摘? 要: 介紹了會話啟動協(xié)議(SIP)系統(tǒng)和合法偵聽" title="合法偵聽">合法偵聽(LI)的原理及要求,在提出分布式合法偵聽架構的基礎上,設計了SIP系統(tǒng)的分布式偵聽模型,該偵聽架構符合合法偵聽要求,并對SIP系統(tǒng)的分布式偵聽模型的丟包率、性能進行了測試比較。?

　　關鍵詞: SIP; 合法偵聽; 分布式系統(tǒng)?

?

　　隨著互聯(lián)網(wǎng)的快速發(fā)展,在網(wǎng)絡上的業(yè)務變得越來越豐富,其中網(wǎng)絡電話近幾年快速興起,并得到廣泛的應用。會話啟動協(xié)議SIP(Session Initiation Protocol)沿襲了Internet協(xié)議風格,因此非常適合在IP網(wǎng)絡中使用。SIP網(wǎng)絡電話作為典型的基于IP網(wǎng)絡的多媒體應用,提供了傳統(tǒng)電信網(wǎng)無法比擬的廉價的語音通信服務。它的應用促進了網(wǎng)絡資源的利用,降低了電話資費,在全球得到了迅猛發(fā)展。合法偵聽LI(Lawful Interception)是網(wǎng)絡和信息安全領域重要的課題之一,在協(xié)助執(zhí)法部LEA(Lawful Enforcement Agent)打擊網(wǎng)絡犯罪活動、保障國家安全、維護國家利益等方面發(fā)揮著極為重要的作用。對國家級的電信網(wǎng)而言,研究服務于國家安全的LI技術,是電信業(yè)務提供商迫切需要解決的問題。因此,探討研究SIP網(wǎng)絡電話的合法偵聽就顯得十分重要。?

　　本文在廣泛調(diào)研各標準化組織相關研究成果的基礎上,從LI基本原理出發(fā),探討了如何部署基于SIP的網(wǎng)絡電話的分布式LI設備,并對設計模型進行了測試和性能比較。?

1 SIP網(wǎng)絡電話系統(tǒng)概述?

　　SIP協(xié)議是由IETF組織的MMUSIC工作組提出的一個標準,最新版本為RFC3261。SIP作為應用層上的一個控制協(xié)議,用來建立、修改及終止有多個參與者參加的多媒體會話進程。?

1.1 SIP系統(tǒng)架構?

　　在一個基本的SIP系統(tǒng)架構中主要有二個基本元素:用戶代理(UA)和網(wǎng)絡服務器。?

　　用戶代理是客戶端" title="客戶端">客戶端終端系統(tǒng)的應用程序,它代表要加入呼叫的用戶,包含兩個部分:(1)用戶代理客戶(UAC)。用來初始化一個呼叫,發(fā)起SIP請求,并作為該用戶的呼叫代理。(2)用戶代理服務器(UAS)。用來接收請求,代表用戶發(fā)出響應,并作為被叫用戶代理。?

　　SIP網(wǎng)絡服務器有兩種:一種是代理服務器,在功能上像HTTP代理,用來接收用戶或其他服務器發(fā)來的請求,并決定目的服務器的位置,將請求提交出去。在傳遞請求之前,代理服務器可解釋并重寫請求包頭。對于請求的響應則保證能夠按原路返回;另一種是重定向服務器,它在接收到SIP請求后,并不將其轉發(fā),而是將包含下一跳服務器地址的響應返回給提出請求的客戶,使客戶直接請求下一跳服務器。SIP網(wǎng)絡電話系統(tǒng)架構如圖1所示。?

?

?

　　SIP協(xié)議的功能實現(xiàn)主要通過其消息機制。SIP消息有兩類:從客戶端到服務器的請求消息(Request)和從服務器到客戶端的應答消息(Response)。?

　　SIP的請求消息定義了六種方法:INVITE、ACK、BYE、CANCEL、OPTIONS、REGISTER,用于發(fā)出呼叫、響應呼叫、釋放呼叫、撤銷呼叫、查詢用戶代理及服務器設置、客戶向服務器注冊等功能的實現(xiàn)。?

　　服務器對請求響應的類型有:1××,表示接收信息;2××,表示請求被成功接收;3××,為完成請求客戶需進一步細化請求;4××,表示客戶錯誤;5××,表示服務器錯誤;6××,表示全局錯誤。?

