從企業需求看視頻系統安全機制的實現
http://www.dcyhziu.cn 2007/6/5 源自:中華職工學習網 【字體:
】
】
隨著市場對多媒體通信的需求日趨強烈,視頻會議系統作為多媒體通信系統之一在國內的應用也越來越廣泛,日趨成為人們關注的熱點。除了政府部門以外,部隊、公檢法、水利、石油、電信通訊、廣播電視和企業用戶也都開始廣泛應用視頻會議系統。
伴隨著視頻會議系統的建設高潮的來臨,其安全問題也更加困擾業界。其實,中國在建設第一個會議電視網的時候,就已經提出了視頻會議系統的安全保障的問題。從去年開始,個別廠商的視頻會議系統安全性問題不斷暴光,也令各種客戶更加重視系統的安全問題。
這個問題為什么這么重要呢?試想,如果視頻會議系統在安全方面出現問題,有黑客或者是非授權的用戶非法加入到會議中,則意味著惡意攻擊者可以輕易取得管理者的權限,竊取管理者的口令,控制會議,監聽會議內容,甚至把會議的內容錄下來,在網上公開散播,后果不堪設想!所以安全問題會議電視是一個非常重要方面。
要確保視頻會議系統的安全,需要保護哪些信息呢?首先,要能保證會議的隱私性,會議除了合法的與會者外,其他人是應該無法看到和了解的。第二,要保證會議的真實性,保證會議的內容不被篡改。第三,要確保非法的用戶不能加入到會議里面。第四,與會者或者會議中間發生的行為,是一個確認的行為,是不能否認的。
下面主要從應用層安全機制、網絡層安全機制和用戶實際應用的安全措施三個角度來詮釋如何為企業用戶的視頻會議系統提供安全保證機制。
應用層安全問題解決方案
基于IP網絡的視頻會議系統采用H.323標準。總的來講,H.323的安全性是一個復雜的問題,它不僅包括對音頻、視頻或數據流本身的保護,還必須包括對Q.931(用于呼叫建立)、H.245(用于呼叫管理)及網閘RAS(Registration/Admission/Status)的保護,以防止呼叫控制協議受到破壞。
這里,安全保證主要采用與安全機制相關的H.235協議中規定的機制來實現,主要有:身份認證、數據完整性、數據加密和用戶費用證實機制(non-repudiation)。
身份認證用于確定終端用戶的身份,是H.323視頻會議系統安全體制中最為重要的環節,如果沒有它,任何一個用戶都可以冒充合法用戶進入網絡。只有在被確認身份之后,才能夠提供進一步的安全保證。
數據完整性用于證實一個數據包有效數據的完整性,從而保證在兩個端點之間進行呼叫過程中的有效數據不被修改或損壞。數據完整性利用加密機制來保證數據包的完整,在這種方法中,只需要將校驗數據加密,而有效數據不必加密,從而減少了每個數據包對加密處理的要求。
確保了數據的完整性之后,在用戶允許的情況下,還可以采用數據加解密技術來避免數據的被竊聽。數據的加密級別最終取決于企業用戶的要求和國家法律的限制。
用戶費用證實機制用于防止某些用戶否認他們曾參與某一個呼叫。但是,就一般情況來說,該機制更多的應用于電信運營商,因為他們需要一種途徑來準確估算服務所需的費用,并證實這些費用的確用于用戶的呼叫。對企業用戶而言,可以不必實施用戶費用證實機制。
網絡層安全機制
目前,企業用戶組建的視頻會議系統多是基于IP網絡的,針對這種情況,還可以充分利用網絡層現有的IPSec協議,提出網絡層的安全解決機制。
正如大家所知,IP層安全性協議IPSec提供了面向連接的TCP和面向非連接的用戶數據協議兩種安全性服務,而且使整個網絡線路上的路由器可以分擔加解密所帶來的負荷,從而減輕終端的負荷。利用IPSec協議的這種特點,可在視頻會議終端設備中增加用于支持IPSec協議的iSec智能安全模塊,這樣企業用戶就可以防止各種人為的或網絡病毒帶來的各種惡意攻擊和篡改,保持傳輸過程的數據完整性。
此外,如果不增加iSec智能安全模塊,產品的開放性也可為用戶輕松提供IP層安全防護措施。例如,在產品中安裝英特爾的 PRO/100 S 網卡,該網卡能直接提供IPSec(互聯網協議安全)加密能力,從而實現:用戶的身份驗證,防止未經授權的數據訪問;防止惡意的攻擊和篡改,保持傳輸過程的數據完整性;數據包加密,確保數據的機密性。可以說,直接利用網卡實現IP層安全的措施,是一種獨特的開放平臺終端設備安全措施。
用戶實際應用安全措施
除了上述兩種安全機制以外,還可針對企業用戶的不同應用需求和網絡現狀,為企業用戶的視頻會議系統提供如下幾種安全防護措施或安全問題解決方案。
首先,基于開放平臺的設計,使視頻會議系統能充分利用Windows操作系統等外部機制來加密數據包。用戶可以在Windows操作系統中直接設置、選擇TLS/ SSL,提供TCP面向連接的安全性服務,在應用程序之下,實現對用戶透明的加密。這種安全防護能充分利用企業用戶已有的操作系統資源,給用戶帶來極大的方便。
其次,視頻會議終端設備中內置 “NAT Traversal”模塊,使H.323(IP)呼叫順利穿越防火墻。對于已經具有企業防火墻的用戶來說,就可以直接利用已有的安全系統,不必重復投資,從而充分保護企業用戶的投資。
第三,考慮到防火墻是一種有效的網絡安全機制,它能在企業內部網與外部網之間實施安全防范,其不但可以實現基于網絡訪問的安全控制,還可對網絡上流動的信息內容本身進行安全處理,對通過網絡的數據進行分析、處理、限制,從而有效的保護網絡內部的數據。針對還沒有采用防火墻的用戶,可以為其推薦一種被叫做ALG Firewall防火墻的應用層網關。目前主要的防火墻廠商,如Cisco, Checkpoint, Gauntlet都對他們的防火墻產品提供H.323 ALG升級功能。企業用戶可以通過安裝ALG Firewall,實現視頻會議系統訪問的安全控制。
第四,VPN技術作為當前在IP網絡上提供安全通訊的方法之一,在為企業用戶組建視頻會議系統時,還可以設計使用VPN技術,讓各節點間傳輸的數據均通過底層加密,并且通過專用的隧道路由傳輸,這樣就能有效隔絕來自外部網絡的攻擊,并且可以杜絕信息在傳輸過程中可能的泄漏情況。
第五,對于目前不允許使用由國外廠商提供的在H.235協議中規定的DES等加密算法的企業而言,可為這部分用戶提供國家指定的加密設備,將其外接在終端設備上,實現數據的保密性和完整性。例如,可以外接IP協議密碼機實現因特網或企業網的數據加密傳輸;或者外接線路密碼機在分組層、數據鏈路層對傳輸的數據實現加解密功能和身份認證功能,抵御來自外部公網的攻擊。產品提供的加密機的配合接口,與國內批準的幾家加密設備制造商的產品經過了嚴格的測試,證明雙方產品在配合上是完善的,并在我國全國會議電視骨干網上一直安全地使用至今。
第六,由于產品基于開放平臺的產品特性,允許用戶自己在需要的時候,隨時安裝、更新防病毒軟件、安裝反掃描軟件。所以,它能抵御目前計算機病毒的危害和Internet上的端口攻擊,使用戶始終能及時預防Internet上的各種病毒攻擊、監視攻擊者的惡意掃描,從而有效的保證系統不被病毒惡意的攻擊。
伴隨著視頻會議系統的建設高潮的來臨,其安全問題也更加困擾業界。其實,中國在建設第一個會議電視網的時候,就已經提出了視頻會議系統的安全保障的問題。從去年開始,個別廠商的視頻會議系統安全性問題不斷暴光,也令各種客戶更加重視系統的安全問題。
這個問題為什么這么重要呢?試想,如果視頻會議系統在安全方面出現問題,有黑客或者是非授權的用戶非法加入到會議中,則意味著惡意攻擊者可以輕易取得管理者的權限,竊取管理者的口令,控制會議,監聽會議內容,甚至把會議的內容錄下來,在網上公開散播,后果不堪設想!所以安全問題會議電視是一個非常重要方面。
要確保視頻會議系統的安全,需要保護哪些信息呢?首先,要能保證會議的隱私性,會議除了合法的與會者外,其他人是應該無法看到和了解的。第二,要保證會議的真實性,保證會議的內容不被篡改。第三,要確保非法的用戶不能加入到會議里面。第四,與會者或者會議中間發生的行為,是一個確認的行為,是不能否認的。
下面主要從應用層安全機制、網絡層安全機制和用戶實際應用的安全措施三個角度來詮釋如何為企業用戶的視頻會議系統提供安全保證機制。
應用層安全問題解決方案
基于IP網絡的視頻會議系統采用H.323標準。總的來講,H.323的安全性是一個復雜的問題,它不僅包括對音頻、視頻或數據流本身的保護,還必須包括對Q.931(用于呼叫建立)、H.245(用于呼叫管理)及網閘RAS(Registration/Admission/Status)的保護,以防止呼叫控制協議受到破壞。
這里,安全保證主要采用與安全機制相關的H.235協議中規定的機制來實現,主要有:身份認證、數據完整性、數據加密和用戶費用證實機制(non-repudiation)。
身份認證用于確定終端用戶的身份,是H.323視頻會議系統安全體制中最為重要的環節,如果沒有它,任何一個用戶都可以冒充合法用戶進入網絡。只有在被確認身份之后,才能夠提供進一步的安全保證。
