CN1992593A - 应用于分组网络的基于h.323协议的终端接入方法 - Google Patents

Abstract

本发明提供了一种应用于分组网络的基于H.323协议的终端接入方法，包括以下步骤：网络呼叫接纳通信阶段，网守采用椭圆曲线公钥证书数字签名体制实现对终端的安全认证，并通过Diffie－Hellman密钥分配方案生成共享会话密钥，建立网络接入安全信道；网络呼叫控制通信阶段，终端和网守基于共享会话密钥，在建立的网络接入安全信道上，采用对称密码机制建立一个呼叫连接安全信道；网络连接控制通信阶段，在呼叫连接安全信道上，采用对称密码机制进行密钥协商。使用本发明方法实现多媒体终端安全接入网络及终端之间的安全通信，具有对用户认证速度快，单位比特加密强度高等特点。

Description

应用于分组网络的基于H.323协议的终端接入方法

技术领域

本发明涉及分组网络通信安全方法技术领域，特别涉及一种基于椭圆曲线公钥密码学实现多媒体终端安全接入网络的方法。

背景技术

目前，依托专网及互联网部署了大量具有多媒体能力基于ITU_T H.323协议的终端，开展基于分组网(固定与3G移动)语音(VoIP)、视频等业务及其它一些增值业务，并有可能在未来成为用户接入的主流方式。由于互联网本身的开放性和缺乏有效监控，安全接入问题日益凸现，如拒绝服务(DoS)攻击、服务窃取、信令流监听、媒体流监听等安全威胁。

现有的H.323网络中，终端要安全接入网络，主要是基于ITU-T H.235协议中对称密码技术来实现网络对终端的安全认证，作为实现终端安全接入的手段。安全机制是通过各相邻节点之间事先预共享秘密或是通过TLS或IPSEC协议使用一个安全端口来保护各种信令安全。具体体现为对端点(多媒体终端或媒体控制单元(MCU))之间通信的三个控制过程：呼叫接纳(RAS)，呼叫控制(H.225.0呼叫信令协议)与连接控制(H.245)实施安全保护，包括认证、隐私性(机密性)、完整性及不可否认性。

预共享秘密的对称密码安全机制由于在加、解密时使用单一密钥，一旦密钥泄露，整个通信系统失去安全防御作用，因此在实际应用中暴露出了越来越多的缺陷。这种安全机制另外的不足就是当网络规模很大时，用户预共享秘密分配困难，即使可行也难于管理。

对于混合网络中，如移动网络与固定网，事先协商TLS或IPSEC的机制实施起来很困难。

公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。

椭圆曲线密码体制来源于对椭圆曲线的研究，所谓椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程：y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆(1)所确定的平面曲线。其中系数a_i(i＝1，2，…，6)定义在某个域上，可以是有理数域、实数域、复数域，还可以是有限域GF(p)，椭圆曲线密码体制中用到的椭圆曲线都是定义在有限域上的。

有限域椭圆曲线上所有点，附加一个叫做无穷远点的特殊点构成的集合连同一个定义的”弦与正切”加法运算规则构成一个Abel群。等式mP＝P+P+…+P＝Q(2)被称为点积或点的标量乘，已知标量m和点P求点Q比较容易，反之已知点Q和点P求m却是相当困难的，这个问题称为椭圆曲线离散对数问题。椭圆曲线密码体制正是利用这个困难问题设计而来。椭圆曲线应用到密码学上最早是由Neal Koblitz和Victor Miller在1985年分别独立提出的。

椭圆曲线密码体制是目前已知公钥密码体制中，每比特所提供加密强度最高的一种体制。解椭圆曲线上离散对数问题的最好算法是Pollard rho方法，其时间复杂度是完全指数阶的。假设n为等式(2)中m的二进制表示的位数。当n＝234，复杂度约为2¹¹⁷，需要1.6×10²³MIPS年的时间。而我们熟知的RSA所利用的是大整数分解的困难问题，目前对于一般情况下的因数分解的最好算法的时间复杂度是子(亚)指数阶的，当n＝2048时，约需2×10²⁰MIPS年的时间。也就是说当RSA的密钥使用2048位时，ECC的密钥使用234位所获得的安全强度还高出许多。它们之间的密钥长度却相差达9倍，当ECC的密钥更大时它们之间差距将更大。ECC密钥短的优点是非常明显的，随加密强度的提高，密钥长度变化不大。

目前，德国、日本、法国、美国、加拿大等国的很多密码学研究小组及一些公司实现了椭圆曲线密码体制，我国也有一些密码学者做了这方面的工作。许多标准化组织已经或正在制定关于椭圆曲线的标准，同时也有许多的厂商已经或正在开发基于椭圆曲线的产品。对于椭圆曲线密码的研究也是方兴未艾。

在椭圆曲线密码体制的标准化方面，IEEE、ANSI、ISO、IETF、ATM等都作了大量的工作，它们所开发的椭圆曲线标准的文档有：IEEE P1363P1363a、ANSI X9.62 X9.63、ISO/IEC14888等。

2003年5月12日中国颁布的无线局域网国家标准GB15629.11中，包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制，能为用户的WLAN系统提供全面的安全保护。这种安全机制由WAI和WPI两部分组成，分别实现对用户身份的鉴别和对传输的数据加密。WAI采用公开密钥密码体制，利用证书来对WLAN系统中的用户和AP进行认证。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名，这里的签名采用的就是椭圆曲线ECC算法。

第六届国际密码学会议对应用于公钥密码系统的加密算法推荐了两种：基于大整数因子分解问题(IFP)的RSA算法和基于椭圆曲线上离散对数计算问题(ECDLP)的ECC算法。RSA算法的特点之一是数学原理简单、在工程应用中比较易于实现，但它的单位安全强度相对较低。目前用国际上公认的对于RSA算法最有效的攻击方法--一般数域筛(NFS)方法去破译和攻击RSA算法，它的破译或求解难度是亚指数级的。ECC算法的数学理论非常深奥和复杂，在工程应用中比较难于实现，但它的单位安全强度相对较高。用国际上公认的对于ECC算法最有效的攻击方法--Pollard rho方法去破译和攻击ECC算法，它的破译或求解难度基本上是指数级的。正是由于RSA算法和ECC算法这一明显不同，使得ECC算法的单位安全强度高于RSA算法，也就是说，要达到同样的安全强度，ECC算法所需的密钥长度远比RSA算法低。这就有效地解决了为了提高安全强度必须增加密钥长度所带来的工程实现难度的问题。

克服现有网络安全机制缺陷的一个可行方法就是基于公钥密码体制。但由于对称密钥体制相对于公钥密码体制，具有加密速度快得多的优点，因此，可以利用一种混合加密方法，综合它们的优点，即用公钥加密体制安全传输会话密钥，再用会话密钥进行信息加密和解密。结合H.323多媒体终端通信系统，就是基于公钥密码，实现终端或MCU与网守之间安全传递RAS消息，从而实现终端的安全接入，安全接入的同时协商出一个安全会话密钥，基于此共享会话密钥，采用对称密码机制建立一个满足各种呼叫路由模式的安全呼叫连接信道(H.225.0)，再在此安全信道上，利用呼叫控制(H.245)协议安全协商能力，为多媒体终端之间的实时媒体流通信进行加密算法与密钥协商，最后完成媒体流实时通信安全。

发明内容

本发明所要解决的技术问题在于，提供一种应用于分组网络的基于H.323协议的终端接入方法，包括终端的认证、完整性、不可否认性及抗重放攻击等。其特征是基于椭圆曲线上离散对数困难问题假设出发，借助于哈希函数，椭圆曲线公钥证书，利用椭圆曲线数字签名方法实现终端的安全接入及共享秘密或会话密钥的安全传输。

为解决上述技术问题，本发明提供了一种应用于分组网络的基于H.323协议的终端接入方法，包括如下步骤：

(1)网络呼叫接纳通信阶段，网守采用椭圆曲线公钥证书数字签名体制实现对呼入终端的安全认证，并在椭圆曲线公钥证书数字签名的信令中建立一个数据单元，用于通过Diffie-Hellman密钥分配方案与呼叫终端协商生成共享会话密钥，建立网络接入安全信道；

(2)网守采用椭圆曲线公钥证书数字签名体制实现对接收终端的安全认证，并在椭圆曲线公钥证书数字签名的信令中建立一个数据单元，向接收终端传递Diffie-Hellman密钥分配方案产生的与接收终端共享的会话密钥，建立网络接入安全信道；

(3)网络呼叫控制通信阶段：呼入终端和网守基于步骤(1)产生的共享会话密钥，在建立的网络接入安全信道上，采用对称密码机制建立一个满足各种呼叫路由模式的呼叫连接安全信道；

(4)网络连接控制通信阶段，在呼叫连接安全信道上，采用对称密码机制为多媒体终端之间的实时媒体流通信进行加密算法与密钥协商，实现多媒体终端之间媒体流的实时安全通信。

