摘? 要: 介紹了會(huì)話啟動(dòng)協(xié)議(SIP)系統(tǒng)和合法偵聽" title="合法偵聽">合法偵聽(LI)的原理及要求,在提出分布式合法偵聽架構(gòu)的基礎(chǔ)上,設(shè)計(jì)了SIP系統(tǒng)的分布式偵聽模型,該偵聽架構(gòu)符合合法偵聽要求,并對SIP系統(tǒng)的分布式偵聽模型的丟包率、性能進(jìn)行了測試比較。?

　　關(guān)鍵詞: SIP; 合法偵聽; 分布式系統(tǒng)?

?

　　隨著互聯(lián)網(wǎng)的快速發(fā)展,在網(wǎng)絡(luò)上的業(yè)務(wù)變得越來越豐富,其中網(wǎng)絡(luò)電話近幾年快速興起,并得到廣泛的應(yīng)用。會(huì)話啟動(dòng)協(xié)議SIP(Session Initiation Protocol)沿襲了Internet協(xié)議風(fēng)格,因此非常適合在IP網(wǎng)絡(luò)中使用。SIP網(wǎng)絡(luò)電話作為典型的基于IP網(wǎng)絡(luò)的多媒體應(yīng)用,提供了傳統(tǒng)電信網(wǎng)無法比擬的廉價(jià)的語音通信服務(wù)。它的應(yīng)用促進(jìn)了網(wǎng)絡(luò)資源的利用,降低了電話資費(fèi),在全球得到了迅猛發(fā)展。合法偵聽LI(Lawful Interception)是網(wǎng)絡(luò)和信息安全領(lǐng)域重要的課題之一,在協(xié)助執(zhí)法部LEA(Lawful Enforcement Agent)打擊網(wǎng)絡(luò)犯罪活動(dòng)、保障國家安全、維護(hù)國家利益等方面發(fā)揮著極為重要的作用。對國家級(jí)的電信網(wǎng)而言,研究服務(wù)于國家安全的LI技術(shù),是電信業(yè)務(wù)提供商迫切需要解決的問題。因此,探討研究SIP網(wǎng)絡(luò)電話的合法偵聽就顯得十分重要。?

　　本文在廣泛調(diào)研各標(biāo)準(zhǔn)化組織相關(guān)研究成果的基礎(chǔ)上,從LI基本原理出發(fā),探討了如何部署基于SIP的網(wǎng)絡(luò)電話的分布式LI設(shè)備,并對設(shè)計(jì)模型進(jìn)行了測試和性能比較。?

1 SIP網(wǎng)絡(luò)電話系統(tǒng)概述?

　　SIP協(xié)議是由IETF組織的MMUSIC工作組提出的一個(gè)標(biāo)準(zhǔn),最新版本為RFC3261。SIP作為應(yīng)用層上的一個(gè)控制協(xié)議,用來建立、修改及終止有多個(gè)參與者參加的多媒體會(huì)話進(jìn)程。?

1.1 SIP系統(tǒng)架構(gòu)?

　　在一個(gè)基本的SIP系統(tǒng)架構(gòu)中主要有二個(gè)基本元素:用戶代理(UA)和網(wǎng)絡(luò)服務(wù)器。?

　　用戶代理是客戶端" title="客戶端">客戶端終端系統(tǒng)的應(yīng)用程序,它代表要加入呼叫的用戶,包含兩個(gè)部分:(1)用戶代理客戶(UAC)。用來初始化一個(gè)呼叫,發(fā)起SIP請求,并作為該用戶的呼叫代理。(2)用戶代理服務(wù)器(UAS)。用來接收請求,代表用戶發(fā)出響應(yīng),并作為被叫用戶代理。?

　　SIP網(wǎng)絡(luò)服務(wù)器有兩種:一種是代理服務(wù)器,在功能上像HTTP代理,用來接收用戶或其他服務(wù)器發(fā)來的請求,并決定目的服務(wù)器的位置,將請求提交出去。在傳遞請求之前,代理服務(wù)器可解釋并重寫請求包頭。對于請求的響應(yīng)則保證能夠按原路返回;另一種是重定向服務(wù)器,它在接收到SIP請求后,并不將其轉(zhuǎn)發(fā),而是將包含下一跳服務(wù)器地址的響應(yīng)返回給提出請求的客戶,使客戶直接請求下一跳服務(wù)器。SIP網(wǎng)絡(luò)電話系統(tǒng)架構(gòu)如圖1所示。?

