基于IP网络的话音传输(VoIP)技术目前已经发展成为一种专门的话音通信技术，其应用范围越来越广。但是研究发现，除服务质量等问题外，安全问题是企业首席技术官(CIO)们在做VoIP决策时重点考虑的内容。在现实中，许多客户表示，安全状况不能达到企业的应用标准是他们暂时不想部署 VoIP的原因。目前，VoIP面临的安全议题主要有4个:拒绝服务(DoS)攻击、非法接入、话费诈欺或窃听等威胁。

　　市场研究机构的调查结果显示，亚太区服务供应商在VoIP安全性方面的支出远远落后于美国和欧洲。预计2005年亚太区服务供应商在VoIP安全性方面的支出还不到3300万美元，而亚太区以外的所有地区则将支出8360万美元，并且这一差距还将进一步加大，预计2008年亚太区在这方面的支出大约为1.7亿美元，而亚太以外其它地区的总支出将超过3.7亿美元。这种差距显示了当前亚太区在VoIP安全方面意识的欠缺。

　　VoIP安全联盟(VoIPSA)是一个旨在提高公众对网络电话安全性和保密性意识的开放性组织，旨在发现、理解并避免与网络电话安全性相关的风险，专注于VoIP安全性的研究和教育。其成员来源非常广泛，包括厂商、业务提供商、研究人员和顾问人员。其主要活动方式是讨论列表、白皮书、支持 VoIP安全性研究项目，以及开发供公众使用的工具和方法，为VoIP提供更全面的安全理念、安全产品、解决方案以及管理标准等。2005年2月，提出的两个最初目标是制定威胁分类(threat taxonomy)和定义安全需求。近期，正致力于起草VoIP网络需要的安全措施以及威胁模式的相关文件。

　　宽带电话的技术特点和面临的安全威胁

　　宽带电话是依据宽带接入实现的，是目前VoIP的主要商用形式，其安全是以宽带接入安全为基础的。宽带电话随着宽带接入的普及而流行。宽带接入作为逐步成为主流的互联网接入方式，通过不同的频道，在一根同轴电缆或光纤上承载多个独立的信道，有利用电缆调制解调器(cable modem)、数字用户线(DSL)或光纤等接入方式，其速率一般都超过1 Mbit/s，具有连接地址固定、传输速率高等特点。

　　由于宽带服务一般以包月方式提供，用户PC等智能终端采用永久连接网络的方式，这意味着永远在线，也就存在随时可能受到入侵和攻击的威胁。宽带连接，一方面在时间上给黑客提供了尝试攻击的机会;另一方面，永久连接经常使用固定IP地址，目标固定，增加了攻击成功的几率。而由于终端功能的智能性、信息内容的丰富性，一旦黑客控制了系统，他们不仅可以盗走敏感信息、破坏文件，甚至利用它作为对其它站点发动攻击的跳板，进行网络攻击。网络安全直接影响到宽带电话的安全。　　信息技术的发展和进步超过了实际的安全需求，宽带电话尤其如此。目前，还没有出现专门针对主流或商用VoIP的攻击威胁，但威胁的出现只是时间问题。尽管VoIP威胁并不比其它Web应用面临的严峻，但是要保证安全则更加严峻，这是由VoIP的特点决定的。例如VoIP一般需要比Web浏览和E-mail更多的连接，流媒体连接是动态的，因此安全需求更加复杂。

　　宽带网络受到病毒、垃圾邮件、拒绝服务攻击等威胁，而VoIP还面临与其他Internet应用不同的安全和隐私问题，如呼叫跟踪，呼叫劫持，以及偷听等最危险的威胁。这两方面的攻击威胁都给宽带电话的安全带来风险。

　　概括而言，宽带电话受到攻击的目标可能是电话呼叫各方之间交换的信息内容，呼叫者和被叫者的身份，IP 电话功能实体，IP电话网元，以及服务器、主机等。

　　宽带电话的安全脆弱性分析

　　1.IP分组网本身的脆弱性

　　IP分组通信网作为开放的网络，本身固有数据网的安全脆弱性，这包括:

　　嗅探数据包的话音监听;

　　网络身份欺骗、以免费使用服务;

　　数据包操纵终止业务;

　　用户帐号和设备欺骗，这与接入网络的数据库和IP地址有关;

　　破坏网络的完整性，修改数据库或复制设备，使话音网络拥堵或被控制;

　　其它安全威胁，包括终端用户隐私权的泄漏等;新的安全挑战包括截取、修改呼叫控制(如SIP)数据包，乃至改变数据包的目的地址和呼叫连接等。

　　IP分组网络的性能无法达到电路交换网的水平，其网络安全脆弱性加大了宽带电话的安全风险。因为从风险管理的角度看，如果运营VoIP业务的数据网络遭受灾难，公司将面临同时丢失话音和数据通信的风险，原来单独数据网业务的安全威胁被延伸到两个系统。

　　2.VoIP受到的安全攻击

　　VoIP环境中特别需要注意的安全攻击威胁包括:

　　拒绝服务(DoS) 攻击:如IP电话、VoIP网关(SIP代理) 等端点，可能受到SYN 或ICMP数据包的攻击，以致通信中断，无法正常提供宽带电话服务。

　　呼叫截取:话音或实时传输协议(RTP) 数据包受到非授权的跟踪。

　　信令协议篡改: 与呼叫截取一样，恶意用户可以监控和篡改建立呼叫后传输的数据包，修改数据流中的域，使VoIP呼叫不使用VoIP话机，或者它们可以进行费率更高的呼叫(如国际电话)，使IP-PBX认为呼叫来自另一个用户。

　　状态窃取:假冒合法用户收发数据。

　　资费欺骗: 恶意用户或入侵者拨打欺骗性电话。

　　呼叫处理操作系统: 许多IP-PBX系统的呼叫处理软件都是基于操作系统或操作系统组件，它们可能是不安全的。例如，使用Microsoft IIS做为IP-PBX的Web配置工具就会在VoIP环境引入显著的安全脆弱性。

　　实现宽带电话服务的安全

　　由于宽带电话受到IP网络和VoIP安全两方面的攻击威胁，所以宽带电话的安全应该从保障IP网络安全和VoIP安全两方面进行防范。

　　1.保障IP分组网的安全

　　IP网络是实现宽带电话的基础，要保障宽带电话的安全，首先应该保障宽带网络的安全。这方面的防护措施主要包括以下内容:

　　防火墙:防火墙在两个网络之间执行访问控制策略，可以是软件或硬件设备。

　　入侵检测和防护:在网络中不同端点安装和实施，以监测系统、网络运行状况和流量，在故障出现之前尽快采取防护和补救措施，将损失降至最低。