劉銳,宋永恒
(廣東省電信規(guī)劃設(shè)計院有限公司,廣州 510630)
H.323協(xié)議棧的最初版本是在1996年提出的,它的作用范圍是局域網(wǎng)上的多媒體通信,基于此,H.323的功能最初是有限的,不能在更廣的范圍內(nèi)支持多媒體通信。為了增強(qiáng)H.323的功能,第二版的H.323推出了,該版本受到了廣泛歡迎,尤其是那些有深厚傳統(tǒng)電話業(yè)背景的網(wǎng)絡(luò)運(yùn)營商以及設(shè)備制造廠家,對其給予了有力的支持。H.323不僅能發(fā)送和接受語音,而且可以支持多種視頻業(yè)務(wù)(如電視會議),以及數(shù)據(jù)業(yè)務(wù)(如電子白板,文件傳輸)等。
H.323的作用范圍如圖1所示,這一體系結(jié)構(gòu)包括了H.323終端、網(wǎng)關(guān)、關(guān)守、以及多點(diǎn)控制單元(MCU)。H.323的總體目標(biāo)是實(shí)現(xiàn)H.323端點(diǎn)之間的媒體流交換。
H.323端點(diǎn)之間建立通信關(guān)系一般要經(jīng)過如下3個信令過程。
圖1 H.323系統(tǒng)結(jié)構(gòu)圖
(1)呼叫接入過程:執(zhí)行RAS協(xié)議(H.225協(xié)議),傳輸信道為RAS信道(不可靠通道),網(wǎng)守同意接入后在端點(diǎn)和網(wǎng)守間或端點(diǎn)之間建立起呼叫信令信道,進(jìn)入呼叫建立。
(2)呼叫建立過程:執(zhí)行呼叫建立信令協(xié)議,傳輸信道為呼叫信令信道(可靠通道),呼叫建立成功后,在端點(diǎn)之間建立起H.245控制信道。
(3)連接控制過程:執(zhí)行H.245控制協(xié)議,控制信道為媒體控制信道,簡稱控制信道(可靠通道),在端點(diǎn)之間建立起具有一定帶寬的一個或多個實(shí)時通信的邏輯信道(均為不可靠通道)。
整個通信過程由以下5個階段組成:
階段1:呼叫建立過程,包括接入過程。
階段2:初始通信與能力交換。
階段3:可視通信的建立。
階段4:通信進(jìn)行中的信令,包括帶寬改變。
階段5:呼叫結(jié)束,關(guān)閉所有信道。
其中,階段1主要涉及H.225協(xié)議過程,其余階段則主要是H.245協(xié)議過程。
圖2 H.323終端通信的主要消息流程圖
圖2給出了兩個H.323終端A和B在有網(wǎng)守管理的網(wǎng)絡(luò)環(huán)境下,網(wǎng)守路由呼叫信令模式的通信步驟流程圖。
目前,基于H.323的系統(tǒng)廣泛應(yīng)用在IP電話(VoIP)、企業(yè)中的商務(wù)視頻會議、遠(yuǎn)程教育、視頻點(diǎn)播等。而這些應(yīng)用都存在著各種安全性的要求。
通常而言,一個安全系統(tǒng)要向用戶提供安全可靠的服務(wù),就必須保證如下方面。
(1)用戶通話內(nèi)容是保密的。
(2)用戶內(nèi)容不被篡改(或能及時發(fā)現(xiàn)篡改的行為)。
(3)僅有擁有合法身份的用戶才能使用系統(tǒng)提供的服務(wù)。
(4)用戶的合法身份不能被冒充。
(5)系統(tǒng)可以對合法用戶進(jìn)行授權(quán),以對不同用戶提供不同級別的服務(wù)。
結(jié)合上一小節(jié)中介紹的H.323工作原理,對各個階段的通信可能存在的安全威脅做分析。
首先,在呼叫建立過程階段,存在兩組通信,一是終端與網(wǎng)守之間的通信;二是兩個終端之間的通信。
1.4.1.1 終端與網(wǎng)守之間的通信
在基于H.323的通信系統(tǒng)中,盡管網(wǎng)守是可選設(shè)備。但目前大多數(shù)企業(yè)級應(yīng)用系統(tǒng)都會實(shí)現(xiàn)網(wǎng)守,因?yàn)榫W(wǎng)守起到很重要的管理作用;此外,要在應(yīng)用層上實(shí)現(xiàn)系統(tǒng)的安全性,也必須設(shè)置網(wǎng)守,比如網(wǎng)守要對終端用戶進(jìn)行身份鑒別以確定是否允許該用戶登陸系統(tǒng)或使用系統(tǒng)提供的服務(wù),或是對合法用戶進(jìn)行授權(quán),以對不同用戶提供不同級別的服務(wù)。這些都需要通過網(wǎng)守來實(shí)現(xiàn)。
終端與網(wǎng)守之間的通信是在呼叫建立前在RAS信道上傳送消息,一般來說達(dá)到兩個目的:一是終端請求登錄網(wǎng)守(做身份鑒別),二是網(wǎng)守對提供給終端的服務(wù)進(jìn)行授權(quán)。
對終端和網(wǎng)守之間的通信可能存在攻擊。其攻擊的目的主要是取得授權(quán)以外的對系統(tǒng)的使用權(quán),其解決辦法是在網(wǎng)守和終端之間執(zhí)行強(qiáng)有力的認(rèn)證協(xié)議。認(rèn)證用來驗(yàn)證應(yīng)答者確實(shí)是他們所宣稱的。通過認(rèn)證,非法用戶不能偽裝成合法用戶獲得服務(wù),而一個合法用戶也不能偽裝成另外一個身份去呼叫其他用戶;此外,通過身份認(rèn)證,還為正確執(zhí)行網(wǎng)守上配置的授權(quán)策略提供了保證,反之,終端也需要對網(wǎng)守進(jìn)行認(rèn)證,以防止攻擊者偽裝成網(wǎng)守,進(jìn)行中間人攻擊。相互認(rèn)證通過采用某種認(rèn)證協(xié)議完成,對終端的服務(wù)授權(quán)通過在網(wǎng)守上配置一定的授權(quán)策略來實(shí)現(xiàn)。
在認(rèn)證之外,終端和網(wǎng)守之間還要交換RAS消息來實(shí)現(xiàn)帶寬分配等其他功能,對這些消息也可能存在篡改攻擊。這就必須對交換的RAS消息加密-加密的同時進(jìn)行完整性鑒別;此外,對網(wǎng)守還可能存在拒絕服務(wù)攻擊,其解決辦法是及時檢測,迅速恢復(fù),并記入審計日志。
分析結(jié)論:終端與網(wǎng)守之間的RAS信道需要通過相互認(rèn)證,加密和完整性鑒別來保護(hù)。
1.4.1.2 兩個終端之間的通信
在呼叫建立階段,兩個終端之間要交換呼叫信令——在H.225呼叫信道上通過網(wǎng)守中繼或直接傳遞,以協(xié)商如何建立隨后的H.245控制信道、其安全要求如何,被叫用戶是否同意接收這個呼叫等。這些信息都需要被保護(hù)以防受到篡改攻擊。其次,為了防止惡意用戶的偽裝攻擊,兩個終端還需要相互認(rèn)證。
分析結(jié)論:兩個終端之間的H.225呼叫信令信道需要通過相互認(rèn)證、加密和完整性鑒別來保護(hù)。
H.245控制信令是在兩個終端之間交換的,其作用是協(xié)商如何建立媒體信道。其交換的信息包括媒體信道的私有參數(shù)及其他編碼參數(shù);媒體信道的加密算法和密鑰;打開、關(guān)閉媒體信道等。這些消息一旦遭到偽造、篡改或泄漏攻擊,攻擊者就可以控制或獲取媒體信道的各種參數(shù),從而獲取媒體信道上的通話內(nèi)容。防范偽造攻擊需要進(jìn)行身份認(rèn)證,防范篡改攻擊需要對消息完整性鑒別,防范泄漏需要對消息加密。
分析結(jié)論:H.245信道需要認(rèn)證,加密和完整性鑒別。
