提高VoIP设备安全性手段综述

媒体/语音安全性

语音加密对于VoIP产品也十分的重要。目前，业界流行两种语音加密的方式：一种是基于标准化的方案，使用安全实时协议(Secure Real Time Protocol, SRTP)，另一种则是各自私有化的解决方案。值得指出的是，IP电话机(或者IP电话软件)和网关可能不支持语音加密。同时，对于128比特高级加密系统(AES)，可能会需要RTU序列号的支持。

集成防火墙

防火墙通常都是产品的附加功能。在VoIP系统中，防火墙可以在终端电话软件上部署。但是需要注意的是，PC机上安装防火墙会增加通话的时延，从而影响通话质量。目前市场上已经有厂商所提供的防火墙软件能够嵌入到网关中。因此，无论是软电话终端还是网关节点，增加防火墙功能都是通过软件实现的。

终端鉴权

部分从前基于有线局域网提供VoIP产品的厂商目前转到了基于IEEE 802.1x系列的无线局域网领域，并且同时提供一个格外的RADIUS服务器以用于鉴权。MD5鉴权算法已经被某些厂商的产品所支持。8位密码和密钥交换可能会在注册的时候所用到。而另一些厂商的产品则使用变化长度的密码，最多25位，也是在初始注册阶段应用。

攻击缓解

虽然我们不能有效地阻止所有的拒绝服务（DoS）攻击，但是VoIP产品可以采取一定的预防性措施，以缓解攻击。对于VoIP的DoS攻击可以有很多种形式，分别有相应的攻击能够用于产生VoIP攻击（笔者将在后续的文章中介绍）。一种能够在终端侧实现的避免DoS攻击的方式是忽略DoS攻击的数据包。由于DoS攻击通常都是一些重复性的操作，具有较为显著的特点，因此终端软件可以被设计为能够发现这样的攻击，从而忽略其数据包。例如，重复性的SIP INVITE消息（用于SIP呼叫建立请求）就可以被判断为恶意的攻击行为，因此终端可以在收到10个重复INVITE消息的时候忽略掉其中的9个，并且向相应的管理系统报告被攻击。

标准化vs.私有方案

基于标准化的VoIP安全性解决方案可能很具吸引力，但是有些时候，私有的解决方案可能更易于实现并且性能良好。这就引出了互操作性的问题。基于标准化的VoIP安全性解决方案可能在不同的VoIP厂商产品上有效，因此大大提高了其市场的竞争力。而私有的安全性解决方案虽然可能在某些方面易于实现并且性能良好，但是从长远来看应该终究被标准化方案所取代，这是整个产业的趋势所在。