论文部分内容阅读
随着Internet商业应用的日益广泛,Internet的安全性愈来愈重要。H.323系统是在基于分组的网络上实现的多媒体通信系统标准。由H.323系统的通信过程中各个环节的安全性分析显示,该系统在身份认证过程和RAS(注册准入及状态)协议通信等方面存在潜在的安全性问题。
安全网守与IPSec联动系统(SecurityGateKeeperandIPSecAssociationSystem,以下简称SecGK-IPSec系统)是具备了安全机制的H.323多媒体通信系统。在归纳H.323框架安全需求的基础上,SecGK-IPSec系统利用加强的身份认证及IPSec联动机制保护H.323框架中各个协议的安全。
IPSec作为一种实施于网络层(IP)的安全协议,具有抗攻击、保护数据完整性、保护数据机密性和完美向前保密的诸多特性。在多协议协同上作的H.323框架内部,IPSee屏敝了不同协议复用的复杂性,可以在SecGK-IPSec系统中进行全面而且可扩展的安全保护。
远程安全密钥协议基于鉴别符认证技术,具有零知识证明性。SecGK-IPSec系统采用改进的远程安全密钥协议提供安全身份认证机制。改进的远程安全密钥协议通过合并简化协商过程来匹配H.323系统消息的通信流程,改进的鉴别符哈希一码技术用于抵抗篡改攻击及拒绝服务攻击。
在传统统计评估算法的基础上,新的延迟自适应滑动平均评估算法通过历史采样统计及误差调整方法针对网络延迟进行评价和估计,为系统的网络性能评价提供依据。基于延迟自适应滑动平均预测算法的延迟评估一反馈机制通过IPSecVPN与H.323网守组件之间的联动通信为SecGK-IPSec系统的保证服务质量要求提供了自适应的反馈控制功能。
相关的测试对山IPSec安全机制对H.323系统产生的性能影响进行了定性及定量的分析。