|
|
|
|
| |
|
 |
無線網路天線 |
|
2.4GHz (WI-FI開放訊號) |
|
|
| |
|
|
2.4GHz+5GHz (雙頻天線) |
|
|
|
|
3.5G+4G (全頻天線) |
|
|
|
|
5GHz (5.1~5.9GHz全頻) |
|
|
|
|
|
|
|
無線網路配件 |
|
|
|
|
|
|
|
|
| |
|
|
| |
|
| Home > 相關資訊 |
|
|
| 確保VoWLAN成功:充分瞭解VoIP網路安全性問題 |
VoIP 和 WLAN技術的融合,讓廠商能以具成本效益的方式,解決與延遲和即時語音封包資料流程優先權等問題有關的服務品質(QoS)挑戰,
為新型電信應用開啟了大門。這兩種核心技術的緊密結合,使得在不受網路類型或實際位置限制條件下部署可靠的端到端WLAN語音(VoWLAN)成為可能。不幸的是,VoIP連接也因此受到WAN所帶來的大量安全威脅。
在相對安全的封閉網路範圍內,所有語音封包都不再受到謹慎保護。因此,目前許多人都不得不靠自己的力量面對危機四伏的WAN,竭力避免會話劫持、監視和竊聽、惡意服務破壞或服務拒絕,以及收費詐欺和身份冒用等風險。為此,語音封包及其相關傳輸通道必須具備像公共交換電話網路(PSTN)的傳真度和性能。當通話可被無線偵測到時,有線VoIP環境的安全動態特性將更加複雜。
安全性是一種廣義的概念,意指透過確保網路連接的可靠性,以處理和平衡用戶與廠商的擔心和需求,讓雙方確信每一次語音傳輸都是安全的(見圖1)。有5大關鍵規則使安全性成為VoIP可靠部署的基本要求:
‧可靠性:透過把拒絕服務(DoS)等惡意攻擊的影響降至最低,廠商能夠確保語音封包安全通過WAN。
‧隱私性:對用戶,必須確保其通話受到保護,防止非法窺探或監聽。語音有效載荷(內容)和訊號發送(即通話記錄)都需要隱私性。
‧完整性:對用戶和廠商,都必須確保資料傳輸不被篡改,一旦發現,就必須檢測到這種更動。
‧認證:對用戶確保其通話到達正確的目的地,廠商需確保用戶的正確性,而不是試圖非法入侵的偽終端。
‧不可否認(Non-repudiation):電信業者必須確保用戶無法否認對服務的使用,以保護廠商收取費用並創造營收的權力。
QoS的維護
要成功處理所有的安全性問題,VoIP應用必須使用至少5種等級的不同安全機制:配置、訊號發送、語音封包、資料封包以及封包過濾。其中每一種機制都採用不同的安全標準(圖2),可能導入相當大的VoIP處理開銷。除非開發人員從頭開始設計一個架構來支援安全性,否則這種開銷會引起嚴重的系統瓶頸問題,很可能足以破壞VoIP方案的可行性。
例如,考慮性能對語音封包即時發送的影響。目前業界力求讓網路中每一個中間節點的延遲小於30ms,以期最終獲得不大於150ms的延遲,實現完整的端到端通話。通話延遲長可能導致語音品質嚴重下降,讓用戶不滿。此外,對安全性任務而言,可變的處理延遲增加了抖動和封包丟失率,這對平均意見得分(Mean Opinion Scores,MOS)有直接影響,並使音質迅速惡化到‘收費級’之下。若無有效安全措施,性能開銷和延遲的增加將對通話品質產生直接影響。
在設立網路連接所需的時間方面也同樣如此,因為VoIP的安全性措施可能使性能下降到危害整體通話QoS的程度。設立通話時,在認證和密鑰交換期間,密鑰產生和消息交換可能引起顯著的延遲。假設AES密鑰產生和交換最多需要500ms,這已超出了即時VoIP應用可以接受的限度。更麻煩的是,在基於軟體的實現方案中使用IPSec時,設立一個安全關聯(security association)往往需要2 到 10秒的時間。如果涉及到無線節點,考慮到無線安全措施,整體延遲還會增加3秒以上。