　　SIP會話中的媒體交換可以使用任何傳輸協(xié)議,但一般都以RTP作為傳輸協(xié)議。SIP消息(或稱信令)與會話媒體流有可能通過相同的介質(zhì)傳輸,但兩者在邏輯上仍然是分離的。信令在傳輸中可能要經(jīng)過一個或多個代理服務器或重定向服務器,而會話媒體流則采用直接連接。因此,SIP協(xié)議必須與IETF的其他協(xié)議(如SDP、RSVP和SAP)協(xié)同工作。?

1.2 SIP系統(tǒng)運作原理?

　　基本呼叫過程(見圖1):?

　　(1)用戶A向用戶B撥號。用戶A的SIP電話向代理服務器A發(fā)出一個INVITE信號。?

　　(2)代理服務器A向重定向服務器轉發(fā)INVITE信號。?

　　(3)重定向服務器響應一個信號包含著代理服務器A向代理服務器B聯(lián)系消息302。?

　　(4)代理服務器A向代理服務器B發(fā)出一個INVITE信號。?

　　(5)代理服務器B向重定向服務器發(fā)起一個INVITE信號。?

　　(6)重定向服務器回應一個代理服務器B與用戶B的連接信號。?

　　(7)代理服務器B發(fā)起一個INVITE信號給用戶B。?

　　(8)用戶B的SIP電話響鈴,同時回應一個180消息給用戶A。?

　　(9)拿起電話,一個200(OK)信號發(fā)出。?

　　(10)用戶A的SIP電話回應一個ACK信號。?

　　(11)RTP通路建立。?

2 合法偵聽基本原理及要求?

　　合法偵聽是為了國家安全的需要,根據(jù)國家法律明確規(guī)定并且經(jīng)過授權機構的法律授權,由具有合法偵聽權的機構在法律授權范圍內(nèi)對通信內(nèi)容進行偵聽。?

　　如果一個合法偵聽機構希望使用合法偵聽設備,則合法偵聽機構必須經(jīng)過法院或者其他責任實體的法律授權,如偵聽授權書等。當合法偵聽進行授權后,偵聽機構必須向網(wǎng)絡側(包括網(wǎng)絡運營商、接入供應商、服務提供商)提供授權書,網(wǎng)絡側將偵聽到的偵聽相關信息IRI(Intercept Related Information)和通話內(nèi)容CC(Intercept Contents of Communication)送到合法偵聽機構,根據(jù)偵聽內(nèi)容的不同賦予偵聽機構不同的偵聽權限。?

　　合法偵聽的基本要求是在滿足合法偵聽的前提下,因特網(wǎng)業(yè)務提供商(ISP)要依照偵聽傳票的要求保證其設備、設施或服務能提供以下功能:?

　　(1)迅速地分離通信信息,保證LEA能偵聽到運營商業(yè)務域內(nèi)的所有通信(如呼叫內(nèi)容),同時將偵聽到的信息不加修改地傳送出去。?

　　(2)迅速地分離呼叫識別" title="呼叫識別">呼叫識別信息,保證LEA訪問到可用的呼叫識別信息,同時將偵聽到的信息不加修改地傳送出去。此外,還要將呼叫識別信息和通信內(nèi)容相關聯(lián)。?

　　(3)因LEA離運營商的距離可能很遠,因此向LEA傳送偵聽的通信內(nèi)容和呼叫識別信息要及時、準確、完整。?

3 分布式LI系統(tǒng)的體系結構?

　　為了滿足LI的要求,設計了IP電話網(wǎng)的分布式LI系統(tǒng)。該系統(tǒng)支持不同的IP電話協(xié)議和不同的偵聽方式。分布式LI系統(tǒng)是分層的控制結構,如圖2所示,主要由四種部件組成:頂層設備TLD(Top-Level Device)、中層設備ILD(Intermediate-Level Device)、底層設備BLD(Bottom-Level Device)和存儲設備SD(Storage Device)。?

?

?

　　TLD是分布式偵聽管理控制設備" title="控制設備">控制設備,能夠獨立運行Windows程序,配置信息(偵聽信息列表和下層設備列表)都存儲在TLD的本地文件中。偵聽信息列表包括被偵聽的VoIP終端信息和LI策略信息。分布式LI系統(tǒng)中所有的偵聽設備都依靠偵聽信息列表來識別需要偵聽的通話。因此,與偵聽信息列表對應的通話信息作為偵聽數(shù)據(jù)記錄下來,而偵聽信息列表之外的通話信息將不會被記錄下來。偵聽數(shù)據(jù)是指偵聽相關信息(IRI)和通話內(nèi)容(CC),即呼叫開始時間、呼叫結束時間、參與呼叫終端地址、呼叫的通話內(nèi)容以及其他偵聽要求的數(shù)據(jù)。?

