GB/T 21642.4-2012 基于IP网络的视讯会议系统设备技术要求 第4部分：网守(GK)

ICS33.040.40

M32SB

中华人民共和国国彖标准

GB/T21642.4—2012

基于IP网络的视讯会议系统设备

技术要求第4部分网守（GK）

TechnicalrequirementsforIPvideoconferencesystemdevices—

Part4:Gatekeeper

2012-06-29发布2012-10-01实施

GB/T21642.4—2012

目次

前言m

i范围1

2规范性引用文件1

3术语和定义、缩略语1

4功能要求2

5安全要求5

6接口要求9

7性能指标要求9

8协议要求10

9通信流程14

10编址和命名31

11计费要求31

12操作管理维护要求33

13坏境要求35

14供电要求35

附录A（规范性附录）IP视讯会议网守的MIB36

A.1H.323GatekeeperMIB36

A.2RASMIB37

A.3H.225CallSignalling-MIB39

A.4H245MIB41

T

GB/T21642.4—2012

■ir■■i

刖吕

GB/T21642《基于IP网络的视讯会议系统设备技术要求》分为以下4个部分

——第1部分:多点控制器(MC)；

——第2部分:多点处理器(MP)；

——第3部分:多点控制单元(MCU)；

——第4部分网守(GK)。

本部分为GB/T21642的第4部分。

本部分按照GB/T1.1—2009给出的规则起草.

本部分由中华人民共和国工业和信息化部提出。

本部分由中国通信标准化协会归口。

本部分起草单位工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝

尔股份有限公司。

本部分起草人:孙明俊、张恒升、郭亮、杨崑、吴永明、孙志斌、张清。

m

GB/T21642.4—2012

基于IP网络的视讯会议系统设备

技术要求第4部分网守(GK)

1范围

GB/T21642的本部分规定了IP视讯会议网守设备的功能要求、接口要求、性能指标要求、协议要

求、通信流程、编址和命名、计费要求、操作维护管理要求、环境要求及供电要求等。

本部分适用于IP视讯会议网守设备。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)使用于本文件。

YD/T1096—2009路由器设备技术要求边缘路由器

YD/T1097—2009路由器设备技术规范核心路由器

ITU-TH.225.0基于分组的多媒体通信系统的呼叫信令协议和媒体流的打包(Mediastream

packetizationandsynchronizationonnon-guaranteedqualityofserviceLANs)

ITU-TH.235H系列(H.323和其它基于H.245)多媒体终端的安全与加密(Securityanden­

cryptionforH一Series(H.323andotherH.245-based)multimediaterminals)

ITU-TH.245多媒体通信的控制协议(Controlprotocolformultimediacommunication)

ITU-TH.323基于分组的多媒体通信系统(Packet-basedmultimediacommunicationssystems)

