GB/T 28499.1-2012 基于IP网络的视讯会议终端设备技术要求 第1部分：基于ITU-T H.323协议的终端

　　ICS 33. 040. 40 M 32

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28499. 1—2012

　　基于 IP 网络的视讯会议终端设备技术

　　要求 第 1 部分 :基于 ITU-TH. 323

　　协议的终端

　　TechnicalrequirementforIP video terminalequipment—

　　Part1:terminalbased on ITU-TH. 323

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28499. 1—2012

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 、缩略语 2

　　4 基于 ITU-T H. 323协议的视讯会议终端在视讯会议业务网中的位置 3

　　5 业务要求 4

　　6 终端类型 4

　　7 基本功能要求 5

　　8 安全要求 7

　　9 会议室型基于 ITU-T H. 323协议的视讯会议终端 12

　　10 桌面型基于 ITU-T H. 323协议的视讯会议终端 13

　　11 基于 ITU-T H. 323协议的视讯会议软终端 13

　　12 通信的协议流程 13

　　13 消息 15

　　14 与其他类型终端的互通 23

　　15 性能指标要求 24

　　16 供电要求 24

　　17 环境要求 25

　　18 包装与存储 25

　　19 电气安全 25

　　20 防雷 25

　　21 电磁兼容 25

　　Ⅰ

　　GB/T 28499. 1—2012

　　前 言

　　GB/T 28499《基于 IP 网络的视讯会议终端设备技术要求》分为以下几个部分 :

　　— 第 1部分 :基于 ITU-T H. 323协议的终端 ;

　　本部分为 GB/T 28499的第 1部分 。

　　本部分按照 GB/T 1. 1—2009给出的规则起草 。

　　本部分由中华人民共和国工业和信息化部提出 。

　　本部分由中国通信标准化协会归 口 。

　　本部分起草单位 : 工业和信息化部电信研究院 、中兴通讯股份有限公司 、华为技术有限公司 、上海贝尔股份有限公司 。

　　本部分主要起草人 :孙明俊 、孙志斌 、吴永明 、张清 、胡峻岭 、杨崑 。

　　Ⅲ

　　GB/T 28499. 1—2012

　　基于 IP 网络的视讯会议终端设备技术

　　要求 第 1 部分 :基于 ITU-TH. 323

　　协议的终端

　　1 范围

　　GB/T 28499 的本部分规定了基于 ITU-T H. 323协议的视讯会议终端在网络中的位置 、主 要 功能 、通信接口 、协议 、性能以及设备的一般性要求 。

　　本部分适用于基于 ITU-T H. 323协议的视讯会议终端 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)使用于本文件 。

　　GB/T

　　2423. 1—2008

　　电工电子产品环境试验

　　第 2部分 :试验方法

　　试验 A: 低温

　　GB/T

　　2423. 2—2008

　　电工电子产品环境试验

　　第 2部分 :试验方法

　　试验 B:高温

　　GB/T

　　2423. 3—2006

　　电工电子产品环境试验

　　第 2部分 :试验方法

　　试验 Cab:恒定湿热试验

　　GB/T 3873—1983

　　通信设备产品包装通用技术条件

　　YD/T 965—1998

　　电信终端设备的安全要求和试验方法

　　YD/T 968—2010

　　电信终端设备电磁兼容性要求及测量方法

　　YD/T 993—2006

　　电信终端设备防雷技术要求及试验方法

　　ITU-R BT. 500(2002) 电视图象质量主观评价方法

　　ITU-T G. 711 话音频率的脉冲编码调制(Pulse code modulation (PCM) of voice frequencies)

　　ITU-T G. 722 64kbit/s之内的 7 kHz音频编码(7kHz audio-coding within64kbit/s)

　　ITU-T G. 723. 1 以 5. 3 kbit/s和 6. 3 kbit/s为速率的多媒体通信的双速语音编码器(Dual rate speech coder for multimedia communications transmitting at5. 3 and 6. 3 kbit/s)

　　ITU-T G. 728 采用线形预测激励的低时延码在 16 kbit/s速率上的语音编码(Coding of speech at16kbit/s using low-delay code excited linear prediction)

　　ITU-T G. 729 使用共轭结构代数代码激励线性预测(CS-CELP) 的 8 kbit/s语音编码(Coding of speech at8 kbit/s using conjugate-structure algebraic-code-excited linear prediction (CS-ACELP)

