1 SIP和SSL VPN
SIP(Session Initiation Protocol)是由IETF提出的 IP電話信令協議�����。它是基于文本的協議�����。較之目前 VoIP普遍使用的H.323協議�����,SIP吸收并借鑒了H.323的得失��,堅持簡練��、開放�����、兼容和可擴展等特點���, 而被稱之為下一代VoIP標準��。從網絡分層結構看��, SIP處于網絡傳輸層之上��,或作為應用層的一部分�����, 或單獨作為應用層與傳輸層之間的一層���。SIP本身 又由若干層組成���,它們分別是:事務用戶層��、事務層和 傳輸層���。
SSL(Secure Socket Layer)是近年來發展起來的 協議��,由網景公司(Netscape)推出��。SSL協議是由 SSL記錄協議��、握手協議�����、密鑰更改協議和告警協議 組成的���,它們共同為應用訪問連接提供認證��、加密和 防篡改等功能���。SSL握手協議主要是用于服務器和 客戶之間的相互認證���,協商加密算法和MAC(Message Authentication Code)算法��,用于生成在SSL記錄中發送的加密密鑰�����。SSL記錄協議為各種高層協議 提供基本的安全服務�����,其工作機制如下:應用程序消息被分割成可管理的數據塊(可以選擇壓縮數據)���, 并產生一個MAC信息���,加密�����,插入新的文件頭��,最后 在TCP中加以傳輸�����;接收端將收到的數據解密���,做身 份驗證���、解壓縮��、重組數據包然后交給高層應用進行 處理���。SSL密鑰更改協議是由一條消息組成�����,其作用 是把未定狀態拷貝為當前狀態��,更新用于當前連接的 密鑰組��。SSL警告協議主要是用于為對等實體傳遞 與SSL相關的告警信息��,包括警告��、嚴重和重大等三 類不同級別的告警信息�����。
作為應用層協議��,SSL使用公開密鑰體制和x. 509數字證書技術保護信息傳輸的機密性和完整性��。 SSL協議被內置于IE等瀏覽器中��,被廣泛應用于各 種瀏覽器���,也可以應用于Outlook等使用TCP協議傳 輸數據的C/S應用��。
VPN(Virtual Private Network��,虛擬專用網絡)主 要應用于虛擬連接網絡���,它可以確保數據的機密性�����, 且具有一定的訪問控制功能�����。
所謂的SSL VPN��,其實就是VPN設備廠商為了 與IPsec VPN區別所創造出來的一個名詞��。指的是使用者利用瀏覽器內建的Secure Socket Layer封包處 理功能��,用瀏覽器連回公司內部的SSL VPN服務器��, 然后透過網絡封包轉向的方式�����,讓使用者可以在遠程 計算機執行應用程序�����,讀取公司內部服務器數據���。它 采用標準的安全套接層(SSL)對傳輸中的數據包進 行加密�����,從而在應用層保護數據的安全性 ���。
SSL VPN具有操作簡單�����、維護和支持費用低�����、穿 透Firewall/NAT能力強��、有非常高的可擴展性和安全 性等特點�����,因而倍受到人們青睞��。Gartner副總裁 John Girard曾為SSL VPN作出了精彩評述:“作為傳 統VPN的升級��,那些希望使用更加簡單更加靈活的 方式部署他們的安全遠程訪問系統的企業應該考慮 使用SSL VPN作為一項新的投資”��。SSL VPN的價 值包括許多方面���,最主要的是提高訪問控制能力���,安全易用以及高額的投資回報率�����。它逐漸成為目前 應用相對廣泛的IPSec VPN的主要競爭對手���。
2 SSL VPN與SIP結合
SIP電話系統由SIP電話終端和服務器組成�����。電 話終端包括SIP硬電話或帶有SIP軟件和麥克風的 計算機組成�����。服務器一般由注冊服務器���、代理服務 器�����、定位服務器以及重定位服務器組成���。呼叫過程 前���,用戶首先向注冊服務器注冊��,呼叫時���,代理服務器 在接收到源用戶發送的SIP呼叫請求后��,通過檢測 目的SIP終端的域名���,以確定是域問轉發還是域內轉 發���。如果是簡單的域內轉發���,則查詢注冊服務器獲得 目的SIP終端的IP地址轉發此請求��,如果是域問轉 發(圖1)�����,服務器首先通過定位服務器獲取目的SIP 終端所在控制域服務的代理服務器IP地址��,再由下 一跳服務器將消息轉發給目的SIP終端��。有時服務 器會使用重定位功能:重定位服務器根據目的用戶的 地址信息完成映射后�����,將目的用戶的地址信息回送給 源呼叫用戶���,源呼叫用戶以后直接將SIP請求消息發 送給目的用戶���。連接建立后�����,源呼叫用戶和目的用戶 相互傳輸多媒體信息��。會話結束時�����,目的用戶會回送 OK消息以確認會話結束 ���。在雙方的信息交換過 程中��,用SSL VPN對消息進行封裝并加密傳輸���。由 于SSL VPN工作在傳輸層之上���,因而能夠遍歷所有 NAT設備和防火墻設備��,穿越多層的NAT/Fire. WALL��,且數據是全程加密傳輸的���,能夠較好地抵御 外部系統和病毒攻擊��。這樣即可較好解決網絡電話 存在的穿越和安全問題�����。
網絡電話重點考慮的是延遲�����、抖動問題 ���。而SSL VPN技術則基于TCP協議�����,在SSL VPN鏈路上 應用VoIP可能會降低通話質量��。為了驗證這種論 斷��,最近美國研究人員對此進行了實驗測試���。在依次 代表“從好到差”4個等級的網絡環境中���,測試結果非 常鼓舞人心:在高帶寬��、低延遲的環境下�����,未加密的 VoIP呼叫和在SSL VPN上傳輸的VoIP呼叫比較��,其通話質量沒有什么本質的不同.而且在寬帶Intemet 連接環境下��,在SSL VPN上傳輸的VoIP通話質量甚 至比未加密的還要好��。在高丟包率���、小帶寬不好的網 絡連接條件下���,無論是未加密的VoIP��,還是在SSL VPN方式下的VoIP��,其通話質量都差強人意 �����。測 試結果表明���,在SSL VPN鏈路上應用網絡可取得非 常好的效果��。
圖1 SIP電話系統操作過程
3 結語SSL
VPN技術對于解決網絡電話的穿越NAT/FireWALL和增強網絡電話安全有著得天獨厚的優勢�����。有資料數據顯示�����,在SSL VPN鏈路上��,應用網絡電話能取得較好的通話效果�����。當然��,SSL VPN協議還不是很成熟�����,認證方式單一(都是使用證書方式)���,對于非web頁面的文件訪問���,往往還要借助于應用程序轉換�����,因此��,還需進一步改進和完善��。但由于其擁有維護簡單���、使用方便���、安全���、成本低等眾多顯著優點���,因而國內外很多公司已經將其納入網絡電話的研究范圍內��,且正在加快其協議的修改和完善工作�����?��?梢韵嘈?����,隨著相關協議的改進���,基于SSL VPN方式的SIP電話將有著非常廣闊的應用前景��。
