崔梅英

摘要:基于網(wǎng)絡(luò)電話理論研究的成果提出了基于SSL VPN的SIP網(wǎng)絡(luò)電話系統(tǒng),將SSL VPN虛擬通道應(yīng)用到網(wǎng)絡(luò)電話上來,以提高網(wǎng)絡(luò)電話的安全性能,并構(gòu)建了一個基于SSL VPN的SIP網(wǎng)絡(luò)電話系統(tǒng)的模型,并對該系統(tǒng)模型進(jìn)行了測試。結(jié)果顯示對網(wǎng)絡(luò)電話采用SSL VPN的方案可行。

關(guān)鍵詞:SIP網(wǎng)絡(luò)電話;仿真;測試

中圖分類號:TD65+5.1文獻(xiàn)標(biāo)識碼:A文章編號:1672-3198(2009)23-0281-02

1開源軟件介紹

1.1Osip與eXosip

Osip是一個開源的標(biāo)準(zhǔn)C的RFC 3261的SIP協(xié)議棧,Osip協(xié)議棧采用ANSIC編寫,結(jié)構(gòu)簡單而小巧,所以速度特別快。它主要提供一些解析SIP/SDP消息的API和事務(wù)處理的狀態(tài)機(jī),負(fù)責(zé)生成和解析SIP信令。Osip可以用來開發(fā)LserAgent,IP soft-phone和SIP Proxy等等。Osip總體結(jié)構(gòu)主要包括三大模塊:狀態(tài)機(jī)模塊、解析器模塊和工具模塊,如圖1所示。

圖1Osip模塊結(jié)構(gòu)

Osip把各種SIP消息統(tǒng)一封裝到一個OSIP_MESSAGE_T結(jié)構(gòu)體中。Osip的核心是基于事務(wù)層的,一個事務(wù)層從邏輯上可以分為客戶和服務(wù)器兩部分,客戶端發(fā)送請求,服務(wù)器端發(fā)送響應(yīng)。

一方面Osip的各個模塊相對清晰、獨立,且詞法解析器提供了較完善的API。但另一方面由于Osip結(jié)構(gòu)簡單,外圍相關(guān)模塊需要用戶自己開發(fā),如SIP消息的接收和發(fā)送,RTP/RTCP語音數(shù)據(jù)處理等;協(xié)議棧的調(diào)試和維護(hù)功能比較簡單。我們可以配合使用Osip的擴(kuò)展協(xié)議棧eXosipo eXosip部分封裝了Osip協(xié)議棧,提供了網(wǎng)絡(luò)數(shù)據(jù)傳輸模塊,另外還增加了call,dialog,registration,subscription等過程,使之實用性更強(qiáng)。

eXosip的基本思想是在封裝Osip詞法解析模塊的基礎(chǔ)上,增加一個SOCKET傳輸模塊,通過稱之為JEVENT的消息管道實現(xiàn)Osip事務(wù)狀態(tài)機(jī)和SOCKET傳輸層之間的通信,從而實現(xiàn)SIP信令在網(wǎng)絡(luò)上發(fā)送、接收。eXosip結(jié)構(gòu)模塊如圖2所示:

圖2eXosip模塊結(jié)構(gòu)

eXosip充分重用Osip協(xié)議棧的解析器、消息封裝API、狀態(tài)機(jī)三個模塊,保證SIP消息格式和狀態(tài)轉(zhuǎn)移的正確性。提供了面向呼叫和應(yīng)答呼叫的API,并實現(xiàn)了SOCKET傳輸模塊和SDP協(xié)商模塊,結(jié)構(gòu)簡單清晰。

1.2OpenVPN

OpenVPN是基于數(shù)據(jù)包封裝技術(shù),利用SSL協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)構(gòu)建而成的可靠安全的VPN。其工作原理可描述為:服務(wù)器和客戶端通過SSL握手過程進(jìn)行身份認(rèn)證和密鑰交換,完成隧道初始化,數(shù)據(jù)在隧道中傳輸時,借鑒ESP協(xié)議的封裝原理對數(shù)據(jù)進(jìn)行封裝。

OpenVPN利用數(shù)據(jù)分層機(jī)制分成兩種數(shù)據(jù)通道:

(1)數(shù)據(jù)隧道。

數(shù)據(jù)隧道是傳輸用戶應(yīng)用數(shù)據(jù)的安全通道?？刂仆ǖ烙糜诮ⅰ⒕S護(hù)、拆除數(shù)據(jù)隧道,傳輸SSL會話消息和各種指令性信息。根據(jù)兩者對傳輸數(shù)據(jù)可靠性的要求不同,對數(shù)據(jù)進(jìn)行分層處理。

(2)控制通道。

控制通道數(shù)據(jù)由UDP層上模擬的可靠層來保證其可靠性,隧道數(shù)據(jù)不要提供可靠性保障,直接由UDP層處理。兩種通道中的數(shù)據(jù)通過“多路器”進(jìn)行識別和分流?？刂仆ǖ劳瓿珊芏嘀匾氖虑?如隧道密鑰的確立、各種控制指令的收發(fā)與處理、HMAC防火墻、在UDP上模擬的可靠層、密鑰磋商與變更等。

2測試及分析

2.1測試環(huán)境

本系統(tǒng)SIP電話的代理服務(wù)器、注冊服務(wù)器、定位服務(wù)器、重定位服務(wù)器及SSL VPN服務(wù)器在物理上是一臺服務(wù)器,分別為服務(wù)器A和服務(wù)器B,SIP軟終端分別是終端A和終端B。終端A和終端B所在的局域網(wǎng)分別通過服務(wù)器A和服務(wù)器B與Internet連接。