　　ITU-T H. 235 H 系列多媒体终端的安全和加密(Security and encryption for H-Series (H. 323 and other H. 245-based) multimedia terminals)

　　ITU-T H. 239 H. 300系列终端的 角 色 管 理 和 附 加 媒 体 信 道(Role management and additional media channels for H. 300-series terminals)

　　ITU-T H. 243 使用 1 920kbit/s 以内的数字信道在 3个或 3个以上视听终端间用于建立通信的规程(Procedures for establishing communication between three or more audiovisual terminals using digital channels up to 1 920kbit/s)

　　ITU-T H. 245

　　多媒体通信控制协议(Controlprotocolfor multimedia communication)

　　ITU-T H. 261

　　P*64kbit/s视听服务的视频编码(Video codecforaudiovisualservicesatp×64kbit/s)

　　1

　　GB/T 28499. 1—2012

　　ITU-T H. 263 低速率的视频编码(Video coding for low bitrate communication)

　　ITU-T H. 281 使 用 H. 224 的 电 视 会 议 的 远 端 摄 像 机 控 制 协 议 (A far end camera control protocolfor videoconferences using H. 224)

　　ITU-T H. 282 多媒 体 通 信 远 程 设 备 控 制 协 议(Remote device control protocol for multimedia applications)

　　ITU-T H. 283 远程设备控制逻辑信道传输(Remote device control logical channeltransport)

　　ITU-T H. 323 基 于 数 据 包 的 多 媒 体 通 信 系 统 (Packet-based multimedia communications sys- tems)

　　3 术语和定义、缩略语

　　3. 1 术语和定义

　　下列术语和定义适用于本文件 。

　　3. 1. 1

　　视讯会议业务 video conferenceservice

　　采用图像 、语音压缩技术 ,利用视讯会议通信系统和数字传输电路 ,在两点或多点间实时传送活动图像 、语音 ,应用数据(电子白板 、图形)信息形式的通信业务 。

　　3. 1. 2

　　IP视讯会议业务 IP video conferenceservice

　　基于 IP 网络的视讯会议系统为 IP 网上处于不同位置的多个用户提供实时通信 ,混合与会者的声音和运动图像 ,并传送多媒体信息 。

　　3. 1. 3

　　IP数据会议业务 IP data confereceservice

　　基于 IP 网络的视讯会议系统为 IP 网上处于不同位置的多个用户在进行视讯会议的同时提供数据共享 ,数据会议方式有 :文件传送 、文件共享 、电子白板等等 。

　　3. 1. 4

　　网守 Gatekeeper

　　网络中的一个功能实体 ,提供地址翻译 。 网络的接入控制 ,带宽管理 。会议资源调度 。 3. 1. 5

　　多点控制器 multipointcontroller

　　网络中的一个功能实体 ,提供参加多点会议的多个成员之间的控制 。 提供与所有终端间的能力协商 ,提供公共能力集 ,负责管理会议资源 。

　　3. 1. 6

　　多点处理器 multipointprocessor

　　网络中的一个功能实体 ,提供音频视频的集中处理(切换 、混合)等 。

　　3. 1. 7

　　视讯会议终端 video conference terminal

　　处于用户侧 ,用于完成用户视音频信息采集 、处理和放 ,并同时完成相应其他控制功能的设备 。本标准中的终端都假设是 IP终端 。

　　3. 1. 8

　　多点控制单元 multipointcontrolunit

　　网络中一个端点 ,它为 3个或更多终端及网关参加一个多点会议服务 。 它也可以连接两个终端构成点对点会议 , 随后再扩展为多点会议 。

　　2

　　GB/T 28499. 1—2012

　　3. 2 缩略语

　　下列缩略语适用于本文件 。

　　AAA

　　Access,Auchentication and Accounting

　　接入 认证和计费

　　APP

　　Application-Defined RTCP Packet

　　根据应用定义的 RTCP报文

　　BYE

　　Goodbye RTCP Packet

　　RTCP挂断报文

　　DHCP

　　Dynamic HostConfiguration Protocol

　　动态主机配置协议

　　GK

　　Gatekeeper

　　网守

　　IPX

　　Internetwork PacketExchange

　　互联网分组交换协议

　　MC

　　Multipointcontrollor

　　多点控制器

　　MCU

　　MultipointControl Unit

　　多点控制单元

　　MGCP

　　Media Gateway ControlProtocol

　　媒体网关控制协议

　　MIB

　　ManagementInformation Base

　　管理信息库

　　MOS

　　Mean Opinion Score

　　平均主观评分

　　MP

　　MultipointProcessor

　　多点处理器

　　NTP

　　Network Time Protocol

　　网络时间协议

　　RR

　　Receiver Report

　　接收报文

　　RTCP

　　RealTime TransportControlProtocol

　　实时传输控制协议

　　RTP

　　RealTime TransportProtocol

　　实时传输协议

　　SDES

　　Source description items

　　源描述项

　　SNMP

　　Simple Network ManagementProtocol

　　简单网络管理协议

　　SPX

　　Sequenced PacketExchange

　　序列分组交换协议

　　SR

　　Sender Report

　　发送报文

　　TCP

　　Transmission ControlProtocol

　　传输控制协议

　　TFTP

　　TrivialFile TransferProtocol

　　简单文件传输协议

　　UDP

　　UserData Protocol

　　用户数据报协议

　　4 基于 ITU-TH. 323协议的视讯会议终端在视讯会议业务网中的位置

　　基于 ITU-T H. 323协议的视讯会议终端在视讯会议网中的位置如图 1 所示 ,基于 ITU-T H. 323协议的视讯会议终端设备(如 无 特 殊 说 明 , 以 下 终 端 均 指 基 于 ITU-T H. 323协 议 的 视 讯 会 议 终 端 设备)位于靠近最终用户的一端 ,处于接入层的边缘 ,受所在域的接入网守的控制 。

　　图 1 的连线表示设备处于正常运行状态时的默认连接 。终端间的点对点呼叫和多点会议召集都由网守负责 ,召集多点会议时需要使用 MC,使用 MP进行媒体处理 。会议的预约等操作可以由终端直接向网守预约 ,也可以经由应用服务器完成 。

　　终端的管理和控制由接入网守负责 。与终端无关的管理和控制流程不在本部分中规定 。

　　3

　　GB/T 28499. 1—2012

　　图 1 基于 ITU-TH. 323协议的视讯会议终端在视讯会议业务网中的位置

　　5 业务要求

　　终端设备主要为最终用户提供基本的 IP视讯会议业务 。 它在接入网守的控制下完成呼叫的建立与释放 ,接收对端发送来的视音频编码信号 ,并在必要时将近端的原始多媒体信号编码后经由视讯会议业务网进行交换 。 同时终端也可以支持 IP数据会议业务 。

　　6 终端类型

　　IP视讯会议业务可以应用到公司的私有会议室 ,可以在公共接入的会议室做临时出租 , 或者可以供个人使用 。有多种 IP会议终端来满足不同应用的需求 :

　　— 会议室型 H. 323视讯会议终端

　　会议室型终端具有独立的主机和丰富的视音频外设接 口 ,具有较强的视音频信号处理能力和完善的会议控制及其辅助功能 ,显示设备一般为电视机 、大屏幕投影仪 ,可以为用户提供高质量 、专业级别的视音频效果 ,适合在标准会议室中应用 ,可以提供大 、中型视讯会议服务 。

　　— 桌面型 H. 323视讯会议终端

　　桌面型终端具有独立的主机和较简单的视音频外设接 口 ,视音频信号处理能力弱于会议室型终端 ,具有基本的会议控制功能 ,移动性好 ,可以放置在办公桌面和家庭中使用 ,既可以独立具有显示器件 ,也可以利用电视或显示器等设备进行显示 , 可以为个人用户和企业提供操作简单 、接入便利的视讯会议服务 。

　　— H. 323视讯会议软终端

　　软终端没有主机 ,为计算机上的应用程序 ,通过电脑提供的通讯接口与简单的视音频外设连接 ,视音频信号处理能力较弱 ,具有基本的会议控制功能 ,显示设备使用电脑显示器 ,可以为广大个人用户和企业办公室提供操作简单 、接入便利的视讯会议服务 。

　　终端的基本功能要求在第 7章中规定 ,会议室型终端 、桌面型终端和软终端详细技术要求分别在第

　　4

　　GB/T 28499. 1—2012

　　8章 、第 9章和第 10章中规定 。

　　7 基本功能要求

　　7. 1 应用层协议

　　终端必须支持 ITU-T H. 323协议 ,提供在 ITU-T H. 225. 0 中规定的服务 ,对 ITU-T H. 245规定的控制信道 、数据信道和呼叫信令信道 ,必须提供可靠的(如 TCP、SPX)端到端服务 ;对音频信道 、视频信道和 RAS信道 ,必须提供非可靠的(如 UDP、IPX) 端到端服务 。 服务可以是双工或单工 、单播或多播 ,取决于应用 、终端能力和网络配置 。

　　7. 2 参加会议能力

　　终端应该具备预约会议的能力 。能够进行点对点呼叫和多点视频/音频会议呼叫 ,能够实现自动或人工控制应答呼叫的功能 。

　　7. 3 语音编解码功能

　　终端必须支持 ITU-T G. 711规定的 A 律 ,可以根据需要支持 G. 722、G. 723. 1、G. 728、G. 729等编码格式 ,争取采用国内拥有知识产权的成熟 、互通性好的压缩编码格式 。

　　7. 3. 1 声音编码动态转换

　　终端可以根据会议需要在 MC 的控制下进行声音编码动态转换 。 即终端能够根据 MC 的要求 ,在较高速编码与较低速编码方式之间进行切换 。 当网络拥塞时 ,可将高码速编码方式转换为低码速编码方式 , 以便从媒体流的源端进行流量控制以缓解拥塞状况 ; 当网络资源宽松时 ,可以将低速编码方式转为高速编码方式 , 以提高通信质量 。

　　7. 3. 2 最大音频-视频传输偏离

　　终端应发送 h2250MaximumSkewIndication消息来指示传输到网络传输层的音频和视频信号之间的最大偏离 , 以便终端适当设置其接收缓存的大小 。对于每一对相关的音频和视频逻辑信道 ,必须发送h2250MaximumSkewIndication,音频会议或混合会议则不需要 。如果要求唇音同步 ,必须通过使用时戳来实现 。

　　7. 3. 3 低比特率操作

　　在低比特率(<56kbit/s)链路或网段上的会议中 , 由于 ITU-T G. 711编码不能使用 ,终端端点应当具有 G. 723. 1语音编解码能力 。在每次呼叫开始时 ,端点通过能力交换指示其接收音频能力 。在端到端连接包含一个或多个低比特率段时 ,没有低速率音频能力的端点可能不能工作 。

　　端点也必须能够根据 ITU-T G. 711对语音进行编码和解码 。但如果确定要通过低速率段进行通信 ,端点不需要指示该能力 。如果端点不知道在点对点连接中存在有不足以支持 ITU-T G. 711音频的链路或网段 ,那么端点必须声明根据 ITU-T G. 711接收音频的能力 。

　　7. 4 回声抵消

　　由于在 IP 网上传输的时延较大 ,为避免回声对通话质量的影响 ,终端设备应该具有回声补偿功能 。其回声补偿器的设计应符合 ITU-T G. 716的规定 。

　　5

　　GB/T 28499. 1—2012

　　7. 5 图像编解码功能

　　终端必须支持 ITU-T H. 261规定的 QCIF,可以根据需要支持 ITU-T H. 261 规定的 CIF,ITU-T H. 263规定的 QCIF,ITU-T H. 263规定的 CIF等编码格式 ,争取采用国内拥有知识产权的成熟 、互通性好的压缩编码格式 。

　　7. 5. 1 图像编码动态转换

　　终端可以根据会议需要在 MC 的控制下进行图像编码动态转换 。 即终端能够根据 MC 的要求 ,在较高速编码与较低速编码方式之间进行切换 。 当网络拥塞时 ,可将高码速编码方式转换为低码速编码方式 , 以便从媒体流的源端进行流量控制以缓解拥塞状况 ; 当网络资源宽松时 ,可以将低速编码方式转为高速编码方式 , 以提高通信质量 。

　　7. 5. 2 图像分辨率和帧频

　　在不同的速率下 ,视讯会议终端应满足如下帧频 :

　　小于 384kbps(CIF & QCIF) :PAL为 12. 5 F/S,NTSC为 15F/s;

　　小于 512kbps(CIF & QCIF ) :PAL为 25F/S、NTSC为 30 F/s;

　　大于等于 1 Mbps(4CIF) :PAL为 25F/S,NTSC为 30 F/s。

　　7. 5. 3 多视频流显示

　　终端可以接收多于一个的视频信道 。终端需要具备视频混合或切换的能力 , 以便向用户显示视频信号 ,包括将多个终端的视频显示给用户 。终端应使用 ITU-T H. 245所规定的并发能力来指示它能够同时解码多少个视频流 。一个终端的并发能力不应当限制一个会议中多播的视频流数目(该选项由MC选择) 。

　　多视频流的传送依据 ITU-T H. 239的规定 。

　　7. 6 主席控制功能

　　如果终端具备主席功能 ,则在会议中可以通过申请成为主席 ,主席终端应具有以下会议控制功能 :

　　a) 选看会场 :主席终端可以在会议过程中浏览任意一个会场 ;

　　b) 广播会场 :获得主席控制权的会场终端可以将某一会场的图像广播到其他会场 ;

　　c) 查询终端列表 :主席终端可以看到会议中所有会场名称列表 ;

　　d) 申请发言 :分会场可以申请发言 ,主席终端批准后 ,会场将自动切换为发言会场 ;

　　e) 释放主席令牌 :主席终端可以释放主席控制权 ;

　　f) 结束会议 :主席终端可以结束会议 ,此时各会场终端自动退出会议 。

　　主席终端除支持基本会议控制功能以外 ,可以支持的扩展会议控制功能 :

　　a) 添加和删除会场 :在会议的进行过程中 ,获得主席控制权的会场终端可以通过呼叫一个终端号添加分会场 ,也可以删除一个分会场 ;

　　b) 声音控制 :主席终端具有闭音和取消闭音 、静音和取消静音等控制功能 。 主席终端可以设置语音激励会场 : 即发言声音最大的会场图像被广播到其他会场 ;

　　c) 点名发言 :主席终端可以点名某个会场发言 ;

　　d) 延长会议 :主席终端可以申请延长会议 ;

　　e) 摄像机远遥控制 :主席具有对分会场的摄像机远程控制功能 。

　　在会议的召开过程中 ,非主席终端具有以下功能 :

　　a) 申请主席 :非主席终端可以申请主席令牌 。在会场中没有主席时获得主席控制权 ;

　　6

　　GB/T 28499. 1—2012

　　b) 查询终端列表 :非主席终端可以看到会议中所有会场名称列表 ;

　　c) 申请发言 :非主席终端可以申请发言 ,获得主席批准后 ,会场将自动切换为发言会场 ;

　　d) 退出会议 :会议中视讯终端可以途退出会议 。

　　7. 7 数据会议功能

　　终端实现数据会议功能 ,包括电子白板 、文件传输 、应用共享和文本交谈数据会议功能 。

　　7. 8 网络协议

　　终端设备应该支持 TCP/IP协议族 ,至少应能支持 TCP/UDP协议 。

　　为保证信息经过终端设备在 IP 网上传输 ,终端应该支持 RTP协议 ,建议支持 RTCP协议 。

　　为提供多种接入方式 ,应支持 PPPoE协议 。

　　为方便系统版本更新 ,可以支持 TFTP协议或 FTP协议 。

　　为动态获取 IP地址,可以支持 DHCP协议 。

　　为提供时钟相关的附加功能 ,可以支持 NTP协议 。

　　为提供远程网管能力 ,可以支持 SNMP协议 。

　　7. 9 维护管理

　　7. 9. 1 控制和连通性保证

　　终端设备可向接入网守报告由于重起 、故障 、设备恢复或维护管理而造成终端自身状态的改变 ,终端自动将状态变化报告给接入网守 。

　　终端能接受接入网守的命令 ,按照命令要求回送资源状态信息 ,使接入网守保存的资源状态与自己保持一致 。

　　终端能检测到与接入网守之间失去联系的各种情况 ,例如通信链路故障/拥塞 ,终端代理故障等 ,并能针对不同情况进行处理 ,尽量减少通信的损失 。

　　在接入网守发生故障的情况下 ,在终端中处于运行态的媒体流应能够继续维持至本次呼叫结束 。

　　7. 9. 2 故障处理

　　当终端设备较接入网守先检测到媒体连接中断或已被释放 ,则其应能向接入网守报告原因并请求拆除该连接 。

　　7. 9. 3 环回

　　终端应能通过环回测试进行资源维护和故障定位 ,包括本地视频环回 、本地音频环回 ,本地音频环回还可以分为硬件环回和软件环回 。根据需要还可以包括远端视频环回 、远端音频环回等功能 。

　　7. 9. 4 远程维护管理

　　终端可以支持 Telnet或 WEB方 式 远 程 管 理 , 终 端 实 现 的 MIB 为 可 选 项 , 包 括 H323 Terminal, H225CallSignaling, H245,RTP,RAS,Ehernet和接口组 。

　　8 安全要求

　　8. 1 概述

　　终端设备应提供安全性管理功能 。终端设备的安全性包括设备安全和接入认证安全两个方面 。

　　7

　　GB/T 28499. 1—2012

　　8. 2 设备安全

　　8. 2. 1 用户数据保护

　　终端设备和网守设备之间呼叫控制协议的内容应提供措施进行有效的保护 ,使其不被监视 。终端设备还应对呼叫信令提供完整性保护 ,使其在收发途中不被非法篡改 。

　　8. 2. 2 安全审计

　　终端应对连续多次注册未能通过认证的情况进行安全审计 ,并提供日志记录 。

　　8. 2. 2. 1 分级管理

　　终端应支持分级管理功能 。

　　8. 2. 2. 2 口令管理

　　口令长度宜不少于 8个字符 ,并且由数字 、字符或特殊符号组成 。

　　8. 2. 3 系统访问

　　8. 2. 3. 1 Telnet访问

　　Telnet协议用于通过网络对设备进行远程登录 。在终端设备中 ,如果对用户提供 Telnet服务 ,则宜满足下列约定 :

　　● 用户应提供用户名/口令才能进行后续的操作 ,用户地址和操作应记入日志 ;

　　● 应限制同时访问的用户数目 ;

　　● 在设定的时间内不进行交互 ,用户应自动被注销 。

　　8. 2. 3. 2 串 口访问

　　如果终端设备支持串口访问功能 ,用户应提供用户名/口令才能进行后续的操作 ,用户名和操作应记入日志 。

　　8. 2. 3. 3 Web管理

　　Web管理基于 HTTP协议,终端可以支持 Web管理,宜满足下列约定:

　　● 用户应提供用户名/口令才能进行后续的操作 ,用户地址和操作应记入日志 ;

　　● 应支持 SSL/TLS;

　　● 必要时可关闭 HTTP服务。

　　8. 2. 3. 4 DHCP扩展管理

　　设备制造者可以在 DHCP协议的基础上进行扩展 ,从而提供其特有的设备管理功能 。

　　8. 2. 3. 5 SNMP的安全性

　　SNMP是一种应用非常广泛的网络管理协议 , 主要用于设备的监控和配置的更改等 , 目前使用的SNMP 协议有 3个版本 ,分别是 SNMPv1、SNMPv2和 SNMPv3。 终端设备如果支持 SNMP协议 ,则宜支持安全性较好的 SNMPv3作为网管协议 。

　　此外 ,宜限定用户通过指定 IP地址使用 SNMP对设备进行访问 。

　　8

　　GB/T 28499. 1—2012

　　8. 2. 3. 6 软件升级

　　终端设备一般使用 FTP/TFTP协议实现软件升级 , 软件升级包括软件版本 、设备配置等的更新 ,有本地和远程两种途径 。软件升级通过建立 FTP服务器和终端设备的 FTP连接来实现 ,FTP协议应支持口令认证功能 。

　　对于远 程 软 件 升 级,宜 支 持 SSHv2,实 现 文 件 的 安 全 传 送。升 级 方 式 也 可 选 采 用 HTTPS协 议实现 。

　　8. 3 接入认证的安全

　　网守应支持基于 RAS协议的用户认证方式 ,见图 2。

　　图 2 基于 RAS协议的用户认证方式

　　8. 3. 1 安全认证能力协商过程

　　终端 的 安 全 认 证 主 要 是 支 持 身 份 认 证 和 消 息 完 整 性 检 查 。 通 过 GRQ/GCF 消 息 完 成 ITU-T H. 235 中的安全机制能力的协商 。如果 GK设置需要进行身份认证 , 收到 GRQ消息中没有身份认证能力的描述 ,则 GK 回应 GRJ拒绝 。

　　GRQ,GCF这 2个消息本身不用认证 。安全能力的表达遵循 ITU-T H. 235附录 D 的规定 。

　　GRQ消息中的内容如下 :

　　{

　　GatekeeperRequest: : = SEQUENCE—(GRQ)

