互聯網語音業務特征及安全問題分析

姜　建　中國信息通信研究院安全研究所工程師韓　挺　中國信息通信研究院安全研究所工程師

互聯網語音業務特征及安全問題分析

姜建中國信息通信研究院安全研究所工程師
韓挺中國信息通信研究院安全研究所工程師

隨著互聯網語音業務的快速發展，如何有效地管理互聯網語音業務并對其進行安全防護的問題亟待解決。為此，本文首先梳理了互聯網語音業務的相關特征，并按照不同維度對互聯網語音業務進行分類；其次，分析了互聯網語音業務中存在的安全問題；最后，針對互聯網語音業務的現狀給出了相應的安全管理建議。

互聯網語音業務；特征歸類；網絡安全問題

1　引言

Internet在全世界范圍內的快速發展和語音信號處理技術的進步，促進了互聯網語音業務（Vo IP）的興起。互聯網語音是指通過互聯網相關協議，采用新型數字化傳輸技術，將語音信號數字化，以數據包的形式在IP數據網絡上進行實時傳遞的語音應用。互聯網語音以傳統的Internet為基本平臺，具備低成本、全球性、多樣性和高兼容性等特征，可以兼容Web、Windows、Android、iOS等平臺，并允許不同平臺間的互聯互通。

互聯網語音是近幾年來興起的一個熱門技術，以其低廉的價格引起人們的普遍關注。從20世紀90年代初到現在，互聯網語音已經從簡單的具有語音服務的PC產品發展到具有多業務、高可靠性以及較好服務質量的含話音和數據傳送功能的電信業務。鑒于互聯網語音自身的優勢和良好的發展前景，互聯網語音業務正在逐步占據傳統固定電話業務市場。例如，日本互聯網語音用戶的數量以每年700萬的速度增長，并已逐漸接近其傳統電話用戶的數量；新加坡政府已經把原先允許35家運營商提供互聯網語音服務的規定擴大到600多家；香港電訊管理局將頒發互聯網語音法規和碼號規劃，大力推動網絡電話發展；在美國，互聯網語音業務在家用和商用市場中都不斷地占據更大份額。

隨著互聯網語音業務的快速發展，各種不同形式的互聯網語音業務也層出不窮，為此有必要梳理現有互聯網語音業務的發展現狀，對各種互聯網語音業務的業務特征進行抽象和提煉，歸納出幾種典型的業務特征，并對互聯網語音業務存在的安全風險進行分析，給出相應的管理建議。

2　互聯網語音業務分類

由于互聯網語音的特征多樣，可以從連接方式、業務模式、信令協議等方面對互聯網語音業務進行劃分。

2.1按連接方式劃分

根據互聯網語音的連接方式互聯網語音業務可以大致分為PC to PC、PC to Phone、Phone to Phone方式，下面將針對這3種連接方式分別進行介紹。

（1）PC toPC方式

PC toPC方式是互聯網語音的主流模式，是指通話雙方通過安裝特定軟件，利用具有麥克風、耳機及互聯網接入的智能終端（如計算機、智能手機等）進行通話的模式。主流的PC to PC語音業務有YY語音、有信、QQ語音、微信電話本等。

隨著移動互聯網的快速發展以及3/4G電信網絡的應用，PCtoPC的連接模式中不僅要包含傳統的計算機還要包含智能手機等智能終端，其傳輸網絡也由單一的Internet網絡變為Internet網絡和移動互聯網等多個網絡的融合網絡。因此，PC to PC的傳輸控制模式也由Windows套接字等方式演變為SIP信令控制方式，以滿足多網絡融合的需求。

（2）PC toPhone方式

PC to Phone方式是指通話的一方使用互聯網終端，另一方通過互聯網語音網關接入公共電話網絡進行語音通信，由于傳統電話終端無法直接接收Internet傳輸的數字信號，所以必須通過互聯網語音網關進行數字信號和模擬信號的相互轉換以及語音的壓縮、打包和解壓、拆包等操作。

由于PC to Phone方式能夠將現有的互聯網絡同原有的PSTN網絡互連，不但可以增加互聯網語音的通信范圍，而且對大企業客戶和個人用戶都具有一定的吸引力。但是，互聯網和傳統PSTN網絡的互聯不但增加了互聯網語音網關的運營開銷，也給PC to Phone方式帶來了互聯網和傳統PSTN的雙重安全威脅。

