Với những kiến thức lýthuyết và thực nghiệm được lĩnh hội từ các thầy cô, bạn bè và sự sáng tạo của bản thân nhóm trong quá trình thực hiện đồ án “Bảo mật hệ thống VoIP”, nhóm thực hiện
Trang 1PHẦN A: GIỚI THIỆU
Trang 2LỜI CẢM ƠN
Qua thời gian học tập tại trường Đại học Sư phạm Kỹ thuật TPHCM, nhómthực hiện đề tài được học hỏi và tiếp thu nhiều kiến thức mới từ sự chỉ bảo tận tìnhcủa quý Thầy Cô và sự giúp đỡ của bạn bè Đây là khoảng thời gian đầy ý nghĩa đốivới nhóm
Để hoàn thành Đồ Án Tốt Nghiệp đúng thời hạn nhóm thực hiện đồ án xinchân thành cảm ơn Ths Phan Thanh Toản, người đã tận tình hướng dẫn và đưa ranhững lời khuyên quý báu để đồ án của nhóm hoàn thành đúng thời hạn Đồng thờinhóm thực hiện đồ án cũng xin cảm ơn các thầy, cô trong bộ môn Viễn Thông thuộckhoa Điện – Điện tử trường Đại học Sư Phạm Kỹ Thuật TP Hồ Chí Minh đã truyềnđạt những kiến thức quý báu trong quá trình học tập tại trường
Để quyển đồ án này hoàn thành còn có sự hỗ trợ và đóng góp không nhỏ từphía gia đình và tập thể lớp 071170 về phương diện vật chất lẫn tinh thần và nhómthực hiện đồ án vô cùng trân trọng và biết ơn với những sự đóng góp đó
Tuy nhiên, do thời gian và kiến thức có hạn nên đồ án chắc chắn không thểtránh khỏi những thiếu sót, nhóm thực hiện đề tài rất mong được sự đóng góp ý kiếncủa các thầy, các cô và toàn thể các bạn Một lần nữa xin cảm ơn tất cả mọi người vớilòng biết ơn chân thành và sâu sắc nhất!
Nhóm thực hiện đề tàiNguyễn Duy KhangPhan Quốc Tuấn
Lời Cảm Ơn
Trang 3TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT Độc lập – Tự do – Hạnh phúc
TP HỒ CHÍ MINH
QUYẾT ĐỊNH GIAO ĐỀ TÀI
Họ và tên sinh viên: Nguyễn Duy Khang MSSV: 07117025
Tên đề tài: BẢO MẬT HỆ THỐNG VoIP
1) Cơ sở ban đầu:
Kiến thức về hệ thống viễn thông và mạng máy tính
- Các thông tin quan trọng về VoIP
- Kiến thức về bảo mật hệ thống mạng
- Kiến thức về nguyên lý hoạt động các tổng đài, điện thoại
- Kiến thức về cấu tạo, nguyên lý hoạt động các thiết bị mạng: router, switch, hub, firewall
2) Nội dung các phần thuyết minh và tính toán:
- Thuật ngữ VoIP, các giao thức VoIP
- Các cơ chế bảo mật và các lỗ hổng bảo mật
- Các mối đe dọa tấn công mạng VoIP
- Các kiểu tấn công vào mạng VoIP
- Các giải pháp ngăn chặn các cuộc tấn công VoIP
- Các công nghệ nâng cao độ bảo mật mạng VoIP
3) Các bản vẽ:
4) Giáo viên hướng dẫn: ThS Phan Thanh Toản
5) Ngày giao nhiệm vụ: 27/9/2011
6) Ngày hoàn thành nhiệm vụ: 5/2/2012
Giáo viên hướng dẫn Ngày….tháng năm 2012
Chủ nhiệm bộ môn
PHAN THANH TOẢN
Trang 4NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Tp Hồ Chí Minh, tháng năm 2012
Giáo viên hướng dẫn
Nhận Xét Của Giáo Viên Hướng Dẫn
Trang 5NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
Tp Hồ Chí Minh, tháng năm 2012
Giáo viên phản biện
Trang 6LỜI NÓI ĐẦU
Ngày nay với sự phát triển chóng mặt của công nghệ viễn thông đã và đangmang lại những lợi ích cho người dùng Một trong những công nghệ được nhắc đếnnhiều đó là VoIP là một công nghệ thoại qua mạng Internet Với chi phí thấp và sựmềm dẻo trong kiến trúc là những lợi thế rất lớn của VoIP đối với người dùng nóichung và các doanh nghiệp nói riêng Cũng vì lý do đó mà VoIP đang trở thành mộtcông nghệ rất phổ biến Tuy nhiên, để thiết lập một hệ thống VoIP thì bên cạnh việcxem xét nó về mặt chất lượng dịch vụ (QoS) thì cũng cần phải tính đến bảo mật cho
hệ thống VoIP Việc tích hợp các dịch vụ thoại, dữ liệu, video… trên cùng một hạ tầngmạng IP đã mang đến nhiều nguy cơ tiềm ẩn về bảo mật Không chỉ do mạng IP làmột mạng công cộng có nguy cơ bị tấn công rất lớn mà bản thân các giao thức VoIPcũng có những nguy cơ về bảo mật
Xuất phát từ những ý tưởng đó nhóm thực hiện đề tài xin chọn hướng nghiên
cứu với tên gọi đề tài là Bảo Mật Hệ Thống VoIP, trong giới hạn của đề tài nhóm chỉ
thực hiện những nghiên cứu như sau:
Chương 1: Tổng Quan Hệ Thống VoIP - Trong chương này nhóm thực hiện
đề tài nghiên cứu tổng quan hệ thống VoIP, các thành phần cơ bản và nguyên lý làmviệc của hệ thống VoIP
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP - Nghiên cứu về các giao
thức báo hiệu thường dùng trong mạng VoIP đó là giao thức H323 và giao thức SIP
Chương 3: Các Mối Đe Dọa Đối Với Hệ Thống VoIP - Nghiên cứu về các
mối đe dọa trong giao thức SIP, giao thức H323 và các mối đe dọa trong môi trườngmạng IP
Chương 4: Các Giải Pháp Bảo Mật Cho Hệ Thống VoIP – Trong chương
này nhóm thực hiện đề tài nghiên cứu về các giao thức bảo mật cho hệ thống VoIPtrong các giao thức SIP, giao thức H323 và giao thức bảo mật hệ thống VoIP trongmôi trường mạng IP như IPSec, VPN, Vlan …
Chương 5: Mô Phỏng Tấn Công và Bảo Mật Cho Hệ Thống VoIP – Trong
chương này nhóm thực hiện đề tài sẽ tiến hành xây dựng mô hình mạng và tiến hành
mô phỏng về cách thức tấn công nghe lén trong hệ thống VoIP
Chương 6: Kết Luận Và Hướng Phát Triển Của Đề Tài – Trong chương
này nhóm thực hiện đề tài tiến hành kết luận những việc đã làm và chưa làm được của
đề tài, đồng thời nhóm thực hiện đề tài nêu ra các hướng phát triển của đề tài
Lời Nói Đầu
Trang 7MỤC LỤC
PHẦN A: GIỚI THIỆU i
LỜI CẢM ƠN ii
QUYẾT ĐỊNH GIAO ĐỀ TÀI iii
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN iv
