С.А. Шерстюков, И.В. Тапехин
доктор технических наук
РАЗРАБОТКА ЭКСПЕРИМЕНТАЛЬНОЙ УСТАНОВКИ ДЛЯ ОЦЕНКИ ЭФФЕКТИВНОСТИ ШИФРОВАНИЯ ТРАФИКА
IP-ТЕЛЕФОНИИ
DEVELOPMENT OF THE EXPERIMENTAL INSTALLATION FOR ESTIMATION OF EFFICIENCY EFFICIENCY OF THE IP-TELEPHONY TRAFICS
В статье исследован процесс создания экспериментальной установки, предназначенной для оценки эффективности шифрования трафика IP-телефонии по протоколам TLS и SRTP. Получены результаты сравнительного анализа пакетов шифрованного и открытого трафиков с учетом требуемой пропускной способности, задержки передачи пакетов и частотных характеристик указанных выше каналов связи.
The article investigates the process of creating an experimental setup designed to evaluate the effectiveness of encrypting IP-telephony traffic over TLS and SRTP protocols. The results of a comparative analysis ofpackets of encrypted and open traffic taking into account the required bandwidth, packet delay and frequency characteristics of the above communication channels are obtained.
Введение. В современных условиях функционирования подразделений МВД России наиболее важным вопросом является обеспечение конфиденциальности информации, передаваемой в интегрированной мультисервисной телекоммуникационной сети (ИМТС), в связи с чем перед подразделениями МВД России поставлена задача обеспечения шифрования передаваемого телефонного трафика. В качестве объекта исследования выбрана современная программная IP АТС Asterisk, распространяемая с открытым программным кодом и способная обеспечить шифрование сигнального и полезного трафика по протоколам TLS и SRTP. Кроме функции шифрования трафика IP АТС Asterisk позволяет обеспечить авторизацию абонентов на основе сертификатов, которые могут быть как сгенерированы встроенным центром сертификации, так и получены из других источников, например, сертификационного центра МВД России [1].
Целью работы является анализ трафика IP-телефонии при осуществлении вызовов и регистрации SIP абонентов с использованием шифрования и без него программным анализатором трафика компьютерных сетей Wireshark 1.10.6. Модель защищенной сети IP-телефонии реализована на базе программной IP АТС Asterisk 14.6.2, установленной на виртуальную машину с ОС Centos 7 minimal, и оконечных устройств — SIP-телефона «Yealink SIP-T25P» и программного телефона Zoiper 3.9.32144, установленного на ОС Windows 10.
Особенности настройки программной IP АТС. Для реализации защищенной сети связи по протоколам TLS и SRTP установлены следующие компоненты программной IP АТС Asterisk:
1) Dahdi (linux, tools) — пакет для подключения аналоговых PCI-плат;
2) Libpri — пакет для подключения PCI-плат потока Е1;
3) Asterisk 14.6.2 — ПО IP ATC Asterisk [3].
Для подключения протокола шифрования поточного трафика необходимо при сборке Asterisk загрузить и добавить пакет «res_srtp», после чего проверяется его работоспособность в командной строке Asterisk CLI с использованием команды «module show like srtp» (рис. 1) [2].
1ЛМУ0*С1Л> nodule show like srtp
dadu le Description Use Coun
t Status Support Level
res_srtp. sa Secure RTP (SRTP) В
Runti ing core
1 modules loaded
Рис. 1. Результат выполнения команды «module show like srtp» в командной строке CLI, свидетельствующий о работоспособности протокола SRTP
После установки Asterisk с модулями шифрования трафика создаётся доверительная авторизация пользователей на сервере за счёт генерирования клиентских и серверных сертификатов на основе секретного ключа центра сертификации в соответствии со схемой, представленной на рис. 2.
