您的位置: 网界网 > 周报全文 > 正文

[周报全文]IP电话系统安全架构

2004年05月24日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:IP电话系统安全架构

标签
    IP电话系统安全架构

    ■ 陈蔚


    针对IP电话在融合网络中所面临的威胁,IP电话系统的安全性需要从系统的运行、管理、接入、交换等4个方面来实施和加强,它们构成了IP电话系统的总体安全框架。

    系统运行保护

    对IP电话系统运行的保护主要体现在:IP电话系统的各个组成部分可以防御DoS(拒绝服务)攻击;IP电话系统通过内嵌的防火墙和外部网络平台上的防火墙产品一起加强系统的安全;IP电话系统应该有完善的接入控制机制;IP电话系统各个组成部分只运行必要的网络、操作系统服务,除去原有操作系统中不必要的软件和服务;尽可能减少系统的安全弱点和漏洞; 系统具有一定的入侵保护功能。

    系统安全管理

    由于IP电话系统运行在数据网络平台上,基于IP的网络管理是必要的,但是在IP网络上,网络管理同样面临安全的威胁,例如用来进行网络管理的SNMP v1协议本身就存在漏洞。因此进行安全的管理也是IP电话系统能够可靠运行的保证,需要采用相关手段加强管理的安全性:IP电话系统核心软件版本都是不断发展的,在对系统进行升级时需要有完善的管理;可以通过SNMP v3、SSH、SCP、HTTPs等技术手段安全地对IP电话系统各个部分进行管理配置;通过基于角色的管理权限实现对网络管理人员的分级管理;并通过完整的计费信息对IP电话系统运行进行监控。

    融合的接入认证机制

    IP电话系统还需要具有一套基于融合网络平台的接入认证体系,能够实现用户、IP终端、语音网关安全地接入系统平台。而IP电话的接入认证系统应该可以通过标准的协议和用户后台的RADIUS等AAA(认证、授权、计费)系统进行集成,从而实现:对网络服务的认证;对接入用户的认证;对接入设备的认证;根据相关信息对接入用户、设备进行授权处理;对密钥的产生、分发、策略进行管理;通过数字证书实现IP电话各个组成部分身份的真实性,签名信息的不可否认性,从而保障IP电话应用的安全性。

    安全的数据交换

    在从系统运行、管理、接入对IP电话进行安全规划和设计以后(+微信关注网络世界),还需要考虑IP语音通信在数据网络平台上交换的的私密性和安全性:通过加密提供对IP语音私密性进行保护;能够对IP语音的数据完整性进行保护,防止IP语音在传输中被篡改;能够保证IP语音通信不受协议重放(协议重放是一种通过记录和重放数据交换过程侵入系统的技术)的攻击;对交换数据的存储进行保护;通过数字签名等防抵赖技术对IP语音通信的双方进行证明,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送方以后不能否认他发送过数据这一事实。

    作为数据网络上的一种新兴应用,应该将IP电话的安全问题和数据网络的安全问题作为一个整体来看待,从IP电话的系统运行、安全管理、接入认证、安全数据交换等四大方面入手配合相应符合工业标准的加密、认证、证书等技术,将IP电话和IP网络的安全有机的组织在一起, IP电话系统才能安全稳定的发挥语音通信作用。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]