基于SIP網(wǎng)絡(luò)電話的分布式合法偵聽系統(tǒng)設(shè)計

1、    基于SIP網(wǎng)絡(luò)電話的分布式合法偵聽系統(tǒng)設(shè)計        李志超, 孟相如 時間:2008年11月13日     字 體: 大 中 小        關(guān)鍵詞:<"cblue" " target='_blank'>合法偵聽<"cblue" " target=&

2、#39;_blank'>客戶端<"cblue" " target='_blank'>控制設(shè)備<"cblue" " target='_blank'>系統(tǒng)模型<"cblue" " target='_blank'>呼叫識別            摘? 要: 介紹了會話啟動協(xié)議(SIP)系統(tǒng)和<

3、;"cblue" " title="合法偵聽">合法偵聽(LI)的原理及要求,在提出分布式合法偵聽架構(gòu)的基礎(chǔ)上,設(shè)計了SIP系統(tǒng)的分布式偵聽模型,該偵聽架構(gòu)符合合法偵聽要求,并對SIP系統(tǒng)的分布式偵聽模型的丟包率、性能進行了測試比較。?關(guān)鍵詞: SIP; 合法偵聽; 分布式系統(tǒng)?隨著互聯(lián)網(wǎng)的快速發(fā)展,在網(wǎng)絡(luò)上的業(yè)務(wù)變得越來越豐富,其中網(wǎng)絡(luò)電話近幾年快速興起,并得到廣泛的應(yīng)用。會話啟動協(xié)議SIP(Session Initiation Protocol)沿襲了Internet協(xié)議風(fēng)格,因此非常適合在IP網(wǎng)絡(luò)中使用。SIP網(wǎng)絡(luò)電話作為典型的基于

4、IP網(wǎng)絡(luò)的多媒體應(yīng)用,提供了傳統(tǒng)電信網(wǎng)無法比擬的廉價的語音通信服務(wù)。它的應(yīng)用促進了網(wǎng)絡(luò)資源的利用,降低了電話資費,在全球得到了迅猛發(fā)展。合法偵聽LI(Lawful Interception)是網(wǎng)絡(luò)和信息安全領(lǐng)域重要的課題之一,在協(xié)助執(zhí)法部LEA(Lawful Enforcement Agent)打擊網(wǎng)絡(luò)犯罪活動、保障國家安全、維護國家利益等方面發(fā)揮著極為重要的作用。對國家級的電信網(wǎng)而言,研究服務(wù)于國家安全的LI技術(shù),是電信業(yè)務(wù)提供商迫切需要解決的問題。因此,探討研究SIP網(wǎng)絡(luò)電話的合法偵聽就顯得十分重要。?本文在廣泛調(diào)研各標(biāo)準(zhǔn)化組織相關(guān)研究成果的基礎(chǔ)上,從LI基本原理出發(fā),探討了如何部署基于S

5、IP的網(wǎng)絡(luò)電話的分布式LI設(shè)備,并對設(shè)計模型進行了測試和性能比較。?1 SIP網(wǎng)絡(luò)電話系統(tǒng)概述?SIP協(xié)議是由IETF組織的MMUSIC工作組提出的一個標(biāo)準(zhǔn),最新版本為RFC3261。SIP作為應(yīng)用層上的一個控制協(xié)議,用來建立、修改及終止有多個參與者參加的多媒體會話進程。?1.1 SIP系統(tǒng)架構(gòu)?在一個基本的SIP系統(tǒng)架構(gòu)中主要有二個基本元素:用戶代理(UA)和網(wǎng)絡(luò)服務(wù)器。?用戶代理是<"cblue" " title="客戶端">客戶端終端系統(tǒng)的應(yīng)用程序,它代表要加入呼叫的用戶,包含兩個部分:(1)用戶代理客戶(UAC)。用來初始化

