在过去的三年里，VoIP的厂商一致在致力于改善他们所提供产品的安全性。在此之前，业界对于VoIP安全性的探讨仅仅局限在理论研究上。对于IP-PBX等产品安全性测试的关注增加起源于2006年初在《商用通信回顾》杂志上的一篇关于高端IP-PBX性能的文章。

　　这篇文章对于VoIP厂商提供的相关产品做了系列的安全性测试，最后得出的结论表明，市场上的各类产品在安全性方面差异较大。而且，虽然安全性问题正在得到改善，但是在未来还有许多问题需要解决。这项测试假设厂商能够达到的最高测试分数为10分，所测试的五家厂商的得分在6到9分之间，平均为7.8分。结果不是非常的令人满意。

　　在此，VoIP网络的安全性可以被分为三类：

　　信令传输的安全性
　　话音传输的安全性
　　VoIP网元端点（如服务器、网关、客户端电话等）的安全性

　　信令安全性

　　信令安全性应该是VoIP安全性应该关注的首要问题。VoIP网络的信令通常包括呼叫建立、呼叫控制、特定业务和功能接入以及用户特权的限制。信令加密能够同时保护服务器和客户端。设备厂商可以选择不同的加密策略，从完全加密到不加密，其中一些不完善或者说可变的成分包括：

　　不是所有的信令功能都加密
　　软电话不进行加密
　　只加密保护注册功能
　　不标准的解决方案
　　有些IP电话需要更多的内存来支持加密操作
　　不是所有的IP电话都能够为支持加密而升级
　　加密功能需要一个可用的序列号
　　网关可能不支持加密

　　因此，对VoIP网络的信令系统进行加密极为重要，主要是保证了服务提供商的VoIP网络不被攻击和窃用。但是目前的设备厂商产品在这个方面具有一定的差异性和局限性，例如有些对于加密的不支持是由信令协议SIP不支持加密而导致的。

    媒体/语音安全性

　　语音加密对于VoIP产品也十分的重要。目前，业界流行两种语音加密的方式：一种是基于标准化的方案，使用安全实时协议(Secure Real Time Protocol, SRTP)，另一种则是各自私有化的解决方案。值得指出的是，IP电话机(或者IP电话软件)和网关可能不支持语音加密。同时，对于128比特高级加密系统(AES)，可能会需要RTU序列号的支持。

　　集成防火墙

　　防火墙通常都是产品的附加功能。在VoIP系统中，防火墙可以在终端电话软件上部署。但是需要注意的是，PC机上安装防火墙会增加通话的时延，从而影响通话质量。目前市场上已经有厂商所提供的防火墙软件能够嵌入到网关中。因此，无论是软电话终端还是网关节点，增加防火墙功能都是通过软件实现的。

　　终端鉴权

　　部分从前基于有线局域网提供VoIP产品的厂商目前转到了基于IEEE 802.1x系列的无线局域网领域，并且同时提供一个格外的RADIUS服务器以用于鉴权。MD5鉴权算法已经被某些厂商的产品所支持。8位密码和密钥交换可能会在注册的时候所用到。而另一些厂商的产品则使用变化长度的密码，最多25位，也是在初始注册阶段应用。

    攻击缓解

　　虽然我们不能有效地阻止所有的拒绝服务（DoS）攻击，但是VoIP产品可以采取一定的预防性措施，以缓解攻击。对于VoIP的DoS攻击可以有很多种形式，分别有相应的攻击能够用于产生VoIP攻击（笔者将在后续的文章中介绍）。一种能够在终端侧实现的避免DoS攻击的方式是忽略DoS攻击的数据包。由于DoS攻击通常都是一些重复性的操作，具有较为显著的特点，因此终端软件可以被设计为能够发现这样的攻击，从而忽略其数据包。例如，重复性的SIP INVITE消息（用于SIP呼叫建立请求）就可以被判断为恶意的攻击行为，因此终端可以在收到10个重复INVITE消息的时候忽略掉其中的9个，并且向相应的管理系统报告被攻击。

　　标准化vs.私有方案

　　基于标准化的VoIP安全性解决方案可能很具吸引力，但是有些时候，私有的解决方案可能更易于实现并且性能良好。这就引出了互操作性的问题。基于标准化的VoIP安全性解决方案可能在不同的VoIP厂商产品上有效，因此大大提高了其市场的竞争力。而私有的安全性解决方案虽然可能在某些方面易于实现并且性能良好，但是从长远来看应该终究被标准化方案所取代，这是整个产业的趋势所在。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们