视频会议系统的数据安全策略

　　视频会议系统(Video Conference)是指两个或两个以上不同地方的个人或群体通过传输线路及多媒体设备，将声音、影像及文件资料相互传送，达到及时且互动的沟通，是一种集通信、计算机技术、多媒体技术于一体的远程异地通信方式。近几年来，随着通信技术和互联网技术的飞速发展，视频会议的应用范围正逐渐从传统的专业领域、大型企业等高端用户向中小企业等普通用户和个人用户拓展。伴随着视频会议系统建设高潮的来临，其安全问题日益困扰业界。从2004年开始，国内一些服务提供商开发的视频会议系统安全性问题不断曝光，也令各种客户更加重视系统的安全问题。

　　视频会议系统的信息安全问题，对于普通用户而言，涉及隐私，预防通话数据被他人得到而加以利用;涉及商业机密;涉及服务提供商是否存在欺诈和滥收费问题。对于服务提供商而言，则涉及用户的信赖度，直接影响其经济效益。

　　1 数据安全问题

　　国际上公认的网络数据安全是指真实性、完整性、抗否认性、机密性和可用性问题，来自网络的安全威胁主要是入侵、拒绝服务攻击、信息盗窃和泄密、乱用网络、病毒与恶意代码等攻击类型。视频会议系统的数据安全性问题也体现在这五个方面。

　　信息的真实性。要保证会议的真实性，保证会议的内容不被篡改。视频会议的真实性体现在终端与终端之间的数据通讯、双方身份的鉴别、终端和MCU(Multi-point Control Unit,多点控制单元)之间的数据通讯上。

　　信息的完整性。信息的完整性和信息的真实性是紧密相关的。它是指终端与终端之间、终端和MCU之间的数据通讯未被第三方恶意篡改。

　　信息的抗否认性。指终端与终端之间、终端和MCU之间都需要对其所发送和收到的数据进行确认。商业应用上，抗否认性可以阻止服务器对用户的滥收费和用户的抵赖欠费行为。

　　会议的机密性。主要体现在用户之间数据通讯的机密性上。保证视频会议的机密性，使得窃听者无法通过窃听用户通讯数据来获取用户信息，从而有效地保护用户的隐私。

　　信息的可用性。指用户之间、用户和服务器之间通讯的通畅。

　　2 数据安全策略

　　2.1 应用层安全策略

　　目前，大多视频会议系统是基于IP网络的，采用H.323标准(视频会议标准协议)。其安全保证，主要采用与安全机制相关的H.235协议中规定的机制来实现，主要有：身份认证、数据完整性、数据加密和用户费用证实机制。用户费用证实机制更多地应用于电信运营商。

　　(1)用户认证方案

　　IP网上的视频会议系统中，需要对用户的身份进行认证，用于确定终端用户的身份，是H.323视频会议系统安全体制中最为重要的环节，安全模式下的H.323视频会议系统是在呼叫建立过程(实现有效的身份认证)中防止第三者的仿冒，对合法用户进行授权。身份认证的实现可以基于非对称加密体系，也可以基于对称加密体系。前者是通过数字证书的公钥/私钥对，对信息进行加密/解密，或者进行数字签名/验证来实现的;后者是利用用户名和口令等唯一的标识信息。用户的口令可以作为信息加密的对称密钥对数据进行加密和解密，也可以作为原始的信息，通过hash函数对其进行单向散列运算，所得到的计算结果可以作为密钥进行数字签名，接收端进行数字签名的核实，从而实现对用户身份的鉴定。

　　在身份认证中，涉及密钥的管理问题。密钥的管理是实现实体认证、媒体流加解密的关键环节，涉及密钥加密体系中对用户口令的管理和公钥加密体系中数字证书的管理与分发。整个安全系统的实现与密钥的管理有着直接的关系。

