Trong mạng IP đờng truyền tiếng vọng là đờng trũn (round –trip) và tạo ra do mạch hybrid (chuyển 2 dõy-4 dõy) ,mặt khỏc tớn hiệu sẽ tớch luỹ qua cỏc quỏ trỡnh xử lý (mó húa và giải mó ,đúng gúi và giải đú gúi ) và truyền dẫn tớn hiệu. Vỡ vậy tiếng vọng là một trong những yếu tố chủ yếu ảnh hởng đến chất lợng cuộc thoại trờn mạng Internet . Thụng thờng việc khử tiếng vọng đợc thực hiện trong cỏc Gateway và khối này tuõn theo cỏc khuyến nghị G.165 và G.167. Hỡnh 1.3 sau đõy mụ tả đờng truyền của tớn hiệu trờn đú cú cỏc mạch triệt tiếng vong.
Hỡnh 2-7Mạch triệt tiếng vọng 2.4 Cơ chế bảo mật.
Đối với cỏc dịch vụ dựa trờn cơ sở khuyến nghị H.323 và khuyến nghị H.245 của ITU-T mà cụ thể một trong cỏc dịch vụ này là Thoại Internet ,cơ chế bảo mật của chỳng đợc thực hiện theo khuyến nghị H.235 của ITU-T.Cơ chế bảo mật trong khuyến nghị này chủ yếu nhằm chống lại mọi cố gắng thực hiện nghe trộm trong mạng cũng nh mọi cố gắng làm lệch hớng cỏc luồng dữ liệu.
Ec ho Ca nc elle r Speech Decoding Packe t Buffer Speech Encoding Ec ho C an ce le r Speech Decoding Packe t Buffer Speech Encoding Echo - + Echo - + Pa ck et T ra ns m iss io n Telephone Telephone
Hỡnh 2-8 Phạm Vi tỏc động của khuyến nghị H.235
Hỡnh 2.4 thể hiện phạm vi tỏc động của cơ chế bảo mật theo khuyến nghị H235 vào mụ hỡnh phõn lớp trong khuyến nghị H323
2.4.1 Định nghĩa và khỏi niệm
Authentication: là thủ tục kiểm tra thuờ bao muốn sử dụng dịch vụ là ai.Authentication đợc sử dụng để thực hiện kết nối ngời sử dụng và tổng đài dựa trờn cỏc Certificate.Thủ tục này cũng đợc tổng đài sử dụng để thực hiện trao đổi thụng tin riờng giữa hai phần tử nh mật khẩu tĩnh hoặc là trao đổi trớc một vài thụng tin ngầm định .Authentication cú tỏc dụng ngăn chặn ngời lạ sử dụng dịch vụ
Certificate: là cỏc thụng tin chứa đặc điểm nhận dạng.Thụng thờng Certificate bao gồm thụng tin nhận dạng nhà cung cấp dịch vụ,nhận dạng ngời sử dụng.Certificate đợc sử dụng để thiết lập cỏc kờnh an toàn(kờnh bỏo hiệu cuộc gọi và điều khiển cuộc gọi)
Kờnh H.245 an toàn: là kờnh H.245 mà trờn đú trớc khi trao đổi cỏc bản tin điều khiển H.245 ,cỏc phần tử phải thực hiện thủ tục bắt tay và thủ tục Authentication.
Kờnh H.245 khụng an toàn: kờnh H.245 cũng cú thể hoạt động theo chế độ khụng an toàn và khi đú hai phần tử sẽ thiết lập một kờnh logic an toàn giữa chỳng để thực hiện thủ tục Authentication (vớ dụ nh TLS hoặc IPSEC đợc sử dụng để mở một kờnh logic
Termial control and Management DataApp AV App G.XXX H.26 X Encryption RTP RTCP H.225.0 Terminal to Gatekeeper Signaling (RAS) H.224.0 Call Signaling H.245 Sec. Cap. T.124 T.125 T.123 Transport Security
Unreliable Transport Reliable Transport
Network Sercurity Network Layer Link Layer Physical Layer
2.4.2 Thu tục Authentication giữa hai đầu cuối
Thủ tục Authentication gồm hai loại: loại thứ nhất là mó hoỏ đối xứng khụng yờu cầu thụng tin ngầm định trớc nào giữa hai phần tử ,loại thứ hai là cú một vài thụng tin ngầm định trớc giữa hai phần tử.
