（计算机应用技术专业论文）支持voip的ipsec+vpn网关实现研究.pdf

摘要 随着i n t e r a c t 的快速发展，多媒体实时业务的需求目益增长。基于i p 的语音 服务v o 口作为互联网新型的主流多媒体业务逐步得到普及。v o 口对网络安全和 网络传输提出更高的要求，一方面，使用公网传输的语音口包和普通数据包一 样，存在被篡改、重放等安全隐患：另一方面，实时业务流的服务质量对分组 的延时、抖动和丢包率较为敏感。 虚拟专用网v p n 作为一种安全而有效的商用通信技术，得到广泛的应用。 虚拟专用连接的业务类型较单一，因此v p n 增值服务对多媒体实时应用提出了 内在要求。 保证v o 口业务安全性与v p n 业务扩展的需求相结合，本文提出了在v p n 环境下传输v o 口的构想。 首先，本文就v p n 环境对v o i p 应用的制约因素进行了综述，并对克服这些 因素所采用的传统方法进行了分析。 其次，本文对构建v p n 所采用的常用协议一一i p s e c 进行了详尽的剖析，分 析了i p s e c 对v o l p 应用的制约因素，着重指出了i p s e cv p n 网关的关键问题： i p s e c 加密处理速度对i p 包的延时有较大影响，同时v p n 网关对i p 包进入i p s e c 处理时所采用的先来先服务的调度策略无法保证v o i p 的服务质量。针对上述问 题，本文提出了相应的改进方案：一方面采用安全性更好和加密速度更快的a e s 加密算法代替t p g e c 中原有的3 d e s 加密算法，以加快网关加密处理，降低v o i p 的端到端的延迟；另一方面，在深入研究区分服务体系结构的基础上，结合基于 区分服务的v p n0 0 s 支撑环境，在v p n 网关上实现了个支持实时性业务流v o i p 的区分服务调度机制，以保证v o i p 的服务质量。 最后，本文将区分服务实现框架与l i f l u x 下的 p s e c 实现楣结合，改进并设 计了一个支持v 0 口的新型v p n 网关原型。通过构建实际的测试环境，对该v p n 网关的性能进行了测试。 实验结果表明：改进后的i p g e cv p n 网关能够有效地改善v o l p 的延迟、丢包 率和抖动，提高了v o l p 的服务质量。 关键字：虚拟专用网：v o i p ：a e s ：i p s e c ：网关 ! ：一： = ：= ：圣堡兰坚墼! ! 鎏兰! 些璧叁：窒堡塞：= ：一：= ： a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e m e t ，t h er e q u i r e m e n to fm u l t i m e d i at r a f f i ci s i n c r e a s e d a sa na u d i os e r v i c eb a s e do ni e , v o 碑( v o i c eo v e ri p 、g r a d u a l l yb e c o m e s t h em a i nb o d yo fm u l t i m a d i at r a f f i c h e n c e ，b e t t e rp e r f o r r n a n c eo fn e t w o r ks e c u r i t y a n dn e t w o r kt r a n s p o r t a t i o ni sr e q u i r e d o nt h eo n eh a n d ，v o i pp a c k a g e s ，w h i c ha r e t r a n s p o r t e di nt h ep u b l i cn e t w o r k s ，m a yb ec a p t u r e d ，v a n d a l i z e da n dr e p l a y e d o nt h e o t h e rh a n d ，q o s ( q u a l i t yo fs e r v i c e ) o ft h er e a l - t i m et r a f f i ci ss e n s i t i v et od e l a y , j i t t e r a n dp a c k a g el o s s v p n ( v i r t u a lp r i v a r en e t w o r k s ) i sa ne f f e c t i v ea n ds e c u r ec o m m u n i c a t i o nm o d e ， w h i c hi sa p p l i e db r o a d l yi nb u s i n e s s b e c a u s et r a f f i cu n d e rv p ne n v i r o n m e n ti s m o n o s p e c i f i c ，t h ec o n s i d e r a t i o no nm u l t i m e d i at r a f f i co v e rv p n i sn e c e s s a r yi no r d e r t oe n a b l ev p nt op r o v i d ew i t ht h en e wv a l u e - a d d e ds e r v i c e i no r d e rt om a k ef u l lu s eo ft h ea d v a n t a g eo fv p no ns e c u r i t ya n de x t e n dt h e r a n g eo fv p n s e r v i c e s t h ep a p e rp r e s e n t sa ni d e at h a t 伊i st r a n s p o r t e du n d e rv p n e n v i r o n m e n t f i r s t l y , t h ep a p e rs u m m a r i z e st h el i m i t so fv p nt o v j 口a n da n a l y z e st h e t r a d i t i o n a ls o l u t i o n s 幻t h e s el i m i t s t h e n ，t h i sp a p e ra n a l y z e si p s e cp r o t o c o li nd e t a i l ，p o i n t so u ti t si n f l u e n c eo n v b p ，a n de m p h a s i z e st h et w oc r i t i a ls h o r t a g e so f i p s e cv p n g a t e w a y , t h e s et w ok e y i s s u e sa r et h a tt h ep r o c e s sr a t eo fi p s e ch a sw o r s ee f f e c to nd e l a yo fp a c k a g ea n dt h a t s c h e d u l es t r a t e g yo nt h e 口s e cg a t e w a ycann o tg u a r a n t e ev o l pq o s f c f s ( f i r s t c o m ef i r s rs e r v i c e ) i se m p l o y e db yi p s e cv p ng a t e w a yb e f o r ei p s e cp r o c e s si s e x e c u t e d i no r d e rt oo v e r c o m ea b o v et w od i s a d v a n t a g e s ，t h ep a p e rc o m e su pw i t ht h e c o r r e s p o n d i n gs o l u t i o n s o nt h eo n eh a n d ，i no r d e rt oe n h a n c et h ep r o c e s sr a t eo f i p s e ca n dr e d u c et h ee n dt oe n dd e l a yo f v o r p , 3 d e se n c r y p t i o na l g o r i t h mi sr e p l a c e d b ya e se n c r y p t i o na l g o r i t h m ，w h i c hh a st h eb e t t e rs e c u r i t ya n dt h em o r er a p i d e n c r y p t i o nr a t et h a n3 d e se n c r y p t i o na l g o r i t h m o nt h eo t h e rh a n d ，c o m b i n i n gt h e s t u d yo nd i f f s e r va r c h i t e c t u r ew i t ht h ea n a l y s i so nt h es u p p o r t i n ge n v i r o m n e n to f v p n q o sb a s e do nd i f f s e r v , t h ep a p e ri m p l e m e n t e sa d i f f s e r vs c h e d u l em a c l m i s m s u p p o r t i n gv j i pt oa s s u r ev o l pq o s f i n a l l y , t h ep a p e ri m p r o v e sa n dd e s i g n san o v e lv p ng a t e w a yp r o t o t y p e s u p p o r t i n g v o i po nt h eb a s e o ft h ec o m b i n a t i o no fd i f f s e r vf r a m e w o r k i m p l e m e n t a t i o nw i t hi p s e ei m p l e m e n t a t i o ni nt h eo p e r a t i n gs y s t e ml i n u x i na d d i t i o n ， h i no r d e rt ot e s tt h ep e r f o r m a n c eo ft h ei p s e cv p n g a t e w a y , t h et e s t i n ge n v i r o n m e n ti s p u t u p t h er e s u l t ss u g g e s tt h a tt h ei p s e cv p ng a t e w a ys u p p o r t i n gv j 口c a ni m p r o v e t h ep e r f o r m a n c eo f v o i pq o si nt h ev i e wo f d e l a y , p a c k a g el o s ta n dj i t t e r 。 k e y w o r d s ：v i r t u a lp r i v a t en e t w o r k ：v o i c eo v e ri p ；a e s ：i p s e c ：g a t e w a y 1 1 1 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名：孑久惑囱 日期：矽：垆月? 曰 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：彰l 九参 导师签名：；喜多v 夕名己：，、 日期：一妒年f 月孑日 曰期：聊年月留日 1 1 课题研究的来源 第1 章绪论 本课题为国家信息安全中心项目( 项目号为2 0 0 1 一研2 一b 一0 0 3 ) 的子项目。 1 2 课题研究的意义和目标 1 2 1 拓展虚拟专用网业务范围的要求 随着网络技术的发展，i n t e r n e t 应用渗透到人们生活的各个角落。随着网 络经济的发展并逐渐壮大，企业规模日益扩大，客户分布日益广泛，合作伙伴日 益增多，如何利用i n t e r n e t 作为一个现有的商用网，是现有的网络技术研究的 一个热门话题。然而安全问题成为阻碍这种发展的一个障碍，许多公司企业不得 不租用专用网络，以使信息不被披露到这个人人都可以访问的i n t e r n e t 上。但 是这种方法将会大幅度提高公司、企业的投资成本。对于公司、企业而言，一种 高度灵活、高度安全、具有良好的扩展性并且低成本的通信网络具有很大的诱惑 力。 i n t e r n e t 是一个基于t c p i p 协议栈的一个公共网络。然而t c p i p 协议栈 在设计时并没有将安全作为一个专门的方面加以实施，这就使得将t c p i p 用于 具有安全性需要的环境中具有先天的不足。一般来说，有两种办法可以改变现有 ir l t e r n e t 的脆弱性。第一种方法是在现有的协议的基础上打补丁，这可充分利 用现有i n t e r n e t 的体系结构。第二种方式是设计新的协议，将安全的部分考虑 进去。但是这种方法需要一个过渡过程。如何将现有的应用不加修改，平稳的过 渡到新的协议平台是目前面临的最大障碍。 为了在现有的安全性不足的i n t e r n e t 上提供可靠的安全的信息传输服务， 虚拟专用网( v i r t u a lp r iv a t en e t w o r k s ，v p n ) 技术应运而生。虚拟专用网就 是利用开放性网络作为信息传输的媒介，通过加密、认证、封装以及密钥交换技 术在公共网络上开辟一条隧道，保证合法用户之间的安全通信。虚拟专用网是企 业网在i n t e r n e t 等公共网络上的延伸，通过这条安全的数据通道将远程用户、 公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的企业 网。在该网络中的主机察觉不到公共网络的存在，仿佛所有的主机都处在同一个 网络之中。公共网络仿佛是由本网络所独占使用，而事实上并非如此，所以被称 之为虚拟专用。 支持v o i p 的i p s e c v p n 网关实现研究 根据i d c 和i n f o n e t i c s 的统计显示，到2 0 0 3 年时，防火墙产品的销售额将 增至1 4 亿美元，而v p n 产品更高达3 3 亿美元。我国企业的电子化改造还处于起 步阶段，很多企业还没有使用v p n 技术。随着企业电子化改造的日益深入，v p n 技术将具有更广阔的应用前景。 虽然v p n 技术的应用目益广泛，但现有的v p n 仅仅能够保证“数据型”数据 流的安全，而对于诸如音频、视频等具有实时性要求的数据流使用v p n 技术保证 它们的安全性时并不能提供服务质量( q u a l i t yo fs e r v i c e ，o o s ) 保证。因而 使得v p n 技术的应用仅仅局限于“数据型”数据流，而对于具有实时性要求的数 据流并不能提供可以满足其服务质量要求的服务。拓展v p n 技术的应用范围就必 须改进现有的v p n 设备，使其能够满足具有实时性要求的数据流的o o s 要求。 1 2 2 保证v o l p 安全性的需要 v o i p ( v o i c eoveri p ) 是一种新兴的、正迅速发展的技术，f 在改变着人 们的通信方式。v o i p 成本低廉确保了其在市场竞争中的地位。尤其是企业级v o i p 的应用极大地降低了企业的营运成本。 对于大家所熟悉的公共交换电话网而言，人们很早就意识到了被窃听的可能 性，但是人们并没有对此给予过多的关注。因为窃听需要物理接触电话线或者硬 件设备，然而对电话线和硬件设各的接触受到了限制。并且一次只能窃听一次通 话i t 。然而对于v o i p ，窃听的危险大大增加。虽然对窃听所需的设备和软件的要 求大大提高了，但是这并没有超出专业黑客的能力范围。数据窃听工具在不远的 将来将能够识别v o i p 协议。在数据网络上传输v o i p 数据流，理论上说，这些对 话接都是不安全的。因为v o i p 包可能被识别、存储、重组和重新播放。针对v o i p 的攻击主要分为以下几个方面【2 】：对传输服务的攻击、对信令服务的攻击以及对 操作服务的攻击。虽然v o i p 提供了智能定位的功能，网守和呼叫管理器能够识 别用户、建立连接。但是这些目志信息又会可能成为黑客攻击的目标。另外，针 对网络的一般攻击方法，虽然不是专门针对v o i p 的，但是使用这些方法攻击v o i p 也是行之有效的。 1 2 3 基于v p n 的v o i p 是v p n 增值服务研究的热点 随着v p n 应用和v o i p 应用的日益广泛，能不能将v p n 技术和v o i p 技术结合 起来，将v o i p 应用拓展到v p n 中? 从而拓展了v p n 技术的应用领域，为v p n 增 值服务提供新的增长点。 使用v p n 技术保证v o i p 的安全性，对降低企业的运营成本、以及保证军事 领域的安全都有重要的意义。目前，针对v p n 攻击手段，尤其是针对基于i p s e c 2 硕士学位论文 协议实现的v p n 的攻击手段，比较少，并且也不容易成功，并且完全避免了中间 人攻击或者窃听这两种常用的网络攻击手段。另外，也可以充分地利用企业现有 的v p n 设备，避免重复投资，节约投资成本，进一步降低企业的通信费用。 1 2 4 项目研究的目标 在v p n 构建框架中，内网所有的数据经过安全网关封装加密处理后发往公 网，因此，安全网关是实现v p n 的关键设备，在安全网关上将封装加密与流量控 制结合起来势必成为解决v p n 对实时性业务流v o i p 应用限制这一问题的关键所 在，本课题的研究旨在提供一个基于安全操作系统和流量控制的v p n 安全网关解 决方案。我们的研究目标是：分析和改进现有的i p s e c 协议栈，改进加密机制， 同时对v p nq o s 支撑环境进行研究，在通用l i n u x 环境下实现一个支持v o i p 的 i p s e cv p n 网关原型。 1 3 课题研究的背景 1 3 1v p n 技术概述 随着世界经济一体化发展格局的逐渐形成，现代企业与其分布广泛的分支机 构、远程员工、以及合作伙伴之间迫切需要建立一种密切的商业联系，架设网络 专线是加强这种联系的传统方式，但是随着企业机构的不断调整，建立专线的弊 端日益显露，其通信成本高、建立和维护的开销太大而可扩展性较差的特点已经 成为企业发展的瓶颈，寻求一种新的通信方式已经成为现代企业的紧迫需要。与 传统的租用p s t n 、x 2 5 、f r 或d d n 等线路组成企业的专用网络相比，v p n 技术 具有在保证数据传输安全性的基础上节约大量通信成本、降低网络基础设施建设 和维护的开销、可扩展性强等特点，因此，v p n 技术必将成为未来企业业务传输 的主要工具。 根据v p n 所起的作用，可以将v p n 分为三类：虚拟专用拨号网络( v i r tk l a l p r i v a t ed i a ln e t w o r k ，v p o n ) 、i n t r a n e tv p n 、e x t r a n e tv p n 。 v p d n ：在远程用户或者移动办公人员和公司内部网之间的v p n ，称之为v p d n 。 它的实现过程如下：用户拨号网络服务提供商( n e t w o r ks e r v i c ep r o v i d e r ，n s p ) 的网络访问服务器( n e t w o r ka s s e s ss e r v e r ，n a s ) 发出p p p 连接请求，n a s 收 到呼叫后，在用户和n a s 之间建立p p p 链路，然后，n a s 对用户进行身份验证， 确定是合法用户，就启动v p d n 功能，与公司内部连接，访问其内部资源。 i n t r a n e tv p n ：是指在公司网络分支机构的局域网和公司总部局域网之间 的v p n 。通过i n t e r n e t 这一公共网络将公司在各地分支机构的局域网到公司总 部的局域网，以便于公司内部的资源共享、文件传递等，可节省d d n 等专线所带 来的高额费用。 支持v o i p 的i p s e cv p n 州关实现研冗 e x t r a n e tv p n ：是指在供应商、商业合作伙伴的局域网和公司的局域网之 间所建立的v p n 。由于不同公司网络环境的差异性，该产品必须能够兼容不同的 操作平台和协议。由于用户的多样性，公司的网络管理员还必须设置特定的访问 控制列表( a c c e s sc o n t r o ll is t ，a c l ) ，根据访问者的身份、网络地址等参数 来确定其对应的访问权限，开放部分资源而非全部资源给外联网的用户。 实现v p n 的关键技术之一是安全隧道协议。i p 隧道实现的协议有很多种， 但主要分为二层隧道协议和三层隧道协议。二层隧道协议l 2 f l 2 t p ( ，】是点对点协 议( p o i n tt op o in tp r o t o c o l ，p p p ) 的扩展，它综合了其他的两个隧道协议： c i s c o 公司的二层转发协议【4 】( l a y e r2f o r w a r d in g ，l 2 f ) 和m i c r o s o f t 的点对 点隧道协议 5 1 ( p o in tt op o i n tt u n n e l i n g ) 的优点。第三层隧道协议是i p s e c 协议。也有不少学者提出，利用s o c k s 协议来实现v p n t 6 1 。 实现v p n 的关键技术主要有：安全隧道协议、用户认证技术和访问控制技术。 安全隧道技术：通过将待传输的原始信息经过加密和协议封装处理后再嵌套 装入另一个协议的数据包中，然后送入网络中，象普通数据包一样进行传输。经 过这样的处理，只有源端和目的端的用户可以对隧道中的嵌套信息进行解释和处 理，而对于其他用户而言只是毫无意义的信息。 用户认证技术：在正式的隧道建立之前需要确认用户的身份，以便于系统进 一步实施资源访问控制或者用户授权。 访问控制技术：由v p n 服务的提供者与网络信息资源的提供者共同协商确定 特定用户对特定资源的访问权限，从而实现基于用户的细粒度访问控制，以便对 信息资源的最大限度的保护。 由于v p n 技术实现的网络层次不同，各种实现方式之间又有很大的差别。在 文献 7 中，从安全性、性能、可扩展性、灵活性、互操作性、协议支持等角度， v p n 的各种实现技术都做了详细而深入的比较。 文献 7 认为，在p p t p 、l 2 t p 和i p s e c 这些隧道协议中，只有i p s e c 协议提 供了完整的安全机制，而p p t p 和l 2 t p 并没有提供数据安全功能，仅仅依赖p p p 实现了认证和加密服务。安全性分为认证、完整性和机密性三个方面。就认证而 言，认证分为用户认证和数据报认证，p p t p 和l 2 t p 仅仅使用了p p p 认证机制提 供了用户认证，并没有提供任何数据报认证，然而i p s e c 通过a h 和e s p 提供了 数据报认证。在完整性方面，i p s e c 通过a i 和e s p 中所包含的认证数据字段的 i c v ( i n t e g r i t yc h e c kv a l u e ) 提供了完整性认证，然而p p t p 和l 2 t p 仅仅根据 数据流中包的前后的紧密程度来确定完整性。 文献 7 还从对v p n 可能遭受的攻击这个角度比较了这几种实现v p n 的协议。 它认为，对v p n 的攻击主要有如下几种方式：对协议的攻击、对算法的攻击、对 实现的攻击、完整性、泄密以及服务拒绝攻击等。但是针对i p s e c 的攻击主要是 d 硕士学位论文 对实现的攻击、钥匙管理的攻击、钥匙恢复导出规则的攻击。针对p p t p 的攻击 主要是攻击g r e ( 通用路由封装) 和对密码的攻击。p p t p 的脆弱性在于它的安全 依赖于p p p 。i p s e c 可以有效的防止服务拒绝攻击、中间人攻击、字典攻击和窃 听攻击，然而p p t p 和l 2 t p 对这些种类的攻击无力防范。 对于这几种实现v p n 协议的性能，文献 7 认为衡量v p n 性能的主要指标是 吞吐量和延迟。p p t p 使用u d p 传送数据包、t c p 传送命令控制包。l 2 t p 并没有 区分包的类型，所有的l 2 t p 都使用封装的u d p 。由于t c p 是面向连接的协议， 需要对所发送的数据进行应答。并且t c p 包比u d p 包大1 2 个字节，这就使得p p t p 的吞吐量小于使用无连接的u d p 的l 2 t p 的吞吐量。对于高延迟的网络，p p i p 和 l 2 t p 都有比较好的性能。 随着v p n 技术的发展，越来越多的企业开始使用v p n 设备来保证信息的安全 传输。随之而来的，对v p n 的服务质量( q o s ) 的要求，也越来越高。尤其是i s p 需要提高q o s 来为客户提供更好的服务，从而得到更高的利润并保持在市场竞争 的优势。客户需要更好的服务，来保证自己的业务能够正常的开展。因而，对于 v p n 的服务质量的研究仍然是当前v p n 技术研究的一个热点。 对i n t e r n e t 的q o s 保证有两种模型：集成服务( i n t s e r v ) 和区分服务川 ( d i f f s e r v ) 。在服务定义层次上，i n t s e r v 提供端到端的质量保证型服务或者 可控负载型服务。在实现层次上，现有的i n t s e r v 方案需要所有路由器在控制路 径上处理每个流的信令消息，并维护每个流的路径状态和预约状态，在数据路径 上执行基于流的分类、调度和缓冲区管理。从技术层次上，i n t s e r v 依靠资源预 留r s v p 逐结点( h o pb yh o p ) 地建立或者拆除每个流的资源预留状态；依靠接 入控制决定链路或者网络节点是否有足够的资源满足q o s 请求：依靠流量控制将 i p 分组分成多个流量类，并根据每个流的状态对分组的传输实施q o s 路由、流 量调度等控制。 ir l t s e r v 具有某种面向连接( 动态虚电路连接机制) 的特性，是基于流的、 状态相关的体系结构。它所提供的服务具有更高的灵活性和更好的服务级别保 证。但是i n t s e r v 的可扩展性、鲁棒性比较差，实现难度大。 区分服务的最大的特点就是简单有效、扩展性强。其实施特点就是采取聚合 的机制将具有相同特性的若干业务流聚合起来，为整个聚合流提供服务，而不再 面向单个业务流。换言之，在d i f f s e r v 网络边界路由器上保持每个流的状态， 核心路由器只负责数据包的转发而不保持状态信息。 在v p n 上直接实现集成服务比较困难。一般情况下，对v p n 的q o s 研究都是 基于区分服务的。文献 1 0 提出了在对v p n 实现的d i f f s e r v 之上实现集成服务， 并实现了对v p n 的q o s 管理。在这篇论文中，对v p n 的q o s 管理实现的核心就是 支持v o i p 的i p s e cv p n 网关实现研究 实现了一种服务代理机制。代理用来处理需要o o s 保证的w e b 请求和v p n 隧道请 求。这种实现v p n 的q o s 保证的方案非常复杂。 1 3 2v o l p 的研究现状 对v o i p 而言，语音信号经过数字化、压缩、分割、封装成数据包，然后送 到分组交换网络上传输。在接收方对所到达的分组进行重组。在分组交换网络上 实现语音的传输，关键的问题是如何保证语音的质量。 衡量语音质量的指标主要有m ，：延迟、抖动、丢包率。 延迟：在语音网络中，端到端的延迟导致两个问题：回声和重叠。回声是由 说话者的语音信号从远端电话设备反射到说话者的耳朵中。当往返的延迟超过 5 0 m s 时，回声将严重地影响通话。回声是可预测的。v o i p 系统必须采用一些回 声消除的方法对回声进行控制。重叠就是一个的谈话在另一方的谈话之上。当一 方的延迟超过2 5 0 m s 时，重叠就会非常严重。端到端的延迟主要来自于以下几个 方面m ，：算法延迟、处理延迟和网络延迟。但是端到端的延迟主要取决于网络延 迟。 算法延迟主要是由于语音编码器对语音采样造成的。算法延迟和所采用的语 音编码器类型相关，变化范围从单波形采样时间0 1 2 5 微秒到几十毫秒。 处理延迟主要用于编码和将编码帧处理成数据包发送到分组交换网络上。处 理延迟主要是由处理器的执行时间和所使用的算法来决定的。将多个语音编码帧 封装到一个分组中可以减少网络的开销。 网络延迟主要是由传输语音分组所使用的协议和物理媒介以及在接收方为 了消除抖动所使用的缓冲区策略来决定的。它与网络链接的能力和语音分组传送 到网络上的能力相关。这个延迟占了整个延迟的很大一部分。在帧延迟网络和 i p 网络中，网络延迟可高达7 0 毫秒到1 0 0 毫秒。 抖动是由于不同的数据分组在网络传输过程中的延迟不同造成的。消除抖动 需要收集并缓冲数据分组以至于最迟到达的数据分组都能够按照正确的顺序播 放。虽然这消除了抖动，但也增加了额外的延迟。延迟最小化和抖动消除是两个 相互冲突的目标。由此产生了许多策略，调整抖动缓冲区的大小去适应网络抖动 消除的不同要求。文献 1 2 给出了两种调整抖动缓冲区大小的方法。第一种方法 就是根据一段时问内数据包的变化水平来动态调整抖动缓冲区的大小。第二种方 法就是计算迟到的分组的数量和能够成功处理的语音分组数之间的比例。使用这 个比例去调整抖动缓冲区的大小并允许一定比例的语音分组后到。这种方法在数 据分组到达间隔比较大的网络中十分有效。 丢包补偿：由于i n t e r f l e t 是一个无连接的网络，属于同一个语音信号的不 同分组可能经过不同的网络路径到达最后的目的地，然后按照一定的顺序进行 硕士学位论文 重组。虽然和电路交换的p s t n 相比更有效地利用了网络资源，但是这也增加了 分组丢失的可能性。当网络拥塞时或者网络负载很重时，数据分组可能丢失。 另外，由于语音传输对时间敏感，正常的基于重传策略的传输控制协议( t c p ) 并不适合它。当语音分组丢失超过1 0 时，语音质量就不能为用户所接受。常用 的丢包补偿的方法有以下几种方法】：第一种方法是在所丢失的分组的位置上插 入上一个正确到达的分组。这种方法非常简单，在分组丢失非常小的情况下非 常有效，但对于分组丢失比较严重或者突发性的丢失分组，几乎没有什么作用。 第二种方法就是发送一些冗余信息。这种方法虽然可以有效的进行丢包补偿， 但对带宽提出了更高的要求，必须带宽允许才能行之有效。第三种方法就是将 前面两种方法混合使用，根据网络的情况动态调整。 1 - 3 。3 v p n 对v o l p 应用的制约 由于在实际的应用中，尤其是在企业级的应用中，v p n 环境是一个非常复杂 的系统，不仅包括v p n 设备，而且包括用于保护v p n 设备、防范外来攻击的防火 墙。另外，企业子网可能通过网络地址转换( n a t ) 使用同一个公网i p 地址接入 i n t e r n e t 。在这个复杂的v p n 环境中，传输v o i p 语音流，将会产生一系列的问 题。这些问题主要包括3 】：加密解密增加了网络延迟、v p n 网关的服务策略对网 络延迟的影响、防火墙和网络地址转换( n a t ) 对v o i p 的影响。 1 3 3 1 加密解密对网络延迟的影响 加密解密是一个非常耗费c p u 资源的过程，因而所造成的网络延迟对v o i p 的服务质量影响很大。如何减小加密解密对网络延迟的影响，是一个值得思考的 问题。如果通过减少密钥长度来减小加密解密所耗费的c p u 时间，这虽然可以减 少加密解密所需要的时间，但也降低了密码算法的安全性。因为随着密钥长度 的减少，密码算法的安全性也随之降低。一般而言，使用对称加密算法可以减少 加密解密所耗费的c p u 资源；另外，使用分组加密方式1 1 4 1 优于流式加密方式m ，。 1 3 3 2v p n 网关的服务策略对网络延迟的影响 现有的v p n 网关大多仅仅由于对“数据型”数据流提供安全性保证，并不支 持区分服务。当语音流到达网关进行处理时，按照先来先服务( f c f $ ) 的策略进 行服务】，在数据和语音融合的网络中，必然会影响到语音分组的实时性。尤其 是在网关负载很重的情况下，语音分组的实时性根本就无法得到保证。对v p n 网关上的进行改进，使其支持区分服务，可以在一定的程度上减少语音分组的网 络延迟。 支持v o l p 的i p s e cv p n 网关实现研究 1 3 3 3 防火墙对v o ip 的影响 为了防范外来的入侵和保证通信安全，很多数企业不但使用v p n 而且使用了 防火墙。将v p n 集成在防火墙产品中也是工业上普遍采用的方法。 舫火墙对语音性能有两个方面的影响 13 1 。第一，当防火墙验证外来分组是否 合法时，将会增加语音的延迟；第二，由于现有的防火墙可能不支持某些应用层 协议而造成v o i p 不能正常工作。例如，现有的v o i p 可能是基于h 3 2 3 、h 2 4 8 或者是基于对话初始化协议( s e s s io f li n i t i a t i o np r o t o c o l ，s i p ) 的，如果防 火墙不兼容这些协议，就无法对语音分组进行相应的处理。 1 3 3 4 网络地址转换对v o l p 的影响 网络地址转换用于将内部的私网i p 地址映射成外部公网的i p 地址。n a t 保 护了私网i p 地址的机密性。但是v p n 是对n a t 敏感的。在隧道模式下，t c p u d p 报头是不可见的，无法进行内外i p 地址的转换。就v o i p 而言，v o i p 所采用的 h 3 2 3 协议也封装了内部的i p 地址。传统的n a t 无法识别h 3 2 3 协议，将会使 i p 头的i p 地址和内部的i p 地址相互冲突】。在进行n a t 转换的时候，需要使 n a t 能够识别h 3 2 3 协议。 v o i p 的安全性引起了越来越多的关注。将v o i p 应用到v p n 环境中，还有不 少的技术难题需要克服。 1 4 本文的主要工作 i p s e c 协议是网络层的v p n 解决方案，可以提供数据完整性、数据源的认证、 数据分组加密和封装功能，其安全性和可扩展性均优于p p t p 和l 2 t p 协议，是目 前应用最为普遍的v p n 隧道协议。本文将对i p s e c 协议的体系结构和相关协议进 行详尽的剖析，并对i p s e cv p n 环境下的v 。i pq o s 解决方案进行探讨。 在i p s e cv p n 环境下，对v o i pq o s 影响的最主要因素是对e s p 负载进行加 密、解密所使用的算法。本文针对i p s e c 工作组所默认的对e s p 负载进行加密和 解密的算法3 d e s 进行了替换。