6、一個呼叫,發(fā)起SIP請求,并作為該用戶的呼叫代理。(2)用戶代理服務(wù)器(UAS)。用來接收請求,代表用戶發(fā)出響應(yīng),并作為被叫用戶代理。?SIP網(wǎng)絡(luò)服務(wù)器有兩種:一種是代理服務(wù)器,在功能上像HTTP代理,用來接收用戶或其他服務(wù)器發(fā)來的請求,并決定目的服務(wù)器的位置,將請求提交出去。在傳遞請求之前,代理服務(wù)器可解釋并重寫請求包頭。對于請求的響應(yīng)則保證能夠按原路返回;另一種是重定向服務(wù)器,它在接收到SIP請求后,并不將其轉(zhuǎn)發(fā),而是將包含下一跳服務(wù)器地址的響應(yīng)返回給提出請求的客戶,使客戶直接請求下一跳服務(wù)器。SIP網(wǎng)絡(luò)電話系統(tǒng)架構(gòu)如圖1所示。?SIP協(xié)議的功能實現(xiàn)主要通過其消息機制。SIP消息有兩類:從

7、客戶端到服務(wù)器的請求消息(Request)和從服務(wù)器到客戶端的應(yīng)答消息(Response)。?SIP的請求消息定義了六種方法:INVITE、ACK、BYE、CANCEL、OPTIONS、REGISTER,用于發(fā)出呼叫、響應(yīng)呼叫、釋放呼叫、撤銷呼叫、查詢用戶代理及服務(wù)器設(shè)置、客戶向服務(wù)器注冊等功能的實現(xiàn)。?服務(wù)器對請求響應(yīng)的類型有:1××,表示接收信息;2××,表示請求被成功接收;3××,為完成請求客戶需進一步細化請求;4××,表示客戶錯誤;5××,表示服務(wù)器錯誤;6××,表示

8、全局錯誤。?SIP會話中的媒體交換可以使用任何傳輸協(xié)議,但一般都以RTP作為傳輸協(xié)議。SIP消息(或稱信令)與會話媒體流有可能通過相同的介質(zhì)傳輸,但兩者在邏輯上仍然是分離的。信令在傳輸中可能要經(jīng)過一個或多個代理服務(wù)器或重定向服務(wù)器,而會話媒體流則采用直接連接。因此,SIP協(xié)議必須與IETF的其他協(xié)議(如SDP、RSVP和SAP)協(xié)同工作。?1.2 SIP系統(tǒng)運作原理?基本呼叫過程(見圖1):?(1)用戶A向用戶B撥號。用戶A的SIP電話向代理服務(wù)器A發(fā)出一個INVITE信號。?(2)代理服務(wù)器A向重定向服務(wù)器轉(zhuǎn)發(fā)INVITE信號。?(3)重定向服務(wù)器響應(yīng)一個信號包含著代理服務(wù)器A向代理服務(wù)器B

9、聯(lián)系消息302。?(4)代理服務(wù)器A向代理服務(wù)器B發(fā)出一個INVITE信號。?(5)代理服務(wù)器B向重定向服務(wù)器發(fā)起一個INVITE信號。?(6)重定向服務(wù)器回應(yīng)一個代理服務(wù)器B與用戶B的連接信號。?(7)代理服務(wù)器B發(fā)起一個INVITE信號給用戶B。?(8)用戶B的SIP電話響鈴,同時回應(yīng)一個180消息給用戶A。?(9)拿起電話,一個200(OK)信號發(fā)出。?(10)用戶A的SIP電話回應(yīng)一個ACK信號。?(11)RTP通路建立。?2 合法偵聽基本原理及要求?合法偵聽是為了國家安全的需要,根據(jù)國家法律明確規(guī)定并且經(jīng)過授權(quán)機構(gòu)的法律授權(quán),由具有合法偵聽權(quán)的機構(gòu)在法律授權(quán)范圍內(nèi)對通信內(nèi)容進行偵聽。

