|
視頻會議系統(tǒng)如何實(shí)現(xiàn)安全應(yīng)用
一���、視頻會議系統(tǒng)的安全應(yīng)用原理
基于IP的視頻會議系統(tǒng)網(wǎng)絡(luò)多采用H.323標(biāo)準(zhǔn)或SIP協(xié)議��。H.323標(biāo)準(zhǔn)可以為網(wǎng)絡(luò)上的多媒體通信應(yīng)用提供技術(shù)基礎(chǔ)和保障���,基于H.323的視頻會議系統(tǒng)主要有四個組件組成:終端(Terminal)����、網(wǎng)關(guān)( Gageway)����、關(guān)守(Gagekeeper)�����、多點(diǎn)控制單元(MCU)����。而以上設(shè)備需支持與安全機(jī)制相關(guān)的用于控制信道使用情況和信道性能H.245標(biāo)準(zhǔn)���,H.245標(biāo)準(zhǔn)通過提供數(shù)據(jù)流量控制、用戶輸入提示�����、視頻編碼控制�����、信號抖動和失真的提示來實(shí)現(xiàn)對數(shù)據(jù)包完整性����、數(shù)據(jù)加解密以及身份認(rèn)證的安全控制。業(yè)界不少設(shè)備在此基礎(chǔ)上研發(fā)了各種功能�,如丟包恢復(fù)功能、動態(tài)訪抖緩沖���、AEC媒體加密等來進(jìn)一步保障視頻會議系統(tǒng)的安全應(yīng)用����。
二���、視頻會議系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?/P>
1����、數(shù)據(jù)包的完整性
數(shù)據(jù)包的完整性用于證實(shí)一個數(shù)據(jù)包有效數(shù)據(jù)的完整性,從而保證在兩個端點(diǎn)之間進(jìn)行呼叫過程中的有效數(shù)據(jù)不被修改或損壞�����。數(shù)據(jù)完整性利用加密機(jī)制來保證數(shù)據(jù)包的完整��,在這種方法中����,只需要將校驗(yàn)數(shù)據(jù)加密,而有效數(shù)據(jù)不必加密���,從而減少了每個數(shù)據(jù)包對加密處理的要求����,有效的避免了被竊聽的可能性��。
2�、數(shù)據(jù)的安全性
數(shù)據(jù)的安全性來說��,在傳統(tǒng)的H.320或H.323系統(tǒng)中�,由于所有的音視頻數(shù)據(jù)包都是通過標(biāo)準(zhǔn)的協(xié)議進(jìn)行壓縮并打包經(jīng)過網(wǎng)絡(luò)發(fā)送����,所以任何人只要能通過網(wǎng)絡(luò)截取到數(shù)據(jù)包���,就可以根據(jù)協(xié)議對數(shù)據(jù)進(jìn)行解析并從中獲得真實(shí)的會議內(nèi)容�����,應(yīng)當(dāng)說是不夠安全的��。所以�����,使用傳統(tǒng)的基于H.320或H.323協(xié)議的視頻會議系統(tǒng)時�����,只能依賴于底層的網(wǎng)絡(luò)來保證會議的安全性��。比如說���,使用VPN虛擬專網(wǎng),讓各節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)均通過底層加密,或者干脆使用私網(wǎng)或內(nèi)部網(wǎng)召開視頻會議�����。
三����、視頻會議系統(tǒng)的權(quán)限管理
多點(diǎn)視頻會議系統(tǒng)目前多設(shè)計(jì)為基于Web的會議集中管理、分級許可方式���。主會場和各分會場有指定權(quán)限的管理員操作�����,主會場可以通過多點(diǎn)控制器(mcu)管理自己及各級會場的用戶��,不同級別的用戶擁有不同的權(quán)限功能���,主要包括安全模式選擇、用戶身份認(rèn)證管理��、會議預(yù)約管理���、會議錄播管理、會議加入、會議終止等功能��。
1�����、根據(jù)用戶對會議密級程度要求的不同
視頻會議系統(tǒng)具有多種級別的會議權(quán)限驗(yàn)證功能���。在加入會議時��,主會場可以對會議加入密碼��、參會者是否為系統(tǒng)注冊用戶����、會議號是否可見以及會議數(shù)據(jù)是否AEC加密進(jìn)行設(shè)置���。通過多種組合��,保障會議的安全�。
2���、身份認(rèn)證用于確定終端用戶的身份
身份認(rèn)證用于確定終端用戶的身份是H.323視頻會議系統(tǒng)安全體制中最為重要的環(huán)節(jié)�,只有在被確認(rèn)身份之后,才能夠加入會議�。
四、視頻會議系統(tǒng)主要設(shè)備的安全要求
根據(jù)以上兩點(diǎn)分析��,各類視頻會議主要設(shè)備(MCU和終端)針對用戶的不同應(yīng)用需求和網(wǎng)絡(luò)現(xiàn)狀�����,應(yīng)至少滿足如下幾種安全防護(hù)措施���。
1���、MCU的安全保障
MCU作為視頻會議中的核心組成部分,承擔(dān)著全網(wǎng)的視頻交互與通訊處理���,因此其系統(tǒng)的安全可靠性對全網(wǎng)具有十分重要的意義�。在MCU的設(shè)計(jì)上需專門針對這個特點(diǎn)開發(fā)許多特有的功能����,以提供更為安全的會議保障功能。
(1)嵌入式操作系統(tǒng)的高可靠性可以保證MCU整體運(yùn)行的穩(wěn)定安全���,而常見的Microsoft操作系統(tǒng)�,更容易遭到病毒對系統(tǒng)的破壞����。嵌入式操作系統(tǒng)的安全嚴(yán)密性能抵御常見的網(wǎng)絡(luò)黑客攻擊。
(2)可以支持系統(tǒng)用戶權(quán)限管理�����,至少支持管理員��、操作員��、主席和審核人四種權(quán)限登錄���,管理員可以完成所有系統(tǒng)操作�����,包括系統(tǒng)配置的修改�,操作員能完全滿足對會議的控制與使用以及對系統(tǒng)資源的查看����,但不能修改任何的系統(tǒng)配置。主席只能控制會議����,審核人能夠察看統(tǒng)計(jì)數(shù)據(jù)�。通過這種分級管理��,能夠極大的增強(qiáng)視頻會議系統(tǒng)管理維護(hù)的安全性���。
(3)管理人員可以從系統(tǒng)的直觀界面中查看到所有當(dāng)前登錄MCU的用戶名稱和所有終端的IP地址��,可以有效保障系統(tǒng)的安全性��。
(4)必須支持設(shè)置會議口令�����,不知道口令的與會者無法參加會議�。
(5)目前絕大部分應(yīng)用單位為保障網(wǎng)絡(luò)安全都配置了專用防火墻����,而防火墻拒絕任何外部主動發(fā)起的通訊。為此H.323視頻會議設(shè)備必須具有成熟的防火墻和NAT穿越解決方案����。
目前主流的做法是:在MCU上針對防火墻專門設(shè)置其傳輸視頻端口的號碼范圍,并可在防火墻中打開以上設(shè)置的端口��,這樣既解決了視頻的通訊,也保障了網(wǎng)絡(luò)的安全有效�。只要在防火墻部署策略時指定打開相應(yīng)的端口,便可實(shí)現(xiàn)對于防火墻的穿越�。
2����、視頻會議終端的安全保障
終端是視頻會議系統(tǒng)的另一個重要組成部分,承擔(dān)著音視頻傳輸任務(wù)�,它同樣需具備多重安全保護(hù)功能,以最大限度的確保會議的安全�。
(1)視頻會議終端應(yīng)采用專用系統(tǒng),避免受病毒侵害���。
(2)視頻會議終端至少可以選擇打開或關(guān)閉以下遠(yuǎn)程訪問功能:HTTP. FTP. Telnet. SNMP���,保障網(wǎng)絡(luò)訪問的安全。
(3)視頻會議終端具備豐富的口令保護(hù)如:出廠默認(rèn)口令��、會議口令�����、管理員口令���、廣播流口令���、操作菜單口令保護(hù)���。
(4)視頻會議終端需支持AES加密通訊。
五����、視頻會議系統(tǒng)的應(yīng)用管理
視頻會議系統(tǒng)在應(yīng)用的過程中,作為用戶也應(yīng)該認(rèn)真維護(hù)��、積極防范可能會出現(xiàn)的各種安全問題���。
(1)會議召開前的管理
在會議召開前管理員需認(rèn)真維護(hù)����,聯(lián)調(diào)視頻會議系統(tǒng)�����,為會議中定義的參會者選擇其連接方式為撥入或撥出�����,使其根據(jù)會議管理員的規(guī)劃進(jìn)行會議操作。如有些內(nèi)容的音/視頻不希望傳送到部分會場��,仍然可以針對單獨(dú)與會者在不斷開連接的情況下�,而將其音/視頻的發(fā)送或接收關(guān)閉。
(2)會議召開中的管理
除去MCU的系統(tǒng)管理有密碼保護(hù)外��,會議的也可以設(shè)置密碼���,對于其安全控制給予以雙重保障。會議召開以后���,可以對會議進(jìn)行呼入呼出限制�,這樣會議會保持當(dāng)前的連接狀態(tài)�����,即使在其中預(yù)先定義的呼出方式的終端也不能通過呼入加入到會議當(dāng)中��。
(3)會議召開后的管理
會議召開結(jié)束后�����,包括會議的時間,參加與會者的信息以及會議中斷原因等相關(guān)信息����,都會在MCU中被自動記錄,而不能被人為的修改與破壞����,管理員需認(rèn)真檢查并可將其取出以作留存?zhèn)浞荨?/P>
總之,筆者認(rèn)為視頻會議系統(tǒng)的安全性并不是想象中的那么脆弱�����,針對不同的網(wǎng)絡(luò)環(huán)境和設(shè)備情況視頻會議系統(tǒng)的安全應(yīng)用是可防���、可控�、可查的��。
|
