实现宽带电话服务的安全
由于宽带电话受到IP网络和VoIP安全两方面的攻击威胁,所以宽带电话的安全应该从保障IP网络安全和VoIP安全两方面进行防范。
1.保障IP分组网的安全
IP网络是实现宽带电话的基础,要保障宽带电话的安全,首先应该保障宽带网络的安全。这方面的防护措施主要包括以下内容:
·防火墙:防火墙在两个网络之间执行访问控制策略,可以是软件或硬件设备。
·入侵检测和防护:在网络中不同端点安装和实施,以监测系统、网络运行状况和流量,在故障出现之前尽快采取防护和补救措施,将损失降至最低。
·反病毒软件:可以在网元设备和终端上分别安装和实施。
·加密:对于内容敏感的通信,进行加密。
·调制解调器安全:调制解调器会存储配置和验证信息,要保护这些信息;对于电缆调制解调器连接,要确定服务供应商将网络和设备采用了基于线缆数据传输服务接口标准(DOCSIS),以提高连接安全性。
·内容检查:Java、JavaScript、ActiveX 等互动技术是宽带内容站点和E-mail的重要组成部分,同时也是黑客攻击的潜在媒体,在浏览器和E-mail中尽量禁止这些功能。
·操作系统安全。
IP网络安全是各个网络层次上安全措施和内容的综合,一旦一个端点出现漏洞,就会延续到整个IP网络,因此综合、全面实施各种安全措施至关重要。
2.保障宽带电话安全
在技术上,宽带电话作为话音技术的一种实现方式,必须保障安全和隐私,因为使用IP技术,并不意味着它只能或可以是不安全的。新服务的实现,不应该以降低服务质量和安全为代价。宽带电话的安全应该解决以下几方面的技术问题:
·保证带宽等网络资源,带宽是实现较高质量宽带电话的基础和优势所在。
· 减少因安全关联(SA)/密钥交换、加密操作引起的延迟,减少对话音质量的影响。
·合理选择VPN和加密,平衡安全性和质量。
·选择合适的多VPN隧道模式,如加密的VPN模式和没有加密的VPN模式。
·网络地址翻译和呼叫控制,减少操作时间给话音质量带来的影响。
·其它安全措施:包括采用强认证方式,如二元认证,公共密钥基础设施(PKI)、SIP和H.323协议中也嵌套了安全功能,包括地址认证; 保证呼叫处理软件运行平台的安全,如Microsoft或Linux操作系统,应该确保操作系统没有运行任何非必需软件的重要性,并且已安装必要的安全补丁,服务器、路由器的各个端口,除非必要,一般不要打开。
结论
在IP网络上实施宽带电话的安全功能,运营商需要在不同的网络层次实施各种安全措施,如认证、加密、防火墙等。消除所有的安全威胁是不可能的,但可以采取几个简洁步骤,如:尽量降低网络暴露,以减少拒绝服务(DoS)攻击;对于信令协议篡改,可基于执行状态进行判决;加密VoIP流量可以防止 VoIP呼叫受到监听,未来VoIP可以实现端到端的加密。
此外,实现宽带电话安全,不仅可以从技术方面采取措施,也可以依靠管制政策来获得帮助。但是,由于IP网络跨越国界,很难在全球范围内实现一致的管制,就易实现程度和可行性而言,应该致力于提高技术方面的安全性,而不是游说外部管制部门。但是,因为安全问题的重要性,ITU已经在考虑有关的IP 电话安全问题,这方面举措也值得关注和研究。
