基于VR 的網絡視頻會議通信安全研究*

劉邦桂

（廣東開放大學人工智能學院，廣東 廣州 510091）

1 研究背景

隨著虛擬現實（Virtual Reality，VR）技術[1]以及網絡技術的發展，基于VR 的網絡視頻會議越來越普及和重要，逐漸成為跨國、跨省、跨市等企業線上會議的一種主要形式。參會者佩戴專用VR 眼鏡就能參與虛擬現實會議，這是與普通線上網絡語音會議有較大區別的一種會議新形式，這種會議形式非常接近現實，既真實又生動。如何通過研究網絡中的虛擬專用網技術來服務于VR 視頻會議，提升視頻會議的通信質量，減少部署成本，是目前網絡安全領域研究的熱點和難點。

2 VR 網絡視頻會議通信的不足

按照公司組織形式來看，基于VR 的網絡視頻會議架構至少有3 種情況（見圖1）。一是總公司與分公司連接情況；二是總公司與合作伙伴或者辦事處連接情況；三是總公司與單個或者少量出差員工連接情況。

圖1 基于VR 的網絡視頻會議組織架構

如果這些情況都是使用基于公網視頻會議方式，將會存在以下不足。成本和工作效率方面，由于是遠距離跨網絡部署，很難避免部署成本高、部署時間長、靈活性差等問題的出現，特別是目前遠程辦公越來越普及，經常在通過會議來訪問內網業務的時候發現，可承載的業務種類不多；網絡服務質量方面，經常出現延時、丟失數據包、會議數據無加密或者保護級別不夠導致泄密、連接方式不靈活等情況。

3 虛擬專用網、視頻會議、VR 介紹

3.1 虛擬專用網

3.1.1 虛擬專用網技術的定義

虛擬專用網（Virtual Private Network，VPN）技術[2]是指在公網上通過特殊隧道協議在通信節點之間建立一個虛擬安全傳輸連接，隧道技術能夠穿越復雜的外部公共網絡，讓通信節點透明，與局域網一樣進行可靠通信。“虛擬”就是在通信節點間建立的是虛擬鏈路，而以非物理連接貫通網絡，數據能夠通過被封裝打包后在互聯網公共數據網進行遠程傳輸；“專用網絡”是指用戶能夠按照自身需求，設計出最適合自己的網絡，不受公網其他用戶干擾，處于私有管理策略之下，具有獨立地址和路由規劃。

3.1.2 虛擬專用網的分類

用戶接入網絡有多種途徑，最常用的一種是非對稱數字用戶線路（Asymmetric Digital Subscriber Line，ADSL）。當前，5G 技術迅猛發展，越來越多的用戶通過5G 技術訪問互聯網。從訪問模式上來看，可以分為專線和撥號兩種[3]。專線VPN 是一種VPN 解決方案，針對那些在專線上訪問網絡業務提供商（Internet Service Provider，ISP）邊緣router 的用戶。它是一個永久的、虛擬的專用網絡，節省了傳統長距離線路的成本；撥號VPN 指使用公共交換電話網絡（Public Switched Telephone Network，PSTN）或綜合業務數字網絡（Integrated Services Digital Network，ISDN）連接到互聯網運營商的VPN。不像專線VPN，撥號VPN 是一種需要主動發起連接的方式，這是一個沒有固定連接的VPN，通常用于遠程漫游。因此，撥號VPN 通常要進行身份驗證，例如使用挑戰握手認證協議（Challenge Handshake Authentication Protocol，CHAP）和遠程用戶撥號認證服務（Remote Authentication Dial In User Service，RADIUS）。

根據開放式系統互聯[4]（Open System Interconnection，OSI）參考模型分層，根據協議所處不同層次，將VPN 劃分為數據鏈路層VPN、網絡層VPN、應用層VPN，有點對點隧道協議（Point to Point Tunneling Protocol，PPTP）、二層隧道協議[5]（Layer 2 Tunneling Protocol，L2TP）、最傳統的虛擬組網協議（Generic Routing Encapsulation，GRE）、互聯網安全協議[6]（Internet Protocol Security，IPSec）、多協議標簽交換（Multi-Protocol Label Switching，MPLS）、邊界網關協議（Border Gateway Protocol，BGP）、SSL VPN 等多種。PPTP、L2TP 屬于數據鏈路層，GRE、IPSec 屬于網絡層，SSL 屬于應用層。其中，L2TP 與PPTP 一樣使用用戶數據報協議（User Datagram Protocol，UDP）來封裝點對點協議（Point to Point Protocol，PPP），默認使用端口號1701，有隧道驗證和用戶身份認證功能，能夠給客戶端分配動態地址，不具備加密功能；GRE[7]是一種使用比較多的數據封裝協議，能夠用任意一種協議封裝任意一種其他協議，特別適用于解決互聯網協議第4版（Internet Protocol Version 4，IPv4）和互聯網協議第6 版（Internet Protocol Version 6，IPv6）技術孤島問題，也沒有數據加密功能；IPSec 有基于點到點隧道模式、基于端到端的傳輸模式兩種工作模式，提供多種加密算法和驗證算法，能夠在通信過程中動態生成用于加密和解密的密碼，可單獨使用，大部分情況用于結合GRE、L2TP 等其他VPN來嵌套使用，以滿足不同情況需求。

3.1.3 虛擬專用網的特點

一是安全有保障，VPN 技術是一種在公用網絡中建立虛擬私有鏈路、點對點連接的網絡技術，采用了加密技術，通過這種方式傳輸，確保數據的完整性和機密性。二是擴展靈活，VPN 能夠實現內部網絡和外部網絡各種數據的通信，讓接入用戶不受物理位置和網絡類型的制約。三是易于管理，VPN管理從兩個方面進行，即ISP 和用戶兩個層面，在ISP 端預先建立好管理用戶、網絡連接、數據通信等規則應用于端設備，在客戶端只需要登錄，盡量簡化配置工作和維護工作。VPN 的管理目的主要是降低網絡風險，使網絡具備以下特征：高可擴充性、低成本、高管理、高可靠性。

3.2 視頻會議

視頻會議是網絡技術發展的重要產物，由會議終端、中央控制單元、數據傳輸網絡、會議平臺構成[8]。會議終端是用戶直接使用的設備，需要具備音頻、視頻碼流處理功能，把采集到的信息通過數據網絡傳輸到其他終端；中央控制單元將會議終端收到的音頻信息和視頻信息通過分配算法，分配到各個具體終端，具有一對多的信息處理功能；數據傳輸網絡主要負責將各個系統互連起來實現數據過濾、加密、存儲和轉發，包括防火墻、路由器、交換機等通信設備以及光纖、電纜、雙絞線等有線通信介質和無線通信介質；會議平臺是會議具體組織和呈現的平臺，有軟件、硬件和軟硬件結合平臺等幾類，目前比較成熟的平臺有騰訊會議、Zoom、釘釘等。

3.3 VR

VR 融合了3D 視覺、三維聲音重構、實時繪制等技術[8]，從現實環境中采集三維數據，對數據進行整合、調取和網絡傳輸，最后在終端設備支持下以模擬仿真的形式呈現出來。目前有桌面虛擬現實系統、沉浸式虛擬現實系統和多圖層虛擬現實系統幾種。其中，后兩種給用戶的感官體驗趨于真實，但需要額外穿戴設備，對數據傳輸網絡要求較高，成本也更高。在仿真教學、3D 購物體驗、游戲、旅游等方面有具體應用。

4 VR 視頻會議與VPN 關聯度分析

4.1 VR 視頻會議與VPN

一是VR 是承載在計算機網絡技術與網絡安全技術上的一個應用，VPN 是網絡安全技術的一個子領域，有助于解決上面VR 會議的大部分問題，VPN 模擬現實中的專線連接，將VR 通信兩端以透明專線連接起來，在通信兩端的路由器上進行專網配置；二是目前VPN 技術相當成熟，有比較全面的理論支持；三是隨著IPv6 地址不斷推廣，在越來越多內網使用IPv6 的情況下，VPN 技術能夠利用GRE 構建IPv4 to IPv6 和IPv6 to IPv4 協議轉換的數據通信通道[9]，展現出與普通互聯網互聯所沒有的優越性，解決了因為網絡協議不同而導致的視頻會議無法連接的問題；四是隨著網絡技術的迅速發展，VR 視頻會議在政治、經濟、文化等領域廣泛應用，運用VPN 技術能夠對數據進行安全處理，確保通信安全；五是VR 技術不斷發展，VR 眼鏡的功能越來越全面，能夠完成目前其他終端網絡的接入工作。

