您的位置 首页 软件

H.323安全研讨与规范拟定

H.323发展领先于其它VoIP协议。 由于互联网的开放性和缺乏有效监控,以及H.323协议簇本身的协议漏洞,H.323网络安全问题给H.323系统带来诸多威胁。首先对H.323系统面临的安全威胁进

跟着互联网的飞速展开,VoIP事务得到广泛展开。在曩昔的几年中,因为H.323展开早并且契合运营商的体系运营思路,故其展开远远领先于其它VoIP协议,并很多布置到运营网络中。现在,绝大多数运营的VoIP事务都依据H.323协议簇。可是,因为互联网本身的敞开性和缺少有用监控,以及H.323协议簇本身的协议缝隙,H.323网络安全问题日益凸现,给H.323体系带来许多要挟,严峻阻止了H.323的展开,其首要安全要挟有以下几个方面:

  ●拒绝服务进犯。依据敞开端口的拒绝服务进犯。对H.323体系要害设备进行同步(SYN)、Internet操控报文协议(ICMP)数据包的大流量进犯可导致通讯中止,无法正常供给事务。

  ●服务盗取。首要是针对非授权接入。其间包含:盗取用户身份假充合法用户身份;假充合法网络节点进行服务诈骗。

  ●信令流进犯。因为H.323操控信令的敞开性,任何人都能够通过网络监听器监听H.323信令流。歹意用户阻拦并篡改网络中传输的信令数据包,修正数据包中的域,使H.323呼叫不能正常运用。然后引进会话绑架、中间人进犯、电话盯梢等要挟。

  ●媒体流的监听。H.323体系中RTP/RTCP是在IP网上传输话音信息的协议。因为协议本身是敞开的,歹意用户能够通过网络监听器监听媒体流,假如能够了解媒体流内容即可损坏媒体流的机密性。

  跟着网络安全日益成为人们运用IP网络最重视的问题,所以,网络安全相同也成为H.323体系面对的最首要问题之一,能够说,网络安全问题不处理,不只将来H.323就没有展开前景,现有H.323也很快失掉生命力。

一、H.323网络安全体系结构

  为了加强H.323体系的网络安全,世界国内规范安排、相关厂家展开活跃的H.323网络安全研讨作业。图1为H.323网络安全体系暗示图,其间暗影部分是H.323所触及的安全研讨规模。


图1 H.323网络安全体系暗示

  从图1能够看到,H.225.0和H.245是H.323体系的中心协议。H.225.0担任呼叫操控,首要包含两部分:呼叫接纳(RAS)和呼叫信令协议。RAS首要用于传送终端挂号信息、认证信息和呼叫处理信息。呼叫信令协议依据Q.931而拟定首要用于完结呼叫树立进程。H.245用于媒体操控,首要完结媒体流通讯信道的树立、维护和开释。RTCP是媒体流实时传输操控协议,RTP是媒体流实时传输协议。媒体流安全传输将运用H.245信道中给出的算法与密钥进行编码。H.323端点之间树立通讯联系一般履行三个操控进程:RAS,呼叫操控(呼叫信令)与衔接操控(H.245)。

  要完结安全的H.323事务,首先要确保终端或MCU与网守之间安全传递RAS音讯,以完结安全注册,确保只需合法用户能够运用H.323事务并进行相应的资源运用授权,如世界、远程事务授权等。在确保RAS安全基础上,能够树立安全的呼叫衔接信道(H.225.0)与呼叫操控(H.245)信道,在此基础上,为选用RTP协议的实时媒体流通讯进行加密算法与密钥洽谈,完结媒体流通讯机密性。

二、详细安全处理方案

  H.323网络安全完结首要有两种安全机制:通过网络层/传输层安全通道(如SEC target=_blank class=qqx_gjz>IPSec、SSL、TLS),完结H.323安全维护;通过对H.323协议簇中所触及到的信令本身添加安全机制,完结各种信道安全才能洽谈与安全维护。详细H.323网络安全可依据实践网络运用环境,归纳运用以上二种安全机制。因为通过安全通道进行安全维护是通用的安全维护,只是进行H.323的外部维护,和H.323协议簇本身没有太大的联系,所以本文要点介绍第二种机制:对H.323协议簇中所触及到的信令本身添加安全机制。

  依据图1所示,H.323安全研讨内容首要包含以下几部分内容:终端注册安全、呼叫衔接安全、呼叫操控安全、媒体流机密性和密钥办理安全。

  1.终端注册安全

  终端注册安全首要体现为身份认证与完好性方面,不包含网守与端点之间的音讯保密。终端注册安全首要有以下3种办法:

  (1)口令+对称加密认证算法

  (2)口令+散列(Hash)认证算法

  (3)证书+数字签名认证算法

  以上三种认证办法,既可完结单向认证(终端向网守),也可完结双向认证。每一种认证办法既能够是依据时刻戳的二次握手协议,也能够运用应战/应对的三次握手协议。关于时刻戳机制,终端与网守之间有必要有一个可接受的时刻基准。可接受时刻偏差数由本地详细完结所考虑。应战/应对协议运用一个随机生成的,不行猜测的应战数作为来自于认证者的质询。每一种认证办法,要求终端与网守的标识符都是可知的。时刻戳认证机制有必要精密调整时刻粒度,避免音讯重放进犯。

  2.呼叫衔接安全

  呼叫衔接安全触及到二个方面:一是在接纳呼叫之前,要进行认证,以确保呼叫树立与衔接信道安全(如H.225.0);二是通过对端点的认证来进行呼叫授权。

  呼叫衔接安全首要有以下3种办法:

  (1)运用独立的安全协议完结呼叫衔接安全:在交流呼叫衔接信令音讯之前,能够通过在一个安全的众所周知端口上运用TLS或IPSEC,确保呼叫信令信道安全。

  (2)运用证书在不安全信道上完结安全认证和完好性查看,并通过对安全才能与密钥的洽谈机制进行扩展,能够确认后续信道的安全。

  (3)在一个特定事务认证(如AAA)基础上,完结认证与授权。

  H.323网络安全方法,在交流呼叫衔接音讯之前,即呼叫衔接信道(H.225.0)与呼叫操控(H.245)信道在第一次音讯交流内,就应确认安全的或不安全方法。安全方法是洽谈出两边一起支撑的算法与密钥,以支撑媒体流传输;非安全方法是以明文音讯方法进行后边的媒体流传输。

  3.呼叫操控安全

  呼叫操控信道(H.245)应该是安全的,包含认证与机密性,以完结后续的媒体流加密。

  依赖于所包含的H.323终端是否具有某些洽谈与/或信令方法,整个H.245信道(逻辑信道0)能够在呼叫信令信道中,运用H.225.0信令来洽谈出所需求的算法和密钥,然后以一种安全方法来翻开。H.245音讯的交流期间,能够对媒体流加密算法与加密密钥进行洽谈。并且在一个逻辑信道上,答应不同的媒体通过不同的机制来加密。

  4.媒体流机密性

  媒体流运用H.245信道中给出的算法与密钥来进行编码。媒体会话密钥能够运用三种机制进行维护。假如H.245信道是安全的,会话密钥不需求施加任何维护;假如H.245信道是不安全的,能够运用证书(证书也能够用在安全H.245信道上),运用证书内的公钥加密媒体会话密钥。会议中,任一个与会终端(接纳者或发送者)假如置疑丢掉了逻辑信道同步,能够恳求一个新密钥。这样作的原因是。主人物终端也能够决议异步分配新密钥。接纳一个加密更新恳求今后,主人物终端将宣布密钥更新。假如会议是多点的,MC(也称主人物终端)在把这个新密钥给该发送者之前,应分配这个新密钥给一切的接纳者。接纳者应在尽可能早的时刻内运用这个新密钥。

  5.密钥办理安全

  H.323安全的两个基本要素是加密算法和密钥办理。因为暗码体系的重复运用,仅靠加密算法已难以确保信息的安全了。事实上,加密信息的安全可靠首要依赖于密钥体系,密钥是操控加密算法和解密算法的要害信息,它的发生、传输、存储等作业是十分重要的。H.323密钥办理首要包含RAS密钥办理和呼叫衔接密钥办理。为了安全传输密钥,能够运用IPSEC/SSL树立一个安全RAS或呼叫信令信道,或在不安全的明文信道运用公钥加密和证书完结。

三、相关规范拟定状况

  因为H.323体系安全问题的日益严峻,世界国内相关规范安排都十分重视,并针对H.323安全展开了很多规范研讨作业。

  1.世界规范状况

  H.323是ITU-T近几年拟定的一个十分成功的规范。为了确保H.323能够安全安稳运用,ITU-T在H.323开端运用的时分就针对H.323安全问题开端拟定H.235规范,并跟着H.323安全研讨发展屡次更新H.235:在1998年2月,发布了H.235v1;在2000年11月,发布了H.235v2;在2003年8月,发布了H.235v3;在2005年9月,发布了H.235v4。现在,H.235v4是最新版别,该版别最大的特色便是把本来的H.235拆分为1O个部分,详细结构如图2所示。


图2 ITU-T H.235规范结构暗示

  H.235是H.3xx体系系列中的有关安全方面的一种规范,首要为依据H.323-、H.225.0-、H.245-以及H.460-的体系供给安全程序。H.235能够运用于任何故H.245作为操控协议的终端点对点会议和多点会议。H.235首要供给了身份认证、数据加密和完好性功用。H.235为人而并非设备供给了一种识别办法。H.235能在通用方法下洽谈所需的服务和功用,并挑选加密技能和其它功用。这种特定的方法与体系才能、运用程序需求及特定安全策略约束相关联。H.235支撑各种加密算法,并支撑不同的加密选项用于不同的意图。

  2.国内规范状况

  CCSA TC8首要担任网络与信息安全,研讨范畴包含:面向大众服务的互联网的网络与信息安全规范,电信网与互联网结合中的网络与信息安全规范,特别通讯范畴中的网络与信息安全规范。其间,《H.323网络安全技能要求》是TC8建立今后建立的最早一批规范项目之一,通过一年多的尽力,该项目在深入研讨世界规范以及结合国内实践运用的状况下,完结了报批稿。

四、结束语

  H.323体系和其它VoIP体系所存在的安全问题一向遭到我们的重视。作为IP网络上的一种新式的运用,H.323所面对的一些安全问题,实践是IP网络上存在的若干安全问题的连续。只需很好地处理了IP网络的安全问题,一起合作H.323本身的一些安全机制,H.323的安全问题才能够终究处理。别的,H.323安全问题的处理也一起为其它IP事务供给了学习,然后推进整个IP事务安全研讨与施行作业的发展。

声明:本文内容来自网络转载或用户投稿,文章版权归原作者和原出处所有。文中观点,不代表本站立场。若有侵权请联系本站删除(kf@86ic.com)https://www.86ic.net/qianrushi/ruanjian/185992.html

为您推荐

联系我们

联系我们

在线咨询: QQ交谈

邮箱: kf@86ic.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部