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN v
LỜI NÓI ĐẦU vi
LIỆT KÊ HÌNH xiii
LIỆT KÊ BẢNG xvi
THUẬT NGỮ VIẾT TẮT xvii
TÓM TẮT ĐỒ ÁN xxii
ABSTRACT xxiii
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG VoIP 1
1.1 Giới Thiệu 1
1.2 Khái niệm về VoIP 1
1.2.1 Thoại qua Internet Protocol là gì 1
1.2.2 Các thành phần của mạng VoIP 1
1.2.3 Các kiểu mô hình kết nối 2
1.3 Nguyên lý làm việc của VoIP 2
1.3.1 Lấy mẫu 3
1.3.2 Lượng tử hóa 3
1.3.3 Mã hóa 4
1.3.4 Nén giọng nói 4
1.4 Ưu nhược điểm của mạng VoIP 4
1.4.1 Ưu điểm mạng VoIP 4
1.4.2 Nhược điểm mạng VoIP 5
CHƯƠNG 2: CÁC GIAO THỨC BÁO HIỆU TRONG VoIP 7
2.1 Giao thức H.323 7
2.1.1 Tổng quan về giao thức H.323 7
2.1.2 Các thành phần chính của giao thức H.323 7
2.1.2.1 Terminal 7
Trang 82.1.2.2 Gateway 8
2.1.2.3 Gakekeeper (GK) 8
2.1.2.4 Đơn vị điều khiển liên kết đa điểm Multipoint Control Unit –
MCU 10 2.1.2.5 H.323 Zone 11
2.1.3 Các kênh điều khiển trong H.323 12
2.1.3.1 Báo hiệu H.225 RAS (Registration, Admissions and Status) 12
2.1.3.2 Báo hiệu điều khiển cuộc gọi H.225 13
2.1.3.3 Giao thức báo hiệu điều khiển cuộc gọi H.245 14
2.1.4 Các thủ tục báo hiệu trong H.323 15
2.1.4.1 Thiết lập cuộc gọi 15
2.1.4.2 Thiết lập kênh điều khiển 16
2.1.4.3 Thiết lập kênh truyền thông 17
2.1.4.4 Dịch vụ cuộc gọi 17
2.1.4.5 Kết thúc cuộc gọi 17
2.2 Giao thức Session Initiation Protocol - SIP 19
2.2.1 Tổng quan về giao thức SIP 19
2.2.1.1 Sự phát triển của giao thức SIP 19
2.2.1.2 Khái niệm về giao thức SIP 20
2.2.2 Kiến trúc giao thức SIP 21
2.2.2.1 Các thành phần trong mạng SIP 21
2.2.2.2 Các loại bản tin sử dụng trong mạng SIP 24
2.2.2.3 Các loại phiên kết nối người dùng trong mạng SIP 26
2.2.2.3.1 Phiên kết nối giữa hai đầu cuối có sự tham gia của Server 26 2.2.2.3.2 Phiên kết nối giữa hai đầu cuối không có sự tham gia của
Server 27
2.3 So sánh hai giao thức SIP và H323 28
2.4 Giao thức vận chuyển RTP và RTCP 31
2.4.1 Giao thức RTP 31
2.4.2 Cấu trúc gói tin RTP 32
2.4.3 Giao thức RTCP 33
2.4.4 Cấu trúc gói tin RTCP 35 Mục Lục
Trang 9CHƯƠNG 3: CÁC MỐI ĐE DỌA ĐỐI VỚI HỆ THỐNG VoIP 36
3.1 Mối đe dọa trong giao thức SIP 36
3.1.1 Chiếm quyền đăng kí 36
3.1.2 IP Spoofing – Call Fraud 37
3.1.3 Giả dạng Proxy 37
3.1.4 Message Tampering 38
3.1.5 Kết thúc session 38
3.2 Mối đe dọa trong giao thức H.323 38
3.2.1 Can thiệp về thông tin tính cước 38
3.2.2 Cuộc gọi trực tiếp 39
3.2.3 Giả dạng đầu cuối 39
3.2.4 Giả dạng GK 39
3.3 Mối đe dọa trong môi trường mạng 40
3.3.1 ARP - Address Resolution Protocol 40
3.3.2 DoS – Denial of Service Tấn công từ chối dịch vụ 43
3.3.2.1 Tấn công chiếm hết băng thông kết nối tới Server 43
3.3.2.2 Tấn công nhằm làm cạn kiệt nguồn tài nguyên của Server 43 3.3.2.3 DDoS - Distributed DoS 44
3.3.2.4 Spam VoIP 44
CHƯƠNG 4: CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG VoIP 46
4.1 Bảo mật cho giao thức H.323 46
4.1.1 H235 version 2 46
4.1.2 Annex D – Baseline security profile 46
4.1.3 Annex E – Signature security profile 47
4.1.4 Annex F- Signature hybird security profile 48
4.2 Bảo mật cho giao thức SIP 48
4.2.1 TLS trao đổi khóa và bảo mật cho các gói tin báo hiệu 48
4.2.2 SRTP Bảo mật cho gói tin thoại/video 50
4.2.3 Replay protection 51
4.2.4 S/MIME: Chứng thực bản tin 51
4.3 Các mô hình bảo mật cho hệ thống VoIP 53
4.3.1 Network Address Translation - NAT 53
Trang 104.3.2 Firewalls 54
4.3.3 Intrusion Detection System- IDS 56
4.3.4 VPN IPSEC 59
4.3.5 VLAN 65
CHƯƠNG 5: MÔ PHỎNG TẤN CÔNG VÀ BẢO MẬT HỆ THỐNG VoIP 68
5.1 Mô phỏng tấn công VoIP trong mạng LAN 68
5.1.1 Tấn công nghe lén VoIP trong mạng LAN và ghi âm cuộc gọi 68
5.1.2 Tấn công DoS từ một máy tấn công đến mục tiêu là Trixbox 72
5.2 Mô phỏng bảo mật trong hệ thống VoIP 76
5.2.1 Xây dựng mạng VoIP và thực hiện cuộc gọi VoIP 76
5.2.2 Thực trạng mạng VoIP khi chưa được bảo mật bằng VPN IPSEC 77
5.2.3 Giải pháp bảo mật cho mạng VoIP dựa trên công nghệ VPN IP SEC 79 5.2.4 Thực trạng mạng sau khi áp dụng bảo mật bằng công nghệ VPN IPSEC 80
5.3 Cách phòng chống tấn công nghe lén VoIP trong mạng Lan 82
5.3.1 Giới thiệu mô hình mạng 82
5.3.2 Thực trạng mạng VoIP trong Lan khi chưa áp dụng bảo mật bằng ARP tĩnh 84
5.3.3 Áp dụng bảo mật mạng LAN bằng phương pháp ARP tĩnh 91
5.3.4 Ưu điểm và hạn chế của phương pháp bảo mật ARP tĩnh 95
CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 96
6.1 Những việc đã thực hiện 96
6.2 Những việc chưa thực hiện 97
6.3 Hướng phát triển đề tài 97
PHỤ LỤC A: Mô Phỏng Tấn Công VoIP Trong Mạng LAN 98
A.1 Tấn công nghe lén VoIP trong mạng LAN và ghi âm cuộc gọi 103
A.2 Tấn công DoS từ một máy tấn công đến mục tiêu là Trixbox 107
PHỤ LỤC B: Cấu Hình Cuộc Gọi Trong Mô Phỏng Bảo Mật Nghe Lén 111
PHỤ LỤC C: Xây Dựng Mô Hình Bảo Mật VoIP Ứng Dụng VPN-IPSec 116
TÀI LIỆU THAM KHẢO 123
Mục Lục
Trang 11LIỆT KÊ HÌNH
Hình 1.1: Quá trình lấy mẫu 3
Hình 1-2: Quá trình lượng tử hóa 3
Hình 2-1: Các thành phần của H.323 7
Hình 2-2: Báo hiệu trực tiếp 10
Hình 2-3: Báo hiệu thông qua GK 10
Hình 2-4: H.323 Zone 11
Hình 2-5: Quá trình kết thúc cuộc gọi có sự tham gia của GK 18
Hình 2-6: Kết thúc cuộc gọi bắt đầu từ GK 19
Hình 2-7: Kiến trúc mạng báo hiệu SIP 21
Hình 2.8: Chức năng của Proxy server 23
Hình 2-9: Chức năng của Redirect Server 23
Hình 2-10: Quá trình trao đổi bản tin 25
Hình 2-11: Kết nối có sự tham gia của server 26
Hình 2-12: Kết nối không có sự tham gia của server 27
Hình 2-13: Vị trí giao thức RTP trong mô hình TCP-IP 32
Hình 2-14: Cấu trúc gói tin RTP 32
Hình 2-15: Sự truyền nhận các gói RTP và RTCP 34
Hình 2-16: Cấu trúc gói tin RTCP 35
Hình 3-1: Tấn công bằng bản tin đăng ký 36
Hình 3-2: Giả dạng Proxy 37
Hình 3-3: ARP spoofing 41
Hình 3-4: ARP redirection 42
Hình 3-5: Tấn công DoS phân tán 44
Hình 4-1: Các lớp bảo mật hỗ trợ cho các giao thức của SIP 48
Hình 4-2: Quá trình bắt tay giữa client và server trong SSL 49
Hình 4-3: Dữ liệu lớp trên đóng gói bởi TLS/SSL 50
Hình 4-4: Chống ghi lại bằng Sliding Window 51
Hình 4-5: Quá trình gửi bản tin của S/MIME 52
Hình 4-6: Điện thoại IP phía sau NAT và Firewall 54
Hình 4-7: Vị trí của IDS trong hệ thống 56
Trang 12Hình 4-8: Mạng bảo mật theo kiểu NIDS 57
Hình 4-9: Mạng bảo mật theo kiểu HIDS 59
Hình 4-10: Tổng quan VPN 60
Hình 4-11: Client-to-LAN VPN 60
Hình 4-12: LAN-to-LAN VPN 61
Hình 4-13: So sánh IP header của Tunnel mode và Transport mode 62
Hình 4-14: Cấu trúc L2PT 63
Hình 4-15: Chứng thực và mã hóa của AH và ASP 64
Hình 4-16: Cấu trúc gói IPsec ở transport mode 64
Hình 4-17: Cấu trúc gói IPsec ở tunnel mode 65
Hình 4-18: VLAN 66
Hình 4-19: VLAN phân theo chức năng 66
Hình 5-1: Mô hình tấn công VoIP trong mạng LAN 68
Hình 5-2: Giao diện của Wireshark 69
Hình 5-3: Chọn Interface để tiến hành bắt gói 69
Hình 5-4: Quá trình cuộc gọi diễn ra giữa hai điện thoại đầu cuối 70
Hình 5-5: Vào chế độ phân tích cuộc gọi trong Wireshark 70
Hình 5-6: Các cuộc gọi đã diễn ra 71
Hình 5-7: Quá trình phân tích thông tin thoại 71
Hình 5-8: Quá trình bắt tay giữa hai đầu cuối dùng giao thức SIP 72
Hình 5-9: Giao diện của Digital Blaster 72
Hình 5-10: Thiết lập quá trình tấn công DOS 73
Hình 5-11: Phân tích gói tin của tấn công DOS 74
Hình 5-12: Nội dung gói tin của cuộc tấn công DOS 74
Hình 5-13: Giao diện web của Trixbox trước khi xảy ra cuộc tấn công DOS 75
Hình 5-14: Giao diện web của Trixbox sau khi xảy ra cuộc tấn công DOS 75
Hình 5-15: Mô hình mạng triển khai xây dựng 76
Hình 5-16: Mô hình mạng VoIP có sự hiện diện của Attacker 77
Hình 5-17: Mô hình mô phỏng trên GNS3 77
Hình 5-18: Các gói tin khi chưa được bảo mật 78
Hình 5-19: Cuộc nói chuyện đang được Attacker ghi âm 79
Hình 5-20: Các gói tin sau khi được bảo mật bằng VPN 80 Liệt Kê Hình
Trang 13Hình 5-21: Cửa sổ ghi âm cuộc gọi của phần mềm Cain & Abel 81
Hình 5-22: Mô hình mạng tấn công trong Lan của Attacker 82
Hình 5-23: Mô hình mạng xây dựng trong phần mềm mô phỏng GNS3 82
Hình 5-23: Máy đầu cuối 1 đang gọi tới máy đầu cuối 2 86
Hình 5-24: Chuông báo có cuộc gọi ở máy đầu cuối 2 87
Hình 5-25: Tool Cain & Abel đang thực hiện đầu độc ARP (ARP Ponsoning) của hai máy tính đầu cuối. 87
Hình 5-26: Phân tích các gói tin SIP 88
Hình 5-27: Wireshark phân tích các gói tin RTP 89
Hình 5-28: Cuộc gọi đang được ATTACKER ghi âm 90
Hình 5-29: Bảng ARP máy 1 trước và sau tấn công 90
Hình 5-30: Bảng ARP máy 2 trước và sau tấn công 91
Hình 5-31: Đặt ARP tĩnh cho máy đầu cuối 1 91
Hình 5-32: Đặt ARP tĩnh cho máy đầu cuối 2 92
Hình 5-33: Cain & Abel đầu độc ARP không thành công 93
Hình5-34: Wireshark không bắt được các gói tin VoIP 94
Hình 5-35: Attacker không thể ghi âm cuộc nói chuyện của hai máy đầu cuối 94
Trang 14LIỆT KÊ BẢNG
Bảng 2-1: Các bản tin RAS 13
Bảng 2-2: Ý nghĩa cấu trúc các bản tin H245 15
Bảng 2-3: Bảng so sánh SIP và H323 30
Bảng 4-1: Baseline security profile 47
Bảng 4-2: Signature security profile 47
Bảng 4-3: Các hỗ trợ bảo mật cho SIP 48
Liệt Kê Bảng
Trang 15ASN.1 Abstract Syntax Notation Number 1 Phiên bản chú giải cú
pháp trừu tượng số 1ATM Asynchronous Transfer Mode Chế độ truyền bất đồng
bộ
C
CVSD Continuously Variable Slope Delta Dẫn xuất của điều chế
CCITT Consultative Committee for International Ủy ban tư vấn quốc tế
Telephone and Telegraph điện tín và điện thoại
B
C
CAM Content Addressable Memory Bộ nhớ nội dung địa chỉ
CPIM The Common Presence and Instant Message
D
DDoS Distributed Denial-of-Service Từ chối dịch vụ kiểu
phân tán
Trang 16DH Diffie Hellman Thuật toán thỏa thuận
khóa
E
EAP Extensible Authentication Protocol Giao thức chứng thực có
khả năng mở rộng
ESP Encapsuating Security Payload Đóng gói bảo mật tải dữ
thức siêu văn bản
I
ICMP Internet Control Message Protocol Giao thức điều khiển tin
nhắn trên InternetIDS Intrusion Detection System Hệ thống phát hiện xâm
nhậpIETF Internet Engineering Task Force Nhóm đặc trách kỹ thuật
InternetiLBC Internet Low Bit rate Codec Codec Internet tốc độ
thấp
Thuật ngữ viết tắt
Trang 17ISDN Integrated Services Digital Network Mạng số liên kết dịch vụITU-T International Telecomunication Union Tổ chức viễn thông quốc
mật mã F
vẹn của tin báoMIKEY Multimedia Internet Keying Khóa Internet đa truyền
thôngMIME Multipurpose Internet Extension Sự mở rộng thư tín
Internet đa năngMTU Maximum Transmission Unit Bộ truyền dẫn cực đại
N
NAPT Network Address Port Translation
NAT Network Address Translation Phân giải địa chỉ mạng
O
OSI Open System Interconnection Hệ thống liên kết nối mở
P
Trang 18công khai
PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm
điểm-điểmPSTN Public switched telephone network Mạng điện thoại chuyển
SIP Session Initiation Protocol Giao thức khởi tạo phiênSNMP Simple Network Management Protocol Giao thức quản lý mạng
đơn giảnSPTIT Spam over Internet Telephony Spam trong mạng điện
Trang 19SSL Secure Socket Layer Lớp ổ cắm bảo mật
STUN Simple Traversal of UDP Through NAT Thiết lập UDP thông qua
NAT
T
TCP Transmission Control Protocol Giao thức điều khiển
truyền dẫnTEK Traffic Encryption Keying Khóa mã hóa lưu lượngTKIP Temportal Key Integrity Protocol
TURN Traversal Using Relay NAT Chuyển dịch sử dụng
NAT chuyển tiếp
U
người dùngURL Uniform Resource Locator Bộ định vị tài nguyên
rộng
Trang 20TÓM TẮT ĐỒ ÁN
VoIP là một trong những dịch vụ đang phát triển nhanh nhất của mạng Internet
và đang dần thay thế thoại truyền thống Tuy nhiên những vấn đề gặp phải khi chuyển
từ thoại truyền thống sang VoIP là vấn đề về chất lượng dịch vụ và tính bảo mật, bởi
vì mạng Internet thường tồn tại những mối nguy hiểm và rủi ro hơn so với mạng thoạitruyền thống
Những vấn đề liên quan đến bảo mật được trình bày như bảo mật cho các giaothức VoIP, bảo mật cơ sở hạ tầng mạng và các dịch vụ mạng VoIP Đồ án nghiên cứuphân tích các kiểu tấn công thường xảy ra trong mạng như các loại hình tấn công vàmức độ nguy hiểm, sau đó là các đề xuất giải pháp bảo mật nhằm giải quyết các kiểutấn công như các giải pháp về xác thực người dùng, các giải pháp về mã hóa để tăngkhả năng xác thực chống lại tấn công đánh cắp các thông tin và cuộc gọi
Ngoài ra đồ án cũng tiến hành mô phỏng các cuộc tấn công xảy ra trong mạngVoIP như tấn công DoS và tấn công nghe lén các thông tin trong mạng, đây là nhữngkiểu tấn công phổ biến và cũng gây nhiều nguy hiểm cho mạng VoIP Bên cạnh việc
mô phỏng các kiểu tấn công, nhóm thực hiện đồ án cũng tìm hiểu nghiên cứu để tiếnhành mô phỏng một số công nghệ bảo mật như VPN IPSEC và thiết lập bảng ARPtĩnh để bảo vệ mạng VoIP trước các kiểu tấn công thường xảy ra trong mạng từ đógiúp mạng nâng cao độ bảo mật và an toàn hơn khi hoạt động trong môi trường mạngLan và mạng Internet
VoIP với những ưu điểm nổi trội đang trở thành một công nghệ thoại đầy tiềmnăng trong hiện tại và tương lai, vì vậy yếu tố về bảo mật là vô cùng quan trọng đểmạng có thể đạt được sự tin cậy đối với khách hàng sử dụng Với những kiến thức lýthuyết và thực nghiệm được lĩnh hội từ các thầy cô, bạn bè và sự sáng tạo của bản
thân nhóm trong quá trình thực hiện đồ án “Bảo mật hệ thống VoIP”, nhóm thực hiện
đồ án hy vọng rằng đồ án sẽ đóng góp một phần nhỏ bé vào kho tàng kiến thức chung
về mạng VoIP nói chung và khía cạnh về bảo mật mạng VoIP nói riêng
Trang 21Voice over IP is one of the quickest developing Internet services and slowlyreplaces traditional telephony However, while moving telephony to the public IPplatform broadens its service capabilities, some security problems may occur It isbecause the amount of threats existing in Internet network is much bigger than in case
of traditional telephone networks
The issues about security are researched as security for VoIP protocols, infrastructureand services of VoIP network The analyst in some attacks that occuring routine inVoIP network like kind of attacks and dangerous level of them And then, thesolutions is proposed to handle attacks as the solutions about indentified user,encryption in order to raise security, against the risks and threats in call eavesdrop,call hijack of VoIP network
In addtion, the DoS simulation and man in the middle attack simulation are carriedout They are popular attacks and causing many threats and dangers to VoIP network.Besides, the simulations in secure solutions as VPN IPSEC and set up static ARPtable modulation are also carried out The secure solutions are simulated to raise safe,secure level for VoIP system when working in Lan and Internet network
VoIP with many advantages is getting become potential telephony technology now and in feature, so secure issues are so important for VoIP in order to get the trust from clients With theory and experience knowledge that be studied, digested from teachersand friends along with the creation of personal during the time carry out “VoIP systemsecurity” project, hoping this project will contribute to knowledge in VoIP field in general and knowledge in VoIP Security im particular
Trang 22CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG VoIP
1.1 Giới Thiệu
Ngày nay mạng điện thoại công cộng đã tồn tại khắp nơi trên thế giới, chấtlượng hoàn hảo nhưng giá thành vẫn còn khá cao nhất là cước phí dành cho điện thoạiđường dài và khả năng tận dụng băng thông của nó vẫn còn thấp, do lưu lượng dữliệu phát triển nhanh hơn lưu lượng thoại nên cần nghiên cứu việc truyền tín hiệuthoại trên mạng dữ liệu từ đó dẫn đến sự ra đời của VoIP
VoIP là truyền thông tin thoại bằng cách sử dụng giao thức Internet (IP), nóđặc biệt hấp dẫn bởi giá thành thấp Điện thoại chất lượng tốt qua IP đã trở thành mộtbước chính dẫn đến sự hội tụ công nghệ truyền thông dữ liệu, thoại và video Sự mềmdẻo của việc mang các bản tin báo hiệu và thoại trên Internet đã được thực tế chứngminh
