视频会议安全接入解决方案.doc

视频会议安全接入解决方案一H.323协议介绍1H.323体系结构为了能在不保证QoS的分组交换网络上展开多媒体会议，由ITU的第15研究组SG-15于1996年通过H.323建议的第一版，并在1998年提出了H.323的第二版。H.323制定了无QoS（服务质量）保证的分组网络PBN（packet Based Networks）上的多媒体通信系统标准，这些分组网络主宰了当今的桌面网络系统，包括基于TCP/IP、IPX分组交换的以太网、快速以太网、令牌网、FDDI技术。因此，H.323标准为LAN、WAN、Internet、因特网上的多媒体通信应用提供了技术基础和保障。 H.323是ITU多媒体通信系列标准H.32x的一部份，该系列标准使得在现有通信网络上进行视频会议成为可能，其中，H.320是在N-ISDN上进行多媒体通信的标准：H.321是在B-ISDN上进行多媒体通信的标准：H.322是在有服务质量保证的LAN上进行多媒体通信的标准：H.324是在GSTN和无线网络上进行多媒体通信的标准。H.323为现有的分组网络PBN（如IP网络）提供多媒体通信标准。若和其它的IP技术如IETF的资源预留协议RSVP相结合，就可以实现IP网络的多媒体通信。基于IP的LAN正变得越来越强大，如IP over SDH/SONET、IP over ATM技术正在快速发展以及LAN 宽带正在不断的提高。由于能提供设备与设备、应用与应用、供应商与供应商之间的互操作能力，因此，H.323能够保证所有H.323兼容设备的互操作性。更高速率的处理器、日益增强的图形器件和强大的多媒体加速芯片使提PC成为一个越来越强大的多媒体平台。H.323可提供PBN与别的网络之间进行多媒体通信的互连互通标准。许多计算机、网络通信公司，如Inter、Microsoft和Netscape都支持H.323标准。H.323标准包括在无QoS保证的分组网络中进行多媒体通信所需的技术要求。这些分组网络包括LAN、WAN、Internet/因特网以及使用PPP等分组协议通过GSTN或ISDN的拨号连接或点对点连接。 从整体上来说，H.323是一个框架性建设，它涉及到终端设备、视频、音频和数据传输、通信控制、网络接口方面的内容，还包括了组成多点会议的多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）、网关以及关守等设备。它的基本组成单元是域，在H.323系统中，所谓域是指一个由关守管理的网关、多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）和所有终端组成的集合。一个域最少包含一个终端，而且必须有且只有一个关守。H.323系统中各个逻辑组成部份称为H.323的实体，其种类有：终端、网关、多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）。其中终端、网关、多点控制单元（MCU）是H.323中的终端设备，是网络中的逻辑单元。终端设备是可呼叫的和被呼叫的，而有些实体是不通被呼叫的，如关守。H.323包括了H.323终端与其它终端之间的、通过不同网络的、端到端的连接。2H.323终端的组成H.323为基于网络的通信系统定义了四个主要的组件：EP（Terminal）、网关（Gageway）、关守（Gagekeeper）、多点控制单元（MCU）。终端是分组网络中能提供实时、双向通信的节点设备，也是一种终端用户设备，可以和网关、多点接入控制单元通信。所有终端都必须支持语音通信，视频和数据通信可选。H.323规定了不同的音频、视频或数据终端协同工作所需的操作模式。它将是下一代因特网电话、音频会议终端和视频会议技术的主要标准。在发端，从输入设备获取的视频和音频信号，经编码器压缩后，按照一定格式打包，通过网络发送出去，在收端，来自网络的数据包首先被解包，获得的视频、音频压缩数据经解码后送入输出设备，用户数据和控制数据也得到了相应的处理。它所包含的各个功能单元及其标准备或协议分别是：视频编解码（H.263/ H.261）：完成对视频码流的冗余压缩编码。 音频编解码（H.723.1等）：完成语音信号的编解码，并在接收端可选择地加入缓冲延迟以保证语音的连续性。所采用的标准为ITU-T的H.723.1，它提供5.3kbit/s和6.3kbit/s两种码率，采用线性预测综合分析编码方法，分别使用代数码本激励线性预测和多脉冲最大似然量化，从而各自获得编码复杂度和质量的优化。 各种数据应用：包括电子白板、静止图像传输、文件交换、数据库共存、数据会议、运程设备控制等，可用的标准为T.120、T.84、T.434等。 控制单元（H.245）：提供端到端信令，以保证H.323终端的正常通信。所采用的协议为H.245（多媒体通信控制协议），它定义了请求、应答、信令和指示四种信息，通过各种终端间进行通信能力协商，打开/关闭逻辑信道，发送命令或指示等操作，完成对通信的控制。 H.225层：将视频、音频、控制等数据格式化并发送，同时从网络接收数据。另外，还负责处理一些诸如逻辑分帧、加序列号、错误检测等功能。二视频会议的发展和瓶颈视频会议在电讯行业已经存在了30多年，但在90年代以前，这些系统一直使用专用的编解码硬件和软件，会议呼叫的各终端使用的编解码器必须来自同一个厂商，否则不能正常工作，这种非标准化系统产品的使用极大阻碍了视频会议领域的发展。另外，当时的网络状况非常不稳定并且带宽不理想，这样限制了视频会议系统的传输速度。