Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

1 Wykład 12 TiTD VoIP SSL i Kerberos. 2 W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych.

Podobne prezentacje


Prezentacja na temat: "1 Wykład 12 TiTD VoIP SSL i Kerberos. 2 W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych."— Zapis prezentacji:

1 1 Wykład 12 TiTD VoIP SSL i Kerberos

2 2 W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych lub dedykowanych sieci wykorzystujących protokół IP VoIP (ang. Voice over IP) - telefonia internetowa

3 3 w 1995 r. - firma VocalTec - pierwszy program umożliwiający prowadzenie rozmów telefonicznych między dwoma komputerami podłączonymi do sieci Internet -Od roku 1996 można już było też korzystać z pierwszych urządzeń umożliwiających podłączenie do Internetu zwykłego aparatu telefonicznego (tzw. bramek VoIP). -kolejne oferty różnych zastosowań telefonii internetowej - w roku 2000 dialpad.com (pierwszy komunikator umożliwiający wykonywanie połączeń bez odrębnego programu, lecz w oparciu o aplet Javy umieszczony na stronie www), w 2002 Vonage (oferujący duże tańsze rozmowy w ramach stałej opłaty abonamentowej) czy popularny komunikator Skype w roku Ewolucja branży telekomunikacyjnej

4 4 Wywołanie abonenta: Strona wywołująca wysyła informację do serwera SIP (ang. Session Initiation Protocol) zawierającą podstawowe informacje, na jego temat. Serwer SIP sprawdza w bazie danych adres danego abonenta i na jego podstawie wysyła wiadomość inicjującą wywołanie. Rejestrator SIP (tzw. registrar) jest specjalną bazą danych, która komunikuje się z węzłami SIP specjalizującymi się w zbieraniu informacji na temat użytkowników SIP. Warstwa transportowa ramek głosu - protokół UDP Dane techniczne

5 5 Nazwa Pasmo Opóźnienie (ms) MOS G kbps bardzo małe(<10) 4.5 G kbps małe (~10) 4.1 G.729 8kbps średnie (~30) 4.0 G kbps duże (>40) 3.8 Do zakodowania fali akustycznej w technologii VOIP wykorzystuje się kilka algorytmów - różne zapotrzebowanie na pasmo i jakość dźwięku Mean Opinion Score (MOS) – miara jakości dźwięku

6 6 G.711 – międzynarodowy standard modulacji sygnałów mowy w kanałach o prędkości transmisji do 64 kbit/s -modulacja impulsowo-kodowa (PCM) o częstotliwości próbkowania 8 kHz (8 bitów na próbkę). Twierdzenie Shannona - w G.711 można kodować sygnały o częstotliwości do 4kHz. Podstawowa norma dla modulacji PCM w telefonii cyfrowej - często stosowana w telefonii internetowej (VoIP). Dwie odmiany kodowania: G.711U - stosuje algorytm μ-law, używany w Ameryce Północnej i Japonii G.711A stosuje algorytm A-law, używany przez resztę świata

7 7 Taki strumień pakietów jest następnie przesyłany za pomocą sieci wraz z innymi danymi. W urządzeniu odbiorczym cały proces jest odtwarzany w odwrotnym kierunku Sieć IP może być dowolną siecią z komutacją pakietów: ATM, frame relay, Internet, sieć opartą na łączach E1 (T1) - plezjochronicznych Podczas rozmowy VoIP: zostaje stworzona cyfrowa reprezentacja głosu kompresowana i podzielona na pakiety

8 8 urządzenia niezależne od komputera - bramka VoIP i telefon VoIP programy stworzone z myślą o komunikacji głosowej komunikatory internetowe - funkcjonalność poszerzona o możliwość przekazywania głosu serwery służące do obsługi połączeń VoIP i centralek PBX VoIP sprzętowy VoIP programowy Niezbędne są: specjalistyczne urządzenia specjalistyczne oprogramowanie wiele firm zajmuje się produkcją tego typu sprzętu i aplikacji