10、?如果一個合法偵聽機構(gòu)希望使用合法偵聽設(shè)備,則合法偵聽機構(gòu)必須經(jīng)過法院或者其他責(zé)任實體的法律授權(quán),如偵聽授權(quán)書等。當(dāng)合法偵聽進行授權(quán)后,偵聽機構(gòu)必須向網(wǎng)絡(luò)側(cè)(包括網(wǎng)絡(luò)運營商、接入供應(yīng)商、服務(wù)提供商)提供授權(quán)書,網(wǎng)絡(luò)側(cè)將偵聽到的偵聽相關(guān)信息IRI(Intercept Related Information)和通話內(nèi)容CC(Intercept Contents of Communication)送到合法偵聽機構(gòu),根據(jù)偵聽內(nèi)容的不同賦予偵聽機構(gòu)不同的偵聽權(quán)限。?合法偵聽的基本要求是在滿足合法偵聽的前提下,因特網(wǎng)業(yè)務(wù)提供商(ISP)要依照偵聽傳票的要求保證其設(shè)備、設(shè)施或服務(wù)能提供以下功能:?(1)迅速

11、地分離通信信息,保證LEA能偵聽到運營商業(yè)務(wù)域內(nèi)的所有通信(如呼叫內(nèi)容),同時將偵聽到的信息不加修改地傳送出去。?(2)迅速地分離<"cblue" " title="呼叫識別">呼叫識別信息,保證LEA訪問到可用的呼叫識別信息,同時將偵聽到的信息不加修改地傳送出去。此外,還要將呼叫識別信息和通信內(nèi)容相關(guān)聯(lián)。?(3)因LEA離運營商的距離可能很遠,因此向LEA傳送偵聽的通信內(nèi)容和呼叫識別信息要及時、準(zhǔn)確、完整。?3 分布式LI系統(tǒng)的體系結(jié)構(gòu)?為了滿足LI的要求,設(shè)計了IP電話網(wǎng)的分布式LI系統(tǒng)。該系統(tǒng)支持不同的IP電話協(xié)議和不同的偵聽

12、方式。分布式LI系統(tǒng)是分層的控制結(jié)構(gòu),如圖2所示,主要由四種部件組成:頂層設(shè)備TLD(Top-Level Device)、中層設(shè)備ILD(Intermediate-Level Device)、底層設(shè)備BLD(Bottom-Level Device)和存儲設(shè)備SD(Storage Device)。?TLD是分布式偵聽管理<"cblue" " title="控制設(shè)備">控制設(shè)備,能夠獨立運行Windows程序,配置信息(偵聽信息列表和下層設(shè)備列表)都存儲在TLD的本地文件中。偵聽信息列表包括被偵聽的VoIP終端信息和LI策略信息。分布式

13、LI系統(tǒng)中所有的偵聽設(shè)備都依靠偵聽信息列表來識別需要偵聽的通話。因此,與偵聽信息列表對應(yīng)的通話信息作為偵聽數(shù)據(jù)記錄下來,而偵聽信息列表之外的通話信息將不會被記錄下來。偵聽數(shù)據(jù)是指偵聽相關(guān)信息(IRI)和通話內(nèi)容(CC),即呼叫開始時間、呼叫結(jié)束時間、參與呼叫終端地址、呼叫的通話內(nèi)容以及其他偵聽要求的數(shù)據(jù)。?TLD將偵聽信息列表自動傳送到下層設(shè)備。TLD不參與偵聽,在一個分布式偵聽系統(tǒng)中只有一個TLD,TLD可以連接很多ILD和BLD設(shè)備。?ILD能從TLD接收偵聽信息列表并傳送給下層,還能偵聽VoIP呼叫并記錄各類偵聽數(shù)據(jù)。一個ILD的下層設(shè)備可以是很多ILD和BLD設(shè)備,而一個ILD的上層設(shè)