3术语和定义、缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

视讯会议业务videoconferenceservice

采用图像、语音压缩技术，利用视讯会议通信系统和数字传输电路，在两点或多点间实时传送活动

图像、语音，应用数据(电子白板、图形)信息形式的通信业务。

3.1.2

IP视讯会议业务IPvideoconferenceservice

端到端都采用IP协议的多点视讯会议业务，即会议系统中所有终端都支持TCP/IP协议，本部分

中的终端特指支持ITU-TH.323的终端。

3.1.3

网守Gatekeeper

网络中的一个功能实体，提供地址翻译。网络的接入控制，带宽管理。会议资源调度。

3.1.4

多点控制器multipointcontroller

网络中的一个功能实体，提供参加多点会议的多个成员之间的控制。MC提供与所有终端间的能

1

GB/T21642.4—2012

力协商，提供公共能力集，负责管理会议资源。

3.1.5

多点处理器multipointprocessor

网络中的一个功能实体，提供音频视频的集中处理（切换、混合）等。

3.1.6

视讯会议终端videoconferenceterminal

是处于用户侧，用于完成用户视音频信息采集、处理和放，并同时完成相应其他控制功能的设备。

本部分中的终端都假设是IP终端。

3.1.7

多点控制单元multipointcontrolunit

是网络中一个端点，它为3个或更多终端及网关参加一个多点会议服务。它也可以连接两个终端

构成点对点会议，随后再扩展为多点会议。

3.2缩略语

下列缩略语适用于本文件。

CIDConferenceIdentifier会议标识

DNSDomainNameSystem域名系统

GKGatekeeper网守

IPInternetProtocol因特网协议

MCMultipointController多点控制器

MCUMultipointControlUnit多点控制单元

MPMultipointProcessor多点处理器

QoSQualityofService服务质量

RADIUSRemoteAuthenticationDialInUserService远程验证用户拨入服务

RASRegistration,AdmissionandStatus注册，认证和状态

RTCPRealTimeTransportControlProtocol实时传输控制协议

RTPRealTimeTransportProtocol实时传输协议

TCPTransmissionControlProtocol传输控制协议

UDPUserDatagramProtocol用户数据报协议

4功能要求

4.1概述

4.1.1IP视讯会议网守的位置

IP视讯会议网守设备（GK）向H.323端点（H.323终端、MC、MP、网关）提供呼叫控制服务。在一

个网络中，可以存在多个GK,并相互通信。

IP视讯会议网总体框架图见图1,主要包括MC、MP、网关、IP视讯会议网络的管理设备（如网守、

计费/认证中心等）JP视讯会议终端等。

IP视讯会议网采用三级体系结构，即顶级网守、中间网守和接入网守，在系统规模较小时可以根据

需要将中间网守与接入网守合并。

接入网守与应用服务器之间的接口暂不要求。

2

GB/T21642.4—2012

图1IP视讯会议网的总体框架

4.1.2功能概述

网守应提供以下主要功能

地址解析；

——支持H.323、H.225.O.H.245、H.235协议和RADIUS协议；

——与计费/认证中心交互计费和认证信息；

——带宽管理；

——呼叫管理与呼叫控制；

——提供安全性管理；

——资源管理；

——具有与网管系统的接口，完成配置、统计、故障查询、告警等功能；

—顶级网守还负责完成国际呼叫的接续，此时顶级网守在对方顶级网守支持主叫号码传送业务

时必须能从对端网守接收主叫号码并传送到国内网络。

其中，由于在网络所处位置不同，各级网守应提供的功能也有所不同。

4.2各级网守功能要求

4.2.1顶级网守主要功能

顶级网守负责管理属于该运营者的所有中间网守，主要负责中间网守之间的地址解析;不同运营商

IP视讯会议网之间的互通，地址交换由顶级网守来完成；负责管理国际业务，即国际呼叫的建立与拆除

均需经过顶级网守。

3

GB/T21642.4—2012

4.2.2中间网守主要功能

中间网守主要负责管理该中间网守所管辖的全部接入网守间的地址解析工作。在两级网的情况

下，中间网守的功能全部归入接入网守。