在i p s e c 协议中对e s p 负载加密、解密采用a e s 算法代替3 d e s 算法，对a e s 算法在i p s e c 协议栈中的使用进行了探讨。 通用l i n u x 操作系统是基于开放源码的操作系统，其内核可以自由定制， 因此也是我们认为的比较安全的操作系统，我们的支持v o i p 的i p s e cv p n 网关 原型就是基于l i n u x 系统构建的。 另外，本文还对l i f l u x 内核中的流量控制机制以及实现机制进行了详细的 分析和研究，探讨了在l i n u x 平台上构建区分服务的实现机制。 最后，在l i f l u x 环境下搭建实际实验测试环境，设计测试用例，根据实验 结果，对系统性能进行分析和评价。 1 5 论文的基本结构 1 6 小结 第二章 i p s e cv p 环境对v o l p 应用的制约囚素 l i i i p s e m n 赫， 第四章 t p s e c v p n n 关的改进( 二) li 第五章 支持v o l p f f i p s e c v p n 网关原型实现 l 第六章 系统铡试 图1 1 论文基本结构图 本章首先介绍了本课题选题的意义在于保障v o i p 的安全性、拓展v p n 的业 务领域、培育v p n 的新的增值服务增长点，然后概述了v p n 和v o i p 的研究现状， 提出了在v p n 环境下提供v o i p 服务的构想，接着探讨了v p n 环境对v o i p 应用的 影响，最后介绍了本文的主要工作实现一个能够支持v o i p 的i p s e cv p s 网关， 并给出了本篇论文的基本结构。 ：= ：一：= ：一塞丝些竺! 些坠些型墅坠一：= ：= = ：= 一：一 第2 章 i p s e cv p n 网关对v o i p 应用的制约因素 2 1 引言 隧道协议的实现是构建v p n 的关键所在。为保证数据传输的安全性，隧道 协议应该提供数据加密、身份认证、密钥交换和管理等各种安全措施，共同实施 来避免在数据传输过程中遭受各种攻击。目前，实现v p n 的隧道协议主要有：点 对点的隧道协议p p t p 、第二层隧道协议l 2 t p 和i p 安全协议i p s e c 。由于i p s e c 隧道协议作为第三层协议，可以提供数据完整性、数据源身份验证、数据报加密 和封装功能，其安全性和可扩展性均优于p p t p 和l 2 t p ，i e t f 推荐使用i p s e c 协议实现v p n 。本章详细分析了i p s e c 协议的体系结构及其实现机制，进一步指 出了i p s e cv p n 网关对v o i pq o s 的制约因素，并提出了改进方案。 2 2lp s e c 协议体系结构 i p s e c 是一种基于i n t e r n e t 的安全体系结构，在它的规范中包含了大量的文 档，其中最重要的因特网工程任务组( i e t f ) 于1 9 9 8 年1 1 月颁布的一系列规范， 它们是r f c 2 4 0 l 、r f c 2 4 0 2 、r f c 2 4 0 6 、r f c 2 4 0 7 和r f c 2 4 0 8 ： r f c 2 4 0 l ：i p s e c 体系结构概述： r f c 2 4 0 2 ：验证头( a h ) 协议】描述： r f c 2 4 0 6 ：封装安全载荷( e s p ) 协议 17 1 描述： r f c 2 4 0 7 、r f c 2 4 0 8 ：i n t e r n e t 安全关联密钥关联协议( i s a k m p ) 协议】描述。 图21p s e c 安全体系结构 如图2 + 1 ，i p s e c 安全体系结构包括了以下几个方面： 硕士学位论文 i p s e c 体系结构：包括了定义i p s e c 技术的一般性概念、安全需求、定义和机 制。 封装安全载荷( e s p ) ：包括了使用e s p 进行分组加密以及认证处理的相关包 格式以及一般问题。 认证头( a h ) ：包括了使用a h 进行认证处理的相关包格式和处理规则。 加密算法：描述如何将各种加密算法用于e s p 。 认证算法：描述了如何将不同的认证算法用于a h 和e s p 可选的认证选项。 密钥管理( i k e ) ：密钥管理的一组方案，其中i k e 是默认的密钥自动交换协 议。 解释域：密钥协商协议彼此相关各部分的标识符及操作参数。 策略：决定两个实体之问是否能够通信，以及如何进行通信。 其中，策略的核心由三部分组成：安全关联( s e c u r i t ya s s o c i a t i o n ，s a ) 、 安全关联数据库( s ad a t a b a s e ，s a d ) 和安全策略数据库( s e c u r i t yp 0 1 ic y d a t a b a s e ，s p d ) 。安全关联表示了策略实施的具体细节，包括源地址、目的 地址、应用协议、安全参数索引( s e c u r i t yp a r a m e t e ri n d e x ) 、所用的算 法