服務(wù)器A,B的配置分別為:

服務(wù)器A(Chariot Console):

本系統(tǒng)通過Chariot測試軟件進(jìn)行測試。Chariot是由NetIQ公司推出的一款網(wǎng)絡(luò)測試軟件。它的出色之處在于,它可提供端到端、多操作系統(tǒng)、多協(xié)議測試、多應(yīng)用模擬測試,應(yīng)用范圍包括有線網(wǎng)、無線網(wǎng)、廣域網(wǎng)及各種網(wǎng)絡(luò)設(shè)備?？梢赃M(jìn)行網(wǎng)絡(luò)故障定位、用戶投訴分析、系統(tǒng)評估、網(wǎng)絡(luò)優(yōu)化等,能從用戶角度測試網(wǎng)絡(luò)或網(wǎng)絡(luò)參數(shù)(吞吐量、反應(yīng)時間、延時、抖動、丟包率等)。支持6種VoIP Code(G.711a,G.711b,G.723.1-ACELP,G.723.1-MPMLQ,G.726,G.729),支持MOS評分,便于對VoIP網(wǎng)絡(luò)進(jìn)行實時分析。它通過模擬真實的網(wǎng)絡(luò)流量來測試網(wǎng)絡(luò)上的點對點、復(fù)雜架構(gòu)以及分布式結(jié)構(gòu)系統(tǒng)的性能。由于它具備驗證網(wǎng)絡(luò)性能、設(shè)備性能、應(yīng)用程序性能、系統(tǒng)執(zhí)行狀況記錄等多項功能,并且其驗證的公正性得到了眾多網(wǎng)絡(luò)實驗室以及各大網(wǎng)絡(luò)產(chǎn)品生產(chǎn)商的認(rèn)可,NetIQ Chariot已經(jīng)成為應(yīng)用層網(wǎng)絡(luò)性能的評估標(biāo)準(zhǔn)。

2.2測試比較

在語音質(zhì)量方面,常采用MOS分值衡量。MOS值是分?jǐn)?shù)越高越好,一個正常的模擬或者數(shù)字話機(jī)的MOS值是4.2—4.4,一個典型的蜂窩話機(jī)的MOS值范圍是3.0^-37,而一個通話質(zhì)量差的蜂窩手機(jī)其得分值低于2 o MOS評定有1^-5級的五個評分標(biāo)準(zhǔn),可以接受的語音在3.5級以上。

為了測試網(wǎng)絡(luò)電話系統(tǒng)采用SSL VPN加密后的呼叫性能變化,對使用VPN前后的呼叫建立時間(記錄從INVITE發(fā)起,到收到200 OK消息的這段時間)進(jìn)行對比。呼叫時間如圖3所示。

圖5呼叫建立時間圖

從圖中可以看出,對呼叫建立而言,采用SSL VPN加密后,由于服務(wù)器需要對數(shù)據(jù)包進(jìn)行加解密,使得呼叫建立時間稍長,但不到1秒,對呼叫性能影響不大。但是卻大大增強(qiáng)了系統(tǒng)的安全性能,完全抵消建立呼叫時間增加的負(fù)面影響。并且系統(tǒng)能順利穿越服務(wù)器A和服務(wù)器B的防火墻//NAT設(shè)施。說明采用SSL VPN是可行的。

接下來對SSL協(xié)議改進(jìn)前后對系統(tǒng)服務(wù)質(zhì)量(QoS)的影響進(jìn)行測試比較。在語音編碼G.726方式下,對于可選擇的加密方式ECC/RSA,SHA-1/MD5,3DES/RC4的所有組合選取3組代表性的進(jìn)行測試:(1)ECC_MD5_RC4,RSA_MD5;(2)ECC_MD5_RC4、ECC_SHA-1_RC4;(3)ECC_MD5_RC4、ECC-MD5_3DES。RC4:分別對VoIP QoS從端到端延遲、丟包率、抖動、MOS值四個方面進(jìn)行了比較。如表1所示。

表1測試數(shù)據(jù)

測試選取了3組代表性的密鑰組合,結(jié)果顯示:

(1)ECC與RSA相比,延遲減少了31.561ms,丟包率下降了1.31%,抖動減少了1.329ms,MOS值也增加了0.57;

(2)MD5與SHA-1相比,延遲減少了9.744ms,丟包率下降了0.67%,抖動減少了0.126ms,MOS值稍稍增加了009;

(3)RC4與3DES相比,延遲減少了14.48ms,丟包率下降了0.92%,抖動減少了0.046ms,且MOS值增加了0.28。

相對而言,ECC要比RSA性能突出得多,對系統(tǒng)服務(wù)質(zhì)量改善程度最大。本系統(tǒng)測試連續(xù)通話20分鐘,語音流暢、清晰,可以滿足日常通話的需求。

參考文獻(xiàn)

[1]@李琳,王新剛,柴喬林.SIP協(xié)議在開發(fā)的VoIP模型中的實現(xiàn)[J].計算機(jī)工程,2008,28(8):222-226.

[2]@曹玖新,張德運(yùn).VoIP實現(xiàn)技術(shù)研究[J].計算機(jī)工程,2006,26(10):497-500.

[3]@張智江,張云勇,劉韻潔.SIP協(xié)議及其應(yīng)用[M].北京:電子工業(yè)出版社,2008.

[4]@趙學(xué)軍,陸立.軟交換技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007.