1.新一代视频会议的现状
1.1新一代视频会议的内涵与特点
1.1.1视频会议的内涵
视频会议是可以让位于不同地点的人,借助通信设备与网络完成远距离的面对面交流的系统。视频会议依据参会地点能够被划分成两种模式,一种模式是只有两个会议地点,另一种模式是具有多个会议地点。
关于视频会议系统的组成部分,比较常见的是视频会议终端、网络管理系统、视频会议服务器与传输网络,如果缺少任意一部分都可能对视频会议发生影响。
1.1.2视频会议的特点
视频会议系统的逐渐发展导致在网络上展开会议与在同一个房间中展开会议的感受与效果都非常相近与类似。而且,因为现在视频会议的技术不断进步,视频会议因为网络带来的网络延迟可能性很低,也不会因此对会议的过程带来影响,让整体会议的参会人员更加感受到真实感。并且,视频会议的普及让企业员工能够在办公桌前就可以和领导视频会议,不需要一起到会议室开会,给企业与企业员工都带来了极大的便利,同时也节省了时间成本,让会议的便捷性更强。而且,视频会议的成本比较低,还加以其他很多辅助功能,可以帮助会议日程的科学安排,而且具有对参会人员考勤的管理功能,还具有会议投票、会议举手等辅助功能。
1.2新一代视频会议的现状
1.2.1应用现状
视频会议可以给人们带来很高程度的便捷,所以使用视频会议系统的企业也逐渐增加,从最初的42.3亿元销量已经增长现在的87.6亿销量,其增长幅度非常庞大。而且,统计使用企业,高于30%的视频会议的使用者是政府部门,而后外企、私企等也逐渐采用视频会议。另外,国内的医疗部门、教育部门等也开始将视频会议成为日常工作工具。虽然国内购买视频会议版权的规模逐渐增长,但视频会议的安全技术水平还有待增强。
1.2.2技术现状
国内视频会议的技术共经历了3个阶段。第一阶段,是以硬件、软件或者统一通信为核心的这3个系统的互相交互使用,保障IP电话、Web客户端等终端的使用,在这个阶段,多个会议终端的用户可以参加不同形式的视频会议,并且众多会议终端可以同时视频会议。第二阶段,视频会议在建立平台时完成了会场控制与会议管理的结合,以H.323/MCU与SIP/HTTP分别为核心的视频会议都在第二阶段取得一定的成功,而且对不同会场需要的资源也开始一定的管理。第三阶段,媒体的聚合与转码中心都已完成了结合,参会人员能够通过视频会议开展影音、文本等数据的互相交流,同时相关的数据共享和传输功能都优化了。虽然国内视频会议的技术在前几年获得了大幅优化,但安全性的问题目前尚未解决。
2.新一代视频会议安全关键技术
2.1信令协议
信令协议在视频会议中的作用十分重要,信令协议的执行能够保障比较关键的数据在视频会议通信过程中可以安全地传递与传输,会话初始协议(SIP)则是目前视频会议中经常使用的信令协议。如果源地址是被人所伪造的,视频会议通常将被恶意攻击,国内的技术人员基于此提出将源地址检验系统引入进视频会议中,进而在根源处解决问题。而且,信令协议的科学使用能够防止SIP的认证过程中发生客户端与代理系统身份造假的情况。
2.1.1源地址检验系统
在源地址检验系统中,之前以IPv4网络作为架构,而后改以IPv6为架构,因为IPv6空间更大,地址长度可以增加到128位,路由转发的更快,同时支持组播、协议扩展等要求。建立架构的目的是为了进行会议实体和使用者身份的双层认证,并且在使用者身份是合法的情况下,尽可能保障系统的安全系数,通过数字签名与消息认证码进而提高会议终端安全系数。
针对IPv6的架构方案进行剖析,在TPM模块的嵌入过程中,视频会议的终端和控制中心都是TPM模块的重要针对对象。在EAS和VCE的终端结构强化过程中,能够在一定程度上增强会议实体和平台结构的完整性,通过TPM的安全密码功能,一方面可以完成视频会议中使用者认证,提高其安全系数;另一方面,可以通过USBKEY对会议用户的身份进行认证。
2.1.2SIP安全服务模型
SIP安全服务模型是目前比较新兴的通过设置源地址进行验证的视频会议安全关键技术。SIP可以提供合理的源地址,进而塑造真实、可信的网络环境。在此过程中,以TNC架构为基础完成SIP的服务形式化,在赋予源地址信任域的时候,提出基于真实地址的SIP安全服务模型。其中,源地址信任域是指以SAVA结构体系和源地址验证工作相结合的新的信任域。SIP和SATD在源地址信任服务中可以体现逻辑关系,在网络层中部使用SAV网络基础设施,使SATD划分成多个领域,从而将SIP应用在应用层里,完成设置工作活动。另外,每个SATD域中都有稳定的源地址信任服务器。
2.2双层认证结构
双层认证结构是一种新兴的针对系统用户安全保障的技术,不是针对系统终端进行工作的,能够用以应对数据泄露情况,双层认证结构涵盖两个层次的不同认证:对视频会议终端与使用者的双重认证。
2.2.1第一层认证
第一层认证是指对视频会议实体的相关认证,包括针对设备与相关使用的软件来评价其安全性,其中软件涵盖在硬件上所安装的或者需要使用的操作系统与应用软件,但必须是满足SIP的相关原则的终端设备才可以满足终端实体的安全认证。其认证是经过核验TPM寄存器的度量值与日志,进而核验终端有无系统漏洞、错误配置、病毒等,进而完成评价安全性相关的工作。第一层认证以TPM与BIOS为起点,构建了从BIOS加载、操作系统加载与视频会议应用程序加载到视频会议系统的信任链传递模型,再测量VCE终端的完整性,保证VCE终端没有受到木马或者病毒攻击。
2.2.2第二层认证
第二层认证是对使用者个人身份的认证,一般用于识别谁在申请使用视频会议服务,是否是他本人。第二层认证系统可以针对使用者的身份识别,判断是否同意其进入视频会议。系统可以通过用户名、密码、USBKEY等对使用者是否本人进行验证。现在也诞生了通过生物特征来认证的方式,比如指纹识别、面部识别等方式。以两层结构的关系角度进行分析,因为需要满足目前视频会议使用者的要求(能够通过一个账号在不同设备中灵活转移数据),因此,第二层认证系统对使用者的用户名与密码的保存不再局限于TPM,TPM和使用者身份不进行绑定,视频终端也可以给不同使用者使用,从而依据服务开展活动。不同使用者的身份将依据用户名与密码进行验证,即如果使用者使用的终端满足安全评估,使用者的账号将满足安全保障,用户可以在不同设备中通过用户名与密码登录。只要终端安全性可以获得保障,则可以实现不同用户使用不同设备的想法。但是,在这过程中要注意的是,因为需要保护终端使用者的隐私,在使用者的使用中,DAF将会针对视频会议服务认证,是基于使用者身份认证,不是直接对终端认证,是通过可信的第三方对终端认证,以免服务提供商危害视频会议的安全系数,进而增强系数。
作者:江经科 (上海华万通信科技有限公司)
本文刊发于《中国高新科技》杂志2020年第21期
(转载请注明来源)