1.2 Khái niệm về VoIP
1.2.1 Thoại qua Internet Protocol là gì ?
VoIP nghĩa là bên gửi sẽ truyền dẫn lưu lượng thoại dưới dạng gói thông quamạng IP để đến được bên nhận, có nhiều thuật ngữ để mô tả như thoại trên giao thứcInternet, điện thoại IP, điện thoại dải rộng (Broadband telephony)…
Công nghệ VoIP cũng không hoàn toàn khác với điện thoại thông thường Đầutiên, tín hiệu thoại được số hóa, nhưng sau đó thay vì truyền trên mạng PSTN qua cáctrường chuyển mạch, tín hiệu thoại sẽ được nén xuống tốc độ thấp rồi thực hiện đónggói và truyền qua mạng IP Tại bên thu, các luồng thoại sẽ được giải nén thành cácluồng PCM 64 rồi truyền tới thuê bao bị gọi
Trang 23Có 3 loại gateway là:
• Gateway truyền tải kênh thoại
• Gateway điều khiển truyền tải kênh thoại
• Gateway báo hiệu
Gatekeeper: có thể xem Gatekeeper như là bộ não của hệ thống mạng điệnthoại IP Nó cung cấp chức năng quản lý cuộc gọi một cách tập trung và một số cácdịch vụ quan trọng khác như nhận dạng các đầu cuối và gateway, quản lý băng thông,chuyển đổi địa chỉ (từ địa chỉ IP sang địa chỉ E.164 và ngược lại), đăng ký hay tínhcước Mỗi Gatekeeper sẽ quản lý một vùng bao gồm các đầu cuối đã đăng ký, nhưngcũng có thể nhiều Gatekeeper cùng quản lý một vùng trong trường hợp một vùng cónhiều Gatekeeper
1.2.3 Các kiểu mô hình kết nối
• Phone to Phone: gọi giữa 2 máy điện thoại Nếu 2 máy cùng thuộc một tổng đài thì không cần thông qua mạng IP Nếu 2 máy nằm ở các mạng khác nhau thì phải sử dụng các Gateway chuyển tiếp vào mạng IP
• PC to Phone: gọi giữa PC và Phone Cần có ít nhất một Gateway chuyển tiếp
• PC to PC: gọi giữa PC và PC Trong trường hợp này thì cuộc gọi hoàn toàn nằm trong mạng IP, không cần sử dụng Gateway
1.3 Nguyên lý làm việc của VoIP
Khi nói vào ống nghe giọng nói sẽ tạo ra tín hiệu điện từ đó là những tín hiệu tương tự (Analog) Tín hiệu tương tự được chuyển sang tín hiệu số (Digital) dùng thuật toán đặc biệt để chuyển đổi Sau đó giọng nói được số hóa sẽ được đóng vào gói tin và gửi đi trên mạng IP
Số hóa tín hiệu Analog: có 4 bước liên quan đến quá trình số hóa (Digitizing)một tín hiệu tương tự (Analog):
• Lấy mẫu (Sampling)
• Lượng tử hóa (Quantization)
• Mã hóa (Encoding)
• Nén giọng nói (Voice Compression)
Trang 241.3.1 Lấy mẫu (Sampling)
Hình 1-1: Quá trình lấy mẫu
Tín hiệu âm thanh trên mạng điện thoại có phổ năng lượng đạt đến 10Khz Tuynhiên, hầu hết năng lượng đều tập trung ở phần phổ tần thấp Do đó để tiết kiệm băngtrong trong các hệ thống truyền được ghép kênh theo FDM và TDM Các kênh điệnthoại thường giới hạn băng tần trong khoảng từ 0.3Khz-3.4Khz tuy nhiên trong thực
tế thì sẽ có một ít năng lượng nhiễu có tần số cao hơn 3.4Khz có thể lên đến 4Khz.Như vậy theo lý thuyết Nyquist thì tốc độ lấy mẫu là 8000 mẫu với tần số lấy mẫu là4Khz và thực hiện trong 1 giây với khoảng cách giữa mỗi mẫu là 125 micro giây
1.3.2 Lượng tử hóa
Hình 1-2: Quá trình lượng tử hóa
Là quá trình tiếp theo của việc lấy mẫu, nó được biểu diễn chính xác cho mỗimẫu được lấy Mỗi mẫu có thể được gán cho mỗi giá trị số, tương ứng với mỗi biên
Chương 1: Tổng Quan Hệ Thống VoIP
Trang 25độ của mẫu.sau khi thực hiện giới hạn tương ứng với biên độ của dải mẫu sẽ tiếnhành so sánh các mẫu với các mức lượng tử và gán vào mức xấp xỉ với nó Sau đó giátrị gán được dùng trong hệ thống truyền.
1.3.4 Nén giọng nói
Kỹ thuật mã hóa PCM 64Khz hiện hành là phương pháp được chuẩn hóa, nhưng có vài phương pháp mã hóa khác được sử dụng trong những ứng dụng đặc biệt Các phương pháp này thực hiện mã hóa tiếng nói với tốc độ nhỏ hơn tốc độ của PCM nhờ đó tận dụng được khả năng hệ thống truyền dẫn số Một số mã hóa tiếng nóitốc độ thấp như sau:
• CVSD :kỹ thuật này là một dẫn xuất của điều chế Delta, trong đó một bit đơndùng để mã hóa mỗi mẫu PAM hoặc lớn hơn hoặc nhỏ hơn mẫu trước đó Vìkhông hạn chế bởi 8 bit, mã hóa có thể họat đông ở tốc độ khác nhau vàokhỏang 20 Kbps
• ADPCM( Adaptive Differential PCM): kỹ thuật này là một dẫn xuất của PCMchuẩn, ở đó sự khác biệt giữa các mẫu liên tiếp nhau được mã hóa, thay vì tất
cả các mẫu điều được mã hóa để truyền trên đường dây CCITT có đề nghịmột chuẩn ADPCM 32 Kbps, 24 Kbps, 16Kbps cho mã hóa tiếng nói
• Chuẩn PCM thì cũng được biết như chuẩn ITU G.711
Tốc độ G.711: 64 Kps=(2*4 kHz)*8 bit/mẫu
Tốc độ G.726: 32 Kps=(2*4 kHz)*4 bit/mẫu
Tốc độ G.726: 24 Kps=(2*4 kHz)*3 bit/mẫu
Tốc độ G.726: 16 Kps=(2*4 kHz)*2 bit/mẫu
1.4 Ưu nhược điểm của mạng VoIP
1.4.1 Ưu điểm mạng VoIP
Nhiều cuộc gọi hơn với băng thông nhỏ hơn và sử dụng băng thông hiệu quả hơn : VoIP là kỹ thuật mã hóa nén, triệt khoảng lặng và sử dụng kỹ thuật ghép
Trang 26kênh phân chia theo thời gian thống kê STDM (chỉ sử dụng dải thông khi cần đến, khi
sử dụng xong sẽ tự động giải phóng dải thông) Tất cả nội dung như thoại, văn bản,video, các chương trình máy tính hoặc dạng thông tin khác, truyền qua mạng lướidạng gói được định trực tiếp tới đích bởi lộ trình khác nhau, chia sẻ tài nguyên mộtcách có hiệu quả
Giảm chi phí cuộc gọi: ưu điểm nổi bật nhất của điện thoại IP so với dịch vụ
điện thoại hiện tại là khả năng cung cấp những cuộc gọi đường dài giá rẻ với chấtlượng chấp nhận được Nguyên nhân dẫn đến chi phí thấp như vậy là do tín hiệu thoạiđược truyền tải trong mạng IP có khả năng sử dụng kênh hiệu quả cao Đồng thời, kỹthuật nén thoại tiên tiến giảm tốc độ bit từ 64 Kbps xuống thấp tới 8 Kbps (theo tiêuchuẩn nén thoại G.729A của ITU-T) kết hợp với tốc độ xử lý nhanh của các bộ vi xử
lý ngày nay cho phép việc truyền tiếng nói theo thời gian thực là có thể thực hiệnđược với lượng tài nguyên băng thông thấp hơn nhiều so với kỹ thuật cũ
Khả năng mở rộng (Scalability): nếu như các hệ tổng đài thường là những hệ
thống kín, rất khó để thêm vào đó những tính năng thì các thiết bị trong mạng Internetthường có khả năng thêm vào những tính năng mới Chính tính mềm dẻo đó mang lạicho dịch vụ điện thoại IP khả năng mở rộng dễ dàng hơn so với điện thoại truyềnthống
Sự hiện diện phổ biến của mạng IP: hiện nay tất cả máy tính cá nhân và máy
chủ trong Internet, Web đều sử dụng giao thức IP chính vì vậy mạng IP trở thành mộtnền tảng thuận lợi cho việc phát triển lưu lượng thoại
Tích hợp mạng thoại, mạng số liệu và mạng báo hiệu: trong điện thoại IP
tín hiệu thoại, số liệu và ngay cả báo hiệu đều có thể cùng đi trên cùng một mạng IP.Điều này sẽ tiết kiệm được chi phí đầu tư để xây dựng những mạng riêng rẽ
1.4.2 Nhược điểm mạng VoIP
Chất lượng dịch vụ: nhược điểm chính của mạng VoIP chính là chất lượng
dịch vụ, các mạng số liệu không phải xây dựng với mục đích truyền thoại thời gianthực vì vậy truyền thoại qua mạng số liệu cho chất lượng của cuộc gọi thấp vì có thểxảy ra hiện tượng trễ gói tin hoặc mất gói tin Ngoài ra còn một yếu tố làm giảm chấtlượng thoại đó là kỹ thuật nén để tiết kiệm băng thông đường truyền, nếu nén xuốngdung lượng càng thấp thì kỹ thuật nén càng phức tạp và cho chất lượng thoại khôngcao
Chương 1: Tổng Quan Hệ Thống VoIP
Trang 27Vấn đề tiếng vọng: như trong mạng PSTN do trễ ít nên tiếng vọng không ảnh
hưởng nhiều thì trong mạng IP trễ lớn nên tiếng vọng ảnh hưởng đến chất lượngthoại
Vấn đề bảo mật: mạng Internet là một mạng có tính rộng khắp và hỗn hợp
(Hetorogenous network) trong đó có rất nhiều loại máy tính khác nhau cùng các dịch
vụ khác nhau cùng sử dụng chung một cơ sở hạ tầng Do vậy không có gì đảm bảorằng thông tin liên quan đến cá nhân cũng như số liên lạc truy nhập sử dụng dịch vụcủa người dùng được giữ bí mật
Trang 28CHƯƠNG 2: CÁC GIAO THỨC BÁO HIỆU TRONG VoIP
2.1 Giao thức H.323
2.1.1 Tổng quan về giao thức H.323
H.323 là giao thức được phát triển bởi ITU-T H.323 ban đầu được sử dụngcho mục đích truyền các cuộc hội thoại đa phương tiện trên các mạng LAN, nhưngsau đó H.323 đã phát triển thành một giao thức truyền tải VoIP trên thế giới
H.323 là một tập giao thức, gồm các giao thức chính:
• H.225: là giao thức báo hiệu thiết lập và giải tỏa cuộc gọi
• H.245: là giao thức điều khiển cho phép các đầu cuối thỏa hiệp kênh và trao đổi khả năng của chúng
• H.235: công cụ bảo mật hỗ trợ cho H.323
Hình 2-1: Các thành phần của H.323
2.1.2 Các thành phần chính của giao thức H.323
2.1.2.1 Terminal
Được dùng cho truyền thông hai chiều với thời gian thực Một H.323 Terminal
có thể là một máy điện thoại hay một máy PC chạy ứng dụng của H.323 và các ứngdụng đa phương tiện khác Nó được sử dụng cho cả tín hiệu thoại, tín hiệu hình và dữliệu
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 29Các tính năng của đầu cuối H.323 như:
• H.245: điều khiển sắp xếp sử dụng kênh truyền.