9 9 urządzenie telekomunikacyjne - jest odpowiedzialna za połączenie telefonicznej sieci IP do innych typów sieci - zapewnia interfejs (w czasie rzeczywistym) pomiędzy różnymi formatami transmisji ze standardową siecią telefoniczną PSTN lub ISDN. Bramka VoIP posiada co najmniej 2 złącza: port FXS - standardowy port z gniazdem RJ-11, do którego podłącza się aparat telefoniczny. port WAN do podłączenia Internetu. Najczęściej jest to gniazdo RJ-45 w standardzie Ethernet z dostępem do Internetu. Bramki VoIP

10 10

11 11 Telefony internetowe - dedykowane urządzenie podłączone bezpośrednio do sieci IP Oprogramowanie pracujące na komputerze ( soft-phone )

12 12 - umożliwiają tworzenie prywatnych sieci głosowych (np. w intranecie) oraz nadzorowanie przebiegu rozmów: biling kontrola pasma, kierowanie, przyjmowanie i odrzucanie zgłoszeń autoryzacja użytkowników. Serwery i routery VoIP

13 13 niezależność od monopolistów państwowych - swoboda wyboru, większa prywatność bezpłatne rozmowy wewnątrz sieci operatora niższy koszt połączeń z telefonią stacjonarną (dopiero przy połączeniach zagranicznych, ew. międzystrefowych) pełna mobilność użytkownika (problem roamingu ma mniejsze znaczenie) integracja z przyszłościowymi usługami takimi jak przesyłanie danych czy obrazu Zalety w porównaniu z telefonią tradycyjną:

14 14 zawodność usług (jakość) dedykowany sprzęt i oprogramowanie posiadanie łącza internetowego koszty aparatów Wady w porównaniu z telefonią tradycyjną:

15 15 zestaw standardów umożliwiających kompresję i dekompresję dźwięku oraz komunikację między urządzeniami i przesył pakietów. Protokoły i kodeki VoIP

16 16 Protokół SSL (ang. Secure Sockets Layer) umożliwia bezpieczny, szyfrowany przesył informacji przez Internet - znacznie utrudnione staje się ich odczytanie W procesie szyfrowania przesyłanych danych wykorzystuje się ideę klucza publicznego Protokół SSL

17 17 bezpieczna strona WWW (https:// zamiast sprawdzana jest autentyczność certyfikatu serwera - jeżeli wydawca certyfikatu jest wiarygodny dla przeglądarki, certyfikat serwera jest przyjmowany następuje szyfrowanie przesyłanych danych kluczem publicznym serwera Komunikacja przeglądarki z serwerem WWW wyposażonym w obsługę SSL:

18 18 Klient generuje losowo klucze, które będą używane do szyfrowania (oraz podpisywania wiadomości ) Klient przesyła klucze do serwera szyfrując je jego publicznym kluczem (uzyskanym z danych zawartych w certyfikacie). Tylko serwer może te klucze poznać bo zna swój klucz prywatny. Negocjowany jest algorytm szyfrowania oraz funkcja podpisu. Możliwych jest wiele rozwiązań - np. klient może przedstawić listę rozumianych przez niego algorytmów szyfrujących, zaś serwer wybierze najlepszy z nich. Rozpoczyna się wymiana informacji Przebieg połączenia SSL:

19 19 Chcę dostać informacje - wymyślam klucz szyfrujący Szyfruję mój klucz kluczem publicznym odbiorcy – tylko on może zdeszyfrować tę przesyłkę Wysyłam tę paczkę do odbiorcy On to deszyfruje swoim prywatnym kluczem – poznaje mój klucz i wszystko to, co do mnie wysyła szyfruje moim kluczem Ja nie mam kłopotu z odszyfrowaniem czegoś co jest zaszyfrowane moim kluczem

20 20 Klient przesyłając dane do serwera szyfruje publicznym kluczem serwera, poznanym z certyfikatu – serwer deszyfruje je swoim kluczem prywatnym Serwer przesyłając do klienta informacje szyfruje je kluczem klienta (jego kluczem publicznym lub jednorazowym kluczem wygenerowanym na potrzeby transmisji) – klient deszyfruje to swoim kluczem prywatnym Czyli podsumowując:

21 21 System Kerberos Kerberos to system uwierzytelniania i przesyłania kluczy opracowany w MIT (Massachusetts Institute of Technology) w 1978 r. z mitologii greckiej - trójgłowy pies, który strzegł bram podziemnego państwa umarłych, Hadesu Istnieje wiele komercyjnych i bezpłatnych implementacji protokołu Kerberos transmisja danych z udziałem "trzeciej strony"

