随着 IP 语音(VoIP)技术在全球电信市场的不断普及,对服务供应商、设备制造商以及最终用户而言,性能
改善、成本降低以及功能支持使 VoIP 成为一种极富吸引力的事物。由于人们对 VoIP 的兴趣日益增加,语音通信的安全性有可能发展成为 VoIP 解决方案的一项关键要求。基于分组的通信对安全风险尤其脆弱,这些风险包括:数据包监听语音“窃听”、伪造网络 ID 的未付费服务使用以及操纵数据包造成的服务中断等。尽管已经包含了安全特性的VoIP实施尚为数不多,但我们目前已将几种标准纳入了考虑范围之内。 为什么要讨论 VoIP 的安全性? 既然PSTN(公共交换电话网络)语音呼叫通常都不安全,那么 VoIP 呼叫真的还有必要
具备安全性吗?答案有两重。
首先,IP 网络的分组性质使其比 PSTN 更易受到安全威胁。就当前为数据网络提供服务的技术而言,在数据包网络上刺探语音信息比物理刺探电路交换网络要更为容易。此外,就当前社会政治条件提出的新型安全顾虑而言,在我们的语音网络中集成安全特性对服务供应商和最终用户都有利。 从服务供应商的角度看,实施安全保障措施可避免各种破坏性行为,这些行为可能导致盗窃服务以及损失大笔收入等。通过访问网络数据库及 IP 地址,可以获得伪造的服务注册,无需付费就可使用服务,或者其费用会转嫁到另一实际客户头上。此外,电话终端设备的实施和配置可能会使其好像有效的终端设备的克隆一样,能够在不为人知的情况下免费而有效地访问服务。如果网络黑客能够成功访问网络设备、修改数据库或复制设备的话,那么他们就会成为威胁,导致语音网络的关闭或“拥堵”,并控制语音网络。最后,诸如会话启动协议(SIP)、H.323 以及媒体网关控制协议(MGCP)等分组网络协议可通过访问数据包进行操纵,从而修改协议信息,导致数据包目的地或呼叫连接的变化。 其他安全威胁会对最终用户构成隐私威胁。黑客只需通过简单的分组网络“窃听”,就能“听到”语音载体通道,或“看到”呼叫设置(信令)信息,从而
获取详细的呼叫信息。如果用户的个人信息、行为及习惯被提取用于非法途径或破坏性行为,那么这就会导致个人信息被盗或名誉受损。终端电话设备克隆经过配置,通过上述网络协议操纵伪装成其他无辜用户,或“窃听”正在进行的语音和相关信号传送流量用于脱机分析,就能实现上述目的。 尽管上述安全威胁切实存在,但这并不意味着 VoIP 部署是完全脆弱的。我们可实施各种安全特性以解决上述难题。 互联网安全组件 安全的 VoIP 可利用大部分目前数据通信已
有的安全性组件。当前互联网安全基础设施的关键功能之一就是传输数据的完整性。该组件既保证两实体之间的消息不被破坏,又确保接收方进行确认。与此类似的组件是对不可否认性的支持,即排斥数字签名消息(通过安全钥匙),从而避免收费。互联网安全的保密度可确保只有消息的接收方和传输方才能看到该消息的内容。安全组件集(security element suite)的认证功能可保证网络用户只有在身份得到满意确认后才能访问特定的网络。 根据最终用户或服务供应商对安全关心的程度不同,可要求多种不同级别的安全特性。一个共有特性就是语音有效负载自身的加密。另一安全级别则要求建立电话呼叫的信令消息必须加密。 IP 安全工具包与相关标准 加密/解密算法及其相关密钥是解决消息机密性的常用工具。加密算法有很多种,算法中还有各种模式,密钥实施类型也各不相同,这就使可能的实施配置数目繁多。先进的加密标准 AES和三重数据加密标准(3DES)是两种常见的加密方案。消息摘译是使用密钥创建消息认证码(MAC)并提取预编码信息进行消息完整性及认证的算法。消息摘译5(MD5)和安全散列算法1(SHA-1)是两种用于认证的常见算法。公共密钥交换和密钥分配(如用于上述加密和认证方案)对
整体安全系统至关重要。ITUx.509 标准定义了获得密钥数字签名的格式,这就为密钥认证提供了权限。 IETF 通过 IP 安全协议(IPsec)来解决互联网数据应用的安全性问题。该协议层的目的在于提供密码安全服务,可通过协议栈中立即运行于 IP 层之上的网络层安全性灵活地支持认证、完整性、访问控制和机密性的结合。IPSec 为传输控制协议(TCP)或Unigram数据协议(UDP)层及以上提供了安全性,它包括两个子协议:IPsec 封装安全有效负载(ESP)与IPsec认证报头(AH)。ESP 是上述二种协议中更常见的一个,它通过保证任何跟随在分组报头之后内容的安全性实现了认证、完整性、回放保护(replay protection)和机密性。AH 可实现认证、完整性和回放保护,但不具机密性。 除使用 UDP 之外,VoIP解决方案通常采用实时协议(RTP)传输电话有效负载,采用实时控制协议(RTCP)用于消息控制。安全RTP(SRTP)是当前IETF的一项草案,为 RTP 提供了安全配置文件(security profile),向数据包添加了机密性、消息认证及分组回放保护,专门解决了互联网上的电话技术应用问题。SRTP 的目的在于只保证 RTP 和 RTCP 流的安全性,而不提供完全的网络安全架构。SRTP 使用RTP/RTCP报头信息与 AES 算法,得到代数方法上适用于 RTP/RTCP 有效负载的密钥流。SRTP 可调用基于散列的消息认证码(HMAC)——将可 SHA1 算法用于认证功能。 早期实施——PacketCable 尽管目前大部分 VoIP 部署的安全特性仍然为数不多,采用也不广泛,但 VoCable 市场部分还是有一定的安全实施的。有线电视服务供应商一直以来都担心其基于有线线路的服务会有安全性与盗用问题。因此,上述供应商在进入语音市场过程中积极推广安全特性,这并不足为奇。 PacketCable 规范集是 CableLabs 计划的一部分,其中包括完整的安全语音通信规范,其要求:1)载体通道信息、RTP 与 RTCP 分组(语音、电话数据)加密和认证,(AES)和MMH分别是用于RTP的标准,AES与SHA1或MD5用于RTCP;2)电话信令信息的机密性和消息的完整性,该功能由IPSec ESP 传输模式支持,
其实施 ESP_3DES 和 ESP_Null 作为加密算法(在信令有效负载上执行,而非在报头上)。IPSec ESP_AES 是信令的可选算法。SHA1 用于认证;3)带有PKINIT的Kerberos用于创建 IPSec 安全关联,并在 PacketCable 呼叫管理服务器与电话终点或媒体终端适配器之间分配密钥。 VoIP 企业可从 PacketCable CableLabs 已完成的测试和认证进程工作中大大受益。举例而言,最初由 PacketCable 指定的语音有效负载加密算法是 RC4 算法。
但是,RC4 编码方案包含 RTP 有效负载加密,而且我们发现,如果数据包丢失的话,关键性端到端的定时信息将无法恢复。因此,我们就选择了 AES 分组算法(仅用来加密负载)来替代RC4。 尽管在某些方面 VoIP 比传统基于 TDM 的解决方案更易受到安全问题的干扰,但实际上在 VoIP 系统中实施并部署安全特性要更为简单。安全通信会成为 VoIP 系统相对于传统的 PSTN 通信而言所提供的一种增值特性。支持安全的 IP 语音通信所必需的基础设施建设进展顺利。随着 IETF 中的安全 RTP 工作不断发展,相关机密性和认证实施也将开始渗透 VoIP 市场。(责任编辑:zhaohb) 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文:VoIP应用中的安全性挑战 返回网络安全首页
VoIP应用中的安全性挑战
时间: 2024-09-28 19:25:21
VoIP应用中的安全性挑战的相关文章
工信部的信息名址在市场推广中面临的挑战与对策
1.从公安部的"12110"到工信部的"12114" 今年一月份有则新闻引起了我的注意,中国公安部目前已与相关部门确定了将"12110"作为全国公安机关统一的公益性短信报警号码,通过短信报警将成为新的社会治安方式,这是中国移动政务实施的一个具体措施.这让我联想到了中国工信部推出的"12114信息名址服务".作为正在快速崛起的"第五媒体"前端应用以及移动营销的重要组成部分,12114信息名址正在发挥越来越出色
趣店:从0到1,数据高安全性挑战下的上云实践
本文正在参加"最佳上云实践"评选,来给我们投票吧:https://yq.aliyun.com/activity/158(编号59) 先简单介绍下趣店集团的基本业务情况,趣店集团是2014年3月份成立的,前身是趣分期,在2016年趣分期正式升级为趣店集团.趣店集团目前整体业务分为两大部分:来分期和趣店,提供现金和实物分期这两种服务.总体而言,趣店集团属于消费金融行业. 云平台的选择 趣店集团的产品从一开始就是构建在云上的,其实在刚开始上云的时候,趣店的确调研了很多的云服务提供商,最终选择
五步应对云计算PaaS安全性挑战
当谈及安全性和云计算模型时,平台即服务(PaaS)有着它自己特殊的挑战.与其他的云计算模型不同,PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的.这个问题很复杂,因为众多公司都使用"进驻式"基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如,一旦应用程序代码发布生产,使用WAF以缓解所发现的跨网站脚本程序或其他前端问题).由于缺乏对PaaS中底层基础设施的控制,这一战略在PaaS部署应用中变得不具实际操作性. 考虑到PaaS与控制相关的灵
微软张亚勤:中国云实践中的四大挑战与应对策略
当数据越来越多,软件越来越复杂.终端越来越多样.计算量越来越大,云计算应运而生,这是对于行业来说是趋势,更是一种挑战. 据统计,到2015 年就将有250 亿台联网的设备,包括智能电表.智能汽车.智能建筑.智能电视.平板电脑.智能手机.移动健康监测设备和传统PC.因此, 产业必须依靠云计算才能发展下去. 政府有规划.企业在行动,民众则多有议论,云计算,已经熟知的未知的人们都在提及这个词汇.近日,微软公司全球资深副总裁.微软亚太研发集团主席张亚勤也提笔书写了中国云实践中的几个挑战与应对措施,我们不
Ajax在进行web开发中的安全性分析
在进行web开发中ajax的安全性如何呢?现在浏览器允许用户提高他们的安全等级,关闭 JavaScript 技术,禁用浏览器中的任何选项.在这种情况下,代码无论如何都不会工作.此时必须适当地处理问题,这需要单独的一篇文章来讨论,要放到以后了(这个系列够长了吧?不用担心,读完之前也许您就掌握了).现在要编写一段健壮但不够完美的代码,对于掌握 Ajax 来说就很好了.以后我们还将讨论更多的细节. Ajax 世界中的请求/响应 现在我们介绍了 Ajax,对XMLHttpRequest对象以及如何创建它
应对数据中心灵活性的挑战
今天的数据中心好比是一台复杂的"机器",帮助企业在数字经济发展中飞速前行. 事实上,拥有数据中心的政府.企业.公司依赖于数据中心的在线不间断的运行为各自发展带来效益.那么,万一运行运行处出现故障时,会怎样? 业务突然中断会因此造成多少损失? 最重要的是,数据中心生态系统的灵活性会如何? Ponemon Institute(一家研究所)最近发布一份最新的"数据中心停机成本"研究成果.曾经在2010年和2013年也发布过,这回发布的结果主要是继续分析数据中心意外中断的造
如何提升BYOD企业环境中的安全性
对于大多数人来说,移动设备及私人设备已成为生活甚至身体的延伸.大多数人随时随地携带智能手机.当我们找不到他们的时候,我们会感到很失落. 基本上,我们都始终启用并连接到互联网上.随时随地连接的概念不仅进入了个人生活中,也进入了工作生活中. 由于提升员工工作效率的原因,自带设备(BYOD)政策已经变得很普及也模糊了私人生活和工作生活的界限.员工将他们的私人设备用于工作相关活动以及正常工作时间内外通信交流已成为新常态. 那么为什么这么多人都第一时间地赶上BYOD的浪潮? 提升工作效率.随时随地登录并回
在虚拟基础架构中实现安全性、负载平衡和Anti-collocation规则
在本文中,我们查看设置一个具有高可用性 (HA) 和负载平衡的环境的最常见用例: 负载平衡使您能够将http://www.aliyun.com/zixun/aggregation/13999.html">工作负载分散在多个实例上,从而提高吞吐量和实现冗余. 用例:跨两个运行 Apache HTTP Server 或 IBM HTTP Server 的 Web 服务器的负载平衡.您可以使用自己的 Web 服务器对来自应用服务器的数据执行负载平衡和缓存.注意:不仅可以对 HTTP 执行负载平衡
php中一些安全性防止问题建义
PHP包括其他任何网络编程语言的安全性,具体表现在本地安全性和远程安全性两个方面,这里我们应该养成如下的几个习惯确保我们的PHP程序本身是安全的. 1. 验证用户输入的任何数据,保证PHP代码的安全 这里有一个技巧就是使用白名单,所谓白名单就是说:我们要求用户的数据应该是这样的,例如我们要求用户的输入是一个数字,我们就只检验这个值是否是一个数字就行了,而不必检验他到底是什么--其实他有可能是个恶意脚本. 对于这个检验我们不能只在客户端的javascript进行,战地认为JS只是为了提高来访用户的