VoIP和WLAN技術(shù)的融合，讓運(yùn)營商能夠具成本效益地解決實(shí)時(shí)語音包的延時(shí)和差分?jǐn)?shù)據(jù)流優(yōu)先級(jí)等問題的QoS挑戰(zhàn)，為新型電話應(yīng)用敞開了大門。這兩種核心技術(shù)的結(jié)合使可靠的端到端WLAN語音(VoWLAN)部署不受網(wǎng)絡(luò)類型或地點(diǎn)的限制。但不幸的是，VoIP連接也因此受到WAN所帶來的大量的安全威脅。

在相對(duì)安全的封閉網(wǎng)絡(luò)里，無需對(duì)語音包進(jìn)行過分的保護(hù)，但人們面對(duì)危機(jī)四伏的WAN，必須竭力避免會(huì)話劫持(session hijacking)、監(jiān)視和竊聽、惡意服務(wù)破壞或服務(wù)拒絕，以及收費(fèi)欺詐與身份欺騙等風(fēng)險(xiǎn)。為此，語音包及其相關(guān)傳輸信道必須受到保護(hù)，同時(shí)要求具有PSTN那樣的保真度和性能。而當(dāng)呼叫在空中被無線網(wǎng)絡(luò)嗅探到時(shí)，有線VoIP環(huán)境的安全動(dòng)態(tài)性變得更加復(fù)雜。

安全性是一個(gè)很泛義的概念，意指通過保證網(wǎng)絡(luò)連接的可靠性來處理和平衡用戶與運(yùn)營商的擔(dān)心和需求，從而確保各方的每次語音傳輸都是安全的(見圖1)。使安全性成為可靠部署VoIP的基本要求的5個(gè)關(guān)鍵點(diǎn)是：

可靠性：降低拒絕服務(wù)(DoS)等惡意攻擊的影響，運(yùn)營商能夠確保語音包安全通過WAN。

隱私性：對(duì)用戶，必須確保其呼叫受到保護(hù)，防止非法窺探或監(jiān)視。語音有效載荷(內(nèi)容)和信令(即呼叫記錄)都需要隱私性。

完整性：用戶和運(yùn)營商都必須確保數(shù)據(jù)傳輸不被干預(yù)，一旦有干預(yù)，需偵測(cè)到當(dāng)中的改動(dòng)。

認(rèn)證：對(duì)用戶確保其呼叫到達(dá)正確的目的地，對(duì)運(yùn)營商需確保用戶正確，而不會(huì)是試圖非法侵入的偽終端。

反拒認(rèn)(Non-repudiation)：運(yùn)營商能確保用戶不會(huì)拒絕使用服務(wù)，保護(hù)運(yùn)營商收取費(fèi)用并以此創(chuàng)收的能力。

QoS的維護(hù)

要成功處理安全性每一個(gè)方面的問題，VoIP應(yīng)用需要使用至少5個(gè)不同級(jí)別的安全機(jī)制：配置、信令、語音包、數(shù)據(jù)包以及包過濾。每個(gè)機(jī)制都采用不同的安全標(biāo)準(zhǔn)(見圖2)，故可能引入相當(dāng)大的VoIP處理開銷。除非開發(fā)人員從頭開始設(shè)計(jì)一個(gè)架構(gòu)來支持安全性，否則開銷會(huì)引起嚴(yán)重的系統(tǒng)瓶頸問題，這可能破壞VoIP實(shí)現(xiàn)方案的可行性。

例如，考慮性能對(duì)語音包即時(shí)發(fā)送的影響。目前業(yè)界力求網(wǎng)絡(luò)每一個(gè)中間節(jié)點(diǎn)的延時(shí)小于30ms，以獲得不大于150ms的完整端到端通話的延時(shí)。呼叫延時(shí)長可能導(dǎo)致語音質(zhì)量明顯下降，引起用戶不滿。此外，對(duì)安全性任務(wù)而言，可變的處理延時(shí)增加了抖動(dòng)和丟包率，這對(duì)平均意見得分(Mean Opinion Scores，MOS)有直接影響，并使音質(zhì)迅速惡化到“收費(fèi)級(jí)”之下。若無有效安全措施，性能開銷和延時(shí)將會(huì)對(duì)呼叫質(zhì)量產(chǎn)生直接影響。

圖1：利用眾多不同安全機(jī)制(比如認(rèn)證和加密)可以保護(hù)用戶和運(yùn)營商免受惡意及無意的服務(wù)中斷的傷害。

建立網(wǎng)絡(luò)連接所需的時(shí)間同樣如此，因?yàn)閂oIP安全性措施可能會(huì)使性能下降而危害總體呼叫QoS。在呼叫建立過程的認(rèn)證和密鑰交換期間，密鑰生成和消息交換可能引起顯著的延時(shí)。假設(shè)AES密鑰生成和交換時(shí)間多達(dá)500ms，這超出了實(shí)時(shí)VoIP應(yīng)用可以接受的限度。更麻煩的是，在基于軟件的實(shí)現(xiàn)方案中使用IPSec時(shí)，建立一個(gè)安全關(guān)聯(lián)(security association)往往需要2到10秒的時(shí)間。如果涉及到無線節(jié)點(diǎn)，考慮到無線安全措施，總體延時(shí)還會(huì)增加3秒以上。

重要的是認(rèn)識(shí)到這些機(jī)制引入的延時(shí)可能具有累加性。例如，通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)分組首先必須解決自己的無線保護(hù)問題，然后才能處理數(shù)據(jù)包機(jī)制以及其后的語音包安全機(jī)制。因此，為了獲得維持適當(dāng)MOS等級(jí)所需的最佳延時(shí)限制，需要在節(jié)點(diǎn)和基礎(chǔ)設(shè)施方面做一些工作，以加速安全機(jī)制的處理和最小化所有安全級(jí)別上的處理時(shí)間。

釋放處理器周期

VoIP安全機(jī)制的5個(gè)級(jí)別，雖然采用不同的標(biāo)準(zhǔn)，但共享許多程序和進(jìn)程，包括密鑰生成、會(huì)話配置、密鑰交換、單向或雙向認(rèn)證，以及加密/解密技術(shù)。在許多情況下，不同標(biāo)準(zhǔn)可共享類似的基礎(chǔ)機(jī)制，這使眾多標(biāo)準(zhǔn)采用單個(gè)硬件加速器成為可能。

通過對(duì)加密技術(shù)的硬件加速進(jìn)行精細(xì)調(diào)節(jié)，加密加速器能夠?yàn)橄冗M(jìn)加密標(biāo)準(zhǔn)(AES)、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)和三重 DES (3DES)等主流格式提供卓越的性能。不過，靈活的硬件加速不僅僅是為了滿足質(zhì)量和性能要求而單純地加快加密速度。例如，單個(gè)協(xié)處理器可以使用SHA1或MD5來加速認(rèn)證，從而減小延時(shí)；而密鑰交換加速器通過配置可簡化密鑰實(shí)時(shí)交換，加快呼叫的建立。

在每一個(gè)進(jìn)程以及每一VoIP安全機(jī)制等級(jí)里，采用專注于通用安全處理機(jī)制的靈活架構(gòu)來進(jìn)行硬件加密，不僅可顯著改善延時(shí)，還能為主要應(yīng)用處理器釋放大量處理器周期和存儲(chǔ)器模塊。被釋放的處理器周期和存儲(chǔ)器模塊可分配給語音改善處理或其它應(yīng)用任務(wù)，因此無需增加器件成本就可提高音質(zhì)和總體易用性。要實(shí)現(xiàn)VoIP產(chǎn)品差異化，并提高在新興VoIP市場(chǎng)的競爭力，這些被釋放的周期對(duì)于OEM而言是非常關(guān)鍵的。換言之，OEM可通過采用性能較低的處理器來減少總體功能性，從而降低系統(tǒng)成本和功耗。

圖2：VoMAN應(yīng)用一般需要使用至少4個(gè)級(jí)別的安全機(jī)制，包括配置、信令、語音、數(shù)據(jù)。

請(qǐng)謹(jǐn)記，試圖完全采用硬件來實(shí)現(xiàn)安全機(jī)制常常并非最佳方案，最好是利用硬件加速器來加速關(guān)鍵任務(wù)的處理。當(dāng)新的標(biāo)準(zhǔn)出現(xiàn)時(shí)，這些新標(biāo)準(zhǔn)需要時(shí)間來開發(fā)穩(wěn)定性和不同設(shè)備間的穩(wěn)健的互操作性。比如，盡管基本加密標(biāo)準(zhǔn)一般都趨于穩(wěn)定，但信號(hào)發(fā)送和數(shù)據(jù)交換標(biāo)準(zhǔn)本身是不斷變動(dòng)的。比如新興的安全實(shí)時(shí)協(xié)議(SRTP)對(duì)客戶端設(shè)備(CPE)的語音有效載荷進(jìn)行加密，和用于會(huì)話初始協(xié)議(SIP)之下的TLS(傳輸層安全性)標(biāo)準(zhǔn)，以防竊聽。開發(fā)人員不斷擴(kuò)展這些標(biāo)準(zhǔn)的適用性，故其能力必須具有靈活性。因此，對(duì)于只需要極少的靈活性的加密可采用硬件實(shí)現(xiàn)以提供最大的性能。對(duì)于密鑰生成等任務(wù)可以利用硬件加速來實(shí)現(xiàn)SRTP和TLS，但總體處理堆棧的實(shí)現(xiàn)仍然需要具備相當(dāng)?shù)撵`活性。

現(xiàn)在，制造商正在努力實(shí)現(xiàn)產(chǎn)品差異化，以在價(jià)格不變的情況下提供最好的功能補(bǔ)充，從而提高競爭力。這些功能中有許多是軟件實(shí)現(xiàn)的，比如提供豐富的圖形用戶接口或利用寬帶編解碼器實(shí)現(xiàn)多方會(huì)議。用硬件來加速加密等安全性算法可以釋放更多的處理器周期，這樣一來，制造商不僅能夠提供更安全的解決方案，還可通過應(yīng)用軟件實(shí)現(xiàn)產(chǎn)品差異化。

IP網(wǎng)絡(luò)中的可靠性

基于不同加密數(shù)據(jù)或信令交換機(jī)制的安全性機(jī)制，雖然可抵御大量潛在的攻擊，但卻不足以完好地保護(hù)VoIP連接的可靠性。由于VoIP在通過WAN時(shí)繼承了IP網(wǎng)絡(luò)的不安全性，用戶暴露在拒絕服務(wù)(DoS)等各種攻擊之下，這些攻擊以數(shù)據(jù)包的形式進(jìn)行泛洪式(flooding)擴(kuò)散或傳遞畸形幀。語音通信需要一致而可靠的帶寬，任何這種針對(duì)VoIP終端電話發(fā)動(dòng)的攻擊都可能破壞連接。

傳統(tǒng)上，可利用防火墻保護(hù)LAN免受來自WAN的惡意侵入，以減少DoS攻擊。在企業(yè)級(jí)VoIP部署中，這種防火墻可保護(hù)VoIP用戶免遭外部威脅，但VoIP設(shè)備仍然很容易受到防火墻之后的網(wǎng)絡(luò)內(nèi)部的攻擊。假設(shè)網(wǎng)絡(luò)接入限于合法人員，且沒有心懷不滿的員工企圖破壞網(wǎng)絡(luò)，一位開發(fā)軟件或安裝網(wǎng)絡(luò)設(shè)備的可靠員工也可能無意發(fā)出一個(gè)DoS攻擊。

另外，一個(gè)帶病毒入網(wǎng)的用戶也可能造成整個(gè)VoIP系統(tǒng)的崩潰。IP網(wǎng)絡(luò)的安全漏洞還影響到一些重要的應(yīng)用，比如旅店里安裝的公共VoIP系統(tǒng)。使用IP電話的旅客雖然受保護(hù)免遭外界攻擊，但如果在設(shè)備級(jí)別上沒有適當(dāng)?shù)谋Ｗo(hù)措施的話，他仍易遭到旅店內(nèi)部其它旅客的攻擊。而且，中小型企業(yè)(SMB)LAN和基于住宅的LAN(VoIP部署的關(guān)鍵市場(chǎng))，一般都缺乏足夠的防火墻能力。

