分组语音VoIP网络的CALEA安全挑战
时间:09-01
来源:互联网
点击:
不同的安全与加密协议
可用的安全协议有很多种。举例来说,有 IPSec、SSH、SRTP 等。在每个安全协议中可能采用不同的加密/解密协议。不管是数据加密标准 (DES)、三重数据加密标准 (3DES),还是高级加密标准 (AES),IPSec 可与任何加密协议共同使用。每个加密协议中还可使用不同的密钥大小。加密协议、密钥大小以及其它参数在 SA 建立时协商制定。CALEA 截取盒必须能够支持各种安全协议、加密方法及其相关参数(如密钥大小)。
软硬件加密的比较
加密要占用大量的处理时间。为提高效率,某些设备用硬件进行加密/解密。由于硬件加密只是针对一种加密协议,因此 CALEA 截取盒很难为多种安全与加密协议提供硬件加密。当目标设备可能用硬件进行加密/解密时,CALEA 截取盒必须配备快速处理器进行加密。
安全机制与CALEA
“PacketCable 安全规范”PKT-SP-SEC-I109-030728 与“PacketCable 电子监控规范”PKT-SP-ESP-I102-030815 仅指定了传输模式的安全模型。这两个规范没有提到如何处理隧道模式的情况。
“PacketCable 电子监控规范”显示,安全传输模式由 CMTS 执行,而不是由 PC 或 IP 电话 (IPP)等端点执行。但是,目前 VoP 市场上的安全性大多数实施于端点上,且其中大部分为隧道模式,因此 PacketCable 必须处理这种安全架构。
前面各部分中列出的 CALEA 面临的其它安全问题同样也是 PacketCable 的问题。
解决方案:为了解决 CALEA 的安全问题,CALEA 截取盒必须在 SA 建立的初期截取发自目标设备的数据包,以获得所需的密钥以及其它安全参数。在哪里进行截取取决于以下诸多因素:NAT、动态主机配置协议 (DHCP)、VPN/安全端点等。
如果 VPN/安全端点为 PC 或 IPP,则端点如何获得 IP 地址非常重要。如果端点 IP 地址通过动态主机配置协议 (DHCP) 获得,则不存在 NAT,截取可在任何设备中进行。但是,来自相同设备的数据包可能选择不同的路由,因此,我们最好在数据包选择另一路径前(通常是从 CMTS 到因特网)截取数据包。
有 NAT 时,最好的截取处就是 NAT 功能所在的地方。正如“PacketCable 电子监控规范”定义的一样,这常常是 MTA,而不是 CMTS。但是,NAT 也可能在 CMTS 上。NAT 单元将专用 IP 地址映射到公用 IP 地址上,反之亦然,因此数据包应在执行 NAT 之前在 LAN 站点上截取。否则,截取盒就要在相同公用 IP 地址的混合消息流中进行数据包过滤。此外,NAT 单元带有应用算法 (ALG),可处理专用的转换功能。例如,最初传送进来的 SIP 呼叫只有公用 IP 地址。NAT 单元如何知道应该映射到哪个专用 IP 地址呢?它必须运行 SIP ALG,其以 SIP 消息中的用户 ID(如alice@wonderlane.com)或报头中的 CallerID 来查找 Alice 的专用 IP 地址。请注意,Alice 必须已经以她专用的 IP 地址及其姓名和/或 CallerID 在 NAT 器件上注册。
一旦 CALEA 截取盒能够截取目标设备的数据包,则其应设法获得 SA建立消息。如果安全机制不是基于标准协议之上,则执法人员解释安全消息以及随后进行 SA 消息与媒体数据包的解密就会面临很大的困难。如果安全消息基于标准协议之上,则 CALEA 截取盒应该可从 SA 建立消息计算出密钥、密钥大小以及加密方法。
美国 TIA 发布了一系列 PSTN 中 CALEA 的消息格式。由于因特网的架构、协议集、消息格式与呼叫流程 (call flow) 完全不同,因此 TIA 必须发布因特网 CALEA 传输的全新系列规范。PacketCable 规范可作为子集,事实上 TIA 也提到了这些情况。但是,PacketCable 安全规范与 PacketCable 电子监控的修改必须满足许多 VoP 安全要求。此外,尽管原理相同,非基于线缆的 VoP 安全解决方案应在 PacketCable 规范外另行规定。
结论
VoP 网络中的 CALEA 面临许多新的安全挑战,主要挑战就是如何截取发自或发往目标设备的数据包以及如何进行数据包的解释与加密/解密。本文提出了一些 VoP 网络安全问题的解决方案,但还有一些 VoP 厂商、服务提供商与执法人员面临的难题未能解决。解决这些问题将推动业界实现下一步发展。
