圖2 RTP與cRTP報文結構

其中假設數(shù)據(jù)鏈路層使用PPP協(xié)議，則頭部為6字節(jié)；IP頭部最小為20字節(jié)；UDP頭為8字 節(jié)；RTP頭部最小為12字節(jié)；PayLoad部分假設使用G.729編碼方式，每個RTP報文包含2個幀，為20字節(jié)。我們發(fā)現(xiàn)實際數(shù)據(jù)部分為20字 節(jié)，但是頭部卻占了46字節(jié)，實際的有效帶寬占用為約30%。如果我們RTP的載荷（PayLoad）使用PCM編碼方式，這部分將占用64K帶寬。

傳輸通道滿足語音帶寬需求實際上還是不能完全保證語音的連續(xù)和平滑。在以下情況會出現(xiàn)語音斷續(xù)的情況：

（1）隊列中大量其它數(shù)據(jù)需要傳輸，導致無法以正常的頻率轉發(fā)語音報文。

（2）在低速鏈路上同時存在超長的IP報文需要發(fā)送，如一個19200bps的串行鏈路發(fā)送一個 1920字節(jié)的FTP報文需要約0.8秒時間。假設在該鏈路上存在一條FTP數(shù)據(jù)流，每10秒發(fā)送一個如上所述的報文，則FTP占用約1.6K帶寬；同時 進行一次采用CRTP及G.731.1 5.3K編碼方式的語音會話，總帶寬占用率不到11K，似乎應該能聽到良好的通話效果。可是考慮每次發(fā)送FTP報文時，需要延時0.8秒，這時隊列中的 RTP報文也就被延時了0.8秒。用戶會每隔10秒就會有0.8秒聽不到聲音，這種通話效果是用戶無法忍受的。

由于 IP 網(wǎng)絡的開放性所致，VoIP 系統(tǒng)中的所有設備都能夠在網(wǎng)絡上被隨處分配，因而出現(xiàn)了一些安全威脅。主要的安全威脅有如下四點：

1）包/呼叫截取

VoIP 語音服務的傳輸與安全機制與傳統(tǒng)電話服務截然不同。由于 IP 協(xié)議本身并沒有防范攻擊的能力，因而未加密的語音數(shù)據(jù)流量在傳輸時極易被截取或偵聽。盡管目前來看，數(shù)據(jù)包偵聽在 VoIP 安全事件中所占的比例并不高，但由于這種偵聽方式技術難度不大，因此，在 VoIP 逐漸成為語音服務的主流之后，語音數(shù)據(jù)包偵聽可能會成為 VoIP 的一個主要安全威脅。IP 具有的移動性和靈活性使得它容易受到“中間人攻擊”，即地址解析協(xié)議（ARP）被用來強制流量通過某臺 PC 傳輸，然后就能獲取這些流量。

2）拒絕服務攻擊（DoS）

拒絕服務攻擊一直是黑客在網(wǎng)際網(wǎng)絡四處尋求下手目標或企業(yè)網(wǎng)站的慣用手法，隨著VoIP 的普及，黑客當然會將同樣手法施展在 VoIP 上。黑客可以對 IP呼叫處理服務器、語音網(wǎng)守等不同目標進行 DoS 攻擊。一般來說，要建立 VoIP 通話，必須將語音訊號轉變成網(wǎng)絡封包，若在傳送過程中想中斷通話，系統(tǒng)就必須傳送特定訊號來中斷聯(lián)機，因此黑客可以透過不斷傳送中斷訊號封包的方式攻擊 VoIP，使其通話質量大受影響，如果攻擊量夠大，還可能造成斷話的情形，因此，VoIP 網(wǎng)絡對于 DoS 攻擊特別敏感。

3）非授權訪問

非授權訪問攻擊并不是指某種類型的攻擊，它指的是當今網(wǎng)絡中發(fā)生的多數(shù)攻擊。如果某人想攻擊 Telnet登錄，他/她必須首先獲得系統(tǒng)上的Telnet提示。連接到Telnet端口上之后，將顯示以下信息：“只有經(jīng)過授權才能使用這種資源。”如 果黑客繼續(xù)試圖接入，他/她的操作將變成“非授權操作”。這些攻擊可以從網(wǎng)絡內部和外部發(fā)起。黑客可能以不良企圖對語音服務進行非授權訪問。

4）垃圾語音

垃圾語音（Spam over Internet Telephony；SPIT）非常可能成為 VoIP 應用上最嚴重的安全問題，其嚴重程度甚至可與垃圾郵件相提并論。攻擊者偽造一個虛假的呼叫，發(fā)送給每一位用戶，因為大多數(shù)VoIP 系統(tǒng)都被設計成同時處理很多鏈接請求，這也會使系統(tǒng)過載從而完全癱瘓。還有一些非常狡詐陰險的攻擊方式，比如偽造一個假的數(shù)字聲音消息，甚至連專業(yè)的聲音 分析器都識別不出來。此外，可能會在真正的通話中插入混淆詞匯，從而徹底改變了通話的內容和上下文。另外一種攻擊會使用 sniffer 程序，在用戶的 PC 上或 VoIP 提供方服務器上竊取 VoIP 的通話內容，當通話結束時，存下來的.wav 等聲音文件就會被發(fā)送給入侵者。一旦企業(yè)開始全面投入 VoIP 的外部通訊，垃圾語音（SPIT） 將成為 VoIP 安全性的最大問題來源，因為 VoIP 是透過公開的網(wǎng)際網(wǎng)絡進行端對端通訊，所以 IP 地址將被公開，換句話說，黑客可以輕易查找到受話者的 IP 地址，并展開巨量的垃圾語音攻擊。

