1.减少因安全关联/密钥交换引起的延迟
　　因信令数据包、话音数据包和数据分组数据包分别经由不同的路径，所以会各自建立不同类型的SA，每次建立SA必须交换安全密钥信息，从而大大增加了延迟(通常是几秒)。这在话音通信中是不可忍受的，延迟严重影响了呼叫的建立和话音质量。

　　对于实时的话音处理，如果在PSTN中建立(调整)信令数据包的延迟超过300ms，呼叫将被抛弃；如果建立(调整)话音数据包的延迟超过300ms，用户会听到长的静音，呼叫过程中话音也会产生鸣响。因此应该尽量最小化建立信令和话音数据包间SA的延迟。

　　每部IP话机都有一个主要呼叫服务器(primary call server)，理想情况是一次就建立呼叫发起IP话机和主要呼叫服务器间的SA，然而SA的生命周期很短，因此每次呼叫都要建立SA。如果SA在一次呼叫过程中过期，呼叫会被终止，需要重建连接，这时用户将听到静音。

　　解决上述问题的方法是延长话音应用SA的生命周期。对于较长的呼叫，如果SA过期，主要有两种解决方法：第一种方法是释放呼叫、重新建立SA，用户将被警告连接已经断开，但这种方法并不十分理想；第二种方法是保持通话、重建SA，尽管这不符合呼叫处理流程，但对话音质量影响小，不失为解决话音质量问题的较好方案。

　　此外，数据应该能够与另一个端点建立SA，多数场合独立于信令和话音应用。数据包有时仅能在已经建立虚拟连接的两个端点间传输。

　　2.减少因加密操作引起的延迟

　　实现安全传输最可能和可行的方法是利用虚拟专用网(VPN)或其他方法完成加密。因为一般的加密处理会增加话音数据包的延迟乃至降低整个网络的VoIP性能，尤其是在多个加密点进行加密处理时。但如果采用合适的网络运行结构或加密方法，就可以将延迟的影响等减弱，例如采用VPN就会使得用来加密的数据处理负荷几乎不会影响VoIP系统的性能。此外，采用硬件加密可以将影响话音质量的风险降至最低。

　　高级加密标准(AES)加密协议要求与数据分组一样的处理时间，这意味着延迟将加倍；运用数据加密标准(DES)加密时，延迟更大；三重数据加密标准(3DES)中，延迟时间大约是一重DES的三倍，话音加密使得延迟变得无法接受。许多话音应用选用安全的实时传输协议(SRTP)，该协议采用AES标准，而不是IPSec。

　　3.合理选择VPN和加密

　　VPN在端点和VPN服务器之间建立虚拟连接，运营商可以将IP电话作为VPN服务的一部分来提供。这时IPSec成为通用的VPN安全协议，在各种VPN模式中都可以使用。

　　(1)多VPN隧道模式(Multiple-VPN Pipe Model)

　　在这种模式中，每种形式的数据包均建立一个VPN，IPSec用于信令和数据的加密。话音数据包使用SRTP或IPSec加密以降低加密带来的延迟。但这需要建立多个VPN和IP地址，而且在一次呼叫中不同VPN间需要关注同步问题，从而增加了复杂性。

　　(2)加密的VPN模式(VPN Model with Encryption)

　　在这种模式中，所有数据包都使用一个加密的VPN。VPN终止IPSec，VPN服务器在公司或ISP网络中不再有安全保障。因此，一般使用SRTP加密话音，以提供端到端的安全。这意味着话音是用IPSec和SRTP这两种方式进行加解密的。尽管这会增加延迟，但话机和VPN间的连接只需在开始时建立一次，从而降低了延迟的增加。这种模式的优点在于：最小化IP地址的数目和呼叫处理同步所需的工作，是一种较好的方法。

　　(3)没有加密的VPN模式(VPN Model without Encryption)

　　在这种模式中，所有数据包流经没有加密的VPN，在VPN隧道之外进行加密。在进入VPN隧道之前，信令和数据分组可以用IPSec加密，话音可以用SRTP加密。但VPN不再加密使安全性有所降低。

　　4.网络地址翻译和呼叫控制

　　网络地址翻译(NAT)协议充分利用公网IP地址，并将其映射到多个私有LAN地址，对所有呼出的呼叫，VoIP应用必须登记其RTP、UDP/TCP端口和带有NAT单元(unit)的IP地址；对于呼入的数据包，如果不知道发起和结束的IP地址，便使用NAT单元阻挡住。因此，NAT单元的作用就像防火墙，但这对呼入的呼叫会产生一定的影响。解决方法是登记全部即插即用(uPnP)设备的IP地址、UDP/TCP端口号和RTP端口号。NAT单元检查出人数据包的uPnP单元；UDP/TCP端口必须一直开放，以使VoIP可以接收呼入的呼叫；RTP端口仅在呼叫建立时才会生成。这使得所有VoIP应用都必须登记NAT单元，以免呼叫被阻挡。

　　5.其他安全措施

　　其他一些安全措施包括：分别为话音和数据组建独立的虚拟局域网(VLAN)，VLAN将VoIP与数据流分离，既可以提高QoS，又可以增加黑客嗅探或捕获网络数据包的复杂性；如果交换机和路由器可以避免转发与允许的设备媒体接入控制(MAC)地址或IP地址列表不匹配的设备数据包，就会减少非授权设备和欺骗，但是这一措施对运行在PC上的软电话不适用，因为它要允许数据网内设备的通信。利用过滤器或防火墙控制话音和数据VLAN间的流量，可以防止DoS攻击和欺骗，过滤有不良记录者的入侵。

　　四、运营商级的VoIP需提供紧急接入等必要的安全服务

　　在美国和欧盟各国，除业务提供、业务保障等安全技术的要求外，VoIP网络的安全还包括紧急呼叫服务要求，范围更大一些还涉及执法监听问题、间接保障大众安全等。由于国家政策的不同，对于后者可以不多加考虑，但如果作为运营商业务运行，对紧急呼叫服务的提供则有必要及早提出要求。

　　在技术上，IP电话支持快速、简便的移动和改变，这一移动性也使得电话的物理跟踪变得困难。美国VoIP业务提供商Vonage在2003年通过与提供紧急呼叫电信业务公司的合作，使得对用户进行位置跟踪成为可能。也就是说，基于VoIP系统提供紧急呼叫服务在技术上是可行的，但由于跨平台的技术还没有标准化，在多厂商环境中使用仍有欺骗的可能。

　　一些厂商已经提供了实现紧急呼叫服务的安全方案，如思科利用其位置数据库和相应的软件，使得该公司的IP电话能够被跟踪，目前要解决的关键问题是话机移动时如何实现数据库的自动更新。3Com公司也在做类似的工作，北电网络则向美国联邦通信委员会(FCC)建议实施有关的标准。

　　五、结 语

　　对于VoIP安全问题，目前运营商一般是基于数据业务的众多安全协议提供VoIP服务。而且运营商还可以提供绑定VPN的VoIP服务，本身就有一定的安全保障。但是，要使VoIP满足运营商的安全期望仍有很多挑战，如密钥交换、加解密和SA生命周期所带来的延迟问题等，而且满足实时要求的VoIP安全机制也有待提高。随着新的安全措施的使用，VoIP安全得以保障后，运营商可以提供理想的高可靠性和高服务质量的话音服务，VoIP替代PSTN的时代终将来临。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们