4.2.3接入网守主要功能

接入网守所管辖范围称为一个区域，接入网守主要负责所属区域内视讯会议终端，MC、MP或

MCU,网关的地址解析和认证，防止非法用户的接入和非法网关的登记；负责向所属MCU提供路由信

息，包括终端，网关的端口信息等。

4.3协议功能

网守设备应支持H.323、H.225.O、H.245,H.235,RADIUS协议等协议。

具体要求见第8章的规定。

4.4互通要求

4.4.1网守之间的互通

网守之间的通信完成不同区域之间的呼叫建立。

顶级网守与中间网守之间，或中间网守与接入网守之间的互通采用RAS协议，主要传送用户地址

解析信息。

顶级网守之间的互通负责不同运营者IP视讯会议网之间的互通，国内IP视讯会议运营者顶级网

守之间的互通可以采用ITU-TH.225.0的AnnexG的规定。

4.4.2网守与网关之间的互通

网守与网关之间使用RAS协议进行通信。RAS信令功能采用H.225.0消息在GK和端点之间完

成注册、接入控制、带宽控制、状态信息传送和切断规程等。RAS信令通路与呼叫信令通路和H.245

呼叫控制通路无关。RAS信令通路为非可靠通路，使用UDP方式传送信息。

4.5接入认证功能

网守应与IP视讯会议网中的RADIUS服务器一起完成对用户的接入认证。

4.6地址解析功能

在主叫端点用它的被叫别名地址通知被叫端点时，GK应完成转换被叫別名地址为呼叫信令通路

传送地址。这个转换T作可以通过应用服务器的转换表或其他方式来实现，并且该转换表由注册消息

来更新。

4.7呼叫控制功能

RAS呼叫信令宜采用网守路由方式进行。国际IP视讯会议呼叫流程中，呼叫信令应通过顶级网

守转发。

4.8IP视讯会议网守的管理功能

4.8.1对网关状态报告的处理

状态报告是指网关以一定的时间间隔或IRQ消息以IRR消息的形式向网守报告某一会议的状态

信息，如通断情况、编码类型和带宽等。网守可以根据状态报告掌握各个会议的进行情况。

4

GB/T21642.4—2012

4.8.2对资源报告的处理

资源报告RAI消息是指MCU或MC向网守汇报其当前的呼叫处理能力，网守可以根据资源报告

决定是否接纳新的话路或给网关增加带宽。

4.9带宽管理功能

GK可以控制允许同时接入到网络的H.323端点的数量。通过使用H.225.0信令，GK可以由于

带宽的限制为由来拒绝新的会议，也可以为正在进行的会议分配附加的带宽。带宽管理和申请应采用

BRQ/BCF/BRJ消息来。

4.10计费功能

计费采集点设在接入网守，网守应能够在会议开始时采集计费信息，并在会议结朿时向计费/结算

中心传送详细计费信息，并保证计费的准确性。

网守的计费具体格式见第11章的规定。

4.11网管和维护功能

网守设备可以通过具有与内部的SNMP代理模块进行通信，完成配置、统计、故障查询、告警等功

能。对于采用硬件方式实现的网守设备，应能支持本地维护管理。具体要求见第12章的规定。

4.12时间同步功能

网守应支持NTP协议。

5安全要求

5.1概述

网守设备应提供安全性管理功能。网守设备的安全性包括设备安全和接入认证安全两个方面。

5.2设备安全

5.2.1IPSEC

网守可选支持IPSEC协议，包括AH(AuthenticationHead)及ESP(EncapsulatinSecurityPay­

load)，对所有通过网守的消息进行加密。

5.2.2访问控制

网守应支持基于用户帐号的访问控制，防止非法用户对服务器的访问。可选支持基于源地址/目的

地址的访问控制、基于源端口/目的端口的访问控制、基于指定协议的访问控制以及基于时间的访问控

制等。

5.2.3设备抗攻击性功能

5.2.3.1IP地址欺骗

设备可抵抗多数对受保护网络内部的IP地址欺骗攻击，如ARP欺骗攻击、路由攻击(基于ICMP

的路由欺骗攻击、基于RIP的路由欺骗攻击、基于源路由选择的攻击)DNS攻击，TCP连接欺骗攻

击等。

5

GB/T21642.4—2012

5.2.3.2ICMP攻击

设备可抵抗多数对受保护网络内部的ICMP攻击，如目的地址不可达报文攻击、源抑制报文攻击、

重定向消息攻击。

5.2.3.3IP分片攻击

设备可抵抗多数对受保护网络内部的IP分片攻击，防止非法IP分片通过。

5.2.3.4拒绝服务攻击（DoS攻击）

设备可抵抗多数对受保护网络内部主机的拒绝服务攻击（DoS攻击）攻击和对设备本身的攻击，如

SYNflood、smurfattack、pinofdeathsteardropattackland-basedattack、pinsweep>pinflood等。

5.2.4安全日志

安全日志可该提供管理员上线/下线的记录，并提供用户数据访问的记录。

网守可对所有的用户报文进行规则检查，丢弃非法报文,并提供可信赖的日志记录。

网守可以将本地日志备份到日志服务器上，以备事后进行分析、查询。

5.3接入认证的安全

网守应支持基于RAS协议的用户认证方式。

5.3.1安全认证流程

网守应支持基于RAS协议的用户认证方式，如图2。网守的安全认证主要是实现对网守需要处理

的消息进行身份认证和消息完整性检查。通过GRQ/GCF消息完成H.235建议中的安全机制能力的

协商。如果GK设置需要进行身份认证，收到GRQ消息中没有身份认证能力的描述，则GK回应GRJ

拒绝。

GRQ,GCF这2个消息本身不用认证.安全能力的表达遵循ITU-TH.235附录D的规定.

GRQ消息中使用的和H235相关的内容如下

GatekeeperRequest::—SEQUENCE—(GRQ)

{

—省略不相关的字段

tokensSEQUENCEOFClearTokenOPTIONAL,

cryptoTokensSEQUENCEOFCryptoH323TokenOPTIONAL,-不使用

authenticationcapabilitySEQUENCEOFAuthenticationMechanismOPTIONAL,

algorithmOIDsSEQUENCEOFOBJECTIDENTIFIEROPTIONAL,

—省略不相关的字段

6

GB/T21642.4—2012

}

在tokens字段中，用来填写设备支持的H235基线，ClearToken中的TokenOID如下:

OID引用名OID值描述

{itu-t(O)recommendation(0)h(8)指示HASH运算中的CLEARTOKEN用法，这里指按

235version(0)25}ANNEX-D规定的方式处理

其他的字段可以不用。

GCF消息中使用的和H235相关的内容如下

GatckeeperConfirm::=SEQUENCE-(GCF)