VoIP 是有自身的不足的，它兼有IP網(wǎng)絡和話音網(wǎng)絡的一些弱點。IP 分組 IP 網(wǎng)絡的性能無法達到電路交換網(wǎng)的水平，其網(wǎng)絡安全脆弱性加大了寬帶電話的安全風險。面對這些不足也有其相應的解決方法。

經(jīng)過研究分析發(fā)現(xiàn)，當延時在150ms以下時，通話雙方幾乎不能感覺到延時的存在，而當延時在400ms以下時，也是用戶能夠接受的，當延時進一步增大后，達到800ms以上，正常的通話就無法進行。

1）延時的解決方法

從表1中可以發(fā)現(xiàn)隊列延時最小，幾乎可以忽略；而編碼的延時是由算法決定的不可能減小；在骨干網(wǎng)絡 中的傳輸延時也是不可改善的。我們可能對鏈路層延時或抖動緩沖（Jitter Buffer）延時進行改善。如果我們在使用低速串行鏈路進行傳輸，那么可以采用IP/UDP/RTP頭部壓縮策略來減小鏈路層報文大小，從而降低鏈路層 延時。

2）抖動的解決方法

在接收方收到語音幀報文由于擁塞及多個路由設備轉發(fā)后往往會產(chǎn)生不均勻的延時。這時，我們可以在接收方設置一個Jitter Buffer，將收到的報文在Jitter Buffer中排序，當Jitter Buffer 中的連續(xù)報文達到一定長度時才開始回放報文中包含的語音幀。但是考慮到Jitter Buffer造成的延時，我們需要根據(jù)統(tǒng)計到的語音傳輸情況動態(tài)的調整Jitter Buffer的深度。采用一個良好的Jitter Buffer 算法可在盡可能小的延時下，向用戶提供盡可能平滑的語音流。

由于語音編碼方式的采樣率往往是非常高的，通常為8000Hz，因此對連續(xù)的數(shù)個語音幀來說，它們之間的差異是非常小的。所以我們無法從Jitter Buffer中繼續(xù)取得語音幀時，可以將剛處理過的語音幀重用一次，當然如果無限制地重用一定會造成語音失真。對于G.729或G723.1來說，我們設 定的重用次數(shù)是2次。丟包還可以通過QoS、資源預留等策略來改善。

可用以下3種策略解決以上問題。

4.3.1壓縮實時傳輸協(xié)議（CRTP ）

如果RTP報文在采用CRTP后，可以將報文頭部壓縮至PPP頭部的6字節(jié)，CRTP頭部2字節(jié)，這樣帶寬利用率提高到約71%。目前CRTP使用于2M 以下的串行鏈路，主要在FR、HDLC、PPP協(xié)議上使用。假設采用G.723.1 5.3k編碼方式，在不使用CRTP的情況下，帶寬占用在18K左右，而使用CRTP后可以降低到低于9K。

4.3.2壓縮編碼方式

可以使用一系列的低帶寬壓縮編碼方式代替脈沖編碼模式（PCM），如表2所示。

表2 不同壓縮編碼方式所占用的帶寬

編碼方式	帶寬（kbps）
G726ADPCM	32
G728LD-CELP	16
G729CS-ACELP	8
G729aCS-ACELP	8
G723.1MP-MLQ	6.3
G723.1ACELP	5.3

4.3.3 靜音壓縮

通過各種語音編碼方式提供的靜音壓縮算法，可以達到大大降低帶寬占用的目的。VAD的原理就是設置一個閥值，當算法檢測到采樣的音量在閥值以下時即認為是 靜音，不產(chǎn)生語音幀。由于一般的通話過程往往均為交互的，即一方說話時另一方處于收聽狀態(tài)，如果采用了VAD技術，我們可以將帶寬占用率降低到原來的 50%以下。

4.3.4 帶寬保證的解決方法

1）資源預留

RFC2205定義了RSVP協(xié)議，這個協(xié)議為主機上的上層應用提供了一種機制來為指定的應用數(shù)據(jù)流向IP網(wǎng)絡申請指定的服務質量，而實際的流控制策略是 由下層的隊列QoS策略來實現(xiàn)的。RSVP是一個端到端的協(xié)議，但是，在流經(jīng)過的路徑上的所有路由器均需要支持RSVP協(xié)議。

