张慧博 张铁君 孙永坚

1 吉林大学通信工程学院 吉林 130012

2 吉林大学珠海学院 广东 519041

0 引言

VoIP是目前互联网应用领域的一个热门话题，VoIP技术使得基于类似 Internet这样的数据网络实现电话业务成为可能。与传统电话业务相比，这种实现模式能够提供更多的集成功能、更高的通信带宽、更稳定的通信质量以及更灵活的管理能力，突出的优势是显著降低通信成本。企业部署VoIP系统，首先要制定安全策略。安全策略要为VoIP提供基本的指导方针。它的责任是在实施VoIP系统时建立一个安全的防御体系，制定原则是确保安全策略不会与企业的发展目标和实际活动相抵触。

1 依法保障网络信息安全

自1994年互联网正式引入我国以来，经过十几年快速发展，互联网已经成为了我国重要的社会基础设施，为促进经济社会更好更快的发展起到了推动作用。但是，同其他国家一样，我国互联网始终面临着黑客攻击、网络病毒泛滥等违法犯罪活动的严重威胁。网络欺诈、垃圾邮件、网络攻击、网络病毒等，正时刻威胁着网络信息的安全，损害了人们对互联网的信心，危害到现实世界的正常秩序和社会和谐。据有关数据统计，仅2009年我国被境外控制的计算机IP地址就达100多万个，被黑客组织篡改的网站多达4.2万个；在受网络病毒威胁方面，去年我国仅被“飞客”蠕虫这一种网络病毒感染的计算机数量就达每月 1800万台。在上述受攻击的计算机中，不仅涉及大量网络用户，而且涉及金融、交通、能源、通信等多个部门，对我国经济发展和人民正常生产生活造成了严重危害。可以说互联网安全问题是一个全球性问题。因此，应切实采取措施，依法保障网络信息安全，使网络信息的流动既安全可靠又通畅有序，为互联网的健康发展创造有利条件。

2 构建多层次安全对策

VoIP所面临的安全威胁是原有互联网络部分安全漏洞的继承，也是由其协议和标准的开放特性决定的。伴随着VoIP的发展和普及，其安全问题显得尤为重要，为了保护VoIP系统的安全，为用户提供可靠的语音通迅环境，应在黑客可能突破的攻击路线上尽可能多的设防，用多层次方法保护VoIP的安全。

2.1 实现语音与数据分离

要建立一个安全的VoIP网络，有效的方法之一就是将其从现有的数据网络中独立出来。这样黑客对数据网络进行的攻击将不会影响到VoIP系统。众所周知，基于IEEE801.1q的VLAN常用于提高数据的带宽利用率和安全性。VLAN本身的功能还可以将其内部的一个物理网络分成许多个独立的逻辑子网，这样一来，可以依据具体应用或部门使用范围将它们分散到各自独立的网络中去。

2.2 部署防火墙

边界保护手段通常采用防火墙技术，传统的防火墙仅仅是为数据应用设计的。语音会话、视频会议中会使用一串UDP和TCP包，它们还有复杂的呼叫机制。一个传统的防火墙很可能不适合 VoIP网络，这就需要带有深度包检测(Deep Packet Inspection, DPI)功能的防火墙。

2.3 设置入侵防御系统

如果攻击者获得了网络访问权，从VoIP内部发动攻击，无疑对VoIP是个极大的威胁。譬如说，利用SIP，发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统可以解决从内部发动攻击这个问题，入侵检测系统能理解SIP，可以检测这些攻击。一款好的IPS(Intrusion Prevention System )还能够防止基于SIP的中间人攻击，以免通过另一个设备改变流量传输方向。

2.4 对数据包进行加密和认证

对 VoIP数据包进行加密和认证可以有效地防止通话受到监听。IETF RFC 2401定义的安全性IP(IPSec)是常用的安全协议，它提供了加密和认证功能，可以有效的防止分组数据包遭受攻击、窃听和篡改，为IP网络通信提供安全服务。IPSec协议由一组协议组成，其中包括AH、ESP、IKE及加密和验证算法。ESP的作用是确保IP数据包的机密性 、数据的完整性及对数据源的身份验证。此外，它还要完成对网络攻击的抵抗。每一个IPSec节点都包含有一个安全策略库(SPD)。SPD决定了整个VPN的安全需求。在SPD这个数据库中，每个条目都定义了要保护的是何种通信类型、何种保护形式，以及和谁共享这种保护。IPSec系统在处理输入/输出IP流时必须参考该策略库，并根据从SPD中提取的策略对IP流采取不同的处理方法。

TLS保护VoIP会话也是非常重要的，TLS使用的是数字签名和公共密钥加密，这样每一个端点都有一个可信任的、由权威 CA认证的签名。用 SRTP可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。安全RTP是IETF传输加密话音的标准。RFC 3711定义了SRTP，它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。SRTP只用于话音分组，由于其只加密有效负荷，因此，非常适宜话音和视频数据库的传输。

另外，网关是数据进出VoIP网络的门户，保护好VoIP网关也是关键所在。

3 制定多方位安全策略

用户使用VoIP时，使用用户和设备认证机制确认使用者的身份是十分必要的，可以有效限制非法用户对 VoIP发起的攻击。IP电话设备的认证方法之一是利用MAC地址。如果当MAC地址未知的终端试图进入呼叫处理器，而且又不知道IP电话的MAC地址时，注册就会失败。这种设置能防止攻击者将电话非法接到网络中，进一步发动攻击。身份认证也是H.323中重要的安全机制，确定终端用户的身份，是整个安全机制的基础。除此以外，建议制定多方位的安全策略来进一步提供VoIP安全保证。

3.1 阻挡式拒绝服务攻击

入侵检测系统对检测“拒绝服务”攻击十分有效。另外，VoIP阻挡“拒绝服务”攻击的常用方法是：在网络上建立一个过滤器或嗅探器，在信息到达VoIP服务器之前阻挡信息。如果过滤器侦察到的某项可疑的攻击行动经常出现，它便能接受指示，阻挡包含可疑信息的行动，让VoIP服务器的对外连接线路保持畅通。此外，还应经常扫描检查系统，解决系统存在的漏洞。

3.2 防止病毒传播

入侵检测、防火墙等常用的防范措施对于保护IP语音免受病毒侵害也具有显著效果。另外，防止病毒传播，可采取以下措施：

(1) 加强网络管理员安全管理水平，提高安全意识。由于病毒和蠕虫通常利用系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，及时进行各种操作系统和应用软件的更新。

(2) 建立病毒检测系统。在服务器和电脑上安装防病毒软件，使其能够在第一时间内检测到网络异常和病毒攻击。

(3) 建立应急响应系统，将风险降低到最小。由于病毒和蠕虫爆发的突然性，在病毒被发现的时候可能已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。

(4) 建立备份系统。对于VoIP的数据库和数据系统，必须采用定期备份、多机备份措施，防止意外灾难下系统失效和话费数据丢失。

(5) 对于企事业网络而言，可以采用以下一些主要手段：

① 在互联网接入口处安装防火墙，将病毒隔离在局域网之外；

② 对邮件服务器进行监控，防止带毒的邮件进行传播；

③ 建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用应用软件升级，各种杀毒软件病毒库的升级等等；

④ 对局域网用户进行安全教育与培训。

3.3 主动实施安全扫描

可以通过各种安全扫描软件对系统进行体检，迅速找到安全漏洞并及时修复。目前，有多种软件可以对设备进行扫描，检查系统的弱点并生成报表。

3.4 有效实现访问控制

访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝可以由类似于源地址、目的地址、端口号等特定指示条件来决定。尽管可以将语音与数据在网络中分段，但在VoIP系统中还有许多设备需要横跨语音网和数据网，如呼叫处理器、网关、注册服务器等。路由器和三层交换机可以实现跨语音与数据VLAN的互相访问。为了降低风险，需要通过访问控制列表 ACL来控制它们之间的流量，设置不同VLAN间乃至不同IP地址的设备对于不同网络服务的访问权限。不允许纯数据流量去访问呼叫处理器、注册管理器等，只允许IP电话流量进入呼叫处理器。用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性。

3.5 建立网管

以上介绍的是对于一般网络所采取的安全策略，另外还可以采取其他的一些安全策略来加强VoIP网络的安全。

加强网络连通性的保护(可以采取加强网络中路由和交换机上的保护、对线路和信令认证和加密、建立 VPN通道来保护语音等措施)、加强语音服务器的保护、提高网络的可靠性、建立集中的事件记录、建立网管系统、建立网络安全检测系统、定期检查和测试、采取H.235协议等都可以加强VoIP网络的安全性。

4 结束语

在IP网络上实施宽带电话的安全功能，运营商需要在不同的网络层次开发和实施各种安全措施，如认证、加密、防火墙等。由于黑客的无孔不入，消除所有的安全威胁是不可能的，但可以采取适用的安全步骤，如:尽量降低网络暴露，以减少拒绝服务(DoS)攻击；加密VoIP流量以防止 VoIP呼叫受到监听，并力争早日实现VoIP端到端的加密措施。此外，实现宽带电话安全，不仅可以从技术方面采取措施，也可以依靠强有力的管制政策来获得帮助。

[1] 张丹,任斐,赵阔,张园园,刘晓博,任维武,胡亮.基于 SVM 的在线无监督入侵检测系统[J].吉林大学学报(理学版).2009.

[2] 宋秀红,肖宗水,魏本见.基于SIP的VoIP网络中DoS攻击的分析与研究计算机工程与设计[J].2008.

[3] 戚建勋.VoIP安全问题和解决方案.中国新通信[J].2007.

[4] 吕雪.公安边防网中 VoIP网络安全多层次保护措施的探讨[J].公安海警高等专科学校学报.2007.

[5] 赵长林.用25种方法来打造VoIP的网络安全[J].VoIP IT专家网:2007.

[6] 姚玉坤,刘合武.基于 H.323协议的 VoIP安全问题探讨[J].电信工程技术与标准化.2007.