• Q.931: báo hiệu và thiết lập cuộc gọi
• RAS: giao thức liên lạc với Gatekeeper
• RTP/RTCP: sắp xếp các gói âm thanh và hình ảnh
GK đóng vai trò là bộ não trong mô hình mạng H.323
GK cung cấp những chức năng bắt buộc như sau:
• Dịch địa chỉ: dịch từ địa chỉ alias hoặc một số điện thoại ảo của một điểm cuối sang địa chỉ IP tương ứng
• Điều khiển kết nạp (Admission Control): điều khiển việc cho phép hoạt động của các điểm cuối
• Điều khiển băng thông (Bandwidth Control): điều khiển cấp hoặc từ chối cấp một phần băng thông cho các cuộc gọi của các thiết bị trong hệ thống
Trang 30• Quản lý vùng (Zone Management): thực hiện các chức năng trên với các điểm cuối H.323 đã đăng ký với Gatekeeper (một vùng H.323).
• Ngoài ra, GateKeeper có thể cung cấp các chức năng tuỳ chọn sau:
• Báo hiệu điều khiển cuộc gọi (Call Control Signalling): Gatekeeper có thểnhận và xử lý báo hiệu cuộc gọi để điều khiển hoạt động của các thiết bị đầucuối
• Điều khiển cho phép cuộc gọi (Call Authorization): Gatekeeper có thể từ chốithực hiện cuộc gọi từ một thiết bị đầu cuối này tới một thiết bị đầu cuối khác
• Quản lý băng thông (Bandwidth Management): chức năng này cho phépGatekeeper điều khiển lượng băng thông cấp cho một cuộc gọi của một điểmcuối trong hệ thống Việc điều khiển này có thể thực hiện ngay trong khi cuộcgọi đang tiến hành Chức năng này bao gồm cả chức năng điều khiển việccung cấp băng thông cho các cuộc gọi
• Quản lý cuộc gọi (Call Management): Gatekeeper có thể duy trì một danh sáchcủa các cuộc gọi đang được tiến hành, nhờ đó biết được thiết bị nào đang bậnhoặc cung cấp thông tin cho chức năng quản lý băng thông
• Tính cước (Billing): mọi cuộc gọi trong hệ thống có mặt Gatekeeper đều phảithông qua sự quản lý của Gatekeeper, do vậy sẽ rất thuận tiện nếu nhưGatekeeper đảm nhận chức năng tính cước dịch vụ
Đầu cuối H.323 sử dụng giao thức RAS (Registration Admission Status) để truyền thông với Gatekeeper và Gatekeeper cũng sử dụng giao thức RAS truyền thông với các Gatekeeper khác
Có hai loại báo hiệu điều khiển cuộc gọi:
• Báo hiệu phương thức thông qua Gatekeeper
• Báo hiệu phương thức trực tiếp
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 31Hình 2-2: Báo hiệu trực tiếp
Hình 2-3: Báo hiệu thông qua GK
2.1.2.4 Đơn vị điều khiển liên kết đa điểm Multipoint Control Unit – MCU
MCU hỗ trợ việc thực hiện các cuộc đàm thoại hội nghị giữa nhiều thiết bị đầu cuối.Trong chuẩn H.323 MCU gồm có các thành phần:
• Thành phần bắt buộc: bộ điều khiển đa điểm MC
• Thành phần tùy chọn: bộ xử lí đa điểm MP
MC và MP là các phần của MCU nhưng chúng có thể không tồn tại trongmột thiết bị độc lập mà được phân tán trong các thiết bị khác Ví dụ như một Gateway
có thể mang trong nó một MC và một vài MP để thực hiện kết nối tới nhiều thiết bịđầu cuối, một thiết bị đầu cuối có thể mang một bộ MC để có thể thực hiện cùng mộtlúc nhiều cuộc gọi
Trang 32MC điều khiển việc liên kết giữa nhiều điểm cuối trong hệ thống bao gồm:
• Xử lý việc đàm phàn giữa các thiết bị đầu cuối để giải quyết một khả năng
xử lí dòng dữ liệu media chung giữa các thiết bị đầu cuối
• Quyết định dòng dữ liệu nào sẽ là dòng dữ liệu multicast
MC không xử lý trực tiếp một dòng dữ liệu media nào Việc xử lý các dòng
dữ liệu sẽ do các MP đảm nhiệm MP sẽ thực hiện việc trộn, chuyển mạch, xử lý cho từng dòng dữ liệu thời gian thực trong cuộc hội nghị
2.1.2.5 H.323 Zone
H.323 Zone là một tập hợp các đầu cuối, Gateway, Multipoint Control Unit(MCU) được điều khiển bởi một GK Một Zone phải có ít nhất một hoặc nhiều đầucuối, Gateway, đơn vị điều khiển đa điểm MCU và được quản lý bởi một GK duynhất Hơn nữa, nếu trong một mạng VoIP có nhiều vùng thì các GK của các vùngkhác nhau có thể thông tin với nhau để thực hiện các cuộc gọi liên vùng
Hình 2-4: H.323 Zone
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 332.1.3 Các kênh điều khiển trong H.323
Có nhiều giao thức nhỏ trong tập giao thức H.323 nhưng có 3 giao thức báo hiệu chính thường được sử dụng là:
• Báo hiệu H.225 RAS (Registration, Admissions and Status): báo hiệu giữa thiết bị đầu cuối với H.323 Gatekeeper trước khi thiết lập cuộc gọi
• Báo hiệu H.225 Q.931 sử dụng để kết nối, duy trì và hủy kết nối giữa hai đầu cuối
• Báo hiệu H.245 sử dụng để thiết lập phiên truyền media sử dụng giaothức RTP
2.1.3.1 Báo hiệu H.225 RAS (Registration, Admissions and Status)
Kênh RAS được thiết lập giữa các thiết bị đầu cuối và Gatekeeper qua mạng
IP Kênh RAS được mở trước khi các kênh khác được thiết lập và độc lập với cáckênh điều khiển cuộc gọi và media khác Báo hiệu này được truyền trên UDP chophép đăng kí, chấp nhận, thay đổi băng thông, trạng thái và hủy phiên kết nối
