基于ACE框架的視頻會議系統(tǒng)中安全技術(shù)研究

摘要:該文主要分析了視頻會議系統(tǒng)中安全方面存在的問題，對于防火墻穿越，視頻加密進行了較為詳細的剖析，同時給出了解決的思路。

關(guān)鍵詞:安全套接層;安全超文本傳輸協(xié)議;防火墻; 自適配通信框架

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7501-02

The Research of Safety in Video-Meeting System Based on ACE

DUAN Ying1， JIANG Chun-mao2

(1.Department of Computer， Harbin Commerce School， harbin 150300， China; 2.Department of Computer， Harbin Normal University， harbin 150300， China)

Abstract: This article analysis the safety problem in the video-meeting system， include the Firewall Translation，encry in video，and give a thoughtmethod for this base on ACE.

Key words: SSL;HTTPS; firewall; ACE

視頻會議系統(tǒng)是指通過現(xiàn)有的各種通訊傳輸媒體，將人物的靜態(tài)圖像、動態(tài)圖像、語音、文字、圖片等多種信息分送到各個用戶的計算機上，使得在地理上分散的用戶可以共聚一處，通過圖形、聲音等多種方式交流信息，增加雙方對內(nèi)容的理解能力 。它的主要優(yōu)勢是節(jié)約高額的會議費用。當前的視頻會議系統(tǒng)按實現(xiàn)方式方式又大致有兩類:

1) 要部分或全部依靠專有硬件設施實現(xiàn)的視頻會議系統(tǒng)。

2) 純軟件實現(xiàn)的視頻會議系統(tǒng)。

ACE作為一種自適應的框架，使用以來非常受到大家的歡迎，在其中對于安全方面也進行了部分的定義，但是效果在實際應用中并不是很理想。

1 視頻會議系統(tǒng)安全問題

1.1 防火墻穿越

由于視頻會議系統(tǒng)的市場需求以企業(yè)需求為主，企業(yè)幾乎都裝有防火墻，視頻會議與會者如果在防火墻之后，一般防火墻只會打開80端口允許HTTP協(xié)議通過，這時如果視頻會議應用服務器沒有穿透防火墻的能力，視頻應用服務器所傳輸?shù)木W(wǎng)絡信息將無法穿過防火墻，也就無法與客戶端(與會者)聯(lián)系，同理音頻/視頻信號也無法送達，會議將無法進行;所以實現(xiàn)穿越防火墻使位于Internet上不同位置的用戶開會，是運行于IP公網(wǎng)的視頻會議系統(tǒng)的一個產(chǎn)品性能水平的重要衡量指標。

1.2 視頻加密

視頻會議系統(tǒng)在解決不同地理位置可以無障礙的開會溝通的問題，為企業(yè)節(jié)省大量的資金的同時。在IP公網(wǎng)上會議的相關(guān)信息的保密性能，也成為每個使用視頻會議的人很關(guān)心的問題，這也就是系統(tǒng)的加密問題。視頻應用服務器要完成很多網(wǎng)絡傳輸功能及會議處理功能等，加密是視頻應用服務器的重要組成部分。加密的同時也會造成系統(tǒng)效率的下降，怎樣做才既能保證了系統(tǒng)的安全又能保證系統(tǒng)的性能較高。

1.3 網(wǎng)絡地址轉(zhuǎn)換穿越

視頻會議系統(tǒng)運行與IP公網(wǎng)，有大量信息要在視頻應用服務器和企業(yè)內(nèi)網(wǎng)的用戶之間通過Internet(互聯(lián)網(wǎng))上進行傳輸，不同內(nèi)網(wǎng)(互聯(lián)網(wǎng))上的用戶彼此連通主要要靠服務器的中轉(zhuǎn)，這樣當用戶上線人數(shù)超過一定限制，系統(tǒng)性能急劇下降，而且有一些視頻/音頻信息也無法傳到內(nèi)網(wǎng)中那些沒有公網(wǎng)IP的客戶端，這就使NAT(Network Address Translation)穿越能力也成為視頻會議應用服務器的技術(shù)指標之一。

通過圖1我們可以看出目前的基于ACE的視頻會議系統(tǒng)面臨的安全問題。

2 視頻會議系統(tǒng)安全解決方案

2.1 解決防火墻穿越的思路

防火墻技術(shù)作為保護Internet/Intranet安全最常用的技術(shù)之一，防火墻(Firewalls)是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互邊防，比如路由器、網(wǎng)關(guān)等，它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按一定的安全策略對其進行檢查，來決定網(wǎng)絡之間的通信是否被允許，它能有地控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳送，從而達到保護內(nèi)部網(wǎng)絡信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。

常見的穿越方式有利用ALG Firewall(Application Level Gateway)是被設計能識別指定IP協(xié)議(象H.323和SIP協(xié)議)的防火墻，也被叫做應用層網(wǎng)關(guān)。它通過更深層的分析數(shù)據(jù)包負載內(nèi)的數(shù)據(jù)，也就是應用層的數(shù)據(jù)。通過分析來決定哪一個端口需要打開，防火墻動態(tài)地打開那些被應用的端口，而所有別的端口依然安全地保持關(guān)閉狀態(tài)。缺點是每當有一種新的協(xié)議要通過需要重新升級Firewall，加大了成本。

還有一種常用的隧道穿透解決方案，它是利用隧道技術(shù)來實現(xiàn)防火墻的穿越。所謂的隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡的基礎(chǔ)設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。它是VPN的具體實現(xiàn)方式。使用隧道傳遞的數(shù)據(jù)或負載可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將在發(fā)送端將一種協(xié)議(被承載數(shù)據(jù))的數(shù)據(jù)幀重新封裝到另外的一種協(xié)議(承載協(xié)議)的負載中，然后進行發(fā)送。在新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負載數(shù)據(jù)，而接收方從承載的協(xié)議中將被承載的數(shù)據(jù)還原。這種方式實現(xiàn)優(yōu)點是防火墻無需改動。