14、備只能是另一個ILD或TLD設(shè)備。?另外,偵聽信息對低層設(shè)備的偵聽很重要,ILD通過獲得的偵聽數(shù)據(jù)來擴展和修改從上層接收到的偵聽信息,并將修改過的偵聽信息傳送到下一層。這樣,底層偵聽設(shè)備使用被擴展的偵聽消息可以提高偵聽系統(tǒng)的運行,同時提高了偵聽系統(tǒng)偵聽能力。例如:偵聽消息列表中VoIP終端用的是用戶化名,由于用戶的移動,用戶化名和IP地址之間沒有直接映射關(guān)系,如果把ILD設(shè)置在MGC上,它能夠用偵聽消息將化名映射到一個相應(yīng)的IP地址。接收的偵聽消息通過獲取的IP地址被擴展,最后,低層設(shè)備使用ILD提供的擴展的偵聽消息提高了偵聽系統(tǒng)的運行能力。?BLD位于分布式偵聽系統(tǒng)分層控制結(jié)構(gòu)的底層,它的主

15、要功能是偵聽VoIP呼叫內(nèi)容。由于BLD沒有下層設(shè)備,所以它只從上層設(shè)備接收偵聽信息,而不再給其他設(shè)備傳送。在分布式偵聽系統(tǒng)里有很多BLD設(shè)備,都能支持各種IP電話協(xié)議和各種偵聽方法。每個BLD有ILD或TLD作為它的上層。?SD不是分層控制結(jié)構(gòu)的一部分,它能夠提供偵聽數(shù)據(jù)的遠程存儲。ILD和BLD都能夠自動將偵聽數(shù)據(jù)傳送給指定的SD設(shè)備。然而,偵聽系統(tǒng)的管理員也能要求偵聽存儲在本地偵聽設(shè)備中的偵聽數(shù)據(jù)。存儲在SD中的偵聽數(shù)據(jù)或者在本地進行分析,或者通過安全的網(wǎng)絡(luò)傳送到授權(quán)用戶。?在偵聽活動初始化階段,TLD讀取配置信息,并將偵聽信息列表傳送給下層偵聽設(shè)備。如果沒有任何一個偵聽設(shè)備則回應(yīng),而T

16、LD會重新連接。另外,TLD也會響應(yīng)下層偵聽設(shè)備的請求。任何一個下層偵聽設(shè)備由于維護或系統(tǒng)故障而重啟,它也能很容易地從TLD中得到偵聽信息列表,而不會影響到分布式偵聽系統(tǒng)的其他設(shè)備。?分布式偵聽系統(tǒng)的管理和控制設(shè)備用來自動傳送控制信息給系統(tǒng)所有的設(shè)備。系統(tǒng)的管理和控制設(shè)備簡單并限制在一個地方。另外,所有記錄的偵聽數(shù)據(jù)都將被收集,并在中心域分析。分布式偵聽系統(tǒng)提供了適合各種網(wǎng)絡(luò)結(jié)構(gòu)需要的偵聽規(guī)模和能力。?4 SIP分布式偵聽<"cblue" " title="系統(tǒng)模型">系統(tǒng)模型?4.1 分布式偵聽系統(tǒng)模型?根據(jù)前面提出的分布式偵聽系

17、統(tǒng),建立了SIP分布式偵聽系統(tǒng)模型,如圖3所示。其組成包括:受偵聽網(wǎng)絡(luò)(SIP客戶端、交換機/集線器和呼叫代理服務(wù)器/網(wǎng)關(guān),SIP客戶端支持SIP協(xié)議);偵聽管理控制設(shè)備TLD(運行Windows程序,配置偵聽信息和下層設(shè)備列表,并將偵聽信息自動傳送到下層偵聽設(shè)備);兩個偵聽設(shè)備(偵聽設(shè)備ILD和偵聽設(shè)備BLD),分別在受偵聽網(wǎng)絡(luò)的交換機/集線器和呼叫代理服務(wù)器/網(wǎng)關(guān)上設(shè)置偵聽接入點(IAP)進行偵聽。?一般情況下,信令使用名稱地址,而音頻流傳輸使用IP地址,用戶的IP地址可能是動態(tài)獲取的,所以偵聽設(shè)備需要維護一個被偵聽用戶的名稱和它的IP地址之間的映射,這個映射關(guān)系應(yīng)該和呼叫服務(wù)器保持一致。

