VoIP安全問題和解決方案

摘要 VoIP網(wǎng)絡(luò)為個(gè)人和企業(yè)級(jí)的用戶提供廉價(jià)的語(yǔ)音服務(wù)。在實(shí)際應(yīng)用中，由于非法用戶的入侵可能給用戶造成較大的損失，所以安全問題是影響VoIP，應(yīng)用的一個(gè)重要方面。本文提出了保障VoIP安全的相關(guān)方案，并重點(diǎn)就VoIP和IPSec的結(jié)合應(yīng)用做了探討，并就實(shí)驗(yàn)結(jié)果做了初步的分析。

近年來隨著Internet技術(shù)的進(jìn)步及通信帶寬的增大，基于IP分組的Internet多媒體應(yīng)用勢(shì)頭勁猛，VoIP（Voice over Internet）則是最具前景的多媒體應(yīng)用之一，國(guó)內(nèi)各大電信運(yùn)營(yíng)商和很多行業(yè)、企業(yè)都組建了自己VoIP網(wǎng)絡(luò)。VoIP在提供價(jià)廉的通信資費(fèi)和方便快捷的通信方式時(shí)，其安全問題也逐漸引起人們的關(guān)注焦點(diǎn)。對(duì)于VoIP網(wǎng)絡(luò)，由于其基于Internet，因此具有目前IP網(wǎng)絡(luò)的一切安全問題；再者，由于VoIP的實(shí)時(shí)性、保密性的特點(diǎn)，它比其他的數(shù)據(jù)業(yè)務(wù)對(duì)安全有更高的要求。因此，VoIP安全逐漸成為VoIP發(fā)展中關(guān)注的重點(diǎn)。具體的說，VoIP安全的目標(biāo)就是要保證服務(wù)的可獲得性、會(huì)話的私密性、完整性及能夠防止服務(wù)的竊取和欺騙。

可獲得性指的是VoIP服務(wù)提供商保證所有合法用戶能夠正常使用該項(xiàng)業(yè)務(wù)。系統(tǒng)阻止蠕蟲和其他病毒的攻擊，阻止未授權(quán)的用戶使用業(yè)務(wù)。

私密性指在VoIP網(wǎng)絡(luò)中所有的數(shù)據(jù)不被竊聽和截獲，網(wǎng)絡(luò)能夠防止私人信息不被無關(guān)的人員所獲得。

完整性是指所有VoIP網(wǎng)絡(luò)功能組件都能正常工作，免收內(nèi)部或外部用戶的干擾。

1、VoIP安全問題分析

具體說來，VoIP會(huì)受下述的一些安全威脅

1.1　DOS攻擊

DOS（拒絕服務(wù)攻擊）是包括任何導(dǎo)致系統(tǒng)不能正常提供服務(wù)的攻擊。一個(gè)信令層的攻擊就是利用合理的服務(wù)器請(qǐng)求來耗盡服務(wù)器的處理能力，從而使合法用戶無法得到服務(wù)的響應(yīng)；攻擊者也可以通過發(fā)送偽造的結(jié)束信令（例如SIP協(xié)議中BYE數(shù)據(jù)包）或者ICMP端口不可達(dá)報(bào)文強(qiáng)制VoIP用戶結(jié)束會(huì)話。也可以用大量的媒體流對(duì)VoIP網(wǎng)關(guān)進(jìn)行攻擊，使得網(wǎng)關(guān)被迫丟掉一些正常連接的數(shù)據(jù)包�？梢允咕W(wǎng)關(guān)監(jiān)控每個(gè)媒體流數(shù)據(jù)包的大小和速率，當(dāng)發(fā)現(xiàn)某個(gè)連接的數(shù)據(jù)包的大小或速率不正常時(shí)就不予處理。有測(cè)試結(jié)果表明：“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過程中都存在漏洞，容易在1720端口上受到DOS的攻擊，從而導(dǎo)致系統(tǒng)的不穩(wěn)定甚至癱瘓”。