（3）PhonetoPhone方式

Phoneto Phone方式主要用于企業網內，以目前已有的家用電話為基礎，通過加裝互聯網語音網關并連接到互聯網。Phone toPhone方式需要部署兩種設備，即互聯網語音網關和關守。PhonetoPhone方式支持的控制信令協議主要有ITU的H.323和IETF的會話初始化協議SIP。

Phoneto Phone方式不改變傳統電話用戶的使用習慣，與其他兩種方式相比，擁有更廣泛、易于推廣的用戶市場。但是，服務提供商需要增設互聯網語音網關和網守，對網絡的改造較大；同時，Phoneto Phone方式也面臨互聯網和傳統PSTN的雙重安全威脅。

2.2按業務模式劃分

目前，互聯網語音常見的業務模式主要有專用客戶端方式、寬帶電話方式、即時通信語音方式，下面將針對這3種業務模式分別進行介紹。

（1）專用客戶端業務模式

專用客戶端是在個人終端上安裝互聯網語音通信軟件，并通過客戶端進行通信的語音模式。目前，主流的互聯網通信客戶端有國外的Skype、GoogleTalk，國內的微信電話本、YY語音、有信等。

專用客戶端又分為直撥和回撥兩種模式，直撥是指客戶端用戶直接呼叫另一客戶端用戶，通過互聯網實現語音通信；回撥是指話務發起方撥打電話，回撥平臺服務器接收到用戶主叫號碼后主動掛掉連接同時回撥發起方，當發起方接通后回撥平臺再呼叫被叫方，從而實現發起方和被叫之間的通話。

專用客戶端的便于安裝和低資費等優勢吸引著企業及各種人群的使用，并隨著技術的成熟、通話質量的提高，越來越受到大眾的喜愛。但是，專用客戶端尚處在監管缺失的狀態中，面臨的竊聽、冒用、重放等網絡攻擊態勢也不容樂觀。因此，專用客戶端亟需增強安全防護措施，以及政府的監管和引導。

（2）寬帶電話業務模式

寬帶電話是基于IP技術，以寬帶傳輸網絡和IP終端為載體，融合語音和數據的新型電信服務平臺。寬帶電話具有一定的IP尋址功能，由專門的服務器負責呼叫控制、尋址和路由，互聯網或者專門的IP網絡負責網絡承載，可穿透私網和防火墻，并提供PC to Phone的語音通信。

寬帶電話主要有兩種經營方式：一是通過發卡的方式發展用戶，用戶可以通過接入Internet服務器進行撥號；二是用戶購買IP電話機，并享受包月服務。兩種方式中，用戶均可以撥打傳統電信用戶或者其他寬帶用戶，從而實現互聯網語音的PCtoPhone連接。

（3）即時通信業務模式

即時通信是指依托IP數據網，集互聯網電話、即時消息、新聞、支付、地圖等功能于一身的綜合性社交平臺。目前，支持語音功能的即時通信軟件包括QQ、微信、易信等。即時通信所提供的高效、快速的語音通信，會逐漸改變用戶使用傳統語音業務的習慣，在一定程度上對傳統電信業形成了替代。

隨著技術的快速發展，即時通信語音業務承載主體將會進一步延伸，智能電視、可穿戴設備等新設備由于具備移動操作系統且能與智能手機連接，將會移植即時通信語音業務功能，并根據終端的不同特點對于業務功能進行調整。

即時通信話音業務的表達形式和交互價值現已超越了傳統通信。隨著移動互聯網的快速發展和智能終端的普及，其對我國ICT產業格局將產生重要影響。未來，移動即時通信業務的通信屬性、社交屬性和媒體屬性日益突出，尤其是通信屬性中不斷擴充的基礎電信業務因素，將使得此類業務的監管模式面臨新的挑戰。