?

?

　　SIP協(xié)議的功能實(shí)現(xiàn)主要通過其消息機(jī)制。SIP消息有兩類:從客戶端到服務(wù)器的請求消息(Request)和從服務(wù)器到客戶端的應(yīng)答消息(Response)。?

　　SIP的請求消息定義了六種方法:INVITE、ACK、BYE、CANCEL、OPTIONS、REGISTER,用于發(fā)出呼叫、響應(yīng)呼叫、釋放呼叫、撤銷呼叫、查詢用戶代理及服務(wù)器設(shè)置、客戶向服務(wù)器注冊等功能的實(shí)現(xiàn)。?

　　服務(wù)器對請求響應(yīng)的類型有:1××,表示接收信息;2××,表示請求被成功接收;3××,為完成請求客戶需進(jìn)一步細(xì)化請求;4××,表示客戶錯(cuò)誤;5××,表示服務(wù)器錯(cuò)誤;6××,表示全局錯(cuò)誤。?

　　SIP會(huì)話中的媒體交換可以使用任何傳輸協(xié)議,但一般都以RTP作為傳輸協(xié)議。SIP消息(或稱信令)與會(huì)話媒體流有可能通過相同的介質(zhì)傳輸,但兩者在邏輯上仍然是分離的。信令在傳輸中可能要經(jīng)過一個(gè)或多個(gè)代理服務(wù)器或重定向服務(wù)器,而會(huì)話媒體流則采用直接連接。因此,SIP協(xié)議必須與IETF的其他協(xié)議(如SDP、RSVP和SAP)協(xié)同工作。?

1.2 SIP系統(tǒng)運(yùn)作原理?

　　基本呼叫過程(見圖1):?

　　(1)用戶A向用戶B撥號(hào)。用戶A的SIP電話向代理服務(wù)器A發(fā)出一個(gè)INVITE信號(hào)。?

　　(2)代理服務(wù)器A向重定向服務(wù)器轉(zhuǎn)發(fā)INVITE信號(hào)。?

　　(3)重定向服務(wù)器響應(yīng)一個(gè)信號(hào)包含著代理服務(wù)器A向代理服務(wù)器B聯(lián)系消息302。?

　　(4)代理服務(wù)器A向代理服務(wù)器B發(fā)出一個(gè)INVITE信號(hào)。?

　　(5)代理服務(wù)器B向重定向服務(wù)器發(fā)起一個(gè)INVITE信號(hào)。?

　　(6)重定向服務(wù)器回應(yīng)一個(gè)代理服務(wù)器B與用戶B的連接信號(hào)。?

　　(7)代理服務(wù)器B發(fā)起一個(gè)INVITE信號(hào)給用戶B。?

　　(8)用戶B的SIP電話響鈴,同時(shí)回應(yīng)一個(gè)180消息給用戶A。?

　　(9)拿起電話,一個(gè)200(OK)信號(hào)發(fā)出。?

　　(10)用戶A的SIP電話回應(yīng)一個(gè)ACK信號(hào)。?

　　(11)RTP通路建立。?

2 合法偵聽基本原理及要求?

　　合法偵聽是為了國家安全的需要,根據(jù)國家法律明確規(guī)定并且經(jīng)過授權(quán)機(jī)構(gòu)的法律授權(quán),由具有合法偵聽權(quán)的機(jī)構(gòu)在法律授權(quán)范圍內(nèi)對通信內(nèi)容進(jìn)行偵聽。?

　　如果一個(gè)合法偵聽機(jī)構(gòu)希望使用合法偵聽設(shè)備,則合法偵聽機(jī)構(gòu)必須經(jīng)過法院或者其他責(zé)任實(shí)體的法律授權(quán),如偵聽授權(quán)書等。當(dāng)合法偵聽進(jìn)行授權(quán)后,偵聽機(jī)構(gòu)必須向網(wǎng)絡(luò)側(cè)(包括網(wǎng)絡(luò)運(yùn)營商、接入供應(yīng)商、服務(wù)提供商)提供授權(quán)書,網(wǎng)絡(luò)側(cè)將偵聽到的偵聽相關(guān)信息IRI(Intercept Related Information)和通話內(nèi)容CC(Intercept Contents of Communication)送到合法偵聽機(jī)構(gòu),根據(jù)偵聽內(nèi)容的不同賦予偵聽機(jī)構(gòu)不同的偵聽權(quán)限。?