這個(gè)攻擊可以如下方式解決：服務(wù)器記錄每個(gè)特定端點(diǎn)在一定時(shí)間內(nèi)的請(qǐng)求記錄，然后和服務(wù)器的請(qǐng)求數(shù)量許可表中對(duì)比如果超過許可，就在一段時(shí)間內(nèi)不再響應(yīng)這個(gè)端點(diǎn)的請(qǐng)求。

1.2　服務(wù)竊取

一方面是竊取合法用戶身份，假冒合法用戶身份，例如通過網(wǎng)絡(luò)竊聽方式竊取使用者IP電話的登錄密碼就可以獲得使用話機(jī)的權(quán)利，這與口令的保護(hù)有關(guān)，也是基于口令的保護(hù)方法的局限性所致。另一方面是冒充合法的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行相應(yīng)的欺騙，例如通過冒充合法的網(wǎng)守，在終端沒有進(jìn)行對(duì)網(wǎng)守進(jìn)行認(rèn)證的情況下，不法分子獲得用戶的登錄口令等個(gè)人信息。

1.3　VoIP數(shù)據(jù)包的截獲與篡改

一個(gè)典型的VoIP呼叫需要信令和媒體流這兩個(gè)建立過程，根據(jù)這兩個(gè)過程可以對(duì)通話造成下面兩種威脅：

攻擊者可以截獲和修改用于建立呼叫的信令數(shù)據(jù)包，修改數(shù)據(jù)包中的一些字段，使VoIP呼叫的一些性質(zhì)發(fā)生改變。（如改變SIP數(shù)據(jù)包的REFER-TO字段，可能會(huì)使呼叫轉(zhuǎn)接失敗或者轉(zhuǎn)接到一個(gè)錯(cuò)誤的用戶，而這個(gè)用戶有可能是一個(gè)惡意用戶。）

媒體流的傳輸采用RTP/RTCP協(xié)議，話音的分組傳輸使得話音包的截取非常容易。由于協(xié)議的開放性，如果截獲任何一段連續(xù)時(shí)間的RTP報(bào)文，就可以恢復(fù)出相應(yīng)的語(yǔ)音來。如果有人在網(wǎng)絡(luò)上獲取所有RTP報(bào)文以生成相應(yīng)的語(yǔ)音，就會(huì)導(dǎo)致通話期間一些機(jī)密性的東西泄漏。

2、解決VoIP安全問題方法

我們可以根據(jù)VoIP實(shí)際應(yīng)用環(huán)境，采用多種機(jī)制和措施保障VoIP的安全。主要的方法有以下幾種。

2.1　將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)進(jìn)行隔離

將所有的IP話機(jī)放到個(gè)獨(dú)立的VLAN當(dāng)中。同時(shí)限制無關(guān)的終端進(jìn)入該網(wǎng)段。劃分VLAN是目前保護(hù)IP話音系統(tǒng)一個(gè)簡(jiǎn)單有效的方法，可以隔離病毒和簡(jiǎn)單的攻擊。同時(shí)，對(duì)VoIP的QoS進(jìn)行設(shè)定，還將有助于提高話音質(zhì)量。

2.2　對(duì)VoIP軟件運(yùn)行平臺(tái)進(jìn)行管理

對(duì)VoIP呼叫管理控制軟件的運(yùn)行平臺(tái)，如Windows或Liuux操作系統(tǒng)或者路由器上不同軟件平臺(tái)，應(yīng)該確保操作系統(tǒng)日常運(yùn)行的安全性，并且已經(jīng)安裝了最新的安全補(bǔ)丁。

2.3　將數(shù)據(jù)包進(jìn)行加密和認(rèn)證

對(duì)VoIP數(shù)據(jù)包進(jìn)行加密和認(rèn)證流量可以有效的防止通話受到監(jiān)聽。IETF RFC 2401定義的安全性IP（IPSec）是常用的安全協(xié)議，它提供了加密和認(rèn)證功能，保護(hù)分組數(shù)據(jù)包免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。為了加解密，終端用戶點(diǎn)之間必須建立安全聯(lián)盟（SA）并交換密鑰。下面簡(jiǎn)要介紹IPSec的工作原理。

2.3.1　IPSec原理介紹

IPSec由三個(gè)基本要素來保證數(shù)據(jù)包在Internet上的安全傳輸：認(rèn)證頭（AH）協(xié)議、安全加載封裝（ESP）和互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達(dá)到所希望的保護(hù)等級(jí)。

