一、实现VoIP的安全是提供IP通信业务的前提

    基于IP网络的话音传输(VoIP)技术目前已经发展成为一种专门的通信技术，而不再是两年前地方贝尔公司首席技术官所谓的科学项目(scienceproject)或原来意义上简单的Internet应用。作为一种新的通信方式，为了和原来的称谓有所区别，有人建议将目前的VoIP改称为IP通信(IPcommunication)。VoIP的话音质量和可靠性已得到大幅度改进，并在企业网和公共网络中广泛应用，它融合话音和数据网络，具有节省成本、通信灵活、支持新的特征功能、能提高生产率等优势，这为那些试图基于数据网提供传统电话业务的业务提供商增加了获得新收入的机会。随着VoIP在最近几个月的火爆发展，主流媒体已宣布2004年为VoIP年。但我们注意到，随着VoIP应用承载的话音通信业务越来越多，其安全问题也逐渐暴露出来。由于IP网络本身的开放性以及话音业务带来的新要求，如何解决VoIP安全问题、提供运营商级的业务，已成为业务提供商面临的一个难题。

    二、VoIP安全脆弱性分析

    1.IP分组网本身的脆弱性

    VoIP安全的重要性和迫切性不容忽视，因为在分组网中更容易刺探话音信息，这比电路交换网的物理探测要容易得多。所以，虽然VoIP本身并不存在更多的、新的脆弱性，但是由于话音应用于IP网络，从而导致其安全问题更加突出。在传统的模拟环境中，交换机和配线室的物理接入通常需要截取双方的通信，而如今，数据网的分组话音传输使得话音通信的接入和截取非常容易，尤其是在Internet上可以很容易地发现大量恶意的工具集。

    IP分组通信固有的安全脆弱性包括：

    ·嗅探数据包的话音监听(tapping)；

    ·网络身份欺骗(falsificationofnetworkID)；

    ·数据包操纵终止业务；

    ·用户账号和设备欺骗，这与接入网络的数据库和IP地址有关；

    ·破坏网络的完整性，修改数据库或复制设备而使得话音网络拥堵或被控制。

    其他安全威胁还包括终端用户隐私权的泄漏等。新的安全挑战包括截取、修改呼叫控制(如SIP)数据包，乃至改变数据包的目的地址和呼叫连接等。

    IP分组网络的性能无法达到电路交换网的水平，IP网络安全脆弱性的存在加大了安全管理的风险。因为从风险管理的角度看，如果运营VoIP业务的数据网络遭受灾难，公司将面临同时丧失话音和数据通信能力的风险，这样对数据网业务的安全威胁就被延伸到两个系统，而原来相互分离的系统，其风险相对来讲要低一些。面对IP网上如此众多的安全威胁，当运营商推出VoIP业务时，业务提供商必须适时实施针对威胁的安全和防护措施，以保证服务和相应收益得到保障。

    2.VoIP安全威胁

    许多已知的安全脆弱性会相应地影响话音通信，因此需要预防。VoIP环境中特别需要注意的安全威胁包括：

    ·拒绝服务(DoS)攻击：如IP电话、VoIP网关(SIP代理)等端点可能会受到SYN或ICMP数据包的攻击，以致通信中断，无法正常提供业务；

    ·呼叫截取(callinterception)：指话音或实时传输协议(RTP)数据包受到非授权的跟踪；

    ·信令协议篡改(signalprotocoltampering)：与呼叫截取一样，恶意用户可以监控和篡改建立呼叫后传输的数据包，修改数据流中的域，使VoIP呼叫不能使用VoIP话机，或者进行费率更高的呼叫(如国际电话)，使IP-PBX认为呼叫来自另一个用户；

    ·状态窃取(presencetheft)：假冒合法用户收发数据；

    ·资费欺骗(tollfraud)：恶意用户或入侵者拨打欺骗性电话；