Home > 电话会议新闻动态 > 技术文档 > 基于SSL VPN链路的SIP电话研究

基于SSL VPN链路的SIP电话研究

2014/06/12 Tang

1 SIP和SSL VPN
SIP(Session Initiation Protocol)是由IETF提出的 IP电话信令协议。它是基于文本的协议。较之目前 VoIP普遍使用的H.323协议,SIP吸收并借鉴了H.323的得失,坚持简练、开放、兼容和可扩展等特点, 而被称之为下一代VoIP标准。从网络分层结构看, SIP处于网络传输层之上,或作为应用层的一部分, 或单独作为应用层与传输层之间的一层。SIP本身 又由若干层组成,它们分别是:事务用户层、事务层和 传输层。

SSL(Secure Socket Layer)是近年来发展起来的 协议,由网景公司(Netscape)推出。SSL协议是由 SSL记录协议、握手协议、密钥更改协议和告警协议 组成的,它们共同为应用访问连接提供认证、加密和 防篡改等功能。SSL握手协议主要是用于服务器和 客户之间的相互认证,协商加密算法和MAC(Message Authentication Code)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议为各种高层协议 提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据), 并产生一个MAC信息,加密,插入新的文件头,最后 在TCP中加以传输;接收端将收到的数据解密,做身 份验证、解压缩、重组数据包然后交给高层应用进行 处理。SSL密钥更改协议是由一条消息组成,其作用 是把未定状态拷贝为当前状态,更新用于当前连接的 密钥组。SSL警告协议主要是用于为对等实体传递 与SSL相关的告警信息,包括警告、严重和重大等三 类不同级别的告警信息。

作为应用层协议,SSL使用公开密钥体制和x. 509数字证书技术保护信息传输的机密性和完整性。 SSL协议被内置于IE等浏览器中,被广泛应用于各 种浏览器,也可以应用于Outlook等使用TCP协议传 输数据的C/S应用。

VPN(Virtual Private Network,虚拟专用网络)主 要应用于虚拟连接网络,它可以确保数据的机密性, 且具有一定的访问控制功能。

所谓的SSL VPN,其实就是VPN设备厂商为了 与IPsec VPN区别所创造出来的一个名词。指的是使用者利用浏览器内建的Secure Socket Layer封包处 理功能,用浏览器连回公司内部的SSL VPN服务器, 然后透过网络封包转向的方式,让使用者可以在远程 计算机执行应用程序,读取公司内部服务器数据。它 采用标准的安全套接层(SSL)对传输中的数据包进 行加密,从而在应用层保护数据的安全性 。

SSL VPN具有操作简单、维护和支持费用低、穿 透Firewall/NAT能力强、有非常高的可扩展性和安全 性等特点,因而倍受到人们青睐。Gartner副总裁 John Girard曾为SSL VPN作出了精彩评述:“作为传 统VPN的升级,那些希望使用更加简单更加灵活的 方式部署他们的安全远程访问系统的企业应该考虑 使用SSL VPN作为一项新的投资”。SSL VPN的价 值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。它逐渐成为目前 应用相对广泛的IPSec VPN的主要竞争对手。

2 SSL VPN与SIP结合
SIP电话系统由SIP电话终端和服务器组成。电 话终端包括SIP硬电话或带有SIP软件和麦克风的 计算机组成。服务器一般由注册服务器、代理服务 器、定位服务器以及重定位服务器组成。呼叫过程 前,用户首先向注册服务器注册,呼叫时,代理服务器 在接收到源用户发送的SIP呼叫请求后,通过检测 目的SIP终端的域名,以确定是域问转发还是域内转 发。如果是简单的域内转发,则查询注册服务器获得 目的SIP终端的IP地址转发此请求,如果是域问转 发(图1),服务器首先通过定位服务器获取目的SIP 终端所在控制域服务的代理服务器IP地址,再由下 一跳服务器将消息转发给目的SIP终端。有时服务 器会使用重定位功能:重定位服务器根据目的用户的 地址信息完成映射后,将目的用户的地址信息回送给 源呼叫用户,源呼叫用户以后直接将SIP请求消息发 送给目的用户。连接建立后,源呼叫用户和目的用户 相互传输多媒体信息。会话结束时,目的用户会回送 OK消息以确认会话结束 。在双方的信息交换过 程中,用SSL VPN对消息进行封装并加密传输。由 于SSL VPN工作在传输层之上,因而能够遍历所有 NAT设备和防火墙设备,穿越多层的NAT/Fire. WALL,且数据是全程加密传输的,能够较好地抵御 外部系统和病毒攻击。这样即可较好解决网络电话 存在的穿越和安全问题。

网络电话重点考虑的是延迟、抖动问题 。而SSL VPN技术则基于TCP协议,在SSL VPN链路上 应用VoIP可能会降低通话质量。为了验证这种论 断,最近美国研究人员对此进行了实验测试。在依次 代表“从好到差”4个等级的网络环境中,测试结果非 常鼓舞人心:在高带宽、低延迟的环境下,未加密的 VoIP呼叫和在SSL VPN上传输的VoIP呼叫比较,其通话质量没有什么本质的不同.而且在宽带Intemet 连接环境下,在SSL VPN上传输的VoIP通话质量甚 至比未加密的还要好。在高丢包率、小带宽不好的网 络连接条件下,无论是未加密的VoIP,还是在SSL VPN方式下的VoIP,其通话质量都差强人意 。测 试结果表明,在SSL VPN链路上应用网络可取得非 常好的效果。

图1 SIP电话系统操作过程
SIP电话操作过程

3 结语SSL
VPN技术对于解决网络电话的穿越NAT/FireWALL和增强网络电话安全有着得天独厚的优势。有资料数据显示,在SSL VPN链路上,应用网络电话能取得较好的通话效果。当然,SSL VPN协议还不是很成熟,认证方式单一(都是使用证书方式),对于非web页面的文件访问,往往还要借助于应用程序转换,因此,还需进一步改进和完善。但由于其拥有维护简单、使用方便、安全、成本低等众多显著优点,因而国内外很多公司已经将其纳入网络电话的研究范围内,且正在加快其协议的修改和完善工作。可以相信,随着相关协议的改进,基于SSL VPN方式的SIP电话将有着非常广阔的应用前景。

SIP电话

如没特殊注明,文章均为好会通科技原创,转载请注明来自 http://www.meeteasy.com.cn/archives/3227.htm.

copyright 2004-2013     粤ICP备12061155号-1

Sitemap|XML|RSS|隐私政策|EN|