H.245呼叫控制信道本身可以通过TLS或IPSec进行加密。H.245包含了对各种信道加密的加密算法和密钥,可以设置对媒体数据流加密的多种模式。在H.245信令过程中,在能力协商阶段进行双方的安全能力的协商(比如终端可以接收和发送H.261视频编码)。在主从决定的信令过程中生成媒体会话密钥。密钥分发是在打开逻辑通道的过程中实现的,这里可以使用DH密钥交换机制,通过在OpenLogicalChannel/OpenLogical Channel Ack的交互实现。
4.4媒体信道安全
媒体流使用H.245信道中给出的算法与密钥来进行加密。只加密RTP数据报的负荷。媒体会话密钥可以使用三种机制进行保护。如果H.245信道是安全的,会话密钥不需要施加任何保护;如果H.245信道是不安全的,可以使用证书(证书也可以用在安全H.245信道上),利用证书内的公钥加密媒体会话密钥。媒体流的最初密钥材料的传递需要通过H.245的OpenLogicalChannel或是其响应消息。当处理了一定数量的包以后,需要更换会话密钥,这时候使用H.245中的EncryptionUpdate和Encryption Update Request来完成密钥的更新的。一旦更新了密钥,RTP头部的负荷类型将改变以指出使用新的密钥。媒体流加密可以使用DES、Triple DES、RC5等加密算法。
4.5密钥管理安全
H.323安全的两个基本要素是加密算法和密钥管理。由于密码系统的反复使用,仅靠加密算法已难以保证信息的安全了。事实上,加密信息的安全可靠主要依赖于密钥系统,密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的。H.323密钥管理主要包括RAS密钥管理和呼叫连接密钥管理。为了安全传输密钥,可以使用IPSec/SSL建立一个安全RAS或呼叫信令信道,或在不安全的明文信道使用公钥加密和证书实现。
5、结束语
近年来,VoIP技术凭借带宽宽、开发升级快、价格低等优势,得到了迅猛发展。尤其基于H.323的VoIP,继承了通信领域传统的设计思想,并可以在传统电信网络向基于IP的电信网络过渡的过程中,可以利用原有很多设备,避免资源浪费的优势,在我国得到广泛应用。但同时,随着VoIP的快速发展,VoIP系统所存在的安全问题也越来越受大家的关注。H.235协议为H.323协议提供了比较全面的安全体系结构,为H.323的身份验证和加密提供了多种方法。H.323VoIP所面临的一些安全问题,实际是IP网络上存在的若干安全问题的延续。只要很好地解决了IP网络的安全问题,同时配合H.323自身的一些安全机制,基于H.323的VoIP网络的安全问题才可以最终解决。
