Ssl SIP:IPSEC与TLS

我不熟悉VOIP的概念。我刚上了一门关于VOIP的课程。我对使用TLS、IPSEC和Digest实现SIP也感兴趣

我想看看SIP信令是否使用IPSEC而不是TLS，它会如何影响性能，信令是否会更耗时？它会增加安全性还是降低安全性

我正在寻找一款同时具有TLS/IPSEC机制的软电话，这样我就可以在wireshark上分析这两个数据包，但我没有遇到任何问题。有什么建议吗

---

提前感谢

软电话不明确支持IPSEC，因为它是一种网络层协议。SIP RFC中处理的最低级别是传输层，它提供了三种备选方案，即UDP、TCP和TLS

---

SIP信令可以在IPSEC上正常工作，因为它对时间不敏感。即使SIP请求和响应延迟1或2秒，也几乎不会引起注意。但是，如果引入额外的延迟，则承载呼叫介质的RTP流量可能会受到影响

假设您必须保护端点（软电话或硬件）和呼叫控制引擎之间的SIP信令，还假设端点和呼叫控制位于同一校园、LAN或专用网络内。 正确的选择是在端点和呼叫控制引擎之间使用TLS，大多数端点的实现（固件或软件）都支持TLS。无论如何，同样的情况也适用于移动工作者（他们通过互联网建立TLS，并在公司内部的DMZ中放置经过验证的前端）；TLS非常适合那些需要非附加客户端安装的场景

另一方面，要在IPSec中保护SIP，您需要在笔记本电脑（SIP客户端所在的位置）上安装IPSec客户端。首先，IPSec客户端通过公司中的IPSec网关建立安全性（管理起来更复杂、更昂贵）。简言之，IPSec非常适合于那些需要在跨公共网络的LAN之间进行隐私访问的扫描环境（IPSec网关之间设置了IPSec隧道模式）

当您使用TLS或IPSec谈论SIP时，您不能忽略RTP。 要使SecureRTP就位，可以选择TLS协议。在会话设置期间，SIP实体交换SDP主体内的TLS参数（例如用于保护RTP的chiper套件），请查看日志以查看SIP内的SDP。在交换结束时，SIP实体能够保护RTP通信，因为它们同意使用公共会话加密密钥（是从密钥交换协议派生的simmetric密钥）

与IPSec不同的是，SDP或SIP消息中没有交换IPSec信息。首先设置IPSec隧道，然后在隧道内发送流量，该流量也可以是SIP和RTP。请注意，在IPSec隧道模式下，原始数据包封装在新的IP数据包上（有一个外部IP报头），因此会产生更多的开销和处理

总结如下： 使用TLS和IPSec确保SIP安全，考虑您的环境。我会尽可能多地考虑TLS。 通过TLS保护RTP是可能的，它被称为SecureRTP（加密、消息身份验证和完整性，以及对RTP数据的重放攻击保护）。 使用IPSec保护RTP\SIP需要更多的努力。当您需要比SIP\RTP更多的保护时，考虑IPSec隧道。 当您决定在语音\视频中使用IPSec并遍历NAT设备时，请查看NAT遍历功能