嗅探数据包的话音监听;

　　网络身份欺骗、以免费使用服务;

　　数据包操纵终止业务;

　　用户帐号和设备欺骗，这与接入网络的数据库和IP地址有关;

　　破坏网络的完整性，修改数据库或复制设备，使话音网络拥堵或被控制;

　　其它安全威胁，包括终端用户隐私权的泄漏等;新的安全挑战包括截取、修改呼叫控制(如SIP)数据包，乃至改变数据包的目的地址和呼叫连接等。

　　IP分组网络的性能无法达到电路交换网的水平，其网络安全脆弱性加大了宽带电话的安全风险。因为从风险管理的角度看，如果运营VoIP业务的数据网络遭受灾难，公司将面临同时丢失话音和数据通信的风险，原来单独数据网业务的安全威胁被延伸到两个系统。

　　2.VoIP受到的安全攻击

　　VoIP环境中特别需要注意的安全攻击威胁包括:

　　拒绝服务(DoS) 攻击:如IP电话、VoIP网关(SIP代理) 等端点，可能受到SYN 或ICMP数据包的攻击，以致通信中断，无法正常提供宽带电话服务。

　　呼叫截取:话音或实时传输协议(RTP) 数据包受到非授权的跟踪。

　　信令协议篡改: 与呼叫截取一样，恶意用户可以监控和篡改建立呼叫后传输的数据包，修改数据流中的域，使VoIP呼叫不使用VoIP话机，或者它们可以进行费率更高的呼叫(如国际电话)，使IP-PBX认为呼叫来自另一个用户。

　　状态窃取:假冒合法用户收发数据。

　　资费欺骗: 恶意用户或入侵者拨打欺骗性电话。

　　呼叫处理操作系统: 许多IP-PBX系统的呼叫处理软件都是基于操作系统或操作系统组件，它们可能是不安全的。例如，使用Microsoft IIS做为IP-PBX的Web配置工具就会在VoIP环境引入显著的安全脆弱性。

　　实现宽带电话服务的安全

　　由于宽带电话受到IP网络和VoIP安全两方面的攻击威胁，所以宽带电话的安全应该从保障IP网络安全和VoIP安全两方面进行防范。

　　1.保障IP分组网的安全

　　IP网络是实现宽带电话的基础，要保障宽带电话的安全，首先应该保障宽带网络的安全。这方面的防护措施主要包括以下内容:

　　防火墙:防火墙在两个网络之间执行访问控制策略，可以是软件或硬件设备。

　　入侵检测和防护:在网络中不同端点安装和实施，以监测系统、网络运行状况和流量，在故障出现之前尽快采取防护和补救措施，将损失降至最低。

　　反病毒软件:可以在网元设备和终端上分别安装和实施。

　　加密:对于内容敏感的通信，进行加密。

　　调制解调器安全:调制解调器会存储配置和验证信息，要保护这些信息;对于电缆调制解调器连接，要确定服务供应商将网络和设备采用了基于线缆数据传输服务接口标准(DOCSIS)，以提高连接安全性。

　　内容检查:Java、JavaScript、ActiveX 等互动技术是宽带内容站点和E-mail的重要组成部分，同时也是黑客攻击的潜在媒体，在浏览器和E-mail中尽量禁止这些功能。

　　操作系统安全

　　IP网络安全是各个网络层次上安全措施和内容的综合，一旦一个端点出现漏洞，就会延续到整个IP网络，因此综合、全面实施各种安全措施至关重要。

　　2.保障宽带电话安全

　　在技术上，宽带电话作为话音技术的一种实现方式，必须保障安全和隐私，因为使用IP技术，并不意味着它只能或可以是不安全的。新服务的实现，不应该以降低服务质量和安全为代价。宽带电话的安全应该解决以下几方面的技术问题:

　　保证带宽等网络资源，带宽是实现较高质量宽带电话的基础和优势所在。

　　减少因安全关联(SA)/密钥交换、加密操作引起的延迟，减少对话音质量的影响。

　　合理选择VPN和加密，平衡安全性和质量。

　　选择合适的多VPN隧道模式，如加密的VPN模式和没有加密的VPN模式。

　　网络地址翻译和呼叫控制，减少操作时间给话音质量带来的影响。

　　其它安全措施:包括采用强认证方式，如二元认证，公共密钥基础设施(PKI)、SIP和H.323协议中也嵌套了安全功能，包括地址认证; 保证呼叫处理软件运行平台的安全，如Microsoft或Linux操作系统，应该确保操作系统没有运行任何非必需软件的重要性，并且已安装必要的安全补丁，服务器、路由器的各个端口，除非必要，一般不要打开。

　　结论

　　在IP网络上实施宽带电话的安全功能，运营商需要在不同的网络层次实施各种安全措施，如认证、加密、防火墙等。消除所有的安全威胁是不可能的，但可以采取几个简洁步骤，如:尽量降低网络暴露，以减少拒绝服务(DoS)攻击;对于信令协议篡改，可基于执行状态进行判决;加密VoIP流量可以防止 VoIP呼叫受到监听，未来VoIP可以实现端到端的加密。