4.2 VR 視頻會議通信安全分析

基于VR 視頻會議通信，數據安全由三要素來決定，分別是數據的機密性、完整性和可用性。要對通信數據進行驗證（Authentication）、授權（Authorization）、加密（Encryption）、解密（Decryption）等操作，普通路由器所承載的通信協議在公網中根本無法完成這些操作，說明VPN 技術具有優越性。

4.2.1 機密性

機密性是確保通信數據保密不被未授權的人竊取；完整性是確保數據不被修改而傳給對方并被對方理解。VPN 的優勢就是能夠對數據進行動態加密。目前VPN 中有對稱加密算法和非對稱加密算法兩種算法，足夠滿足數據通信的加密要求。數據加密可以選用目前流行的RSA 非對稱密鑰體制，對于會議保密級別不高的情況，也可以使用DES、RC5 等對稱密碼算法。加密和解密的密鑰也可以由參會雙方終端設備通過網絡密鑰交換協議（Internet Key Exchange，IKE）來動態生成，能有效避免竊聽、數據竊取、中間人攻擊等不安全通信行為。

4.2.2 完整性

完整性是指數據在不被第三方修改的情況下進行安全傳輸，包括數據完整性、隧道驗證、用戶身份認證等內容。通信設備使用單向散列函數對數據進行驗證，比如常用的信息摘要算法（Message Digest Algorithm MD5）、安全散列算法1（Secure Hash Algorithm 1，SHA-1）等。會議建立過程中能進行基于密碼的端到端隧道驗證，同時通信雙方身份驗證可以通過本地密碼認證、專用Radius 服務器認證、電子身份證或來源于VR 虛擬眼鏡的各種生物認證、外置身份卡等途徑來完成。

4.2.3 可用性

可用性是指構建軟件和硬件雙重備份，確保通信數據和通信服務不被中斷，或者即使通信雙方在遇到會議中斷的情況下也能實現最快主備份切換。比如，路由備份、鏈路備份、設備主備切換等。為了會議能夠連續、安全地進行，VPN 技術需要對通信鏈路進行安全檢測，在出現問題的情況下進行必要的、有針對性的防御和制止。

5 VR 安全通信方案設計與實現

5.1 場景分析

通過對圖1 中基于VR 的網絡視頻會議組織架構進行分析，視頻會議要在總部、辦事處、出差員工、合作伙伴中構建，根據不同特點需要選擇不同架構，必要時對通信數據進行加密保護。實際情況中，單個VPN 未能實現加密功能，需要VPN 嵌套使用，L2TP 最適合移動用戶VPN 接入；GRE 最適合站點到站點的VPN 接入，支持動態路由協議；IPSec 提供數據加密服務并確保數據的完整性。因此，在實際運用中，各種VPN 技術嵌套是必要的和可行的。網絡架構總體設計見圖2。

圖2 網絡架構總體設計圖

5.2 網絡架構設計

場景一，會議參與者較多的情況。針對前面所提到的幾種工作情況，可以選擇不同方式來設計。對于規模較大的公司，出現多區域多人參與的情況，可以選擇此種網絡基本架構。在兩個通信區域之間的外網處架設接入設備，這類設備可以用目前性能較高的路由器或者防火墻實現兩區域的連接。這種架構對參會者終端設備要求比較低，由各區域主要接入設備來完成登錄、驗證、授權、加密工作，此類參會人員只需要選用目前普通VR 眼鏡即可實現（見圖3）。

圖3 大量員工會議拓撲圖

圖3 中，會場A 和會場B 都有大量參與者，可以構建點到點隧道，選用GRE VPN，鑒于會議可能需要加密，因此使用GRE+IPSec 結合方式，其中GRE 用于構建隧道，IPSec 用于加密GRE 隧道數據。

場景二，單個參與者或者少量參與者的情況。對于個別員工出差、網絡服務參與者較少的情況，可以選擇此種網絡基本架構。這類架構對參會者終端設備要求比較高，需要佩戴VR 眼鏡才能夠通過遠程服務器進行登錄、驗證、授權、加密等工作。特別是目前公網IP 有v4 和v6 版本的情況下，VR眼鏡還需要有協議轉換功能。這類場景最大的好處是參會者不需要在固定場所參與視頻會議，而是可以隨時隨地參會，會議組建也非常靈活和方便。不足之處就是需要參會者具備一定的VR 眼鏡操作能力。L2TP 沒有加密功能，在會議信息需要加密傳輸時可以使用與L2TP+IPSec 結合的方式，其中L2TP 用來給外出員工通過媒體服務器與總部進行連接，IPSec 用來對通信數據進行加密（見圖4）。

