基于IP網(wǎng)絡(luò)的話音傳輸(VoIP)技術(shù)目前已經(jīng)發(fā)展成為一種專門的話音通信技術(shù)，其應(yīng)用范圍越來越廣。但是研究發(fā)現(xiàn)，除服務(wù)質(zhì)量等問題外，安全問題是企業(yè)首席技術(shù)官(CIO)們在做VoIP決策時重點考慮的內(nèi)容。在現(xiàn)實中，許多客戶表示，安全狀況不能達(dá)到企業(yè)的應(yīng)用標(biāo)準(zhǔn)是他們暫時不想部署 VoIP的原因。目前，VoIP面臨的安全議題主要有4個:拒絕服務(wù)(DoS)攻擊、非法接入、話費詐欺或竊聽等威脅。
市場研究機(jī)構(gòu)的調(diào)查結(jié)果顯示，亞太區(qū)服務(wù)供應(yīng)商在VoIP安全性方面的支出遠(yuǎn)遠(yuǎn)落后于美國和歐洲。預(yù)計2005年亞太區(qū)服務(wù)供應(yīng)商在VoIP安全性方面的支出還不到3300萬美元，而亞太區(qū)以外的所有地區(qū)則將支出8360萬美元，并且這一差距還將進(jìn)一步加大，預(yù)計2008年亞太區(qū)在這方面的支出大約為1.7億美元，而亞太以外其它地區(qū)的總支出將超過3.7億美元。這種差距顯示了當(dāng)前亞太區(qū)在VoIP安全方面意識的欠缺。
VoIP安全聯(lián)盟(VoIPSA)是一個旨在提高公眾對網(wǎng)絡(luò)電話安全性和保密性意識的開放性組織，旨在發(fā)現(xiàn)、理解并避免與網(wǎng)絡(luò)電話安全性相關(guān)的風(fēng)險，專注于VoIP安全性的研究和教育。其成員來源非常廣泛，包括廠商、業(yè)務(wù)提供商、研究人員和顧問人員。其主要活動方式是討論列表、白皮書、支持 VoIP安全性研究項目，以及開發(fā)供公眾使用的工具和方法，為VoIP提供更全面的安全理念、安全產(chǎn)品、解決方案以及管理標(biāo)準(zhǔn)等。2005年2月，提出的兩個最初目標(biāo)是制定威脅分類(threat taxonomy)和定義安全需求。近期，正致力于起草VoIP網(wǎng)絡(luò)需要的安全措施以及威脅模式的相關(guān)文件。
寬帶電話的技術(shù)特點和面臨的安全威脅
寬帶電話是依據(jù)寬帶接入實現(xiàn)的，是目前VoIP的主要商用形式，其安全是以寬帶接入安全為基礎(chǔ)的。寬帶電話隨著寬帶接入的普及而流行。寬帶接入作為逐步成為主流的互聯(lián)網(wǎng)接入方式，通過不同的頻道，在一根同軸電纜或光纖上承載多個獨立的信道，有利用電纜調(diào)制解調(diào)器(cable modem)、數(shù)字用戶線(DSL)或光纖等接入方式，其速率一般都超過1 Mbit/s，具有連接地址固定、傳輸速率高等特點。
由于寬帶服務(wù)一般以包月方式提供，用戶PC等智能終端采用永久連接網(wǎng)絡(luò)的方式，這意味著永遠(yuǎn)在線，也就存在隨時可能受到入侵和攻擊的威脅。寬帶連接，一方面在時間上給黑客提供了嘗試攻擊的機(jī)會;另一方面，永久連接經(jīng)常使用固定IP地址，目標(biāo)固定，增加了攻擊成功的幾率。而由于終端功能的智能性、信息內(nèi)容的豐富性，一旦黑客控制了系統(tǒng)，他們不僅可以盜走敏感信息、破壞文件，甚至利用它作為對其它站點發(fā)動攻擊的跳板，進(jìn)行網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全直接影響到寬帶電話的安全。
信息技術(shù)的發(fā)展和進(jìn)步超過了實際的安全需求，寬帶電話尤其如此。目前，還沒有出現(xiàn)專門針對主流或商用VoIP的攻擊威脅，但威脅的出現(xiàn)只是時間問題。盡管VoIP威脅并不比其它Web應(yīng)用面臨的嚴(yán)峻，但是要保證安全則更加嚴(yán)峻，這是由VoIP的特點決定的。例如VoIP一般需要比Web瀏覽和E-mail更多的連接，流媒體連接是動態(tài)的，因此安全需求更加復(fù)雜。
寬帶網(wǎng)絡(luò)受到病毒、垃圾郵件、拒絕服務(wù)攻擊等威脅，而VoIP還面臨與其他Internet應(yīng)用不同的安全和隱私問題，如呼叫跟蹤，呼叫劫持，以及偷聽等最危險的威脅。這兩方面的攻擊威脅都給寬帶電話的安全帶來風(fēng)險。
概括而言，寬帶電話受到攻擊的目標(biāo)可能是電話呼叫各方之間交換的信息內(nèi)容，呼叫者和被叫者的身份，IP 電話功能實體，IP電話網(wǎng)元，以及服務(wù)器、主機(jī)等。
寬帶電話的安全脆弱性分析 
1.IP分組網(wǎng)本身的脆弱性 
IP分組通信網(wǎng)作為開放的網(wǎng)絡(luò)，本身固有數(shù)據(jù)網(wǎng)的安全脆弱性，這包括: 
·嗅探數(shù)據(jù)包的話音監(jiān)聽; 
·網(wǎng)絡(luò)身份欺騙、以免費使用服務(wù); 
·數(shù)據(jù)包操縱終止業(yè)務(wù); 
·用戶帳號和設(shè)備欺騙，這與接入網(wǎng)絡(luò)的數(shù)據(jù)庫和IP地址有關(guān); 
·破壞網(wǎng)絡(luò)的完整性，修改數(shù)據(jù)庫或復(fù)制設(shè)備，使話音網(wǎng)絡(luò)擁堵或被控制; 
·其它安全威脅，包括終端用戶隱私權(quán)的泄漏等;新的安全挑戰(zhàn)包括截取、修改呼叫控制(如SIP)數(shù)據(jù)包，乃至改變數(shù)據(jù)包的目的地址和呼叫連接等。 
IP分組網(wǎng)絡(luò)的性能無法達(dá)到電路交換網(wǎng)的水平，其網(wǎng)絡(luò)安全脆弱性加大了寬帶電話的安全風(fēng)險。因為從風(fēng)險管理的角度看，如果運營VoIP業(yè)務(wù)的數(shù)據(jù)網(wǎng)絡(luò)遭受災(zāi)難，公司將面臨同時丟失話音和數(shù)據(jù)通信的風(fēng)險，原來單獨數(shù)據(jù)網(wǎng)業(yè)務(wù)的安全威脅被延伸到兩個系統(tǒng)。 
2.VoIP受到的安全攻擊 
VoIP環(huán)境中特別需要注意的安全攻擊威脅包括: 
·拒絕服務(wù)(DoS) 攻擊:如IP電話、VoIP網(wǎng)關(guān)(SIP代理) 等端點，可能受到SYN 或ICMP數(shù)據(jù)包的攻擊，以致通信中斷，無法正常提供寬帶電話服務(wù)。 
·呼叫截取:話音或?qū)崟r傳輸協(xié)議(RTP) 數(shù)據(jù)包受到非授權(quán)的跟蹤。 
·信令協(xié)議篡改: 與呼叫截取一樣，惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據(jù)包，修改數(shù)據(jù)流中的域，使VoIP呼叫不使用VoIP話機(jī)，或者它們可以進(jìn)行費率更高的呼叫(如國際電話)，使IP-PBX認(rèn)為呼叫來自另一個用戶。
·狀態(tài)竊取:假冒合法用戶收發(fā)數(shù)據(jù)。 
·資費欺騙: 惡意用戶或入侵者撥打欺騙性電話。 
·呼叫處理操作系統(tǒng): 許多IP-PBX系統(tǒng)的呼叫處理軟件都是基于操作系統(tǒng)或操作系統(tǒng)組件，它們可能是不安全的。例如，使用Microsoft IIS做為IP-PBX的Web配置工具就會在VoIP環(huán)境引入顯著的安全脆弱性。