8.5. Обеспечение безопасности в системах. на базе стандарта Н.323 - Часть 1

Для систем IP-телефонии, построенных на базе Рекомендации ITU-T Н.323, вопросы безопасности рассматриваются в Рекомендации Н.235 (рис. 8.4). Эта рекомендация описыва­

Ет ряд технических требований, включая вопросы безопасности: аутентификация пользова­телей и шифрование данных. Предложенная схема обеспечения безопасности применима и к простым двухточечным и к многоточечным конференциям для любых терминалов, которые используют протокол управления Н.245. Если для IP-телефонии стандарта Н.323 использу­ются сети с пакетной коммутацией, не обеспечивающие гарантированного качества обслу­живания QoS, то по тем же самым техническим причинам не обеспечивается и безопасное обслуживание. Для обеспечения гарантированной связи в реальном масштабе времени по опасным сетям необходимо рассматривать две главных области обеспечения безопасности -аутентификация и секретность.

Рис. 8.4. Область действия Рекомендации Н.235 в серии Рекомендаций Н.323

В соответствии с Рекомендацией Н.235 в системе должны быть реализованы четыре основные функции безопасности:

• аутентификация;

• целостность данных;

• секретность;

• проверка отсутствия долгов.

Аутентификация пользователя обеспечивается управлением доступа в конечной точке сети и выполняется gatekeeper, являющимся администратором зоны Н.323. Аутентификация основывается на использовании общих ключей с цифровым сертификатом. Для авторизации сертификатов они включают, например, идентификаторы провайдера услуг. Рекомендация Н.235 не определяет содержание цифровых сертификатов, используемых соответствующим протоколом аутентификации, а также их генерацию, администрирование и распределение.

Целостность данных и секретность обеспечивается криптозащитой. Проверка отсутст­вия долгов гарантируется тем, что конечная точка может отказать в обслуживании вызова. Для обеспечения безопасности согласно рекомендации Н.235 могут использоваться сущест­вующие стандарты: IP-безопасность (IP Security - IPSec) и безопасность транспортного уров­ня (Transport Layer Security - TLS).

Для обеспечения безопасной связи в системе на базе Рекомендации Н.323 используют­ся механизмы защиты информации канала управления вызовами Q.931, информации канала управления для мультимедиа коммуникаций Н.245, информации каналов передачи мульти­медиа. Канал управления вызовом (Н.225.0) и канал сигнализации (Н.245) должны оба рабо­тать в защищенном или незащищенном режимах, начинающимся с первой станции. Для ка­нала управления вызовом защита сделана априорно (для систем в соответствии с Рекоменда­цией Н.323 безопасность транспортного уровня обеспечивается соответствующим протоко­лом TSAP [порт 1300], который должен использоваться для Q.931 сообщений). Для канала сигнализации режим «защита» определяется информацией, переданной с помощью протоко­ла начальной установки и подключения терминалов стандарта Н.323.