Asterisk 14.6.2 IP-Адрес: 10.25.11.100/24 Шлюз:10.25.11.1 Кодек: G.711
Softphone: Zoiper 3.9.32144 и Wireshark 1.10.6 IP-Адрес: 10.25.11.13/24 Шлюз:10.25.11.1 АККАУНТ 1 (TLS/SRTP): «1001» АККАУНТ 2(UDP/RTP): «1003»
Yealink SIP-T21P E2 IP-Адрес: 10.25.11.14/24 Шлюз:10.25.11.1 АККАУНТ 1 (TLS/SRTP): «1002» АККАУНТ 2(UDP/RTP): «1004»
Коммутатор: Juniper-EX3400 Сеть: 10.25.11.0/24
Рис. 2. Схема модели защищенной сети IP-телефонии на базе сервера Asterisk
78
Для генерации сертификатов используется алгоритм асимметричного шифрования, который позволяет получить открытый и закрытый ключи шифрования с расширением «.pem» и «.key» соответственно.
В качестве Центра сертификации (ЦС) использовались встроенные компоненты Asterisk, формирующие самоподписанные сертификаты, которые в дальнейшем, при использовании клиентского сертификата совместно с программным телефоном, установленным на ОС Windows, были добавлены в каталог «Доверенные центры сертификации» (рис. 3).
Рис. 3. Добавление клиентского сертификата в «Доверенные центры сертификации
Windows»
Для генерации сертификатов в Asterisk предусмотрен скрипт /asterisk-14.6.2/contrib/scripts/ast_tls_cert, в котором можно установить срок действия генерируемого сертификата, в данном случае — на 365 дней. Серверный сертификат генерируется с привязкой к IP-адресу или доменному имени сервера, используя команду
./asttlscert -C VIMVD -O "VIMVD" -d/home/Asterisk/key, где С — доменное имя или IP-адрес сервера;
O — название организации (может быть произвольным); d — каталог для хранения ключей и сертификатов сервера.
В процессе выполнения вышеуказанного скрипта необходимо ввести значения секретного и открытого ключа, например «12345678» и «87654321» соответственно. Аналогичные компоненты вводятся при генерации клиентских сертификатов.
Для генерации клиентских компонентов на примере абонента 1001 используется следующая команда:
./ast tls cert -m client -c /home/Asterisk/key/ca.crt -k/home/Asterisk/key/ca.key -C 10.25.11.13 -O "VIMVD" -d/home/Asterisk/key/client -o 1001, где m — обозначает, что это абонентский сертификат и ключи шифрования; с — указывает место расположения файла са.а!; k — указывает место расположения файла са.key; C — IP-адрес абонентского устройства;
d — каталог, в который будут помещены сгенерированные сертификаты и ключи шифрования;
о — название файлов ключей шифрования и сертификатов.
После выполнения вышеуказанных команд в папках назначения (key и client) должны появиться файлы сертификатов, а также открытые и закрытые ключи шифрования, показанные в табл. 1.
Таблица 1
Значения файлов, полученных при генерации клиентских и серверных компонентов
шифрования
Название файла Пояснение
Asterisk.srt Сертификат сервера
Asterisk.key Закрытый ключ шифрования сервера
Asterisk.pem Открытый ключ шифрования сервера
Ca.key Секретный ключ центра сертификации
Ca.crt Сертификат центра сертификации
1001.pem Закрытый ключ шифрования пользователя 1001
1001.key Открытый ключ шифрования пользователя 1001
1001.crt Сертификат сервера на основе ca.crt и ca.key
1002.pem Закрытый ключ шифрования пользователя 1002
1002.key Открытый ключ шифрования пользователя 1002
1002.crt Сертификат сервера на основе ca.crt и ca.key
Для работы абонентов 1001 и 1002 по протоколам TLS и SRTP в конфигурационном файле sip.conf в глобальных параметрах (контекст «general») указываются параметры, представленные в табл. 2.
Таблица 2
Параметры в контексте general конфигурационного файла sip.conf для работы по протоколу TLS
Название команды Пояснение
Глобальный контекст [General]
tlscafile=/home/Aster-isk/key/ca.crt Файл для идентификации клиентского ключа на сервере
tlscertfile=/home/As-teriks/key/asterisk.pem Открытый ключ сервера
tlsenable=yes Разрешить использование ^
tlsbindaddr=0.0.0.0:5061 Разрешить ^ трафик через порт 5061 с любого ip-адреса
tlscli entmethod=tlsv1 Выбрать версию протокола ^
tlscipher=ALL Принимать все виды шифрования
media encryption Выбрать тип шифрования sdes/dtls
Контекст пользователя [1001]
Type=friend Возможность осуществлять двухстороннюю связь
Host=dynamic Ш-адрес оконечного устройства для авторизации в данном контексте (любой)
Username=1001 Имя пользователя для авторизации на сервере
Secret=123456 Пароль для авторизации на сервере
Context=1 Контекст правила вызова в конфигурационном файле extensions.conf
Transport=tls Исользовать транспортный протокол TLS
Enscryption=yes Разрешить шифрование трафика по протоколу SRTP
Для осуществления звонков в конфигурационном файле extensions.conf настраиваются правила вызовов абонентов с включением сервиса записи телефонных переговоров (MixMonitor) в каталог /home/zapis/ (рис. 4).