認(rèn)證協(xié)議頭是用來增加數(shù)據(jù)完整性的認(rèn)證機(jī)制，為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保修改過的數(shù)據(jù)包可以被檢查出來，通過它可以防止地址欺騙攻擊和重發(fā)攻擊。它支持的散列算法是MD5和SHA-1。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。

安全封裝載荷通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來嚴(yán)格保證傳輸信息的機(jī)密性，它支持的加密算法是DES、3DES和AES等。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。由于ESP加密所有的數(shù)據(jù)，因此需要占用系統(tǒng)更多的處理能力。

在VoIP網(wǎng)絡(luò)中，有下列兩類數(shù)據(jù)包：話音和信令分組數(shù)據(jù)包。信令數(shù)據(jù)包用于在兩個(gè)IP網(wǎng)絡(luò)端點(diǎn)之間建立、修改、中止一個(gè)會(huì)話，比如兩個(gè)IP話機(jī)之間，信令數(shù)據(jù)包呼叫端點(diǎn)和協(xié)助建立呼叫的服務(wù)器之間傳輸，比如代理服務(wù)器、重定向服務(wù)器等。會(huì)話建立以后，就可以在會(huì)話終端之間沿著不同的路徑傳輸話音數(shù)據(jù)包，這時(shí)候和普通的數(shù)據(jù)包傳輸?shù)奶匦砸粯�，不同的�?shù)據(jù)包有可能在網(wǎng)絡(luò)上經(jīng)過不同的路徑到達(dá)目的地址。

2.3.2　利用IPSec對(duì)VoIP的影響

由于信令數(shù)據(jù)包、話音數(shù)據(jù)包可能經(jīng)過不同的路徑，所以對(duì)這兩種數(shù)據(jù)包應(yīng)當(dāng)各自建立不同類型的SA（安全聯(lián)盟），而建立SA時(shí)必須交換密鑰信息，從而增加了建立呼叫所用的時(shí)間，這在話音通信中有時(shí)是不可忍受的。同傳統(tǒng)的PSTN呼叫相比，VoIP建立呼叫所用的時(shí)間比較長(zhǎng)。

在通話過程中，因?yàn)橐�不斷�?duì)大量語(yǔ)音數(shù)據(jù)包加密處理，這必然增加話音數(shù)據(jù)包的延遲，降低VoIP語(yǔ)音通話質(zhì)量。尤其是在多個(gè)會(huì)話同時(shí)進(jìn)行加解密時(shí)，對(duì)整個(gè)語(yǔ)音網(wǎng)關(guān)來說是一個(gè)很大的負(fù)擔(dān)。但如果采用合適的加解密方法，就可以將加解密帶來的影響降低到可以忍受的范圍。例如采用硬件加密（如語(yǔ)音網(wǎng)關(guān)上的加密卡）代替軟件加密也不失為一種很好的方案，可以有效的降低語(yǔ)音網(wǎng)關(guān)上CPU的利用率。

筆者曾在某公司試驗(yàn)了一下IPSec對(duì)VoIP質(zhì)量的影響，在VoIP語(yǔ)音網(wǎng)關(guān)上利用基于E-model的測(cè)量工具測(cè)出了相應(yīng)的語(yǔ)音MOS（Mean of Score/語(yǔ)音平均質(zhì)量得分）值。下面簡(jiǎn)要介紹一下VoIP的語(yǔ)音質(zhì)量評(píng)價(jià)標(biāo)準(zhǔn)。

平均主觀值MOS方法：一種主觀的語(yǔ)音質(zhì)量測(cè)量方式，由人耳來感知語(yǔ)音的好壞，在ITU-T P.800中定義。這種方法將人類接聽和感知語(yǔ)音質(zhì)量的行為量化，人的主觀感覺起主要的作用。一個(gè)平均主觀值MOS是4或更高，被認(rèn)為是比較好的語(yǔ)音質(zhì)量，而若平均主觀值MOS低于3.6，則大部分接聽者不能滿意這個(gè)語(yǔ)音質(zhì)量。但是在現(xiàn)實(shí)中，讓一組人接聽語(yǔ)音和評(píng)價(jià)語(yǔ)音的質(zhì)量實(shí)現(xiàn)起來是非常困難和昂貴的，于是有了E-model這一客觀測(cè)量的方法。

