Výukový program: ICT a elektrotechnika pro praxi
Modul 3: Sítě nových generací
Miroslav Vozňák Filip Řezáč
2011
© Miroslav Vozňák a Filip Řezáč, 2011 Fakulta elektrotechniky a informatiky Vysoká škola báňská – Technická univerzita Ostrava 17. listopadu 15, 708 00 Ostrava Poruba
Výukový program: ICT a elektrotechnika pro praxi Modul 3: Sítě nových generací
Název: Sítě nových generací Autor: Miroslav Vozňák, Filip Řezáč Vydání: první Místo a rok vydání: Ostrava, 2011 Vydavatel: VŠB – Technická univerzita Ostrava Počet stran: 55
Neprodejné
2
PŘEDMLUVA Publikace Sítě nových generací pokrývá důležité oblasti nových komunikačních systémů. Úvodní kapitola se zabývá architekturou a službami NGN (Next Generation Network), jsou definovány úkoly jednotlivých vrstev a popsána filozofie nové generace komunikačních systémů. Prvním standardizovaným systémem, který vyhověl definici sítě nových generací je standard IMS (IP Multimedia Subsystem a je mu věnována druhá kapitola). Další kapitola obsahuje zpracovává oblast hodnocení kvality řeči v IMS a důraz je především kladen na neintrusivní způsob výpočtu kvality řeči, tzv. E-model. Poslední kapitola je věnována bezpečnostních aspektům sítí nové generace. Jelikož nosnou transportní sítí NGN je paketová síť s IP protokolem, tak je toto téma značně rozsáhlé a tento modul zůstává pouze v aplikační rovině. Tato publikace navazuje na předchozí dva výukové texty, a to jednak “Bezpečnost v komunikacích” rozšiřující oblast bezpečnosti a jednak „Voice over IP” obsahující popis púrotokolů a konfigurace VoIP systémů. Na publikaci se podíleli Miroslav Vozňák a Filip Řezáč. Prvně uvedený je garantem publikace a je na pozici docenta na Fakultě elektotechniky a informatiky VŠB-Technické univerzity v Ostravě. Filip Řezáč je asistentem na stejné fakultě, oba autoři působí na Katedře telekomunikační techniky. Poděkování za pomoc při realizaci publikace patří Martinu Tomešovi, který se jako student Fakulty elektrotechniky a informatiky v Ostravě podílel na tvorbě obrázků publikace.
Miroslav Vozňák a Filip Řezáč V Ostravě, Březen 2011
3
OBSAH 1 Sítě nové generace 1.1
5
Architektura NGN
5
1.1.1 Přístupová úroveň
6
1.1.2 Transportní úroveň
7
1.1.3 Řídící úroveň
8
1.2 Služby NGN
9
1.2.1 ITU-T H.323
10
1.2.2 IETF SIP
12
1.2.3 MGCP a Megaco/H.248
13
2 IP Media Subsystem
16
2.1 Koncept IMS
17
2.2 Funkce SIP Proxy v IMS
17
2.3 Aspekty nasazení IMS
19
2.4 Protokol Diameter
19
3 Kvalita řeči v IMS
21
3.1 Metodiky pozusování kvality řeči
21
3.1.1 Subjektivní metody hodnocení
22
3.1.2 Objektivní metody hodnocení
23
3.2 E-model
30
3.2.1 Parametry výpočtu E-modelem
31
3.2.2 Výpočet E-modelu
35
3.2.3 Přepočet hodnoty R na MOS
39
4 Bezpečnost v IMS
41
4.1 Protokol DIAMETER
41
4.2 Techniky zabezpečení signalizačních protokolů
44
4.2.1 SIP
44
4.2.2 MGCP, Megaco
50
4.3 Techniky zabezpečení transportních protokolů
50
5 Literatura
51
6 Rejstřík
54
4
1
Sítě nové generace
Ve druhé polovině devadesátých let začala vznikat koncepce sítě nové generace NGN (Next Generation Network), která byla postavena na myšlence oddělení transportní úrovně telekomunikačních sítí a orientace na technologie s přepojováním zpráv a garancí QoS. Možnost přenášet různé služby v jediné transportní síti s garantovanou kvalitou je pochopitelně efektivnější než provozování separátních sítí pro rozdílné služby. Největší šanci na úspěch měla technologie ATM, ale v dalších letech bylo zřejmé, že propracovanost ATM se příliš odrazila v ceně a flexibilitě, což mělo fatální důsledky na její reálné použití. První systém NGN je IMS (IP Multimedia Subsystem), který byl specifikován koncem roku 2006 studijní skupinou SG 13 v ITU-T Y.2021 (IMS for Next Generation Networks).
Obr.1.1. Oddělení služeb a přenosu v NGN dle ITU-T Y.2011
1.1 Architektura NGN I přes snahu integrovat služby v jedné síti (ISDN) byl v devadesátých letech nepřehlédnutelný trend odděleného vývoje datových sítí. S raketovým rozvojem Internetu bylo koncem 20 st. zřejmé, že počet uživatelů Internetu (4 mld. v roce 2008) jednou překročí počet uživatelů telefonních linek (1,5 mld. v roce 2008) a hlas by měl proto být integrován jako služba v sítích paketově orientovaných. Navzdory revolučním vizím některých společností (např. Cisco Systems) se v praxi ukázala potřeba
5
postupné evoluce, která znamenala dalších deset let práce na standardech a až dnes dochází k masovému nasazování NGN. Byla vyvinuta řada signalizačních protokolů, z nichž se v NGN používají SIP, H.323, MGCP, Megaco/H.248 a Sigtran. Architekturu NGN lze rozdělit do několika logických vrstev – úrovní, viz. obr. 1.2. Následuje význam zkratek uvedených ve schématu této architektury: •
AGW Access Gateway, AN Access Network, IAD Integrated Access Gateway,
•
LMG Line Media Gateway, MGC Media Gateway Controller, MS Media Server,
•
OSS Operation Support Systems,SG Signaling Gateway,SCP Service Control Point
•
TMG Trunk Media Gateway, SBC Session Border Controller.
1.1.1
Přístupová úroveň
Přístupová úroveň (Access Layer) NGN architektury obsahuje následující funkce: •
připojení účastníků (Legacy/IP),
•
přístupových sítí a pobočkových ústředen (AN/PBX),
•
propojení s tel. sítí pevnou a mobilní (PSTN a PLMN).
•
zajišťuje konverzi mezi sítěmi s přepínáním paketů a propojováním okruhů
Prvky na přístupové úrovni jsou: •
IP koncová zařízení jako H.323 a SIP telefony či IP PBX (připojené přes SIP nebo H.323 trunk),
•
IAD Integrated Access Device je prvek, který poskytuje přístup účastníkům na ADSL/ IPtelefon, analog,
•
AGW Access Gateway poskytuje přístup pro analogové účastníky, ISDN, přístupové sítě V5 a ISDN PBX,
6
Obr.1.2. Architektura NGN •
SG Signaling Gateway zabezpečuje signalizační rozhraní mezi IP sítí a SS7 signalizační sítí,
•
TMG Trunk Media Gateway zabezpečuje konverzi hlasu pro přenos v IP síti (RTP protokol) a v PSTN/PLMN (PCM), prvek může být integrován v jednom zařízení společně s SG.
1.1.2
Transportní úroveň
Na transportní úrovni by měla NGN nabídnout: •
vysokou spolehlivost,
•
propustnost (kapacitu),
•
a garanci QoS.
Prvek SBC (Session Border Controller) je hraniční prvek, který poskytuje: •
bezpečné propojení signalizací i médií,
•
podporu klientům za NATem,
•
bezpečnost proti útokům (především DoS),
•
CAC (Call Admission control) a správu pásma BW Management,
•
normalizaci CDR záznamů (Call Detail Record) a podporu systémům pro účtování.
7
1.1.3
Řídící úroveň
Řídící úroveň na obrázku 1.2 zabezpečuje Softswitch, pro který se používá označení jako MGC (Media Gateway Controller), CS (Call Server) a CA (Call Agents), protokoly, kterými komunikuje, jsou znázorněny na obr. 1.3. Softswitch je klíčovým prvkem v NGN architektuře zajišťuje tyto funkce: •
řízení volání,
•
řízení přístupu a komunikace s MG (Media Gateway), SBC a SG,
•
alokuje zdroje v síti,
•
zpracování signalizace,
•
Autentizace a autorizace,
•
Směrování,
•
Generování záznamů o spojeních (CDR - Call Detail Record).
1.1.1
Úroveň služeb
Tato úroveň poskytuje služby s přidanou hodnotou a podpůrné provozní funkce. Obsahuje následující komponenty: •
OSS Operation Support System zahrnuje integrovaný systém účtování (charging system) a systém síťové správy a provozu (Network Operation & Management System),
•
Application server poskytuje aplikační rozhraní API pro služby inteligentní sítě (IN) a pokročilé služby, API musí být otevřené, aby bylo možné použít aplikace i třetí strany,
•
MS Media Server zpracovává toky médií, umožňuje audio ohlášky, vytváření IVR stromů (Interactive Voice Response), konference, tóny,
•
SCP Service Control Point je klíčovou komponentou inteligentní sítě zodpovědnou za data účastníků a logiku služeb,
•
Video server je prvek poskytující videokonference a jejich management.
8
Obr.1.3. Přehled jednotlivých komponent NGN
1.2
Služby NGN
Portfolio služeb NGN můžeme ukázat na konkrétním případu implementace u telekomunikačního operátora Telefónica O2, spuštění služeb proběhlo v roce 2008. Původně bylo vybráno řešení firmy Siemens, ale projekt byl ukončen po problémech s implementací služeb a jako dodavatel byl vybrán Ericsson. V současné době TO2 nabízí dvě řešení, a to VoIP Connect a VoIP Centrex. První z nich nabízí hlasovou službu simulující služby PSTN sítě s rozšířením portfolia o VoIP a umožňuje: •
připojení PBX se sign. DSS1 na PRI , BRI, se signal. K+MFC, K+DEC na E1,
•
POTS (signalizace U),
•
připojení IP PBX signalizací H.323 a SIP,
•
připojení koncových zařízení (telefonů, IP telefonů, Faxů, Terminal adapterů) na analogovém rozhraní, BRI a IP koncových zařízení protokolem SIP,
VoIP Centrex je privátní hlasová služba zajišťovaná poskytovatelem sítě s využitím kombinace datových a internetových produktů a nabízí služby:
9
•
Hostovaná PBX s privátním číslovacím plánem,
•
Web portál a Hlasový portál,
•
Unified Messaging a Instant Messaging,
•
Presence (identifikace stavu uživatele),
•
Videokonference,
•
Telefonní seznamy, s využitím LDAP, adresář přátel (Buddy list),
•
Call centra,
•
Integrace komunikačních prvků do MS Outlook.
Implementace NGN je aktuální u mnoha velkých telekomunikačních operátorů, jejich investice jsou dlouhodobé a lze očekávat, že NGN technologie budou tématem minimálně dalších deseti let. Na trhu se již profilovali různí výrobci a vize. Například strategická vize firmy Siemens se jmenuje LifeWorks a vystihuje další směr komunikací. V jejich vizi vyvíjejí nástroje, se kterými by uživatelé měli absolutní kontrolu nad hranicemi pracovního a soukromého života. Zabezpečená komunikace integrovaná do jediného nástroje (jedno zařízení – fixed/mobile, home/work) umožňující univerzální způsoby komunikace (Unified Messaging – hlas. vzkaz do emailu, fax odeslaný emailem, atd..) a možnost stanovovat, kdy a kdo se na uživatele bude moci dovolat (buddy list, presence management), ať bude kdekoliv (mobilita), to jsou vize, které budou motorem dalších inovací.
1.2 Signalizace v NGN Signalizace v NGN je založena na standardizovaných protokolech jako H.323, SIP či MGCP. Nejvýznamnější je protokol SIP, který se stal i nosným ve specifikaci IMS. V následujících podkapitolách se budeme věnovat principům signalizačních protokolů použitelných v Internetu.
1.2.1
ITU-T H.323
Standard H.323 zastřešuje řadu doporučení a je určen pro Multimediální komunikaci na sítích s přepojováním paketů. První verze byla uvolněna roku 1996, aktuálně je vydávána sedmá verze (rok 2009). Média jsou přenášeny RTP protokolem (Real Time Protocol), který je postaven nad nespolehlivým UDP. Signalizace, s výjimkou RAS, je přenášena spolehlivě přes TCP. Pro řízení spojení jsou důležité protokoly: •
RAS (Registration, Admission and Status) je komunikační protokol pro Gatekeeper (dále jen GK), pokud jakékoliv zařízení (terminál, brána, další gatekeeper) komunikuje s GK, tak používá RAS zprávy,
•
H.225.0/Q.931 protokol v H.323 je nazýván jako signalizace volání (Call signaling) a obsahuje zprávy pro inicializaci i ukončení spojení (SETUP, ALERTING, CONNECT, RELEASE COMPLETE, atd..), koncepce byla převzata z ISDN,
•
H.245 je označován jako protokol řízení médií (media control), obsahuje procedury pro vyjednání kodeků a portů pro RTP toky, pro každý směr zvlášť. 10
H.323 architektura H.323 infrastruktura je logicky rozdělena do zón. Zóna je množina zařízení řízených jedním GK [col]. V H.323 rozeznáváme následující komponenty: •
Endpoint (koncový bod), tím může být MCU (Multiconference Unit), brána GW nebo terminál TE,
•
Gatekeeper (řídící prvek sítě).