{

一省略无关字段

authenticationModeAuthenticationMcchanismOPTIONAL,

tokensSEQUENCEOFClearTokenOPTIONAL,

cryptoTokensSEQUENCEOFCryptoH323TokenOPTIONAL,

algorithmOIDOBJECTIDENTIFIEROPTIONAL,

一省略无关字段

}

只需要填tokens,填写的方法同GRQ。

5.3.2RAS过程安全

RAS的安全过程通过对时间戳、终端标识符、网守标识符，预设密码参数HASH运算来实现认证

和完整性检查，如图3o

a)H323设备将RAS消息HASH后，发送消息给GK。

b)GK收到xRQ消息后，利用消息中的xRQfcryptoTokens内容进行认证和完整性检查，如果

检查通过,则根据一般的xRQ处理规则进一步处理。如果检查不通过，则响应xRJ消息。同

样地,GK发出的消息也要进行HASH运算。

c)H323设备收到GK来的响应消息，利用消息中的xCF/xRJfcryptoTokens内容进行认证和

完整性检查，如果检查通过,则根据一般的xCF/xRJ处理规则进一步处理。如果检查不通过，

则丢弃这个消息。

m守

xRQ消息的和安全相关内容如下

xRQfcryptoTokens用来保存和H.235协议相关的内容，为SEQUENCEOFCryptoH323Token

类型。

CryptoH323Tokcn是一个CHOICE类型结构，选择

nestedcryptoToken,

nestcdcryptoTokcn为CryptoToken类型，CryploTokcn也是一个CHOICE类型的数据结构，选择

7

GB/T21642.4—2012

cryptoHashedToken,

cryptoHashedToken是SEQUENCE类型结构

cryptoHashedTokenSEQUENCE

tokenOIDOBJECTIDENTIFIER,

hashedValsClearToken,

tokenHASHED{EncodedGeneralToken}

}

lokenOID取”A”或者”B”（A,B是（）ID的引用名，真实值参考前面的OID表）。A表示认证加消

息完整性检查，B表示只进行认证。

OID引用名OID值描述

用于CryptoToken-tokenOID,指示是

{itu-1(0)recommendation(0)h(8)235version(0)21}

“A”非对整个消息进行HASH运算,即进

{itu-1(0)recommendation(0)h(8)235version(0)l1}

行消息完整性检查

{itu-t(O)recommendation(O)h(8)235version(0)32}用于CryptoToken-tokenOID指示只

“B”{itu-t(O)recommendation(O)h(8)235version(0)22}对消息的部分字段进行HASH运算，

{itu-t(O)recommendation(O)h(8)235version(0)l2}即不进行消息完整性检查

hashedVals用来保存明文，类型为ClearTokeno如果要对消息进行完整性检查，那么HASH运算

将作用到整个消息；如果只进行认证，那么HASH运算只针对hashedVals包含的信息进行即可。

ClearToken::=SEQUENCE

/

tokenOIDOBJECTIDENTIFIER,设置为”T”，引用名，真实值参考前面的

OID表

timeStampTimeStampOPTIONAL,必须使用，消息时间标签

passwordPasswordOPTIONAL.不用

dhkeyDHsetOPTIONAL,不用

challengeChallengeStrinOPTIONAL,不用

randomRandomValOPTIONAL,必须使用，按加1递增

certificateTypedCertificateOPTIONAL,不用

generallDIdentifierOPTIONAL.必须使用

nonStandardNonStandardParameterOPTIONAL?不用

eckasdhkeyECKASDHOPTIONAL,不用

sendersIDIdentifierOPTIONAL,对于RRQ消息，不用，因为终端ID由GK在RCF消

息中分配，

h235KcyH235KcyOPTIONAL,不用

}

token用来描述HASH算法的结果,token为HASHED{EncodcdGeneralToken}类型。

HASHED定义如下

HASHED{ToBeHashed}：：=SEQUENCE{

algorithmOIDOBJECTIDENTIFIER,—HASH算法ID,OID参考值为“U”，表示用

8

GB/T21642.4—2012

HMAC-SHA1-96算法

paramSParams,一运行时参数，设置为NULL

hashBITSTRING-HASH运算结果

｝（CONSTRAINEDBY｛-Hash-ToBeHashed｝）

EncodcdGeneralToken::—TYPE-IDENTIFIER.&-Type（ClearTokcn-generalusagetoken•-）

6接口要求

6.1以太网接口

IP视讯会议网守应支持10Mbps以太网接口和100Mbps以太网接口。

10/100Mbit/s以太网接口具体要求见YD/T1096。