重點是體認到這些機制導入的延遲可能具有累加性,這意味著它們將一個接一個彼此疊加。例如,透過無線網路傳輸的資訊封包首先必須解決自己的無線保護問題,然後才能處理資料封包機制以及其後的語音封包安全機制。因此,為了獲得維持適當MOS得分所需的延遲限制,必須強化節點和基礎設備方面的工作,以加速安全機制的處理,並在所釵w全等級上把處理時間降至最小。
圖1。利用多種不同機制(如認證和加密),安全功能可以保護用戶和廠商免受惡意及無意的服務中斷傷害。
釋放工作週期
VoIP安全機制的5個等級雖然採用不同標準,但許多程序和處理過程是通用的,包括密鑰產生、會話配置、密鑰交換、單向或雙向認證,以及加密/解密技術。在許多情況下,不同標準可共用類似的基礎機制,這使眾多標準採用單個硬體加速器成為可能。
透過對加密技術的硬體加速進行精細調節,加密加速器能夠為先進加密標準(AES)、資料加密標準(DES)和三重 DES(3DES)等主流格式提供良好性能。不過,靈活的硬體加速不僅是為了滿足品質和性能要求單純地提高加密速度。例如,利用SHA1 或 MD5,單一協處理器可以加速認證、減少延遲;而密鑰交換加速器透過配置可簡化密鑰即時交換,加速通話的設立。
硬體加速採用一種靈活的架構,這種架構著眼於讓每一次處理過程與每一級VoIP安全機制均採用共同的安全處理機制,不僅可顯著影響延遲,還能釋放大量處理器週期和記憶體給主要應用處理器。被釋放的處理器週期和記憶體可分配給語音改善處理或其他應用任務,這樣,無需增加元件成本就可提高音質和整體易用性。對OEM而言, 要實現VoIP產品特性化,並提高在新興VoIP市場的競爭力,這些被釋放的週期非常關鍵。此外,OEM可透過採用性能較低的處理器來減少整體功能特性,降低系統成本和功耗。
須注意的是,試圖採用全硬體來實現安全機制往往並非最佳方案,最好是利用硬體加速器來加速關鍵任務的處理。當新標準出現時,通常需要更多時間來開發各種不同方案間穩定且強韌的互通作業性。例如,儘管基本加密標準通常都趨於穩定,但訊號發送和資料交換標準本身是不斷變動的,如新興的安全即時傳輸協議(SRTP),它用於CPE的語音有效載荷進行加密以防竊聽;以及用於會話初始協議(SIP)下的傳輸層安全性(TLS)標準。開發人員不斷擴展這些標準的適用性,因此它們必須具備靈活性。因此可採用硬體實現加密以提供最大性能,因為這種方法所需的靈活性較少。對於密鑰產生等任務,可利用硬體加速來實現SRTP 和 TLS,但處理整體堆疊仍然需要相當的靈活性。
現在,製造商正努力讓自己的產品具備獨特性能,在價格不變的情況下提供最好的功能,以期在競爭中脫穎而出。這些功能中有許多是採用軟體實現的,如提供豐富的圖形用戶介面或利用寬頻編解碼器實現多方會議。對硬體加密等安全性演算法進行加速可為處理器應用釋放更多工作週期,這樣一來,製造商不僅能夠提供更安全的解決方案,還可經由軟體應用程式讓他們的產品與眾不同。
圖2。VoMAN應用通必須使用至少4種等級的安全機制,包括配置、訊號發送、語音、資料及過濾。如果使用無線技術,則需要第5級安全機制,以確保無線連接性。
IP網路可靠性
基於不同加密資料或訊號發送交換機制的安全性機制,雖然可抵禦大量潛在的攻擊,但在全面保護VoIP連接的可靠性方面仍有不足。由於VoIP在透過WAN延伸時繼承了IP網路的危險性,用戶暴露在拒絕服務(DoS)等各種攻擊之下,這些攻擊以封包溢出或畸形訊框傳輸形式進行攻擊。語音通訊需要穩定可靠的頻寬,任何這種針對VoIP終端電話發動的攻擊都可能破壞連接。
傳統上,可利用防火牆減少DoS攻擊,保護LAN免受來自WAN的惡意入侵。在企業級VoIP部署中,這種防火牆可保護VoIP用戶免於外部威脅,但VoIP設備仍然很容易受到防火牆之後的網路內部攻擊。假設網路存取權限僅限於合法人員,且沒有心懷不滿的員工企圖破壞網路,一位開發軟體或安裝網路設備的可靠員工也可能無意發出一個DoS攻擊。