可用的安全协议有很多种。举例来说,有 IPSec、SSH、SRTP 等。在每个安全协议中可能采用不同的加密/解密协议。不管是数据加密标准 (DES)、三重数据加密标准 (3DES),还是高级加密标准 (AES),IPSec 可与任何加密协议共同使用。每个加密协议中还可使用不同的密钥大小。加密协议、密钥大小以及其它参数在 SA 建立时协商制定。CALEA 截取盒必须能够支持各种安全协议、加密方法及其相关参数(如密钥大小)。
软硬件加密的比较
加密要占用大量的处理时间。为提高效率,某些设备用硬件进行加密/解密。由于硬件加密只是针对一种加密协议,因此 CALEA 截取盒很难为多种安全与加密协议提供硬件加密。当目标设备可能用硬件进行加密/解密时,CALEA 截取盒必须配备快速处理器进行加密。
安全机制与CALEA
“PacketCable 安全规范”PKT-SP-SEC-I109-030728 与“PacketCable 电子监控规范”PKT-SP-ESP-I102-030815 仅指定了传输模式的安全模型。这两个规范没有提到如何处理隧道模式的情况。
“PacketCable 电子监控规范”显示,安全传输模式由 CMTS 执行,而不是由 PC 或 IP 电话 (IPP)等端点执行。但是,目前 VoP 市场上的安全性大多数实施于端点上,且其中大部分为隧道模式,因此 PacketCable 必须处理这种安全架构。
前面各部分中列出的 CALEA 面临的其它安全问题同样也是 PacketCable 的问题。
解决方案:为了解决 CALEA 的安全问题,CALEA 截取盒必须在 SA 建立的初期截取发自目标设备的数据包,以获得所需的密钥以及其它安全参数。在哪里进行截取取决于以下诸多因素:NAT、动态主机配置协议 (DHCP)、VPN/安全端点等。
如果 VPN/安全端点为 PC 或 IPP,则端点如何获得 IP 地址非常重要。如果端点 IP 地址通过动态主机配置协议 (DHCP) 获得,则不存在 NAT,截取可在任何设备中进行。但是,来自相同设备的数据包可能选择不同的路由,因此,我们最好在数据包选择另一路径前(通常是从 CMTS 到因特网)截取数据包。
有 NAT 时,最好的截取处就是 NAT 功能所在的地方。正如“PacketCable 电子监控规范”定义的一样,这常常是 MTA,而不是 CMTS。但是,NAT 也可能在 CMTS 上。NAT 单元将专用 IP 地址映射到公用 IP 地址上,反之亦然,因此数据包应在执行 NAT 之前在 LAN 站点上截取。否则,截取盒就要在相同公用 IP 地址的混合消息流中进行数据包过滤。此外,NAT 单元带有应用算法 (ALG),可处理专用的转换功能。例如,最初传送进来的 SIP 呼叫只有公用 IP 地址。NAT 单元如何知道应该映射到哪个专用 IP 地址呢?它必须运行 SIP ALG,其以 SIP 消息中的用户 ID(如alice@wonderlane.com)或报头中的 CallerID 来查找 Alice 的专用 IP 地址。请注意,Alice 必须已经以她专用的 IP 地址及其姓名和/或 CallerID 在 NAT 器件上注册。
一旦 CALEA 截取盒能够截取目标设备的数据包,则其应设法获得 SA建立消息。如果安全机制不是基于标准协议之上,则执法人员解释安全消息以及随后进行 SA 消息与媒体数据包的解密就会面临很大的困难。如果安全消息基于标准协议之上,则 CALEA 截取盒应该可从 SA 建立消息计算出密钥、密钥大小以及加密方法。
美国 TIA 发布了一系列 PSTN 中 CALEA 的消息格式。由于因特网的架构、协议集、消息格式与呼叫流程 (call flow) 完全不同,因此 TIA 必须发布因特网 CALEA 传输的全新系列规范。PacketCable 规范可作为子集,事实上 TIA 也提到了这些情况。但是,PacketCable 安全规范与 PacketCable 电子监控的修改必须满足许多 VoP 安全要求。此外,尽管原理相同,非基于线缆的 VoP 安全解决方案应在 PacketCable 规范外另行规定。
结论
VoP 网络中的 CALEA 面临许多新的安全挑战,主要挑战就是如何截取发自或发往目标设备的数据包以及如何进行数据包的解释与加密/解密。本文提出了一些 VoP 网络安全问题的解决方案,但还有一些 VoP 厂商、服务提供商与执法人员面临的难题未能解决。解决这些问题将推动业界实现下一步发展。
- 变革电信网网络安全框架 (01-03)
- 浅谈IPv6技术的若干问题(01-09)
- LG电子低成本CDMA手机的设计原则剖析 (01-12)
- 专家教你做个病毒高手(04-30)
- 数据库归档要考虑的四大问题(05-26)
- 5个步骤成功加密电子邮件(07-18)