Trong bài báo này, chúng tôi xây dựng một phần mềm VoIP dựa trên mã nguồn mở OpenH323 cho phép liên lạc giữa 2 máy tính trong mạng LAN có áp dụng giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323. Mời các bạn cùng tham khảo.
JOURNAL OF SCIENCE OF HNUE FIT., 2011, Vol 56, pp 112-123 GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG MẠNG VOIP Đỗ Như Long(∗) Trường Đại học Sư phạm Hà Nội Bùi Hải Bằng Trường cao đẳng nghề GTVT Trung ương I Vũ Xuân Bảo (∗) Văn phòng Bộ Y Tế E-mail: longdn@hnue.edu.vn Tóm tắt Việc tích hợp mạng truyền số liệu truyền thống với hạ tầng mạng Internet nhà nghiên cứu đặc biệt quan tâm Việc tích hợp mạng điện thoại PSTN truyền thống với mạng Internet khơng nằm ngồi mục đích Với ưu chi phí thấp, mềm dẻo mặt kiến trúc VoIP ngày trở nên phổ biến người sử dụng, thị trường tiềm nhà khai thác Tuy nhiên xây dựng hệ thống VoIP việc xem xét tới chất lượng dịch vụ, phải đặc biệt quan tâm tới khía cạnh bảo mật hệ thống VoIP Việc tích hợp dịch vụ thoại, liệu, video hạ tầng mạng IP chứa đựng nhiều nguy tiềm ẩn bảo mật Trong báo này, xây dựng phần mềm VoIP dựa mã nguồn mở OpenH323 cho phép liên lạc máy tính mạng LAN có áp dụng giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 Mở đầu VoIP (viết tắt Voice over Internet Protocol, nghĩa Truyền giọng nói giao thức IP) cơng nghệ truyền tiếng nói người (thoại) qua mạng thông tin sử dụng giao thức TCP/IP Nó sử dụng gói liệu IP (trên mạng LAN, WAN, Internet) với thông tin truyền tải mã hoá âm - Theo wikipedia VoIP dựa kết hợp mạng chuyển mạch gói (mạng IP) mạng chuyển mạch kênh [1] Các hệ thống VoIP ngày sử dụng giao thức báo hiệu chủ yếu H.323 SIP 112 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Mục tiêu Điện thoại IP nhằm khai thác tính hiệu mạng truyền số liệu, khai thác tính linh hoạt phát triển ứng dụng giao thức IP áp dụng mạng tồn cầu mạng Internet Chính tảng VoIP hạ tầng mạng IP VoIP có nhiều nhược điểm vấn đề bảo mật Vấn đề bảo mật VoIP phức tạp, đòi hỏi kỹ thuật bảo mật tiên tiến để hạn chế tối đa nguy công vào mạng VoIP nhằm bảo mật thông tin liên quan tới cá nhân người sử dụng số liên lạc truy nhập sử dụng dịch vụ người dùng [10] Việc đảm bảo an ninh cho toàn hạ tầng VoIP địi hỏi phải có kế hoạch, phân tích kiến thức chi tiết an ninh mạng Sau nguy công phổ biến vào mạng điện thoại VoIP [11,12]: - DoS : Tấn công từ chối dịch vụ (Denial - of - Service) ảnh hưởng tới dịch vụ dựa mạng IP nào, VoIP khơng phải ngoại lệ Tác động công DoS dẫn tới xuống cấp dịch vụ việc mát toàn dịch vụ - Chặn gọi nghe lén: phương thức mà kẻ cơng theo dõi báo hiệu, luồng liệu điểm thiết bị đầu cuối VoIP, khơng có khả sửa đổi liệu Chặn gọi thành công tương tự nghe lén, hội thoại bị đánh cắp, ghi lại, phát lại Một kẻ cơng đánh chặn lưu trữ liệu để sử dụng chúng vào mục đích khác - Man-in-the-middle: Các chương trình phân tích gói tin Network monitor, Sniffer Pro thường nhà quản trị mạng dùng để quản trị hệ thống, theo dõi, giám sát, chẩn đoán khắc phục cố mạng Lợi dụng ưu điểm chương trình phân tích gói tin hacker tận dụng