2）QoS策略

為了解決帶寬保證問題我們可以通過對QoS排隊策略進行優(yōu)化，保證VoIP業(yè)務的正常進行，可以根據(jù)以下的區(qū)分策略在鏈路層設置多個隊列，以不同的隊列算法區(qū)分。

● 根據(jù)服務區(qū)分：為特定的協(xié)議在指定端口上保留一定的帶寬。比如可以為RTP協(xié)議、FTP協(xié)議、Telnet協(xié)議分別預留一定的帶寬，這時，算法就會盡力確保這個設置。我們可使用CQ（Custom Queue）算法來實現(xiàn)。

● 根據(jù)優(yōu)先級區(qū)分：我們還可以為指定性的報文流設定優(yōu)先級，然后隊列算法確保在高優(yōu)先級的報文隊列為空后才開始發(fā)送低優(yōu)先級報文。我們使用PQ（Priority Queue）算法來實現(xiàn)。

● 流量均衡：也可以由鏈路根據(jù)報文特征將它劃分為多個隊列，同時確保每個隊列中的報文以均等的幾率得到發(fā)送（每個隊列所占帶寬均等）。我們使用 WFQ（Qeighted Fair Queue）算法來實現(xiàn)。這種算法是最適合VoIP應用的，可以在即使擁塞的情況下保證VoIP應用所需的帶寬，從鏈路層上有力的支持RSVP協(xié)議在 VoIP應用中的使用。

● 擁塞預防：使用WRED（Weighting Random Early Detection）算法。這種算法在預測到擁塞發(fā)生的可能性時，主動從隊列中丟棄一些報文來避免擁塞，算法的一個典型用途是用來處理TCP報文傳輸?shù)膿砣A防。

4.3.5 降低最大傳輸單元（MTU）值

在一定條件下，可以動態(tài)的設定某個物理端口上的MTU值，這樣，就不可能有大報文通過。例如：可將MTU設定為576字節(jié)，則有FTP報文通過時延時將被降到不到300ms，在這樣的延時的通路上，語音傳輸?shù)馁|量還是可以被用戶接受的。

4.3.6 VoIP的安全問題解決方法

（1） 對VoIP 數(shù)據(jù)包進行加密和認證流量可以有效的防止通話受到和截取。IETF RFC 2401 定義的安全性IP（ IPSec） 是常用的安全協(xié)議，它提供了加密和認證功能，保護分組數(shù)據(jù)包免遭和篡改，可以有效抵御網(wǎng)絡攻擊，為IP 網(wǎng)絡通信提供透明的安全服務。為了加解密，終端用戶點之間必須建立安全聯(lián)盟（SA）并交換密鑰。

（2）一般來說，防火墻、加密是信息安全最行之有效的方法。虛擬專用網(wǎng)（VPN） 技術則綜合了這兩種方法的優(yōu)點，可以在IP 網(wǎng)和VoIP 網(wǎng)關之間加上網(wǎng)關型VPN 或在IP 網(wǎng)和移動主機間加上主機型VPN來增強VoIP 的安全性。VPN 是利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝，以及密鑰交換技術在公網(wǎng)上開辟一條隧道，保證合法用戶之間的安全通信。利用VPN 的安全機制來保證VoIP 的安全，不但可為用戶提供安全的語音服務，而且可充分利用企業(yè)現(xiàn)有的網(wǎng)絡設施，降低企業(yè)的營運成本。

（3）將VoIP 網(wǎng)絡和數(shù)據(jù)傳輸網(wǎng)絡隔離。這里所說的隔離并不是指物理上的隔離，而是指將所有的VoIP 終端放到一個獨立的虛擬局域網(wǎng)（VLAN）中，同時限制無關的PC 終端進入該網(wǎng)段。把VoIP 終端的IP 地址與其媒體訪問控制（MAC）地址綁定，同時配合VLAN劃分，把IP語音設備和數(shù)據(jù)網(wǎng)從邏輯上隔離，從而起到隔離病毒和防止攻擊的目的。配合數(shù)據(jù)網(wǎng)絡 的QoS 設定，將有助于保護VoIP語音系統(tǒng)，提高語音質量。

從VoIP 未來的發(fā)展角度出發(fā)，出于節(jié)省成本的考慮，固網(wǎng)和移動網(wǎng)絡運營商都將會逐步地在自己的核心網(wǎng)絡上通過IP 提供話音業(yè)務，并將IP 化從核心網(wǎng)向邊緣網(wǎng)推進。目前運營商用軟交換替代電路交換機的趨勢已經(jīng)非常明顯，VoIP 向網(wǎng)絡融合的遠景邁出了一大步。雖然VoIP技術在應用中存在一些問題，但是伴隨著技術的不斷進步，存在的諸多問題都會迎刃而解。VoIP多媒體業(yè)務將會 得到快速的發(fā)展和廣泛的利用，我們有理由相信無論是在國外還是在國內，作為給用戶提供的一種選擇，VoIP電話業(yè)務尤其是多媒體業(yè)務必將得到迅猛發(fā)展。