　　合法偵聽的基本要求是在滿足合法偵聽的前提下,因特網(wǎng)業(yè)務(wù)提供商(ISP)要依照偵聽傳票的要求保證其設(shè)備、設(shè)施或服務(wù)能提供以下功能:?

　　(1)迅速地分離通信信息,保證LEA能偵聽到運(yùn)營商業(yè)務(wù)域內(nèi)的所有通信(如呼叫內(nèi)容),同時(shí)將偵聽到的信息不加修改地傳送出去。?

　　(2)迅速地分離呼叫識(shí)別" title="呼叫識(shí)別">呼叫識(shí)別信息,保證LEA訪問到可用的呼叫識(shí)別信息,同時(shí)將偵聽到的信息不加修改地傳送出去。此外,還要將呼叫識(shí)別信息和通信內(nèi)容相關(guān)聯(lián)。?

　　(3)因LEA離運(yùn)營商的距離可能很遠(yuǎn),因此向LEA傳送偵聽的通信內(nèi)容和呼叫識(shí)別信息要及時(shí)、準(zhǔn)確、完整。?

3 分布式LI系統(tǒng)的體系結(jié)構(gòu)?

　　為了滿足LI的要求,設(shè)計(jì)了IP電話網(wǎng)的分布式LI系統(tǒng)。該系統(tǒng)支持不同的IP電話協(xié)議和不同的偵聽方式。分布式LI系統(tǒng)是分層的控制結(jié)構(gòu),如圖2所示,主要由四種部件組成:頂層設(shè)備TLD(Top-Level Device)、中層設(shè)備ILD(Intermediate-Level Device)、底層設(shè)備BLD(Bottom-Level Device)和存儲(chǔ)設(shè)備SD(Storage Device)。?

?

?

　　TLD是分布式偵聽管理控制設(shè)備" title="控制設(shè)備">控制設(shè)備,能夠獨(dú)立運(yùn)行Windows程序,配置信息(偵聽信息列表和下層設(shè)備列表)都存儲(chǔ)在TLD的本地文件中。偵聽信息列表包括被偵聽的VoIP終端信息和LI策略信息。分布式LI系統(tǒng)中所有的偵聽設(shè)備都依靠偵聽信息列表來識(shí)別需要偵聽的通話。因此,與偵聽信息列表對應(yīng)的通話信息作為偵聽數(shù)據(jù)記錄下來,而偵聽信息列表之外的通話信息將不會(huì)被記錄下來。偵聽數(shù)據(jù)是指偵聽相關(guān)信息(IRI)和通話內(nèi)容(CC),即呼叫開始時(shí)間、呼叫結(jié)束時(shí)間、參與呼叫終端地址、呼叫的通話內(nèi)容以及其他偵聽要求的數(shù)據(jù)。?

　　TLD將偵聽信息列表自動(dòng)傳送到下層設(shè)備。TLD不參與偵聽,在一個(gè)分布式偵聽系統(tǒng)中只有一個(gè)TLD,TLD可以連接很多ILD和BLD設(shè)備。?

　　ILD能從TLD接收偵聽信息列表并傳送給下層,還能偵聽VoIP呼叫并記錄各類偵聽數(shù)據(jù)。一個(gè)ILD的下層設(shè)備可以是很多ILD和BLD設(shè)備,而一個(gè)ILD的上層設(shè)備只能是另一個(gè)ILD或TLD設(shè)備。?

　　另外,偵聽信息對低層設(shè)備的偵聽很重要,ILD通過獲得的偵聽數(shù)據(jù)來擴(kuò)展和修改從上層接收到的偵聽信息,并將修改過的偵聽信息傳送到下一層。這樣,底層偵聽設(shè)備使用被擴(kuò)展的偵聽消息可以提高偵聽系統(tǒng)的運(yùn)行,同時(shí)提高了偵聽系統(tǒng)偵聽能力。例如:偵聽消息列表中VoIP終端用的是用戶化名,由于用戶的移動(dòng),用戶化名和IP地址之間沒有直接映射關(guān)系,如果把ILD設(shè)置在MGC上,它能夠用偵聽消息將化名映射到一個(gè)相應(yīng)的IP地址。接收的偵聽消息通過獲取的IP地址被擴(kuò)展,最后,低層設(shè)備使用ILD提供的擴(kuò)展的偵聽消息提高了偵聽系統(tǒng)的運(yùn)行能力。?

　　BLD位于分布式偵聽系統(tǒng)分層控制結(jié)構(gòu)的底層,它的主要功能是偵聽VoIP呼叫內(nèi)容。由于BLD沒有下層設(shè)備,所以它只從上層設(shè)備接收偵聽信息,而不再給其他設(shè)備傳送。在分布式偵聽系統(tǒng)里有很多BLD設(shè)備,都能支持各種IP電話協(xié)議和各種偵聽方法。每個(gè)BLD有ILD或TLD作為它的上層。?

　　SD不是分層控制結(jié)構(gòu)的一部分,它能夠提供偵聽數(shù)據(jù)的遠(yuǎn)程存儲(chǔ)。ILD和BLD都能夠自動(dòng)將偵聽數(shù)據(jù)傳送給指定的SD設(shè)備。然而,偵聽系統(tǒng)的管理員也能要求偵聽存儲(chǔ)在本地偵聽設(shè)備中的偵聽數(shù)據(jù)。存儲(chǔ)在SD中的偵聽數(shù)據(jù)或者在本地進(jìn)行分析,或者通過安全的網(wǎng)絡(luò)傳送到授權(quán)用戶。?

　　在偵聽活動(dòng)初始化階段,TLD讀取配置信息,并將偵聽信息列表傳送給下層偵聽設(shè)備。如果沒有任何一個(gè)偵聽設(shè)備則回應(yīng),而TLD會(huì)重新連接。另外,TLD也會(huì)響應(yīng)下層偵聽設(shè)備的請求。任何一個(gè)下層偵聽設(shè)備由于維護(hù)或系統(tǒng)故障而重啟,它也能很容易地從TLD中得到偵聽信息列表,而不會(huì)影響到分布式偵聽系統(tǒng)的其他設(shè)備。?

　　分布式偵聽系統(tǒng)的管理和控制設(shè)備用來自動(dòng)傳送控制信息給系統(tǒng)所有的設(shè)備。系統(tǒng)的管理和控制設(shè)備簡單并限制在一個(gè)地方。另外,所有記錄的偵聽數(shù)據(jù)都將被收集,并在中心域分析。分布式偵聽系統(tǒng)提供了適合各種網(wǎng)絡(luò)結(jié)構(gòu)需要的偵聽規(guī)模和能力。?

4 SIP分布式偵聽系統(tǒng)模型" title="系統(tǒng)模型">系統(tǒng)模型?

4.1 分布式偵聽系統(tǒng)模型?

　　根據(jù)前面提出的分布式偵聽系統(tǒng),建立了SIP分布式偵聽系統(tǒng)模型,如圖3所示。其組成包括:受偵聽網(wǎng)絡(luò)(SIP客戶端、交換機(jī)/集線器和呼叫代理服務(wù)器/網(wǎng)關(guān),SIP客戶端支持SIP協(xié)議);偵聽管理控制設(shè)備TLD(運(yùn)行Windows程序,配置偵聽信息和下層設(shè)備列表,并將偵聽信息自動(dòng)傳送到下層偵聽設(shè)備);兩個(gè)偵聽設(shè)備(偵聽設(shè)備ILD和偵聽設(shè)備BLD),分別在受偵聽網(wǎng)絡(luò)的交換機(jī)/集線器和呼叫代理服務(wù)器/網(wǎng)關(guān)上設(shè)置偵聽接入點(diǎn)(IAP)進(jìn)行偵聽。?

?

?

　　一般情況下,信令使用名稱地址,而音頻流傳輸使用IP地址,用戶的IP地址可能是動(dòng)態(tài)獲取的,所以偵聽設(shè)備需要維護(hù)一個(gè)被偵聽用戶的名稱和它的IP地址之間的映射,這個(gè)映射關(guān)系應(yīng)該和呼叫服務(wù)器保持一致。這個(gè)問題可以用設(shè)置偵聽設(shè)備ILD的方法來解決,偵聽設(shè)備ILD能夠映射用戶化名到一個(gè)IP地址。呼叫相關(guān)信息(IRI)可以從RAS(Registration Admission and Status)交換信息時(shí)獲取,RAS的主要功能是客戶注冊、得到被叫方的IP地址。RAS在終端與呼叫代理服務(wù)器之間進(jìn)行,所以呼叫代理服務(wù)器提供偵聽目標(biāo)的活動(dòng)事件。當(dāng)呼叫服務(wù)器在處理注冊和呼叫信息時(shí),如果被偵聽的用戶名稱和它的IP地址的映射信息發(fā)生改變,就發(fā)送這個(gè)映射信息到偵聽設(shè)備ILD。對于通話內(nèi)容(CC),ILD可以把得到的IP地址加到偵聽信息中并傳送給下層設(shè)備BLD(此模型的BLD設(shè)成混雜模式)?；祀s模式下的偵聽設(shè)備BLD連接到交換機(jī)或者Hub,如果是交換機(jī),則配置交換機(jī)使所有端口傳輸?shù)臄?shù)據(jù)都發(fā)送到偵聽端口。偵聽設(shè)備BLD連接到這個(gè)偵聽端口,并根據(jù)上層偵聽信息從交換機(jī)偵聽相應(yīng)的通話內(nèi)容,這樣可以提高偵聽的速度和準(zhǔn)確度,而且在這種偵聽方式下不會(huì)被任何人檢測到(包括使用反偵聽工具)。?