數據完整性用于證實一個數據包有效數據的完整性,從而保證在兩個端點之間進行呼叫過程中的有效數據不被修改或損壞。數據完整性利用加密機制來保證數據包的完整,在這種方法中,只需要將校驗數據加密,而有效數據不必加密,從而減少了每個數據包對加密處理的要求。
確保了數據的完整性之后,在用戶允許的情況下,還可以采用數據加解密技術來避免數據的被竊聽。數據的加密級別最終取決于企業用戶的要求和國家法律的限制。
用戶費用證實機制用于防止某些用戶否認他們曾參與某一個呼叫。但是,就一般情況來說,該機制更多的應用于電信運營商,因為他們需要一種途徑來準確估算服務所需的費用,并證實這些費用的確用于用戶的呼叫。對企業用戶而言,可以不必實施用戶費用證實機制。
網絡層安全機制
目前,企業用戶組建的視頻會議系統多是基于IP網絡的,針對這種情況,還可以充分利用網絡層現有的IPSec協議,提出網絡層的安全解決機制。
正如大家所知,IP層安全性協議IPSec提供了面向連接的TCP和面向非連接的用戶數據協議兩種安全性服務,而且使整個網絡線路上的路由器可以分擔加解密所帶來的負荷,從而減輕終端的負荷。利用IPSec協議的這種特點,可在視頻會議終端設備中增加用于支持IPSec協議的iSec智能安全模塊,這樣企業用戶就可以防止各種人為的或網絡病毒帶來的各種惡意攻擊和篡改,保持傳輸過程的數據完整性。
此外,如果不增加iSec智能安全模塊,產品的開放性也可為用戶輕松提供IP層安全防護措施。例如,在產品中安裝英特爾的 PRO/100 S 網卡,該網卡能直接提供IPSec(互聯網協議安全)加密能力,從而實現:用戶的身份驗證,防止未經授權的數據訪問;防止惡意的攻擊和篡改,保持傳輸過程的數據完整性;數據包加密,確保數據的機密性。可以說,直接利用網卡實現IP層安全的措施,是一種獨特的開放平臺終端設備安全措施。
用戶實際應用安全措施
除了上述兩種安全機制以外,還可針對企業用戶的不同應用需求和網絡現狀,為企業用戶的視頻會議系統提供如下幾種安全防護措施或安全問題解決方案。
首先,基于開放平臺的設計,使視頻會議系統能充分利用Windows操作系統等外部機制來加密數據包。用戶可以在Windows操作系統中直接設置、選擇TLS/ SSL,提供TCP面向連接的安全性服務,在應用程序之下,實現對用戶透明的加密。這種安全防護能充分利用企業用戶已有的操作系統資源,給用戶帶來極大的方便。
其次,視頻會議終端設備中內置 “NAT Traversal”模塊,使H.323(IP)呼叫順利穿越防火墻。對于已經具有企業防火墻的用戶來說,就可以直接利用已有的安全系統,不必重復投資,從而充分保護企業用戶的投資。
第三,考慮到防火墻是一種有效的網絡安全機制,它能在企業內部網與外部網之間實施安全防范,其不但可以實現基于網絡訪問的安全控制,還可對網絡上流動的信息內容本身進行安全處理,對通過網絡的數據進行分析、處理、限制,從而有效的保護網絡內部的數據。針對還沒有采用防火墻的用戶,可以為其推薦一種被叫做ALG Firewall防火墻的應用層網關。目前主要的防火墻廠商,如Cisco, Checkpoint, Gauntlet都對他們的防火墻產品提供H.323 ALG升級功能。企業用戶可以通過安裝ALG Firewall,實現視頻會議系統訪問的安全控制。
第四,VPN技術作為當前在IP網絡上提供安全通訊的方法之一,在為企業用戶組建視頻會議系統時,還可以設計使用VPN技術,讓各節點間傳輸的數據均通過底層加密,并且通過專用的隧道路由傳輸,這樣就能有效隔絕來自外部網絡的攻擊,并且可以杜絕信息在傳輸過程中可能的泄漏情況。
第五,對于目前不允許使用由國外廠商提供的在H.235協議中規定的DES等加密算法的企業而言,可為這部分用戶提供國家指定的加密設備,將其外接在終端設備上,實現數據的保密性和完整性。例如,可以外接IP協議密碼機實現因特網或企業網的數據加密傳輸;或者外接線路密碼機在分組層、數據鏈路層對傳輸的數據實現加解密功能和身份認證功能,抵御來自外部公網的攻擊。產品提供的加密機的配合接口,與國內批準的幾家加密設備制造商的產品經過了嚴格的測試,證明雙方產品在配合上是完善的,并在我國全國會議電視骨干網上一直安全地使用至今。
第六,由于產品基于開放平臺的產品特性,允許用戶自己在需要的時候,隨時安裝、更新防病毒軟件、安裝反掃描軟件。所以,它能抵御目前計算機病毒的危害和Internet上的端口攻擊,使用戶始終能及時預防Internet上的各種病毒攻擊、監視攻擊者的惡意掃描,從而有效的保證系統不被病毒惡意的攻擊。
|
|
相關鏈接
|
|