2.4.2.1 Thủ tục Authentication của Diffie-Hellman
Thủ tục Authentication này thuộc loại thứ nhất .Nghĩa là trớc hết phải trao đổi thụng tin ngầm định (cú thể là từ khoỏ ) giữa hai phần tử phục vụ cho cỏc giao tiếp cú tớnh riờng t.
Sau khi trao đổi xong từ khoỏ cả hai phần tử sẽ lựa chọn thuật toỏn để xử lý nú .Sau đú từ khoỏ này sẽ đợc sử dụng để mó hoỏ mọi thong tin hỏi -đỏp.Một trờng hợp hón hữu cú thể xảy ra là thủ tục Diffie-Hellman phỏt hiện từ khoỏ cú cụng dụng kộm thỡ một trong hai phần tử sẽ huỷ bỏ kết nối và tỏi thiết lập kết nối với từ khoỏ khỏc.Nh thể hiện trờn hỡnh 2.7, trong giai đoạn 1 hai phần tử trao đổi từ khoỏ trong thủ tục Diffie-Hellman ,giai đoạn hai mụ tả giao thức hỏi đỏp Authentication.
Hỡnh 2-9Thủ tục Authentication của Diffie-Hellman
[... ] thể hiện chuỗi cú thứ tự cỏc Token () chỉ ra một token đặc biệt gồm nhiều yếu tố.
clearToken[Dha,randomb,timea)..],cryptoToken[...({generallD atimebDhb.] clearToken[Dha,timea)..],cryptoToken[...({generallD atimeaDha.] Phase 1
Phase 2
EP
A EPB
Requ
est clearToken[...({generallDbXOR randombXOR...}EDH secret)...]
clearToken[...({generallDa randombt)...] Respons e
{} EDH-Secret chỉ ra cỏc phần tử nằm trong nú bị mó hoỏ bảo mật sử dụng giỏ trị EDH-Secret
theo thủ tục Diffie-Hellman.
Đầu cuối A biết từ khoỏ để giải mó generallDa ứng với đầu cuối B cúgenerallDb
là Dha và nú sẽ gửi từ khoỏ đú cho B trong giai đoạn 1 và ngợc lại đầu cuối B cũng gửi từ khoỏ Dhb cho A.
Trong giai đoạn 2 thực hiện thuật toỏn đối với từ khoỏ thu đợc giỏ trị EDH-Sẻcet dựng để mó hoỏ cỏc bản tin hỏi đỏp.
2.4.2.2 Thủ tục Authentication dựa vào nhận dạng.
Thủ tục này thuộc vào loại thứ hai tức là cú trớc thụng tin ngầm định. Mặc dự cỏc thủ tục này bỡnh thờng đợc thực hiờn trờn cả hai hớng truyền nhng nú cũng cú thể chỉ thực hiện trờn một hớng nếu nh chỉ cần Authentication theo hớng đú .Cú 3 thủ tục Authentication thuộc loại này :mật khẩu mó hoỏ đối xứng ,mật khẩu ngẫu nhiờn ,xỏc nhận chữ ký.
1 Mật khẩu mó hoỏ đối xứng
giao thức này đợc trỡnh bày trong tiờu chuẩn ISO9798-2(mục 5.2.1) .
2 Mật khẩu ngẫu nhiờn
Giao thc này đợc trỡnh bày trong tiờu chuẩn ISO 9798-4(mục 5.2.1).
3 Cụng nhận chữ ký
Giao thức này đợc trỡnh bày trong tiờu chuẩn ISO9798-3(muc 5.2.5)
2.4.3 Thủ tục Authentication giữa đầu cuối và Gatekeeper
Thủ tục Authentication giữa đầu cuối và GateKeeper cũng chia làm hai loại.loại 1 là mó hoỏ đối xứng và khụng cú thụng tin ngầm định trớc giữa đầu cuối và Gatekeeper ;loại 2 là Authentication dựa trờn thụng tin nhận dạng tồn tại dới hai hỡnh thức là mật khẩu và xỏc nhận quyền truy cập. Cỏc bản tin của thủ tục này đợc truyền trờn kờnh RAS nối giữa đầu cuối và Gatekeeper.
2.4.3.1 Thủ tục Authentication khụng cú thụng tin ngầm định trớc.
Thủ tục Authentication này trao đổi bản tin theo thủ tục Diffie-Hellman nh trỡnh bày trong mục 2.4.2.1 .Trong giai đoạn 1,đầu cuối và GateKeeper trao đổi cặp bản tin GRQ/GCF trong đú cú chứa từ khoỏ mó hoỏ.Sau đú từ khoỏ sẽ đợc sử dụng để mó hoỏ cặp bản tin tiếp theo RRQ/URQ .Nếu Gatekeeper hoạt động ở chế độ này mà nhận đợc bản tin GRQ khụng cú từ khoỏ DHset nú sẽ trả lời bằng bản tin DRJ cú chứa mó nguyờn nhõn từ chối securityDenial.
