從三個角度來完善企業(yè)視頻會議系統(tǒng)安全機制
2007/04/05
這個問題為什么這么重要呢���?試想,如果視頻會議系統(tǒng)在安全方面出現(xiàn)問題�����,有黑客或者是非授權的用戶非法加入到會議中�,則意味著惡意攻擊者可以輕易取得管理者的權限,竊取管理者的口令�,控制會議����,監(jiān)聽會議內容�,甚至把會議的內容錄下來,在網上公開散播�����,后果不堪設想��!所以安全問題是會議電視一個非常重要方面����。
要確保視頻會議系統(tǒng)的安全,需要保護哪些信息呢��?首先�����,要能保證會議的保密性��,會議除了合法的與會者外�,其他人是應該無法看到和了解的。第二�,要保證會議的真實性,保證會議的內容不被篡改�����。第三�,要確保非法的用戶不能加入到會議里面。第四���,與會者或者會議中間發(fā)生的行為��,是一個確認的行為���,是不能否認的。
下面主要從應用層安全機制�、網絡層安全機制和用戶實際應用的安全措施三個角度來詮釋企業(yè)用戶視頻會議系統(tǒng)的安全保證機制。
應用層安全解決方案
基于IP網絡的視頻會議系統(tǒng)采用H.323標準�����?偟膩碇v��,H.323的安全性是一個復雜的問題�,它不僅包括對音頻����、視頻或數(shù)據(jù)流本身的保護��,還必須包括對Q.931(用于呼叫建立)���、H.245(用于呼叫管理)及網閘RAS(Registration/Admission/Status)的保護���,以防止呼叫控制協(xié)議受到破壞��。
視頻會議的安全保證����,主要采用與安全機制相關的H.235協(xié)議中規(guī)定的機制來實現(xiàn)���,主要有:身份認證�����、數(shù)據(jù)完整性��、數(shù)據(jù)加密和用戶費用證實機制(non-repudiation)����。
身份認證用于確定終端用戶的身份,是H.323視頻會議系統(tǒng)安全體制中最為重要的環(huán)節(jié)�,如果沒有它,任何一個用戶都可以冒充合法用戶進入網絡��。只有在被確認身份之后����,才能夠提供進一步的安全保證���。
數(shù)據(jù)完整性用于證實一個數(shù)據(jù)包有效數(shù)據(jù)的完整性���,從而保證在兩個端點之間進行呼叫過程中的有效數(shù)據(jù)不被修改或損壞。數(shù)據(jù)完整性利用加密機制來保證數(shù)據(jù)包的完整���,在這種方法中��,只需要將校驗數(shù)據(jù)加密���,而有效數(shù)據(jù)不必加密,從而減少了每個數(shù)據(jù)包對加密處理的要求����。
確保了數(shù)據(jù)的完整性之后,在用戶允許的情況下���,還可以采用數(shù)據(jù)加解密技術來避免數(shù)據(jù)的被竊聽��。數(shù)據(jù)的加密級別最終取決于企業(yè)用戶的要求和國家法律的限制���。
用戶費用證實機制用于防止某些用戶否認他們曾參與某一個呼叫。但是���,就一般情況來說�����,該機制更多地應用于電信運營商�,因為他們需要一種途徑來準確估算服務所需的費用�,并證實這些費用的確用于用戶的呼叫。對企業(yè)用戶而言�,可以不必實施用戶費用證實機制。
網絡層安全機制
目前�����,企業(yè)用戶組建的視頻會議系統(tǒng)多是基于IP網絡的,針對這種情況�����,還充分利用網絡層現(xiàn)有的IPSec協(xié)議��,提出了網絡層的安全解決機制���。
IP層安全性協(xié)議IPSec提供了面向連接的TCP和面向非連接的用戶數(shù)據(jù)協(xié)議兩種安全性服務,而且使整個網絡線路上的路由器可以分擔加解密所帶來的負荷�����,從而減輕終端的負荷�。利用IPSec協(xié)議的這種特點,在視頻會議終端設備中增加了用于支持IPSec協(xié)議的iSec智能安全模塊�,這樣,企業(yè)用戶就可以防止各種人為的或網絡病毒帶來的各種惡意攻擊和篡改�,保持傳輸過程的數(shù)據(jù)完整性���。
當然�,即使不增加iSec智能安全模塊����,VTEL產品的開放性��,也能使VTEL為用戶輕松提供IP層安全防護措施�。例如�����,可以在VTEL公司的產品中安裝英特爾的
PRO/100 S 網卡�����,該網卡能直接提供IPSec(互聯(lián)網協(xié)議安全)加密能力�,從而實現(xiàn)用戶的身份驗證,防止未經授權的數(shù)據(jù)訪問��;防止惡意的攻擊和篡改�,保持傳輸過程的數(shù)據(jù)完整性;數(shù)據(jù)包加密����,確保數(shù)據(jù)的機密性��?梢哉f����,直接利用網卡實現(xiàn)IP層安全的措施,是VTEL公司開放平臺終端設備所特有的一種安全措施�。
用戶實際應用安全措施
除了上述兩種安全機制以外,還可以針對企業(yè)用戶的不同應用需求和網絡現(xiàn)狀���,為企業(yè)用戶的視頻會議系統(tǒng)提供如下幾種安全防護措施或安全問題解決方案����。
加密數(shù)據(jù)包 VTEL公司基于開放平臺的設計���,使視頻會議系統(tǒng)能充分利用Windows操作系統(tǒng)等外部機制來加密數(shù)據(jù)包。用戶可以在Windows操作系統(tǒng)中直接設置�����、選擇TLS/
SSL��,提供TCP面向連接的安全性服務�����,在應用程序之下�,實現(xiàn)對用戶透明的加密。
內置轉換模塊 VTEL公司的視頻會議終端設備中內置的 “NAT Traversal”模塊�����,使H.323(IP)呼叫順利穿越防火墻���。對于已經具有企業(yè)防火墻的用戶來說����,就可以直接利用已有的安全系統(tǒng)�。
使用應用層網關 考慮到防火墻是一種有效的網絡安全機制,它能在企業(yè)內部網與外部網之間實施安全防范�����,它不但可以實現(xiàn)基于網絡訪問的安全控制���,還可對網絡上流動的信息內容本身進行安全處理��,對通過網絡的數(shù)據(jù)進行分析��、處理���、限制�,從而有效地保護網絡內部的數(shù)據(jù)����。VTEL公司針對還沒有采用防火墻的用戶,可以為其推薦一種被叫做ALG
Firewall防火墻的應用層網關���。目前主要的防火墻廠商��,如Cisco�、Checkpoint�����、Gauntlet都對他們的防火墻產品提供H.323
ALG升級功能�。
使用VPN技術 VPN技術作為當前在IP網絡上提供安全通訊的方法之一,企業(yè)用戶組建視頻會議系統(tǒng)時��,還可以設計使用VPN技術�����,讓各節(jié)點間傳輸?shù)臄?shù)據(jù)均通過底層加密�����,并且通過專用的隧道路由傳輸���,這樣就能有效地隔絕來自外部網絡的攻擊,并且可以避免信息在傳輸過程中可能的泄漏情況發(fā)生���。
采用國家指定加密設備 對于目前不允許使用由國外廠商提供的在H.235協(xié)議中規(guī)定的DES等加密算法的企業(yè)而言�,VTEL公司可以為這部分用戶提供國家指定的加密設備�����,將其外接在終端設備上�,實現(xiàn)數(shù)據(jù)的保密性和完整性。例如��,可以外接IP協(xié)議密碼機實現(xiàn)因特網或企業(yè)網的數(shù)據(jù)加密傳輸���。VTEL產品提供的加密機的配合接口與國內批準的幾家加密設備制造商的產品經過了嚴格的測試����,證明雙方產品在配合上是完善的��,并在我國全國會議電視骨干網上一直安全地使用至今�。
安裝防毒軟件 由于VTEL產品基于開放平臺的產品特性����,允許用戶自己在需要的時候�����,隨時安裝���、更新防病毒軟件�、安裝反掃描軟件����。所以,能抵御目前計算機病毒的危害和Internet上的端口攻擊���,使用戶始終能及時預防Internet上的各種病毒攻擊����,監(jiān)視攻擊者的惡意掃描����,從而有效地保證系統(tǒng)不被病毒惡意的攻擊�。
中國電子政務網
相關鏈接: