新聞中心

EEPW首頁 > 手機與無線通信 > 設計應用 > H.323安全研究與標準制定

H.323安全研究與標準制定

作者:時間:2017-06-13來源:網絡收藏
隨著互聯網的飛速發展,業務得到廣泛開展。在過去的幾年中,由于發展早而且符合運營商的體系運營思路,故其發展遠遠領先于其它協議,并大量部署到運營網絡中。目前,絕大多數運營的業務都基于協議簇。但是,由于互聯網本身的開放性和缺乏有效監控,以及協議簇本身的協議漏洞,H.323網絡安全問題日益凸現,給H.323系統帶來諸多威脅,嚴重阻礙了H.323的發展,其主要安全威脅有以下幾個方面:

  ●拒絕服務攻擊?;陂_放端口的拒絕服務攻擊。對H.323系統關鍵設備進行同步(SYN)、Internet控制報文協議(ICMP)數據包的大流量攻擊可導致通信中斷,無法正常提供業務。

  ●服務竊取。主要是針對非授權接入。其中包括:竊取用戶身份假冒合法用戶身份;冒充合法網絡節點進行服務欺騙。

  ●信令流攻擊。由于H.323控制信令的開放性,任何人都可以通過網絡監聽器監聽H.323信令流。惡意用戶攔截并篡改網絡中傳輸的信令數據包,修改數據包中的域,使H.323呼叫不能正常使用。從而引入會話劫持、中間人攻擊、電話跟蹤等威脅。

  ●媒體流的監聽。H.323系統中RTP/RTCP是在IP網上傳輸話音信息的協議。由于協議本身是開放的,惡意用戶可以通過網絡監聽器監聽媒體流,如果可以理解媒體流內容即可破壞媒體流的機密性。

  隨著網絡安全日益成為人們使用IP網絡最關注的問題,所以,網絡安全同樣也成為H.323系統面臨的最主要問題之一,可以說,網絡安全問題不解決,不僅將來H.323就沒有發展前景,現有H.323也很快失去生命力。

一、H.323網絡安全體系結構

  為了加強H.323系統的網絡安全,國際國內標準組織、相關廠家開展積極的H.323網絡安全研究工作。圖1為H.323網絡安全體系示意圖,其中陰影部分是H.323所涉及的安全研究范圍。


圖1 H.323網絡安全體系示意


  從圖1可以看到,H.225.0和H.245是H.323系統的核心協議。H.225.0負責呼叫控制,主要包括兩部分:呼叫接納(RAS)和呼叫信令協議。RAS主要用于傳送終端登記信息、認證信息和呼叫處理信息。呼叫信令協議基于Q.931而制定主要用于完成呼叫建立過程。H.245用于媒體控制,主要實現媒體流通信信道的建立、維護和釋放。RTCP是媒體流實時傳輸控制協議,RTP是媒體流實時傳輸協議。媒體流安全傳輸將使用H.245信道中給出的算法與密鑰進行編碼。H.323端點之間建立通信關系一般執行三個控制過程:RAS,呼叫控制(呼叫信令)與連接控制(H.245)。

  要實現安全的H.323業務,首先要保證終端或MCU與網守之間安全傳遞RAS消息,以完成安全注冊,確保只有合法用戶可以使用H.323業務并進行相應的資源使用授權,如國際、長途業務授權等。在保證RAS安全基礎上,可以建立安全的呼叫連接信道(H.225.0)與呼叫控制(H.245)信道,在此基礎上,為采用RTP協議的實時媒體流通信進行加密算法與密鑰協商,完成媒體流通信機密性。

二、具體安全解決方案

  H.323網絡安全實現主要有兩種安全機制:通過網絡層/傳輸層安全通道(如 target=_blank class=qqx_gjz>、SSL、TLS),實現H.323安全保護;通過對H.323協議簇中所涉及到的信令本身增加安全機制,實現各種信道安全能力協商與安全保護。具體H.323網絡安全可根據實際網絡應用環境,綜合使用以上二種安全機制。由于通過安全通道進行安全保護是通用的安全保護,僅僅進行H.323的外部保護,和H.323協議簇本身沒有太大的關系,所以本文重點介紹第二種機制:對H.323協議簇中所涉及到的信令本身增加安全機制。

  根據圖1所示,H.323安全研究內容主要包括以下幾部分內容:終端注冊安全、呼叫連接安全、呼叫控制安全、媒體流機密性和密鑰管理安全。

  1.終端注冊安全

  終端注冊安全主要體現為身份認證與完整性方面,不包括網守與端點之間的消息保密。終端注冊安全主要有以下3種方法:

 ?。?)口令+對稱加密認證算法

 ?。?)口令+散列(Hash)認證算法

 ?。?)證書+數字簽名認證算法

  以上三種認證方法,既可實現單向認證(終端向網守),也可實現雙向認證。每一種認證方法既可以是基于時間戳的二次握手協議,也可以使用挑戰/應答的三次握手協議。對于時間戳機制,終端與網守之間必須有一個可接受的時間基準??山邮軙r間偏差數由本地具體實現所考慮。挑戰/應答協議使用一個隨機生成的,不可預測的挑戰數作為來自于認證者的質詢。每一種認證方法,要求終端與網守的標識符都是可知的。時間戳認證機制必須精細調整時間粒度,防止消息重放攻擊。

  2.呼叫連接安全

  呼叫連接安全涉及到二個方面:一是在接收呼叫之前,要進行認證,以保證呼叫建立與連接信道安全(如H.225.0);二是通過對端點的認證來進行呼叫授權。

  呼叫連接安全主要有以下3種方法:

