2.2.1 Chuẩn H.323.
H.323 là một tiêu chuẩn giao thức được thiết kế cho các gói tin dựa trên mạng truyền thông của ITU (International Telecommunication Union). H.323 bao gồm một số giao thức, chẳng hạn như H.225, H.245 và H.235, vv, mỗi giao thức có một chức năng cụ thể trong thiết lập cuộc gọi.
Mạng H.323 bao gồm nhiều điểm kết thúc khác nhau, chẳng hạn như cổng, gatekeeper, đơn vị kiểm soát đa điểm, và thiết bị đầu cuối kết thúc. Gatekeeper cung cấp độ phân giải địa chỉ và quản lý băng thông, cổng kết nối mạng H.323 và cổng H.323 không mạng khác (hoặc các thiết bị), đơn vị kiểm soát đa điểm là tùy chọn, nó cung cấp nhiều hội nghị truyền hình và thông tin liên lạc giữa một số điểm.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
H.2-1. Kiến trúc mạng H.323.
Giao thức quan trọng trong H.323 là:
- H.245: nó được sử dụng để mô tả làm thế nào gọi dòng phương tiện truyền thông packetized, và thủ tục thiết lập tín hiệu cuộc gọi. H.225/Q.931 được sử dụng để bắt đầu kết nối giữa các thiết bị đầu cuối, dữ liệu thời gian thực sẽ được chuyển giao trên kết nối này. Tín hiệu kênh được mở ra giữa thiết bị đầu cuối - gateway, gateway-gateway, gateway - gatekeeper.
- Q.931: một phần của Q.931 được sử dụng trong H.323 để thực hiện H.225 tin nhắn báo hiệu cuộc gọi.
- H.235: giao thức bảo mật, được dùng để bảo đảm tín hiệu, kiểm soát và truyền thông đa phương tiện. Đây là cốt lõi của cơ chế bảo mật H.323.
- H.245: một tập hợp các giao thức điều khiển cuộc gọi. Sau khi kết nối được thiết lập bởi thủ tục báo hiệu cuộc gọi, sử dụng H.245 để xác định loại
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
phương tiện cuộc gọi, khả năng trao đổi thiết bị đầu cuối, và thiết lập lưu lượng truyền thông.
* H.323 làm việc nhƣ thế nào?
Giao tiếp với H.323 bao gồm âm thanh, video, dữ liệu và trao đổi kiểm các tín hiệu điều khiển. Trong số đó, khả năng âm thanh, Q.931 thiết lập cuộc gọi, kiểm soát dịch vụ truy cập từ xa RAS (Remote Access Services) và tín hiệu H.245 được yêu cầu, tất cả các khả năng khác là tùy chọn. Các giao thức hỗ trợ H.323 được liệt kê trong hình sau đây:
H.2-2. Các giao thức hỗ trợ H.323.
- Điều khiển: Các chức năng điều khiển cuộc gọi là cốt lõi của thiết bị đầu cuối H.323. Các chức năng bao gồm: gọi tín hiệu cài đặt, khả năng trao đổi, tin nhắn để mô tả các kênh logic. Tất cả các tín hiệu âm thanh, video và điều khiển thông qua lớp điều khiển. Lớp kiểm soát được sử dụng để thay đổi định dạng dữ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
liệu để gửi dữ liệu qua mạng. Lớp điều khiển cũng có các chức năng khác, chẳng hạn như thực hiện trình tự đánh số, phát hiện lỗi, sửa lỗi và như vậy. Q.931, RAS và RTP / RTCP được sử dụng để thực hiện các chức năng này.
Việc kiểm soát toàn bộ hệ thống được cung cấp bởi ba kênh tín hiệu: kênh tín hiệu điều khiển H.245, kênh tín hiệu cuộc gọi Q.931, kênh RAS.
Kênh tín hiệu điều khiển H.245: đây là một kênh đáng tin cậy, nó cung cấp các thông điệp điều khiển, chẳng hạn như khả năng trao đổi, mở kênh logic và kết thúc, và một số lệnh chung khác. Trao đổi khả năng cơ bản, H.245 cung cấp truyền và nhận được khả năng riêng, và H.245 cũng cung cấp các phương pháp để mô tả các chi tiết thiết bị đầu cuối H.323 khác. Đối với mỗi lời gọi, chỉ có một kênh điều khiển H.245.
Kênh tín hiệu cuộc gọi: kênh này được sử dụng để thiết lập kết nối giữa hai thiết bị đầu cuối, các giao thức được sử dụng trong kênh này là Q.931.
