SIP信令通過(guò)TLS傳輸,就會(huì )在傳輸中執行加密。在沒(méi)有合法證書(shū)的情況下,是不能夠對傳輸內容解密,保證了信令不會(huì )被竊取。同時(shí),語(yǔ)音通過(guò)SRTP加密,密鑰由SIP信令協(xié)商,這樣也就保證了語(yǔ)音內容不會(huì )被解密而竊聽(tīng),達到加密通話(huà)的目的。
在呼叫中心的部署中,可能會(huì )將座席和接入分布在不同的地域,中間通過(guò)廣域網(wǎng)連接。為了避免在廣域網(wǎng)中泄露通話(huà)內容,可以使用加密通話(huà)功能對信令和語(yǔ)音進(jìn)行加密,讓中間的竊取失效。但是,運營(yíng)商接入系統或者原有基于SIP的業(yè)務(wù)系統,本身不支持加密通話(huà)(需要做高成本的改造),可以在這些傳統設備前部署毅航互聯(lián)vSBC-5000產(chǎn)品,由它來(lái)完成加密通話(huà)和非加密通話(huà)的雙向轉換,保證了業(yè)務(wù)的持續性。
毅航互聯(lián)vSBC-5000產(chǎn)品具有路由功能、NAT穿透功能、大容量和高可用性等特性,是完成此功能轉換的理想設備。
Eyebeam在呼叫中心中有大量的部署,語(yǔ)音質(zhì)量效果較好,配置簡(jiǎn)單。但由于此軟件年代較長(cháng),資料較少,要配置好加密通話(huà)功能,需要有一些特殊的過(guò)程。本文檔描述毅航互聯(lián)vSBC-5000和eyebeam的配置和測試過(guò)程,供現場(chǎng)部署作為參考。
一、測試環(huán)境
1、測試整體結構
為了簡(jiǎn)化,測試部件分成三個(gè)部分:
- vSBC-5000:包括運行vSBC-5000軟件的載體服務(wù)器;
- Eyebeam 1.5:包括運行eyebeam的電腦;
- IP話(huà)機:包括運行IP話(huà)機的電腦。
整體的測試結構簡(jiǎn)化如下圖:
2、vSBC-5000
vSBC-5000軟件
測試版本為:iGatewayPackageRE-1.0.2.release.i386.tar.gz
操作系統
操作系統如下:
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.5.1804 (Core)
硬件規格
由于單純做功能性測試,不需要很強大的硬件配置,甚至于使用虛擬機也是可以的。
3、Eyebeam 1.5
使用測試版本。
由于eyebeam在counterpath已經(jīng)下線(xiàn)和不提供下載,測試版本是從其他一些網(wǎng)站上下載的測試版本,測試后已經(jīng)不再使用。
具體見(jiàn):https://www.counterpath.com/
4、IP話(huà)機
softphone運行在windows桌面電腦上,為MicroSIP。
在電腦上使用wireshark抓包。
二、測試配置
本節主要列出與加密通話(huà)相關(guān)的配置(SIP/TLS/SRTP),其他常規的配置見(jiàn)使用手冊。
1、vSBC-5000
配置證書(shū)
要使用TLS,必須配置證書(shū)。在此場(chǎng)景下,vSBC-5000作為服務(wù)端,而eyebeam作為客戶(hù)端使用。
證書(shū)的生成方式可以利用毅航互聯(lián)提供的腳本。
用腳本可以生成帶私鑰和證書(shū)的組合文件(agent.pem)以及發(fā)布給客戶(hù)端的證書(shū)文件(cacert.pem)。
將證書(shū)文件放到一下目錄:
然后在VirtSIP.cfg中配置鑒權方式和證書(shū)文件的位置。
配置SIP協(xié)議棧
在SIP協(xié)議棧使能TCP/TLS即可。如下圖:
配置好后,重新激活就可以了。
2、Eyebeam 1.5
Eyebeam導入證書(shū)比較復雜,會(huì )涉及到操作系統的功能。使用TLS反而比較容易在eyebeam的界面上做配置。
導入證書(shū)
目前測試用的證書(shū)文件為:cafile.crt,以后可能會(huì )根據項目需求修改證書(shū)名稱(chēng)。將后綴改為crt,就可以直接使用系統工具導入證書(shū)。
如下圖右鍵,會(huì )彈出導入證書(shū)菜單:
下一步,如下圖,安裝證書(shū):
證書(shū)必須安裝到如下目錄:
可能在某些情況下,需要查詢(xún)和操作證書(shū),可以使用mmc程序來(lái)做證書(shū)的查詢(xún)和操作。
如下圖,打開(kāi)mmc程序:
添加證書(shū)管理功能:
如下圖,可以查詢(xún)到當前安裝的證書(shū):
必要時(shí),可以將安裝的證書(shū)刪除,然后重新導入。
TLS配置
需要在“賬號屬性”->“安全”配置TLS和媒體流加密的方式。如下圖:
另外,需要確認存儲的證書(shū)方式,如下圖:
配置好后,就可以做基于TLS的注冊和呼叫。
三、測試
通話(huà)測試
eyebeam采用加密通話(huà)方式,microsip采用非加密通話(huà)方式,兩者通過(guò)vSBC-5000橋接后,可以正常通話(huà)。
四、測試結論
毅航互聯(lián)vSBC-5000支持加密通話(huà),并且可以在加密通話(huà)和非加密通話(huà)間相互轉換。