chúng để ăn cắp thông tin username, password thông tin quan trọng hệ thống Đối với kiểu công người sử dụng bị cơng tiến trình làm việc máy gửi nhận diễn hồn tồn bình thường Trong báo này, xây dựng phần mềm VoIP áp dụng giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 Chúng tiến hành thực nghiệm gọi máy tính mạng LAN với trường hợp có sử dụng không sử dụng giao thức bảo mật H.235 Trong trình thực nghiệm, chúng tơi sử dụng phần mềm Wireshark để chặn bắt gói tin máy tính trường hợp kể để thấy rõ khác biệt bảo mật có sử dụng khơng sử dụng giao thức bảo mật H.235 hệ thống VoIP 2.1 Nội dung nghiên cứu Các khái niệm H.323 [8] chuẩn quốc tế hội thoại mạng đưa hiệp hội viễn thơng quốc tế ITU (International Telecommunication Union) Nó qui định 113 Đỗ Như Long, Bùi Hải Đăng Vũ Xuân Bảo thành phần, giao thức sử dụng, thủ tục cho phép truyền liệu đa phương tiện (âm thanh, hình ảnh) số liệu thời gian thực thông qua mạng IP mà không quan tâm tới chất lượng dịch vụ (QoS) Các đầu cuối hãng khác giao tiếp với đầu cuối tuân theo chuẩn H.323 Một hệ thống H.323 bao gồm có thành phần cho việc truyền tin mạng : Terminal, Gateway, Gatekeeper, MCU(Multipoint control unit) Các thành phần giao thức H.323 - Giao thức báo hiệu gọi H.225 [3]: H.225 RAS, H.225.0 Call Signalling - Giao thức điều khiển gọi H.245 [9] - Giao thức truyền tải thông tin đa phương tiện RTP/RTCP [2] - Các chuẩn mã hóa audio: G.711, G.722, G.728, G.729 - Các chuẩn mã hóa video : H.261, H.263 Hình Các thành phần H.323 H.235 [4,5,6,7] chuẩn bảo mật dành cho hội thoại qua mạng sử dụng giao thức báo hiệu H.323 đưa hiệp hội liên minh viễn thông quốc tế ITU (International Telecommunication Union) H.235 mô tả sở kĩ thuật bảo mật tận dụng cho thiết bị đầu cuối đa phương tiện H.3xx H.235 cung cấp khả dàn xếp dịch vụ, liên quan đến khả hệ thống, yêu cầu ứng dụng đặc tả ràng buộc cách thức bảo mật Nó hỗ trợ thuật tốn mã hóa khác tùy chọn thích hợp với mục đích khác 114 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP (Ví dụ độ dài khóa) 2.2 sau: Giới thiệu hệ thống sử dụng giao thức bảo mật H.235 Một hệ thống sử dụng giao thức bảo mật H.235 bao gồm tính Authentication (xác thực) Q trình xác thực nhằm mục đích kiểm tra đối tượng trao đổi thông tin Quá trình hồn thành cách trao đổi khóa cơng khai (public-key) dựa chứng nhận điện tử (certificate), trao đổi khóa chung (share secret) bên tham gia Nó mật (password) phần thông tin trao đổi H.235 mơ tả giao thức trao đổi chứng nhận điện tử (certificate), chứng nhận điện tử đưa bảo đảm cho người kiểm tra rằng: người gửi chứng nhận điện tử Mục đích đằng sau chứng nhận điện tử xác thực người sử dụng thiết bị đầu cuối không đơn xác thực thiết bị đầu cuối mặt vật lý Sử dụng chứng nhận điện tử, giao thức xác thực(authentication) chứng tỏ người nhận sở hữu khóa bí mật (private key) tương ứng với khóa cơng khai (public key) chứa chứng nhận điện tử Cách xác thực giúp chống lại kiểu công man-in-the-middle Call establishment security (Bảo mật báo hiệu gọi - H.225) Có lý thúc đẩy việc thiết lập kênh bảo mật