2.4.3.2 Thủ tục Authentication dựa trờn thụng tin ngầm định trớc
Cú 3 loại thụng tin ngầm định trớc là :mật khẩu mó hoỏ đối xứng ,mật khẩu ngẫu nhiờn ,cụng nhận dựa trờn chữ ký.Cũng giống nh trao đổi giữa hai đầu cuối nh đó trỡnh bày ở mục 2.4.2.2.
2.4.4 Thủ tục mó hoỏ bảo mật luồng dữ liệu.
Luồng dữ liệu sau khi mó hoỏ sẽ đợc chia thành cỏc gúi .Cỏc gúi này sẽ đợc đa vào khối mó hoỏ bảo mật .Tại đõy việc mó hoỏ bảo mật sẽ đợc thực hiện dựa vào cỏc từ khoỏ sau đú cỏc gúi dữ liệu mới đợc chốn thờm phần mào đầu tơng ứng rồi mới truyền đi.Quỏ trỡnh giải mó bảo mật sẽ diễn ra ngợc lại.
Cỏc từ khoỏ (h235Key) nằm trong bản tin encryptionUpdate truyền trờn kờnh điều khiển H.245 khi truyền đi cỏc h235key cú dạng chuỗi octet đó đợc mó hoỏ theo chuẩn ASN.1
Tại mọi thời điểm khi hội thoại ,đầu cuối nhận hoặc truyền đều cú thể yờu cầu từ khoỏ mới bằng bản tin encryptionUpdateRequest .Một trong những nguyờn nhõn dẫn đến hiện tợng này là nếu nghi ngờ một trong những kờnh logic mất đồng bộ .Khi đầu cuối đúng vai trũ Master nhận đợc yờu cầu này nú sẽ phỏt đi từ khoỏ mới và nú cũng phỏt đi yờu cầu cập nhật từ khoỏ mới bằng bản tin encryptionUpdate .Nếu là cuộc gọi hội nghị gồm nhiều đầu cuối ,thỡ MC hoặc đầu cuối Master sẽ cú nhiệm vụ đa từ khoỏ mới tới tất cả cỏc thành viờn trớc khi từ khoỏ mới cú hiờụ lực trờn kờnh dữ liệu.
2.4.5 Xử lý khi nhận thấy mất an toàn
Nếu một đầu cuối nhận thấy mất an toàn trờn một trong cỏc kờnh sau: kờnh H245,kờnh dữ liệu an toàn(kờnh điều khiển h235) hoặc kờnh nối kết cuộc gọi ,ngay lập tức nú sẽ kết thỳc cuộc gọi theo thủ tục giao thức H323 .
Nếu một đầu cuối phỏt hiện thấy mất an toàn trờn một trong cỏc kờnh logic ,thỡ ngay lập tức nú sẽ yờu cầu một từ khoỏ mới bằng bản tin encryptionUpdateRequest
và đúng kờnh logic đú lại .Tại MCU nếu nhận thấy mất privacy trờn một trong những kờnh logic cú thể nú sẽ đúng tất cả cỏc kờnh logic hoặc yờu cầu từ khoỏ mới ,khi đú MCU sẽ phỏt bản tin encryptionUpdateRequest và encryptionUpdate tới tất cả cỏc đầu cuối.
2.4.6 Vớ dụ bảo mật bằng cỏch sử dụng Token
Bằng cỏch sử dụng Token ta cú thể làm ẩn đi cỏc thụng tin về địa chỉ đớch của cuộc gọi.Vớ dụ nh trong mạng đợc thể hiện trờn hỡnh 2.4.6 Trong tỡnh huống này thuờ bao bị gọi(điện thoại B) khụng muốn cho thuờ bao chủ gọi (đầu cuối A) biết địa chỉ vật lý của nú mà cuộc gọi vẫn thực hiện đợc .Cỏc bớc bỏo hiệu thực hiện cuộc gọi mà vẫn bảo đảm yờu cầu trờn nh sau.
Đầu cuối A gửi bản tin ARQ tới GateKeeper của nú cú chứa địa chỉ hỡnh thức của điện thoại B đối với Gateway .Khi Gatekeeper nhận thỏy địa chỉ B chỉ cú đặc tớnh Privacy ,để thực hiện đợc cuộc gọi nú phải trả lời địa chỉ của điện thoại B đối với Gateway.
