加解密，終端用戶點(diǎn)之間必須建立安全關(guān)聯(lián)（SA）并交換密鑰。簡(jiǎn)單來(lái)講，可以通過(guò)以下措施來(lái)減少安全威脅：

①在技術(shù)上盡量降低網(wǎng)絡(luò)暴露以減少DoS攻擊；

②對(duì)于信令協(xié)議被篡改，可基于執(zhí)行狀態(tài)進(jìn)行判決，作為DoS進(jìn)行處理；

③加密VoIP流量可以防止VoIP呼叫受到監(jiān)聽(tīng)，這在過(guò)去不太容易實(shí)現(xiàn)，但是隨著數(shù)字信號(hào)處理技術(shù)，以及兩個(gè)主要VoIP協(xié)議——SIP和H.323的迅速發(fā)展，未來(lái)VoIP可以實(shí)現(xiàn)端到端的加密；

④對(duì)于狀態(tài)竊取所造成的安全威脅，最好的防范措施是采用強(qiáng)認(rèn)證，如二元認(rèn)證（two-factor authentication），IP端點(diǎn)的強(qiáng)認(rèn)證雖然是一種新技術(shù)，但可以很快實(shí)施；

⑤最后也是最重要的，就是呼叫處理軟件的運(yùn)行平臺(tái)，如Microsoft或Linux操作系統(tǒng)，應(yīng)該確保操作系統(tǒng)沒(méi)有運(yùn)行任何非必需的軟件，并且已經(jīng)安裝了必要的安全補(bǔ)丁。此外，服務(wù)器、路由器的各種端口，除非必要，一般不要打開(kāi)。

　　在上述各種措施的配合下，VoIP系統(tǒng)的安全性就可以大大加強(qiáng)，但是要實(shí)現(xiàn)運(yùn)營(yíng)商級(jí)的網(wǎng)絡(luò)安全，還須建立安全的網(wǎng)絡(luò)架構(gòu)，在架構(gòu)中綜合利用各種因素，盡量提高安全性。

三、VOIP安全的網(wǎng)絡(luò)架構(gòu)

　　在VoIP網(wǎng)絡(luò)中，應(yīng)該識(shí)別三類數(shù)據(jù)包：話音、信令和數(shù)據(jù)分組數(shù)據(jù)包。在有些情況下，視頻數(shù)據(jù)包也通過(guò)Internet傳輸。信令數(shù)據(jù)包用于在兩個(gè)基于非面向連接的IP網(wǎng)絡(luò)端點(diǎn)之間建立虛擬連接，如兩個(gè)IP話機(jī)，信令數(shù)據(jù)包在IP話機(jī)和呼叫服務(wù)器或代理服務(wù)器之間傳輸。虛擬連接一旦建立，就可以在兩部IP話機(jī)之間基于不同的路徑傳輸話音數(shù)據(jù)包。與話音數(shù)據(jù)包一樣，分組數(shù)據(jù)包可以來(lái)自同一個(gè)裝置或與之關(guān)聯(lián)的另一個(gè)裝置（如連接IP話機(jī)的PC），但是經(jīng)由的路徑有可能不同。

1.減少因安全關(guān)聯(lián)/密鑰交換引起的延遲

　　因信令數(shù)據(jù)包、話音數(shù)據(jù)包和數(shù)據(jù)分組數(shù)據(jù)包分別經(jīng)由不同的路徑，所以會(huì)各自建立不同類型的SA，每次建立SA必須交換安全密鑰信息，從而大大增加了延遲（通常是幾秒）。這在話音通信中是不可忍受的，延遲嚴(yán)重影響了呼叫的建立和話音質(zhì)量。

　　對(duì)于實(shí)時(shí)的話音處理，如果在PSTN中建立（調(diào)整）信令數(shù)據(jù)包的延遲超過(guò)300ms，呼叫將被拋棄；如果建立（調(diào)整）話音數(shù)據(jù)包的延遲超過(guò)300ms，用戶會(huì)聽(tīng)到長(zhǎng)的靜音，呼叫過(guò)程中話音也會(huì)產(chǎn)生鳴響。因此應(yīng)該盡量最小化建立信令和話音數(shù)據(jù)包間SA的延遲。

　　每部IP話機(jī)都有一個(gè)主要呼叫服務(wù)器（primary call server），理想情況是一次就建立呼叫發(fā)起IP話機(jī)和主要呼叫服務(wù)器間的SA，然而SA的生命周期很短，因此每次呼叫都要建立SA。如果SA在一次呼叫過(guò)程中過(guò)期，呼叫會(huì)被終止，需要重建連接，這時(shí)用戶將聽(tīng)到靜音。

　　解決上述問(wèn)題的方法是延長(zhǎng)話音應(yīng)用SA的生命周期。對(duì)于較長(zhǎng)的呼叫，如果SA過(guò)期，主要有兩種解決方法：第一種方法是釋放呼叫、重新建立SA，用戶將被警告連接已經(jīng)斷開(kāi)，但這種方法并不十分理想；第二種方法是保持通話、重建SA，盡管這不符合呼叫處理流程，但對(duì)話音質(zhì)量影響小，不失為解決話音質(zhì)量問(wèn)題的較好方案。

　　此外，數(shù)據(jù)應(yīng)該能夠與另一個(gè)端點(diǎn)建立SA，多數(shù)場(chǎng)合獨(dú)立于信令和話音應(yīng)用。數(shù)據(jù)包有時(shí)僅能在已經(jīng)建立虛擬連接的兩個(gè)端點(diǎn)間傳輸。

2.減少因加密操作引起的延遲

　　實(shí)現(xiàn)安全傳輸最可能和可行的方法是利用虛擬專用網(wǎng)（VPN）或其他方法完成加密。因?yàn)橐话愕募用芴幚頃?huì)增加話音數(shù)據(jù)包的延遲乃至降低整個(gè)網(wǎng)絡(luò)的VoIP性能，尤其是在多個(gè)加密點(diǎn)進(jìn)行加密處理時(shí)。但如果采用合適的網(wǎng)絡(luò)運(yùn)行結(jié)構(gòu)或加密方法，就可以將延遲的影響等減弱，例如采用VPN就會(huì)使得用來(lái)加密的數(shù)據(jù)處理負(fù)荷幾乎不會(huì)影響VoIP系統(tǒng)的性能。此外，采用硬件加密可以將影響話音質(zhì)量的風(fēng)險(xiǎn)降至最低。

　　高級(jí)加密標(biāo)準(zhǔn)（AES）加密協(xié)議要求與數(shù)據(jù)分組一樣的處理時(shí)間，這意味著延遲將加倍；運(yùn)用數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）加密時(shí)，延遲更大；三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（3DES）中，延遲時(shí)間大約是一重DES的三倍，話音加密使得延遲變得無(wú)法接受。許多話音應(yīng)用選用安全的實(shí)時(shí)傳輸協(xié)議（SRTP），該協(xié)議采用AES標(biāo)準(zhǔn)，而不是IPSec。

3.合理選擇VPN和加密

　　VPN在端點(diǎn)和VPN服務(wù)器之間建立虛擬連接，運(yùn)營(yíng)商可以將IP電話作為VPN服務(wù)的一部分來(lái)提供。這時(shí)IPSec成為通用的VPN安全協(xié)議，在各種VPN模式中都可以使用。

（1）多VPN隧道模式（Multiple-VPN Pipe Model）

　　在這種模式中，每種形式的數(shù)據(jù)包均建立一個(gè)VPN，IPSec用于信令和數(shù)據(jù)的加密。話音數(shù)據(jù)包使用SRTP或IPSec加密以降低加密帶來(lái)的延遲。但這需要建立多個(gè)VPN和IP地址，而且在一次呼叫中不同VPN間需要關(guān)注同步問(wèn)題，從而增加了復(fù)雜性。

（2）加密的VPN模式（VPN Model with Encryption）

　　在這種模式中，所有數(shù)據(jù)包都使用一個(gè)加密的VPN。VPN終止IPSec，VPN服務(wù)器在公司或ISP網(wǎng)絡(luò)中不再有安全保障。因此，一般使用SRTP加密話音，以提供端到端的安全。這意味著話音是用IPSec和SRTP這兩種方式進(jìn)行加解密的。盡管這會(huì)增加延遲，但話機(jī)和VPN間的連接只需在開(kāi)始時(shí)建立一次，從而降低了延遲的增加。這種模式的優(yōu)點(diǎn)在于：最小化IP地址的數(shù)目和呼叫處理同步所需的工作，是一種較好的方法。

（3）沒(méi)有加密的VPN模式（VPN Model without Encryption）

　　在這種模式中，所有數(shù)據(jù)包流經(jīng)沒(méi)有加密的VPN，在VPN隧道之外進(jìn)行加密。在進(jìn)入VPN隧道之前，信令和數(shù)據(jù)分組可以用IPSec加密，話音可以用SRTP加密。但VPN不再加密使安全性有所降低。