Gatekeeper Gatekeeper je řídicím prvkem H.323 koncových bodů (terminal, gateway, MCU). Dle standardu H.323 musí zajišťovat následující funkce: •
podpora signalizace RAS (Registration/Administration/Status). Pomocí signalizace RAS se realizuje řízení přístupů k prostředkům sítě,
•
řízení
přístupu
(Admission
Control),
zajišťuje
autorizovaný
ARQ/ACF/ARJ (Admission Request/Confirm/Reject)
přístup
pomocí
zpráv
definovaných v signalizaci RAS
(Registration, Admission and Status Signaling), •
překlad adres (Address Translation) mezi E.164 číslem a IP síťovou adresou nebo mezi jmenným identifikátorem URI (jméno@doména) a IP,
•
řízení přidělování kapacity pásma (Bandwidth Control). Řízení pásma dle požadavků z koncových bodů pomocí zpráv BRQ/BCF/BRJ signalizace RAS,
•
řízení spojení (Call Control), zpracování zpráv nebo jejich směrování,
•
řízení zón (Zone Management) zajišťuje řídicí funkce pro všechny registrované koncové body H.323 zóny. Koncové terminály a VoGW jsou rozděleny do zón, které představují distribuovanou strukturu GK.
RAS signalizace Ras signalizace zajišťuje komunikaci s GK pomocí zpráv (pouze vybrané): •
RRQ/RCF/RRJ Registration Request/Confirm/Reject, Registrace,
•
URQ/UCF/URJ Unregister Request/Confirm/Reject, Odregistrování,
•
ARQ/ACF/ARJ Admission Request/Confirm/Reject, Přístup,
•
LRQ/LCF/LRJ Location Request/Confirm/Reject, Lokalizace mezi zónami,
•
BRQ/BCF/BRJ Bandwidth Request/Confirm/Reject, Rezervovat pásmo,
•
DRQ/DCF/DRJ Disengage Request/Confirm/Reject, Ukončení spojení .
11
1.2.2
IETF SIP
SIP (Session Initiation Protocol) byl vyvíjen od roku 1996, v roce 1999 byl předložen ve formě navrhovaného standardu (Proposed Standard) v RFC 2543 a ihned zaujal svou jednoduchostí. V květnu roku 2002 byl uvolněn standard RFC 3261, který obsahuje jádro dnes používaného SIPu, kde je specifikováno použití šesti základních metod. Další rozšíření jsou obsahem více než osmdesáti RFC, které se SIPem souvisejí. SIP dnes už jednoduchý není, jednoduchostí vynikal před několika lety. SIP je signalizační protokol umožňující sestavení, modifikaci a ukončení relace s jedním nebo více účastníky. Pro popis vlastností relace se používá ve spojení se SIPem nejčastěji SDP (Session Description Protocol) a samotný hlas se přenáší v RTP. SIP je textově orientovaný protokol s rysy podobnými HTTP a SMTP protokolu. Klient posílá požadavky na server, který zasílá odpovědi jako u HTTP, v hlavičkách najdeme položky From, To či Subject jako u mailové komunikace pomocí SMTP. Zatímco u H.323 jsou entity rozděleny do zón obsluhovaných GK (Gatekeeperem) a spojení tedy probíhá buď uvnitř zóny anebo mezi zónami (mezi GK), tak SIP entita je vázána k doméně obsluhovanou SIP Proxy. Pro aplikační protokol SIP se standardně používá UDP transport na portu 5060, ale lze použít i TCP nebo TLS. SIP entity jsou identifikovány použitím SIP URI (Uniform Resource Identifier), řekli bychom jednoduše jmennými identifikátory, jejich obecný tvar je uveden níže. sip:user:password@host:port;uri-parameters?headers Prvky SIP architektury Ačkoliv v nejjednodušší konfiguraci je možné použít dva UA (v terminologii H.323 jde o Endpoint) posílající si navzájem SIP zprávy, typická SIP síť bude obsahovat více než jeden typ prvků. Základními SIP prvky jsou: •
UA, user agent složený z klientské UAC (odesílá žádosti a přijímá odpovědi) a serverové části UAS (přijímá žádosti a odesílá odpovědi),
•
SIP Proxy (směruje), Registrar (registruje), Redirect (pomáhá při přesměrování) a Location (lokalizační databáze) servery.
Je zřejmé, že návrh SIPu umožňuje dekompozici úloh do jednotlivých prvků, v praxi jsou ale zmíněné komponenty většinou použity jako logické části SIP serveru, jelikož je často efektivní je provozovat společně na jednom HW. Často je v SIP serveru použit speciální typ B2BUA (Back to Back User Agent), jenž na rozdíl od SIP Proxy, která jen směruje zprávy s minimálními úpravami v hlavičkách, provede konstrukci nové hlavičky a defacto vytvoří nové spojení k cíli. Takovéto chování je výhodné pro poskytovatele IP telefonie, neboť B2BUA mu umožňuje absolutní kontrolu nad konstrukcí SIP zpráv, na druhou stranu znamená podstatně nižší výkonnost oproti SIP Proxy. SIP žádosti a odpovědi Žádost a odpověď jsou dva základní typy SIP zpráv. Žádosti neboli metody jsou obvykle užívány k inicializaci procedury (sestavení, aktualizaci či ukončení spojení). V jádru SIP protokolu je dle RFC 3261 specifikováno šest metod, které jsou následující: •
INVITE je žádost o inicializaci spojení nebo změnu parametrů již probíhajícího spojení (re-
12
INVITE), •
ACK je metoda potvrzující přijetí konečné odpovědi na žádost INVITE,
•
BYE je zpráva užívána k ukončení sestaveného spojení,
•
CANCEL se používá ke zrušení sestavovaného spojení,
•
REGISTER je žádost k registraci či odregistrování, váže se logická URI uživatele s jeho fyzickým umístěním (IP adresa a port), konkrétně jde o položky FROM a CONTACT ze SIP hlavičky,
•
OPTIONS je speciální typ metody k zjištění vlastností (možností) SIP entity.
Kromě výše uváděných šesti základních metod existují i další žádosti, které byly definovány dodatečně v některých následujících RFC: •
přenos informací během relace INFO, RFC 2976,
•
potvrzení dočasné (1xx) odpovědi PRACK, RFC 3262,
•
přihlášení k upozornění na událost SUBSCRIBE, RFC 3265,
•
informace o události NOTIFY, RFC 3265,
•
aktualizace stavu relace UPDATE, RFC 3311,
•
pro instant messaging byla definována metoda MESSAGE, RFC 3428,
•
pro řízení spojení třetí stranou slouží REFER, RFC 3515,
•
aktualizaci prezence zajišťuje PUBLISH, RFC 3903.
Každá žádost musí být zodpovězena, výjimkou je metoda ACK, což je žádost, která má význam potvrzení doručení odpovědi na INVITE. Kód odpovědi je celé číslo z rozsahu 100 až 699 a označuje typ odpovědi. Odpovědi začínající 1xx jsou pouze informativní a po nich následuje formální odpověď z rozsahu 2xx-6xx. Celkem je definováno 6 tříd odpovědí: •
1xx jsou dočasné informativní odpovědi, (100 Trying, 180 Ringing, 183 Session Progress),
•
2xx jsou pozitivní finální odpovědi, (200 OK, 202 accepted),
•
3xx odpovědi jsou užívány k přesměrování (301 Moved Permanently, 302 Moved Temporarily),
•
4xx jsou negativní konečné odpovědi indikující problém na straně klienta (401 Unauthorized, 407 Proxy Authentication Required, 415 Unsupported Media Type, 486 Busy Here),
•
5xx znamenají problém na straně serveru (501 Not Implemented, 503 Service Unavailable),
•
606 Not Acceptable (600 Busy Everywhere, 603 Decline, 604 Does Not Exist Anywhere).
1.2.3
MGCP a Megaco/H.248
MGCP je IETF protocol, který byl vydán v roce 1999 jako informativní RFC 2705 a dotažen do finální podoby standardního doporučení byl až v roce 2003 v RFC 3435. Z MGCP vychází protokol 13
Megaco/H.248, přičemž Megaco je označení IETF a H.248 je značení ITU-T pro stejný standard. První verze H.248 byla uvolněna v roce 2000, nyní je třetí verze z roku 2005. Na obr. 4 je znázorněno typické použití protokolu MGCP či Megaco/H.248. MGCP se využívá k ovládání MGW, signalizace SS7 je přenesena pomocí protokolu Sigtran ze signalizační brány SG, řídícím prvkem je MGWC, přes který procházejí veškeré signalizační toky.
Obr.1.4. Model použití protokolů MGCP či Megaco/H.248. Prvky MGCP architektury Protokoly MGCP a Megaco/H.248 jsou typu Master/slave (na rozdíl od H.323 či SIPu) a z toho vychází i koncepce prvků: •
Media Gateway (MG) konvertuje média na formát vyžadovaný jinou sítí,
•
MGWC (Media Gateway Controller) řídí prvky MGCP architektury, používají se i termíny Call Agent (CA) nebo Softswitch, entita zajišťuje zpracování volání, řízení komunikace a ovládá veškeré dalších prvky, se kterými má vztah Master/Slave,
•
Signaling Gateway (SGW) umožňuje připojení do signalizační sítě SS7.
Protokol používá zprávy typu command/response CMD/ACK (NACK) na transportním UDP protokolu. Zprávy typu CMD jsou následující: •
EPCF (Endpoint Configuration), CA>MG, dává GW instrukce k nastavení kódování na straně
14
linkového rozhraní (směrem do PSTN, ISDN, ...), •
RQNT (Notification Request), CA>MG, dává GW instrukce k dohledu specifických událostí a instruuje jak k těmto událostem generovat signály,
•
NTFY (Notify), MG>CA, MG dává CA instrukce k dohledu specifických událostí,
•
CRCX (Create Connection), CA>MG, CA požaduje vytvořit spojení přes GW mezi dvěma endpointy,
•
MDCX (Modify Connection), CA>MG, CA vyžaduje změnit parametry týkající se sestaveného spojení,
•
DLCX (Delete Connection), CA>MG a MG>CA, umožňuje zrušit existující spojení, ACK vrací statistiky volání,
•
AUEP (Audit EndPoint), CA>MG, monitoruje status endpointu,
•
AUCX (Audi Connection), CA>MG, monitoruje status spojení,
•
RSIP (RestartInProgress), MG>CA, MG sděluje CA o stavu v provozu a mimo provoz.
Každý příkaz musí být zodpovězen, odpověď vrací návratový kód indikující stav vyřízení příkazu. Tyto kódy jsou součástí RFC 3661 a mají rozsah 000-999: •
000-099 Response acknowledgement, potvrzení odpovědi, (např. 000 - jde o potvrzení po přijetí dočasné odpovědi, je použit 3-way handshake),
•
100-199 Provisional response, dočasná neboli prozatímní odpověď informující o průběhu vyřizování požadavku (např. 100 – transaction in progress oznamující vyřizování anebo 101 – transaction has been queued oznamující zařazení požadavku do fronty),
•
200-299 Successful completion je úspěšné dokončení, tuto odpověď vidíme nejraději,
•
400-499 Transient error, jedná se o přechodnou chybu, kterou může být např. 401 – phone allready off-hook oznamující stav obsazeno anebo 404 – insufficient bandwith indikující nedostatek pásma,
•
500-599 Permanent error, trvalá chyba např. 500 – unknown endpoint oznamující neznámý cíl anebo 504 – unknown or unsupported command indikující neznámý či nepodporovaný příkaz,
•
800-899 Package specific response codes oznamuje specifické kódy (nestandardní),
•
900-999 Reason codes, jedná se o důvody chyb např. 901 – endpoint taken out of service oznamující, že koncový terminál je mimo provoz anebo 903 – QoS resource reservation was lost indikuje nemožnost garantovat kvalitu.
15
2
IP Media Subsystem
Koncept IMS původně vznikl v projektu 3GPP (3rd Generation Partnership Project) v roce 2003 jako součást specifikace Release 5 a byl navržen pro mobilní sítě, počítalo se s UMTS. Později, v roce 2005 v Release 6 byl představen jako koncept NGN, a tedy dle filozofie NGN oddělitelný od přenosové technologie a použitelný jak pro pevné, tak i mobilní sítě. V současné době je Release specifikace již v 8 verzi. Základním rysem IMS je, že staví na IETF standardech. Stěžejním protokolem v IMS je SIP (Session Initiation Protocol) a architektura je navržena tak, že v maximální míře podporuje mobilitu uživatele. Jednotlivé komponenty jsou popsány v následující kapitole a zobrazeny na obr. 2.1, klíčovými prvky v IMS jsou SIP servery označované jako CSCF (Call session Control Function). Pro komunikaci s databázemi se využívá protokol Diameter a pro sestavení, modifikaci či ukončení spojení se využívá SIP.
Obr.2.1. Model IMS architektury.
16
2.1
Koncept IMS
Koncept IMS je popsán pomocí entit, realizujících různé funkce: •
AS Application Server, aplikační server poskytují nástavbové služby pro IMS,
•
BGCF Gateway Control Function, funkce řízení GW přijímá žádosti relací přeposílané SCSCF (nebo jiným BGCF) a vybírá síť, ve které je umístěn přípojný bod v PSTN,
•
CSCF Call Session Control Function, funkce řízení relace jsou odpovědné za řízení vlastností spojení, směrování a alokaci zdrojů ve spolupráci s jinými síťovými prvky,
•
HSS Home Subscriber Server, Domácí účastnický server obsahuje účastnickou databázi pro IMS (slouží ke zjištění, kde se uživatel nachází),
•
MGCF Media Gateway Control Function, funkce řízení médií GW podporuje spoluprácí mezi IMS a PSTN,
•
MGW Media Gateway, ukončuje nosné kanály sítě s propojováním okruhů a RTP toky IP sítě, vykonává tedy konverzi médií a transkódování,
•
MRFC Media Resource Function Controller, řídí zdroje toků z MRFP ,
•
MRFP Media Resource Function Processor, podporuje funkce jako mixování médií, generování tónů, audio hlášek, transkódování a analýzu médií,
•
SLF Subscription Locator Function, slouží jako přístup k HSS systémům (jejich front-end a je nezbytně nutný, pokud je více HSS),
•
2.2
UE User Equipment, představuje funkcionalitu uživatelských terminálů (koncové zařízení).
