- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
如何更好地解决VoWLAN的安全性问题?
图2:VoMAN应用一般需要使用至少4个级别的安全机制,包括配置、信令、语音、数据。
请谨记,试图完全采用硬件来实现安全机制常常并非最佳方案,最好是利用硬件加速器来加速关键任务的处理。当新的标准出现时,这些新标准需要时间来开发稳定性和不同设备间的稳健的互操作性。比如,尽管基本加密标准一般都趋于稳定,但信号发送和数据交换标准本身是不断变动的。比如新兴的安全实时协议(SRTP)对客户端设备(CPE)的语音有效载荷进行加密,和用于会话初始协议(SIP)之下的TLS(传输层安全性)标准,以防。开发人员不断扩展这些标准的适用性,故其能力必须具有灵活性。因此,对于只需要极少的灵活性的加密可采用硬件实现以提供最大的性能。对于密钥生成等任务可以利用硬件加速来实现SRTP和TLS,但总体处理堆栈的实现仍然需要具备相当的灵活性。
现在,制造商正在努力实现产品差异化,以在价格不变的情况下提供最好的功能补充,从而提高竞争力。这些功能中有许多是软件实现的,比如提供丰富的图形用户接口或利用宽带编解码器实现多方会议。用硬件来加速加密等安全性算法可以释放更多的处理器周期,这样一来,制造商不仅能够提供更安全的解决方案,还可通过应用软件实现产品差异化。
IP网络中的可靠性
基于不同加密数据或信令交换机制的安全性机制,虽然可抵御大量潜在的攻击,但却不足以完好地保护VoIP连接的可靠性。由于VoIP在通过WAN时继承了IP网络的不安全性,用户暴露在拒绝服务(DoS)等各种攻击之下,这些攻击以数据包的形式进行泛洪式(flooding)扩散或传递畸形帧。语音通信需要一致而可靠的带宽,任何这种针对VoIP终端电话发动的攻击都可能破坏连接。
传统上,可利用防火墙保护LAN免受来自WAN的恶意侵入,以减少DoS攻击。在企业级VoIP部署中,这种防火墙可保护VoIP用户免遭外部威胁,但VoIP设备仍然很容易受到防火墙之后的网络内部的攻击。假设网络接入限于合法人员,且没有心怀不满的员工企图破坏网络,一位开发软件或安装网络设备的可靠员工也可能无意发出一个DoS攻击。
另外,一个带病毒入网的用户也可能造成整个VoIP系统的崩溃。IP网络的安全漏洞还影响到一些重要的应用,比如旅店里安装的公共VoIP系统。使用IP电话的旅客虽然受保护免遭外界攻击,但如果在设备级别上没有适当的保护措施的话,他仍易遭到旅店内部其它旅客的攻击。而且,中小型企业(SMB)LAN和基于住宅的LAN(VoIP部署的关键市场),一般都缺乏足够的防火墙能力。
对IP电话的DoS攻击的含意是相当直接简单的。电话可能受到大量信息包的泛洪,以致不能进行呼叫。另一方面,也许这种攻击只是导致呼叫质量的下降。不管哪一种情况,不抵御DoS攻击都可能对终端用户的电话呼叫功能造成严重影响。
过去,有多种抵御DoS攻击的方法。第一种是利用防火墙,这种方法可以保护IP电话免受外部攻击,但无法防止源自防火墙内部的攻击。另一种权宜之计是采用更大的带宽,被动等待攻击结束。考虑到IP电话的实时要求,这种策略的风险最大。当然,最后一道防线是让IP电话自身尽力保持呼叫质量,同时让应用处理器设法过滤掉这些恶意的信息包。但根据攻击的持续时间和严重程度不同,IP电话的应用处理器可能因处理这些信息包陷入危机,造成呼叫质量下降,甚至完全中断。
为了成功承受来自IP网络的攻击,必须在数据包到达电话应用处理器之前抵御DoS攻击,并改为在IP电话的嵌入式交换机中处理。在交换机中引入静态包过滤功能可以把过滤处理的主要负担从软件转卸到硬件。静态包过滤器扫描(无性能影响),并检测进入的数据包,判断是否重复或有可疑意图。然后从有效VoIP呼叫的关键路径上清除可疑的数据包。这样一来,就可确保可疑数据包不会淹没主处理器,并避免其影响到那些对延时敏感的包。
利用可编程过滤配置实现静态包过滤器可确保设备能不断更新以抵御新的网络风险。应用处理器通过一个API对过滤器进行更新,然后再利用过滤器把更新信息广播给各器件。此外,相比一般依赖路由器和交换机的情况,在VoIP电话中实现过滤可使网络更新速度快很多,故而进一步提高了可靠性。根据网络更新进度表的不同,一个只依赖路由器执行过滤的网络可能有数月时间受到攻击。而更新VoIP电话要容易得多,因此也能够根据需要频繁进行,从而减少网络的安全漏洞。
VoWAN有望为VoIP带来更高级别的成本效益,而安全机制是让运营商和用户相信他们的隐私性、身份和服务收费权力受到保护的基本要素。不过,对WAN上的VoIP实现方案而言,依赖全软件实现的VoIP安全功能并非良策,其所需的多级安全机制会迅速压垮通用应用处理器。通过采用灵活的硬件加速器,在配置、信令、语音处理和过滤等各个级别上,可更有效地实现内核安全功能,从而降低了总体延时,改善了服务音质,同时又保留了适应标准变化和不断升级的网络威胁的能力。
作者:Brent Lorenz
通信基础设施与语音业务部IP电话产品经理
德州仪器公司
如何成为一名优秀的射频工程师,敬请关注: 射频工程师养成培训
上一篇:WCDMA 基站的综合测试解决方案
下一篇:解决几个主要设计难题的思路探讨