В настоящей Рекомендации описываются усовершенствования, внесенные в рамках Рекомендаций серии H.3xx в части включения таких сетевых средств защиты, как аутентификация и секретность (шифрование данных). Предлагаемая схема применима как в простых двусторонних конференциях, так и в многосторонних, для любых терминалов, использующих протокол Рек. МСЭ Т H.245 в качестве протокола управления.
Например, системы H.323 функционируют в сетях, основывающихся на пакетной передаче, которые не обеспечивают гарантированное качество обслуживания. По тем же техническим причинам, по которым базовая сеть не гарантирует соответствующее качество обслуживания (QoS), эта сеть не обеспечивает сетевые средства защиты. Защищенная передача информации в реальном времени по незащищенным сетям обычно имеет две основные проблемные области – аутентификацию и секретность.
В этой Рекомендации описаны инфраструктура защиты и конкретные средства защиты, которые следует применять в мультимедийных терминалах серии H.3xx. Настоящая Рекомендация охватывает проблемы проведения интерактивных конференций. Они включают аутентификацию и секретность всех потоков мультимедийной информации реального времени, обмен которыми производится в ходе конференции (но не ограничиваются только этим). В настоящей Рекомендации представлены протокол и алгоритмы, необходимые при взаимодействии объектов H.323.
В данной Рекомендации используются те же стандартные функции, что представлены в Рек. МСЭ Т H.245, и таким образом, любое стандартное устройство, функционирующее во взаимодействии с управляющим протоколом, может использовать эту схему защиты. Подразумевается, что там, где это возможно, иные терминалы серии H могут взаимодействовать и непосредственно использовать методы, описанные в данной Рекомендации. Настоящая Рекомендация в сущности не претендует на описание всех областей реализации, но будет касаться конкретно аутентификации конечных точек и секретности передаваемой мультимедийной информации.
Настоящая Рекомендация включает возможность общего согласования сетевых средств и функциональных возможностей, а также выбора применяемых криптографических методов и средств. Конкретный способ их использования зависит от возможностей системы, требований реализации и ограничений, обусловленных конкретной стратегией защиты. В настоящей Рекомендации представлены различные криптографические алгоритмы, разные опции которых (например, длины ключей) предусмотрены для различных целей. Определенные криптографические алгоритмы могут распределяться конкретным сетевым средствам защиты (например, один – для быстрого шифрования потоков мультимедийной информации, а другой – для шифрования сигнальной информации).
Следует отметить, что некоторые из имеющихся криптографических алгоритмов или механизмов могут быть зарезервированы для экспорта информации или иных проблем национального уровня (например, при ограниченных длинах ключей). Настоящая Рекомендация поддерживает сигнализацию хорошо известных алгоритмов, а также нестандартизованных или частных криптографических алгоритмов. Не существует специально предписанных алгоритмов, однако, настоятельно рекомендуется, чтобы конечные точки поддерживали как можно больше приемлемых алгоритмов для достижения взаимодействия. Это соответствует концепции, согласно которой реализация Рек. МСЭ Т H.245 не гарантирует взаимодействие между кодеками двух объектов.
Версия 2 Рек. МСЭ Т H.235 заменяет версию 1 Рек. МСЭ Т H.235 и включает ряд усовершенствований, в том числе, шифрование методом эллиптических кривых, профили защиты (простые, основанные на пароле, и сложные – в виде цифровой подписи), новые меры противодействия при нарушении защиты (средства защиты от спама мультимедийной информации), поддержку Усовершенствованного стандарта шифрования (AES), поддержку внутренних серверов, определение идентификаторов объектов и изменения, внесенные из руководства по реализации стандарта H.323.
Рек. МСЭ Т H.235 версия 3 служит заменой Рек. МСЭ Т H.235 версии 2 и включает процедуру для шифрованных двухтональных многочастотных (DTMF) сигналов, идентификаторы объектов для шифрования мультимедийной полезной нагрузки при использовании алгоритма шифрования AES, усовершенствованный метод шифрования потоков информации с обратной связью по выходу (EOFB) для шифрования потоков мультимедийной информации, опцию, рассчитанную только на аутентификацию, представленную в Приложении D, для беспрепятственной трансляции сетевых адресов (NAT)/прохождения брандмауэров (firewall), а также процедуру распределения ключей по каналам регистрации, доступа и статуса (RAS), процедуры для более безопасной передачи сеансовых ключей и более надежного распределения и обновления сеансовых ключей, процедуры для организации защиты множественных потоков полезной нагрузки, более совершенные средства защиты прямо маршрутизируемых вызовов, которые представлены в новом Приложении I, средства сигнализации для организации более гибкого сообщения об ошибке, средства и способы повышения эффективности защиты информации при быстром старте и при сигнализации Диффи-Хеллмана (Diffie-Hellman), а также – параметры Диффи-Хеллмана и изменения, внесенные из руководства по реализации, данного в Рек. H. 323 . |