Thứ xác thực đơn giản trước chấp nhận gọi Thứ hai để cấp phép gọi Nhiệm vụ kênh H.225 trường hợp cung cấp kĩ thuật bảo mật mà đầu cuối đáp ứng, xác nhận kĩ thuật bảo mật trao đổi chứng điện tử Call control security (Bảo mật kênh điều khiển gọi H.245) Kênh điều khiển gọi bảo mật để cung cấp bảo đảm cho kênh truyền thơng sau Kênh H.245 bảo vệ sử dụng kĩ thuật bảo mật trao đổi trước Bản tin H.245 sử dụng để báo hiệu thuật tốn mã hóa khóa mã hóa sử dụng kênh chia sẻ, kênh media Trong hội nghị đa điểm, nhiều khóa khác sử dụng cho nhiều luồng với điểm đầu cuối Nó đảm bảo an tồn điểm đầu cuối hội nghị Media stream privacy (Bảo mật kênh truyền thông) Khuyến nghị mô tả bảo mật truyền thông cho luồng liệu đa phương tiện truyền mạng chuyển mạnh gói Bước việc đạt bảo mật truyền thơng cung cấp có đảm bảo kênh điều khiển, dựa để đặt khóa mã hóa thiết lập kênh logic mang luồng liệu truyền thông mã hóa Vì vậy, hoạt động hội nghị có đảm bảo, đầu cuối tham gia sử dụng kênh H.245 mã hóa Theo cách đó, thuật tốn mã hóa lựa chọn khóa mã hóa đưa vào tin H.245 Open Logical Channel 115 Đỗ Như Long, Bùi Hải Đăng Vũ Xuân Bảo bảo vệ Dữ liệu mã hóa truyền kênh logic phải nằm kiểu đặc tả Open Logical Channel Thông tin phần header gửi không mã hóa Sự bảo mật liệu dựa sở mã hóa end-to-end 2.3 Thực nghiệm 2.3.1 Giới thiệu phần mềm Xcall * Tổng quan hệ thống Hình Tổng quan hệ thống - XCall Application: Là ứng dụng H.323 client đơn giản xây dựng dựa thư viện mã nguồn mở Open H.323, cho phép thực gọi bảo mật điểm đầu cuối - Open H.323 : Bộ thư viện mã nguồn mở viết ngôn ngữ lập trình C++, cung cấp giao diện cần thiết cho việc thiết lập hệ thống VoIP sử dụng giao thức H.323 làm giao thức báo hiệu - Codecs: Bộ mã hóa giải mã tín hiệu audio Tín hiệu audio trước truyền phải mã hóa, bên nhận sau nhận tín hiệu phải tiến hành giải mã trước phát loa - RTP: Thư viện tích hợp sẵn thư viện mã nguồn mở OpenH.323, làm nhiệm vụ vận chuyển tín hiệu audio điểm đầu cuối Các chức XCall: - Gọi điểm - điểm client - Bảo mật gọi sử dụng giao thức H.235 * Thiết kế chương trình Chương trình bao gồm module tương tác với nhau: - XCall: module ứng dụng bao gồm giao diện phần mềm xử lý nghiệp vụ phần mềm, XCall giao tiếp với OpenH.323 thông qua đối tượng H.323Endpoint 116 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Hình Tương tác module - OpenH.323 : module lõi hệ thống thực chức như: Quản lý gọi H.323, trao đổi khóa bảo mật sử dụng giao thức H.235, thu, phát, mã hóa giải mã tín hiệu âm Module bao gồm module như: Module thu tín hiệu âm (Recorder), module phát tín hiệu âm (Player), module mã hóa giải mã (Codecs) module thực chức vận chuyển tín hiệu đầu cuối (RTP) - Recorder : Giao tiếp với thiết bị microphone để thu tín hiệu âm chuyển cho khối mã hóa - Codecs: Thực chức mã hóa tín hiệu âm trước truyền giải mã sau nhận - Player : Phát âm loa * Class diagram Hình Class Diagram 117 Đỗ Như Long, Bùi Hải Đăng Vũ Xuân Bảo * Giao diện chương trình Hình Giao diện chương trình Xcall 2.3.2 Giới thiệu chương trình Wireshark Hình Chương trình Wireshark