[11
include-obshiy [obsli ig ]
exten = >_XXXXj l,Set(zapis=${ID> !$ {STUFT I ME (${ EPOCH >,, У.Л . y.tn. xY иН:яМ)>
iCALLERID(number)>-SiEXTEH>) exten=>_XXXX,n,Mixtion itor (/home/zap is/zap is${zapis>.uau) exten=>_XXXX,n.Dial(S 1P/${EXTEH>,3B,mt)
Рис. 4. Правило осуществления вызова в конфигурационном файле extensions.conf с использованием сервиса записи телефонных переговоров
Программирование SIP-телефона Yealink SIP-T25P осуществляется стандартно через Web-интерфейс и IP-адрес устройства, который предварительно назначается с использованием внешнего интерфейса телефона.
Для анализа трафика шифрованного и открытого канала связи на вышеуказанном телефонном аппарате в соответствии со схемой, представленной на рис. 2, были созданы два аккаунта абонентов:
1) 1002 — для работы по протоколам TLS/SRTP;
2) 1004 — для работы по протоколам UDP/RTP.
Рассмотрим программирование аккаунта абонента 1002. Принцип администрирования абонента 1004 аналогичен абоненту 1002, за исключением активации элементов шифрования и авторизации на сервере с использованием сертификатов.
Для работы абонента 1002 по закрытому каналу связи необходимо указать параметры, представленные на рис. 5, при этом ключевыми элементами шифрования трафика являются: выбор в качестве транспортного протокола TLS и обращение на сервер 10.25.11.100 по порту 5061. В расширенных настройках в значении параметра enscription (SRTP) устанавливается значение «обязательно».
Для доверенной авторизации пользователя 1002 на сервере в настройках безопасности необходимо загрузить в телефон открытые ключи серверного и клиентского сертификатов, как показано на рис. 6, предварительно установив точное время и дату на телефонном аппарате. В противном случае сертификат может восприниматься как просроченный и устройство на сервере не авторизуется.
81
Аккаунт
| Аккаунт 2
Статус регистрации
Аккаунт
Лейбл
Отображаемое имя Имя регистрации Имя пользователя Пароль
Использовать Outbound-сервер
Outbound-сервер
Транспорт
NAT
STUN-сервер SIP-сервер 1
Адрес SIP-сервера
Зарегистрирован
Включено
1004
1004
1004
Выключено
UDP
Выключено
Порт
5060
Порт
3478
10.25.11.100
Порт 5060
Рис. 5. Параметры аккаунтов абонентов 1002 и 1004 SIP-телефона Yealink SIP-T25P 82
Программный телефон Zoiper программируется с использованием пользовательского интерфейса программы телефона в соответствии со схемой, представленной на рис. 2. Создадим аккаунты для абонентов:
1) 1001 — для работы по протоколам TLS/STRP;
2) 1003 — для работы по протоколам UDP/RTP.
Рис. 6. Загрузка серверного и клиентского сертификатов абонента 1002 в SIP-телефон Yealink SIP-P25T
Принцип программирования данного программного телефона аналогичен процессу программирования SIP-телефона, рассмотренного ранее. Аналогичным образом задаются параметры авторизации абонентов на сервере Asterisk и указываются транспортные протоколы, как показано на рис. 7. Клиентский сертификат подгружается и функционирует непосредственно из ОС Windows, поэтому необходимо убедиться, что он определен в «доверенные» на уровне ОС, как показано на рис. 3.
Добавление открытых ключей серверного и клиентского сертификатов осуществляется по вкладке «Security», как показано на рис. 8. Основное требование взаимодействия клиента и сервера заключается в идентичности алгоритма шифрования, в нашем случае TLSv1, как показано на рис. 8 для клиента и в табл. 2 для сервера.