媒體流和媒體控制流均在兩個終端之間傳輸,媒體流必須加密,這是整個系統(tǒng)應(yīng)用中需要被保護(hù)的核心。媒體控制流用來提供多媒體數(shù)據(jù)傳輸質(zhì)量的反饋信息。對于媒體控制流的有效攻擊有偽造和篡改,攻擊者的目的是通過破壞媒體控制流來造成拒絕服務(wù)的攻擊效果。媒體控制流可以不進(jìn)行加密,但可以選擇進(jìn)行認(rèn)證和完整性鑒別。
釋放呼叫過程中的安全問題與呼叫建立過程相同。為保證呼叫被安全的釋放,必須進(jìn)行認(rèn)證和加密(包括對消息的完整性鑒別)。
H.323協(xié)議本身對安全性能的支持不能滿足實(shí)際應(yīng)用系統(tǒng)的要求。有兩種方法可以考慮用來保證通信過程的安全性。
方法1:通過修改H.323協(xié)議庫,根據(jù)自身的安全需求來實(shí)現(xiàn)端點(diǎn)之間的認(rèn)證以及信息流的加密。這種方法是在應(yīng)用層上增強(qiáng)了系統(tǒng)的安全性,但存在以下幾點(diǎn)不足。
(1)H.323協(xié)議比較復(fù)雜,所以在此基礎(chǔ)上擴(kuò)充其安全性能的話,需要投入大量的時間和人力。
(2)考慮到通信系統(tǒng)終端的處理能力一般不是很強(qiáng),如果在應(yīng)用層來實(shí)現(xiàn)安全措施的話,那么加解密算法必須在終端機(jī)器運(yùn)行的程序中計算,這種高密集的運(yùn)算會明顯增加終端機(jī)器的負(fù)擔(dān),從而會導(dǎo)致終端之間的實(shí)時多媒體流質(zhì)量受到影響。
(3)在應(yīng)用層上安全保護(hù)對應(yīng)用程序沒有透明性,如果安全服務(wù)要求有所變動的話,應(yīng)用程序也需要改動。
方法2:通過IPSec協(xié)議在IP層對上層應(yīng)用系統(tǒng)進(jìn)行安全保護(hù)。IPSec在網(wǎng)絡(luò)層提供基于密碼學(xué)的強(qiáng)認(rèn)證和加密保障,能確保了上層應(yīng)用系統(tǒng)通信過程各種信道中傳輸內(nèi)容的機(jī)密性,消息完整性以及身份認(rèn)證。也就是說不管應(yīng)用程序如何,只要最后是通過IP傳輸?shù)臄?shù)據(jù)包都能得到安全保護(hù),其優(yōu)點(diǎn)如下。
(1)IPSec工作在網(wǎng)絡(luò)層,因此對上層應(yīng)用程序來說是透明的,如果安全要求需要改變,只需要改變IPSec的安全策略就行,應(yīng)用程序不需要做任何改變。
(2)當(dāng)在網(wǎng)關(guān)中實(shí)現(xiàn)IPSec時,IPSec提供了強(qiáng)大的安全性,能夠應(yīng)用到所有穿越邊界網(wǎng)絡(luò)的數(shù)據(jù)通信量上。由于網(wǎng)關(guān)機(jī)器處理能力較強(qiáng),加上可以選擇使用專用的加解密硬件設(shè)備來處理高密集的運(yùn)算,這樣可以減輕終端機(jī)器處理IPSec模塊的負(fù)擔(dān)。
(3)IPSec協(xié)議是專門為IPv6設(shè)計的,能實(shí)現(xiàn)與將來的IPv6網(wǎng)絡(luò)的無縫結(jié)合,這點(diǎn)在未來的網(wǎng)絡(luò)系統(tǒng)中具有優(yōu)勢。
綜合考慮,可以采用在網(wǎng)絡(luò)層通過IPSec協(xié)議來負(fù)責(zé)多媒體數(shù)據(jù)的安全傳輸,而在應(yīng)用程序上不需要做額外的安全性考慮。
由于IPSec可以配置在終端主機(jī)上,也可以配置在兩個網(wǎng)絡(luò)的網(wǎng)關(guān)上,并且操作模式有傳輸模式和隧道模式兩種,協(xié)議有AH和ESP兩種。下面來具體討論如何選擇其工作模式。
在終端上配置IPSec的話能確保真正意義上的端到端的安全,但是這樣的話每臺終端機(jī)器都要配置,不能實(shí)現(xiàn)對用戶的透明。而對于處理能力相對較弱的終端,讓其來進(jìn)行加解密及認(rèn)證運(yùn)算的話會增加負(fù)擔(dān)。所以這種在終端配置IPSec的方法用的很少,一般只有在下面兩種比較特殊的情況下會采用。
一種情況是有移動終端,那么需要在移動終端與網(wǎng)關(guān)之間建立安全通道,這種模式叫Road Warrior方式。
另一種情況,如果某個終端要求傳輸?shù)臋C(jī)密性非常高的話,為了防止在內(nèi)部網(wǎng)絡(luò)泄密,那么需要在該終端和本地網(wǎng)關(guān)之間再實(shí)施一層IPSec保護(hù),實(shí)現(xiàn)IPSec的嵌套模式。
但是從實(shí)際應(yīng)用來看,上述的配置模式實(shí)現(xiàn)所需的成本較高。 對于一般的企業(yè)級應(yīng)用而言,基于內(nèi)部網(wǎng)絡(luò)環(huán)境可信的前提下,IPSec可以配置在網(wǎng)關(guān)上,在兩個子網(wǎng)之間建立一條安全通道,保護(hù)子網(wǎng)通信的安全。這種配置方案也可以滿足系統(tǒng)安全傳輸?shù)囊?,?shí)現(xiàn)也較為容易,應(yīng)用比較廣泛。
接下來需要確定實(shí)施的策略,IPSec有兩種操作模式和傳輸模式,加上AH頭和ESP兩種協(xié)議,結(jié)合起來有幾種選擇,那在安全網(wǎng)關(guān)上如何選擇安全策略呢?對于基于H.323多媒體通信程序來講,它的安全要求是:除了端點(diǎn)之間相互認(rèn)證外,在Internet上面?zhèn)鬏數(shù)亩嗝襟w數(shù)據(jù)必須加密。AH只提供認(rèn)證(包括IP頭),ESP提供數(shù)據(jù)段認(rèn)證與加密,所以安全策略必須包括ESP。如果在網(wǎng)關(guān)上實(shí)施IPSec的話,只能采用隧道模式。在隧道模式的ESP選擇情況下,個人認(rèn)為不必要加上AH來認(rèn)證數(shù)據(jù)分組了。原因如下:ESP與AH都提供認(rèn)證,雖然AH提供的認(rèn)證看起來似乎更加強(qiáng)大,它除了認(rèn)證數(shù)據(jù)段以外還認(rèn)證了IP頭部,但是通過計算ESP的認(rèn)證數(shù)據(jù)就能判斷對方是否知道共享的密鑰,從而判別對方的身份。另外如果再加上AH的話,對網(wǎng)絡(luò)帶寬的要求也會明顯增加,并增加其實(shí)施配置的復(fù)雜性。
以上對基于H.323系統(tǒng)的安全配置和工作模式進(jìn)行了分析,可以根據(jù)實(shí)際環(huán)境和具體的需要選擇合適的安全方案。
[1]ITU-T Recommendation H.323 Draft V4.Packet-based multimedia communications Systems[S].2000.
[2]ITU-T Recommendation H.245 Protocol for Multimedia Communications[S].2000.
[3]Naganand D.IPSec;新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社,1999.
[4]沈一平,許勇,吳國新.IPSec中密鑰管理協(xié)議的研究[J].計算機(jī)工程,1999,(SI).
[5]王麗娜.網(wǎng)絡(luò)多媒體信息安全保密技術(shù)[M].武漢:武漢大學(xué)出版社,2003.