Funkce SIP Proxy v IMS
X-CSCF představuje vždy SIP Proxy a IMS zná tři typy: P-CSCF, S-CSCF a I-CSCF. jak již bylo zmíněno, pro signalizaci se používá SIP, pro přenos užitečné zátěže RTP a pro komunikaci s databázemi protokol Diameter (následovník Radius protokolu). Nejdůležitějšími prvky IMS jsou CSCF (jsou to SIP servery, vždy SIP Proxy + případné další funkcionality, např. Registrar). P-CSCF (Proxy-Call Session Control Function) Proxy CSCF zastává funkci vstupního i výstupního SIP proxy serveru. Je tak vlastně prvním kontaktním bodem mezi IMS terminálem a sítí. Každému terminálu je přidělen během registrační fáze a po celou dobu registrace se nemění. P-CSCF může být umístěn buďto v domovské nebo v sousední síti. Jak je vidět na obrázku 2.2, v případě GPRS je proxy server umístěn v té síti, kde se nachází GGSN (Gateway GPRS Support Node) uzel. Ten slouží jako brána do vnější sítě.
17
Obr.2.2. Umístění P-CSCF v domovské nebo sousední síti, podle polohy uzlu GGSN.
P-CSCF sleduje tok signalizačních zpráv a může prověřovat každou zprávu. Provádí autentizaci uživatele a zároveň se stará o bezpečnost spojení. Tuto funkci zajišťuje pomocí IPsec (IP Security Protocol). Může tak předcházet IP spoofing útokům a útokům odchycením hesla. Zároveň chrání soukromí uživatelů. Ostatní uzly už poté spoléhají na autentizaci provedenou P-CSCF a vlastní kontrolu již neprovádějí. K dalším funkcím, které tento proxy server zajišťuje patří komprese a dekomprese SIP zpráv. Je tak snížen nárok na parametry používaných linek. P-CSCF může také zahrnovat funkci PDF (Policy Decision Function), která schvaluje mediální zdroje a zajišťuje tak QoS. Využívá se tak například pro správu šířky pásma. PDF však může existovat také jako samostatná funkce. K posledním funkcím, které jsou poskytovány P-CSCF patří schopnost identifikovat tísňová volání, a také generování CDR (Call Data Record). I-CSCF (Interrogating-Call Session Control Function) Interrogating CSCF vystupuje jako kontaktní bod uvnitř sítě operátora. Obsluhuje tak všechna koncová spojení určená pro všechny SIP uživatele, kteří jsou zrovna registrováni v PLMN (Public Land Mobile Network). Při přijetí požadavku o registraci od účastnického koncového zařízení UE (User Equipment) získá I-CSCF z HSS jméno next hop S-CSCF. Z tohoto si můžeme lehce vyvodit, že hlavní funkcí této komponenty je právě přidělování S-CSCF jednotlivým spojením. Požadavky na HSS jsou posílány přes rozhraní Cx protokolu Diameter. Na takto přidělená S-CSCF jsou pak přímo směrovány příchozí požadavky. Stejně jako dříve zmíněný proxy server, také tento prvek generuje CDR. Až do specifikace Release 6 mohl být použit také pro skrytí vnitřní sítě před okolním světem. V tomto případě však byl I-CSCF nazýván THIG (Topology Hiding Inter-network Gateway). S-CSCF Serving Call Session Control Function Posledním ze tří typů CSCF je Serving CSCF, který zastává funkci centrálního bodu v oblasti signalizace IMS. Reprezentuje totiž registrátor běžných SIP sítí umístěných uvnitř prostředí 3GPP sítí. Přestože se jedná o SIP server, může vykonávat také kontrolní funkce. Vždy je umístěn v domovské síti. Nemá žádnou paměť pro ukládání informací o uživatelích, proto si musí potřebnou informaci vždy stáhnout z HSS. Ke komunikaci s HSS používá Cx a Dx rozhraní protokolu Diameter. SIP server S-CSCF je zodpovědný za různé funkce, z nichž zřejmě tou nejdůležitější je registrace. Po 18
registraci uživatele je totiž možné svázat IP adresu uživatelského koncového zařízení s přiřazenou SIP adresou. Mezi další funkce patří také uchovávání profilů nabízených služeb nebo rozhodovací funkce při směrování hovorů. V případě využití aplikačních serverů rozhoduje právě S-CSCF o tom, na který z nich bude SIP zpráva odeslána. Tento SIP server také zodpovídá za přenášení SIP volání do veřejné telefonní sítě PSTN. Tato volání jsou směrována na BGCF, která poté vybere vhodnou MGCF. Odsud už je pak vytvořeno spojení přímo do veřejné telefonní sítě. S-CSCF však nemusí být pouze jedno. Pro účely rozdělení zatížení, a tím pádem lepšího přístupu je někdy používáno více těchto zařízení. O tom, který SIP server pak bude použit rozhoduje I-CSCF. Poté dá o svém rozhodnutí vědět serveru HSS, a ten následně na základě došlého požadavku přidělí příslušný SCSCF server. Stejně jako ostatní CSCF, také Serving-CSCF generuje CDR.
2.3
Aspekty nasazení IMS
HSS (Home Subscriber Server) je databáze profilů domácích uživatelů sítě IMS, je to nástupce HLR (Home Location Register) známého z GSM sítí. SLF (Subscription Locator Function) je jednoduchá databáze pomáhající nalézt správný HSS, který náleží k dotyčnému uživateli. Jeho implementace je nepovinná a je užitečná tehdy, pokud je v IMS síti více HSS serverů. AS (Application Server) jsou aplikační servery poskytující jednak služby s přidanou hodnotou a nástavbové aplikace k IMS (např. charging, Operation&Maintenance). MRFC+MRFP (Media Resource Function Control / Processor) poskytují prostředky pro práci s médii (především transcoding). MRFC vykazuje chování jako SIP UA. Komunikuje pomocí SIPu s S-CSCF a řídí MRFP protokolem H.248, může generovat záznamy pro vyúčtování. MRFP zajišťuje zpracování médií (mixování toků, jejich transkódování) a chová se jako Slave ve vztahu k MRFC, jenž jeho řídícím prvkem. BGCF (Border Gateway Control Function) zajišťuje bezpečné propojení s non-IMS, čili je to prvek zodpovědný za vzájemnou komunikaci IMS s jinými sítěmi a za bezpečnostní opatření (šifrování, obrana proti útokům). MGCF+MGW (Media Gateway Control Function) a MGW (Media Gateway) je podobná dvojice jako MRFC+MRFG, tentokrát ale MGW navíc disponuje prostředky pro konverzi médií do jiného typu sítě (např. MGW je osazena E1 a umožňuje peering s PSTN).
2.4
Protokol Diameter
Protokol Diameter je takzvaný AAA (Authentication Authorization Accounting) protokol. Z této zkratky vyplývá, že je využíván převážně pro funkce managementu sítě, jako jsou autentizace a autorizace uživatelů, a také pro zpoplatnění služeb. Autentizace znamená proces ověření identity uživatele, neboli subjektu. Ověří se tedy jestli je subjekt opravdu tím, za koho se vydává. Poté následuje proces autorizace, kdy dochází k rozhodování, zda bude subjektu žádajícímu o přístup ke zdroji, neboli objektu, tento skutečně povolen. Jedná se tedy o ověření zda má daný subjekt, již s ověřenou identitou, udělena práva na úkony, o které žádá. Rozhodovací komponentou je v případě
19
IMS blok I-CSCF, který rozhoduje na základě informací uložených v centrální databázi HSS. U funkce zpoplatnění (Accounting) se jedná o sbírání informací o využívání zdroje subjektem pro účely plánování, stanovení ceny, kontroly účtů a fakturace. Diameter používá takzvanou hop-by-hop bezpečnost, což znamená, že komunikace pomocí tohoto protokolu je zabezpečována mezi každými dvěma uzly. Tento protokol může pracovat jak lokálně tak i v roamingu. Protokol Diameter byl vyvinut sdružením IETF (Internet Engineering Task Force) jako následovník protokolu Radius. Jeho poslední verze pochází ze září roku 2003. Název tohoto protokolu byl zvolen podle anglického významu názvu svého předchůdce. Slovo radius totiž znamená poloměr. Pro jeho následovníka byl tedy zvolen název Diameter, což v angličtině znamená průměr, dvojnásobek poloměru. Protokol Diameter sice rozšiřuje protokol Radius, není s ním však zpětně kompatibilní. Podporuje sice přenos Radiusu, je však zapotřebí, aby byly zprávy protokolu Radius rozšířeny o atributy potřebné pro protokol Diameter. V následujícím textu budou uvedeny hlavní rozdíly mezi protokoly Radius a Diameter. Prvním takovým rozdílem je, že zatímco Radius používá nespolehlivý protokol UDP (User Datagram Protocol), Diameter používá buďto protokol TCP (Transmission Control Protocol) nebo SCTP (Stream Control Transmission Protocol). Díky tomu může použít zabezpečení na transportní vrstvě, a to IPsec nebo TLS (Transport Layer Security). Diameter také nabízí větší adresní prostor pro AVPs (Attribute Value Pairs) a 8bitové identifikátory Radiusu nahrazuje 32bitovými. Jedná se o protokol typu klient – server, který používá komunikaci typu Request/Answer. Pro vyhledání okolních uzlů může být použita buď manuální konfigurace pomocí SRVLOC (Service Location Protocol) nebo dynamické vyhledávání pomocí DNS (Domain Name Server). Dalším vylepšením u tohoto protokolu je, že oznamuje chyby. Také má lepší podporu roamingu a je snadněji rozšiřitelný o nové atributy a příkazy.
20
3
Kvalita řeči v IMS
Při přenosu informací od volajícího účastníka k účastníku volanému dochází v síti IMS k různým procesům, které probíhají v různých prostředcích a vše dohromady vytváří službu. Samotná realizace služby se děje v časových úsecích, kde v každém tomto úseku probíhá fáze poskytování služby. Sledování QoS (Quality of Service) je velice důležité. Kvalita služby QoS (Quality of Service) v telekomunikačních sítích a systémech je definována jako souhrn různých prostředků ke správě, řízení a monitorování, které určují, jak bude uživatel s danou službou v její konečné fázi spokojen. Díky stále rostoucímu počtu různých telekomunikačních sítí a technologií, vstupuje QoS čím dál více do popředí, ať již při plánování sítí nových, nebo při zvyšování počtu služeb na různých technologiích již dlouhodoběji používaných. QoS má nemalou roli i při konkurenčním boji různých poskytovatelů, např. při snaze o prosazení stejné či podobné služby. Jednou z velkých součástí QoS v telekomunikacích je posuzování kvality hlasu. Avšak tato část je právě často poskytovateli opomíjena a častěji se soustředí na zvyšování kapacit sítí, rozšiřování počtu nabízených služeb a jejich prosazení na trhu. Pod pojmem kvalita řeči si lze představit jev, kdy na jedné straně komunikačního systému stojí zdroj signálu obecně (hlasu, řeči) a na straně druhé posluchač, snažící se hlas (řeč) reprodukovaný zdrojem rozpoznat a ohodnotit jeho zřetelnost.
3.1
Metodiky pozusování kvality řeči
Metodik pro posuzování kvality hovoru existuje více druhů. Tyto metody je dobré rozdělit do dvou základních skupin na: •
Konverzační testy,
•
Poslechové testy.
Z těchto skupin je také patrné rozdělení kvality na konverzační CQ (Conversational Quality) a poslechovou LQ (Listening Quality). Konverzační testy jsou založeny na vzájemné interaktivní komunikaci dvou subjektů přes přenosový řetězec testovaného systému. Tyto testy poskytují nejrealističtější testovací prostředí, avšak jsou ze všech ostatních způsobů testování nejvíce časově náročné. Častěji doporučované jsou právě testy poslechové, které však nedosahují takové věrohodnosti jako testy konverzační, protože v 21
některých ohledech je jejich omezení méně tvrdé [voz149]. Tyto testy lze dále rozdělit podle způsobu získávání ohodnocení, jak již bylo v úvodu naznačeno, na: •
Subjektivní metody,
•
Objektivní metody.
Pro ohodnocení kvality řeči se využívá stupnice MOS (Mean Opinion Score) definovaná doporučením ITU-T P.800 [p800]. Výstupem obou typů metod, jak subjektivních tak objektivních, je přímo hodnota MOS, nebo s mírnou modifikací stupnice dle potřeby [abdu], [voz71]. Aby nedocházelo k nedorozuměním a špatným interpretacím výsledků MOS hodnot, vydala ITUT v roce 2003 doporučení P.800.1 [abdu], ve kterém se rozdělily stupnice jak pro metody subjektivní a objektivní, tak i pro druhy testů konverzační a poslechové. V tabulce č. 3.1 je znázorněn onen přehled, kde LQ znamená dříve zmiňované Listening Quality, CQ Conversational Quality a poslední písmeno je přiděleno dle metody měření, S - Subjective, O - Objective a E - Estimated [p800], [abdu].
Obr. 3.1. Poslechová MOS stupnice dle ITU-T.
Tab. 3.1. Přehled rozdělení MOS stupnice dle ITU-T P.800.1 [abdu].
3.1.1
Subjektivní metody hodnocení
Jak již bylo naznačeno v úvodu, subjektivní metody k posuzování kvality řeči jsou založeny na hodnocení lidských uživatelů (posluchačů). Při testování jsou přehrávány vzorky k hodnocení dostatečnému počtu subjektů (skupině osob) a jejich výsledky posléze statisticky vyhodnocovány. Subjekty mají možnost hodnotit kvalitu řeči v pěti stupních od nejhorší po nejlepší, které odpovídají MOS modelu dle ITU-T specifikace.
22
Nejvyužívanější zástupci subjektivních metod testování jsou tzv. ACR (Absolute Category Rating) a DCR (Degradation Category Rating). U ACR posluchači udělují jedno hodnocení každému vzorku řeči dle poslechové stupnice MOS, viz obr. 3.1. Poté jsou hodnoty všech subjektů sečteny a zprůměrovány do výsledné hodnoty MOS (MOS-LQS) pro každý daný vzorek řeči. U DCR je posluchačům nejprve poskytnut vzorek řeči "originální", před přenosem přes testovaný telekomunikační systém a posléze vzorky testované a je na subjektech, aby vyhodnotili degradaci přeneseného hovoru vůči vzorku původnímu. Pro provádění testů v požadovaném rozsahu a pro zajištění co možná největší objektivnosti je potřeba většího množství osob, což je z časového hlediska, a často také finančního, velmi neefektivní. Hodnocení jednotlivých subjektů je ovlivněno různými faktory, jako je psychické rozpoložení, soustředěnost, zkušenosti a mnohé další, proto lze častokrát dosáhnout různých výsledků při měření jednoho hovorového vzorku. Z tohoto důvodu je výhodnější využívat metod objektivních [p800], [abdu].
3.1.2
Objektivní metody hodnocení
Použití objektivních metod pro hodnocení kvality hovoru odstraňuje nutnost použití subjektů živých využitím matematických výpočetních modelů nebo algoritmů. Jejich výstupem je opět hodnota MOS nebo podle použitého algoritmu hodnota jiná, která je však na hodnotu MOS snadno přepočitatelná i s modifikacemi, např. podle ITU-T P.800.1. Cílem objektivních měření je co možná nejpřesněji předpovědět hodnotu MOS, která by byla získána subjektivním měřením za použití dostatečného počtu osob. Přesnost a efektivita objektivního testu je tedy dána korelací výsledku subjektivního a objektivního testu.
Tab.3.2. Přehled subjektivních testovacích metod. Objektivní metody posuzování kvality řeči se dělí do dvou skupin na: •
Intrusivní,
•
Neintrusivní.
Intrusivní měření kvality je založeno na porovnání původního a degradovaného přeneseného vzorku pomocí vhodného algoritmu. Neintrusivní testy naopak používají ke svému výpočtu pouze vzorek přenesený a nemají přístup ke vzorku původnímu [voz149], [abdu].
23
Intrusivní testy Podstatou všech intrusivních (nebo také input-to-output) měření je porovnávání původního vzorku před vstupem do přenosového řetězce testovaného systému se vzorkem na výstupu testovaného systému (degradovaného vzorku). Výsledkem těchto metod je opět MOS hodnota, podle ITU-T P.800.1 označená jako MOS-LQO. Obecná architektura intrusivních měření je vyobrazena v modelu na obr. 3.2.
Obr. 3.2. Obecná architektura intrusivního měření poslechové kvality. První funkční blok má na starosti před-zpracování vstupujícího signálu (původního nebo degradovaného) a extrakci důležitých dat a informací z tohoto vzorku. Zde je také původní a přenesený vzorek řeči transformován do určité domény podle potřeb testování. Těmito doménami jsou: •
časová,
•
spektrální,
•
smyslová.
Druhý funkční blok, měření velikosti rozdílu, zahrnuje měření nesourodosti původního a přeneseného vzorku na základě zvolené domény [abdu]. Měření na základě časové domény - Měření na základě časové domény jsou převážně uplatňována v systémech používajících analogové kódování, nebo-li kódování průběhu a tvaru vlny vstupního signálu, kde má cílové zařízení za úkol reprodukovat přenesenou vlnu pomocí zakódovaných parametrů. Typické měřené parametry u takových testů jsou hodnoty odstupu úrovně signálu od úrovně šumu SNR (Signal to Noise Ratio). Při tomto měření je signálem myšlena užitečná informace přenášená přes komunikační médium a šumem všechny signály ostatní a signály rušící. Tvary a průběhy vln původního a přeneseného signálu jsou porovnávány přímo, tudíž zde hraje velkou a rozhodující roli časová synchronizace těchto signálů. Pokud nedosáhneme takové správné časové synchronizace, výsledky těchto testů jsou často velmi odlišné od skutečnosti [abdu]. Měření na základě spektrální domény - Objektivní měření na základě spektrální domény jsou o něco věrohodnější než metody založené na doméně časové, neboť jsou více odolné vůči nesrovnalostem v časové synchronizaci a fázovém posuvu mezi původním a přeneseným vzorkem signálu. Tato měření jsou silně svázána s vlastnostmi použitých hlasových kodeků a modelů 24
reprodukce hlasu. Schopnost efektivně popsat posluchačovu sluchovou reakci je limitována právě omezením řečových reprodukčních modelů [abdu]. Měření na základě smyslové domény - Jedná se o nejrozšířenější a nejvěrohodnější objektivní metody pro měření kvality řeči. Na rozdíl od měření na základě spektrální domény nejsou závislé na použitých modelech reprodukce hlasu, ale jsou založeny na lidském sluchovém vnímání a z toho důvodu mají ve srovnání se subjektivními metodami největší potenciál a nejlepší výsledky. Při těchto měřeních je zvukový signál transformován do modelu založeného na lidských smyslech za použití konceptů psychofyzického sluchového vnímání. Takovýmito koncepty jsou např. kritické pásmo spektrálního rozlišení, kmitočtová selektivita, křivka vnímané hlasitosti a další. Zjednodušené blokové schéma takových měření je vyobrazeno na obr. 3.3 [abdu].
Obr. 3.3: Obecné blokové schéma objektivního hodnocení na základě smyslové domény. V současnosti používanými a nejvíce rozšířenými zástupci jsou: BSD měření (Bark Spectral Distortion) - slouží k objektivnímu změření zkreslení na základě spočitatelných vlastností sluchového vjemu. Výsledkem BSD měření je průměr čtverce Euklidovské vzdálenosti mezi spektrálními vektory původního a zakódovaného vzorku řeči. Měření je založeno na emulování několika známých vlastností lidského ucha, jako jsou prohýbání kmitočtového spektra, změna citlivosti ucha v závislosti na změně frekvence a rozdíl mezi úrovní hlasitosti a subjektivní stupnicí hlasitosti. Zjednodušené blokové schéma měření metodou BSD je znázorněno na obr. 3.4 [abdu].
Obr. 3.4. Blokové schéma měřící metody BSD.
25
MBSD a EMBSD měření (Modified BSD, Enhanced Modified BSD) - MBSD je modifikace klasického BSD, ve kterém je začleněn koncept prahového krytí hluku, které se liší pro slyšitelné a neslyšitelné rušící vlivy. Používá stejné maskování hluku, jako je použito u transformačního kódování zvukových signálů. Další změnou oproti původnímu BSD je způsob výpočtu výsledné kvality vzorku, kde se porovnávají očekávané hlasitosti jednotlivých vzorků (přenesený, zakódovaný). Blokové schéma měření metodou MBSD je znázorněno na obr. 3.5. EMBSD je další rozšíření metody MBSD, kde byly pozměněny některé dílčí procedury, a byl zvolen nový model rozpoznávání [abdu].
Obr. 3.5: Blokové schéma měřící metody MBSD. PSQM (Perceptual Speech Quality Measurement) - metoda popsaná v doporučení ITU-T P.861. Jedná se o matematický proces, který poskytuje přesné objektivní měření subjektivní kvality řeči. PSQM bylo vytvořeno pro použití a aplikaci na signály v základním telefonním pásmu (tedy 300 - 3400 Hz) s použitím kodeků a vokodérů s nízkými přenosovými rychlostmi. Při měření metodou PSQM je vzorek hlasového signálu zakódován a posléze dekódován systémy, jež testovaný přenosový řetězec využívá. Tento výsledný signál je poté časově synchronizován se vzorkem původním. Následně PSQM algoritmus porovná tyto dva signály na základě faktorů lidského vnímání, jako je citlivost na kmitočet a hlasitost. Výsledkem algoritmu je hodnota PSQM, která určuje "vnímavostní vzdálenost" mezi původním a přeneseným vzorkem. Užitím vhodného algoritmu lze tuto hodnotu přepočítat na hodnoty dle stupnice MOS. Nevýhodou této metody je, že nedokáže úplně přesně pracovat se všemi faktory ovlivňujícími kvalitu řeči, jakým je např. ztrátovost (packet loss) a jiné časové poruchy. Obecné blokové schéma této měřící metody je znázorněno na obr. 3.6 [voz149], [abdu].
26
Obr. 3.6: Blokové schéma měřící metody PSQM PSQM+ (PSQM Plus) - vychází z metody PSQM a upravuje její nedostatky týkající se časových poruch signálu a ztrátovosti. Při měření za použití metod PSQM a PSQM+ dosáhneme stejných výsledků. Ale pokud dochází k velké časové deformaci výsledného signálu nebo patrné ztrátovosti paketů, metoda PSQM+ poskytne mnohem menší hodnoty výsledku (tedy přesnější) než původní metoda PSQM [abdu]. MNB (Measuring Normalising Blocks) - je součástí upraveného doporučení ITU-T P.861 (PSQM) z roku 1997 jako Annex II. Jde o alternativní techniku k PSQM, k měření "vnímavostní vzdálenosti" (Perceptual Distance), mezi původním a přeneseným vzorkem. Při tomto způsobu měření jsou uplatněny smyslové transformace jak na přenesený, tak také na původní zvukový signál před samotným měřením "vnímavostní vzdálenosti". Metoda MNB se dále dělí podle způsobu měření na TMNB (Time MNB) a FMNB (Frequency MNB). TMNB a FMNB jsou zkombinovány se zatěžujícími faktory, kde je výsledkem nezáporná hodnota zvaná Auditorní vzdálenost AD (Auditory Distance). Nakonec je použita logistická funkce, která dokáže převést AD hodnoty na konečnou stupnici a umožňuje korelaci se subjektivní stupnicí MOS. Blokové schéma tohoto způsobu měření je znázorněno na obr. 3.7 [abdu].
Obr.3.7: Blokové schéma měřící metody MNB. PAMS (Perceptual Analysis Measurement System) - za vznikem této metody stojí společnost British Telecommunications. Metoda PAMS je v mnoha ohledech podobná metodě PSQM, avšak používá úplně odlišné techniky zpracování signálu a odlišné modely smyslového vnímání. Metoda PAMS ve svém výpočtu nezahrnuje efekt zpoždění, celkový zisk/útlum testovaného systému, časové a úrovňové zarovnání a ekvalizaci. PAMS porovnává původní a přenesený vzorek na základě časově-frekvenční domény. Toto porovnání je založeno na lidských smyslových faktorech, kde výsledkem je hodnota v rozmezí 1-5, která koreluje se škálou MOS hodnot. PAMS dále navíc vytváří tzv. Listening Effort Score, které koresponduje s ACR dle obou doporučení ITU-T P.800 [p800] a ITU-T P.830. Blokové schéma tohoto způsobu měření je znázorněno na obr. 3.8 [voz149], [abdu].
27
Obr. 3.8: Blokové schéma měřící metody PAMS. PESQ (Perceptual Evaluation of Speech Quality) - jedná se o nejnovější objektivní testovací metodu. Je popsána v doporučení ITU-T. P.862 [p862]. Metoda PESQ je primárně určena a vhodná pro stanovení kvality řeči u úzkopásmových telefonních signálů, ovlivněných následujícími stavy: užití kodeků tvarového a netvarového průběhu, transkódování, velikost vstupní úrovně signálu do kodéru, chyby přenosového kanálu, šum způsobený přenosovým systémem a krátké nebo dlouhé časové poruchy. Technika výpočtu metody PESQ kombinuje robustní techniky časového zarovnání metody PAMS a přesný model smyslového vnímání metody PSQM. Samotný výpočet lze rozdělit do několika kroků. V prvním kroku model zarovná původní a degradovaný signál na stejnou konstantní výkonovou úroveň, která koresponduje s normální poslechovou úrovní používanou u testů subjektivních. Ve druhém kroku oba signály prochází vstupním filtrem, který je založen na rychlé Fourierově transformaci. V krocích dalších jsou signály časově zarovnány a "auditorně" transformovány (Auditory transform) podobně jako u systémů PAMS a PSQM. Auditorní transformace u systému PESQ je založena na psychoakustickém modelu, který mapuje signály do přijímané hlasitosti v čase a frekvenci napodobováním určitých klíčových vlastností lidského ucha a odstraněním částí, které jsou nadbytečné a posluchačem neslyšitelné. Blokové schéma této měřící metody je znázorněno na obr. 3.9 [voz149], [p862], [abdu].
Obr. 3.9: Blokové schéma měřící metody PESQ.
Neintrusivní testy Všechny metody uvedené v předchozí kapitole byly založeny na input-to-output měření, kde vyhodnocování kvality je prováděno na základě znalostí nejen vzorku přeneseného přes komunikační řetězec, ale také vzorku původního. Avšak tato měření nesou také některá svá úskalí, jako je např. nutnost precizní synchronizace při porovnávání těchto dvou vzorků nebo přímo nutnost mít k dispozici vzorek původní [voz149], [abdu].
28
Intrusivní metody měření kvality řeči jsou více precizní a přesné v určení výsledné kvality, ale většinou jsou pro měření v živých sítích pro nasazení v reálném čase nepoužitelné. Naopak neintrusivni objektivní metody pro měření kvality řeči potřebují ke svému výpočtu pouze vzorek přenesený, tedy degradovaný. Tyto testy mají většinou složitější výpočetní modely právě díky absenci vzorku původního. Existují dva přístupy k provádění měření užitím těchto metod: •
priori-based (založeny na pravděpodobnosti),
•
source-based (založeny na znalosti).
Přístup na základě pravděpodobnosti (priori-based) - Tento přístup je založen na identifikaci souboru charakteristických deformací v přeneseném vzorku a naučení statistických vazeb mezi tímto konečným souborem a subjektivními názory. Většina takovýchto měření je založena na zkoumání vizuálních vlastností spektrogramů. Tyto metody vychází z práce J. Palakala a M. J. Zorana [zora], kteří navrhli metodu, jak zachytit neměnné aspekty řeči ve spektrogramu užitím umělých neuronových sítí. Spektrogram je dvourozměrná grafická reprezentace spektra měnícího se v čase. Spektrogramy obsahují bohaté akustické i fonetické informace. Vyhodnocování těchto grafických reprezentací mohou být zpracovávány jak strojově, tak i lidskými odborníky s dostatečnými zkušenostmi a vědomostmi. Další příklad metody založené na pravděpodobnosti je popsán v doporučení ITU-T P.562. Tato metoda využívá tzv. INMD (in-service nonintrusive measurement devices), které mají přístup k přenosovým kanálům a mají schopnost shromažďovat objektivní informace o probíhajících hovorech bez jejich narušení. Tato nashromážděná data jsou poté dále zpracovávána a výsledkem je předpovídaná hodnota MOS, odpovídající doporučení ITU-T P.800.1 [abdu]. Jednou z novějších metod pro neintrusivní vyhodnocování kvality řeči je E-model, zpracovaný v doporučení ITU-T G.107 [g107]. Tato metoda s užitím INMD zařízení dokáže dosáhnout velmi přesných výsledků, ale její hlavní účel je spíše nasazení při plánování nových komunikačních systémů, než nasazení v reálném čase pro vyhodnocování aktuální kvality. Touto metodou se zabývá zvláštní kapitola. V roce 2004 ITU vydala v doporučení ITU-T P.563 (single ended method for objective speech quality assessment in narrow-band telephony applications) novou metodu neintrusivního získávání ohodnocení kvality řeči. ITU tuto metodu představuje jako první neintrusivní metodu, která zahrnuje všechny možné druhy rušení a zhoršení hovorového signálu ve veřejné telefonní sítí s přepojováním okruhů (PSTN). Výstupem je opět hodnota MOS korespondující s doporučením ITU-T P.800.1 [abdu]. Blokové schéma této metody je vyobrazeno na obr. 3.10. Algoritmus analyzuje signál na základě nepřirozeností, šumů a prázdných míst (ticha) v hovoru. Z těchto analýz se vyberou aspekty, které mají na přenášený signál největší vliv. V posledním kroku je použita mapovací funkce, která pomocí matematických operací nad těmito daty vrátí hodnotu MOS-LQO [abdu].
29
Obr. 3.10. Blokové schéma měřící metody dle ITU-T P.563. Přístup na základě znalosti (source-based) - Tento přístup umožňuje univerzálnější metody než přístup na základě pravděpodobnosti výskytu zhoršení. Tyto metody mají přístup k rozsáhlému souboru všech různých typů zhoršení, kde jsou popsány porovnáním některých vlastností degradovaného signálu s modelem signálu původního. První metody patřící do této skupiny byly založeny na tzv. PLP (perceptual-linear prediction) modelu, který porovnával "\textit{vnímavostní}" vektory extrahované z přenášeného vzorku s "vnímavostními" vektory odvozenými z naprosto čistých, nijak nedegradovaných vzorků. Avšak tyto metody byly příliš náročné na svůj výpočetní čas, a tudíž velmi neefektivní. Později bylo na tuto metodu navázáno, jenom se již extrahované vektory neporovnávaly s interní databází vytvořených vektorů, nýbrž s referenčním souborem kódů, který byl z těchto vektorů vytvořen. Tento způsob samotný výpočet zrychlil, avšak výsledná kvalita je silně závislá na obsáhlosti a kvalitě tohoto souboru [abdu].
3.2
E-model
Komplexnost moderních sítí vyžaduje, aby všechny parametry přenosové cesty nebyly posuzovány izolovaně, ale aby byly brány v potaz jejich možné kombinace a vzájemné interakce. Tohoto může být částečně dosaženo odborným odhadováním ze zjištěných parametrů přenosové cesty, ale mnohem systematičtější přístup nabízí užití nějakého výpočetního modelu. E-model je tedy výpočetní model, který bere v potaz všechny tyto vzájemné provázanosti přenosových parametrů a jako výstup nabízí skalár s označením R, který se mění přímo s celkovou kvalitou hovoru [voz149], [g107], [voz71]]. E-model je založen na metodě tzv. "equipment impairment factor". Původní strukturu tohoto modelu vyvinul švédský expert Nils-Olof Johannesson působící ve skupině Voice Transmission Quality from Mouth to Ear, patřící pod seskupení ETSI. V letech 1997 - 2000 tento model rozpracovala studijní skupina SG12 patřící pod ITU-T a vydala jej v doporučení ITU-T G.107 [g107] s názvem E-model [voz71]].
30
Struktura referenčního modelu spojení je znázorněna na obr. 3.11. Zde je patrné rozdělení na vysílací a přijímací stranu, stejně tak jako parametry, se kterými E-model počítá. Rovnice v této kapitole jsou převzaty z doporučení ITU-T G.107 [g107] s písemným svolením skupiny ITU.
Obr. 3.11: Referenční model spojení pro hodnocení E-modelem.
3.2.1
Parametry výpočtu E-modelem •
SLR [dB] (Send Loudness Rating) - představuje míru hlasitosti ve vysílacím směru.
•
RLR [dB] (Receive Loudness Rating) - představuje míru hlasitosti v přijímajícím směru.
•
OLR [dB] (Overall Loudness Rating) - představuje celkovou míru hlasitosti. OLR, jak je patrné z referenčního modelu (viz obr. č. 11), se vypočítá jako součet SLR a RLR (OLR = SLR + RLR). Zhoršení kvality způsobené OLR může plynout jak z příliš nízkých, tak vysokých hodnot. Za optimální hodnotu se udává 10 dB, což podle doporučení ITU-T P.310 odpovídá SLR = 8 dB a RLR = 2 dB. Graf závislosti hodnoty R na OLR je znázorněn na obr. 3.12.
•
STMR [dB] (Sidetone Masking Rating) - představuje míru potlačení vlastního hovoru. Závisí na hodnotě impedančního vyvážení mezi telefonním vedením a účastnickou přípojkou v ústředně.
•
LSTR [dB] (Listener Sidetone Rating) - představuje míru potlačení místní vazby na přijímací straně. Hodnota není dána přímo, ale dopočítává se jako součet známých hodnot STMR a Dr (LSTR = STMR + Dr).
•
T [ms] (Mean one-way Delay) - představuje zpoždění v jednom směru, tedy od přijímací strany na konec telefonního vedení na vysílací straně.
31
•
Ta [ms](Absolute Delay) - představuje celkové zpoždění, tedy od přístroje na přijímací straně k přístroji na straně vysílací. Tento parametr je nezávislý na počtu cest ozvěn šířících se po stejném vedení. Závislost hodnoty R na tomto typu zpoždění je znázorněna na obr. 3.13, kde všechny ostatní parametry jsou nastaveny do výchozích hodnot.
Obr. 3.12. Závislost hodnoty R na OLR [g108].
Obr. 3.13. Závislost hodnoty R na Ta [g108].
32
•
TELR [dB] (Talker Echo Loudness Rating) - představuje míru hlasitosti ozvěny na straně hovořícího. Tento parametr je velmi úzce spjat s parametrem T, kde v případě klesajících hodnot TELR a rostoucích hodnot T, klesá celková kvalita přenášeného hovoru. Tato závislost je znázorněna na obr. 3.14.
•
Ie [-] (Equipment Impairment Factor) - představuje míru zhoršení vlivem zařízení, což také zahrnuje vliv použitého kodeku. Provizorní hodnoty Ie pro plánování v závislosti na použitém kodeku jsou uvedeny v tabulce č. 3.3.
Obr. 3.14. Závislost hodnoty R na T při různém TELR [g108]. •
qdu [-] (Quantization Distortion Units) - představuje počet jednotek kvantizačního zkreslení. Jedno qdu je definováno jako kvantizační hluk vyplývající z kompletního zakódování analogového signálu na digitální a znovu dekódování z digitálního zpět na analogový. Závislost hodnoty R na počtu qdu je uvedena na obr. 3.15.
•
WEPL [dB] (Weighted Echo Path Loss) - představuje váženou střední hodnotu ztrát ozvěny na straně příjemce. Tento parametr je prezentován rozdílem úrovně signálu hovořícího účastníka a ozvěnou příjemce.
•
Nc [dBm0p] (Electric Circuit Noise) - představuje šumy způsobené elektrickými obvody.
•
Nfor [dBmp] (Noise Floor) - představuje součet rušivých signálu z různých zdrojů hluku a neužitečných signálů šířících se přes testovaný systém.
33
Obr. 3.15. Závislost hodnoty R na počtu qdu [g108].
Tab. 3.3. Přehled provizorních hodnot Ie [g113].
34
•
Dt [ms] (Difference for Absolute Delay) - představuje rozdíl mezi celkovým zpožděním a zpožděním ozvěny v jednom směru (Dt = Ta - T).
•
Ds [dB] (D-value of Telephone at Send Side) - představuje rozdíl v citlivosti hovořícího účastníka mezi užitečným signálem a zvuky pronikajícími do mikrofonu z okolí.
•
Dr [dB] (D-value of Telephone at Receive Side) - představuje rozdíl v citlivosti příjemce mezi užitečným signálem a zvuky pronikajícími do mikrofonu z okolí.
•
Ps [dB] (Room Noise at the Send Side) - představuje hluk z okolí na vysílací straně.
•
Pr [dB] (Room Noise at the Receive Side) - představuje hluk z okolí na přijímací straně.
•
Bpl [-] (Packet-loss Robustness Factor) - představuje odolnost použitého hlasového kodeku vůči ztrátovosti paketů.
•
Ppl [%] (Packet-loss Probability) - představuje procentuální ztrátovost všech užitečných paketů.
•
BurstR [-] (Burst Ratio) - představuje pravděpodobnost, že možné projevené ztrátovosti paketů budou shlukového charakteru či nikoliv.
•
A [-] (Advantage Factor) soustředěnosti posluchače.
představuje faktor zvýhodnění v závislosti na potřebě
Všechny tyto uvedené parametry se spolu podílí na výsledné hodnotě R. Každý z nich má doporučenou výchozí hodnotu, při které je výsledná kvalita dle skaláru R = 93,2, což odpovídá přibližně hodnotě 4,4 na stupnici MOS.
3.2.2
Výpočet E-modelu
Výpočet celého modelu se skládá z různých matematických operací nad parametry uvedenými v předchozí podkapitole. Samotný výpočet lze rozložit do několika komponent. Rovnice pro výpočet skaláru R je definována vztahem (1).
R = R0 − I S − I D − I E − EFF + A
(1)
Ro představuje základní odstup signálu od šumu, ve kterém jsou zahrnuty všechny možné druhy šumu včetně šumů způsobenými elektrickými obvody zařízení a šumy způsobených na vedení. Is zahrnuje všechny možné kombinace zhoršení, které se objevují více či méně souběžně s užitečným hlasovým signálem. Faktor Id představuje všechna zhoršení, která jsou způsobena různými kombinacemi zpoždění. Ie-eff zahrnuje zhoršení způsobené užitím určitého hlasového kodeku, projevením možné ztrátovosti paketů, a jeho odolnosti vůči ztrátovosti. V poslední řade nám parametr A celkovou výslednou kvalitu mírně zlepšuje, neboť např. v případě satelitního telefonu je uživatel na hovor více soustředěný než při běžném použití pevného terminálu v domácím prostředí [g107].
35
Odstup signálu od šumu (Ro) Základní odstup užitečného signálu od šumů se vypočítá dle vztahu (2) [g107]. (2) Parametr No [dBm0p] představuje výkonový zisk všech možných zdrojů šumu a je definován vztahem: (3) Parametry Nos [dBm0p] a Nor [dBm0p] jsou ekvivalentní parametru Nc ve vztažném bodě 0 dBr (viz obr. č. 3.11), ale navíc je brán v potaz šum z okolí (na straně vysílací Ps, na straně přijímací Pr): (4) (5) Pre [dBm0p] představuje "efektivní okolní šum" způsobený rozšířením Pr o cestu místní vazby na straně posluchače: (6) Poslední parametr Nfo představuje hodnotu Nfor přijímací strany: (7)
Faktor souběžného zhoršení (Is) Komponenta Is pro výpočet skaláru R zahrnuje součet všech zhoršení výsledné kvality, které mohou nastat souběžně s přenášením hlasu přes přenosovou cestu [g107]. Tento faktor je definován vztahem (8). (8) Faktor Iolr představuje zhoršení příliš nízkou hodnotou celkového OLR a je dán vztahem:
(9)
36
Kde parametr Xolr je definován vztahem: (10) Faktor Ist představuje zhoršení kvality způsobené neoptimální místní vazbou, je definován vztahem (11).
(11) Kde parametr STMRo je definován vztahem: (12) Faktor Iq představuje zhoršení kvality způsobené kvantizačním zkreslením, je dán vztahem (13). (13) Kde parametry Y a Z a jejich pod-výpočty jsou definovány vztahy: (14)
(15) (16) (17)
Faktor zhoršení způsobeného zpožděním (Id) Komponenta Id v sobě zahrnuje součet všech zhoršení výsledného přeneseného vzorku způsobené různými zpožděními a jejich kombinacemi [g107]. Výpočet tohoto faktoru je dán vztahem (18). (18) Parametr Idte dává odhad pro zhoršení způsobené ozvěnou hovořící strany. Výpočet se provede dle vztahu (19).
37
(19)
Kde parametry Roe, Re a jejich pod-výpočty jsou dány vztahy: (20) (21)
(22)
Velmi nízké hodnoty parametru STMR mohou mít maskovací účinky ozvěny vysílací strany, proto lze říci, že pro hodnoty STMR 9 dB platí, že parametr TERV v rovnici (21) bude nahrazen parametrem TERVs definovaný vztahem(23). (23) Naopak pro vysoké hodnoty parametru STMR může začít být ozvěna hovořící strany více patrná, proto parametr Idte v rovnici (18) je nahrazen parametrem Idtes, definovaný vztahem (24). (24) Faktor Idle představuje zhoršení způsobené ozvěnou na přijímací straně:
(25)
Kde parametr Rle je definován vztahem: (26) Idd představuje zhoršení způsobené příliš velkým zpožděním Ta, které se projevuje i při precizním mechanismu potlačování ozvěn. Tento faktor je definován vztahem (27) v závislosti na Ta.
0 1 1 Idd = X 66 6 6 25 ⋅ (1 + X ) − 3 ⋅ 1 + ( 3 ) + 2 Kde parametr X je definován vztahem:
38
(28)
Faktor zhoršení způsobené zařízením (Ie-eff) Zhoršení kvality přeneseného hlasu způsobené zařízením v sobě zahrnuje ovlivnění způsobené užitím určitého typu hlasového kodeku. To s sebou také přináší různou odolnost vůči možné ztrátovosti přenášených paketů. Z toho plyne, že celková hodnota Ie-eff je ovlivněna také ztrátovostí a jejím charakterem. Záleží tedy, zda ztrátovost je shlukového či náhodného charakteru [g107], [g113]. Parametr BurstR = 1, pokud můžeme říci, že celková ztrátovost přenášených paketů je čistě náhodná a BurstR 1, pokud ztrátovost má shlukový charakter a projevuje se v určitých pravidelných či nepravidelných časových intervalech, kde je za sebou ztraceno více paketů [g107]. Komponenta Ie-eff je tedy definována vztahem:
(29)
Faktor zvýhodnění (A) Faktor zvýhodnění mírně vylepšuje celkovou hodnotu skaláru R, což je dáno tím, že za různých podmínek je kladen jiný důraz na soustředěnost posluchače. Provizorní hodnoty definované v doporučení ITU-T G.107 jsou uvedeny v tabulce č. 3.4 [g107].
Tab. 3.4: Přehled provizorních hodnot parametru A dle ITU-T G.107 [g107].
3.2.3
Přepočet hodnoty R na MOS
Hodnota skaláru R leží v rozsahu 0 - 100, kde nižší hodnoty blížící se k 0 odpovídají velmi nízké kvalitě a hodnoty blížící se ke 100 kvalitě vysoké. Tyto hodnoty lze přepočítat na hodnoty MOS-CQE odpovídající doporučení ITU-T P.800.1 [abdu], [g107]. Pro přepočet je použit vztah (30).
39
MOSCQE
1 R < 6, 5 = 6, 5 ≤ R ≤ 100 1 + 0, 035 ⋅ R + R ⋅ ( R − 60) ⋅ (100 − R ) ⋅ 7 ⋅10−6 R > 100 4.5
Vztah mezi hodnotami R a MOS není lineární a je patrný z obr. 3.16.
Obr. 3.16: Vztah mezi hodnotami R a MOS [g107].
40
(30)
4
Bezpečnost v IMS
Jelikož je IMS poměrně mladou technologií v oblasti informačních služeb, byly donedávna snahy vývojářů zaměřeny na standardizaci transportních a signalizačních protokolů a otázka zabezpečení zůstávala až jako druhotný problém. Proto jsou protokoly používané v IMS ve své základní podobě nechráněny a neobsahují žádné zabezpečující mechanizmy, které by zamezily útočníkovi v přístupu k údajům či datovému obsahu přenosu. Proto bylo nutností navrhnout různé techniky zabezpečení, jak pro transportní, tak i pro signalizační protokoly. V této kapitole budou blíže popsány jednotlivé techniky zabezpečení a nejlepší způsob jejich využití.
4.1
Protokol DIAMETER
DIAMETER [hlad] patří mezi tzv. AAA protokoy (authentication, authorization and accounting), česky autentizace, autorizace a účtovaní používaný pro přístup k síti nebo pro IP mobilitu. Hlavní koncept tvoří základní protokol, který může být rozšířen pro poskytování AAA služeb novým přístupovým technologiím. Může pracovat jak lokálně tak i v roamingu. Protokol pro přenos požívá TCP a SCTP a jedná se výhradně o protokol pro komunikaci klient server, s výjimkou podpory některých zpráv generovaných serverem. DIAMETER umožňuje take dynamické objevování uzlů (DNS, SRV, NAPTR) a lze pro něj definovat nové příkazy či ho snadno rozšířit. Jedná se o následníka protokolu RADIUS. Hlavní částí při komunikaci klient server jsou Relay Agent, Proxy Agent, Redirect Agent a Translation Agent. Proxy Agent zajišťuje dopravu dotazů a odpovědí v komunikaci mezi klientem a serverem. Relay Agent zajišťuje přepojování na základě přepojovací tabulky. Redirect Agent zajišťuje přesměrování zpráv na jiného agenta nebo přímo na dotazovaný server. Translation Agent zajišťuje překlad zpráv mezi dvěma zařízeními s rozdílnými protokoly (např. DIAMETER - RADIUS). Účtování v protokolu je založeno na schopnosti zjišťovat stav v reálném čase. Tento model znamená, že plán účtování provádí vždy pouze jeden ze dvou oprávněných. Záleží na cestě a čase účtovacích dat. Server pomocí Acct-Interim-Interval a Accounting-Realtime-Required AVPs řídí činnost Diameter uživatele. Všechny jeho aktivity jsou zaznamenávány pomocí jednoduchých zpráv START_RECORD, STOP_RECORD, INTERIM_RECORD a ukládány na server, kde jsou pak dále využity.
41
Obr. 3.17. Hlavička protokolu DIAMETER version – určuje verzi protokolu Message Length – 3 oktety, určuje velikost zprávy včetně hlavičky Command Flags – 8bitů, jsou tyto příkazy | R P E T r r r r | R(equest) – označuje žádost P(roxiable) – je-li nastaveno, zpráva je pro Proxy nebo Relay nebo Redirect. Není-li nastaveno jedná se o lokální proceduru. E(rror) – chybová zpráva T(Potentially re-transmitted message) – při opakovaném zasílání požadavků, které nebyly potvrzeny r(eserved) – volné bity pro budoucí možné rozšíření Command Code – 3 oktety, určuje příkaz Application ID – 4 oktety, určuje jaká zpráva je obsažena, jestli autentizací nebo účtování nebo jde o poskytnutí speciální služby. Hop-by-Hop Identifier – 4 oktety, zajišťuje sjednocení žádostí a odpovědí, tj. přidělí identifikátor žádosti a stejný identifikátor je u odpovědi. End-to-End Identifier – 4 oktety, zajišťuje identifikace zpráv, aby nedošlo k jejich duplikaci AVPs – nese informace o autentizaci, autorizaci a účtování. (AVP – Attribute-Value-Pairs)
Obr. 3.18. Hlavička AVP AVP Code – jedinečná čísla 1-255 jsou kompatibilní s protokolem Radius od čísla 256 jsou typická pro protokol Diameter. AVP Flags – informuje přijímač jak přijatou zprávu zpracovat AVP Length – určuje délku celého AVP Vendor-ID – je nepovinný údaj a určuje specifické funkce Dále následují AVP data. Při použití protokolu DIAMETER v síti IMS je autentizace a autorizace zajišťována při komunikaci v jádru tohoto systému, k tomu je využíváno rozhraní Cx. Ve standardu 3GPP TS 29.228
42
jsou vyspecifikovány zprávy tohoto rozhraní. Identifikace uživatele probíhá na základě informací uložených na kartě UICC (Universal Integrated Circuit Card). Je zde uloženo unikátní identifikační číslo přidělené operátorem a je jedinečné v celosvětové síti. Dále je zde uloženo vlastní telefonní číslo. • IMEI identifikační číslo - identifikuje zařízení, jeho součástí jsou: - TAC (Type Approval Code) slouţí k identifikaci typu zařízení, - FAC (Final Assembly Code) identifikace výrobce zařízení, - SNR (Serial number) sériové výrobní číslo, zadáno výrobcem . • SIM-karta - identifikace uživatele konkrétní sítě s konkrétními službami: - MCC (Mobile Country Code) identifikace státu, - MNC (Mobile Network Code) identifikace sítě – poskytovatele, - MSIN (Mobile Subscribe Identification Number) registrační číslo účastníka • MSISDN - skutečné telefonní číslo účastníka
Obr. 3.19. Hlavička AVP
43
Každá prvotní registrace (autentizace) uživatele spočívá v (obrázek 3): 1. Účastnický přístroj odešle identifikační kód SIM karty, popř. kód zařízení (u mobilních telefonů) a žádost o autentizaci. 2. Lokalizační server tyto kódy srovná s databází. A odešle terminálu potvrzovací zprávu o autentizaci. 3. Následné každé přihlášení do sítě je jen otázkou autorizace
4.2
Techniky zabezpečení signalizačních protokolů
Signalizační protokoly slouží k vytvoření, správě a řízení telefonní komunikace mezi účastníky. Samotné signalizační protokoly nemají žádné bezpečnostní ochrany proti případným útokům. Jsou však definovány bezpečnostní mechanismy, které využívají již jednou vytvořené standardy. V následujících podkapitolách budou popsány tyto mechanismy pro jednotlivé typy signalizačních protokolů využívaných v IMS. Pokud chceme definovat zabezpečení pro různé protokoly, služby či technologie je nutné vždy řešení postavit na čtyřech základních pilířích bezpečné komunikace. Ty jsou: Autentizace - Autentizace [wiki] je proces, při kterém se ověřuje, zda je uživatel či komponenta opravdu tím, za koho se vydává. V technologii VoIP to znamená, že se snažíme pomocí různých prostředků a mechanismů ověřit a zaručit, že volající je opravdu ten, za nějž ho považujeme, volaný je opravdu ten, s kým chceme hovořit a podobně. Autorizace – Při autorizaci [wiki] ověřujeme, zda má daný uživatel oprávnění provádět některé služby a provádět různé akce. Je závislá na předchozí autentizaci. Důvěra – Jedná se o zajištění dat při přenosu proti odposlouchávání [wiki]. Využívají se různé níže uvedené bezpečnostní mechanismy k udržení této hodnoty. Integrita – Integrita [wiki] znamená, že data, která jsou přenášena od jednoho klienta ke druhému, nebudou narušena, pozměněna, smazána.
4.2.1
SIP
V následující kapitole budou popsány základní techniky zabezpečení, které se momentálně používají u protokolu SIP. Zásady zabezpečení a bezpečnostní metody využívané protokolem SIP definovány v RFC 3261[sip] jsou následující: •
Zachování důvěry a integrity zpráv.
•
Zabránění replay útokům.
•
Zamezení falšování zpráv.
•
Poskytnutí autentizace a soukromí pro účastníky komunikace.
44
•
Zabránění útokům typu DoS.
•
Zajištění důvěry, integrity a autentizace zpráv účastníků.
Jak je popsáno v RFC 3261 [sip] úplné šifrování zpráv je považována za nejlepší techniku pro zachování důvěry v signalizaci a zaručuje, že zprávy nejsou modifikovány jakýmkoliv zlomyslným útočníkem. Vzhledem ke koncepci SIP, žádostí a odpovědi nelze šifrovat způsobem konec-konec v tzv. „plném rozsahu“, protože obsah polí jako je ‘Route’ a 'Via' v hlavičce musí být viditelné a přístupné pro proxy servery ve většině sítových architekturách, včetně SIP serverů. Některé proxy servery potřebují také upravit určité prvky ve zprávě, (např. Přidání hodnot do pole 'Via' v hlavičce). V důsledku jsou tedy pro SIP používány zabezpečovací mechanismy na nižších vrstvách, které šifrují celé SIP žádosti a odpovědi na základě hop-by-hop metody [sip]. Na obrázku 3.19 můžeme vidět přehled používaných bezpečnostních mechanismů, které budou popsány v následujících podkapitolách.
Obr. 3.19: Rozdělení bezpečnostních mechanismů SIP protokolu Digest Authentication SIP umožňuje využívat autentizační metodu založenou na autentizaci v HTTP (RFC 2617 [zora]. Pomocí tohoto nespojově, na výzvě založeného způsobu ověření dosáhneme, aby proxy server, registrar server nebo jakýkoliv UA zjistit totožnost iniciátora příchozí žádosti [sip]. Digest Authentication využívá starší metody Basic Authentication s tím rozdílem, že místo přenosu otevřeného hesla ho šifruje pomocí hashovací funkce MD5. Basic Authentication se již nedoporučuje používat vzheledem k jeho slabé ochraně používaných hesel. Když např. UA pošle požadavek ‘REGISTER‘ na SIP registrar server nebo ‚INVITE‘ požadavek na SIP proxy, žádost je zamítnuta a je poslána odpověď. V případě proxy serveru se jedná o odpověď ‚407 Proxy Authentication Required‘ a v případě registrar serveru o ‘401 Unauthorized Response’. Tyto odpovědi v sobě nesou zprávu, jaký způsobem má být požadavek autentizován, jaká metoda má být použíta. Do hlavičky dalšího požadavku je pak přidáno pole v závilost na typu požadavku. V případě, že se jedná o proxy je vyžadována ‘Proxy-Authenticate’, v případě registraru pak 'WWW-Authenticate' [eren]. Tyto pole obsahují následující parametry:
45
•
Authentication Scheme: použité ověřovací schéma. V našem případě Digest.
•
Realm: určuje pole rozsahu platnosti ověření. Vetšinou bývá platnost v rámci domény (např. vsb.cz).
•
Nonce: jedná se o hodnotu vyjádřenou dekadicky nebo pomocí datového fomrátu base64. Tato hodnota je generována UA, který se autentizuje oproti registar nebo SIP proxy.
Obr. 3.20. Výpočet odpovědi pro Digest Authentication Autentizační pole v hlavičce může obsahovat více parametrů, například jaký typ šifrovacího algoritmu bude je použit. Pokud není žádný definován, je v základě použita hashovací funkce MD5, MD5[wiki] . UA, který inicializuje požadavek, odpovídá na výzvu k autentizaci vypočítáním nového tentokráte již autentizovaného požadavku. Výpočet hodnoty pro nový požadavek můžeme vidět na obrázku 20 a získává se z následujících parametrů: •
Username: Uživatelské jméno je známé v UA, který zasílá žádost a v SIP serveru, který požaduje autentifikaci. Obvykle je toto jméno součástí stálé SIP URI v UAC (např. je-li SIP URI sip:
[email protected], uživatelské jméno by mohlo být 7014).
•
Realm: Určuje pole rozsahu platnosti ověření. Vetšinou bývá platnost v rámci domény (např. vsb.cz).
•
Password: Heslo je sdílené tajemství známé oběma stranami učástnící se autentizace. Heslo se musí získat tzv. z jiného prostředí, což znamená, že protokol SIP samotný neposkytuje mechanismus pro definování hesla.
46
•
Nonce: jedná se o hodnotu vyjádřenou dekadicky nebo pomocí datového formátu Base64. Tato hodnota je generována UA, který se autentizuje oproti registar nebo SIP proxy.
•
SIP method: Původní SIP žádost (např. 'INVITE' nebo 'REGISTER'), která inicialozovala autentizaci se zároveň použije pro výpočet hodnoty.
•
Request URI: jedná se o URI cílové stanice.. Pokud je například poslána žádost 'REGISTER', tak Request URI v tomto případě bývá adresa registrar serveru.
Hodnota pro požadavek je vypočítána klientem a je poslána zpátky na server, který autentizaci požadoval.Server vypočítá ze stejných parametrů jako klient tu samou hodnotu a porovná zda jsou obě hodnoty identické. SIP Digest mechanismus (viz výše) je nejčastěji používanou technikou v infrastruktůře s jednou doménou, kde si uživatel a poskytovatel vyměňují sdílené tajemství, jakým je například uživatelské jméno a heslo. Nicméně SIP Digest mechanismus nezaručuje integritu a autenticitu celé SIP zprávy, ale pouze polí hlavičky ('URI' a 'Method'), které jsou zahrnuty do výpočtu hodnoty pro ověření [sip].
SIPS (SIP Security) SIPS nebo také SIP přes TLS (Transport Layer Security, RFC 2246) [tls], stanoví mechanismus pro hop-by-hop přenos SIP šifrovaných zpráv a byl přejat od HTTPS (RFC 2818). TLS pracuje na transportní vrstvě nad TCP protokolem a sestává se z několika částí [eren]: •
Handshake Protocol: Sjednávání a koordinace komunikačních parametrů (šifrovací nebo hashovací algoritmus, symetrický klíč).
•
Record Protocol: Fragmentace a komprese datagramů, hashing a šifrování.
V průběhu TLS spojení UAC vyžaduje platný certifikát od UAS a tento certifikát musí být poskytnut (vygenerován) důvěryhodnou certifikační autoritou (CA). Doporučuje se mít na straně klienta certifikát ověřený tzv. kořenovým certifikátem a k tomu je zapotřebí PKI (Public Key Infrastructure) [eren]. Jakmile je celá zpráva kódována pomocí TLS scénáře, samotná komunikace může být zabezpečena pouze hop-by-hop metodou. To znamená, že klient, který používá SIPS sestavuje zabezpečenou relaci s první SIP proxy. Šifrováné SIP zprávy jsou přenášeny mezi nima.
47
Obr. 3.21. SIP přes TLS Proxy poté dešifruje obdržené zprávy a sestavuje zabezpečenou relaci s dalším prvkem SIP infrastruktury. Síťové prvky potřebují dešifrovat přenášený obsah zpráv, aby měly přístup k polím v hlavičce jakou jsou např. 'Via' nebo 'From' a 'To'. Bez přístupu ktěmto polím by zpráva nemohla být směrována. SIPS proto zaručuje důvěrnost a integritu SIP zpráv pouze mezi dvěma prvky sítě, nikoli na celé trase spojení od volajícího k volanému. [eren].
Režim SIPS URI Díky režimu SIPS URI (podobný HTTPS) může UAC požadovat zabezpečenou komunikaci pro celý průběh signalizace. SIPS URI má podobný tvar jako SIP URI s tím rozdílem, že se prefix sip mění na sips: sips:
[email protected] Pokud je požadovaná URI ve tvaru SIPS je zaručeno, že každý síťový prvek, který zpracovává tento požadavek, přenáší data zabezpečené. Pokud žádost dosáhla k cílové proxy, místní zabezpečení a směrování politiky jsou informovány, ale není to povinné, že je použito TLS [eren].
S/MIME Secure/Multipurpose Internet Mail Extensions (S/MIME) byl vyvinut jako bezpečnostní rozšíření standardu MIME pro šifrování a podpis těl e-mailových zpráv. Je popsán v RFC 3851 (verze 3.1) [voz71]].
48
Obr. 22: SIP přes S/MIM Jelikož i SIP zprávy mohou obsahovat tělo MIME (MIME typ 'application / SDP'), stejně jako e-mailové zprávy, a protože není S/MIME vázaná jen na email, může být rovněž použita i u SIP protokolu. S/MIME umožňuje SIP UA šifrovat těla MIME zpráv v SIP žádostech a odpovědích na základě konec-konec, aniž by byly ovlivněny hlavičky zpráv. To umožňuje směrování těchto zpráv v síťové infrastruktuře, ale zakazuje síťovým prvkům manipulovat s obsahem zprávy. To znamená, že s použitím S/MIME je možné zajistit důvěru a integritu zpráv od volajícího až k volanému. To u SIP přes TLS nebylo možné. Použití S/MIME se SIP protokolem je popsáno v RFC 3261 [sip]. Tělo zprávy je podepsáno soukromým klíčem odesílatele a zašifrované veřejným klíčem příjemce [wiki]. S/MIME, může využívat různé šifrovací algoritmy jako například RSA [wiki], 3DES nebo AES a různé hashovací algoritmy pro podpis, jako MD5 [wiki] nebo SHA - 1 [wiki]. Aby bylo možné zprávu šifrovat a podepsat, je nutné aby měl odesílatel znalosti o veřejném klíči příjemce. Dále musí mít příjemce znalosti o veřejném klíči odesílatele za účelem ověření podpisu. Také soukromé klíče a certifikáty jsou potřeba. Přestože SIP již obsahuje metody pro výměnu klíču, využívá se PKI a odesílatel musí znát veřejný klíč příjemce, aby mohl zprávu zašifrovat. [eren]. Podle výše uvedeného popisu je tedy zřejmé, že zprávu od odesílatele může dešifrovat pouze právoplatný příjemce a ne žádný jiný síťový prvek (např. SIP proxy), přes které zpráva prochází. Při použití S/MIME musíme brát v potaz, že některé síťové prvky (ne typický SIP proxy) jsou založeny na prohlížení či úpravě obsahu SIP zpráv (zejména SDP) a v tomto případě nelze S/MIME použít [sip]. Dalším možným řešením s využitím S/MIME je tzv. SIP Tunneling, kde je celá SIP zpráva zkopírovaná a zabalená do S/MIME těla. Při této metodě je možné zabezpečit celou SIP zprávu a při dešifrování zprávy, která obsahuje i kopii hlavičky, může přijemce porovnat tuto hlavičku s nezašifrovanou a tak odhalit případnou manipulaci [eren].
49
IPsec IPSec (Internet Protocol Security) je soubor mechanismů a algoritmů na síťové vrstvě OSI modelu a je popsán v RFC 4301 [kent]. Tyto mechanismy mohou být společně použity při zabezpečení komunikace přes IP [sip]. IPSec umožňuje důvěrný a autentizovaný přenos IP paketů [frie] a je nejčastěji používán v architekturách, kde má několik uživatelů nebo domén již vytvořenou mezi sebou důvěru k ostatním. V případě domén se tento stav nazývá mezidoménová důvěra. IPSec je obvykle implementován na úrovni operačního systému uživatele, nebo na bezpečnostní bráně, která zajišťuje zachování důvěry a integrity pro veškerý provoz, který přijímá od konkrétního rozhraní (VPN architektura). IPSec lze použít také pro hop-by-hop metodu [sip]. Bezpečnostní služby jsou poskytovány dvěma IPSec protokoly [frie]: •
Authentication Header Protocol (AH)
•
Encapsulating Security Payload Protocol (ESP)
Hlavními úlohami AH je zaručení autenticity původu paketů, integrita nespojově posílaných paketů a také ochranu proti replay útokům. ESP umožňuje garantovat důvěru nespojové komunikace a obsahuje jednoduchý mechanismus proti monitorování provozu. AH a ESP mohou být použity v kombinaci nebo každý jednotlivě [frie]. Uvádí se, že IPSec se snad nejlépe hodí pro ty případy, kdy by implementace zabezpečení přímo u SIP uživatelů byla obtížná. UA, kteří mají vyměněny sdílené klíče se SIP proxy vzdálenou pouze jeden hop, jsou také dobří kandidáti pro využití IPsec.
4.2.2
MGCP, Megaco
Tyto signalizační protokoly, stejně jako výše uvedený SIP, nemají ve svém základu implementovány žádné zabezpečující mechanismy. Pro protokoly MGCP a Megaco [sip] se využívá množiny služeb IPsec [abdu]. IPsec jsou bezpečnostní služby, fungující na síťové vrstvě a jsou schopny zajistit integritu, důvěru a pravost přenášených zpráv. IPsec je tvořen dvěma protokoly: Authentication Header (AH) a Encapsulated Security Payload (ESP). Princip funkce těchti protokolů je uveden v předchozí kapitole.
4.3
Techniky zabezpečení transportních protokolů
U transportních protokolů a jejich zabezpečení musíme hlavně brát zřetel na to, že komunikace pomocí těchto protokolů probíhá v reálném čase, proto i zabezpečovací techniky musí byt implementovány tak, aby vznikalo minimální časové zpoždění. Stejně jako u signalizačních protokolů, tak ani nejpoužívanější transportní protokol Real-time Transport Protocol (RTP) neobsahuje ve svém základu žádné ochranné metody či mechanizmy, proto byl definován protokol SRTP (Secure Real-time Transport Protocol), který již tyto metody má implementovány. V nedávné době byl také uveden nový bezpečnostní protokol ZRTP (Zimmermann Real-time Transport Protocol), který nemá sloužit jako náhrada za SRTP, ale pouze jako nadstavba pro jeho lehčí použití a implementaci. Popis zabezpečení těchto protokolů je uveden v modulu VoIP v kapitole 1.5.
50
5
[abdu]
Literatura
Abdulhussain E. Mahdi, Dorel Picovici, Advances in voice quality measurement in modern telecommunications., Digital Signal Processing, Volume 19, Issue 1, January 2009, Pages 79-103, ISSN 1051-2004, DOI: 10.1016/j.dsp.2007.11.006. Dostupné z: http://www.sciencedirect.com/science/article/B6WDJ-4RDR1CB1/2/958e88d22cf9264b6e3c6bbc55a4bac4
[cain]
Cain and Abel, online:http://www.oxid.it/cain.html, duben 2009.
[cam]
Camp,K. IP Telephony Demistified, McGraw-Hill, 2003, New York, ISBN 0-07-140670-0.
[col]
Collins, D. Carrier Grade Voice Over IP. New York: McGraw-Hill, 2002. ISBN 00-714-0634-4.
[eren]
E. Eren, K. Detken. VoIP Security. Hanser Verlag, 2007.
[frie]
S. Friedl. An Illustrated Guide to IPsec. http://unixwiz.net/techtips/iguide-ipsec.html, 2007.
[g107]
ITU-T Recommendation G.107, The E-model: A computational model for use in transmission planning., Geneva, 04/2009.
[g108]
ITU-T Recommendation G.108, Application of the E-model: A planning guide., Geneva, 09/1999.
[g113]
ITU-T Recommendation G.113, Transmission impairments due to speech processing., Geneva, 11/2007.
[gpl]
The GNU General Public License, online: http://www.gnu.org/licenses/gpl.html
[har]
W. Hardy.VoIP service quality, McGraw-Hill, 2003, New York, ISBN 0-07-141076-7.
[hlad]
Hladikova, V., Vývoj architektury IMS, bakalářská práce, VUT-Brno, 2008
[invt]
INVITEflood, online:http://www.hackingvoip.com/tools/inviteflood.tar.gz, únor 2011.
[kent]
S. Kent, K. Seo. RFC 4301 - security architecture for the internet protocol. Technical report, IETF, 2005.
[kism]
Haines, B., Thorton, F., Schrearer, M., Kismet Hacking, Syngress; Pap/Dig edition June 25, 2008, ISBN: 978-1597491174.
[meg] [ness]
Meggelen, J. Asterisk The Future of Telephony, O REILLY, 2006, ISBN 0596009623. Archibald, N., Ramirez, G., Rathaus, N., Burke, J., Caswell, B., Denaison, R., Nessus, Snort, & Ethereal Power Tools: Customizing Open Source Security Applications (Jay Beale's Open Source Security Series), Syngress; 1 edition, June 1, 2005, ISBN-13: 978-1597490207
[nmap]
Lyon, G.F., Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning, Nmap Project, January 1, 2009, ISBN-13: 978-0979958717.
[p800]
ITU-T Recommendation P.800, Methods for subjective determination of transmission quality., Geneva, 08/1996.
[p862]
ITU-T Recommendation P.862, Perceptual evaluation of speech quality (PESQ): An objective method for end-to-end speech quality assessment of narrow-band telephone networks and speech codecs., Geneva, 02/2001.
51
[sin1] [sin2]
H. Sinnreich. SIP Beyond VoIP. VON Publishing LLC, New York, 2005, ISBN: 0974813001. H. Sinnreich.Internet Communications Using SIP, Wiley Computer Publishing, New York, 2001, ISBN 0-471-41399-2 .
[sip]
J. Rosenberg, H. Schulzrinne, G. Camarillo, A. Johnston, J. Peterson, R.Sparks,M. Handley, E. Schooler. RFC 3261 - sip: Session initiation protocol.Technical report, IETF,2002.
[spit]
Voznak,M.,Rezac,F. Voip Spam and a Defence against this Type of Threat, The 14th WSEAS International Conference on COMMUNICATIONS Corfu, July 23-25,2010, ISBN 978-960-474200-4, ISSN 1792-4243
[spit2]
Khayari R., Diploma Thesis – SPAM over Internet Telephony and how to deal with, Technishe Uviversitat Darmstadt, 2008.
[ssl1]
Hnilica, R., OpenSSL, online: http://www.penguin.cz/~radek/book/unix/ch32s02.html/, 2011.
[ssl2]
Viega, J., Meisser, M., Chandra, P., Network Security with OpenSSL, O'Reilly Media; 1 edition June 15, 2002, ISBN-13: 978-0596002701
[swan]
Wouters, P., Bantoft, K., Openswan: Building and Integrating Virtual Private Networks: Learn from the developers of Openswan how to build industry standard, military grade VPNs ... with Windows, MacOSX, and other VPN vendors, Packt Publishing, February 13, 2006, ISBN-13: 978-1904811251.
[tls]
T. Dierks, C. Allen. RFC 2246 - the tls protocol - version 1.0. Technical report, IETF,1999.
[udp]
UDPflood, online:http://www.hackingvoip.com/tools/udpflood.tar.gz, únor 2011.
[voz70]
Voznak,M., Zukal,D. Assessment of VoIP Quality , p.641-645, 6th International Conference RTT 2005, 12-14.9.2005, Hradec nad Moravici, FEI VSB-TUO, ISBN 80-248-0897-8.
[voz71]
Vozňák, M. - Zukal, D.: Kvalita Hlasu v prostředí VoIP, Technická zpráva 11/2005 , Cesnet z.s.p.o., říjen 2005
[voz72]
Vozňák, M., Zukal, D., Wija,T. Asterisk a jeho použití, Technická zpráva 12/2005 , Cesnet z.s.p.o., říjen 2005, URL: http://www.cesnet.cz/doc/techzpravy/
[voz73]
Vozňák, M., Zukal, D. Analýza VoIP aplikací Surveyor 7.0 Technická zpráva 13/2005 , Cesnet z.s.p.o., listopad 2005, http://www.cesnet.cz/doc/techzpravy/
[voz90]
Vozňák, M.: Signalizace SIP, str. 35-75 ve sborníku Teorie a praxe IP telefonie, vyd. Sdělovací
[voz92]
Diviš, Z., Vozňák, M., Blunár, K., Vašinek, V., Mer, P., Šebesta, R.: Moderní Komunikační
[voz111]
Halas M., Kyrbashov B., Voznak M.: Factors influencing voice quality in VoIP technology, In:
technika, ČVUT a ProTel engineering, v Praze 8.11.2006 Technologie. VŠB-TUO. Ostrava. 2006. skripta 413 stran. ISBN 80-248-1111-1. 9th International Conference on Informatics‘ 2007, pp. 32-35, Bratislava, 21-22.June 2007, ISBN 978-80-969243-7-0. [voz120]
Nappa,A.-Bruschi,D.-Rozza,A.-Voznak,M. Analysis and implementation of secure and unsecure Voice over IP environment and performance comparison using OpenSER. Technical report, 84 pages, published at Universita degli studi di Milano, December, 2007.
[voz133]
Voznak,M.-Rozza,A.-Nappa,A.Performance comparision of secure and insecure VoIP environments.TERENA Networking Conference 2008, TERENA, Brugge, Belgium, 19-22 May, 2008.
[voz138]
Voznak,M: Ipmact of openVPN on Speech Bandiwth. In proceedings TSP2008, 31th International conference, 3-4.9 in Paradfurdo, Hungary. Publisher: Asszisztencia Szervező Kft. Budapest, ISBN 978-963-06-5487-6.
[voz142]
Vozňák,M.Voice over IP. Vysokoškolská skripta, 176 stran. Vydavatel: VŠB-TU Ostrava, 1. vydání, v Ostravě, září 2008, ISBN 978-80-248-1828-3.
[voz146]
Nappa,A.,Voznak,M.Scapy: the definitive tool to manage and troubleshoot your network.Publisher: Piscopo Editore Srl.,Italy. In Magazine Linux&C, p.51-58, No.66 , issued in November 2008, ISSN 1129-2296.
52
[voz149]
Vozňák,M. Spojovací systémy. Vysokoškolská skripta, 196 str.Vydavatel: VŠB-TU Ostrava, 1. vydání, únor 2009, ISBN 978-80-248-1961-7. K dostání v prodejně skript VŠB-TUO
[voz159]
Voznak,M.,Rezac,F. The implementation of SPAM over Internet telephony and a defence against this attack. Publisher: Asszisztencia Szervező Kft. Budapest, 32nd International Conference TSP , August 26th-27th 2009, Dunakiliti, Hungary, ISBN 978-963-06-7716-5.
[voz166]
Voznak,M.,Rezac,F., Halás,M. Speech Quality Evaluation in IPsec Environment, p. 49-53, In Proceedings of the 12th Inter. Conference on Networking, VLSI and Signal Processing - ICNVS 2010, University of Cambridge, ISBN 978-960-474-162- 5, ISSN 1790-5117, Cambridge, February 20-22,2010.
[voz174]
Voznak,M.,Rezac,F. Zdralek,J. Danger Alert Communication System, The 17th International Conference IWSSIP 2010 , p.231-234, June 17-19, 2010, Rio de Janeiro, Brazil, ISBN 978-85228-0565-5.
[voz180]
Voznak,M.,Rezac,F., Tomala, K. SIP Penetration Test System, In Conference Proceedings TSP 2010 ,p.504-508, August 17th-20th 2010, Baden near Vienna, Austria, ISBN 978-96388981-0-4.
[voz188]
Voznak,M.,Rozhon,J. SIP Back to Back User Benchmarking, Proceedings The Sixth International Conference on Wireless and Mobile Communications ICWMC 2010, pp. 92-96, Published by IEEE Computer Society, September 20-25, 2010, University of Valencia , Valencia, Spain, ISBN 978-0-7695-4182-2.
[voz191]
Voznak,M.,Rozhon, J. Methodology for SIP Infrastructure Performance Testing , WSEAS TRANSACTIONS on COMPUTERS, Issue 11, Volume 9, pp. 1012-1021, September 2010, ISSN: 1109-2750.
[voz193]
Voznak,M.,Rezac, F. Threats Detection System, Advances in Data Networks, Communications, Computers, pp. 125-130, University of Algarve, Faro, Portugal, November 2010,ISBN 978-960474-245-5, ISSN 1792-6157.
[voz194]
Voznak,M.,Tomes, M., Vaclavikova, Z., Halas,M. E-model Improvement for Speech Quality Evaluation Including Codecs Tandeming, Advances in Data Networks, Communications, Computers, pp. 119-124, University of Algarve, Faro, Portugal, November 2010,ISBN 978-960474-245-5, ISSN 1792-6157.
[vpn]
Feilner, M., OpenVPN: Building and Integrating Virtual Private Networks: Learn how to build secure VPNs using this powerful Open Source application, Packt Publishing, May 11, 2006, ISBN-13: 978-1904811855.
[wiki]
Wikimedia Foundation. Wikipedia, the free encyclopedia. http://www.wikipedia.org , březen 2011.
[zora]
J. Palakal, M. J. Zoran, Feature extraction form speech spectrograms using multi-layered network models., Proc. IEEE InternationalWorkshop onTools for Artificial Intelligence, Architectures, Languages and Algorithms, 1989, pp. 224–230.
[zph]
Web Zphone project, online:http://zfoneproject.com/zrtp_ietf.html
53
6
Rejstřík 3GPP - (Third Generation Partnership Project)– Partnerský project třetí generace AAA - (Authentication, Authorization and Accounting) – Autentizace, autorizace, účtování. AES - (Advanced Encryption Standard) - Metoda šifrování dat. AH – (Authentication Header Protocol) – Protokol využívaný v IPsec. ARP – (Address Resolution Protocol) – Protokol pro mapování MAC adres na IP adresy. AVP – (Attribute-Value Pair) – Pár atributových hodnot. CA – (Certificate Authority) – Certifikační autorita CSCF – (Call Session Control Function) – Kontrolní funkce hovoru. DES - (Data Encryption Standard) - Metoda šifrování dat. DHCP – (Dynamic Host Control Protocol) – Protokol pro dynamické přidělování IP adres. DNS - (Domain Name Service) - Doménový systém jmen. DdoS – (Distributed Denial of Service) – Distribuované odmítnutí služby. DoS - (Denial of Service) - Odmítnutí služby. ENUM – (E.164 Number Mapping) – Mapování E.164 čísel na URI adresy. ESP – (Encapsulating Security Payload Protocol) – Protokol využívaný v IPsec. GPL – (GNU General Public Licence) - Všeobecná veřejná licence GNU. H.225 - Protokol pro signalizaci volání a sestavení komunikace pro H.323. H.235 - Protokol pro definici bezpečnostních profilů pro H.323. H.245 - Protokol k řízení multimediálního přenosu pro H.323. H.323 - Signalizační protokol používaný ve VoIP. HTTP - (Hypertext Transfer Protocol) - Internetový protokol používaný pro přenos informací.
54
HTTPS- (Hypertext Transfer Protocol Security) – Zabezpečený Internetový protokol používaný pro přenos informací. IPsec. - (IP security) - bezpečnostní rozšíření IP protokolu. ISDN – (Integrated Services Digital Network) – Digitální síť integrovaných služeb. ITU – (International Telecommunications Union) – Mezinárodní telekomunikační unie. MD5 - (Message-Digest algorithm 5) - Hashovací funkce. NAT - (Network Address Translation) - Překlad síťových adres. PBX - (Private Branch eXchange) - Pobočková telefonní ústředna. PSTN - (Public Switched Telephone Network) - Veřejná telefonní síť. RTP - (Real-time Transport Protocol) - Protokol přenosu v reálném čase. RTCP - (RTP Control Protocol) - Řídící protokol pro RTP. S/MIME – (Secure / Multipurpose Internet Mail Extensions) - Bezpečnostní rozšíření standardu pro odesílání emailových zpráv. SAML - (Security Assertion Markup Language) - Systém pro výměnu bezpečnostních informací. SDP - (Session Description Protocol) - Protokol k řízení multimediálního přenosu pro SIP. SHA1 - (Secure Hash Algorithm 1) - Hashovací funkce. SIP - (Session Initiation Protocol) - Signalizační protokol používaný ve VoIP. SPIT - (Spam over Internet Telephony) - Označení pro spam ve VoIP. SRTP - (Secure RTP) - Zabezpečený protokol přenosu v reálném čase. SRTCP - (Secure RTCP) - Zabezpečený řídící protokol pro RTP. TLS - (Transport Layer Security) - Protokol poskytující zabezpečenou komunikaci . TTS – (Text to Speech) – Technologie pro přenos textu na hlas. UA - (User Agent) - Koncové zařízení v SIP infrastruktuře. UDP – (Unified Datagram Protocol) – datagramový protokol používaný pro přenos v IP sítích. URI - (Uniform Resource Identifier) - Řetězec znaků pro identifikování či pojmenování zdroje. VLAN – (Virtual Local Area Network) – Virtuální lokální síť. VoGW – (Voice GateWay) – Hlasová brána. VPN – (Virtual Private Network) – Virtuální privátní síť, propojení důvěryhodných sítí skrze nedůvěryhodnou. ZRTP - (Zimmermann RTP) - Nástavbový protokol pro SRTP.
55