В результате выполненных настроек реализуется модель защищенной сети телефонной связи на базе сервера Asterisk с применением сервиса доверенной авторизации оконечных устройств на основе сертификатов.
General Extra Codec Advanced
Настройки SIP аккаунта За регист рирова н
Пароль :
Caller ID имя : | |
General Extra Codec Advanced
Расширенные настройки аккаунта
Срок регистрации : V Enable ZRTP
Keep alive time-out: Disable |H
^ RFC-3265 BLF В Подписка на прису... Щ1 Публиковать присут..
V^ Использовать rport TIS транспорт
V Использовать rport "TIS и SDES SRTP
■ RFC-3264 SDP Глобальный STUN
TLS client certificate
Certificate file Use certificate as: Use certificate
Codec Advanced
Настройки SIP аккаунта
Caller ID имя I
General Exira
Расширенные настройки аккаунта
Зарегистрирован
Срок регистрам : Я Enat)!e ZRTP
Keep alve time-out: Disable | |
I RFC-3265 BLF V Подписка на прису... V Публшоеагть присут.
Отсылать KPML
DTMF RFC-2833
Использовать rport UDP транспорт
Использовать rport US без SRTP
RFC-3264 SOP Глобальный STUN
Рис. 7. Настройка параметров абонентов 1001 и 1003 программного IP-телефона Zoiper
по протоколу SIP
Provision Network
Security Diagnostic
TLS options
Extra CA Certificates (РВЧ) |
V Override domain name ^ Load domain certificate
1 1 Use only strong ciphers
Disable certificate verification DANGEROUS! DO NOT USE!
Protocol aite: TLSvl
Рис. 8. Добавление клиентского и серверного открытого ключей в программный Ш-телефон Zoiper
Шифрование сетевого трафика. Для анализа полученной сети связи, показанной на рис. 2, воспользуемся программным анализатором трафика компьютерных сетей Wireshark. Проанализируем трафик по следующим параметрам:
1) защищенность передаваемого сигнального и полезного трафика IP-телефонии при использовании шифрования и без него;
2) джиттер передаваемых пакетов.
Для оценки степени защищенности канала связи произведена аннотация структуры пакетов, перехваченных при осуществлении регистрации абонентов и при осуществлении вызова для шифрованного и открытого трафиков.
Регистрация абонентов на сервере осуществляется по протоколу SIP. С использованием программы Wireshark проанализируем структуру пакетов IP-телефонии, как показано на рис. 9, на наличие информации, которую можно использовать для несанкционированного перехвата сетевого трафика.
4 1.410101000 1025,11,10010.25.11,13 SIP672 Request: OPTIONS sip:[email protected],11,13:5060;rinstance=9fc87ffc5731f44b,-transport=UDP
Frame 4: 672 bytes or wire (5376 bits), 672 bytes captured (5376 bits) on interface 0 Ethernet II, Src: CadmusCoJ6;2i:71 (03:00:27:36:28:71), Dst: Corapalln_b0:f8:51 (b8:88:e3:bO:f8:5i; Internet Protocol Version 4, src; 10.25.11.100 (10.25.11.100), Dst: 10.25.11.13 (10.25.11.13) User Datagram Protocol, Src Port: sip (5060), Dst Port: sip (5060) Session initiation Protocol (options)
a Request-Line: options sip:1003W0.25.11.13:5060;rinstance=9fc87ffc5731f44b;transporWJDP sip/2.0 a Message Header
Session Initiation Protocol (SIP as raw text) OPTIONS sip:1003W0.25.11.13:5060; rinstance=9fc87ffc5731f44b; transports SIP/2.0\r\n Via; SIP/2.0/UDP 10,25.11,100:5060;branch=z9hG4bK04d37e8a\r\n wax-Forwards: 70\r\n
From: "asterisk" <sip:asteriskW0.25.11,100>;tag-as2e34a7ae\r\n To; <sip:1003(il0.25.11.13:5060;rinstance-9fc87ffc5731f44b;transport-UDP>\r\n contact: <sip: asteri s№10.2 5.11.100:5060>\r\n Call-ID: 0c7250f01ea879e64bd5bcb840f9589e^l0.25.11.100:5060\r\n CSeq: 102 0PTI0NS\r\n user-Aoent: Asterisk pbx I4,6.2\r\n
Рис. 9. Информация, содержащаяся в пакетах протокола SIP, захваченных программой Wireshark при регистрации абонента 1001 на сервере Asterisk
Из рис. 9 видно, что было перехвачено 10 сообщений протокола SIP при регистрации абонента «1003» на сервере Asterisk. Декодировав данный протокол, а также протоколы транспортного уровня, была получена следующая информация:
1) MAC и IP-адреса интерфейсов, участвующих в обмене трафиком;
2) номер абонента, транспортный протокол и порт для передачи и приема трафика;
3) регистрационная информация сервера;
4) версия и модель используемой АТС.
Данную информацию можно использовать как для несанкционированного воздействия непосредственно на сервер Asterisk, так и для создания ложного пользователя, у которого появляется возможность осуществлять перехват и декодирование пакетов со служебной информацией (рис. 10).
SIP stats (10 packets)
(O resent packets)
Informational SIP Ixx
Success SIP 2xx SIP 200 OK 2
Redirection SIP Ixx
Client errors SIP 4xx
SIP 401 Unauthorised 4
SIP 404 Not Found 1
SIP 4S9 Bad Event 2
Server errors SIP 5и Global failures SIP 6xx
List of request methods OPTIONS : 1 packets
Рис. 10. Временной вид речевого сигнала, полученного при декодировании пакетов
протокола RTP в программе Wireshark
При использовании шифрования сигнальный трафик, включая сообщения SIP и поточный RTP трафик, передаются в зашифрованном виде, используя протоколы TLS и SRTP. При регистрации абонентов на основе сертификатов и использования шифрования TLS, как показано на рис. 11, вся информация, требуемая «ложному» пользователю для воздействия на сервер, шифруется, за исключением информации о MAC- и IP-адресах оконечных устройств (рис. 12).
a Fraie 13: 752 bytes on wire (6016 bits), 752 bytes captured (6016 bits) on interface 0
t Ethernet II, Src: CadmusCo_36:28:71 (08:00:27:36:28:71), Dst: ConipalIn_bO:fS:51 (b8:88:e3:b0:f8:51) . Internet Protocol Version 4, src: 10.25.11.100 (10.25.11.100), Dst: 10.25.11.13 (10.25.11.13) » Transmission Control Protocol, src Port; s1p-tls (5061), Dst Port; 54703 (54703), Seq; 2585, Ack; 3321, ten: 69! - Secure sockets Layer E) TLSvl Record Layer; Application Data Protocol: slp.tcp Content Type: Application Data (23) version; TLS 1.0 (0*0301) Length: 32
Encrypted Application Data: 4ab96ab9f283049d3c9a7911beaee0246200a439480887b2... H TLSvl Record Layer; Application Data Protocol: slp.tcp Content Type: Application Data (23) version: tls 1.0 (0*0301) Length: 656
Encrypted Application Data: ef6afca94edc7l78992fe025f451eba5fe5bl2fle5e3c2f2...
SIP stats (O packets) (O resent packets) Informational SIP 1xx Success SIP 2xx
Redirection SIP 3xx Client errors SIP Axx Server errors SIP Sxx Global fa,lures SIP 6not -
List of request methods
Рис. 11. Информация которая содержится в пакетах TLS, захваченных программой Wireshark при регистрации абонента 1001 на сервере Asterisk
При попытке «ложным» абонентом декодировать передаваемый SRTP трафик с использованием программы Wireshark по протоколу RTP на выходе исполнительного устройства будет прослушиваться звуковой сигнал в виде шума (рис. 12).
Рис. 12. Временной вид речевого сигнала, полученного при декодировании пакетов
протокола SRTP в программе Wireshark
Способы анализа сетевого трафика. Проанализируем трафик при осуществлении вызова по закрытому каналу связи по протоколам TLS/SRTP и открытому каналу связи с использованием стандартных транспортных протоколов.
Для анализа параметров трафика выполнено 5 тестовых звонков продолжительностью 90 секунд по открытому и закрытому каналам связи (рис. 13).
LrootaVIMVD zapis|09.06. zapis109.06. zapis|09.06. zapis|09.06. zapis109.06. zapis109.06. zapis|09.06. zapis109.06. zapis109.06. zapis|09.06. zapis109.06. zapis109.06. zapis|09.06. zapis109.06. zapis109.06. zapis¡11.06. zapis|12.11.
zapn s 2018 lO 2018 10 2018 10 2018 10 2018 10 2018 10 2018 11 2018 11 2018 11 2018 12 2018 13 2018 13 2018 13 2018 13 2018 13 2018 10 2017 20
Is
22-1002 23 1002 33-1002 42-1002 52 1004 56-1004 03-1004 06 1003
07-1003 38-1004 18 1004 23-1004 25-1004 29 1004 49-1004
08-1002 46 1001
1001.wav 1001.wav 1001.wav 1001.wav 1003.wav 1003.wav
1003.wav
1004.wav 1004.wav 1001.wav 1001.wav 1001.wav 1001.wav 1001.wav 1001.wav 1001.wav 1001.wav
.11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017 .11.2017
-1001.wav
1001.wav -1002.wav -1001.wav
1002. wav -1001.wav -1002.wav
1001.wav -1002.wav -1001.wav
1002. wav -1001.wav -1002.wav
1002.wav -1001.wav -1001.wav
1001.wav
Рис. 13. Тестовые вызовы для анализа шифрованного и открытого трафиков
в программе Wireshark
Результаты анализа полученного трафика для открытого и закрытого каналов приведены в табл. 3 и табл. 4 соответственно.
Таблица 3
Значения параметров трафика, полученные при анализе открытого канала связи в режиме «точка-точка» с использованием Wireshark
№ теста
1 2 3 4 5
Параметр
max jitter ms 1,13 0,96 1,14 0,67 0,75
min jitter ms 0,21 0,22 0,21 0,4 0,41
max delta ms 28,11 25,73 28,11 21,47 21,76
max kbyte/sec 25 23,5 23 24,5 23,5
max kbite/sec 250 178 178 180 175
packet/sec 100 100 100 110 100
Таблица 4
Значения параметров трафика, полученные при анализе закрытого канала связи в режиме «точка-точка» с использованием Wireshark
теста Параметр^^ 1 2 3 4 5
max jitter ms 1,23 1,24 1,02 1,45 0,89
min jitter ms 0,23 0,24 0,39 0,39 0,4
max delta ms 26,38 27,9 21,41 29,58 24,85
max kbyte/sec 25 25 27 30 30
max kbite/sec 200 210 192 190 240
packet/sec 110 110 110 110 120
Проведём анализ задержки пакетов в сети передачи данных (jitter) и полосы пропускания, необходимой для обслуживания трафика, чувствительного к задержкам. Для открытого и закрытого каналов связи построены графики изменения jitter для вышеуказанных каналов связи на основе результатов, приведенных в табл. 3 и табл. 4 соответственно (рис. 14).
Из графика, изображенного на рис. 14, однозначно определить преимущество использования конкретного канала связи по значению jitter не представляется возможным, но в тестах под номерами 1, 2 и 4 можно наблюдать незначительные возрастания задержки пакетов закрытого канала связи по отношению к открытому.
Для более детального анализа пропускной способности каналов связи определим значения показателей jitter: рассчитаем значения математического ожидания, измеряемого в секундах по формуле 1, дисперсии задержки сигнала, измеряемой в секундах в квадрате по формуле 2, и среднеквадратического отклонения (СКО), измеряемого в секундах по формуле 3. При этом, исходя из того, что вероятности появления случайных величин равны, возьмем значение p для каждой случайной величины равное 0,2.
Jitter
1 2 3 4 5
Открытый канал Закрытый канал
Рис. 14. График изменения jitter для 5 экспериментов для закрытого и открытого каналов связи
0.0016
0.0014
0.0012
0.001
0.0008
0.0006
0.0004
0.0002
0
M = zf==iVp, (1)
где x — значение случайной величины приведенные в таблицах 1 и 2; p — вероятность появления случайной величины.
D=£f==i5(x;-M)2-p. (2)
ско = vdt (3)
Результаты расчетов вероятностных параметров jitter приведены в таблице 5.
Таблица 5
Значения статистических параметров jitter открытого и закрытого каналов связи
Открытый канал Закрытый канал
M, мc 0,93 1,2
D, мкс2 370 400
СКО, мс 0,192 0,2
Исходя из результатов измерений, приведенных в табл. 5, можно сделать следующие выводы:
1) задержка доставки пакетов возрастает незначительно при использовании шифрования TLS/SRTP на 0,27 мс (это происходит за счёт использовании шифрования);
2) СКО в данном случае для обоих каналов связи являются равными, следовательно, если принимать данное значение равным 0,2, то можно сделать вывод о том, что максимальная разница задержки для открытого и закрытого каналов составляет максимум 0,67 мс.
Это означает, что использование шифрования незначительно влияет на задержку пакетов в канале связи, при этом необходимо принять во внимание рекомендацию ITU-T G.114, в которой сказано, что максимально допустимая задержка в канале связи, при которой можно разобрать речь абонента, составляет 250 мс [4].
Для оценки пропускной способности на сеть связи проанализируем график, изображенный на рис. 15, построенный на основе данных, приведенных в табл. 3 для открытого и табл. 4 закрытого канала связи.
Требуемая пропускная способность
300 -¡i 200 100 0
2 3 4
№ опыта
■ Открытый канал
■Закрытый канал
Рис. 15. График изменения пропускной способности в количестве 5 экспериментов для закрытого и открытого каналов связи
1
5
Из графика, показанного на рис. 15, видно, что так же, как в случае с jitter, однозначно определить разницу значений пропускной способности, требуемой для передачи VoIP трафика по открытому и закрытому каналам связи, невозможно из-за небольшой разницы в показателях. Для оценки избыточности нагрузки на сеть со стороны закрытого канала связи по сравнению с открытым рассчитаем значения математического ожидания, измеряемого в с, по формуле 1, дисперсии измеряемой в с2, по формуле 2 и СКО, измеряемого в с, по формуле 3. Результаты расчетов занесены в табл. 6.
Таблица 6
Значения статистических параметров пропускной способности _открытого и закрытого каналов связи_
Открытый канал Закрытый канал
M, кбит/с 192,2 206,4
D, кбит/с2 181,76 331,84
СКО, кбит/с 13,48 18,2
Из результатов расчета статистических параметров каналов связи, приведенных в табл. 6, можно сделать вывод о том, что, исходя из полученных значений, закрытый канал связи занимает более широкую полосу пропускания по сравнению с открытым на 14,2 кбит/с, но, принимая во внимание значение СКО, максимальная разница может составлять 45,88 кбит/с, что при увеличении количества звонков во время наибольшей нагрузки может оказать существенное влияние на пропускную способность канала связи.
При анализе спектров открытого и закрытого каналов связи использовались следующие параметры программного спектрального анализатора:
1) шаг дискретизации 44 кГц;
2) 16 бит/с квантование сигнала;
3) рассматривались вариации спектра сигнала 1/3 октавы для открытого канала и 1/24 октавы для закрытого канала.
Для анализа спектра закрытого и открытого канала связи в процессе сеанса связи в режиме «точка-точка» использована программа Spectrum Analyzer pro Live, в которой были получены спектры открытого канала связи, изображенного на рис. 16, и закрытого канала связи — на рис. 17.
Заключение. Из анализа спектра на рис. 16 следует, что ширина спектра открытого канала составляет не более 5 кГц, а при анализе спектра закрытого канала, изображенного на рис. 17, видно, что амплитуда сигнала равномерно распределена по всей ширине спектра, которая для шифрованного сигнала в данном случае не превышает 6 кГц.
На рис. 18 и рис. 19 приведены огибающие АЧХ вызова по открытому и закрытому каналам соответственно. Из рис. 18 следует, что спектр сигнала открытого канала связи находится в пределах до 5 кГц с максимальным значением амплитуды -20 дБ, в то время как спектр сигнала закрытого канала связи не превышает 6,3 кГц. Из рис. 19 следует, что до отметки в 4 кГц спектр сигнала по закрытому каналу имеет постоянное значение амплитуды сигнала, равное -25 дБ, после чего спектр начинает убывать по экспоненциальному закону. Данное наблюдение свидетельствует о том, что избыточность спектра шифрованного сигнала составляет приблизительно 1,3 кГц и объясняется неравномерностью АЧХ и большим значением амплитуды сигнала шифрованного канала связи.
HfflNBMH
■l ...........1 I I i I I ) I I I I I I I I I
r—_____ ьь»
Рис. 16. Спектр сигнала открытого канала связи, полученный с использованием программы Spectrum Analyzer pro Live
Рис. 17. Спектр сигнала закрытого канала связи, полученный с использованием программы Spectrum Analyzer pro Live
Рис. 18. Огибающая АЧХ вызова по открытому каналу
Рис. 19. Огибающая АЧХ вызова по закрытому каналу
Таким образом, повышение защищённости ^-телефонной сети значительно влияет на пропускную способность канала связи и повышает задержку в канале связи за счёт процедуры шифрования трафика.
ЛИТЕРАТУРА
1. Гольдштейн А. Б., Гольдштейн Б. С. Softswitch. — Санкт-Петербург : БХВ, 2006. — 368 с.
2. Колисниченко Д. Н. Серверное применение Linux. — 3-е изд., — Санкт-Петербург : БХВ-Петербург, 2011. — 528 с.
3. Меггелен Дж., Мадсен Л. Asterisk: будущее телефонии. — 2-е изд., — Санкт-Петербург : Символ-Плюс, 2009. — 992 с.
4. ITU-T G.114. International telephone connections and circuits — General Recommendations on the transmission quality for an entire international telephone connection. — Введ. 2003-05, 2005. — 12 с.
REFERENCES
1. Goldshteyn A. B., Goldshteyn B. S. Softswitch. — Sankt-Peterburg : BHV, 2006. — 368 s.
2. Kolisnichenko D. N. Servernoe primenenie Linux. — 3-e izd. — Sankt-Peterburg : BHV-Peterburg, 2011. — 528 s.
3. Meggelen Dzh., Madsen L. Asterisk: buduschee telefonii. — 2-e izd. — Sankt-Pe-terburg : Simvol-Plyus, 2009. — 992 s.
4. ITU-T G.114. International telephone connections and circuits — General Recommendations on the transmission quality for an entire international telephone connection. — Vved. 2003-05, 2005. — 12 s.
СВЕДЕНИЯ ОБ АВТОРАХ
Шерстюков Сергей Анатольевич. Профессор кафедры инфокоммуникационных систем и технологий. Доктор технических наук, доцент.
Воронежский институт МВД России. E-mail: [email protected]
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. 8-910-345-33-15.
Тапехин Иван Викторович. Слушатель. Воронежский институт МВД России. E-mail: [email protected].
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. 8-962-482-06-51.
Sherstyukov Sergey Anatolievich. Professor of the chair of Infocommunication Systems and Technologies. Doctor of Technical Sciences, Associate Professor.
Voronesh Institute of the Ministry of the Interior of Russia. E-mail [email protected]
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. 8-910-345-33-15.
Tapekhin Ivan Viktorovich. Listener.
Voronesh Institute of the Ministry of the Interior of Russia.
E-mail: [email protected].
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. 8-962-482-06-51.
Ключевые слова: IP-телефония; SIP, задержка пакетов; пропускная способность; Asterisk; шифрование трафика; открытый канал связи; закрытый канал связи.
Keywords: packet delay; bandwidth; Asterisk; traffic encryption; open communication channel; closed communication channel.
УДК 621.395.91
ОГО ИНСТИТУТА МВД РОССИИ
Шерстюков С. А. IP-телефония и видеосвязь в органах внутренних дел Российской Федерации : учебное пособие. — Воронеж : Воронежский институт МВД России, 2018. — 230 с.
Рассматриваются принципы построения сетей IP-телефонии, транспортные технологии пакетной коммутации, принципы передачи речи по IP-сетям, протоколы TCP, UDP, RTP и RTCP. Учебное пособие предназначено для курсантов и слушателей, обучающихся по специальностям 210701.65 — Инфокоммуникационные технологии и системы специальной связи и 11.05.02 — Специальные радиотехнические системы, для сотрудников подразделений связи, обеспечивающих управление и работоспособность единой системы информационно-аналитического обеспечения деятельности МВД России.
ИЗДАНИЯ ВОРОНЕЖСК