　　(2)安全与加密方案

　　采用对称密钥实现实时加密操作。同非对称密钥算法比较，对称密钥运算量小、速度快，在视频会议系统中为了实现对音频、视频的实时传送，一般采用延时较少的对称加密算法。实际上，加密技术也是保证数据完整性的一个方法。数据完整性用于证实一个数据包有效数据的完整性，从而保证在终端与终端之间进行呼叫过程中的有效数据不被修改或损坏。数据完整性利用加密机制来保证数据包的完整，在这种方法中，只需要将校验数据加密，而有效数据不必加密，从而减少了每个数据包对加密处理的要求。完整性用于保护数据包的完整，但是它不能保护视频会议系统数据包不受到侵扰。基于独有的加解密技术则用于避免数据被窃听，即使一个已加密的数据包被其他人得到，如果没有相应的解密算法和密钥，该数据包仍是无法打开的。

　　2.2网络层安全策略

　　基于IP网络的企业视频会议系统还应充分利用网络层现有的IPSec(互联网协议安全)协议，提出网络层的安全解决机制。IPSec作为在IPv4及IPv6上的加密通讯框架，已为大多数厂商所支持而成为实际上的VPN(虚拟专用网，Vrtual Private Network, VPN)技术标准。IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，即AH(Authentication Header)及ESP(encapsulating security payload)。IPSec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商。VPN系统工作在网络协议栈中的IP层，采用IPSec协议提供IP层的安全服务。由于所有使用TCP/IP协议的网络在传输数据时，都必须通过IP层，所以提供了IP层的安全服务就可以保证端到端传递的所有数据的安全性。

　　IPSec包含两个部分：一是IP security protocol proper，定义IPSec报头格式;二是ISAKMP/Oakley，负责加密通讯协商。IPSec提供了两种加密通讯手段：一是IPSec Tunnel，即整个IP封装在IPSec-Gateway之间的通讯;二是IPSectransport，对IP包内的数据进行加密，使用原来的源地址和目的地址。其中IPSecTunnel不要求修改已配备好的设备和应用，网络黑客不能看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数厂商均使用该模式。ISAKMP/Oakley使用X.509数字证书，使VPN容易管理。在为远程拨号服务的Client端，也能够实现IPSec的客户端，为拨号用户提供加密网络通讯。由于IPSec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。

　　IP层安全性协议IPSec提供了面向连接的TCP和面向非连接的用户数据协议两种安全性服务，而且使整个网络线路上的路由器可以分担加解密所带来的负荷，从而减轻终端的负荷。利用IPSec协议的这种特点，在视频会议终端设备中增加了用于支持IPSec协议的iSec智能安全模块，这样，企业用户就可以防止各种人为的或网络病毒带来的各种恶意攻击和篡改，保持传输过程的数据完整性。

　　2.3用户层安全策略

　　(1)使用数据包加密技术

　　在应用层安全机制中安全与加密方案中已经讲过数据加密的问题。下图为一个视频会议系统安全保密方法的框图。

　　它的主要组成是加密模块和解密模块，加密模块接收视频会议系统终端用户数据进行加密形成加密后的数据在网络上传输，解密模块接收加密数据进行解密得到用户数据。从图中可以看到，并没有给密钥的产生和管理给出较多的规定，开发者可以根据自己的需要和可能，为视频会议系统提供密钥并进行管理，密钥被加密器、解密器和数据同步使用。如果需要采用密钥，则必须通过控制信道发送一个加载新密钥的标志。数据加密由加密器进行控制，通过控制信道发送一个标志指示当前数据正处于加密状态;而解密器的相应标志指示在需要时对数据进行解密。

　　数据加密基本是按照上述方式进行的。VTE公司基于开放平台的设计，使视频会议系统能充分利用Windows操作系统等外部机制来加密数据包。用户可以在Windows操作系统中直接设置、选择TLS/ SSL，提供TCP面向连接的安全性服务，在应用程序之下，实现对用户透明的加密。

