STUN技术及在VOIP中的应用

admin管理员组

文章数量:1530842

2024年4月26日发(作者：)

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００１－８９７２．２０１０．２４．０３４　

ＳＴＵＮ技术及在ＶＯＩＰ中的应用　

张炳　

山西大同同煤集团通信有限责任公司数据网络中心　

ＩＰ信息可以以ＶＯＩＰ服务器端进行交互，　

从而实现ＮＡＴ穿越。由于该技术实现简　

ｓＴＵＮ　ｖ∞；公私网穿越　ｉｊ　ｌ　ｌ

只有在ＩＰ１首先给ＩＰ３发送报文之后，才　

可以通过ＩＰ２访问ＩＰ１。　

Ｐｏｒｔ　Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ：该类ＮＡＴ　

类似于Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ，但比Ｒｅｓｔｒｉｃｔｄ　ｅ

Ｃｏｎｅ多了对端口的限制，在此类ＮＡＴ　

单，因此它可以广泛地应用于有ＮＡＴ设　

备的ＶＯＩＰ网络中。　

刖肓　

ＳＴＵＮ分为ＣＬＩＥＮＴ和ＳＥＲＶＥＲ两　

随着互联网的迅速发展，以ＩＰ技术　

为基础的新一代通信系统逐渐发展成熟，　

其中以ＶＯＩＰ技术为代表的通信技术已逐　

渐得到广泛的应用。ＳＩＰ、Ｈ，３２３、ＭＧＣＰ　

部分，其中ＧＬＩＥＮＴ位于私网内部，可以　

集成到终端设备中，用于产生和发送　

ＳＴＵＮ请求报文，而ＳＥＲＶＥＲ部分位于公　

网之中，用来接收并响应ＣＬＩＥＮＴ发送的　

请求报文。所有的ＳＴＵＮ报文均有２０个字　

１２８　

中，一个内部ＩＰ及端口（ＩＰ１）映射到　

公网中的一个ＩＰ及端口（ＩＰ２），ＩＰｌ的数　

据包都需要通过ＩＰ２进行发送。公网其他　

ＩＰ３只有在ＩＰｌ首先给ＩＰ３发送包含ＩＰ及端　

口的报文之后，才可以通过Ｉ　Ｐ　２访问　

ＩＰ　１。　

等网络通信协议的开发为ＶＯＩＰ技术提供　

的ＮＧＮ技术的核　Ｌ，Ｌｔｌｌ应用了ＶＯＩＰ技术。　

了技术保障，目前在国内正在大规模实施　

节长的报头组成，如图一所示：

Ｉ　８　１６　２４　３２　ｌ０　４８………

『｝自息类型　ｌ　消息长度　　ｌ事落ＩＤ　Ｉ　

Ｓｙｍｍｅｔｒｉｃ：该类ＮＡＴ中，一个内　

网的ＩＰ及端口发送请求到一个公网的ＩＰ地　

址和端ＩＺｌ，均被映射到一个特殊的公网　

ＩＰ地址和端口。同一个内网ＩＰ访问不同　

的公网ＩＰ，将使用不同的映射关系，该　

ＮＡＴ的安全级别较高。　

尽管ＶＯＩＰ技术已经得到了广泛的应　

用，但在具体实施的过程中，仍普遍面　

图一　

其中消息类型分为Ｂ　ｉ　ｎ　ｄ　ｉ　ｎ　ｇ　

Ｒｅｑｕｅｓｔ、Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ、Ｂｉｎｄｉｎｇ　

Ｅｒｒｏｒ　ＲｅｓｐＯｎｓｅ　Ｓｈａｒｅｄ　Ｓｅｃｒｅｔ　

Ｒｅｑｕｅｓｔ、Ｓｈａｒｅｄ　Ｓｅｃｒｅｔ　Ｒｅｓｐｏｎｓｅ、　

临很多实际问题，大多数企业在部署　

Ｖ０ＩＰ应用时，大多采用了以下方案：　

ｌ、从安全的角度进行考虑，一般将　

ＶＯＩＰ网络放在公司防火墙后面，由防火　

墙实施保护。因此必须考虑如何让ＶＯＩＰ　

Ｓｈａｒｅｄ　Ｓｅｃｒｅｔ　Ｅｒｒｏｒ　Ｒｅｓｐｏｎｓｅ六类。事　

三．ＳＴＵＮ在ＶＯＩＰ中的具体应用　

如图三所示：ＳＴＵＮ客户端如：ＩＰ　

务ＩＤ是一个１６个字长的标识符，在同一　

流可以穿越防火墙。特别是ＶＯＩＰ的客户．　

个事务中使用相同的事务ＩＤ。

在消息头之后是消息属性部分，如　

端和服务端均位于防火墙之后。　

２、部分企业在实施ＶＯＩＰ项目时，　

图二所示属性部分由三部分组成，属性类　

由于没有充足的ＩＰ地址，不得不采用私　

型、属性长度、属性值：

１　８　ＩＢ　２４　３２　４０　４８　

电话、ＩＰ语音网关等设备位于各自的私　

网内，通过防火墙（ＦｉｒｅＷａｌ１）或边界　

会话器（ＳＢＣ）公网互联，与ＳＴＵＮ技　

术在具体应用中，Ｓｔｕｎ客户端会通过三　

种测试方式与公网上的Ｓｔｕｎ￣务器的两个　

ＩＰ和ｐｏｒｔ进行交互，根据返回的结果可　

以判断出ＮＡＴ的类型。　

网地址，为了保证公网用户可以注册到　

ｉ　娄型　ｉ　长度　ｆ　壤　ｆ　

ＶＯＩＰ系统中，需要在公司路由器或者边　

界会话器等设备中进行ＮＡＴ转换。　

在上述两种方案中，均面临如何解　

图二　

其中属性类型部分可分为ＭＡＰＰＥＤ—　

ＡＤＤＲＥＳＳ等共ｌ１种消息。　

决ＮＧＮ用户公私网穿越这一难题，在　

ＶＯＩＰ技术的发展过程中，先后出现了多　

种针对以上问题的解决方案，可以让基　

于ＶｏＩＰ呼叫穿透防火墙，但不同的ＮＡＴ　

设备要求使用不同的ＮＡＴ技术。因此在　

实施的过程中仍存在诸多不便。本文即　

讨论一种新的解决方案：利用ＳＴＵＮ服务　

二　ＮＡＴ技术　

在ＦＲＣ３４８９中将ＳＴＵＮ协议中的　

ＮＡＴ　４种类型，分别为：　ＦｕｌＩ　Ｃｏｎｅ、　

Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ、Ｐｏｒｔ　Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ　

　｜？　、一　。、　

和Ｓｙｍｍｅｔｒｉｃ。　

Ｆｕｌｌ　Ｃｏｎｅ：即一对一（ｏｎｅ—ｔｏ—　

、譬　、、　－　、　一／　

２　

ｏｎｅ）　ＮＡＴ，此类ＮＡＴ中，同一个内　

部ＩＰ及端口均被映射到同一个公网的ＩＰ及　

端口上，公网的其他ＩＰ均可以通过所映　

器技术解决ＶＯＩＰ应用中的ＮＡＴ问题。　

一

图三ＳＴＵＮ技术示意图　

测试一：ＳＴＵＮ客户端给ＳＴＵＮ服　

务器通过Ｕ　Ｄ　Ｐ协议发送一个Ｓ　Ｔ　Ｕ　Ｎ　

、

ＳＴＵＮ简介　

ＳＴＵＮ技术是一种轻量级协议，它　

允许位于ＮＡＴ之后的ＶＯＩＰ客户获取所分　

配的公网ＩＰ及端口号，同时还能够获取　

ＮＡＴ及防火墙类型　利用所获取的公网　

射的公网ＩＰ及端ＦＩ访问该内部ＩＰ。　

Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ：此类ＮＡＴ中，　

Ｂｉｎｄｉｎｇ　Ｒｅｑｕｅｓｔ，如果ＳＴＵＮ服务器没　

有返回响应，则表明此类链接并非ＵＤＰ　

链接。如果服务端接收到该请求，该服　

下转第８２　页　瓤　

个内部ＩＰ及端口（ＩＰ１）映射到公网中　

的同一个ＩＰ及端口（ＩＰ２），ＩＰ１的数据包　

一

都需要通过ＩＰ２进行发送。公网其他ＩＰ３　

中国科技信息２０１０年第２４期　ＣＨＩＮＡ　ＳＣＩＥＮＣＥ　ＡＮＤ　ＴＥＣＨＮＯＬＯ．ＧＹ　ＩＩ＇，ＦＯＲＭＡＴＩＯＮ　Ｄｅｃ．２０１０　

３．２环境噪声＼混响　

水下噪声和混响会对秘密信息的传输　

和检测产生很大的影响，信噪比不足可　

以导致水印完全无法检测。但另一方　

面，水下噪声和混响等固有条件又降低　

伪装技术可以得到初步的应用，而随着　

技术和装备的进一步发展成熟和水下通信　

网络的组建，单纯的加密技术不能满足　

－

上接第８Ｏ页　

务器将检查源ＩＰ地址和端口，并将该地　

址与端口号放入一个Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ中　

信息安全的需要，信息伪装技术必将在　

未来水下信息安全中发挥重要作用。而　

随着宽带主动声纳的出现，可以利用其　

强大的模仿、伪装自然声场的能力，在　

水声对抗中取得一定的优势。　

了对水印不可见性的要求。对秘密信息　

进行提取时，在非盲检测中，根据信号　

检测理论，秘密信息的检测概率与信噪　

比无关，只与水印和噪声的能量比有　

关，低信噪比时，加大水印嵌入能量可　

发送会客户端中。当客户端收到该　

Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ消息后，将其中由服　

务器端写入的地址与端口号与客户端地址　

及端Ｉ：１号进行对比，如果一致，则表明　

该客户端位于公网之中，否则表明该客　

户端位于一个或多个ＮＡＴ之后。　

测试二：经过测试一后，如果该客　

户端位于ＮＡＴ之后，则客户端将进行测　

以提高水印对噪声的鲁棒性。但另一方　

面，加大水印能量增加了通过掩密分析　

发现水印的可能性。根据人类听觉系统　

特性，通过扩频、跳频等技术调整秘密　

信息在载体信息中的分布可以增加水印的　

鲁棒性和不可见性。　

３．３　ＡＤ／ＤＡ转换　

随着宽带声纳的出现，利用宽带声　

试二，该测试中将利用同一源ＩＰ地址和　

端口向服务器端的另一个ＩＰ地址及端口发　

送一个Ｂｉｎｄｉｎｇ　Ｒｅｑｕｅｓｔ，服务器收到该　

请求后，将返回客户端一个Ｂ　ｉｎｄｉ　ｎｇ　

