1 SIP和SSL VPN
SIP(Session Initiation Protocol)是由IETF提出的 IP电话信令协议。它是基于文本的协议。较之目前 VoIP普遍使用的H.323协议，SIP吸收并借鉴了H.323的得失，坚持简练、开放、兼容和可扩展等特点， 而被称之为下一代VoIP标准。从网络分层结构看， SIP处于网络传输层之上，或作为应用层的一部分， 或单独作为应用层与传输层之间的一层。SIP本身 又由若干层组成，它们分别是：事务用户层、事务层和 传输层。

SSL(Secure Socket Layer)是近年来发展起来的 协议，由网景公司(Netscape)推出。SSL协议是由 SSL记录协议、握手协议、密钥更改协议和告警协议 组成的，它们共同为应用访问连接提供认证、加密和 防篡改等功能。SSL握手协议主要是用于服务器和 客户之间的相互认证，协商加密算法和MAC(Message Authentication Code)算法，用于生成在SSL记录中发送的加密密钥。SSL记录协议为各种高层协议 提供基本的安全服务，其工作机制如下：应用程序消息被分割成可管理的数据块(可以选择压缩数据)， 并产生一个MAC信息，加密，插入新的文件头，最后 在TCP中加以传输；接收端将收到的数据解密，做身 份验证、解压缩、重组数据包然后交给高层应用进行 处理。SSL密钥更改协议是由一条消息组成，其作用 是把未定状态拷贝为当前状态，更新用于当前连接的 密钥组。SSL警告协议主要是用于为对等实体传递 与SSL相关的告警信息，包括警告、严重和重大等三 类不同级别的告警信息。

作为应用层协议，SSL使用公开密钥体制和x． 509数字证书技术保护信息传输的机密性和完整性。 SSL协议被内置于IE等浏览器中，被广泛应用于各 种浏览器，也可以应用于Outlook等使用TCP协议传 输数据的C／S应用。

VPN(Virtual Private Network，虚拟专用网络)主 要应用于虚拟连接网络，它可以确保数据的机密性， 且具有一定的访问控制功能。

所谓的SSL VPN，其实就是VPN设备厂商为了 与IPsec VPN区别所创造出来的一个名词。指的是使用者利用浏览器内建的Secure Socket Layer封包处 理功能，用浏览器连回公司内部的SSL VPN服务器， 然后透过网络封包转向的方式，让使用者可以在远程 计算机执行应用程序，读取公司内部服务器数据。它 采用标准的安全套接层(SSL)对传输中的数据包进 行加密，从而在应用层保护数据的安全性 。

SSL VPN具有操作简单、维护和支持费用低、穿 透Firewall／NAT能力强、有非常高的可扩展性和安全 性等特点，因而倍受到人们青睐。Gartner副总裁 John Girard曾为SSL VPN作出了精彩评述：“作为传 统VPN的升级，那些希望使用更加简单更加灵活的 方式部署他们的安全远程访问系统的企业应该考虑 使用SSL VPN作为一项新的投资”。SSL VPN的价 值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。它逐渐成为目前 应用相对广泛的IPSec VPN的主要竞争对手。

2 SSL VPN与SIP结合
SIP电话系统由SIP电话终端和服务器组成。电 话终端包括SIP硬电话或带有SIP软件和麦克风的 计算机组成。服务器一般由注册服务器、代理服务 器、定位服务器以及重定位服务器组成。呼叫过程 前，用户首先向注册服务器注册，呼叫时，代理服务器 在接收到源用户发送的SIP呼叫请求后，通过检测 目的SIP终端的域名，以确定是域问转发还是域内转 发。如果是简单的域内转发，则查询注册服务器获得 目的SIP终端的IP地址转发此请求，如果是域问转 发(图1)，服务器首先通过定位服务器获取目的SIP 终端所在控制域服务的代理服务器IP地址，再由下 一跳服务器将消息转发给目的SIP终端。有时服务 器会使用重定位功能：重定位服务器根据目的用户的 地址信息完成映射后，将目的用户的地址信息回送给 源呼叫用户，源呼叫用户以后直接将SIP请求消息发 送给目的用户。连接建立后，源呼叫用户和目的用户 相互传输多媒体信息。会话结束时，目的用户会回送 OK消息以确认会话结束 。在双方的信息交换过 程中，用SSL VPN对消息进行封装并加密传输。由 于SSL VPN工作在传输层之上，因而能够遍历所有 NAT设备和防火墙设备，穿越多层的NAT／Fire． WALL，且数据是全程加密传输的，能够较好地抵御 外部系统和病毒攻击。这样即可较好解决网络电话 存在的穿越和安全问题。

网络电话重点考虑的是延迟、抖动问题 。而SSL VPN技术则基于TCP协议，在SSL VPN链路上 应用VoIP可能会降低通话质量。为了验证这种论 断，最近美国研究人员对此进行了实验测试。在依次 代表“从好到差”4个等级的网络环境中，测试结果非 常鼓舞人心：在高带宽、低延迟的环境下，未加密的 VoIP呼叫和在SSL VPN上传输的VoIP呼叫比较，其通话质量没有什么本质的不同．而且在宽带Intemet 连接环境下，在SSL VPN上传输的VoIP通话质量甚 至比未加密的还要好。在高丢包率、小带宽不好的网 络连接条件下，无论是未加密的VoIP，还是在SSL VPN方式下的VoIP，其通话质量都差强人意 。测 试结果表明，在SSL VPN链路上应用网络可取得非 常好的效果。

图1 SIP电话系统操作过程

3 结语SSL
VPN技术对于解决网络电话的穿越NAT／FireWALL和增强网络电话安全有着得天独厚的优势。有资料数据显示，在SSL VPN链路上，应用网络电话能取得较好的通话效果。当然，SSL VPN协议还不是很成熟，认证方式单一(都是使用证书方式)，对于非web页面的文件访问，往往还要借助于应用程序转换，因此，还需进一步改进和完善。但由于其拥有维护简单、使用方便、安全、成本低等众多显著优点，因而国内外很多公司已经将其纳入网络电话的研究范围内，且正在加快其协议的修改和完善工作。可以相信，随着相关协议的改进，基于SSL VPN方式的SIP电话将有着非常广阔的应用前景。