Рисунок 8.4 - Область действия Рекомендации H.235 в серии Рекомендаций H.323
Для систем IP-телефонии, построенных на базе Рекомендации ITU-T H.323, вопросы безопасности рассматриваются в Рекомендации Н.235 (рисунок 8.4). Эта рекомендация описывает ряд технических требований, включая вопросы безопасности: аутентификация пользователей и шифрование данных. Для обеспечения гарантированной связи в реальном масштабе времени по сетям, не обеспечивающим защищенную доставку данных, необходимо рассматривать две главных области обеспечения безопасности - аутентификация и секретность.
Рисунок 8.4 - Область действия Рекомендации H.235 в серии Рекомендаций H.323
В соответствии с Рекомендацией Н.235 в системе должны быть реализованы четыре основные функции безопасности:
Аутентификация пользователя обеспечивается путем управления доступом в конечной точке сети и выполняется контроллером зоны (gatekeeper), являющимся администратором зоны Н.323. Аутентификация основывается на использовании общих ключей с цифровым сертификатом. Для авторизации сертификатов они включают, например, идентификаторы провайдера услуг. Рекомендация Н.235 не определяет содержание цифровых сертификатов, используемых соответствующим протоколом аутентификации, а также их генерацию, администрирование и распределение.
Целостность данных и секретность обеспечивается криптозащитой. Проверка отсутствия долгов гарантируется тем, что конечная точка может отказать в обслуживании вызова. Для обеспечения безопасности согласно рекомендации Н.235 могут использоваться существующие стандарты: IP-безопасность (IP Security, IPSec) и безопасность транспортного уровня (Transport Layer Security, TLS).
Для обеспечения безопасной связи в системе на базе Рекомендации Н.323 используются механизмы защиты сигнальной информации (протокол Q.931), информации канала управления для мультимедиа коммуникаций (рекомендация Н.245), информации каналов передачи мультимедиа. Канал управления вызовом (Н.225.0) и канал сигнализации (Н.245) должны работать в защищенном или незащищенном режимах, начинающимся с первой станции. Для канала управления вызовом защита сделана априорно (для систем в соответствии с Рекомендацией Н.323 безопасность транспортного уровня обеспечивается соответствующим протоколом TSAP [порт 1300], который должен использоваться при передаче сигнальных сообщений по протоколу Q.931). Для канала сигнализации режим «защита» определяется информацией, переданной с помощью протокола начальной установки и подключения терминалов стандарта Н.323.