　　TLD將偵聽信息列表自動傳送到下層設備。TLD不參與偵聽,在一個分布式偵聽系統(tǒng)中只有一個TLD,TLD可以連接很多ILD和BLD設備。?

　　ILD能從TLD接收偵聽信息列表并傳送給下層,還能偵聽VoIP呼叫并記錄各類偵聽數(shù)據(jù)。一個ILD的下層設備可以是很多ILD和BLD設備,而一個ILD的上層設備只能是另一個ILD或TLD設備。?

　　另外,偵聽信息對低層設備的偵聽很重要,ILD通過獲得的偵聽數(shù)據(jù)來擴展和修改從上層接收到的偵聽信息,并將修改過的偵聽信息傳送到下一層。這樣,底層偵聽設備使用被擴展的偵聽消息可以提高偵聽系統(tǒng)的運行,同時提高了偵聽系統(tǒng)偵聽能力。例如:偵聽消息列表中VoIP終端用的是用戶化名,由于用戶的移動,用戶化名和IP地址之間沒有直接映射關系,如果把ILD設置在MGC上,它能夠用偵聽消息將化名映射到一個相應的IP地址。接收的偵聽消息通過獲取的IP地址被擴展,最后,低層設備使用ILD提供的擴展的偵聽消息提高了偵聽系統(tǒng)的運行能力。?

　　BLD位于分布式偵聽系統(tǒng)分層控制結構的底層,它的主要功能是偵聽VoIP呼叫內(nèi)容。由于BLD沒有下層設備,所以它只從上層設備接收偵聽信息,而不再給其他設備傳送。在分布式偵聽系統(tǒng)里有很多BLD設備,都能支持各種IP電話協(xié)議和各種偵聽方法。每個BLD有ILD或TLD作為它的上層。?

　　SD不是分層控制結構的一部分,它能夠提供偵聽數(shù)據(jù)的遠程存儲。ILD和BLD都能夠自動將偵聽數(shù)據(jù)傳送給指定的SD設備。然而,偵聽系統(tǒng)的管理員也能要求偵聽存儲在本地偵聽設備中的偵聽數(shù)據(jù)。存儲在SD中的偵聽數(shù)據(jù)或者在本地進行分析,或者通過安全的網(wǎng)絡傳送到授權用戶。?

　　在偵聽活動初始化階段,TLD讀取配置信息,并將偵聽信息列表傳送給下層偵聽設備。如果沒有任何一個偵聽設備則回應,而TLD會重新連接。另外,TLD也會響應下層偵聽設備的請求。任何一個下層偵聽設備由于維護或系統(tǒng)故障而重啟,它也能很容易地從TLD中得到偵聽信息列表,而不會影響到分布式偵聽系統(tǒng)的其他設備。?

　　分布式偵聽系統(tǒng)的管理和控制設備用來自動傳送控制信息給系統(tǒng)所有的設備。系統(tǒng)的管理和控制設備簡單并限制在一個地方。另外,所有記錄的偵聽數(shù)據(jù)都將被收集,并在中心域分析。分布式偵聽系統(tǒng)提供了適合各種網(wǎng)絡結構需要的偵聽規(guī)模和能力。?

4 SIP分布式偵聽系統(tǒng)模型" title="系統(tǒng)模型">系統(tǒng)模型?

4.1 分布式偵聽系統(tǒng)模型?

　　根據(jù)前面提出的分布式偵聽系統(tǒng),建立了SIP分布式偵聽系統(tǒng)模型,如圖3所示。其組成包括:受偵聽網(wǎng)絡(SIP客戶端、交換機/集線器和呼叫代理服務器/網(wǎng)關,SIP客戶端支持SIP協(xié)議);偵聽管理控制設備TLD(運行Windows程序,配置偵聽信息和下層設備列表,并將偵聽信息自動傳送到下層偵聽設備);兩個偵聽設備(偵聽設備ILD和偵聽設備BLD),分別在受偵聽網(wǎng)絡的交換機/集線器和呼叫代理服務器/網(wǎng)關上設置偵聽接入點(IAP)進行偵聽。?

?

?

　　一般情況下,信令使用名稱地址,而音頻流傳輸使用IP地址,用戶的IP地址可能是動態(tài)獲取的,所以偵聽設備需要維護一個被偵聽用戶的名稱和它的IP地址之間的映射,這個映射關系應該和呼叫服務器保持一致。這個問題可以用設置偵聽設備ILD的方法來解決,偵聽設備ILD能夠映射用戶化名到一個IP地址。呼叫相關信息(IRI)可以從RAS(Registration Admission and Status)交換信息時獲取,RAS的主要功能是客戶注冊、得到被叫方的IP地址。RAS在終端與呼叫代理服務器之間進行,所以呼叫代理服務器提供偵聽目標的活動事件。當呼叫服務器在處理注冊和呼叫信息時,如果被偵聽的用戶名稱和它的IP地址的映射信息發(fā)生改變,就發(fā)送這個映射信息到偵聽設備ILD。對于通話內(nèi)容(CC),ILD可以把得到的IP地址加到偵聽信息中并傳送給下層設備BLD(此模型的BLD設成混雜模式)?；祀s模式下的偵聽設備BLD連接到交換機或者Hub,如果是交換機,則配置交換機使所有端口傳輸?shù)臄?shù)據(jù)都發(fā)送到偵聽端口。偵聽設備BLD連接到這個偵聽端口,并根據(jù)上層偵聽信息從交換機偵聽相應的通話內(nèi)容,這樣可以提高偵聽的速度和準確度,而且在這種偵聽方式下不會被任何人檢測到(包括使用反偵聽工具)。?

4.2 模擬環(huán)境?

　　硬件:CPU為Intel Pentium M1.73GHz,內(nèi)存為512MB的筆記本電腦。?

　　軟件:操作系統(tǒng)是Microsoft Windows 2000 Server。?

　　偵聽設備是ILD和BLD。此外,還有一個呼叫代理服務器、一個媒體傳輸服務器和三個SIP客戶機,這些設備都用個人電腦,對外的帶寬是100Mb/s。這里沒有設偵聽管理控制設備TLD。?

4.3 模型的測試?

　　在模擬的網(wǎng)絡模型中,測試了在單一的偵聽設備的環(huán)境下和分布式偵聽環(huán)境下發(fā)生丟包的情況。所有連線傳送延遲都為10ms。這里給出了通話數(shù)和丟包率的關系,從通話數(shù)100開始,一直到通話數(shù)1 000,最后的模擬結果如表1所示。分布式偵聽的丟包在通話數(shù)700時才發(fā)生,而且丟包率較低。表2給出了三種連接偵聽設備方法的性能評估,從表中可以看出,分布式偵聽的性能比較好。?

?

?

?

　　本文創(chuàng)新點:?

　　(1)在提出分布式偵聽系統(tǒng)的基礎上,設計了SIP分布式偵聽系統(tǒng)模型,并對SIP電話網(wǎng)絡中分布式偵聽設備的丟包率進行了測試。?

　　(2)分布式偵聽系統(tǒng)偵聽設備通過對偵聽信息列表的擴展或修改,提高了偵聽的性能。?

　　(3)使用分布式的偵聽系統(tǒng)可以克服以下問題:NGN的使用者分布在各地,不容易確定偵聽??? 設備的合適位置問題;當所有的數(shù)據(jù)流傳送到偵聽設備,帶寬和偵聽設備所能承擔的最大負荷將成為瓶頸的問題;用戶的移動性,用戶化名與IP地址的映射關系不確定的問題。?

　　本文提出一種新的合法偵聽模型,并設計了SIP分布式偵聽系統(tǒng)模型,最后對設計的模型進行了模擬,測試了單一偵聽設備和分布式偵聽設備在不同的通話數(shù)下的丟包率,并對性能進行了比較。從測試比較結果可以看出,分布式偵聽有較低的丟包率和較好的性能。?

參考文獻?

[1] 桂海源.IP電話技術與軟交換[M].北京:北京郵電大學出版社,2004.?

[2] IETF.SIP:Session initiation protocol [EB/OL].http://www.ietf.org/rfc/rfc3261.txt, 2002.?

[3] ETSI ES 201 158 V1.2.1. Telecommunications security;Lawful Interception (LI);Requirements for network functions[S].2002.?

[4] ETSI TS 101 331 V1.2.1.? Lawful Interception (LI);requirements of law enforcement agencies[S]. 2006.?

[5] ETSI TS 101 671 V2.15.1. Lawful interception (LI);handover interface for the lawful interception of telecommunications traffic[S].2006.?

[6] MILANOVIC A, SRBLJIC S, RAZNJEVIC I, et al.Methods for lawful interception in VoIP networks, Submitted for Publishing at Eurocon[J].2003.?