視頻會議針對的低端客戶所用防火墻特點，并且視頻會議的用戶不希望更改防火墻設置或設施。采用Http 隧道穿越。實現(xiàn)思想如圖2所示。

客戶機A1至A10，客戶機B1均是視頻會議系統(tǒng)中會議客戶端，其中的服務器為視頻會議服務器。當前客戶機A1要給客戶機B1發(fā)送會議控制信息。

1)客戶端A1發(fā)現(xiàn)有會議登錄信息(會議控制信息)要發(fā)送，就與視頻會議應用服務器建立Http隧道1。

詳細過程如下:客戶端1發(fā)現(xiàn)有會議控制信息要發(fā)送就建立Http 隧道客戶端，申請連接Http隧道服務器端，隧道服務器端(在視頻會議應用服務器中)響應客戶端請求，Http隧道1建立(從客戶機A1到視頻會議應用服務器)。

2)同時隧道服務器輪詢是否有其它隧道客戶端請求，發(fā)現(xiàn)客戶端B1要登陸服務器申請建立Http隧道，建立客戶機B1到視頻應用服務器的隧道2。

3)客戶端要每隔一定時間往各隧道發(fā)送系統(tǒng)消息，以保證隧道有效。

4)客戶端A1發(fā)現(xiàn)新控制信息要傳遞，檢查隧道1是否連接，如斷開重新建立隧道;

5)客戶端A1封裝數(shù)據(jù)，包裝成Http格式，通過隧道1傳送到視頻應用服務器。

6)視頻應用服務器分析包地址，如果是發(fā)給視頻應用服務器的，按客戶端A1封包規(guī)則拆包，做出響應，將響應信息再按Http 格式封包，通過隧道再傳回給客戶A1。

7)如果視頻應用服務器分析包地址，如果是發(fā)給客戶機B1的通過隧道2直接轉(zhuǎn)發(fā)給客戶端B1。

8)客戶端B1拆包，處理發(fā)響應消息，將此消息包裝成Http 格式，檢查隧道情況，通過隧道2到服務器再通過隧道1發(fā)回給客戶A1。

2.2視頻會議系統(tǒng)加密

在視頻會議系統(tǒng)通過建立HTTP隧道實現(xiàn)防火墻的穿越后，由于HTTP以明文方式傳送信息，此信息很容易被截獲，對系統(tǒng)的安全威脅較大。同時視頻會議應用服務器在傳遞一些重要數(shù)據(jù)時也需要保證數(shù)據(jù)的安全，因此加密和解密是系統(tǒng)的一個重要部分。

現(xiàn)在比較常見的加密方式是運用SSL(Secure Sockets Layer)就是安全套接層協(xié)議層實現(xiàn)加密的安全通道，SSL 協(xié)議指定了一種在應用程序協(xié)議(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證 。

如果在視頻會議系統(tǒng)中運用上面這種安全協(xié)議，同時還要實現(xiàn)防火墻穿越，那就是實現(xiàn)HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議，它是一個安全通信通道，它基于HTTP開發(fā)，用于在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換，簡單來說它是HTTP的安全版。但它的缺點是首先單申請就是建立HTTPS隧道交換密鑰、確定加密算法就得要六、七個來回，然后每次響應和前求都要進行加密解密。造成其反應速度只相當于HTTP的40%左右。

針對這種情況，而且視頻應用服務器上傳輸?shù)臄?shù)據(jù)以控制命令為多，沒必要這樣加密，所以采用輕量級的加密方法。視頻會議的信息傳遞速度應該較快，否則會影響會議質(zhì)量，針對這種情況。選用對稱加密與消息摘要相結(jié)合的方式加密。

在基于IP公網(wǎng)的視頻會議系統(tǒng)中為了減輕服務器的壓力，很重要性能就是能實現(xiàn)客戶機間直連，減輕帶寬壓力，提高系統(tǒng)速度。

視頻應用服務器為視頻會議系統(tǒng)得一部分，在視頻應用服務器負責與客戶機間完成信息傳遞，為了減輕服務器壓力，將有UDP協(xié)議傳出的會議信息實現(xiàn)客戶間直連直傳。

視頻會議應用服務器希望傳遞的會議信息(如即時會議談話內(nèi)容，被客戶間傳遞的文件等)能實現(xiàn)客戶間的直連傳遞;減輕服務器的壓力。

根據(jù)視頻會議系統(tǒng)得要求，希望使用視頻會議系統(tǒng)得用戶不用改變現(xiàn)有的防火墻/NAT設置，就能在IP公網(wǎng)上使用視頻會議系統(tǒng)，所以采用STUN方式實現(xiàn)穿越。

3 結(jié)束語

視頻會議系統(tǒng)的安全問題目前是研究的熱點問題，還有諸如雙向視頻穿越等問題沒有得到很好的解決，期待進一步的研究和實踐。另外對于開源的框架ACE的使用，基于此的開發(fā)都是一個非常好的研究主題，期待進一步的研究。

參考文獻:

[1] 王粉花，王莉，梁瑜.視頻會議系統(tǒng)在LAN中的實現(xiàn)[J].微機發(fā)展，2004，14(1):2-5.

[2] Li X，Ammar M H，Paul S. Video multicast over the internetJ[J].IEEE Network，1999(13):32-36.

[3] 柯飛帆，寧宣熙.Linux中構(gòu)造基于ACE的安全高效通信平臺[J].計算機技術(shù)與發(fā)展，2006，(4):2-4.