所述方法中采用椭圆曲线公钥证书数字签名体制实现终端与网守之间安全认证步骤可以是：

a.根据椭圆曲线公钥证书给出的公共椭圆曲线算法集，定义一个系统参数集D＝(p，a，b，G，n，h)，其中p为一个大于160bit的素整数，指定有限域GF(p)；a，b指定曲线E；G＝(x_G，y_G)∈E(GF(p))为一个基点；素数n为基点G的阶；h＝#E(GF(p))/n为协因子整数；#E(GF(p))表示椭圆曲线点群的阶；

b.对信令中序列随机数、时戳、挑战数、发送终端名、接收网守名、全信令签名或部分信令消息签名标记进行设置，并放入一个明文消息令牌中；

c.基于不同安全策略决定是对整个信令进行数字签名还是只对信令消息的一部分，并放入明文消息令牌中；

d.选择安全哈希函数，使用哈希函数对部分消息进行数字签名的信令消息进行运算，生成固定长度的消息摘要；

e.建立密钥对(d，Q)，其中d是私钥，Q＝dG是公钥；向网守发送哈希函数，椭圆曲线参数a，b和公钥Q；

f.选择一个随机或伪随机数k，1≤k≤n-1；

g.计算kG＝(x₁，y₁)，r＝x₁ mod n，如果r＝0，则返回步骤f；计算s＝k^-1(e+dr)mod n，如果s＝0，则返回步骤f；

h.呼入终端完成对信令消息的签名(r，s)，并将该签名嵌入到信令消息中并发送给网守；

i.网守取出公共椭圆曲线参数集D＝{p，a，b，G，n，h}与终端相关公钥Q的授权拷贝，验证终端的签名(r，s)是否超过椭圆曲线基点群阶的范围，如果是，则表示为不合法的数字签名，拒绝终端的接入；

j.如果终端的签名(r，s)没有超过椭圆曲线基点群阶的范围，网守判断消息签名是对整个信令消息签名还是只是消息的部分签名，并随后生成不同的消息摘要e；计算w＝s^-1 mod n，u₁＝ew mod n，u₂＝rw mod n，及X＝u₁G+u₂Q＝(x₁，y₁)的值；当x₁为0或不等于r时，说明签名无效，拒绝终端的接入；

k.当x₁等于r且不等于0时，验证签名本身计算的正确性，网守完成对终端的接入认证。

上述方法步骤c中，基于不同的安全策略决定是对整个信令进行数字签名还是只对部分消息进行数字签名的步骤可以是：如果终端与网守之间物理上为相邻连接，对整个信令进行数字签名；如果终端与网守之间存在防火墙，只对部分消息进行数字签名。

所述方法步骤(1)中，数字签名的数字证书内部格式由CCITT X.509规定，可以包含以下几方面内容：证书的版本号、数字证书的序列号、证书拥有者的姓名、签名算法、颁发数字证书的单位、颁发数字证书的单位的签名、公开秘钥的有效期。

所述方法中，网守可以通过验证呼入终端时间戳的生存期和随机序列值的唯一性，来抵御拒绝服务攻击。

所述方法中，网守可以通过对接收终端身份与自己标识符比较，来验证接收终端是否为一个合法用户。

所述方法中，网守可以验证呼入终端的标识符是否与其证书内身份标识符一致及是否具有相应的访问权限。

所述方法中，呼入终端通过Diffie-Hellman密钥分配方案与网守协商生成共享会话密钥的步骤可以是：

a.呼入终端在信令中，建立一个数据单元dhKey{halfkey(g^x)，modsize(素数模p)，generator(乘法群的生成元g)}；终端生成一个随机数x，进行相应的计算后发给网守；

b.网守接收到信令消息后，随机生成一个秘密数y，并计算(g^x)^y＝g^xy作为与终端的共享会话密钥，在返回的信令中，填写数据单元各字段{halfkey(g^y)，modsize(p)，generator(g)}；

c.终端在接收到信令后，与网守进行相同的计算，(g^y)^x＝g^yx＝g^xy，完成与网守共享会话密钥。

所述方法中，网络连接控制通信阶段在呼叫连接安全信道上，可以利用呼叫信令信道会话密钥，采用预共享秘密机制实现H.245控制信道的安全认证，建立连接控制安全信道；在连接控制安全信道上，利用H.245协议所具有的安全能力交换规程，协商出多媒体终端通信双方进行媒体流通信所支持的加密算法和加密密钥，并用呼叫信令信道会话密钥进行传输保护。

所述方法中，网守对终端的安全接入可以包括：机密性，身份性认证、完整性认证及不可抵赖性认证。

使用本发明方法，可以实现终端在与网络间没有建立任何预共享秘密时的安全接入、安全信道的建立以及终端间媒体流的安全传输，具有每比特高强度安全性，处理速度快和开销低等特点，适用于具有低内存与低处理能力的H.323多媒体终端实现网络安全接入。

附图说明

图1为本发明实施例方法的呼叫模式场景图；

图2为本发明实施例方法终端接入时椭圆曲线数字签名过程的流程图；

图3为本发明实施例方法网守验证终端椭圆曲线数字签名过程的流程图；

图4为本发明实施例单网守路由直接呼叫模式下终端安全接入协议流程图。

具体实施方式

本发明目的在于提供基于椭圆曲线公钥证书数字签名方法实现H.323网络下，具有多媒体处理能力终端安全接入网络方法。所发明的方法是从椭圆曲线离散对数出发，辅以抗碰撞散列函数，利用椭圆曲线公钥证书数字签名方法，实现终端接入过程中身份确认、完整性检查，如果需要还可以实现不可否认性等安全属性。在确定用户身份的同时，结合H.225 RAS信令的交互，利用Diffie-Hellman密钥协商方案生成终端与网络接入节点网守共享秘密或会话密钥，为后面的呼叫连接及媒体流通信建立安全通信信道。

本发明所采用的方法，其安全基础是基于椭圆曲线离散对数问题。给定一条定义在有限域GF(p)上椭圆曲线E，一个阶为n的点P∈E及一个点Q＝kP，其中0≤k≤n-1，确定k。椭圆曲线离散对数问题具有可证明的安全性，相对于目前流行的RSA公钥密码体制，具有速度快，安全性高及对终端的处理能力要求低等优点。

本发明实现H.323系统中多媒体终端安全接入网络内容，就是对网络接入(H.225.0 RAS)，呼叫控制(H.225.0呼叫信令协议)与连接控制(H.245)三个通信阶段实施认证、隐私性(机密性)、完整性及不可否认性保护。首先在网络接入过程中，采用椭圆曲线公钥证书数字签名过程，实现安全认证，同时基于Diffie-Hellman密钥分配方案协商一个共享会话密钥，以建立起一个安全信道，在此安全信道上，对后面二个通信阶段，基于传统对称密码技术分别建立相应的安全信道，实现多媒体终端之间通信安全与保密。

终端在接入网络前，与网络事先没有任何预共享秘密，要实现终端安全接入网络涉及到二个问题：一是对用户身份的安全确认；二是密钥交换，即终端与网守之间，通过信令交互实现共享秘密或会话密钥的交换。解决这二个问题的方法就是引入表示用户身份的数字证书。数字证书能有效表明终端身份，同时可以实施密钥交换方法。数字证书内部格式可由CCITT X.509规定，它必须包含以下几个方面的信息内容：证书的版本号；数字证书的序列号；证书拥有者的姓名；签名算法；颁发数字证书的单位；颁发数字证书的单位的签名；公开秘钥的有效期等。这些信息称为证书数据(Certification)。

如图1所示，为本发明实施例方法所述的呼叫模式场景图，说明了本发明实施例方法基于椭圆曲线公钥证书数字签名方法实现终端网络安全接入过程，包括信令的认证、完整性及不可抵赖性等安全特征。本发明实施例方法假定网络各节点事先已经拥有完成安全接入及密钥协商时通信双方公钥证书或椭圆曲线公钥证书，具体步骤如下：

(步骤101)终端A或C使用信令GRQ或RRQ，实施数字签名过程：根据椭圆曲线证书给出的公共椭圆曲线算法集，对GRQ或RRQ中相关用户认证信息进行设置，终端A或C完成对信令消息的签名后将签名嵌入GRQ或RRQ消息中发送给网守B。

(步骤102)网守B在收到信令GRQ或RRQ消息后，完成安全认证过程，在验证了签名本身计算的正确性后，完成终端A或C的接入。

(步骤103)完成终端网络安全接入后，终端A向网守B发出ARQ或LRQ信令，要求协商一个呼叫信令信道会话密钥。

(步骤104)网守B向终端A回复ACF或LCF信令，基于网络接入H.225.0RAS信令过程中所安全交换的会话秘密，采用Diffie-Hellman算法协商出一个呼叫信令信道会话密钥发送终端A。

(步骤105)终端A利用呼叫信令信道会话密钥，采用预共享秘密机制H.245控制信道的安全认证，与终端C建立起一个安全信道。

(步骤106)终端C向网守B发出ARQ或LRQ信令，要求传送网守B与终端C协商的呼叫信令信道会话密钥。

(步骤107)网守B向终端C回复ACF或LCF信令，将其与终端A协商的呼叫信令信道会话密钥发送终端C。

(步骤108)网守B与终端C完成协商，打开利用网守B与终端C协商的加密算法与加密密钥等参数建立的媒体逻辑信道，使用实时传输协议/实时传输控制协议(RTP/RTCP)实现基于分组网络的媒体安全通信。

如图2所示，为根据本发明实施例所述终端接入时椭圆曲线数字签名过程的流程图，其步骤为：

(步骤201)根据椭圆曲线证书给出的公共椭圆曲线算法集，定义一个系统参数集D＝(p，a，b，G，n，h)。其中p为一个大的素整数(如160bit长)，指定了有限域GF(p)；a，b指定了曲线E；G＝(x_G，y_G)∈E(GF(p))为一个基点，素数n为基点G的阶；h＝#E(GF(p))/n是协因子整数，#E(GF(p))表示椭圆曲线点群的阶。

(步骤202)对GRQ或RRQ中相关用户认证信息进行设置，并放入到一个以明文消息传输的令牌ClearToken中，包括序列随机数，时戳，挑战数，发送终端名，接收网守名，全信令签名或部分信令消息签名标记等。

(步骤203)基于安全策略决定是对GRQ或RRQ整个信令进行数字签名还是只对部分消息进行数字签名，并放入令牌ClearToken内的一个字段内。如设一个标记tokenOID，为“A”表示全消息签名，“B“表示部分消息签名。前者适于终端与网守之间物理上为相邻连接；后者针对在终端与网守之间存在NAT/防火墙时，GRQ或RRQ信令中间需要被修改之情况。

(步骤204)计算消息摘要，并将其转换成一个整数e，建立密钥对(d，Q)，其中d是私钥，Q＝dG是公钥；向网守发送哈希函数，椭圆曲线参数a，b和公钥Q。

(步骤205)使用哈希函数SHA对可变长的信令消息进行运算生成固定长度的消息摘要e，建立密钥对(d，Q)，其中d是私钥，Q＝dG是公钥；向网守发送哈希函数，椭圆曲线参数a，b和公钥Q。

(步骤206)选择一个随机或伪随机数k，1≤k≤n-1。

(步骤207)计算kG＝(x₁，y₁)，r＝x₁ mod n。

(步骤208)如果r＝0，则返回到步骤206，重新对消息摘要进行计算。

(步骤209)计算s＝k^-1(e+dr)mod n。

(步骤210)如果s＝0，则返回到步骤206，重新对消息摘要进行计算。

(步骤211)终端完成对信令消息的签名为(r，s)，并将该该签名嵌入到GRQ或RRQ消息中并发送给网守B。

如图3所示，为根据本发明实施例所述的网守验证终端椭圆曲线数字签名过程的流程图，其具体步骤为：

(步骤301)网守B验证终端A证书的合法性，取出公共椭圆曲线参数集D＝{p，a，b，G，n，h}与终端A相关公钥Q的授权拷贝。

(步骤302)网守B验证终端A的签名(r，s)是否超过椭圆曲线基点群阶的范围，如果是，则表示不合法的签名。网守B转到步骤311，拒绝终端A的接入，以GRJ或RRJ消息返回并说明相关拒绝接入安全方面原因。

(步骤303)判断tokenOID所指示的消息签名是对整个信令消息签名还是只是消息的一部分签名。

(步骤304)生成整个信令消息签名的消息摘要e。

(步骤305)生成部分信令消息签名的消息摘要e。

(步骤306)分别计算w＝s^-1 mod n；u₁＝ew mod n；u₂＝rw mod n；

及X＝u₁G+u₂Q＝(x₁，y₁)的值。

(步骤307)当X的横坐标x₁为0时，说明签名无效，网守B转到步骤311，拒绝终端A的接入，以GRJ或RRJ消息返回并说明相关拒绝接入安全方面原因。

(步骤308)当X的横坐标x₁不等于r时，说明签名无效，网守B转到步骤311，拒绝终端A的接入，以GRJ或RRJ消息返回并说明相关拒绝接入安全方面原因。

(步骤309)验证了签名本身计算的正确性后，说明了消息签名没有被中途窜改，网守B完成终端A的接入认证。

本发明实施例方法利用Diffie-Hellman密钥协商算法，完成终端A与网守B的共享秘密，过程如下：

在安全接入网络的同时，终端A与网守B可以协商出一个共享秘密。这通过在ITU-T H.225.0 RAS信令GRQ/GCF/GRJ或RRQ/RCF/RRJ中，建立一个数据结构dhKey{halfkey(g^x)，modsize(素数模p)，generator(乘法群的生成元g)}来实现。

在GRQ或RRQ信令中，终端A生成一个随机数x，进行相应的计算，放在消息内的dhKey结构中，然后将消息发给网守B。

网守B在接收到GRQ/RRQ消息后，通过前面步骤对终端A验证为合法接入用户后，随机生成一个秘密数y，并计算(g^x)^y＝g^xy作为与终端A的共享秘密。并在返回的GCF/RCF信令中，填写dhKey各字段为{halfkey(g^y)，modsize(p)，generator(g)}。

终端A在接收到GCF/RRQ以后，与网守B进行相同的计算，(g^y)^x＝g^yx＝g^xy，从而完成与网守B共享秘密的协商与传输。

本发明实施例方法的呼叫信令信道(H.225.0)与媒体控制信道的安全接入(H.245控制协议)过程如下：

在完成终端网络安全接入后，可通过ARQ/ACF或LRQ/LCF信令交互，基于网络接入H.225.0 RAS信令过程中所安全交换的会话秘密，利用对称密码技术实现安全认证/完整性，同时也可利用一个单独令牌ClearToken中的dhkey字段，采用Diffie-Hellman算法协商出一个呼叫信令信道会话密钥。再利用此密钥，采用预共享秘密机制H.245控制信道的安全认证，并建立起一个安全信道。在安全的H.245信道上，利用H.245协议所具有的安全能力交换规程，协商出多媒体终端通信双方进行媒体流通信，如视频或音频，所支持的加密算法与加密密钥等参数，并用前面的会话密钥进行传输保护。一旦协商完成，即可在后面打开的媒体逻辑信道中，利用实时传输协议/实时传输控制协议(RTP/RTCP)实现基于分组的媒体通信的机密性。

如图4所示，为本发明实施例方法单网守路由直接呼叫模式下终端安全接入协议流程图。

本实施例方案适用于H.323系统单网守管理范围的直接路由模式。假设主/被叫终端A、B分别注册在相同网守上，通讯过程是在没有安全性保证的IP网络上进行。

实施本技术方案的前提是：网守对其管理端点的所有RAS消息进行认证与完整性检查，端点对也对网守的RAS消息进行认证与完整性检查，从而使端点和所属网守之间达到相互信任目的，以便能检查出欺诈的实体，并将被欺诈可能性降到最小，并以此为基础实现呼叫信令的安全性。

每一个RAS/H.225.0信令消息中，有一个专门的数据结构，来描述不同实体(网守，端点)通信所采用的安全机制。基于公钥证书数字签名安全机制，其数据结构名为cryptoToken，可用于描述利用椭圆曲线公钥证书的数字签名实现H.323系统中的终端安全接入。其字段可作如下设置：

-tokenOID：设为“A”表示对整个H.225.0 RAS信令消息，如实施认证/完整性/不可否认性计算，可用于物理上为相邻连接的实体安全场合.“B”表示仅对H.225.0 RAS消息中一个子集进行认证与不可抵赖计算，用于跨越NAT/防火墙引起信令消息修改的端到端安全场合.

-token：为待签名并存放结果的子数据结构，其中：

toBeSigned：存放整个信令消息签名或仅签名一个相关认证信息的令牌ClearToken。

AlgorithmOID：向接收实体指明采用的签名算法，如设为“V”表示本发明给出的签名算法。

signature签名{r，s}.依赖于tokenOID值，决定是对整个信令还是仅对toBeSigned进行数字签名。

签名的明文令牌ClearToken，包含下述字段集：

tokenOID：设为“S”，表明ClearToken正在被用作认证/完整性/不可抵赖性信息；“R”表示用作认证/不可抵赖安全，用于跨越NAT/防火墙的端到端场合。

challenge：挑战数，用于三次握手认证协议。

random：一单调递增顺序号，在时戳粒度不够情况下，保证其为唯一。

generalID：接受实体标识符；

sendersID：发送实体标识符；

dhkey：用于连接建立及后面媒体流加密时，采用Diffie-Hellman算法，协商会话密钥.结构为{halfkey(g^x)，midsize(素数模p)，generator(乘法群的生成元g)

certificate：发送方数字签名证书，内含ECC范围参数D与发送实体公钥Q。其中type域指的是证书算法类型：如设为“V”，表示使用椭圆曲线密码结合SHA-1算法进行数字签名。

当发送终端在信令消息(如GRQ，RRQ)，按上述方法设置数据结构，并完成相应签名运算后，发送给网守B。

接收实体收到该信令消息后，立刻检验发给它的那些tokenOID所指示的签名，完成安全认证过程.具体过程可基于以下几个标准：

通过对generalID身份与自己的识符比较，来验证发送者是否为一个合法用户；

验证SendersID是否与证书内一致及是否具有相应的访问权限；

消息签名是否与自身验证计算的签名相匹配，以验证消息是否被中途窜改；

通过对接收到的证书的检验，验证发送实体是否为合法注册实体及电子商务中的不可否认性。

在验证了发送实体合法性后，可利用dhkey中指明的Diffie-Hellmam密钥协商算法，在返回的响应消息(GCF，RCF)中，完成会话密钥的协商与交换。

本实施例的具体步骤是：

(步骤401)终端A或C将挑战数challenge_A放入ClearToken内的challenge字段，generalID_A表示终端C的标识符。后面的各字段标识中，下标A，B，C分别表示终端A，C与网守B的标识，英文单词名分别代表相应的字段。

(步骤402)网守B收到终端A网守发现请求信令后，根据终端A名称及本地安全策略确定采用数字签名来实施与终端A之间的安全认证，保证终端A的安全接入。其中：序列随机数random_B与挑战数challenge_B二者组合要保证唯一，防止对信令的重放攻击，Dh_B包含为g^x值。{}Sign_B表示对{}内的值的数字签名，假定为部分信令消息数字签名。Certificate存放网守B的实际椭圆曲线证书。

(步骤403)终端A得到网守B的响应消息GCF后，对网守B内的椭圆曲线证书进行合法性验证，同时验证所接收的challenge_A是否与发送时相等，如果相等，配合其它认证规则说明网守B为合法网守，则进行RRQ消息的相关设置：重新生成序列随机数random_A(如对收到的random_B进行增量相加形成)与挑战数challenge_A(此处值与GRQ中的不是同一个值)并保证二者组合为唯一。Dh_A包含为g^y值。Certificate存放终端A的实际椭圆曲线证书。

(步骤404)网守B收到终端A注册请求(RRQ)信令后，根据本地安全策略确定采用一种对称密码认证算法，如基于对称密钥加密，共享秘密+散列算法等ITU-T H.235协议所规范说明的协议算法。其共享秘密为前面信令交换过程中，通过Diffie-Hellman协议导出的g^xy所生成。为了让终端A验证所协商的共享秘密，网守B在一个单独的令牌，根据确定的对称密码算法，如下验证运算ClearToken[…sendersID_B，({generalID_A XOR random_AXOR…}E_DH-secret)…]，其中E_DH-secret表示通过Diffie-Hellmam协议导出的共享秘密。

(步骤405)完成终端网络安全接入后，终端A向网守B发出ARQ信令，基于网络接入过程中所安全交换的会话密钥，利用对称密码技术实现安全认证/完整性，同时也可利用一个单独令牌ClearToken中的dhkey字段，采用Diffie-Hellman算法为多媒体终端之间的通信协商出一个呼叫信令信道会话密钥.

(步骤406)网守B向终端A返回ACF信令，返回协商出的呼叫信令信道会话密钥。

(步骤407)终端A利用此呼叫信令信道会话密钥，采用预共享秘密机制实现呼叫信令信道与H.245控制信道的安全认证，并建立起一个安全信道。

(步骤408)网守B向终端A回应完成建立H.245安全信道的回应信息。

(步骤409)终端C在安全的H.245信道上，向网守B发出ARQ信令，要求利用H.245协议所具有的安全能力交换规程，协商出多媒体终端通信双方进行媒体流通信，如视频或音频，所支持的加密算法与加密密钥等参数。

(步骤410)网守B通过信令ACF向终端C返回协商后多媒体终端通信的加密算法与加密密钥等参数。

(步骤411)网守B将与终端C协商的多媒体终端通信的加密算法与加密密钥等参数发送给终端A，媒体逻辑信道建立完成。

(步骤412)端C在媒体逻辑信道中，利用实时传输协议/实时传输控制协议(RTP/RTCP)实现基于分组的媒体安全通信。

本发明方法所采用的椭圆曲线密码体制在已知公钥密码系统中具有每比特最高强度安全性，最快的处理速度和最低的开销，特别适用于具有低内存与低处理能力的H.323多媒体终端实现网络安全接入。

随着大规模H.323多媒体通信系统的布署与应用，如全球范围的VoIP网或国家范围面向公众的视频会议/可视电话系统等，本发明所提出的安全接入方法可用于各运营商采用，也可用于不同运营商之间互联。

Claims (10)

1、一种应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法包括以下步骤：

(1)网络呼叫接纳通信阶段，网守采用椭圆曲线公钥证书数字签名体制实现对呼入终端的安全认证，并在椭圆曲线公钥证书数字签名的信令中建立一个数据单元，用于通过Diffie-Hellman密钥分配方案与呼叫终端协商生成共享会话密钥，建立网络接入安全信道；

(2)网守采用椭圆曲线公钥证书数字签名体制实现对接收终端的安全认证，并在椭圆曲线公钥证书数字签名的信令中建立一个数据单元，对接收终端传递Diffie-Hellman密钥分配方案产生的接收终端的共享会话密钥，建立网络接入安全信道；

(3)网守和接收终端基于步骤(1)产生的共享会话密钥，在建立的网络接入安全信道上，采用对称密码机制建立一个满足各种呼叫路由模式的呼叫连接安全信道；

(4)网络连接控制通信阶段，在呼叫连接安全信道上，采用对称密码机制为多媒体终端之间的实时媒体流通信进行加密算法与密钥协商，实现多媒体终端之间媒体流的实时安全通信。