Báo hiệu RAS được kết nối qua UDP thông qua cổng kết nối port 1719 (unicast) và
1718 (multicast)
Chức năng chính của RAS
• Tìm kiếm Gatekeeper: việc này có thể được thực hiện thủ công hoặc tự độngcho phép xác định gatekeeper mà thiết bị đầu cuối đăng kí (để có thể sửdụng dịch vụ sau này)
• Đăng kí: cho phép Gateway, thiết bị đầu cuối và MCU tham gia vào mộtvùng dịch vụ do Gatekeeper quản lý và thông báo cho Gatekeeper về địa chỉ
và bí danh của nó
• Xác định vị trí thiết bị đầu cuối: thiết bị đầu cuối và Gatekeeper sử dụng bảntin này để lấy thêm thông tin khi chỉ có thông tin bí danh được chỉ ra Bảntin này được gửi thông qua địa chỉ kênh RAS của Gatekeeper hoặc gửimulticast
• Admissions: bản tin giữa các thiết bị đầu cuối và Gatekeeper cung cấp cơ sởcho việc thiết lập cuộc gọi và điều khiển băng thông sau này Bản tin này baogồm cả các yêu cầu về băng thông (có thể được thay đổi bởi Gatekeeper)
Trang 34• Thông tin trạng thái: dùng để lấy thông tin trạng thái của một thiết bị đầucuối Ta có thể sử dụng bản tin này để theo dõi trạng thái online hay offlinecủa thiết bị đầu cuối trong tình trạng mạng bị lỗi Thông thường bản tin này
sẽ được gửi 10 giây một lần Trong quá trình cuộc gọi, Gatekeeper có thểyêu cầu thiết bị đầu cuối gửi theo chu kì các bản tin trạng thái
• Điều khiển băng thông: dùng để thay đổi băng thông cho cuộc gọi
• Hủy kết nối: khi muốn kết thúc cuộc gọi thì trước hết thiết bị đầu cuối dừnghết mọi kết nối và đóng hết các kênh logic lại Sau đó, nó sẽ ngắt phiênH.245 và gửi tín hiệu RLC trên kênh báo hiệu cuộc gọi Ở bước này, nếukhông có Gatekeeper thì cuộc gọi sẽ được hủy còn nếu không thì các bảntin sẽ được gửi trên kênh RAS để kết thúc cuộc gọi
2.1.3.2 Báo hiệu điều khiển cuộc gọi H.225
Trong mạng H.323, chức năng điều khiển cuộc gọi dựa trên cơ sở giao thứcH.323 với việc sử dụng bản tin báo hiệu Q.931
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 35Một kênh điều khiển cuộc gọi được tạo ra dựa trên giao thức TCP/IP với cổng
1720 Cổng này thiết lập các bản tin điều khiển cuộc gọi giữa hai thiết bị đầu cuối vớimục đích thiết lập, duy trì và kết thúc cuộc gọi
đi nếu kênh báo hiệu cuộc gọi được mở hoặc đang hoạt động
• Facility: đây là một bản tin Q.932 dùng để yêu cầu hoặc phúc đáp cácdịch vụ bổ sung Nó cũng được dùng để cảnh báo rằng một cuộc gọi sẽđược định tuyến trực tiếp hay thông qua GK
2.1.3.3 Giao thức báo hiệu điều khiển cuộc gọi H.245
Chức năng H.245 là thiết lập các kênh logic để truyền audio, video, data vàcác thông tin điều khiển Giữa hai thiết bị đầu cuối được thiết lập một kênh H.245 chomột cuộc gọi Kênh điều khiển này được tạo dựa trên TCP gán động port
H.245 là giao thức điều khiển báo hiệu cuộc gọi giữa các EP bao gồm năng lựctrao đổi, xác định master-slave, quản lý kênh luận lý Giao thức này được vận chuyểnbằng TCP
Xác định master-slave: để tránh xung đột khi cả hai bên đều khởi tạo cùng mộtcuộc gọi Đầu cuối thỏa thuận vai trò này bằng cách áp dụng theo một cách nào đó.Vai trò này sẽ giữ nguyên trong suốt cuộc gọi
Trao đổi năng lực: mỗi đầu cuối phải biết được khả năng của nhau bao gồmkhả năng truyền và nhận, nếu không nó có thể không chấp nhận cuộc gọi
Trang 36Quản lý kênh luận lý: đảm bảo cho đầu cuối có khả năng nhận và đọc được dữliệu khi kênh luận lý mở Bản tin OpenLogicalChannel sẽ mô tả loại dữ liệu sẽtruyền.
Bảng 2-2: Ý nghĩa cấu trúc các bản tin H245
Open Logical Mở một kênh logic cho việc truyền thông tin và dữ liệu
Channel Acknowledge, Reject, Confirm
Close Logical Đóng một kênh logic giữa hai thiết bị đầu cuối Possible replies:Channel Acknowledge
Được sử dụng bởi một thiết bị đầu cuối nhận được yêu cầu chếRequest Mode độ cụ thể của truyền từ một thiết bị đầu cuối Các loại chế độ
chung bao gồm VideoMode, AudioMode, DataMode và chế độ
mã hóa Possible replies:Acknowledge, Reject, Release
End Session Cho biết kết thúc của phiên H.245 Sau khi truyền dẫn, thiết bịCommand đầu cuối sẽ không gửi bất kỳ tin nhắn H.245
2.1.4 Các thủ tục báo hiệu trong H.323
Người ta chia một cuộc gọi làm 5 giai đoạn gồm:
• Bước 1: thiết lập cuộc gọi
• Bước 2: thiết lập kênh điều khiển
• Bước 3: thiết lập kênh thoại ảo
• Bước 4: dịch vụ
• Bước 5: kết thúc cuộc gọi
2.1.4.1 Thiết lập cuộc gọi
Việc thiết lập cuộc gọi sử dụng các bản tin được định nghĩa trong khuyến nghị H.225.0 Có thể xẩy ra 6 trường hợp, đó là:
• Cuộc gọi cơ bản - Cả hai thiết bị đầu cuối đều không đăng ký
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 37• Cả hai thuê bao đều đăng ký tới một Gatekeeper.