2.3按信令協議劃分

從信令協議角度劃分，互聯網語音大致能夠劃為三大類，即基于H.323協議的互聯網語音、基于SIP協議的互聯網語音、基于TCP/IP協議的互聯網語音。

（1）基于H.323協議的互聯網語音

H.323是在包交換網絡上提供互聯網語音業務的關鍵技術。其中，包交換網絡包括：基于IP的網絡（含Internet）；基于IPX的局域網、企業網、城域網和廣域網等。H.323既可以應用于點對點的音頻應用（如IP電話）、視頻+音頻應用（如可視電話）、音頻+數據應用、音頻+視頻+數據應用，也可以應用于多點間的多媒體通信。

從業務實現模式上看，專用客戶端中的回撥方式以及寬帶電話中的PC to PC、PC toPhone方式均可以采用H.323協議來完成信令的傳輸，因此基于H.323協議的語音業務在國內獲得了廣泛應用。但隨著移動通信業務的興起，H.323語音業務的增長勢頭正逐漸變緩。

（2）基于SIP協議的互聯網語音

由于SIP協議所具有的優勢，無論設備制造商還是業務提供商，都看好SIP協議在網絡融合與業務集成方面的美好前景。微軟公司已經在最新的操作系統中實現了SIP協議棧，Window s的即時通信軟件MSN也已經以SIP協議為基礎；Nokia和Ericsson公司已經開發出了基于SIP的端到端系統，用于固定網絡和移動網絡的多媒體通信，為用戶提供豐富的多媒體業務；北電和思科公司也推出了集成SIP的多媒體通信產品。事實上，與SIP相關的產品線已非常豐富，包括SIP代理服務器、SIP用戶終端、SIP網關、SIP防火墻和NAT、SIP應用服務器等。不僅如此，諸如Vonage、MCI、LEVEL3等大型業務提供商也已經開始部署和運營基于SIP的固定網絡VolP業務。

從業務實現模式上看，專用客戶端中的回撥方式、即時通信語音業務、寬帶電話中的PC to PC、PC to Phone方式均可以采用SIP協議完成信令的傳輸

（3）基于TCP/IP協議的互聯網語音

基于TCP/IP協議的互聯網語音主要出現在互聯網語音通信早期的PC to PC連接模式中，通過Socket編程進行信令控制。通過網關和路由器的協助將IP數據包發送到對方的計算機上。

基于TCP/IP協議的信令傳輸方式易于實現，且對現有互聯網絡改造較少，因此前期PC to PC方式的互聯網語音多采用TCP/IP協議進行信令傳輸。但是基于TCP/IP協議的信令控制具有語音質量低、信令流易被劫持和攻擊等缺陷，且這種方式難以適應目前復雜的移動互聯網絡環境，因此部分專用客戶端業務模式的互聯網語音已經轉而采用SIP協議作為信令控制協議，以增加通話質量和信令傳輸安全。

3　互聯網語音業務安全風險分析

相對于實用性而言，早期的互聯網語音設計方案中并沒有考慮太多的安全性因素。互聯網語音最大的問題來源于PC到Phone方式，由于其具有任意改號的能力，這些修改過主叫號碼的呼叫進入公共電信網后，將無法依據主叫號碼來對合法呼叫進行判斷，從而造成詐騙、恐嚇、惡意呼叫等惡意行為。隨著互聯網語音被廣泛接受和應用，其安全性顯得越來越重要。

（1）IP組網本身的脆弱性

互聯網語音依托于開放性網絡，開放性的存在必然導致安全性的隱患，在分組網中刺探語音信息要比電路交換網的物理探測容易得多。

IP組網固有的安全威脅包括：

●嗅探數據包的話音竊聽。

●網絡身份、用戶賬號和設備欺騙。

●數據包操縱終止業務。

●破壞網絡的完整性，修改數據庫或復制設備，使話音網絡擁堵或被控制。

●其他安全威脅，如終端用戶隱私泄漏等。

目前，IP網絡上存在著大量的端口掃描工具，如XWay等，任何一個潛在的內部黑客都可以使用這些工具獲取互聯網語音各個組成部分的詳細信息，如IP地址、服務應用的TCP/UDP端口等。

（2）互聯網語音容災性差

IP分組網絡的性能無法達到電路交換網的水平，其網絡脆弱性也加大了互聯網語音的安全風險。當運營互聯網語音的數據網絡遭受不可抗拒的自然災難時，用戶將面臨同時丟失話音和數據通信的風險。