4.2 模擬環(huán)境?

　　硬件:CPU為Intel Pentium M1.73GHz,內(nèi)存為512MB的筆記本電腦。?

　　軟件:操作系統(tǒng)是Microsoft Windows 2000 Server。?

　　偵聽設(shè)備是ILD和BLD。此外,還有一個(gè)呼叫代理服務(wù)器、一個(gè)媒體傳輸服務(wù)器和三個(gè)SIP客戶機(jī),這些設(shè)備都用個(gè)人電腦,對外的帶寬是100Mb/s。這里沒有設(shè)偵聽管理控制設(shè)備TLD。?

4.3 模型的測試?

　　在模擬的網(wǎng)絡(luò)模型中,測試了在單一的偵聽設(shè)備的環(huán)境下和分布式偵聽環(huán)境下發(fā)生丟包的情況。所有連線傳送延遲都為10ms。這里給出了通話數(shù)和丟包率的關(guān)系,從通話數(shù)100開始,一直到通話數(shù)1 000,最后的模擬結(jié)果如表1所示。分布式偵聽的丟包在通話數(shù)700時(shí)才發(fā)生,而且丟包率較低。表2給出了三種連接偵聽設(shè)備方法的性能評(píng)估,從表中可以看出,分布式偵聽的性能比較好。?

?

?

?

　　本文創(chuàng)新點(diǎn):?

　　(1)在提出分布式偵聽系統(tǒng)的基礎(chǔ)上,設(shè)計(jì)了SIP分布式偵聽系統(tǒng)模型,并對SIP電話網(wǎng)絡(luò)中分布式偵聽設(shè)備的丟包率進(jìn)行了測試。?

　　(2)分布式偵聽系統(tǒng)偵聽設(shè)備通過對偵聽信息列表的擴(kuò)展或修改,提高了偵聽的性能。?

　　(3)使用分布式的偵聽系統(tǒng)可以克服以下問題:NGN的使用者分布在各地,不容易確定偵聽??? 設(shè)備的合適位置問題;當(dāng)所有的數(shù)據(jù)流傳送到偵聽設(shè)備,帶寬和偵聽設(shè)備所能承擔(dān)的最大負(fù)荷將成為瓶頸的問題;用戶的移動(dòng)性,用戶化名與IP地址的映射關(guān)系不確定的問題。?

　　本文提出一種新的合法偵聽模型,并設(shè)計(jì)了SIP分布式偵聽系統(tǒng)模型,最后對設(shè)計(jì)的模型進(jìn)行了模擬,測試了單一偵聽設(shè)備和分布式偵聽設(shè)備在不同的通話數(shù)下的丟包率,并對性能進(jìn)行了比較。從測試比較結(jié)果可以看出,分布式偵聽有較低的丟包率和較好的性能。?

參考文獻(xiàn)?

[1] 桂海源.IP電話技術(shù)與軟交換[M].北京:北京郵電大學(xué)出版社,2004.?

[2] IETF.SIP:Session initiation protocol [EB/OL].http://www.ietf.org/rfc/rfc3261.txt, 2002.?

[3] ETSI ES 201 158 V1.2.1. Telecommunications security;Lawful Interception (LI);Requirements for network functions[S].2002.?

[4] ETSI TS 101 331 V1.2.1.? Lawful Interception (LI);requirements of law enforcement agencies[S]. 2006.?

[5] ETSI TS 101 671 V2.15.1. Lawful interception (LI);handover interface for the lawful interception of telecommunications traffic[S].2006.?

[6] MILANOVIC A, SRBLJIC S, RAZNJEVIC I, et al.Methods for lawful interception in VoIP networks, Submitted for Publishing at Eurocon[J].2003.?