2、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中采用椭圆曲线公钥证书数字签名体制实现终端与网守之间的安全认证的步骤是：

a.根据椭圆曲线公钥证书给出的公共椭圆曲线算法集，定义一个系统参数集D＝(p，a，b，G，n，h)，其中p为一个大于160bit的素整数，指定有限域GF(p)；a，b指定曲线E；G＝(x_G，y_G)∈E(GF(p))为一个基点；素数n为基点G的阶；h＝#E(GF(p))/n为协因子整数；#E(GF(p))表示椭圆曲线点群的阶；

b.对信令中序列随机数、时戳、挑战数、发送终端名、接收网守名、全信令签名或部分信令消息签名标记进行设置，并放入一个明文消息令牌中；

c.基于不同的安全策略决定是对整个信令进行数字签名还是只对部分信令消息进行数字签名，并放入明文消息令牌中；

d.选择安全哈希函数，使用哈希函数对部分消息进行数字签名的信令消息进行运算，生成固定长度的消息摘要；

e.建立密钥对(d，Q)，其中d是私钥，Q＝dG是公钥；向网守发送哈希函数，椭圆曲线参数a，b和公钥Q；

f.选择一个随机或伪随机数k，1≤k≤n-1；

g.计算kG＝(x₁，y₁)，r＝x₁ mod n，如果r＝0，则返回步骤f；计算s＝k^-1(e+dr)mod n，如果s＝0，则返回步骤f；

h.呼入终端完成对信令消息的签名(r，s)，并将该签名嵌入到信令消息中并发送给网守；

i.网守取出公共椭圆曲线参数集D＝{p，a，b，G，n，h}与终端相关公钥Q的授权拷贝，验证终端的签名(r，s)是否超过椭圆曲线基点群阶的范围，如果是，则表示为不合法的数字签名，拒绝终端的接入；

j.如果终端的签名(r，s)没有超过椭圆曲线基点群阶的范围，网守判断消息签名是对整个信令消息签名还是只是消息的部分签名，并随后生成不同的消息摘要e；计算w＝s^-1 mod n，u₁＝ew mod n，u₂＝rw mod n，及X＝u₁G+u₂Q＝(x₁，y₁)的值；当x₁或0或不等于r时，说明签名无效，拒绝终端的接入；

k.当x₁等于r且不等于0时，验证签名本身计算的正确性，网守完成对终端的接入认证。

3、根据权利要求2所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法步骤c中，基于不同的安全策略决定是对整个信令进行数字签名还是只对部分消息进行数字签名的步骤是：如果终端与网守之间物理上为相邻连接，对整个信令进行数字签名；如果终端与网守之间存在防火墙，只对部分消息进行数字签名。

4、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法步骤(1)中，数字签名的数字证书内部格式由CCITT X.509规定，包含以下几方面内容：证书的版本号、数字证书的序列号、证书拥有者的姓名、签名算法、颁发数字证书的单位、颁发数字证书的单位的签名、公开秘钥的有效期。

5、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中，网守通过验证呼入终端时间戳的生存期和随机序列值的唯一性，来抵御拒绝服务攻击。

6、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中，网守通过对接收终端身份与自己标识符比较，来验证接收终端是否为一个合法用户。

7、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中，网守验证呼入终端的标识符是否与其证书内身份标识符一致及是否具有相应的访问权限。

8、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中，呼入终端通过Diffie-Hellman密钥分配方案与网守协商生成共享会话密钥的步骤是：

a.呼入终端在信令中，建立一个数据单元dhKey{halfkey(g^x)，modsize(素数模p)，generator(乘法群的生成元g)}；终端生成一个随机数x，进行相应的计算后发给网守；

b.网守接收到信令消息后，随机生成一个秘密数y，并计算(g^x)^y＝g^xy作为与终端的共享会话密钥，在返回的信令中，填写数据单元各字段{halfkey(g^y)，modsize(p)，generator(g)}；

c.终端在接收到信令后，与网守进行相同的计算，(g^y)^x＝g^yx＝g^xy，完成与网守共享会话密钥。

9、根据权利要求1所述的应用于分组网络的基于H.323协议的终端接入方法，其特征在于，所述方法中，网络连接控制通信阶段在呼叫连接安全信道上，利用呼叫信令信道会话密钥，采用预共享秘密机制H.245控制信道的安全认证，建立连接控制安全信道；在连接控制安全信道上，利用H.245协议所具有的安全能力交换规程，协商出多媒体终端通信双方进行媒体流通信所支持的加密算法和加密密钥，并用呼叫信令信道会话密钥进行传输保护。

10、根据权利要求1所述的应用于H.323协议的分组网终端接入方法，其特征在于，所述方法中，网守对终端的认证包括：有效性认证，机密性认证，身份性认证、完整性认证及不可抵赖性认证。

Images