Для систем IP-телефонии, построенных на базе Рекомендации ITU-T Н.323, вопросы безопасности рассматриваются в Рекомендации Н.235 (рис. 8.4). Эта рекомендация описыва
Ет ряд технических требований, включая вопросы безопасности: аутентификация пользователей и шифрование данных. Предложенная схема обеспечения безопасности применима и к простым двухточечным и к многоточечным конференциям для любых терминалов, которые используют протокол управления Н.245. Если для IP-телефонии стандарта Н.323 используются сети с пакетной коммутацией, не обеспечивающие гарантированного качества обслуживания QoS, то по тем же самым техническим причинам не обеспечивается и безопасное обслуживание. Для обеспечения гарантированной связи в реальном масштабе времени по опасным сетям необходимо рассматривать две главных области обеспечения безопасности -аутентификация и секретность.
Рис. 8.4. Область действия Рекомендации Н.235 в серии Рекомендаций Н.323
В соответствии с Рекомендацией Н.235 в системе должны быть реализованы четыре основные функции безопасности:
• аутентификация;
• целостность данных;
• секретность;
• проверка отсутствия долгов.
Аутентификация пользователя обеспечивается управлением доступа в конечной точке сети и выполняется gatekeeper, являющимся администратором зоны Н.323. Аутентификация основывается на использовании общих ключей с цифровым сертификатом. Для авторизации сертификатов они включают, например, идентификаторы провайдера услуг. Рекомендация Н.235 не определяет содержание цифровых сертификатов, используемых соответствующим протоколом аутентификации, а также их генерацию, администрирование и распределение.
Целостность данных и секретность обеспечивается криптозащитой. Проверка отсутствия долгов гарантируется тем, что конечная точка может отказать в обслуживании вызова. Для обеспечения безопасности согласно рекомендации Н.235 могут использоваться существующие стандарты: IP-безопасность (IP Security - IPSec) и безопасность транспортного уровня (Transport Layer Security - TLS).
Для обеспечения безопасной связи в системе на базе Рекомендации Н.323 используются механизмы защиты информации канала управления вызовами Q.931, информации канала управления для мультимедиа коммуникаций Н.245, информации каналов передачи мультимедиа. Канал управления вызовом (Н.225.0) и канал сигнализации (Н.245) должны оба работать в защищенном или незащищенном режимах, начинающимся с первой станции. Для канала управления вызовом защита сделана априорно (для систем в соответствии с Рекомендацией Н.323 безопасность транспортного уровня обеспечивается соответствующим протоколом TSAP [порт 1300], который должен использоваться для Q.931 сообщений). Для канала сигнализации режим «защита» определяется информацией, переданной с помощью протокола начальной установки и подключения терминалов стандарта Н.323.
