VoIP應用中的安全性挑戰(zhàn)

　　加密/解密算法及其相關密鑰是解決消息機密性的常用工具。加密算法有很多種，算法中還有各種模式，密鑰實施類型也各不相同，這就使可能的實施配置數(shù)目繁多。先進的加密標準 AES和三重數(shù)據(jù)加密標準(3DES)是兩種常見的加密方案。消息摘譯是使用密鑰創(chuàng)建消息認證碼(MAC)并提取預編碼信息進行消息完整性及認證的算法。消息摘譯5(MD5)和安全散列算法1(SHA-1)是兩種用于認證的常見算法。公共密鑰交換和密鑰分配(如用于上述加密和認證方案)對整體安全系統(tǒng)至關重要。ITUx.509 標準定義了獲得密鑰數(shù)字簽名的格式，這就為密鑰認證提供了權限。

　　IETF 通過 IP 安全協(xié)議(IPsec)來解決互聯(lián)網(wǎng)數(shù)據(jù)應用的安全性問題。該協(xié)議層的目的在于提供密碼安全服務，可通過協(xié)議棧中立即運行于 IP 層之上的網(wǎng)絡層安全性靈活地支持認證、完整性、訪問控制和機密性的結合。IPSec 為傳輸控制協(xié)議(TCP)或Unigram數(shù)據(jù)協(xié)議(UDP)層及以上提供了安全性，它包括兩個子協(xié)議：IPsec 封裝安全有效負載(ESP)與IPsec認證報頭(AH)。ESP 是上述二種協(xié)議中更常見的一個，它通過保證任何跟隨在分組報頭之后內(nèi)容的安全性實現(xiàn)了認證、完整性、回放保護(replay protection)和機密性。AH 可實現(xiàn)認證、完整性和回放保護，但不具機密性。

　　除使用 UDP 之外，VoIP解決方案通常采用實時協(xié)議(RTP)傳輸電話有效負載，采用實時控制協(xié)議(RTCP)用于消息控制。安全RTP(SRTP)是當前IETF的一項草案，為 RTP 提供了安全配置文件(security profile)，向數(shù)據(jù)包添加了機密性、消息認證及分組回放保護，專門解決了互聯(lián)網(wǎng)上的電話技術應用問題。SRTP 的目的在于只保證 RTP 和 RTCP 流的安全性，而不提供完全的網(wǎng)絡安全架構。SRTP 使用RTP/RTCP報頭信息與 AES 算法，得到代數(shù)方法上適用于 RTP/RTCP 有效負載的密鑰流。SRTP 可調(diào)用基于散列的消息認證碼(HMAC)——將可 SHA1 算法用于認證功能。

　　早期實施——PacketCable

　　盡管目前大部分 VoIP 部署的安全特性仍然為數(shù)不多，采用也不廣泛，但 VoCable 市場部分還是有一定的安全實施的。有線電視服務供應商一直以來都擔心其基于有線線路的服務會有安全性與盜用問題。因此，上述供應商在進入語音市場過程中積極推廣安全特性，這并不足為奇。

　　PacketCable 規(guī)范集是 CableLabs 計劃的一部分，其中包括完整的安全語音通信規(guī)范，其要求：1）載體通道信息、RTP 與 RTCP 分組(語音、電話數(shù)據(jù))加密和認證，(AES)和MMH分別是用于RTP的標準，AES與SHA1或MD5用于RTCP；2）電話信令信息的機密性和消息的完整性，該功能由IPSec ESP 傳輸模式支持，其實施 ESP_3DES 和 ESP_Null 作為加密算法(在信令有效負載上執(zhí)行，而非在報頭上)。IPSec ESP_AES 是信令的可選算法。SHA1 用于認證；3）帶有PKINIT的Kerberos用于創(chuàng)建 IPSec 安全關聯(lián)，并在 PacketCable 呼叫管理服務器與電話終點或媒體終端適配器之間分配密鑰。

　　VoIP 企業(yè)可從 PacketCable CableLabs 已完成的測試和認證進程工作中大大受益。舉例而言，最初由 PacketCable 指定的語音有效負載加密算法是 RC4 算法。但是，RC4 編碼方案包含 RTP 有效負載加密，而且我們發(fā)現(xiàn)，如果數(shù)據(jù)包丟失的話，關鍵性端到端的定時信息將無法恢復。因此，我們就選擇了 AES 分組算法(僅用來加密負載)來替代RC4。

　　盡管在某些方面 VoIP 比傳統(tǒng)基于 TDM 的解決方案更易受到安全問題的干擾，但實際上在 VoIP 系統(tǒng)中實施并部署安全特性要更為簡單。安全通信會成為 VoIP 系統(tǒng)相對于傳統(tǒng)的 PSTN 通信而言所提供的一種增值特性。支持安全的 IP 語音通信所必需的基礎設施建設進展順利。隨著 IETF 中的安全 RTP 工作不斷發(fā)展，相關機密性和認證實施也將開始滲透 VoIP 市場。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)