　　(2)使用应用层网关

　　防火墙是一种有效的网络安全机制，它能在企业内部网与外部网之间实施安全防范，它不但可以实现基于网络访问的安全控制，还可对网络上流动的信息内容本身进行安全处理，对通过网络的数据进行分析、处理、限制，从而有效地保护网络内部的数据。建议企业用户使用ALG Firewal(Application Layer Gateways Firewal)防火墙。应用层网关是被设计能识别指定IP协议(像H.323和SIP协议)的防火墙，也被叫做ALG Firewal防火墙。它不是简单地察看包头信息来决定数据包是否可以通过，而是更深层地分析数据包负载内的数据，也就是应用层的数据。H.323和SIP协议都在负载中放了重要的控制信息，例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。通过分析哪一个端口需要打开，防火墙动态地打开那些被应用的端口，而所有别的端口依然安全地保持关闭状态。主要的防火墙厂商像Cisco、 Gauntlet都对他们的防火墙产品提供H.323 ALG升级功能。

　　(3)使用VPN技术

　　VPN技术作为当前在IP网络上提供安全通讯的方法之一，在同一个VPN网内可以解决防火墙穿越问题。企业用户组建视频会议系统时，还可以设计使用VPN技术，让各节点间传输的数据均通过底层加密，并且通过专用的隧道路由传输，这样就能有效地隔绝来自外部网络的攻击，并且可以避免信息在传输过程中可能的泄漏情况发生。

　　VPN网络的安全性有三层含义：一是数据传输的安全。几乎所有的VPN产品都通过数据加密的方式来保障。二是用户接入的安全。VPN网络采用数字证书交换或基于硬件特征身份认证的IP/MAC绑定技术的方式来确保用户的真实身份。针对移动用户，还可采用USB KEY的身份认证方式，并且DKEY能够携带必要的配置信息(如网络设置、用户权限等)，实现了VPN的即插即用，随身携带，特别适用于领导层的非专业人员使用。三是对内网资源的访问安全。VPN可提供对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，避免内部出现安全隐患，一个合法的VPN用户接入网络后，对网络资源的访问权限能够被限定在一个范围内。

　　(4)使用国产产品或国家指定加密设备

　　国内很多视频会议系统生产厂商在底层上仍然采用了国际厂商的技术，其视频会议系统核心部分——H.323协议栈几乎都来自国外。这样，如果发现底层的漏洞，就要依赖于别人来补救，在安全上难免始终处于被动;同时，隐患和各种可能性也一直存在。在国内视频会议系统市场，重点行业用户基本达成一个共识，这就是，优先考虑具有完全自主知识产权技术的厂商。

　　对于目前不允许使用由国外厂商提供的在H.235协议中规定的DES等加密算法的企业而言，VTE公司可以为这部分用户提供国家指定的加密设备，将其外接在终端设备上，实现数据的保密性和完整性。例如：可以外接IP协议密码机实现因特网或企业网的数据加密传输。VTE产品提供的加密机的配合接口与国内批准的几家加密设备制造商的产品经过了严格的测试，证明双方产品在配合上是完善的，并在我国全国会议电视骨干网上一直安全地使用至今。

　　(5)使用防毒软件

　　由于VTE产品基于开放平台的产品特性，允许用户自己在需要的时候，随时安装、更新防病毒软件、安装反扫描软件。所以，能抵御目前计算机病毒的危害和Internet上的端口攻击，使用户始终能及时预防Internet上的各种病毒攻击，监视攻击者的恶意扫描，从而有效地保证系统不被病毒恶意地攻击。

　　3 结束语

　　目前，我国视频会议系统市场正驶入一个发展的高速路，成为全球增长最快，也是潜力最大的市场。而如何在形势大好的同时，注重并根本解决好视频会议系统的基石——安全问题，显然是一个刻不容缓的棘手问题，需要厂商和用户共同努力，采取必要的措施，尽量减少安全隐患，提高视频会议系统的安全性。

　　作者：冯运仿 来源：网络与信息 2007年11期