VoIP要过安全关
2005/02/23
VoIP因低成本语音应用需求而生,并在近几年得到广泛应用。据有关报告显示,VoIP的应用先锋——美国到2007年IP电话将增至700万部。业界为此欢欣鼓舞,因为这预示着VoIP应用将走向“良性发展”道路。
然而另一方面,VoIP发展也面临着诸多挑战:首先,语音质量难以达到传统PBX的水平;其次是互操作问题;再就是IP呼叫中日益突出的安全问题。尽管现代商务是以“数据处理”为中心,但仍然少不了语音通信。要构建理想的客户伙伴关系,企业就得注重商务通信安全,其中就包括敏感的语音信息交流。
VoIP基于数据网络实现,因而面对着与传统数据通信同样的安全问题,如通过地址欺骗获取IP电话号码以及DoS攻击,后者在TCP/IP会话连接阶段最容易发生。配置防火墙能解决这类问题,但对以“探测器”工具方式进行的有针对性的攻击却难以凑效。探测器软件能轻易将IP电话转换为声音文件,然后在普通语音播放器中回放。企业要应对这类安全问题,只有对语音通信进行加密。方案之一是透过VPN隧道实现,或采用AES(或DES)对VoIP呼叫中的信号和流媒体部分同时进行加密处理;第二种方案是采用安全实时协议(SRTP),对VoIP呼叫中的流媒体部分加密。
然而VoIP应用面对的问题不仅限于此。VoIP通信中,语音包被提交加密,然后遍历所有防火墙,这会引发时延。在数据通信中,传输速率降低、瞬时中断甚至是数据丢失对整个通信造成的影响可能并不明显,但对语音通信,这类QoS就至关重要了。时延有可能引发语音中断,严重影响通话质量。因此安全的语音呼叫需要全方位考量配置,以保证前述的加密方案实现。但更要注重通信管理以保证服务质量。
在保证安全的前提下进行通信管理,核心是解决NAT设备及防火墙的通信遍历问题。NAT通过IP地址转换进程,实现输入/输出通信安全,同时还可限定请求,或对请求进行匹配认证。因而企业在配置VoIP基础架构时,必须考虑NAT及防火墙遍历问题,这可通过集成应用级网关(ALG)实现,或采用STUN(Cisco提供的串口隧道技术)实现简单的UDP通信NAT遍历。
赛迪网 中国信息化(industry.ccidnet.com)
相关链接: