企业视频会议系统安全机制问题.pdf

企业视频会议系统安全机制问题 前言：为什么他们都用视频会议系统开会 伴随着视频会议系统建设高潮的来临，其安全问题也更加困扰业界。其实，中国在建设 第一个会议电视网的时候，就已经提出了视频会议系统的安全保障的问题。从去年开始，个 别厂商的视频会议系统安全性问题不断暴光，也令各种客户更加重视系统的安全问题。 这个问题为什么这么重要呢？试想，如果视频会议系统在安全方面出现问题，有黑客或 者是非授权的用户非法加入到会议中，则意味着恶意攻击者可以轻易取得管理者的权限，窃 取管理者的口令，控制会议，监听会议内容，甚至把会议的内容录下来，在网上公开散播， 后果不堪设想！所以安全问题是会议电视一个非常重要方面。 要确保视频会议系统的安全，需要保护哪些信息呢？首先，要能保证会议的保密性，会 议除了合法的与会者外，其他人是应该无法看到和了解的。第二，要保证会议的真实性，保 证会议的内容不被篡改。第三，要确保非法的用户不能加入到会议里面。第四，与会者或者 会议中间发生的行为，是一个确认的行为，是不能否认的。 下面主要从应用层安全机制、网络层安全机制和用户实际应用的安全措施三个角度来诠 释企业用户视频会议系统的安全保证机制。 应用层安全解决方案 基于IP 网络的视频会议系统采用H.323标准。总的来讲，H.323的安全性是一个复杂 的问题，它不仅包括对音频、视频或数据流本身的保护，还必须包括对Q.931（用于呼叫建 立）、H.245（用于呼叫管理）及网闸RAS（Registration/Admission/Status）的保护，以防止 呼叫控制协议受到破坏。 视频会议的安全保证，主要采用与安全机制相关的H.235协议中规定的机制来实现，主 要有：身份认证、数据完整性、数据加密和用户费用证实机制（non-repudiation）。 身份认证用于确定终端用户的身份，是H.323视频会议系统安全体制中最为重要的环 节，如果没有它，任何一个用户都可以冒充合法用户进入网络。只有在被确认身份之后，才 能够提供进一步的安全保证。 数据完整性用于证实一个数据包有效数据的完整性，从而保证在两个端点之间进行呼叫 过程中的有效数据不被修改或损坏。数据完整性利用加密机制来保证数据包的完整，在这种 方法中，只需要将校验数据加密，而有效数据不必加密，从而减少了每个数据包对加密处理 的要求。 确保了数据的完整性之后，在用户允许的情况下，还可以采用数据加解密技术来避免数 据的被窃听。数据的加密级别最终取决于企业用户的要求和国家法律的限制。 用户费用证实机制用于防止某些用户否认他们曾参与某一个呼叫。但是，就一般情况来 视频会议 经典语录 视频会议系统 经典笑话 视频会议软件 搞笑视频 视频会议解决方案 娱乐八卦 说，该机制更多地应用于电信运营商，因为他们需要一种途径来准确估算服务所需的费用， 并证实这些费用的确用于用户的呼叫。对企业用户而言，可以不必实施用户费用证实机制。 网络层安全机制 目前，企业用户组建的视频会议系统多是基于IP 网络的，针对这种情况，还充分利用 网络层现有的IPSec 协议，提出了网络层的安全解决机制。 IP 层安全性协议IPSec 提供了面向连接的TCP 和面向非连接的用户数据协议两种安全 性服务，而且使整个网络线路上的路由器可以分担加解密所带来的负荷，从而减轻终端的负 荷。利用IPSec 协议的这种特点，在视频会议终端设备中增加了用于支持IPSec 协议的iSec 智能安全模块，这样，企业用户就可以防止各种人为的或网络病毒带来的各种恶意攻击和篡 改，保持传输过程的数据完整性。 当然，即使不增加iSec 智能安全模块，VTEL 产品的开放性，也能使VTEL 为用户轻 松提供IP 层安全防护措施。例如，可以在VTEL公司的产品中安装英特尔的PRO/100S网 卡，该网卡能直接提供IPSec（互联网协议安全）加密能力，从而实现用户的身份验证，防 止未经授权的数据访问；防止恶意的攻击和篡改，保持传输过程的数据完整性；数据包加密， 确保数据的机密性。可以说，直接利用网卡实现IP 层安全的措施，是VTEL公司开放平台 终端设备所特有的一种安全措施。 用户实际应用安全措施 除了上述两种安全机制以外，还可以针对企业用户的不同应用需求和网络现状，为企业 用户的视频会议系统提供如下几种安全防护措施或安全问题解决方案。 加密数据包VTEL公司基于开放平台的设计，使视频会议系统能充分利用Windows 操 作系