另外，傳統PSTN用戶在撥打火警、急救電話等緊急呼叫的同時，可以迅速向呼叫中心提供確定的物理位置，但是在一個互聯網語音中，撥打緊急呼叫號碼的用戶可以在IP網絡的任何位置，不能提供其所處的確切位置。因此，在危機時刻，通過互聯網語音業務撥打緊急呼叫遠沒有通過PSTN呼叫方便、可靠。

（3）互聯網語音易受到網絡攻擊

互聯網語音環境中易受到的網絡攻擊包括：

●拒絕服務（DoS）攻擊：如寬帶電話終端、網關等端點，可能受到SYN或ICMP數據包的攻擊，以致通信中斷，無法正常提供寬帶電話服務。

●呼叫截取：話音或實時傳輸協議RTP數據包受到非授權的跟蹤和截取。

●信令協議篡改：與呼叫截取類似，惡意用戶可以監控和篡改建立呼叫后傳輸的數據包；修改數據流中的域，使互聯網語音用戶將非法呼叫誤認為合法呼叫。

（4）即時通信語音面臨新問題

隨著技術和商業模式的變化，即時通信語音將引發一系列的安全問題。

●即時通信語音增加了用戶隱私信息泄露的風險。即時通信語音獲取相關用戶信息，極易造成個人信息泄露。

●即時通信語音加大了社會安全隱患。用戶使用即時通信語音業務可以直接與任何陌生人建立聯系，被不法分子利用成為犯罪的新工具，對社會安全問題產生了不利影響。

4　互聯網語音業務管理建議

當前互聯網語音業務可以分為多種類型，且針對大多數互聯網語音業務均沒有有效的管控手段，為早日實現互聯網語音安全保障的需求，不斷提升互聯網語音安全建設水平，建議從以下幾方面開展工作：

●完善管理制度，將互聯網語音業務納入到互聯網信息服務管理工作中

應該積極構建統籌互聯網語音發展與互聯網安全的制度機制，建立落實互聯網語音服務和產品的安全審查制度，在互聯網語音快速發展的同時，同步考慮互聯網語音的安全問題和解決方案。

●強化個人信息保護

依照《全國人大關于加強網絡信息保護的決定》以及工業和信息化部《電信和互聯網用戶個人信息保護規定》的要求建立全面的用戶個人信息安全體系，防止個人電子信息的泄露、毀損和丟失。

●加強技術手段建設，提升安全保障能力

強化互聯網語音新技術新業務信息安全評估；完善事前預警、事中應急管控、事后追蹤溯源的全周期管理體系；落實企業安全責任。

5　結束語

隨著移動互聯網以及網絡融合技術的快速發展，互聯網語音業務層出不窮，業務形態各異，本文期望通過現有互聯網語音從業務特征的層面進行提煉，歸納出互聯網語音業務的分類特征，為互聯網語音業務的管理和安全防護提供有效的依據。最后，本文分析了現有互聯網語音中存在的安全風險以及給出了針對互聯網語音業務的管理建議，為互聯網語音業務的健康發展提供參考。

［1］Travers G，Swale R P.International standards for VoIP［J］.BT Technology Journal，2001，19.

［2］Director General of Telecommunications.Frequently Asked Questions on the Regulation of Voice over Internet Protocol Services［EB/OL］.http：//www.ictregulationtoolkit.org，2pril.

［3］彭秀萍，趙定.VoIP及其典型應用模式［J］.成都大學學報，2006，03（25）：105-107.

［4］徐玉.全球寬帶電話市場分析［J］.世界電信，2004.

［5］張登銀，孫精科.VoIP技術分析與系統設計［M］.人民郵電出版社，2003.

［6］司端鋒，潘愛民.IP電話（VolP）中的安全性問題［J］.計算機工程，2004，18：105-107.

Analysis on Voice over Internet Features and Network Security Problems

Jiang Jian，HanTing

With the rapid development of the voice over Internet，the management and security protection of voice overInternet become more and more important.So we firstly research the feature of voice over Internet and classify the voice over Internet as different dimension.Secondly，we analyze the security problem of voice over Internet.At last，we give recommendations to manage voice over Internet.

voice over Internet；feature classification；network security

2015-12-10）