對(duì)IP電話的DoS攻擊的含意是相當(dāng)直接簡單的。電話可能受到大量信息包的泛洪，以致不能進(jìn)行呼叫。另一方面，也許這種攻擊只是導(dǎo)致呼叫質(zhì)量的下降。不管哪一種情況，不抵御DoS攻擊都可能對(duì)終端用戶的電話呼叫功能造成嚴(yán)重影響。

過去，有多種抵御DoS攻擊的方法。第一種是利用防火墻，這種方法可以保護(hù)IP電話免受外部攻擊，但無法防止源自防火墻內(nèi)部的攻擊。另一種權(quán)宜之計(jì)是采用更大的帶寬，被動(dòng)等待攻擊結(jié)束。考慮到IP電話的實(shí)時(shí)要求，這種策略的風(fēng)險(xiǎn)最大。當(dāng)然，最后一道防線是讓IP電話自身盡力保持呼叫質(zhì)量，同時(shí)讓應(yīng)用處理器設(shè)法過濾掉這些惡意的信息包。但根據(jù)攻擊的持續(xù)時(shí)間和嚴(yán)重程度不同，IP電話的應(yīng)用處理器可能因處理這些信息包陷入危機(jī)，造成呼叫質(zhì)量下降，甚至完全中斷。

為了成功承受來自IP網(wǎng)絡(luò)的攻擊，必須在數(shù)據(jù)包到達(dá)電話應(yīng)用處理器之前抵御DoS攻擊，并改為在IP電話的嵌入式交換機(jī)中處理。在交換機(jī)中引入靜態(tài)包過濾功能可以把過濾處理的主要負(fù)擔(dān)從軟件轉(zhuǎn)卸到硬件。靜態(tài)包過濾器掃描(無性能影響)，并檢測(cè)進(jìn)入的數(shù)據(jù)包，判斷是否重復(fù)或有可疑意圖。然后從有效VoIP呼叫的關(guān)鍵路徑上清除可疑的數(shù)據(jù)包。這樣一來，就可確保可疑數(shù)據(jù)包不會(huì)淹沒主處理器，并避免其影響到那些對(duì)延時(shí)敏感的包。

利用可編程過濾配置實(shí)現(xiàn)靜態(tài)包過濾器可確保設(shè)備能不斷更新以抵御新的網(wǎng)絡(luò)風(fēng)險(xiǎn)。應(yīng)用處理器通過一個(gè)API對(duì)過濾器進(jìn)行更新，然后再利用過濾器把更新信息廣播給各器件。此外，相比一般依賴路由器和交換機(jī)的情況，在VoIP電話中實(shí)現(xiàn)過濾可使網(wǎng)絡(luò)更新速度快很多，故而進(jìn)一步提高了可靠性。根據(jù)網(wǎng)絡(luò)更新進(jìn)度表的不同，一個(gè)只依賴路由器執(zhí)行過濾的網(wǎng)絡(luò)可能有數(shù)月時(shí)間受到攻擊。而更新VoIP電話要容易得多，因此也能夠根據(jù)需要頻繁進(jìn)行，從而減少網(wǎng)絡(luò)的安全漏洞。

VoWAN有望為VoIP帶來更高級(jí)別的成本效益，而安全機(jī)制是讓運(yùn)營商和用戶相信他們的隱私性、身份和服務(wù)收費(fèi)權(quán)力受到保護(hù)的基本要素。不過，對(duì)WAN上的VoIP實(shí)現(xiàn)方案而言，依賴全軟件實(shí)現(xiàn)的VoIP安全功能并非良策，其所需的多級(jí)安全機(jī)制會(huì)迅速壓垮通用應(yīng)用處理器。通過采用靈活的硬件加速器，在配置、信令、語音處理和過濾等各個(gè)級(jí)別上，可更有效地實(shí)現(xiàn)內(nèi)核安全功能，從而降低了總體延時(shí)，改善了服務(wù)音質(zhì)，同時(shí)又保留了適應(yīng)標(biāo)準(zhǔn)變化和不斷升級(jí)的網(wǎng)絡(luò)威脅的能力。