另外,一個帶病毒入網的用戶也可能造成整個VoIP系統的崩潰。IP網路的安全漏洞還影響到一些重要應用,如飯店內的公共VoIP系統。使用IP電話的旅客雖然被保護免受外界攻擊,但如果在設備等級上沒有適當的保護措施,他仍易受旅店內部其他旅客的攻擊。而且,中小型企業(SMB) LAN和基於住宅的LAN (VoIP部署的關鍵市場領域),通常都缺乏足夠的防火牆能力。
對IP電話的DoS攻擊的含意是相當直接簡單的。電話可能產生大量資訊封包的溢出,以致不能正常通話。另一方面,也許這種攻擊只是導致通話品質的下降。不管哪一種情況,不抵禦DoS攻擊都可能對終端用戶的電話撥打功能造成嚴重影響。
過去,有多種抵禦DoS攻擊的方法。第一種是利用防火牆,這種方法可以保護IP電話免受外部攻擊,但無法防止源自防火牆內部的攻擊。另一種權宜之計是採用更大的頻寬,被動等待攻擊結束。考慮到IP電話的即時要求,這種策略的風險最大。當然,最後一道防線是讓IP電話自身盡力保持通話品質,同時讓應用處理器嘗試過濾掉這些惡意的資訊封包。但根據攻擊的持續時間和嚴重程度不同,IP電話的應用處理器可能因處理這些資訊封包陷入危機,造成通話品質下降,甚至完全中斷。
為了成功抵擋來自IP網路的攻擊,必須在資訊封包達到電話應用處理器之前抵禦DoS攻擊,並改為在IP電話的嵌入式交換機中處理。在交換機中導入靜態封包過濾功能可以把過濾處理的主要負擔從軟體卸載到硬體。靜態封包篩檢程式掃描(零性能影響)檢測進入的資訊封包,判斷是否重複或有可疑意圖。然後從有效VoIP通話的關鍵路徑上清除可疑的資訊封包。這樣一來,就可確保可疑資訊封包不會攻擊主處理器,並避免其影響到那些對延遲敏感的封包。
利用可編程過濾結構實現靜態封包篩檢程式,可確保元件能不斷更新以抵禦新的網路風險。由應用處理器透過一個API對篩檢程式進行更新,再利用篩檢程式把更新資訊發送給各元件。此外,相較於通常依賴路由器和交換機的情況,在VoIP電話中實現過濾可加快網路更新速度,進一步提高可靠性。根據網路更新程式的不同,一個依賴路由器執行過濾的網路可能有數個月時間易受攻擊。而更新VoIP電話要容易得多,因此也能夠根據需要頻繁進行,減少了網路的安全漏洞。
VoWLAN可望為VoIP帶來更高的成本效益,而安全機制是讓廠商和用戶相信其隱私、身份和服務收費權力受到保護的基本要素。不過,對WAN上的VoIP方案而言,完全依賴軟體VoIP安全功能並非良策,所需的多級安全機制會迅速壓垮傳統應用處理器。透過採用靈活的硬體加速器,在配置、訊號發送、語音處理和過濾等各個等級上,可更有效地實現核心安全功能、降低整體延遲、改善服務音質,同時又保留了適應標準變化和不斷升級之網路威脅的能力。
作者:Brent Lorenz
IP電話產品經理
通訊基礎設備與語音業務部
德州儀器公司
電子工程專輯 上網時間 : 2007年10月31日
|
|
|
|
| |
| |
| 崴海尼可網路 服務項目 |
增益強效天線 / 雙頻AC天線 / Dual-Band Wireless / 2.4G 4G 5G 網路天線
全向型天線 / 指向型天線 / 網狀拋物面天線5GHz / 監控影像易天納CPE設備
Assembly 各式電纜線組立 / 接頭、避雷器 / 高頻電纜線組立/ POE injector
服務專線:06-2523801、06-2522549 服務信箱:twsales@wifi-link.com
******* Screen Mode Copyright by WIFI-Link Technologies Co., Ltd. ********
|
|
|
