首頁 >> 新聞

IP電話安全戰(zhàn)

陳蔚 2004/07/27

  用戶在從傳統(tǒng)語音向IP電話系統(tǒng)遷移過程中,應該注意到融合網(wǎng)絡平臺存在著的安全性問題,在進行產(chǎn)品選型、系統(tǒng)設計時均充分考慮到IP網(wǎng)絡平臺的安全威脅,并對此進行全面的優(yōu)化設計。下面將對IP電話安全架構(gòu)的具體實現(xiàn)進行詳細的說明。


圖1 IP電話安全架構(gòu)示意圖

IP語音服務器采用強化的操作系統(tǒng)

  IP電話的語音服務器是整個系統(tǒng)運作的核心,而操作系統(tǒng)又是語音服務器的基礎平臺,因此采用一個經(jīng)過安全強化設計的操作系統(tǒng),將盡可能減少網(wǎng)絡上病毒和黑客對IP語音運行的影響,比如盡可能采用網(wǎng)絡病毒和黑客對其攻擊相對較少的操作系統(tǒng);僅僅運行必要的服務和應用;具有一定的入侵檢測功能,可以很好的監(jiān)控系統(tǒng)和配置的變化,并會產(chǎn)生相應的告警;通過內(nèi)嵌級防火墻提供對運行在服務器上相應服務增強的安全性接入。

安全的管理配置

  IP電話系統(tǒng)的各個組成部分通過以下方式進行安全的管理:

語音服務器和語音網(wǎng)關之間控制信令加密

  通過將IP電話語音服務器和語音網(wǎng)關之間的控制信令傳輸網(wǎng)絡和普通數(shù)據(jù)網(wǎng)絡在物理或邏輯上進行隔離,將盡可能少的接口暴露在相對不安全的開放網(wǎng)絡平臺上,從而減少網(wǎng)絡中越來越多的DoS攻擊和網(wǎng)絡病毒對系統(tǒng)的影響。

  而如果控制語音服務器和語音網(wǎng)關的控制信令與普通的數(shù)據(jù)應用運行在一個開放平臺上,應該通過相應的加密認證機制,對控制信令傳輸?shù)乃矫苄浴?shù)據(jù)完整性等進行保護。

DoS攻擊保護

  IP電話的各個組成部分從語音服務器、語音網(wǎng)關到IP電話都能夠?qū)oS攻擊具有相應的保護功能:
通過VLAN實現(xiàn)IP語音和普通數(shù)據(jù)邏輯隔離

  目前各個廠商的系列IP話機均提供2個以太網(wǎng)端口,一個連接網(wǎng)絡交換機,一個可以連接用戶PC,與網(wǎng)絡交換機連接端口支持802.1Q/p,可以實現(xiàn)IP語音和用戶PC劃歸不同的VLAN,而且IP語音包會帶上第二層和第三層的優(yōu)先級標記,可以和客戶具有QoS支持的數(shù)據(jù)網(wǎng)絡平臺結(jié)合,提高IP話音質(zhì)量。


圖2 用VLAN保護語音安全

RTP媒體流加密

  IP電話系統(tǒng)的語音服務器、語音網(wǎng)關以及IP終端通過支持對RTP語音媒體流進行加密傳輸實現(xiàn)IP語音交換的私密性保護。語音服務器、語音網(wǎng)關以及IP終端在IP語音呼叫信令建立過程中,會對媒體加密進行協(xié)商,如果決定對一個呼叫進行加密,它們之間會交換加密的相關關鍵參數(shù),比如使用什么加密算法,使用什么加密密鑰。

RTP媒體流加密在以下設備之間實施:

  目前一些對安全比較重視的IP語音設備廠商已經(jīng)部分和全部實現(xiàn)上述功能。

呼叫控制軟件的安全功能

  運行在語音服務器內(nèi)的呼叫控制軟件,應當具有豐富的控制和限制功能。例如通過服務等級、限制等級的設定,可以將不同的功能和呼叫權限分配給不同等級的用戶,而且用戶在撥打長途或特定號碼前必須輸入正確的密碼,才能獲得相關服務。而在IP電話系統(tǒng)中通過以下技術手段加強接入的安全性:

網(wǎng)絡世界(cnw.ccw.com.cn)
分類信息:     文摘
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 甘德县| 三穗县| 哈密市| 林周县| 揭东县| 绥化市| 清镇市| 托克逊县| 上饶县| 黄大仙区| 亳州市| 简阳市| 安宁市| 德钦县| 苍溪县| 珠海市| 博白县| 厦门市| 晋城| 宕昌县| 石屏县| 哈尔滨市| 深州市| 会泽县| 达日县| 庆元县| 贵州省| 漾濞| 常熟市| 新乡县| 呈贡县| 文化| 兴化市| 十堰市| 易门县| 永靖县| 浪卡子县| 襄城县| 微山县| 兴化市| 罗城| http://444 http://444 http://444 http://444 http://444 http://444