新一代視頻會(huì)議安全關(guān)鍵技術(shù)研究

鄭志輝 侯振堂 王卉 周敬重

[摘 要]隨著時(shí)代進(jìn)步，技術(shù)手段、水平逐漸提升，在各行業(yè)的工作過程中發(fā)揮著較為重要的作用。基于實(shí)際展開分析，視頻會(huì)議為現(xiàn)階段遠(yuǎn)程通信手段中效果較好、信息傳達(dá)效率較高的應(yīng)用方向，而為了保障視頻會(huì)議的安全性，便于在各方面工作，尤其是保密度較高的工作過程中開展視頻會(huì)議，應(yīng)對(duì)視頻會(huì)議的安全關(guān)鍵技術(shù)進(jìn)行分析，研究應(yīng)用方法，保障視頻會(huì)議的安全，提升視頻會(huì)議的保密性。

[關(guān)鍵詞]視頻會(huì)議;安全性;關(guān)鍵技術(shù);應(yīng)用

doi：10.3969/j.issn.1673 - 0194.2019.24.069

[中圖分類號(hào)]TP393.08[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194（2019）24-0-02

0 ? ? 引 言

在新時(shí)代背景下，隨著網(wǎng)絡(luò)技術(shù)與多媒體技術(shù)發(fā)展，人們已經(jīng)逐漸對(duì)網(wǎng)絡(luò)信息傳達(dá)有更高要求，且越來越需要一種能夠有效傳輸、較傳統(tǒng)單一傳輸模式更高效的文本、語音信息傳輸模式，能夠在此傳播模式中實(shí)現(xiàn)網(wǎng)絡(luò)多媒體應(yīng)用，在日常生活過程中起到較為重要的作用。本文基于實(shí)際進(jìn)行分析，隨著視頻會(huì)議技術(shù)不斷發(fā)展，其中包含的信息越來越多、越來越重要，視頻會(huì)議的安全性問題正引起各類技術(shù)人員的關(guān)注。下文即為對(duì)視頻會(huì)議安全關(guān)鍵技術(shù)的研究，以實(shí)際分析在工作過程中存在的技術(shù)及其應(yīng)用。

1 ? ? 視頻會(huì)議安全技術(shù)的應(yīng)用與發(fā)展

視頻會(huì)議是一種在兩個(gè)或者是多個(gè)地點(diǎn)之間，為用戶提供雙向?qū)崟r(shí)交流的應(yīng)用項(xiàng)目，在網(wǎng)絡(luò)發(fā)達(dá)程度日益提升的當(dāng)下，在企業(yè)、組織業(yè)務(wù)中起到遠(yuǎn)程交流、協(xié)作的重要作用。就實(shí)際展開分析，在視頻會(huì)議技術(shù)的應(yīng)用、發(fā)展過程中，最先出現(xiàn)的視頻會(huì)議技術(shù)源自1956年，為美國(guó)貝爾實(shí)驗(yàn)室開發(fā)出的視頻電話技術(shù)。此為視頻會(huì)議的原型，在模擬鏈路中實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)視頻電話業(yè)務(wù)，20世紀(jì)70年代左右實(shí)現(xiàn)商業(yè)化，成為商用技術(shù)。但此時(shí)技術(shù)存在一些局限，如所需帶寬過高、造價(jià)與維護(hù)方面消耗資源較大。后續(xù)發(fā)展過程中，1982年所實(shí)現(xiàn)的西歐COST計(jì)劃使數(shù)字視頻會(huì)議正式出現(xiàn)在生活中，國(guó)際電信聯(lián)盟通信化標(biāo)準(zhǔn)組織在20世紀(jì)90年代左右根據(jù)此技術(shù)結(jié)合窄帶綜合服務(wù)數(shù)據(jù)網(wǎng)與寬帶綜合業(yè)務(wù)，以H.230、H.231等協(xié)議族實(shí)現(xiàn)視頻會(huì)議技術(shù)提升，并基于后續(xù)過程中出現(xiàn)的H.323協(xié)議體系促進(jìn)網(wǎng)絡(luò)視頻會(huì)議發(fā)展。21世紀(jì)初始，網(wǎng)絡(luò)視頻會(huì)議方面的發(fā)展逐漸趨于完善，在技術(shù)應(yīng)用方面如德國(guó)的Mikogo、Cisco的WebEX、微軟的Skype等軟件不斷出現(xiàn)，基于互聯(lián)網(wǎng)為商用視頻會(huì)議系統(tǒng)提供新的發(fā)展空間。在此過程中，基于專用硬件的、高清的商用視頻會(huì)議系統(tǒng)逐步得到應(yīng)用與發(fā)展，IPv4專網(wǎng)出現(xiàn)?，F(xiàn)階段，隨著技術(shù)發(fā)展，以IPv6為技術(shù)支持的視頻會(huì)議系統(tǒng)已切實(shí)應(yīng)用在生活中。

2 ? ? 新一代視頻會(huì)議安全關(guān)鍵技術(shù)分析

2.1 ? 基于可信計(jì)算的視頻會(huì)議安全架構(gòu)

現(xiàn)階段，存在一種基于可信計(jì)算的視頻會(huì)議安全架構(gòu)，在此過程中，安全架構(gòu)根據(jù)會(huì)議終端等系統(tǒng)與用戶身份認(rèn)證系統(tǒng)進(jìn)行安全性方面的保障，在視頻會(huì)議開展過程中確保每個(gè)在視頻會(huì)議中存在的合法用戶能夠受到系統(tǒng)保障。在此過程中，安全架構(gòu)首先針對(duì)系統(tǒng)安全方面的信息進(jìn)行研究，隨后結(jié)合實(shí)際過程中的身份認(rèn)證安全性，實(shí)現(xiàn)視頻會(huì)議的安全可信。在此過程中，應(yīng)將TPM模塊嵌入視頻會(huì)議終端結(jié)構(gòu)中，結(jié)合會(huì)議控制中心追加一項(xiàng)安全認(rèn)證服務(wù)。安全認(rèn)證服務(wù)通過終端認(rèn)證服務(wù)器、安全管理服務(wù)器實(shí)現(xiàn)，其中安全管理服務(wù)器中包括用戶注冊(cè)管理服務(wù)器與安全策略服務(wù)器，實(shí)現(xiàn)安全性保障，并具有較為系統(tǒng)化的特點(diǎn)。而會(huì)議控制中心中則對(duì)注冊(cè)服務(wù)器、TPM模塊等內(nèi)容進(jìn)行控制，包括VCE終端中存在的SIP UA方面內(nèi)容。

2.2 ? 雙層認(rèn)證結(jié)構(gòu)

雙層認(rèn)證結(jié)構(gòu)通常被視為一種針對(duì)系統(tǒng)用戶展開安全保障的技術(shù)，而并非針對(duì)系統(tǒng)終端所展開的。根據(jù)實(shí)際過程中的視頻會(huì)議結(jié)構(gòu)為例進(jìn)行研究，安全問題與視頻會(huì)議的雙層認(rèn)證結(jié)構(gòu)有關(guān)，而結(jié)構(gòu)在認(rèn)證過程中包含兩層次的不同認(rèn)證，分為對(duì)終端實(shí)體的認(rèn)證與對(duì)用戶身份的認(rèn)證。第一層認(rèn)證為對(duì)視頻會(huì)議終端實(shí)體的認(rèn)證，如在實(shí)際工作過程中對(duì)參與視頻會(huì)議的終端設(shè)備、相關(guān)軟件進(jìn)行安全性能方面的評(píng)估。相關(guān)軟件包括在終端硬件上安裝的操作系統(tǒng)、備用系統(tǒng)以及正在運(yùn)行或是已經(jīng)安裝、在部分情況下能夠應(yīng)用的應(yīng)用軟件。在評(píng)估過程中，系統(tǒng)以SIP安全策略進(jìn)行評(píng)估，只有符合相關(guān)規(guī)定的終端設(shè)備才能通過認(rèn)證，只有符合SIP安全策略的終端設(shè)備才能通過并應(yīng)用在視頻會(huì)議過程中。這一層的認(rèn)證工作主要在于加強(qiáng)設(shè)備安全，以檢查終端的平臺(tái)配置為主，在寄存器度量值和存儲(chǔ)度量日志過程中，通過檢查此類配置，檢查相關(guān)文件來檢測(cè)系統(tǒng)中是否存在系統(tǒng)漏洞、是否存在錯(cuò)誤配置，進(jìn)而提升安全性，使設(shè)備配置程序、安全性具有較大幫助。就此層認(rèn)證技術(shù)的工作原理而言，在工作過程中，基礎(chǔ)在于以TPM芯片與安全BIOS為授信的起點(diǎn)。在工作過程中，操作系統(tǒng)加載過程中直接將視頻會(huì)議應(yīng)用程序中的信任鏈傳遞模型作為加載過程中的受信渠道，對(duì)VCE終端進(jìn)行完整性測(cè)量，對(duì)實(shí)際進(jìn)行分析與研究。在此過程中，若VCE終端接入通信系統(tǒng)之前未受到木馬病毒攻擊，即代表其具有較為穩(wěn)定的安全性性質(zhì)。

除第一層認(rèn)證以外，第二層認(rèn)證提供對(duì)用戶個(gè)人身份的認(rèn)證，這一認(rèn)證在實(shí)際視頻會(huì)議安全保障過程中起到對(duì)身份認(rèn)證的作用。識(shí)別過程中，系統(tǒng)能夠?qū)τ脩羯矸葸M(jìn)行識(shí)別，判定是否允許其加入視頻會(huì)議。在此過程中，系統(tǒng)對(duì)用戶身份進(jìn)行識(shí)別，對(duì)用戶名、用戶密碼，甚至是USB KEY智能卡對(duì)用戶身份進(jìn)行識(shí)別，近年來更出現(xiàn)以生物特征識(shí)別的手段，如指紋識(shí)別、面部識(shí)別等。以雙層結(jié)構(gòu)中兩側(cè)結(jié)構(gòu)的關(guān)系展開分析，在結(jié)構(gòu)中，兩層認(rèn)證之間的結(jié)合為松耦合結(jié)合模式。就兩層結(jié)構(gòu)的關(guān)系展開分析，首先，為滿足現(xiàn)階段視頻會(huì)議用戶的需求，通過單一賬號(hào)能夠在不同設(shè)備、服務(wù)中進(jìn)行靈活遷移，系統(tǒng)中對(duì)于用戶的用戶名、密碼保存不局限在終端中的TPM內(nèi)測(cè)，TPM與用戶身份并不綁定，視頻會(huì)議終端能夠由不同用戶使用，進(jìn)而根據(jù)服務(wù)展開活動(dòng)。不同用戶的身份根據(jù)用戶名、密碼來識(shí)別，也就是說，只要用戶所使用的終端符合安全評(píng)估，用戶所使用的賬號(hào)符合安全保障，那么用戶既可在不同設(shè)備之間憑借用戶名、密碼進(jìn)行登錄，只要終端安全性能夠得到保障，那么便可實(shí)現(xiàn)不同用戶使用不同設(shè)備。在此過程中需要注意的是，為了保護(hù)終端用戶的隱私，在用戶使用過程中，DAF中對(duì)視頻會(huì)議服務(wù)進(jìn)行認(rèn)證，并且單獨(dú)僅基于用戶身份進(jìn)行認(rèn)證，并不直接對(duì)終端進(jìn)行認(rèn)證，而是通過可信的第三方程序?qū)K端進(jìn)行認(rèn)證，避免視頻會(huì)議服務(wù)中心出現(xiàn)的服務(wù)提供商對(duì)視頻會(huì)議的安全產(chǎn)生影響，滿足用戶對(duì)終端內(nèi)部系統(tǒng)的隱私保護(hù)系統(tǒng)，提升安全性。

3 ? ? 視頻會(huì)議中的信令安全研究

3.1 ? 源地址驗(yàn)證體系架構(gòu)

在源地址驗(yàn)證體系架構(gòu)中，主要以IPv4網(wǎng)絡(luò)為架構(gòu)，近年來以IPv6作為架構(gòu)模式的架構(gòu)建設(shè)目的即對(duì)通過會(huì)議實(shí)體與用戶身份的雙層認(rèn)證，在用戶身份較為合法的基礎(chǔ)上，對(duì)系統(tǒng)本身的安全性進(jìn)行保障，利用數(shù)字簽名，隨后選擇消息認(rèn)證碼提升會(huì)議終端的安全性;使用數(shù)字簽名、消息認(rèn)證碼雙向提升會(huì)議室體與身份認(rèn)證的安全性，提高視頻會(huì)議的安全性。以架構(gòu)方案進(jìn)行分析，在TPM模塊嵌入過程中，視頻會(huì)議終端與視頻會(huì)議控制中心均屬于TPM模塊的主要針對(duì)階段，并基于實(shí)際追加終端認(rèn)證服務(wù)器與安全管理服務(wù)器。以安全管理服務(wù)器為例，其中包括注冊(cè)管理服務(wù)器與安全策略服務(wù)器，會(huì)議控制中心中包括注冊(cè)服務(wù)器與TPM模塊。此外，視頻會(huì)議終端中包括SIP UA與TPM模塊。以此架構(gòu)中的方案進(jìn)行分析，在安全保障過程中，TPM模塊直接匿名證明DAA算法，在EAS與VCE終端結(jié)構(gòu)強(qiáng)化過程中，會(huì)議實(shí)體與平臺(tái)結(jié)構(gòu)的完整性存在進(jìn)一步加強(qiáng)，利用TPM的安全密碼功能，不僅能夠?qū)崿F(xiàn)視頻會(huì)議中的用戶身份認(rèn)證，更保障信令流與媒體流的安全。此外，USB KEY的保障要能對(duì)會(huì)議用戶的個(gè)人身份進(jìn)行認(rèn)證。

3.2 ? SIP安全服務(wù)模型

SIP安全服務(wù)模型是現(xiàn)階段存在的一種以部署源地址進(jìn)行驗(yàn)證的視頻會(huì)議安全關(guān)鍵技術(shù)，屬于一類網(wǎng)絡(luò)基礎(chǔ)設(shè)施。就實(shí)際而言，在此過程中，SIP應(yīng)用能夠提供源地址，營(yíng)造真實(shí)可信的網(wǎng)絡(luò)環(huán)境。在此背景下，基于TNC架構(gòu)所實(shí)現(xiàn)的SIP服務(wù)形式化，在給予源地址信任域的過程中，提出基于真實(shí)地址的SIP安全服務(wù)模型。在當(dāng)前背景下，互聯(lián)網(wǎng)中的SIP服務(wù)不斷升級(jí)，其中，以SAVA結(jié)構(gòu)體系與源地址驗(yàn)證工作結(jié)合定義的新的信任域統(tǒng)稱為源地址信任域。SIP與SATD在源地址信任服務(wù)過程中能夠切實(shí)實(shí)現(xiàn)邏輯關(guān)系，在網(wǎng)絡(luò)層中部應(yīng)用SAV網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使SATD域分為多個(gè)領(lǐng)域，進(jìn)而將SIP應(yīng)用在應(yīng)用層內(nèi)，實(shí)現(xiàn)部署工作。同時(shí)，每個(gè)SATD域中存在一個(gè)穩(wěn)定的源地址信任服務(wù)器。

4 ? ? 結(jié) 語

傳統(tǒng)基于軟件的視頻會(huì)議安全方案容易被盜用、欺騙和入侵，導(dǎo)致安全漏洞和服務(wù)破壞。本文將可信計(jì)算技術(shù)引入視頻會(huì)議安全方案中，提出了一種基于可信計(jì)算的視頻會(huì)議安全架構(gòu)。方案利用可信平臺(tái)模塊和USB Key智能卡以及數(shù)字簽名、消息認(rèn)證和直接匿名證明等方法，提高了視頻會(huì)議系統(tǒng)的安全性。

主要參考文獻(xiàn)

[1]張繼懷.基于IPv6的視頻會(huì)議系統(tǒng)中安全的關(guān)鍵技術(shù)的研究[J].民營(yíng)科技，2017（5）.

[2]李仁智.新一代視頻會(huì)議安全關(guān)鍵技術(shù)探討[J].數(shù)字通信世界，2017（8）.

[3]谷冬春.新一代視頻會(huì)議管理系統(tǒng)集成平臺(tái)的應(yīng)用[J].佳木斯職業(yè)學(xué)院學(xué)報(bào)，2018（5）.