Wireshark chương trình bắt gói tin mạng Nó cố gắng bắt tất gói tin hiển thị thơng tin chi tiết Mục đích việc sử dụng 118 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Wireshark là: - Quản trị mạng: kiểm tra lỗi mạng - Bảo mật hệ thống: kiểm tra lỗi bảo mật - Phát triển hệ thống: gỡ rối hoạt động giao thức - Các đối tượng khác: học giao thức nội mạng 2.4 Kết thảo luận Như chúng tơi trình bày trên, vấn đề bảo mật hệ thống VoIP quan trọng Trong phần thực nghiệm gọi tiến hành thực tế gọi mạng LAN PC sử dụng phần mềm Xcall hỗ trợ G711 gọi trực tiếp cho Phần mềm wireshark chạy máy bị gọi bắt tin trao đổi máy Chúng tiến hành thực nghiệm trường hợp hệ thống VoIP có sử dụng giao thức bảo mật H.235 không sử dụng giao thức bảo mật H.235 2.4.1 khóa Đối với gọi không sử dụng giao thức bảo mật H.235 Hai máy trao đổi tin H.225 mà khơng kèm theo trường Token chứa Hình Bản tin Setup Sau trao đổi xong tin điều khiển mở kênh truyền thơng, gói tin RTP mang thông tin thoại truyền PC Wireshark bắt gói tin có khả giải nén nghe lại Như vậy, không sử dụng H.235, thông tin truyền khơng mã hóa bị nghe 119 Đỗ Như Long, Bùi Hải Đăng Vũ Xuân Bảo Hình Giải nén gói tin RTP 2.4.2 Trường hợp sử dụng H.235 - Máy gọi gửi cho máy nhận tin Setup có thơng số DH trường token Hình Bản tin Setup H.235 - Máy bị gọi nhận tin Setup chọn thông số DH phù hợp gửi lại cho bên gọi 120 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Hình 10 Bản tin Connect H.235 - Hai bên sau trao đổi tin H.245 thông số audio, video CODEC, master/slave Sau đó, điểm cuối master gửi tin mở kênh có kèm theo khóa phiên (đã mã hóa khóa chung DH) trường encrytionSync Hình 11 Bản tin OpenLogicalChannel H.235 - Sau mở kênh thoại, gói tin sau mã hóa khóa thuật tốn trao đổi trước Lúc Wireshark bắt tin trao đổi PC Tuy nhiên giải nén gói tin RTP nhận tín hiệu vơ nghĩa Kết luận Với ưu chi phí thấp, mềm dẻo mặt kiến trúc VoIP ngày trở nên phổ biến người sử dụng, thị trường tiềm nhà khai thác Tuy nhiên, xây dựng hệ thống VoIP việc xem xét tới chất lượng dịch vụ, cịn phải đặc biệt quan tâm tới khía cạnh bảo mật hệ thống VoIP Việc tích hợp dịch vụ thoại, liệu, video hạ tầng 121 Đỗ Như Long, Bùi Hải Đăng Vũ Xn Bảo Hình 12 Giải nén gói tin RTP H.235 mạng IP mang đến nhiều nguy tiềm ẩn bảo mật Trong báo này, xây dựng phần mềm VoIP có khả thực gọi thoại máy tính mạng LAN áp dụng giao thức báo hiệu H.323 sử dụng giao thức bảo mật H.235 Tuy nhiên, phần mềm hỗ trợ thoại máy tính mạng LAN Trong thời gian tới chúng tơi xây dựng phần mềm hỗ trợ thoại đa điểm hội nghị thoại internet REFERENCES [1] Ths Nguyễn Trọng Minh, 2010 Giáo trình Kỹ thuật chuyển mạch 1, Học viện Cơng nghệ bưu viễn thơng, tr.10-40 [2] IETF, 1996 RFC 1889 A Transport Protocol for Real-Time Applications(RTP), Lawrence Berkeley National Laboratory, Internet Engineering Task Force - IETF, pp.10-39 [3] ITU-T, 2009 Recommendation H.225.0, Call signalling protocols and media stream packetization for packet-based multimedia communication systems, International Telecommunication Union, pp.8-47 [4] ITU-T, 