 ?。?)利用獨立的安全協議實現呼叫連接安全:在交換呼叫連接信令消息之前,可以通過在一個安全的眾所周知端口上使用TLS或IP,保證呼叫信令信道安全。

 ?。?)利用證書在不安全信道上實現安全認證和完整性檢查,并通過對安全能力與密鑰的協商機制進行擴展,可以確定后續信道的安全。

 ?。?)在一個特定業務認證(如AAA)基礎上,實現認證與授權。

  H.323網絡安全模式,在交換呼叫連接消息之前,即呼叫連接信道(H.225.0)與呼叫控制(H.245)信道在第一次消息交換內,就應確定安全的或不安全模式。安全模式是協商出雙方共同支持的算法與密鑰,以支持媒體流傳輸;非安全模式是以明文消息形式進行后面的媒體流傳輸。

  3.呼叫控制安全

  呼叫控制信道(H.245)應該是安全的,包括認證與機密性,以實現后續的媒體流加密。

  依賴于所包含的H.323終端是否擁有某些協商與/或信令方式,整個H.245信道(邏輯信道0)可以在呼叫信令信道中,使用H.225.0信令來協商出所需要的算法和密鑰,然后以一種安全方式來打開。H.245消息的交換期間,可以對媒體流加密算法與加密密鑰進行協商。并且在一個邏輯信道上,允許不同的媒體通過不同的機制來加密。

  4.媒體流機密性

  媒體流使用H.245信道中給出的算法與密鑰來進行編碼。媒體會話密鑰可以使用三種機制進行保護。如果H.245信道是安全的,會話密鑰不需要施加任何保護;如果H.245信道是不安全的,可以使用證書(證書也可以用在安全H.245信道上),利用證書內的公鑰加密媒體會話密鑰。會議中,任一個與會終端(接收者或發送者)如果懷疑丟失了邏輯信道同步,可以請求一個新密鑰。這樣作的原因是。主角色終端也可以決定異步分配新密鑰。接收一個加密更新請求以后,主角色終端將發出密鑰更新。如果會議是多點的,MC(也稱主角色終端)在把這個新密鑰給該發送者之前,應分配這個新密鑰給所有的接收者。接收者應在盡可能早的時間內利用這個新密鑰。

  5.密鑰管理安全

  H.323安全的兩個基本要素是加密算法和密鑰管理。由于密碼系統的反復使用,僅靠加密算法已難以保證信息的安全了。事實上,加密信息的安全可靠主要依賴于密鑰系統,密鑰是控制加密算法和解密算法的關鍵信息,它的產生、傳輸、存儲等工作是十分重要的。H.323密鑰管理主要包括RAS密鑰管理和呼叫連接密鑰管理。為了安全傳輸密鑰,可以使用IP/SSL建立一個安全RAS或呼叫信令信道,或在不安全的明文信道使用公鑰加密和證書實現。

三、相關標準制定情況

  由于H.323系統安全問題的日益嚴重,國際國內相關標準組織都非常重視,并針對H.323安全開展了大量標準研究工作。

  1.國際標準情況

  H.323是-T近幾年制定的一個非常成功的標準。為了保證H.323可以安全穩定應用,-T在H.323開始應用的時候就針對H.323安全問題開始制定H.235標準,并隨著H.323安全研究進展多次更新H.235:在1998年2月,發布了H.235v1;在2000年11月,發布了H.235v2;在2003年8月,發布了H.235v3;在2005年9月,發布了H.235v4。目前,H.235v4是最新版本,該版本最大的特點就是把原來的H.235拆分為1O個部分,具體結構如圖2所示。


圖2 -T H.235標準結構示意


  H.235是H.3xx體系系列中的有關安全方面的一種標準,主要為基于H.323-、H.225.0-、H.245-以及H.460-的體系提供安全程序。H.235可以應用于任何以H.245作為控制協議的終端點對點會議和多點會議。H.235主要提供了身份認證、數據加密和完整性功能。H.235為人而并非設備提供了一種識別方法。H.235能在通用模式下協商所需的服務和功能,并選擇加密技術和其它功能。這種特定的方式與系統能力、應用程序需求及特定安全策略限制相關聯。H.235支持各種加密算法,并支持不同的加密選項用于不同的目的。

  2.國內標準情況

  CCSA TC8主要負責網絡與信息安全,研究領域包括:面向公眾服務的互聯網的網絡與信息安全標準,電信網與互聯網結合中的網絡與信息安全標準,特殊通信領域中的網絡與信息安全標準。其中,《H.323網絡安全技術要求》是TC8成立以后確立的最早一批標準項目之一,經過一年多的努力,該項目在深入研究國際標準以及結合國內實際應用的情況下,完成了報批稿。

四、結束語

  H.323系統和其它VoIP系統所存在的安全問題一直受到大家的關注。作為IP網絡上的一種新興的應用,H.323所面臨的一些安全問題,實際是IP網絡上存在的若干安全問題的延續。只要很好地解決了IP網絡的安全問題,同時配合H.323自身的一些安全機制,H.323的安全問題才可以最終解決。另外,H.323安全問題的解決也同時為其它IP業務提供了借鑒,從而推動整個IP業務安全研究與實施工作的進展。


關鍵詞: IPSec SEC ITU H.323 VoIP

評論


相關推薦

技術專區

關閉
免费一级在线观看a片视频