6.2千兆比以太网接口（可选）

IP视讯会议网守可以支持千兆以太网接口（符合IEEE802.3z）。

1000Mbps以太网物理接口支持1000Base-SX,l000Base-LX,以及1000BaseT。1000BaseT接

口应符合IEEE802.3abo

千兆比以太网接口的具体要求见YD/T1097o

6.3本地维护接口（可选）

采用硬件方式实现的TP视讯会议网守应支持本地维护管理接口，可以采用RS-232接口或

10Mbps/100Mbps自适应接口o

7性能指标要求

7.1呼叫处理能力

网守呼叫处理能力根据网守分级分別来规定。

顶级网守或中间网守并行处理呼叫的能力应大于160KBHCA。

接入网守性能使用网守可管理的MCU数目以及呼叫处理能力这两个参数来衡量。根据当前IP

视讯会议的组网结构情况，网守可管理的MCU数目应不少于200个。目前，表示呼叫处理能力的参

数有BHCA,每s呼叫数目，同时处理呼叫的数目等。建议采用BHCA来衡量处理呼叫能力，并规定

每个GK处理呼叫的能力应大于40KBHCA0

7.2计费性能指标

本地时钟精度£1So

计费精度Mlso

计费差错率W0.05%（包括误计和计费精度超差）。

7.3可靠性和可用性要求

IP视讯会议网守设备必须采用容错技术设计，利用双备份、多级分散控制等方法实现最大限度的

系统可靠性。

当IP视讯会议网守设备出现故障时，应能在尽可能短的时间内得以维护而恢复功能，具体的操作

详见第12章的维护管理部分。

9

GB/T21642.4—2012

8协议要求

8.1H.225.0消息

&1.1RAS

RAS消息是基于IP网络的视讯会议系统的网关，MC,MCU和终端与GK之间的GK发现、注册

（Registration）、接入认证（Admission）和状态查询（Status）协议。端点发送询问消息的

RcquestScqNum的最高位为0,GK发送的询问消息的RequestSeqNum的最高位为10

本部分仅规定与网守相关的H.323RAS消息。

&1.1.1消息

&1.1.1.1GK发现消息

表1给出了GK发现消息。

表1GK发现消息

序号消息缩写名称发送方接收方说明

GRQ为GK发现消息。该消息主要用于注册双方认证

字的交换。在不需要进行认证字交换时，不需要发送本

消息。此消息为选用消息。在需要发送该消息时，在下

列悄况下发送GRQ消息

1GRQGK发现消息端点GK

a）端点启动时；

b）端点在收到GK对RRQ的拒绝回答RRJ消息时。

本部分中规定端点将GRQ消息向预定GK发送，不广

播。本消息为选用消息

2GCFGK确认消息GK端点对GRQ消息的确认应答，本消息为选用消息

3GRJGK拒绝消息GK端点对GRQ消息的拒绝应答，本消息为选用消息

&1.1.1.2注册消息

注册消息由表2给出。

表2注册消息

序号消息缩写名称发送方接收方说明

端点向GK的的注册登记请求消息，MC在设备电源开

启后必须定期（小于RCF的limetolive确定的时间）向

GK发送RRQ消息，以表明设备仍然存活，具体的超时

1RRQ注册请求消息端点GK和重发次数要求见RAS消息的定时器及重发次数。端

点在首次注册时应将RRQ消息中的discoverycomplete

置0,其余报告其存活的RRQ消息的discoverycomplete

置1

2RCF注册确认消息GK端点对RRQ消息的确认回答

3RRJ注册拒绝消息GK端点对RRQ消息的拒绝应答

10

GB/T21642.4—2012

&1.1.1.3注销消息

注销消息由表3给出。

表3注销消息

序号消息缩写名称发送方接收方说明

1URQ注销请求消息端点GK端点向GK注销登记

2UCF注销确认消息GK端点对URQ消息的确认应答

3URJ注销拒绝消息GK端点对URQ消息的拒绝应答

&1.1.1.4连接消息

连接建立消息由表4给出。

表4连接建立消息

会议预约或开始召集会议时端点和

4ARQ准入请求消息端点GK视讯会议终端向GK发送的接入认证

请求消息

对ARQ消息的确认响应，终端进行

会议预约时，GK在回送的ACF消息

5ACF准入确认消息GK端点

中应携带为这次会议分配的会议号，

在ACF消息的非标准字段中携带

6ARJ准入拒绝消息GK端点对ARQ消息的拒绝响应

拆除连接消息由表5给出。

表5拆除连接消息

序号消息缩写名称发送方接收方说明

会议结束或会议过程中有终端退出时，端点

1DRQ脱离请求消息端点GK

向GK发送的拆除连接请求消息

2DCF脱离确认消息GK端点对DRQ的确认响应消息

3DRJ脱离拒绝消息GK端点对DRQ的拒绝响应消息

&1.1.1.5带宽管理消息

带宽管理消息由表6给出。

11

GB/T21642.4—2012

表6带宽管理消息

序号消息缩写名称发送方接收方说明

终端、端点与GK之间的带宽改变的请求的消

息，当GK具备带宽管理能力时，则带宽管理消

息是有实用意义的。由于ARQ消息的band­

width所取的值总是大于每一通路实际占用的

1BRQ带宽请求消息端点GK带宽，因此为了能使GK掌握各终端的带宽利

用情况，终端应根据实际带宽利用情况利用

BRQ消息改变带宽，以便释放多余的带宽或请

求增加带宽。若是利用BRQ消息增加带宽，

则必须等待GK的确认

2BCF带宽确认消息GK端点对BRQ消息的确认消息

3BRJ带宽拒绝消息GK端点对带宽改变请求的拒绝消息

&1.1.1.6状态消息

状态消息由表7给出。

表7状态消息

序号消息缩写名称发送方接收方说明