國(guó)際電聯(lián)在G.107標(biāo)準(zhǔn)提出了E-model，它能夠很好地對(duì)VoIP語(yǔ)音質(zhì)量進(jìn)行評(píng)估。E-model最終結(jié)果是R值，稱為全面的網(wǎng)絡(luò)傳輸?shù)燃?jí)要素。R值的計(jì)算從沒有網(wǎng)絡(luò)和設(shè)備的損傷影響開始，此時(shí)語(yǔ)音質(zhì)量是最好的，R=R0。R0是無網(wǎng)絡(luò)時(shí)延和設(shè)備損傷因素的基本信號(hào)與收發(fā)噪聲以及電流、背景噪聲之比，即基本信噪比。但是網(wǎng)絡(luò)中對(duì)話音質(zhì)量損傷因素的存在，R值的基本計(jì)算公式如下：

R=Ro-Is-Id-Ie+A

其中，Is：語(yǔ)音信號(hào)傳輸同步的損傷；Id：語(yǔ)音信號(hào)傳輸延時(shí)的損傷；Ie：由設(shè)備引入的損傷；A：優(yōu)勢(shì)因素，大部分情況置為0。通過相關(guān)測(cè)量工具得到相應(yīng)的R值，然后利用R值和平均主觀值MOS之間的映射關(guān)系，就可以得到相關(guān)的MOS值。

在測(cè)試中，采用IPSec Tunnle方式。為評(píng)估不同的加密算法對(duì)語(yǔ)音質(zhì)量的影響，分別用AES和3DES兩種算法，且兩種算法的密鑰長(zhǎng)度相同。測(cè)量的結(jié)果顯示，在VoIP未加IPSec時(shí)候得到的MOS值可以達(dá)到4.3，但是相同的網(wǎng)絡(luò)環(huán)境下配置了IPSec，使用AES和3DES兩種算法時(shí)，MOS值分別為4.1和4.0左右。

關(guān)于這個(gè)結(jié)果，筆者認(rèn)為有兩個(gè)原因：由于ESP頭部加到語(yǔ)音包中，導(dǎo)致在網(wǎng)絡(luò)中傳輸?shù)陌�長(zhǎng)度增加，導(dǎo)致了Ie系數(shù)的增加；而由于每個(gè)語(yǔ)音包都要加解密，增加了語(yǔ)音延遲，導(dǎo)致了Id系數(shù)的增加。這樣我們?cè)诂F(xiàn)實(shí)中就得采取某種折衷：根據(jù)安全需要采用耗時(shí)最少的加密算法以帶來語(yǔ)音質(zhì)量的提升。除了語(yǔ)音質(zhì)量外，實(shí)施IPSec對(duì)VoIP造成的另外一個(gè)影響是導(dǎo)致最大呼叫路數(shù)的降低。在試驗(yàn)的語(yǔ)音網(wǎng)關(guān)上，加了IPSec后能呼起的路數(shù)大概只是原來的2/3左右。這一點(diǎn)很容易理解：因?yàn)榫W(wǎng)關(guān)的處理能力有限，不足以同時(shí)處理加了IPSec的最大呼叫量。

3、結(jié)語(yǔ)

由于IP分組網(wǎng)本身和VoIP特有的安全脆弱性，VoIP安全問題對(duì)于VoIP應(yīng)用來說至關(guān)重要。本文提出了保證VoIP安全的相關(guān)措施，就其中的一些措施給出了實(shí)際測(cè)量，顯示了在保證安全的同時(shí)，有時(shí)我們必須要犧牲一些相關(guān)的性能。相信隨著技術(shù)的不斷發(fā)展，VoIP在網(wǎng)絡(luò)上進(jìn)行語(yǔ)音傳輸?shù)陌踩�性問題將會(huì)得到很好的解決。

來源：中國(guó)聯(lián)通網(wǎng)站