Ｒ　ｅ　ｓＰｏｎ　ｓ　ｅ。如果客户端可以收到该　

Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ，则表明客户端位于　

一

纳实现信息伪装技术有更大的优势。用　

宽带声纳模拟自然噪声可以增强主动声纳　

的隐蔽性。利用宽带声纳模拟自然噪声　

个Ｆｕｌｌ　Ｃｏｎｅ类型的ＮＡＴ之后。如果　

客户端没有收到Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ，接　

着客户端将利用该ＩＰ地址和端口再进行一　

次测试一，如果两次测试中的ＩＰ地址和　

端口号一样‘，则表明该客户端位于　

Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ或Ｐｏｒｔ　Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ　

会对信号的同步性造成影响，ＡＤ／ＤＡ转　

换过程会对信息伪装技术的应用产生很大　

影响。能够有效抵抗ＡＤ／ＤＡ转换的攻击　

是一个鲁棒的信息伪装算法的基本要求。　

现有的抗ＡＤ／ＤＡ转换方法是基于非　

盲水印检测的，发送和接收双方必须有　

相同的载体数据库，这限制了信息伪装　

的应用。一旦数据库泄露，信息伪装就　

失去了作用　在应用于军事领域时，盲　

检测有极大的优势。适用于盲检测的抗　

ＡＤ／ＤＡ转换攻击算法能够大大促进信息　

伪装技术在军事水声领域的应用。　

类型的ＮＡＴ之后，否则该客户端位于　

Ｓｙｍｍｅｔｒｉｃ类型ＮＡＴ之后。　

测试三：在测试中客户端将向服务　

器端Ｂ向Ｃ的第二个ＩＰ的一个端口发送一　

个Ｂｉｎｄｉｎｇ　Ｒｅｑｕｅｓｔ，并服务器端的第二　

个ＩＰ使用不同的端口号给客户端返回一个　

Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ。如果客户端收到该　

Ｂｉｎｄｉｎｇ　Ｒｅｓｐｏｎｓｅ，贝Ⅱ表明该ＮＡＴ类型　

为Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ，如果没有收到该消　

ｇＮ表明该ＮＡＴ对端口进行了限制，及　

客户端位于Ｐｏｒｔ　Ｒｅｓｔｒｉｃｔｅｄ　Ｃｏｎｅ类型　

ＮＡＴ之后。　

通过上述测试流程，ＳＴＵＮ客户端　

即可获取到ＮＡＴ的公网ＩＰ端口号，利用　

４、应用瓶颈及对策　

信息伪装技术应用于水下的主要瓶颈　

在于水声信道的传输速率低、带宽窄。　

从通信的角度看，水声通信速率很低，　

嵌入的秘密信息的传输速率会更低，这　

限制了信息伪装技术的广泛应用。这种　

限制主要体现在两方面，一是秘密信息　

该ＩＰ地址和端口即可替换ＶＯＩＰ注册时的　

ＩＰ地址和端口号并进行注册，即可实现　

ＮＡＴ穿越进行ＶＯＩＰ注册。而现在市场　

上大多数的ＶＯＩＰ设备均内置了ＳＴＵＮ客　

户端，因此使用该方法可以非常方便地　

实现Ｖ０ＩＰ功能。　

的传输速率过低会导致其难以满足实际需　

要；另一方面更重要的是，在水下通信　

网中，较低的传输速率可能难以产生足　

够大的信息流以掩盖秘密通信。要有效　

解决这个问题，需要更高的水声通信速　

率和更优的水印嵌入提取算法。　

５、结语　

信息伪装技术在保密通信和信息安全　

领域有重要的意义和应用前景。就目前　

的水下通信技．术和硬件设施看来，信息　

本文标签： 信息技术伪装进行客户端