圖4 少量員工會議拓撲圖

5.3 架構仿真實現

場景一，異地參會者較多的情況，選用GRE OVER IPSec 隧道[10]。

要求在會場A 出口路由器A 和會場B 出口路由器B 之間先建立GRE 隧道，然后在路由器A 和路由器B 之間建立IPSec 隧道來保護GRE 隧道。在運用IPSec 加密會議數據過程中，加密和解密所需要的密碼具有靜態和動態、對稱和非對稱等屬性，因為靜態密碼需要人為設置且容易出現錯誤和泄露，所以選用IKE 來動態生成，其中加密和解密算法在隧道配置過程中可以按要求來選用。

配置GRE 隧道。在會場A 和會場B 端口路由上新建隧道并指定源和目的，其中分部會場B 建立隧道，指定源和目的配置與總部會場A 類似。

配置IPSec 保護GRE 隧道。首先新建會場之間需要保護的GRE 隧道會議數據流，以IPSec+IKE為主模式，使用預共享密鑰方式，對GRE 隧道封裝后數據進行128 位的高級加密標準（Advanced Encryption Standard，AES）算法加密保護，在構建對等體時會場之間需要運用密碼來相互驗證身份，最后將安全策略應用在會場之間出口路由上。會場B 出口路由器B 上對等對應配置，特別是端口地址、訪問控制列表（Access Control Lists，ACL）地址一定要相互對應。

場景二，異地參會者較少的情況，選用L2TP over IPsec[3]。

配置L2TP VPN。選擇合適路由協議，實現分部會場與總部會場之間的公網連通,在分部會場上首先啟動L2TP 功能，配置l2tp 組，同時啟動會場之間的隧道密碼驗證，其中start l2tp 命令指定了總部會場的地址，并指定公司域名為abc.com，域內用戶為L2TP 用戶，這樣abc.com 域內用戶撥入將觸發L2TP 建立。

總部會場上首先啟動L2TP 功能，然后配置abc.com 域和IP 地址池。此域用于提供對L2TP VPN 用戶進行身份驗證的參數，地址池用于為L2TP VPN 客戶端分配IP 地址，這里與GRE 不同的是因為少量員工出差、地點和時間不固定等原因，L2TP 建立需要分部會場主動撥號，等總部會場通過并分配地址后才能接入，即主會場不知道出差員工地址，不能主動建立隧道。

在撥號過程中，分會場接入需要對員工進行身份驗證，驗證方式可以為本地驗證和選用專門Radius 服務器驗證，本文仿真選用本地驗證方式。新建用戶并配置其密碼和服務類型，最后配置一個虛擬模板接口，以便對撥入的L2TP VPN 用戶進行身份驗證，為其分配地址并與其進行IP 通信。

最后，在主會場端配置l2tp 組，設定隧道本端名稱、隧道驗證碼等，允許接受來自公司域名abc.com 內且名為LAC 的分部會場設備發起的控制連接，控制連接建立后隧道內就可以進行數據通信，但目前還沒有任何加密設置。

配置IPSec VPN 保護L2TP VPN 數據，在總部會場上配置IPSec/IKE。這個過程主要完成對已建立會場之間L2TP 內數據進行加密的工作，由于加密系統包含加密和解密兩個過程，分會場因為與會人員較少而且位置不固定，可以在VR 眼鏡上預安裝相應撥號軟件，讓VR 眼鏡開機就可自動撥號。主會場端需要配置加密會議數據流、設置數據加密算法、驗證算法、驗證隧道之間密碼等。

6 結束語

以上架構中，對VR 眼鏡的要求會越來越高，虛擬眼鏡目前除了視覺成像之外，已經具備登錄并連接服務器的功能，越來越可以替代電腦和手機功能來參與虛擬現實的交互。例如，用戶登錄、數據加密、身份認證等功能，且這將是一個趨勢，為此項研究在現實中使用提供了可能性。當前，還有新的要求也對此項研究提出了挑戰。例如，VR 眼鏡是否支持IPv6 協議或是否支持IPv4 協議轉換等功能，這就需要后臺的一大批服務器做計算支撐，成本也會隨之增加。