2000 Recommendation H.235 - Security and encryption for H-series (H.323 and other H.245-based) multimedia terminals, International Telecommunication Union, pp.5-21, 32-45, 48-73 [5] ITU-T, 2005 Recommendation H235.0 - H.323 security: Framework for security in H-series (H.323 and other H.245-based) multimedia systems International Telecommunication Union, pp.9-24 122 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP [6] ITU-T, 2005 Recommendation H235.1 - H323 security : Baseline security profile International Telecommunication Union, pp.5-17 [7] ITU-T, 2005 Recommendation H235.2 - H323 security : Signature security profile International Telecommunication Union, pp.7-19 [8] ITU-T, 2009 Reconmendation H.323 Visual telephone systems and equipment for local area networks which provide a non-guaranteend quality of service International Telecommunication Union, pp.14-47, 51-70, 81-129 [9] ITU-T, 2009 Recommendation H.245 Control protocol for multimedia communication International Telecommunication Union, pp.8-10, 79-122 [10] P Mehta and S Udani, 2001 “Overview of Voice over IP”, Technical Report MS-CIS-01-31 Department of Computer Information Science, University of Pennsylvania, pp.5-8, 26-28 [11] D Richard Kuhn, Thomas J Walsh, Steffen Fries, 2005 Security Considerations for Voice Over IP Systems National Institute of Standards and Technology(NIST), pp.19-37, 52-68 [12] Thomas Porter, 2006 Practical VoIP Security Syngress Publishing, Inc, Canada, pp.123-143, 239-261 ABSTRACT Using seairity protocols H.235 in VOIP network system The integration between traditional data communication network and internet infrastructure is especially regarded by many researchers Also the integration between traditional PSTN telephone network and internet network is also within these purposes It have many advantages such as: low cost, users are more and more familiar with flexibility of VoIP architecture, the potential market for operators Nevertheless, when building the aVoIP system not only considers the quality of service but also pay special attention to security aspects of VoIP systems The integration of voice services, data, video on the same IP network infrastructure has encompassed many potential security risk issues In this study, we develop a VoIP software based on open source OpenH323 allows communication between twocomputers on the LAN can apply security protocols H.235 uses H.323 signaling protocol 123 ... đích khác 114 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP (Ví dụ độ dài khóa) 2.2 sau: Giới thiệu hệ thống sử dụng giao thức bảo mật H.235 Một hệ thống sử dụng giao thức bảo mật H.235 bao... Mục đích việc sử dụng 118 Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Wireshark là: - Quản trị mạng: kiểm tra lỗi mạng - Bảo mật hệ thống: kiểm tra lỗi bảo mật - Phát triển hệ thống: gỡ rối.. .Giao thức bảo mật H.235 sử dụng hệ thống mạng VOIP Mục tiêu Điện thoại IP nhằm khai thác tính hiệu mạng truyền số liệu, khai thác tính linh hoạt phát triển ứng dụng giao thức IP áp dụng mạng