Chức năng tín hiệu RAS: Chức năng này được sử dụng để đăng nhập, thay đổi băng thông v.v…
- Âm thanh: Tín hiệu âm thanh nén giọng nói được số hóa. H.323 có một số thuật toán nén, G.711 là một trong những mặc định. Phương pháp nén khác nhau dẫn đến chất lượng lời nói khác nhau, tỷ lệ bit, độ trễ, v.v… G.711 thường truyền tiếng nói từ 56 đến 64 kbps.
- Video: trong H.323 có khả năng tùy chọn video, nhưng mỗi thiết bị đầu cuối phải có khả năng cho phép hỗ trợ giải mã các video H.263, H.261 tùy chọn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Dữ liệu: Bằng cách sử dụng T.120 đặc điểm kỹ thuật, H.323 hỗ trợ dữ liệu hội nghị. T.120 sử dụng cho điểm-điểm và đa điểm hội nghị dữ liệu, nó cung cấp khả năng tương tác ở lớp ứng dụng, tầng mạng và tầng giao vận.
Thông thường, các gói đầu tiên được sử dụng để bắt đầu trao đổi H.323 là gói tin phát hiện Gatekeepter. Để thiết lập một cuộc gọi giữa hai thiết bị đầu cuối, hai kết nối TCP là cần thiết, một cho thiết lập cuộc gọi (tin nhắn Q.931/H.225), và một cho khả năng trao đổi và kiểm soát cuộc gọi (tin nhắn H.245). Đầu tiên, một thiết bị đầu cuối bắt đầu một cuộc trao đổi H.225/Q.931 trên một cổng TCP với thiết bị đầu cuối khác, để hoàn thành một cuộc gọi, cần một kênh end-to-end đáng tin cậy để hỗ trợ tin nhắn H.245.
H.245 đàm phán sử dụng một kênh khác nhau từ H.225 để trao đổi kênh, các kênh được tự động tạo ra để sử dụng chuyển thoại và video.
H.323 sử dụng cả hai TCP và UDP để vận chuyển các tín hiệu điều khiển, dữ liệu và dữ liệu đa phương tiện. Khi tín hiệu điều khiển phải được nhận theo đúng thứ tự và không thể bị mất, do đó, H.323 sử dụng TCP để vận chuyển các tín hiệu điều khiển, khi các dòng video thời gian nhạy cảm nhưng không nhạy cảm với các gói dữ liệu bị mất, do đó, H.323 sử dụng UDP để vận chuyển bằng giọng nói và dữ liệu video. Vì vậy, H.225 gọi là kênh báo hiệu và kênh điều khiển H.245 chạy trên TCP, âm thanh, video và RAS kênh trao đổi chạy trên UDP.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
H.2-3. Cuộc gọi H.323.
Phần sau đây là ví dụ cho mô tả chi tiết cuộc gọi với H.323.
Ví dụ1: Cuộc gọi đơn giản trong vòng một khu vực.
H.2-4. Thiết lập cuộc gọi vùng nội bộ.
Các con số ở trên là một thiết lập cuộc gọi giữa các thiết bị đầu cuối trong một vùng, thiết bị đầu cuối A muốn gọi thiết bị đầu cuối B về số 408-667-1111. Các thiết lập trình tự gọi là:
1) Đầu A quay số, thiết bị cuối B của số điện thoại.
2) Gateway A (GWA) sẽ gửi một yêu cầu đăng nhập (ARQ - Admission Request) đến Gatekeeper 1 (GK1) yêu cầu cho phép gọi thiết bị cuối B.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3) GK1 kiểm tra bảng của nó và tìm thấy rằng cuối B được đăng ký, K1 gửi một xác nhận đăng nhập (ACF - Admission Confirmation) với địa chỉ IP của Gateway B (GWB) trở lại GWA.
4) GWA gửi Q.931 cuộc gọi-Setup GWB cùng với số điện thoại của cuối B.
5) GWB gửi GK1 Yêu cầu đăng nhập (ARQ) để yêu cầu sự cho phép để trả lời cuộc gọi của GWA.
6) GK1 trả về một ACF với địa chỉ IP của GWA.
7) GWB thiết lập một cuộc gọi đến cuối B tại số điện thoại của thiết bị cuối B.
8) Khi cuối B trả lời, GWB gửi Q.931 kết nối đến GWA.
9) Nhiều GW thông tin phản hồi (IRR - Information Response) tới GK sau khi cuộc gọi được thiết lập.
Ví dụ 2: Thiết lập cuộc gọi giữa các vùng khác nhau.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Thiết bị đầu A muốn gọi cuối B trong khu vực khác. Trình tự cuộc gọi cài đặt được mô tả như sau:
1) Đầu A quay số, số điện thoại của cuối B là 408-667-1111.
2) Gateway A (GWA) gửi yêu cầu đăng nhập (ARQ) đến Gatekeeper 1 (GK1) yêu cầu cho phép gọi cuối B.
3) GK1 kiểm tra danh sách của nó và tìm thấy cuối B không được đăng ký, GK1 có một tiền tố kiểm tra và thấy rằng GK2 cung cấp dịch vụ cuối B, GK1 gửi yêu cầu vị trí (LRQ - Location Request) GK2, và yêu cầu trong tiến trình (RIP - Request In Progress) tới GWA.
4) GK2 kiểm tra danh sách của nó và tìm thấy rằng cuối B được đăng ký, sau đó GK2 trả về một vị trí xác nhận (LCF - Location Confirmation) GK1, cùng với những địa chỉ IP của cuối B.
5) GK1 gửi một xác nhận đăng nhập (ACF) trở lại GWA, cùng với địa chỉ IP của cuối B.
6) GWA gửi thiết lập cuộc gọi Q.931 tới GWB cùng với số điện thoại của cuối B.
7) GWB sẽ gửi một yêu cầu đăng nhập (ARQ) tới GK2 yêu cầu cho phép trả lời cuộc gọi của GWA.
8) GK2 trở lại một xác nhận đăng nhập (ACF) GWB cùng với những địa chỉ IP của GWA.
9) GWB gọi đến cuối B
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Ví dụ 3: Hủy kết nối cuộc gọi.
H.2-5. Hủy kết nối cuộc gọi.
Hội thoại trong thiết bị đầu A và cuối B, tác động lên cuối B 1) Tác động lên cuối B.
2) GWB gửi yêu cầu hủy bỏ (DRQ - Disengage Request) tới GK2 để ngắt kết nối gọi giữa đầu A và cuối B, xác nhận hủy bỏ (DCF - Disengage Confirmation) sẽ được nhận được sau đó.
3) GWB gửi Q.931 phát hành hoàn chỉnh để GWA.
4) GWA gửi DRQ tới GK1 để ngắt kết nối cuộc gọi giữa đầu A và cuối B, xác nhận hủy bỏ (DCF) sẽ nhận được sau đó.
5) GWA sẽ gửi một tín hiệu ngắt kết nối cuộc gọi.
2.2.2 Chuẩn H.235.
H.235 được khuyến khích để cung cấp dịch vụ an ninh cho loạt H.3xx, chẳng hạn như H.323, H.225, H.245 và H.460. H.235 có thể được sử dụng cho điểm-điểm và hội nghị đa điểm sử dụng H.245 là giao thức điều khiển. H.235 cung cấp xác thực, bảo mật và tính toàn vẹn cho loạt hệ thống H.3xx, H.235 xác định một người thay vì một thiết bị. Có ba loại cấu hình bảo mật trong H.235.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2) Làm hồ sơ cho việc sử dụng chứng nhận kỹ thuật số, và phụ thuộc vào khóa công khai của kết cấu hạ tầng.
3) Cấu hình được tích hợp 1 và 2.
H.235 hỗ trợ các thuật toán mã hóa khác nhau với các tùy chọn khác nhau, nó phụ thuộc vào các yêu cầu bảo mật. Cấu trúc của H.235 được mô tả dưới đây:
- Kênh tín hiệu gọi có thể được bảo đảm bằng an ninh của tầng giao vận (TLS - transport layer security), hoặc bảo mật IP (IPSec).
- Người dùng có thể được chứng thực trong thời gian kết nối cuộc gọi ban đầu hoặc trong quá trình đảm bảo kênh H.245, hoặc bằng cách trao đổi chứng nhận trên kênh H.245.
- Thuật toán mã hóa trên kênh truyền thông được xác định theo cơ chế khả năng đàm phán.
- Ban đầu phân bố chính được thực hiện bằng lệnh H.245, chẳng hạn như mở kênh logic, mở kênh logic xác nhận gói tin.
- Sự phân bố các khóa có thể được bảo vệ bằng cách sử dụng kênh H.245 như là một kênh tư nhân, hoặc bằng cách bảo vệ chính.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
H.2-6. Phạm vi H.235.
Từ hình ở trên, chúng ta có thể thấy thông báo H.245 và H.225 tín hiệu có thể được bảo đảm bằng cách sử dụng bảo mật tầng giao vận, hoặc IPSec trên tầng mạng, gói tin bằng giọng nói chuyển giao RTP có thể được bảo vệ bằng mã hóa và xác thực, H.235 cũng cung cấp bảo vệ an ninh cho các thiết bị đầu cuối H.225 Gatekeeper tín hiệu RAS.
2.3 Phương thức đảm bảo anh ninh của H.235 đối với VoIP.
Cấu hình bảo mật H.235 * H.235 version 2:
H.235 V2 được thành lập vào năm 2000, nó cung cấp hỗ trợ về mật mã đường cong elliptic và hệ thống chuẩn mã hóa nâng cao (AES - Advanced Encryption System), nó định nghĩa một số hồ sơ an ninh để hỗ trợ khả năng tương tác của các sản phẩm khác nhau. Các hồ sơ là:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Chia sẻ bảo mật và khóa băm, nó là mật khẩu mang tính bảo mật.
- Chữ ký số trên mỗi tin nhắn, nó phụ thuộc vào khóa công khai.
- Chữ ký số và thiết lập chia sẻ bảo mật trên lần kết nối đầu tiên. Nó tích hợp 2 vấn đề trên.
Cơ sở bảo mật hồ sơ H.235 v2:
Nó dựa vào kỹ thuật khóa đối xứng, đối xứng mật mã sử dụng cùng một bảo mật để mã hóa và giải mã. Phương pháp bảo mật này cũng dựa trên trước khi liên lạc, đó là người sử dụng phải đồng ý về một bí mật được chia sẻ, chẳng hạn như một người sử dụng mật khẩu, người biết mật khẩu là người sử dụng hợp pháp. Xác thực và toàn vẹn được bảo vệ bằng cách chia sẻ bí mật (như mật khẩu). Các thuật toán mã hóa sử dụng là HMAC-SHA1-96. Từ đây, được sử dụng cho thiết bị đầu cuối - thiết bị đầu cuối, thiết bị đầu cuối -gatekeeper, gatekeeper - gatekeeper. Hồ sơ này hỗ trợ kết nối an toàn nhanh chóng và H.245 đường hầm, và có thể được tích hợp với tùy chọn mã hóa tiếng nói. Hồ sơ này là dễ thực hiện nhưng không mở rộng vì quản khóa bị hạn chế.
Chia sẻ bí mật SHA1 (mật khẩu):
Mật khẩu được sử dụng để xác thực / toàn vẹn cho RAS và H.225, nó có thể được nhập vào bởi người sử dụng, và bằng cách sử dụng hàm băm một chiều, mật khẩu được chia sẻ thành chuỗi bit cố định. Các tính năng của hồ sơ này bao gồm:
- Nó cung cấp xác thực người dùng thay vì thiết bị xác thực.
- Nó cung cấp sự bảo vệ toàn vẹn cho các thông báo toàn bộ, bao gồm các tin nhắn báo hiệu.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Về phía người gửi, người gửi sẽ tạo ra một thông tin băm trong đó một giá trị được tạo ra với hàm băm (HMAC-SHA1-96). Giá trị này được gọi là giá trị băm hoặc thực hiện chứng thực, nó được sử dụng để xác thực thông điệp. HMAC-SHA1-96 nhận được toàn bộ thông điệp và mật khẩu, sau đó tạo ra các thực hiện chứng thực 96-bit.
Ở phía bên nhận, bên nhận kiểm tra ID chung (ID của các thực thể mà tin nhắn được gửi) của tin nhắn đã nhận, nếu ID nói chung tương đương riêng nó, và thời gian (thời gian đóng dấu) các tin nhắn gửi là chính xác, sau đó kiểm tra giá trị ngẫu nhiên trong tin nhắn, (giá trị ngẫu nhiên được tạo ra bởi người gửi, nó là một truy cập gia tăng khi một tin nhắn mới được gửi), nếu giá trị ngẫu nhiên là cao hơn trong khi thời gian đóng dấu bằng thời gian đóng dấu trên các tin nhắn trước, sau đó kiểm tra thực hiện chứng thực, nếu thực hiện chứng thực cũng là chính xác, sau đó tin nhắn vượt qua kiểm tra an ninh.
Vì vậy, về phía người gửi, người gửi cần tạo ra ID nói chung, thời gian đóng dấu, giá trị ngẫu nhiên, ở phía bên nhận, người nhận cần phải kiểm tra ID chung, có con dấu thời gian, và thực hiện chứng thực.
HMAC-SHA1-96 là một hàm băm, mục đích là thông điệp xác thực, tin nhắn được ánh xạ đến 96 chuỗi bit. HMAC là một hàm băm có khóa được sử