• Chỉ có thuê bao chủ gọi có đăng ký với Gatekeeper
• Chỉ có thuê bao bị gọi có đăng ký với Gatekeeper
• Hai thuê bao đăng ký với hai Gatekeeper khác nhau
• Thiết lập cuộc gọi qua Gateway
Trong hầu hết giao thức báo hiệu phục vụ các ứng dụng thời gian thực, yêucầu về ngưỡng thời gian xử lý cho phép (Tout - Time Out) của từng tín hiệu và của cảquá trình báo hiệu là bắt buộc
Phương thức báo hiệu trực tiếp: quá trình báo hiệu diễn ra nhanh hơn dẫn đếnxác xuất thời gian xử lý báo hiệu vượt quá Tout ít, làm cho tỷ lệ lỗi cuộc gọi giảm,hơn nữa việc báo hiệu trực tiếp giúp cho quá trình đồng bộ mạng chính xác Tuynhiên, ở phương thức này yêu cầu các đầu cuối tham gia vào cuộc gọi phải có sựtương thích về báo hiệu
Phương thức báo hiệu gián tiếp thông qua Gatekeeper: quá trình báo hiệu diễn
ra chậm hơn dẫn đến xác xuất thời gian xử lý báo hiệu vượt quá Tout lớn hơn, và vìthế tỷ lệ lỗi cuộc gọi cũng nhiều hơn Vì phải thông qua Gatekeeper nên cấu trúcmạng sẽ phức tạp, vấn đề tổ chức và đồng bộ mạng cần phải quan tâm hơn Ở phươngthức này báo hiệu thông qua Gatekeeper trung gian vì thế vấn đề tương thích báo hiệuchỉ liên quan đến đầu cuối và Gatekeeper do đó làm tăng khả năng lựa chọn đầu cuốicho người dùng
2.1.4.2 Thiết lập kênh điều khiển
Khi kết thúc giai đoạn 1 tức là cả chủ gọi lẫn bị gọi đã hoàn thành việc trao đổicác bản tin thiết lập cuộc gọi, thì các đầu cuối sẽ thiết lập kênh điều khiển H.245
Bản tin đầu tiên được trao đổi giữa các đầu cuối là terminalCapabilitySet đểcác bên thông báo cho nhau khả năng làm việc của mình Mỗi một thiết bị đầu cuốiđều có đặc tính riêng nói lên khả năng chế độ mã hoá, truyền, nhận và giải mã các tínhiệu đa dịch vụ Kênh điều khiển này có thể do thuê bao bị gọi thiết lập sau khi nónhận được bản tin Set-up hoặc do thuê bao chủ gọi thiết lập khi nó nhận được bản tinAlerting hoặc Call Proceeding Trong trường hợp không nhận được bản tin
Trang 38Connect hoặc một đầu cuối gửi Release Complete, thì kênh điều khiển H.245 sẽ đượcgiải phóng.
2.1.4.3 Thiết lập kênh truyền thông
Sau khi trao đổi khả năng (tốc độ nhận tối đa, phương thức mã hoá ) và xácđịnh quan hệ master-slave trong giao tiếp ở giai đoạn 2, thủ tục điều khiển kênhH.245 sẽ thực hiện việc mở kênh logic để truyền số liệu Các kênh này là kênh H.225.Sau khi mở kênh logic để truyền tín hiệu là âm thanh và hình ảnh thì mỗi đầu cuốitruyền tín hiệu sẽ truyền đi một bản tin h2250 Maximunskewindication để xác địnhthông số truyền
Thay đổi chế độ hoạt động: trong giai đoạn này các thiết bị đầu cuối có thểthực hiện thủ tục thay đổi cấu trúc kênh, thay đổi khả năng và chế độ truyền cũng nhưnhận (chế độ truyền và nhận là thông báo và ghi nhận của các đầu cuối để xác địnhkhả năng làm việc giữa chúng)
Phân phối các địa chỉ luồng dữ liệu: trong chế độ một địa chỉ, một đầu cuối sẽ
mở một kênh logic tới MCU hoặc một đầu cuối khác Địa chỉ của các kênh chứatrong bản tin OpenLogicalChannel và OpenLogicalChannelAck.Trong chế độ địa chỉnhóm, địa chỉ nhóm sẽ được xác định bởi MC và được truyền tới các đầu cuối trongbản tin CommunicationModeCommand Một đầu cuối sẽ báo cho MC việc mở mộtkênh logic với địa chỉ nhóm thông qua bản tin OpenLogicalChannel và MC sẽ truyềnbản tin đó tới tất cả các đầu cuối trong nhóm
2.1.4.4 Dịch vụ cuộc gọi
Có một số dịch vụ cuộc gọi được thực hiện trên mạng H.323 như: thay đổi độrộng băng tần, giám sát trạng thái hoạt động, hội nghị đặc biệt, các dịch vụ bổ sung
2.1.4.5 Kết thúc cuộc gọi
Một thiết bị đầu cuối có thể kết thúc cuộc gọi theo các bước của thủ tục sau:
• Dừng truyền luồng tín hiệu video khi kết thúc truyền hình ảnh, sau đó giải phóng tất cả các kênh logic phục vụ truyền video
• Dừng truyền dữ liệu và đóng tất cả các kênh logic dùng để truyền dữ liệu
• Dừng truyền audio sau đó đóng tất cả các kênh logic dùng để truyền audio
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP
Trang 39Truyền bản tin H.245 EndSessionCommand trên kênh điều khiển H.245 để báo
cho thuê báo đầu kia biết nó muốn kết thúc cuộc gọi Sau đó nó dừng truyền các bảntin H.245 và đóng kênh điều khiển H.245 Nó sẽ chờ nhận bản tin
EndSessionCommand từ thuê bao đầu kia và sẽ đóng kênh điều khiển H.245 Nếu
kênh báo hiệu cuộc gọi đang mở, thì nó sẽ truyền đi bản tin ReleaseComplete sau đóđóng kênh báo hiệu
Nó cũng có thể kết thúc cuộc gọi theo các thủ tục sau đây: một đầu cuối nhận
bản tin EndSessionCommand mà trước đó nó không truyền đi bản tin này, thì nó sẽ
lần lượt thực hiện các bước từ 1 đến 6 ở trên chỉ bỏ qua bước 5
EndSessionCommand (1)
EndSessionCommand (1)
Release Complete (2) DRQ (3)
DRQ (3)
Kªnh b¸o hiÖu RAS
Kªnh b¸o hiÖu cuéc gäi
Kªnh ®iÒu khiÓn H.245
Hình 2-5: Quá trình kết thúc cuộc gọi có sự tham gia của GK
• Thiết bị đầu cuối kết thúc cuộc gọi có sự tham gia của GK
Trong một cuộc gọi không có sự tham gia của GK thì chỉ cần thực hiện cácbước 1 đến 6 Trong cuộc gọi có sự tham gia của GK thì cần có hoạt động giải phóngbăng tần Vì vậy, sau khi thực hiện các bước từ 1 đến 6 mỗi đầu cuối sẽ truyền đi bảntin DRQ(3) tới GK, sau đó GK sẽ trả lời bằng bản tin DCF(4) Sau khi gởi DRQ, đầucuối sẽ không gởi bản tin IRR tới GK nữa và khi đó cuộc gọi kết thúc
Trang 40• Thủ tục kết thúc cuộc gọi do GK thực hiện
Đầu tiên, GK gởi bản tin DRQ tới đầu cuối Khi nhận được bản tin này, đầucuối sẽ lần lượt thực hiện các bước từ 1 đến 6, sau đó trả lời GK bằng bản tin DCF.Thuê bao đầu kia khi nhận được bản tin EndSessionCommand sẽ thực hiện thủ tụcgiải phóng cuộc gọi giống trường hợp đầu cuối chủ động kết thúc cuộc gọi Nếu cuộcgọi là một hội nghị thì GK sẽ gởi DRQ tới tất cả các đầu cuối tham gia hội nghị
EndSessionCommand (1) Release Complete (2)
Chó ý: Gatekeeper 1 vμ Gatekeeper 2 cã thÓ lμ mét Gatekeeper
Hình 2-6: Kết thúc cuộc gọi bắt đầu từ GK
2.2 Giao thức Session Initiation Protocol - SIP
2.2.1 Tổng quan về giao thức SIP
2.2.1.1 Sự phát triển của giao thức SIP
Đầu tiên SIP chỉ đơn thuần là một giao thức dùng để thiết lập phiên quảng bácho Internet (từ giữa đến cuối thập kỉ 90) SIP được phát triển bởi SIP Working Grouptrong IETF, phiên bản đầu tiên được ban hành vào tháng 3 năm 1999 trong tài liệuRFC 2543 Sau đó SIP trải qua nhiều thay đổi và cải tiến, phiên bản mới nhất hiệnnay được ban hành trong IETF RFC 3261 RFC 3261 hoàn toàn tương thích ngượcvới RFC 2543, do đó các hệ thống thực thi theo RFC 2543 hoàn toàn có thể sử dụngvới các hệ thống theo RFC 3261
Chương 2: Các Giao Thức Báo Hiệu Trong VoIP