22 22 Sposób wymiany informacji między klientem a serwerami w tym systemie odbywa się w trzech obszarach: między klientem a serwerem uwierzytelniającym, między klientem a serwerem przyznającym tzw. bilety, między klientem a serwerem aplikacji

23 23 Użytkownik okazuje bilet, który został mu przyznany przez serwer uwierzytelniający AS (ang. Authentication Server). Następnie usługa sprawdza bilet, aby zweryfikować tożsamość użytkownika Jeżeli tożsamość zostanie w pełni potwierdzona, użytkownik będzie mógł skorzystać z usługi

24 24 Użytkownik i usługa mają klucze zarejestrowane na serwerze uwierzytelniającym (AS – authentication serwer), klucz użytkownika jest tworzony na podstawie hasła, które on sam wybiera, klucz usługi jest wybierany losowo i przechowywany w dobrze zabezpieczonym pliku Użytkownik X przesyła do serwera AS wiadomość o potrzebie uzyskania dostępu do serwera Y W odpowiedzi serwer uwierzytelniający tworzy dwie kopie nowego klucza (tzw. klucz sesji) Serwer AS umieszcza jedną kopię klucza sesji w zamykanym za pomocą klucza użytkownika pudełku. Serwer AS umieszcza w drugim pudełku drugi klucz sesji z zapisem, że dotyczy on użytkownika X. Pudełko to nazywane jest biletem – zamykane jest kluczem usługi, do której użytkownik chce uzyskać dostęp Oba pudełka przesyłane są użytkownikowi. Dokładniejsze działanie protokołu Kerberos:

25 25 Użytkownik otwiera pierwsze pudełko za pomocą swojego klucza, uzyskując w ten sposób klucz sesji, a dzięki zawartej w nim informacji wie, że dotyczy on serwera Y. Informację z aktualnym czasem użytkownik umieszcza w trzecim pudełku (zwane autentykatorem) i zamyka kluczem sesji, Pudełka drugie i trzecie wysyła do usługi Za pomocą swojego własnego klucza usługa otwiera drugie pudełko (bilet) uzyskując klucz sesji z wiadomością, że dotyczy on użytkownika X Usługa za pomocą klucza sesji otwiera trzecie pudełko (autentykator) i uzyskuje informację o czasie zapisaną tam przez użytkownika (po to, aby uniemożliwić ewentualnemu atakującemu skopiowanie drugiego pudełka i użycia go podając się za użytkownika X).

26 26 Ponieważ zegary nie zawsze są idealnie zsynchronizowane, dopuszczalna jest niezgodność czasowa, zwykle do pięciu minut, pomiędzy znacznikiem czasu i czasem aktualnym. Usługa przechowuje też listę ostatnio wysłanych autentykatorów, aby uniknąć ich ponownego użycia. Często autentykator zawiera informacje dodatkowe, np. suma kontrolna, lub klucz szyfrujący dla zapewnienia prywatności przyszłej komunikacji między użytkownikiem i usługą. Gdy użytkownik chce, może zażądać od usługi potwierdzenia jej tożsamości. Wówczas pobrany znacznik czasu usługa umieszcza w kolejnym (czwartym) pudełku z informacją, że dotyczy on serwera Y, zamyka je kluczem sesji i przesyła użytkownikowi. Zaleta: bilety ważne przez stosunkowo krótki czas, zwykle kilka godzin. Po tym czasie nie mogą być przez nikogo wykorzystane, nawet danego użytkownika.

27 27 Klucz sesji Auth. Server Klucz użytkownika Klucz sesji+ Identyfikator użytkownika Klucz usługi Klucz sesji Klucz użytkownika Klucz sesji+ Identyfikator użytkownika Klucz usługi Użytkownik Informacja Czas Klucz sesji trans fer Usługa Informacja Czas Klucz sesji identyfikator użytkownika Klucz usługi Klucz sesji BILET AUTENTYKATOR transfer BILET AUTENTYKATOR trans fer


Pobierz ppt "1 Wykład 12 TiTD VoIP SSL i Kerberos. 2 W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych."

Podobne prezentacje


Reklamy Google