18、這個問題可以用設(shè)置偵聽設(shè)備ILD的方法來解決,偵聽設(shè)備ILD能夠映射用戶化名到一個IP地址。呼叫相關(guān)信息(IRI)可以從RAS(Registration Admission and Status)交換信息時獲取,RAS的主要功能是客戶注冊、得到被叫方的IP地址。RAS在終端與呼叫代理服務(wù)器之間進行,所以呼叫代理服務(wù)器提供偵聽目標(biāo)的活動事件。當(dāng)呼叫服務(wù)器在處理注冊和呼叫信息時,如果被偵聽的用戶名稱和它的IP地址的映射信息發(fā)生改變,就發(fā)送這個映射信息到偵聽設(shè)備ILD。對于通話內(nèi)容(CC),ILD可以把得到的IP地址加到偵聽信息中并傳送給下層設(shè)備BLD(此模型的BLD設(shè)成混雜模式)。混雜模式下的偵聽

19、設(shè)備BLD連接到交換機或者Hub,如果是交換機,則配置交換機使所有端口傳輸?shù)臄?shù)據(jù)都發(fā)送到偵聽端口。偵聽設(shè)備BLD連接到這個偵聽端口,并根據(jù)上層偵聽信息從交換機偵聽相應(yīng)的通話內(nèi)容,這樣可以提高偵聽的速度和準(zhǔn)確度,而且在這種偵聽方式下不會被任何人檢測到(包括使用反偵聽工具)。?4.2 模擬環(huán)境?硬件:CPU為Intel Pentium M1.73GHz,內(nèi)存為512MB的筆記本電腦。?軟件:操作系統(tǒng)是Microsoft Windows 2000 Server。?偵聽設(shè)備是ILD和BLD。此外,還有一個呼叫代理服務(wù)器、一個媒體傳輸服務(wù)器和三個SIP客戶機,這些設(shè)備都用個人電腦,對外的帶寬是100Mb

20、/s。這里沒有設(shè)偵聽管理控制設(shè)備TLD。?4.3 模型的測試?在模擬的網(wǎng)絡(luò)模型中,測試了在單一的偵聽設(shè)備的環(huán)境下和分布式偵聽環(huán)境下發(fā)生丟包的情況。所有連線傳送延遲都為10ms。這里給出了通話數(shù)和丟包率的關(guān)系,從通話數(shù)100開始,一直到通話數(shù)1 000,最后的模擬結(jié)果如表1所示。分布式偵聽的丟包在通話數(shù)700時才發(fā)生,而且丟包率較低。表2給出了三種連接偵聽設(shè)備方法的性能評估,從表中可以看出,分布式偵聽的性能比較好。?本文創(chuàng)新點:?(1)在提出分布式偵聽系統(tǒng)的基礎(chǔ)上,設(shè)計了SIP分布式偵聽系統(tǒng)模型,并對SIP電話網(wǎng)絡(luò)中分布式偵聽設(shè)備的丟包率進行了測試。?(2)分布式偵聽系統(tǒng)偵聽設(shè)備通過對偵聽信息列

21、表的擴展或修改,提高了偵聽的性能。?(3)使用分布式的偵聽系統(tǒng)可以克服以下問題:NGN的使用者分布在各地,不容易確定偵聽? 設(shè)備的合適位置問題;當(dāng)所有的數(shù)據(jù)流傳送到偵聽設(shè)備,帶寬和偵聽設(shè)備所能承擔(dān)的最大負(fù)荷將成為瓶頸的問題;用戶的移動性,用戶化名與IP地址的映射關(guān)系不確定的問題。?本文提出一種新的合法偵聽模型,并設(shè)計了SIP分布式偵聽系統(tǒng)模型,最后對設(shè)計的模型進行了模擬,測試了單一偵聽設(shè)備和分布式偵聽設(shè)備在不同的通話數(shù)下的丟包率,并對性能進行了比較。從測試比較結(jié)果可以看出,分布式偵聽有較低的丟包率和較好的性能。?參考文獻?1 桂海源.IP電話技術(shù)與軟交換M.北京:北京郵電大學(xué)出版社,2004.?2 IETF.SIP:Session initia