Voice over IP (VoIP)的应用日益广泛,但同时VoIP也引入了很多安全问题。以SIP协议为例,例如Bye/Cancel攻击,通过截获双方通信所发送的报文,然后伪造BYE或CANCEL报文并发送,使服务器错误地中止服务。又例如RTP注入攻击,通过截取通话双方呼叫建立时SIP报文中SDP携带的端口号,向特定的端口号发送伪造的RTP报文,使受攻击方听到伪造的语音信息。本论文针对VoIP安全问题进行研究,设计并实现了一套VoIP的安全评估系统,具体工作如下:1.针对各种典型的VoIP攻击进行了模拟实验,除了前面提到的攻击外,还包括:注册劫持攻击、注册擦除攻击、注册添加攻击、SIP电话重启攻击、通话劫持攻击、洪泛攻击、窃听攻击、重定向攻击等。2.提出并实现了一套可扩展的分布式VoIP安全评估系统。该系统的特点包括:a)集成所有常见SIP协议攻击,具备一定的深度和广度,能测试VoIP系统常见的安全漏洞;b)采用分布式的结构,在多台VoIP系统的客户端机器上同时安装可交互的主控端和客户端,从而真实地模拟攻击时使用的网络环境;c)具有良好的扩展性,在新的攻击方法或安全漏洞被发现时,可以方便地加入到系统中。