4.網(wǎng)絡(luò)地址翻譯和呼叫控制

　　網(wǎng)絡(luò)地址翻譯（NAT）協(xié)議充分利用公網(wǎng)IP地址，并將其映射到多個(gè)私有LAN地址，對(duì)所有呼出的呼叫，VoIP應(yīng)用必須登記其RTP、UDP/TCP端口和帶有NAT單元（unit）的IP地址；對(duì)于呼入的數(shù)據(jù)包，如果不知道發(fā)起和結(jié)束的IP地址，便使用NAT單元阻擋住。因此，NAT單元的作用就像防火墻，但這對(duì)呼入的呼叫會(huì)產(chǎn)生一定的影響。解決方法是登記全部即插即用（uPnP）設(shè)備的IP地址、UDP/TCP端口號(hào)和RTP端口號(hào)。NAT單元檢查出人數(shù)據(jù)包的uPnP單元；UDP/TCP端口必須一直開(kāi)放，以使VoIP可以接收呼入的呼叫；RTP端口僅在呼叫建立時(shí)才會(huì)生成。這使得所有VoIP應(yīng)用都必須登記NAT單元，以免呼叫被阻擋。

5.其他安全措施

　　其他一些安全措施包括：分別為話音和數(shù)據(jù)組建獨(dú)立的虛擬局域網(wǎng)（VLAN），VLAN將VoIP與數(shù)據(jù)流分離，既可以提高QoS，又可以增加黑客嗅探或捕獲網(wǎng)絡(luò)數(shù)據(jù)包的復(fù)雜性；如果交換機(jī)和路由器可以避免轉(zhuǎn)發(fā)與允許的設(shè)備媒體接入控制（MAC）地址或IP地址列表不匹配的設(shè)備數(shù)據(jù)包，就會(huì)減少非授權(quán)設(shè)備和欺騙，但是這一措施對(duì)運(yùn)行在PC上的軟電話不適用，因?yàn)樗�要允許數(shù)據(jù)網(wǎng)內(nèi)設(shè)備的通信。利用過(guò)濾器或防火墻控制話音和數(shù)據(jù)VLAN間的流量，可以防止DoS攻擊和欺騙，過(guò)濾有不良記錄者的入侵。

四、運(yùn)營(yíng)商級(jí)的VoIP需提供緊急接入等必要的安全服務(wù)

　　在美國(guó)和歐盟各國(guó)，除業(yè)務(wù)提供、業(yè)務(wù)保障等安全技術(shù)的要求外，VoIP網(wǎng)絡(luò)的安全還包括緊急呼叫服務(wù)要求，范圍更大一些還涉及執(zhí)法監(jiān)聽(tīng)問(wèn)題、間接保障大眾安全等。由于國(guó)家政策的不同，對(duì)于后者可以不多加考慮，但如果作為運(yùn)營(yíng)商業(yè)務(wù)運(yùn)行，對(duì)緊急呼叫服務(wù)的提供則有必要及早提出要求。

　　在技術(shù)上，IP電話支持快速、簡(jiǎn)便的移動(dòng)和改變，這一移動(dòng)性也使得電話的物理跟蹤變得困難。美國(guó)VoIP業(yè)務(wù)提供商Vonage在2003年通過(guò)與提供緊急呼叫電信業(yè)務(wù)公司的合作，使得對(duì)用戶進(jìn)行位置跟蹤成為可能。也就是說(shuō)，基于VoIP系統(tǒng)提供緊急呼叫服務(wù)在技術(shù)上是可行的，但由于跨平臺(tái)的技術(shù)還沒(méi)有標(biāo)準(zhǔn)化，在多廠商環(huán)境中使用仍有欺騙的可能。

　　一些廠商已經(jīng)提供了實(shí)現(xiàn)緊急呼叫服務(wù)的安全方案，如思科利用其位置數(shù)據(jù)庫(kù)和相應(yīng)的軟件，使得該公司的IP電話能夠被跟蹤，目前要解決的關(guān)鍵問(wèn)題是話機(jī)移動(dòng)時(shí)如何實(shí)現(xiàn)數(shù)據(jù)庫(kù)的自動(dòng)更新。3Com公司也在做類似的工作，北電網(wǎng)絡(luò)則向美國(guó)聯(lián)邦通信委員會(huì)（FCC）建議實(shí)施有關(guān)的標(biāo)準(zhǔn)。

五、結(jié) 語(yǔ)

　　對(duì)于VoIP安全問(wèn)題，目前運(yùn)營(yíng)商一般是基于數(shù)據(jù)業(yè)務(wù)的眾多安全協(xié)議提供VoIP服務(wù)。而且運(yùn)營(yíng)商還可以提供綁定VPN的VoIP服務(wù)，本身就有一定的安全保障。但是，要使VoIP滿足運(yùn)營(yíng)商的安全期望仍有很多挑戰(zhàn)，如密鑰交換、加解密和SA生命周期所帶來(lái)的延遲問(wèn)題等，而且滿足實(shí)時(shí)要求的VoIP安全機(jī)制也有待提高。隨著新的安全措施的使用，VoIP安全得以保障后，運(yùn)營(yíng)商可以提供理想的高可靠性和高服務(wù)質(zhì)量的話音服務(wù)，VoIP替代PSTN的時(shí)代終將來(lái)臨。

摘自　現(xiàn)代電信科技