Khi Gatekeeper trả lời đầu cuối A bằng bản tin ACF vẫn chứa thụng tin về địa chỉ này để cú thể kết nối với điện thoại B nhng nú đó mó hoỏ bằng cỏch chốn Token vào .Khi đú đầu cuối A khụng thể giải mó để hiểu đợc địa chỉ này .
Đầu cuối A gửi bản tin SETUP đến Gateway cú chứa địa chỉ đó mó hoỏ token này Gateway khi nhận đợc bản tin SETUP sẽ gửi bản tin ARQ cú chứa địa chỉ đó mó hoỏ token nhận đợc tới Gatekeeper.
Gatekeeper sẽ giải mó địa chỉ này và trả lời Gateway bằng bản tin ACF cú chứa số bị gọi.
Hỡnh
2-1 0Cuộc
gọi điện thoại Internet từ PC tới điện thoại
Endpoint A POTS B Gatewa y Endpoint X Gatekeeper
C h a p t e r 3
CHƯƠNG3 CẤU TRÚC MẠNG VÀ CẤU HèNH CHUẨN
CỦA MẠNG IP.
3.1 Tổng quan về cấu hỡnh chuẩn của mạng VoIP
Cấu hỡnh chuẩn của mạng VoIP cú thể bao gồm cỏc phần tử sau: Thiết bị đầu cuối kết nối với mạng IP;
• Mạng truy nhập ;
• Mạng IP;
• Gateway (GW);
• Gateway điều khiển phơng tiện (MGWC);
• Gateway phơng tiện (MGW);
• Gateway bỏo hiệu (SGW);
• Gatekeeper (GK);
• Mạng SCN;
• Thiết bị đầu cuối kết nối mạng SCN;
• Back – end Service.
Hỡnh 3.1 sau đõy đa ra một vớ dụ cụ thể về cấu hỡnh chuẩn và cỏc giao diện cơ bản trong mạng VoIP.
Hỡnh 3-11Cấu hỡnh chuẩn cơ bản của mạng VoIP
GK GK Back End
H.323
Terminal Media GWcontroller
Signaling GW Media GW E.b E.a N B A D G F C J
Cấu hỡnh thể hiện trờn hỡnh 3.1 bao gồm hai GK và giao diện giữa chỳng là loại D sẽ đ- ợc đề cập đến sau.Mỗi thiết bị đầu cuối giao tiếp với một GK và giao tiếp này giống với giao tiếp giữa thiết bị đầu cuối và GW.Mỗi GK sẽ chịu trỏch nhiệm quản lý một Domain, nhng cũng cú thể nhiều GK chia nhau quản lý từng phần của một Domain trong trờng hợp một Domain cú nhiều GK.
Trong vựng quản lý của cỏc GK,cỏc tớn hiệu bỏo hiệu cú thể đợc chuyển tiếp qua một hoặc nhiều GK.Do đú cỏc GK phải cú khả năng trao đổi thụng tin với nhau khi cuộc gọi cú liờn quan nhiều GK.Cú thể sử dụng cỏc cỏch thức nối sau đõy để kết nối hai GK hoặc một GK và một GW:Delicated ,non-delicated,long –live ,on-demand.
3.2 Cỏc cấu hỡnh chuẩn và chức năng của cỏc phần tử3.2.1 Thiết bị đầu cuối 3.2.1 Thiết bị đầu cuối
• Một thiết bị đầu cuối là một nỳt cuối trong cấu hỡnh chuẩn của mạng VoIP ,nú cú thể đợc kết nối với mạng IP sử dụng một trong cỏc giao diện truy nhập sẽ đợc trỡnh bày sau đõy.Một thiết bị đầu cuối cú thể cho phộp một thuờ bao trong mạng IP thực hiện một cuộc điện thoại đến một thuờ bao trong mạng SCN .Cỏc cuộc gọi đú sẽ đợc sự giỏm sỏt của GK mà thiết bị đầu cuối đú đó đăng ký.
• Một thiết bị đầu cuối cú thể bao gồm cỏc chức năng sau đõy:
• Chức năng đầu cuối H.225.0: thu và nhận cỏc bản tin H.225.0;
• Chức năng đầu cuối H.245 :thu và nhận cỏc bản tin H.245;
• Bảo mật kờnh truyền tải :đảm bảo tớnh bảo mật của kờnh truyền tải thụng tin kết nối với thiết bị đầu cuối.
