3.DM3上H.323数据包的加解密

　　DM3是Dialogic公司的基于IP电话的开放式开发平台。当软件开发商们要保护H.323.协议和数据包时可以有两个选择，即将数据加密加入到其自有协议中，或利用外部机制来加密数据包。在后一种方法中，传输层安全性（TLS：Tansport Layer Security）和IP安全性协议（IPSec：IP Security Portocol）技术允许开发商在开发其应用程序时可以不考虑加密问题。

　　传输层安全性和IP安全性协议的优点就在于它们是一种位于应用程序之下的对用户透明的加密层，IP安全性协议位于IP堆栈层之中，传输层安全性位于IP堆栈顶部，它们在对数据包提供安全保证的同时又不影响系统数据的应用。IP安全性协议对于应用程序而言是完全透明的，传输层安全性则需要应用程序进行编译和链接，以使用一个传输层安全性兼容的IP堆栈接口。

　　传输层安全性使用安全套接层（SSL：Secure Sockets Layer）的3.0版本和专用通信技术（PCT：Private Communications Technology）的某些内容，提供TCP面向连接的安全性服务。安全套接层由Netscape开发，它为浏览器提供与HTTP服务器之间HTTP连接的安全性处理，保护浏览器与服务器之间信息传送的安全性。对于传输层安全性，IETF将选择安全套接层和专用通信技术中最好的一种，其中安全套接层已被采纲和执行，并由许多Internet有关协议进行补充，例如SMTP和POP等等。安全套接层是目前已被广泛接受的Internet安全性标准，并且正在不断地被推广。

　　IP安全性协议是针对IPv4和IPv6的，用于解决使用ISAKMP所带来的普遍存在的管理问题。IP安全性协议提供了面向连接的TCP和面向非连接的用户数据协议两种安全性服务，而且，IP安全性协议使得分担加解密带来的负荷成为可能，即整个网络线路上的路由器可以分担加解密所带来的负荷，从而减轻终端的负荷。 ——

　　4.将H.235的安全性用于H.323

　　根据前面所提到的安全性技术，从逻辑上讲下一步的工作就是对H.323产品和服务进行有效的安全性处理。当在一个H.323环境中实现安全性处理时，开发者需要考虑下面几个因素，以决定他们应采用的最好方法。

　　5.基于DM3的RAS服务器

　　RAS消息服务器帮助客户端与一个网闸进行通信，这样该网闸就能够进行客户端管理和客户端服务请求。按照前面对安全性的分析，开发者需要考虑有关数据完整性的RAS保护和终端用户身份确认等两个方面的问题。保密性并没有包含在普通RAS的有效数据中，因为目前保护RAS数据包的H.235有关协议也尚未被正式定义，而仅仅是关于身份证实的部分在H.235中被涉及。

　　RAS的身份证实可以是单向或双向两种形式。典型情况是网闸对客户端进行身份确认，但是客户端也可以要求网闸进行身份证实。有两种身份证实技术用于RAS。

　　（1）基于对称加密的身份认证

　　这种技术不要求终端之间进行进一步接触。网闸利用这种身份证实来证实下一个网闸的直接请求，并验证该请求确实来自一个已经登记过的节点。这种身份认证的方法是一种单向认证形式，它只由网闸来使用。

　　（2）基于客户端的身份认证

　　这种方式需要在终端之间进行进一步的接触或信息发布。这种信息发布可以通过口令或数字化签证来实现。这种方法是双向的，两个终端可以相互进行身份认证，每一个终端都拥有一个字符串作为其唯一的标识符。

　　6.Q.931协议

　　Q.931协议利一种可靠的IP传送机制传递数据包。两个终端之间的点到点通信有许多步骤，Q.931消息对第一步进行初始化。在H.235的安全性中有三部分用于Q.931：第一，H.235数据完整性保护技术可以保护Q.931包不受侵害；第二，H.235允许对Q.931流进行完全的加密；第三，H.235可以在呼叫建立后，数据包开始在网上传送时证实终端用户。

　　7.H.245安全策略

　　保护H.245包与保护Q.931包的安全方法相同，即保护H.245包的完整性、用户认证以及为了保密而对整个数据包进行加密等。有趣的是，Q.931实际上还要协商H.245控制通道采取何种安全模式进行管理。

　　8.流（RTP/RTCP）安全策略

　　一旦视频和音频RTP流开始传送，就对这种包进行加密处理。这样，任何对数据流加密负荷的分担，都将有助于防止在建立H.323音频和视频数据流时产生过度的延迟。

　　随着企业和IP电话服务商的发展，要求越来越多的开发者将寻找容易实现的H.323安全性方法。美国Dialogic公司北京办事处

转载地址:http://www.voipchina.cn/technology/2004-03-19/36578.shtml