Đối với cơ chế xác thực này, người sử dụng sẽ dùng mật khẩu chung hay khóa bí mật, nó sẽ được sử dụng trong hàm băm để áp dụng băm tất cả các trường trong bản tin H.225 RAS và báo hiệu nhằm mục đích đảm bảo sự toàn vẹn cho bản tin.
Đối với tùy chọn bảo mật thoại, lược đồ trên đề xuất sử dụng các thuật toán AES-128, RC2-compatible , DES hay triple-DES dựa trên sự trao đổi về chế độ và yêu cầu diễn ra trước đó.
Các cách thức điều khiển truy cập được áp dụng dựa trên thông tin truyền tải nhận được trong các trường báo hiệu H.235 ( ClearToken, CrytoToken ).
Các thực thể truyền thông liên quan có thể quyết định chế độ xác thực thông qua thông qua các trường tokenOID và algorithmOID trong các bản tin.
Có 2 dịch vụ được cung cấp trong Baseline security profile :
o Authentication and integriy : Nó kết hợp sự hỗ trợ về toàn vẹn thông
tin với xác thực người sử dụng. Có thể chắc chắn về sự xác thực này bằng cách áp dụng đúng thủ tục trao đổi khóa chung (share secret).
o Authenticaton-only : Đây là 1 tùy chọn cung cấp sự xác thực cho 1 vài
trường được lựa chọn chứ không phải toàn bộ bản tin. Nó được áp dụng cho các bản tin báo hiệu đi qua các thiết bị NAT hay tường lửa.
Người sử dụng có thể chắc chắn về sự xác thực này bằng cách áp dụng đúng thủ tục trao đổi share secret.
Thủ tục xác thực :
Bên gửi bản tin xác thực sẽ tính toán nhƣ sau :
- Thiết lập giá trị băm có độ dài là 96 bit. - ASN.1- mã hóa toàn bộ bản tin.
- Xác định và ghi lên trường chứa giá trị băm 96 bit 0 trong bản tin đã được mã hóa bằng ASN.1.
- Tính giá trị băm dựa trên bản tin được mã hóa bởi ASN.1 sử dụng HMAC-SHA1- 96.
Hình 2.17 Quá trình tính toán xác thực ở bên gửi.
Bên nhận bản tin sẽ xử lý nhƣ sau :
- ASN.1 – giải mã bản tin.
- Tìm và xác định vị trị trí của giá trị RV trong bản tin chưa được giải mã. Ghi chồng lên giá trị đó 96 bit 0.
- Tính lại giá trị băm đối với bản tin chưa được giải mã đó sử dụng HMAC- SHA1-96.
- So sánh RV với giá trị băm vừa tính được. Bản tin được xem như là toàn vẹn nếu 2 giá trị này bằng nhau, khi đó việc xác nhận thành công và thủ tục được kết thúc.
- Nếu 2 giá trị không bằng nhau thì việc xác thực thất bại và bản tin đã bị sửa đổi (do lỗi đường truyền hay cố ý) trong quá trình truyền.
Hình 2.18 Quá trình xác thực bên nhận
Tóm lại:
Denial-of-service attacks : Kiểm tra nhanh các giá trị băm có thể tránh được dạng tấn công này.
Man-in-the-middle attacks : sử dụng authentication and integrity.
Replay attacks : Sử dụng sequence và timestamp.
Spoofing(Giả mạo) : Sử dụng cơ chế xác nhận.
Connection hijacking : sử dụng authentication and integrity.
2.2.4.2. Cơ chế xác thực Signature security profile
Signature security profile được đề xuất như là 1 tùy chọn, thường được áp dụng trong trường hợp có nhiểu điểm cuối mà việc sử dụng mật khẩu/khóa chung là không khả thi. Nó cung cấp thêm dịch vụ bảo mật không thể chối bỏ với chữ ký điện tử và chứng chỉ điện tử. Chữ ký điện tử sử dụng hàm băm SHA1 hoặc MD5 cho việc xác thực và toàn vẹn bản tin.