• Bảo mật kờnh bỏo hiệu : đảm bảo tớnh bảo mật của kờnh bỏo hiệu kết nối với thiết bị đầu cuối;
• Chức năng xỏc nhận : thiết lập đặc điểm nhận dạng khỏch hàng ,thiết bị hoặc phần tử mạng;
• Non-repudiation evidence gathering : thu thập cỏc thụng tin dung để xỏc nhận là bản tin bỏo hiệu hoặc bản tin chứa cỏc thụng tin đó đợc truyền hoặc nhận cha;
• Chức năng quản lý: giao tiếp với hệ thống quản lý mạng ;
• Chức năng nghi cỏc bản tin sử dụng : xỏc định hoặc ghi lại cỏc thụng tin về sự kiện (truy nhập ,cảnh bỏo ) và tài nguyờn;
• Chức năng bỏo cỏo cỏc bản tin sử dụng: bỏo cỏo cỏc bản tin sử dụng đó đợc ghi ra thiết bị ngoại vi.
3.2.2 Mạng truy nhập IP
Mạng truy nhập IP cho phộp thiết bị đầu cuối ,GW,GK truy nhập vào mạng IP thụng qua cơ sở hạ tầng mạng sẵn cú .Sau đõy là một vài loại giao diện truy nhập IP đợc sử dụng trong cấu hỡnh chuẩn của mạng VoIP.
• Truy nhập PSTN; • Truy nhập ISDN; • Truy nhập GMS; • Truy nhập cỏp; • Truy nhập LAN; • Truy nhập BRAN; • Truy nhập DECT.
Trờn đõy khụng phải là tất cả cỏc giao diện truy nhập IP,một vài loại khỏc đang đợc nghiờn cứu để sử dụng trong mạng VoIP .Đặc điểm của cỏc giao diện này cú thể gõy ảnh hởng đến chất lợng và tớnh bảo mật của cuộc gọi VoIP.
3.2.3 Gatekeeper (GK)
GK là phần tử trong mạng chịu trỏch nhiệm quản lý việc đăng ký ,chấp nhận và trạng thỏi của cỏc thiết bị đầu cuối và GW.GK cú thể tham gia vào việc quản lý vựng ,xử lý cuộc gọi và bỏo hiệu cuộc gọi.Nú xỏc định tuyến để truyền bỏo hiệu cuộc gọi và nội dung đối với mỗi cuộc gọi. GK cú thể bao gồm cỏc khối chức năng sau đõy:
- Chuyển đổi địa chỉ E.164 : chuyển đổi địa chỉ E.164 sang tờn gọi H.323; - Chuyển đổi tờn gọi H.323: chuyển đổi tờn gọi H.323 sang số E.164;
- Chuyển đổi địa chỉ H.225.0 :Chuyển từ tờn gọi H.323 sang địa chỉ IP để truyền cỏc bản tin H.225.0 ,hoặc nhận và truyền địa chỉ IP để truyền cỏc bản tin H.225.0,bao gồm cả mó lựa chọn nhà cung cấp mạng;
- Dịch địa chỉ kờnh thụng tin :nhận và truyền địa chỉ IP của cỏc kờnh truyền tải thụng tin ,bao gồm cả mó lựa chọn nhà cung cấp mạng;
- Dịch địa chỉ kờnh H.245 : nhận và truyền địa chỉ IP phục vụ cho bỏo hiệu H.245, bao gồm cả mó lựa chọn nhà cung cấp mạng;
- GK H.225.0 :truyền và nhận cỏc bản tin H.225.0; - GK H.245 : truyền và nhận cỏc bản tin H.245;
- Giao tiếp giữa cỏc GK : thực hiện trao đổi thụng tin giữa cỏc GK; - Đăng ký : cung cấp cỏc thụng tin cần đăng ký khi yờu cầu dịch vụ;
- Xỏc nhận :Thiết lập cỏc đặc điểm nhận dạng của khỏch hàng ,thiết bị đầu cuối hoặc cỏc phần tử mạng.
- Điều khiển GK chấp nhận kờnh thụng tin :cho phộp hoặc khụng cho phộp sử dụng cỏc kờnh truyền tải thụng tin;
- Non-repudiation evidence gathering : thu thập thụng tin dựng để xỏc nhận là bản tin bỏo hiệu hoặc bản tin chứa thụng tin đó đợc truyền hoặc nhận cha;
- Bảo mật kờnh bỏo hiệu : đảm bảo tớnh bảo mật của kờnh bỏo hiệu kết nối GK với thiết bị đầu cuối;
- Tớnh cớc: thu thập thụng tin để tớnh cớc;