　　---省略不相关的字段

　　tokens SEQUENCE OF ClearToken OPTIONAL,

　　cryptoTokens SEQUENCE OF CryptoH323Token OPTIONAL,--不使用

　　authenticationCapability SEQUENCE OF AuthenticationMechanism OPTIONAL,

　　algorithmOIDs SEQUENCE OF OBJECT IDENTIFIER OPTIONAL,

　　---省略不相关的字段

　　}

　　在 tokens字段中 ,用来填写设备支持的 H235基线 , ClearToken 中的 TokenOID如下 :

　　OID引用名

　　OID值

　　描 述

　　"T"

　　{itu-t(0) recommendation (0) h (8) 235version (0) 2 5}

　　指示 HASH 运 算 中的 CLEARTOKEN 用 法 ,这里指按 ANNEX-D规定的方式处理

　　authenticationCapability包含 pwdHash认证机制 。 algorithmOIDs包含 HMAC-SHA1-96的 OID。

　　9

　　GB/T 28499. 1—2012

　　GCF消息中的内容如下 :

　　G{atekeeperConfirm : : = SEQUENCE--(GCF) ---省略无关字段

　　authenticationMode AuthenticationMechanism OPTIONAL,

　　tokens SEQUENCE OF ClearToken OPTIONAL,

　　cryptoTokens SEQUENCE OF CryptoH323Token OPTIONAL,

　　algorithmOID OBJECT IDENTIFIER OPTIONAL,

　　---省略无关字段

　　}

　　只需要填 tokens,填写的方法同 GRQ。

　　8. 3. 2 RAS过程安全

　　RAS的安全过程通过对时间戳 、终端标识符 、网守标识符 ,预设密码参数 HASH 运算来实现认证和完整性检查 ,见图 3。

　　a) 终端将 RAS消息 HASH 后 ,发送消息给 GK。

　　b) GK 收到 xRQ消息后 ,利用消息中的 xRQ→ cryptoTokens 内容进行认证和完整性检查 ,如果检查通过 ,则根据一般的 xRQ处理规则进一步处理 。如果检查不通过 ,则响应 xRJ消息 。 同样地 ,GK发出的消息也要进行 HASH 运算 ,其处理方式同 a) 。

　　c) 终端收到 GK来的响应消息 ,利用消息中的 xCF/xRJ→ cryptoTokens 内容进行认证和完整性检查 ,如果检查通过 ,则根据一般的 xCF/xRJ处理规则进一步处理 。如果检查不通过 ,则丢弃这个消息 。

　　图 3 RAS的安全过程

　　xRQ消息的和安全相关内容如下 :

　　xRQ→ cryptoTokens为 SEQUENCE OF CryptoH323Token类型 。

　　CryptoH323Token是一个 CHOICE类型结构 ,选择 nestedcryptoToken。

　　nestedcryptoToken为 CryptoToken类型 ,CryptoToken也是一个 CHOICE类型的数据结构 ,选择cryptoHashedToken,cryptoHashedToken是 SEQUENCE类型结构 。

　　cryptoHashedToken SEQUENCE

　　{

　　tokenOID OBJECT IDENTIFIER,

　　hashedVals ClearToken,

　　token HASHED { EncodedGeneralToken }

　　}

　　10

　　GB/T 28499. 1—2012

　　1) tokenOID

　　tokenOID取 ”A”或者 ”B”(A,B是 OID 的引用名 , 真实值参考前面的 OID 表) 。 A 表示认证加消息完整性检查 ,B表示只进行认证 。

　　OID引用名

　　OID值

　　描 述

　　"A"

　　{itu-t(0) recommendation (0) h (8) 235version (0) 2 1}

　　{itu-t(0) recommendation (0) h (8) 235version (0) 1 1}

　　用于 CryptoToken-tokenOID,指 示 是 非 对 整 个消息进行 HASH 运算 , 即进行消息完整性检查

　　"B"

　　{itu-t(0) recommendation (0) h (8) 235version (0) 3 2}

　　{itu-t(0) recommendation (0) h (8) 235version (0) 2 2}

　　{itu-t(0) recommendation (0) h (8) 235version (0) 1 2}

　　用于 CryptoToken-tokenOID 指 示 只 对 消 息 的部分字段进行 HASH 运算 , 即不进行消息完整性检查

　　2) hashedVals

　　hashedVals用来保存明文 ,类型为 ClearToken。如果要对消息进行完整性检查 ,那么 HASH 运算将作用到整个消息 ;如果只进行认证 ,那么 HASH 运算只针对 hashedVals包含的信息进行即可 。

　　{