这里重点介绍第二种机制。

    H.323协议簇中有一成员H.235（又称为H.Security）是负责身份验证、数据完整性和媒体流加密。H.235建议为不提供可担保业务质量的基于分组网络的H.323系统引入了安全机制。H.235推荐了各种消息的流程、结构以及算法，来保证H.323系统中信令信道、媒体控制信道和媒体流的安全性。所采用的机制主要有：

    （1）H.225呼叫信令信道的保密需要采用TLS或IPSec。

    （2）H.245媒体控制信道的安全也需要保障，以便实现媒体流的安全性。对于H.323系统，可以在H.225信令信道中传递各种安全相关的参数来实现H.245信道的安全。

    （3）媒体流的最初密钥材料的传递需要通过H.245的OpenLogicalChannel或是其响应消息。当处理了一定数量的包以后，需要更换会话密钥，这时候使用H.245中的EncryptionUpdate Command等消息。

    （4）适应不同的安全性要求，支持多种密码算法。为了实现终端之间的交互兼容操作，可以提供安全性、非安全性混合环境下的操作规则，并支持终端具有尽可能多的有效、专用的加密算法能力。

    H.235协议提供了实现安全性的流程，它通过与H.323协议族中的其他协议交互来实现H.323体系的安全性，其具体实现如下。

    4.1身份认证安全（H.225.0（RAS））

    H.235协议中提供了两类认证方式：基于对称加密体系和基于非对称加密体系的认证。基于对称加密体系的认证方式中，常用的是利用用户ID和密码的唯一性，将用户密码作为信息加密的对称密钥，接收方通过用相同的密码解密信息来实现对用户的认证，也可以用散列函数对密码进行单向散列运算形成对称密钥进行数字签名，接收方通过对数字签名的验证来实现对用户的认证。还有一种基于对称加密体系的认证是利用DH（Diffie-Hellman）密钥交换算法，通信双方各自形成一对公/私密钥，只需和对方交换公钥，经过计算形成一个相同的密钥进行认证，在这种方式下，双方不需要事先商定一个密码，也避免了在通信中直接传输密钥的风险。基于非对称加密体系的认证通过数字证书的公钥/私钥对来进行数字签名和认证。这种方式需要证书管理的支持。

    H.235中用户认证的位置很灵活，可以在H.255.0呼叫建立过程中，也可以在H.245呼叫控制过程中实现，还可以在IPSec中进行。此外，如果系统存在RAS信道，也需要在网关和终端之间进行单向或者双向认证。

    4.2呼叫连接安全（H.225.0（Q.931））

    呼叫连接安全涉及到二个方面：一是在接收呼叫之前，要进行认证，以保证呼叫建立与连接信道安全（如H.225.0）；二是通过对端点的认证来进行呼叫授权。

    呼叫连接安全主要有以下两种方法。

    利用独立的安全协议实现呼叫连接安全：在交换呼叫连接信令消息之前，可以通过在一个安全的众所周知端口上使用TLS或IPSec，保证呼叫信令信道安全。

    利用证书在不安全信道上实现安全认证和完整性检查，并通过对安全能力与密钥的协商机制进行扩展，可以确定后续信道的安全。

    H.323网络安全模式，在交换呼叫连接消息之前，即呼叫连接信道（H.225.0）与呼叫控制（H.245）信道在第一次消息交换内，就应确定安全的或不安全模式。安全模式是协商出双方共同支持的算法与密钥，以支持媒体流传输；非安全模式是以明文消息形式进行后面的媒体流传输。