通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn).doc_第1頁
通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn).doc_第2頁
通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn).doc_第3頁
通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn).doc_第4頁
通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn).doc_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

通信學(xué)論文-從企業(yè)需求看視頻系統(tǒng)安全機(jī)制的實(shí)現(xiàn)隨著市場對多媒體通信的需求日趨強(qiáng)烈,視頻會(huì)議系統(tǒng)作為多媒體通信系統(tǒng)之一在國內(nèi)的應(yīng)用也越來越廣泛,日趨成為人們關(guān)注的熱點(diǎn)。除了政府部門以外,部隊(duì)、公檢法、水利、石油、電信通訊、廣播電視和企業(yè)用戶也都開始廣泛應(yīng)用視頻會(huì)議系統(tǒng)。伴隨著視頻會(huì)議系統(tǒng)的建設(shè)高潮的來臨,其安全問題也更加困擾業(yè)界。其實(shí),中國在建設(shè)第一個(gè)會(huì)議電視網(wǎng)的時(shí)候,就已經(jīng)提出了視頻會(huì)議系統(tǒng)的安全保障的問題。從去年開始,個(gè)別廠商的視頻會(huì)議系統(tǒng)安全性問題不斷暴光,也令各種客戶更加重視系統(tǒng)的安全問題。這個(gè)問題為什么這么重要呢?試想,如果視頻會(huì)議系統(tǒng)在安全方面出現(xiàn)問題,有黑客或者是非授權(quán)的用戶非法加入到會(huì)議中,則意味著惡意攻擊者可以輕易取得管理者的權(quán)限,竊取管理者的口令,控制會(huì)議,監(jiān)聽會(huì)議內(nèi)容,甚至把會(huì)議的內(nèi)容錄下來,在網(wǎng)上公開散播,后果不堪設(shè)想!所以安全問題會(huì)議電視是一個(gè)非常重要方面。要確保視頻會(huì)議系統(tǒng)的安全,需要保護(hù)哪些信息呢?首先,要能保證會(huì)議的隱私性,會(huì)議除了合法的與會(huì)者外,其他人是應(yīng)該無法看到和了解的。第二,要保證會(huì)議的真實(shí)性,保證會(huì)議的內(nèi)容不被篡改。第三,要確保非法的用戶不能加入到會(huì)議里面。第四,與會(huì)者或者會(huì)議中間發(fā)生的行為,是一個(gè)確認(rèn)的行為,是不能否認(rèn)的。下面主要從應(yīng)用層安全機(jī)制、網(wǎng)絡(luò)層安全機(jī)制和用戶實(shí)際應(yīng)用的安全措施三個(gè)角度來詮釋如何為企業(yè)用戶的視頻會(huì)議系統(tǒng)提供安全保證機(jī)制。應(yīng)用層安全問題解決方案基于IP網(wǎng)絡(luò)的視頻會(huì)議系統(tǒng)采用H.323標(biāo)準(zhǔn)??偟膩碇v,H.323的安全性是一個(gè)復(fù)雜的問題,它不僅包括對音頻、視頻或數(shù)據(jù)流本身的保護(hù),還必須包括對Q.931(用于呼叫建立)、H.245(用于呼叫管理)及網(wǎng)閘RAS(Registration/Admission/Status)的保護(hù),以防止呼叫控制協(xié)議受到破壞。這里,安全保證主要采用與安全機(jī)制相關(guān)的H.235協(xié)議中規(guī)定的機(jī)制來實(shí)現(xiàn),主要有:身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)加密和用戶費(fèi)用證實(shí)機(jī)制(non-repudiation)。身份認(rèn)證用于確定終端用戶的身份,是H.323視頻會(huì)議系統(tǒng)安全體制中最為重要的環(huán)節(jié),如果沒有它,任何一個(gè)用戶都可以冒充合法用戶進(jìn)入網(wǎng)絡(luò)。只有在被確認(rèn)身份之后,才能夠提供進(jìn)一步的安全保證。數(shù)據(jù)完整性用于證實(shí)一個(gè)數(shù)據(jù)包有效數(shù)據(jù)的完整性,從而保證在兩個(gè)端點(diǎn)之間進(jìn)行呼叫過程中的有效數(shù)據(jù)不被修改或損壞。數(shù)據(jù)完整性利用加密機(jī)制來保證數(shù)據(jù)包的完整,在這種方法中,只需要將校驗(yàn)數(shù)據(jù)加密,而有效數(shù)據(jù)不必加密,從而減少了每個(gè)數(shù)據(jù)包對加密處理的要求。確保了數(shù)據(jù)的完整性之后,在用戶允許的情況下,還可以采用數(shù)據(jù)加解密技術(shù)來避免數(shù)據(jù)的被竊聽。數(shù)據(jù)的加密級(jí)別最終取決于企業(yè)用戶的要求和國家法律的限制。用戶費(fèi)用證實(shí)機(jī)制用于防止某些用戶否認(rèn)他們曾參與某一個(gè)呼叫。但是,就一般情況來說,該機(jī)制更多的應(yīng)用于電信運(yùn)營商,因?yàn)樗麄冃枰环N途徑來準(zhǔn)確估算服務(wù)所需的費(fèi)用,并證實(shí)這些費(fèi)用的確用于用戶的呼叫。對企業(yè)用戶而言,可以不必實(shí)施用戶費(fèi)用證實(shí)機(jī)制。網(wǎng)絡(luò)層安全機(jī)制目前,企業(yè)用戶組建的視頻會(huì)議系統(tǒng)多是基于IP網(wǎng)絡(luò)的,針對這種情況,還可以充分利用網(wǎng)絡(luò)層現(xiàn)有的IPSec協(xié)議,提出網(wǎng)絡(luò)層的安全解決機(jī)制。正如大家所知,IP層安全性協(xié)議IPSec提供了面向連接的TCP和面向非連接的用戶數(shù)據(jù)協(xié)議兩種安全性服務(wù),而且使整個(gè)網(wǎng)絡(luò)線路上的路由器可以分擔(dān)加解密所帶來的負(fù)荷,從而減輕終端的負(fù)荷。利用IPSec協(xié)議的這種特點(diǎn),可在視頻會(huì)議終端設(shè)備中增加用于支持IPSec協(xié)議的iSec智能安全模塊,這樣企業(yè)用戶就可以防止各種人為的或網(wǎng)絡(luò)病毒帶來的各種惡意攻擊和篡改,保持傳輸過程的數(shù)據(jù)完整性。此外,如果不增加iSec智能安全模塊,產(chǎn)品的開放性也可為用戶輕松提供IP層安全防護(hù)措施。例如,在產(chǎn)品中安裝英特爾的PRO/100S網(wǎng)卡,該網(wǎng)卡能直接提供IPSec(互聯(lián)網(wǎng)協(xié)議安全)加密能力,從而實(shí)現(xiàn):用戶的身份驗(yàn)證,防止未經(jīng)授權(quán)的數(shù)據(jù)訪問;防止惡意的攻擊和篡改,保持傳輸過程的數(shù)據(jù)完整性;數(shù)據(jù)包加密,確保數(shù)據(jù)的機(jī)密性。可以說,直接利用網(wǎng)卡實(shí)現(xiàn)IP層安全的措施,是一種獨(dú)特的開放平臺(tái)終端設(shè)備安全措施。用戶實(shí)際應(yīng)用安全措施除了上述兩種安全機(jī)制以外,還可針對企業(yè)用戶的不同應(yīng)用需求和網(wǎng)絡(luò)現(xiàn)狀,為企業(yè)用戶的視頻會(huì)議系統(tǒng)提供如下幾種安全防護(hù)措施或安全問題解決方案。首先,基于開放平臺(tái)的設(shè)計(jì),使視頻會(huì)議系統(tǒng)能充分利用Windows操作系統(tǒng)等外部機(jī)制來加密數(shù)據(jù)包。用戶可以在Windows操作系統(tǒng)中直接設(shè)置、選擇TLS/SSL,提供TCP面向連接的安全性服務(wù),在應(yīng)用程序之下,實(shí)現(xiàn)對用戶透明的加密。這種安全防護(hù)能充分利用企業(yè)用戶已有的操作系統(tǒng)資源,給用戶帶來極大的方便。其次,視頻會(huì)議終端設(shè)備中內(nèi)置“NATTraversal”模塊,使H.323(IP)呼叫順利穿越防火墻。對于已經(jīng)具有企業(yè)防火墻的用戶來說,就可以直接利用已有的安全系統(tǒng),不必重復(fù)投資,從而充分保護(hù)企業(yè)用戶的投資。第三,考慮到防火墻是一種有效的網(wǎng)絡(luò)安全機(jī)制,它能在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范,其不但可以實(shí)現(xiàn)基于網(wǎng)絡(luò)訪問的安全控制,還可對網(wǎng)絡(luò)上流動(dòng)的信息內(nèi)容本身進(jìn)行安全處理,對通過網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析、處理、限制,從而有效的保護(hù)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)。針對還沒有采用防火墻的用戶,可以為其推薦一種被叫做ALGFirewall防火墻的應(yīng)用層網(wǎng)關(guān)。目前主要的防火墻廠商,如Cisco,Checkpoint,Gauntlet都對他們的防火墻產(chǎn)品提供H.323ALG升級(jí)功能。企業(yè)用戶可以通過安裝ALGFirewall,實(shí)現(xiàn)視頻會(huì)議系統(tǒng)訪問的安全控制。第四,VPN技術(shù)作為當(dāng)前在IP網(wǎng)絡(luò)上提供安全通訊的方法之一,在為企業(yè)用戶組建視頻會(huì)議系統(tǒng)時(shí),還可以設(shè)計(jì)使用VPN技術(shù),讓各節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)均通過底層加密,并且通過專用的隧道路由傳輸,這樣就能有效隔絕來自外部網(wǎng)絡(luò)的攻擊,并且可以杜絕信息在傳輸過程中可能的泄漏情況。第五,對于目前不允許使用由國外廠商提供的在H.235協(xié)議中規(guī)定的DES等加密算法的企業(yè)而言,可為這部分用戶提供國家指定的加密設(shè)備,將其外接在終端設(shè)備上,實(shí)現(xiàn)數(shù)據(jù)的保密性和完整性。例如,可以外接IP協(xié)議密碼機(jī)實(shí)現(xiàn)因特網(wǎng)或企業(yè)網(wǎng)的數(shù)據(jù)加密傳輸;或者外接線路密碼機(jī)在分組層、數(shù)據(jù)鏈路層對傳輸?shù)臄?shù)據(jù)實(shí)現(xiàn)加解密功能和身份認(rèn)證功能,抵御來自外部公網(wǎng)的攻擊。產(chǎn)品提供的加密機(jī)的配合接口,與國內(nèi)批準(zhǔn)的幾家加密設(shè)備制造商的產(chǎn)品經(jīng)過了嚴(yán)格的測試,證明雙方產(chǎn)品在配合上是完善的,并在我國全國會(huì)議電視骨干網(wǎng)上一直安全地使用至今。第六

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論