VoIP技術(shù)發(fā)展新動態(tài)

　　近年來，IP電話（VoIP）一直是通信界和互聯(lián)網(wǎng)界一個共同的熱點話題。VoIP在信息產(chǎn)業(yè)部2003年4月1日起頒布施行的《電信業(yè)務分類目錄》中被定義為“泛指利用IP網(wǎng)絡協(xié)議，通過IP網(wǎng)絡提供或通過電話網(wǎng)絡和IP網(wǎng)絡共同提供的電話業(yè)務”。該規(guī)定還指出，“在此特指由網(wǎng)絡和IP網(wǎng)絡共同提供的Phone-Phone以及PC-Phone的電話業(yè)務，其業(yè)務范圍包括國內(nèi)長途IP電話業(yè)務和國際長途IP電話業(yè)務。IP電話業(yè)務在整個信息傳遞過程中，中間傳輸段采用IP包方式�！�

　　根據(jù)信息產(chǎn)業(yè)部的統(tǒng)計，到2005年8月，VoIP的國內(nèi)長途通話時長超過了850億分鐘，比去年同期增長了17.4%，已經(jīng)接近了固定電話和移動電話國內(nèi)長途通話時長的總和。但現(xiàn)在商用的VoIP技術(shù)并非已經(jīng)成熟，仍然處于快速發(fā)展和變化之中，比如出現(xiàn)了分布式的VoIP實現(xiàn)方式，面臨著如何穿越網(wǎng)絡地址翻譯/防火墻設備以及各種安全威脅和挑戰(zhàn)等。

　　分布式VoIP的興起

　　與所有通信系統(tǒng)一樣，參與VoIP業(yè)務的設備也可以被劃分為網(wǎng)絡側(cè)設備（如服務器、各種網(wǎng)關）和用戶側(cè)設備（如終端）兩類。從VoIP終端側(cè)設備是否參與為其他VoIP提供服務的角度看，可以把VoIP的拓撲結(jié)構(gòu)大致劃分為集中式（只由網(wǎng)絡設備提供服務，終端只是VoIP服務的消費者）和分布式（由網(wǎng)絡設備和終端設備協(xié)同提供VoIP服務）兩類。

　　1.集中式VoIP技術(shù)

　　（1）第一階段：H.323協(xié)議

　　目前全球大多數(shù)商用VoIP網(wǎng)絡都是基于H.323協(xié)議構(gòu)建的。H.323協(xié)議是ITU-T為包交換網(wǎng)絡的多媒體通信系統(tǒng)設計的（目前主要用于VoIP），主要由網(wǎng)關、網(wǎng)守以及后臺認證和計費等支撐系統(tǒng)組成。網(wǎng)關是完成協(xié)議轉(zhuǎn)換和媒體編解碼的主要設備，而網(wǎng)守則是完成網(wǎng)關之間的路由交換、用戶認證和計費的控制層設備。

　　基于H.323協(xié)議的VoIP系統(tǒng)本身就是從電信級網(wǎng)絡的角度出發(fā)設計的，有著傳統(tǒng)電信網(wǎng)的多種優(yōu)點，如易于構(gòu)建大規(guī)模網(wǎng)絡、網(wǎng)絡的可運營可管理性較好、不同廠商設備之間的互通性較好等。然而在實際部署和實施時也遇到了一些問題，比如協(xié)議設計過于復雜、設備成本高、投資建設成本高和協(xié)議擴展較差等問題。

　　（2）第二階段：H.248/MGCP協(xié)議

　　在下一代網(wǎng)絡（NGN）的研究過程中，幾年前出現(xiàn)了所謂的“以軟交換為核心的下一代網(wǎng)絡”的說法。所謂軟交換，其核心思想是控制、承載和業(yè)務分離，采用軟交換做控制，不同媒體網(wǎng)關做媒體處理來提供話音、數(shù)據(jù)、視訊等多媒體業(yè)務（甚至支持移動性）的實現(xiàn)方式。其核心協(xié)議是與媒體相關的控制協(xié)議，主流的協(xié)議是ITU-T制定的H.248和IETF制定的MGCP。

　　軟交換的主要作用是逐步把傳統(tǒng)電話網(wǎng)絡IP化（到目前為止仍然只能提供話音業(yè)務），可以起到承上啟下的作用，但當用戶都以IP方式連接在網(wǎng)絡上的時候，軟交換就完成了其歷史使命，因此軟交換屬于一種VoIP的過渡技術(shù)。

　�。�3）第三階段：SIP/IMS

　　在向NGN的演進過程中，會話初始協(xié)議（SIP）越來越引起業(yè)務的關注，基于該協(xié)議開發(fā)的系統(tǒng)，用戶終端無論在何處接入互聯(lián)網(wǎng)，都可以通過域名找到其歸屬服務器來進行語音和視頻等的通信。自3GPP在R5的IP多媒體子系統(tǒng)（IMS）中宣布以SIP為核心協(xié)議以來，ETSI和ITU-T又在其NGN體系中采用了IMS，使得SIP協(xié)議正在成為人們關注的熱點。

　　SIP協(xié)議本身在消息發(fā)送和處理機制上具有一定的靈活性，使得用SIP協(xié)議可以很方便地實現(xiàn)一些VoIP的補充業(yè)務，比如各種情況下的呼叫前轉(zhuǎn)、呼叫轉(zhuǎn)接、呼叫保持、呈現(xiàn)（Presence）、即時消息等業(yè)務。

　　現(xiàn)在業(yè)界一些企業(yè)和組織，又宣揚所謂的“以IMS為核心的下一代網(wǎng)絡”的說法，這非常值得商榷。NGN是一種融合的網(wǎng)絡，它有沒有“核心”都需要研究和實踐，更何況說什么是“核心”了。

　　2.分布式VoIP

　　近兩年來，以Skype為代表的分布式VoIP開始快速興起，給傳統(tǒng)電信帶來一股強烈的沖擊波。Skype主要提供VoIP及其增值業(yè)務，其推出的軟件和應用包括Skype、SkypeIn、SkypeOut、即時消息、電話會議以及Skype Voice-mail等。但Skype的目標絕不僅僅是為了讓通話費變得更加低廉，未來還將提供視頻和其他許多尚未被開發(fā)出來的通信服務。

　　Skype具有很多特點，比如使用端到端（P2P）技術(shù)對全部用戶的計算機資源進行連接和管理（共享），良好的移動性支持，網(wǎng)絡地址翻譯/防火墻穿越能力和優(yōu)異的語音編解碼質(zhì)量等。這些優(yōu)點在PC2PC工作方式的Skype中得到很好的體現(xiàn)，但在SkypeOut提供的Skype到固定電話或者Skype到手機的通話中音質(zhì)失真嚴重，影響了Skype到固定電話或手機的通話質(zhì)量。

　　當然，Skype也存在一些其他問題。比如其他Skype用戶占用個人計算機上的資源，包括網(wǎng)絡帶寬等，這將使得用戶計算在接收呼叫時發(fā)生延遲。另外，可以利用Skype發(fā)送蠕蟲病毒和其他網(wǎng)絡病毒。這些不可管理性使得Skype只能通過這種免費的方式走向市場。但是無論如何，Skype的理念會給傳統(tǒng)的電信市場帶來突破性的變革，傳統(tǒng)電信運營商決不可忽視其挑戰(zhàn)。

　　VoIP的防火墻/NAT穿越技術(shù)

　　對IP地址資源需求的迅速增加超出了最初預期和設計的32比特（IPv4地址長度）。很多專家學者，尤其是IP標準領域的主導性國際組織IETF一直把IPv6看作是一種長期的IP地址短缺的解決方案，把網(wǎng)絡地址翻譯（NAT）看作是一種中短期的地址短缺解決方案。NAT的大量使用，使得在協(xié)議設計中將IP地址作為通信標志符的VoIP協(xié)議無法正常工作。目前已經(jīng)出現(xiàn)了多種典型的穿越技術(shù)，有些還在發(fā)展中。比較典型的有：

　　·應用網(wǎng)關（ALG：Application Level Gateway）：是最早出現(xiàn)的NAT穿越解決方案，在傳統(tǒng)的NAT上進行協(xié)議擴展，使之具備感知SIP、H.323、H.324和MGCP等VoIP呼叫控制協(xié)議的能力，從而完成呼叫控制協(xié)議的解析和地址翻譯功能。

　　·代理技術(shù)：是為緩解ALG方式所帶來的現(xiàn)有NAT升級困難而出現(xiàn)的，它也是目前中國國內(nèi)比較看好的一種NAT穿越解決方案，已經(jīng)得到ITU-T的支持。

　　·隧道/VPN機制：邏輯上由隧道客戶端和隧道服務器兩部分構(gòu)成，隧道客戶端和隧道服務器通過隧道協(xié)議建立一條隧道，實現(xiàn)信令和媒體流透明穿越NAT。

　　·MIDCOM技術(shù)：是為了解決ALG和代理技術(shù)所共有的可擴展性不強而出現(xiàn)的一種NAT穿越解決方案，采用可信的第三方（MIDCOM Agent）對Middlebox（NAT）進行控制，由MIDCOM Agent控制Middlebox打開和關閉媒體端口。

　　·單邊自我綁定地址（UNISAF： Unilateral Self-Address Fixing）：RFC3424定義的UNSAF技術(shù)，可以讓位于NAT后的一個客戶設法發(fā)現(xiàn)位于NAT公網(wǎng)一側(cè)的該客戶的地址，然后讓應用使用新學習到的地址而不是它自真正的IP地址。這樣做需要在NAT公網(wǎng)一側(cè)增加一個UNSAF服務器，并且修改客戶端，以便讓UNSAF服務器知道如何使用該UNSAF服務器，而真正的應用服務器并不改變，典型的UNSAF技術(shù)包括STUN，TURN等。

　　·服務器做NAT導航（SINN：Server Involvement in NAT Navigation）：修改服務器，改變對應用的真正處理，這種改變可能會違反應用標準本身的規(guī)定。但在某些應用協(xié)議中，SINN技術(shù)允許不改變客戶端或NAT就可以實現(xiàn)NAT的穿越。這種技術(shù)能否使用完全取決于應用層協(xié)議，通常會對客戶端的行國有一個假設。典型應用就是SIP中的會話控制器（SBC）。

　　·協(xié)議擴展：是針對各個信令協(xié)議的特點，在信令消息中增加新的消息參數(shù)，或者對原有的呼叫流程進行改進，使之可以工作在NAT環(huán)境中。該方案的優(yōu)點是無需對現(xiàn)有NAT設備進行改動，缺點是現(xiàn)有的終端和軟交換設備、網(wǎng)守和SIP服務器等控制設備需要同時進行擴展。因此協(xié)議擴展時應重點考慮協(xié)議的向下兼容問題，以保證與示擴展的終端的完整互通性。

　　·IPv6：如果一種穿越技術(shù)需要修改全部的相關部分，那就是IPv6了。

　　VoIP安全問題日益重要

　　隨著VoIP發(fā)展和應用范圍的不斷擴大，VoIP也吸引了黑客、網(wǎng)絡釣魚者和垃圾郵件制造者等的更多注意，導致VoIP的安全問題日益突出。典型的VoIP安全問題主要有：

　　·防病毒與防攻擊：VoIP的網(wǎng)關、網(wǎng)守和終端等設備的安全情況將直接影響到整個VoIP系統(tǒng)的安全。

　　·防盜打：雖然VoIP話機法通過傳統(tǒng)搭線方式來盜打電話，但通過竊取用戶VoIP的登錄密碼同樣能夠獲得IP話機的權(quán)限。

　　·防竊聽：如今多數(shù)VoIP基于實時性的考慮，都不對語音數(shù)據(jù)進行加密，容易被竊聽。

　　·端口掃描：對VoIP系統(tǒng)各個組成部分的拒絕服務（DoS）攻擊，將造成這些設備上操作系統(tǒng)資源被消耗殆盡。任何一個潛在的內(nèi)部黑客可以通過一些工具，獲取VoIP各個組成部分（語音服務器、語音網(wǎng)關、IP話機等）的詳細信息，如IP地址、服務應用的TCP/UDP端口等。

　　·話費欺詐：雖然VoIP話機無法通過并線的方式來打電話，但通過IP網(wǎng)絡管理的漏洞或通過Sniffer等軟件，可以竊取VoIP系統(tǒng)管理的密碼或VoIP話機的登錄密碼，同樣會使非法用戶獲得相應的語音功能和權(quán)限。

　　為此，VoIP工業(yè)界已經(jīng)組成了VoIP安全聯(lián)盟（VoIPSA:VoIP Security Alliance）。VoIPSA主要負責有關VoIP動態(tài)，是一個旨在提高公眾對VoIP安全性和保密性問題的意識的開放性組織，是目前惟一一個專注于VoIP安全性研究和教育的組織。

作者：何寶宏 來源：世界電信 2005.11