1997年3月是视频会议领域的发展过程中的重要时刻之一，ITU-T（国际电联电信委员会）发布了用于局域网上的视频会议标准协议H.323，为那些与Internet和Intranet相连的视频会议系统提供了互通的标准，各厂商纷纷推出符合该标准的视频会议产品。在此以前，用于ISDN上的群视频会议标准协议H.320一直主导着视频会议领域的技术和产品发展。而近几年来，随着国内外大型网络运营商对网络环境的建设和改造，以及ISDN、DDN、VPN、xDSL、ATM等技术的应用和推广，视频会议系统的使用环境也变得越来越好。因此无论是通讯行业还是IT行业，都对视频会议领域重新进行关注，视音频编解码技术趋于成熟；视频会议系统价格开始下调；图像传输质量大为提高但是视频会议的发展也面临着很大的挑战和竞争，它的发展瓶颈如下：1 如POLYCOM、VCON、VTEL等在终端产品上占有较多优势，使视频会议市场竞争激烈，厂商的利润空间在减少。如何拥有一个全方位的增值的解决方案，是很多视频会议厂商正在解决的 问题。2 如何解决外出人员方便的利用EP建立视频会议，目前EP受上网方式，防火墙，穿越NAT，是否拥有合法地址等多重限制，至今他们也没有一个很好的解决办法。3 如何解决视频会议在Internet传输的安全性和可靠性，也是困扰目前视频会议厂商的问题。4 如何解决视频控制单元MCU不保露在Internet上的问题，因为MCU一旦在Internet上就很容易收到攻击。5 如何提高视频会议产品厂商在高端市场的竞争力，也是他们目前他们尚未解决的问题。 以上的所有疑问，都可以通过与ARRAY SSL VPN解决方案中找到答案。三Array视频会议安全接入解决方案1Array SP产品L3VPN模块介绍L3VPN功能是在客户端和SP之间通过SSL的连接建立一条VPN通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址，并通过这条VPN通道直连到企业内网，就好像客户端机器在企业内部一样，形成一种双向连通的通道。这样，就构建了一个类似IPSEC VPN一样的网络层的VPN，同时通过VPN通道的所有流量都是经过SSL加密的，保证了数据的安全性。由于此VPN是建立在网络层之上的，所以所有基于IP的应用都可以运行，包括基于动态TCP 、UDP端口的应用，以及H.323，流媒体流，NETBIOS、ICMP等应用。下图示例：2Array SP与视频会议整合方案通过ARRAY SSL VPN设备可以和视频会议形成一个完美的结合。EP的使用者，首先打开IE浏览器输入SP的域名如“HTTPS:/SSLVPN.H323.COM”，此域名会被当地的DNS解析为SP的 IP地址，输入合法的用户名和密码后，就可进入SP定义的PORTAL页面。当启用L3VPN功能后，系统会自动下载ACTIVE X的控件并在本地虚拟出一块网卡，并绑定对方局域网的IP地址，此时的数据可以进行双向连接传输，一些流媒体文件，H.323,UDP，动态端口都可以在上面运行了。具体的过程如下：1 EP主动发起视频会议：（适用于小型会议）EP启用L3VPN后，向网守发起视频会议的请求，参加代码为801的会议（MCU先建立好的），并注册EP的IP地址（一定要注册VPN的虚拟IP地址，否则通讯将失败，EP E-CONFERENCE程序中可以设置）。网守会把该视频会议请求转发到MCU上，MCU会跟据网守上注册的地址向EP发起视频会议请求，从而建立视频会议。硬件摄像头同时也向网守注册（局域网），成功后双方都可以从屏幕中看见对方的视频和听见声音。2 MCU发起视频会议（适用于大型会议）大型会议一般参加者较多，所以由MCU来建立比较快捷方便，同时也便于管理。MCU会跟据网守上注册的EP的IP地址（虚拟IP），来逐一的建立视频会议。（手工）四ARRAY SSL VPN给视频会议带来的优势为实现EP SSL VPN的接入，用户端无需安装专用的VPN客户端软件。使用标准的浏览器，如IE 和 Netscape即可接入SSL VPN访问内部系统。提供免客户端、任何地点的访问能力、增加的安全性，由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担，SSL VPN的支持更便宜，也比IPSec更容易部署。为实现在SSL VPN基础上的视频会议，视频服务器端也无需安装任何额外的VPN专用软件。SSL VPN能为EP使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从机场商务中心，从任何他人的计算机，甚至任何无线设备。SSL也能在宽带网络上工作。此外，SSL VPN可以成功地穿越防火墙，能处理网络地址转换（NAT）问题。EP用户接入内部系统是经过认证的。认证方式可以采用ArrayNetworks SSL VPN设备自己的用户数据库，也可以和内部系统已有的认证系统结合起来，如AD、RADIUS等EP用户接入内部系统是经过授权的。针对不同的用户或用户所属的组，SSL VPN可以按VPN系统预定义的规则来对用户的访问权限进行设定。EP用户接入内部系统是经过加密的。ArrayNetworks SSL VPN设备采用强加密算法，如：私钥算法：DES (56-bit), 3DES (168-bit), RC4 (128-bit)，公钥算法: RSA (1024-bit+)，消息认证: MD5 (128-bit), SHA-1 (160-bit)EP用户使用方便。用户可以是NAT，或者是通过HTTP代理等灵活的方式，只需保持SSL通道畅通既可。 部署方式灵活多样。SSL VPN网关SP可以放在路由器、防火墙后面使用NAT后的私有地址。ArrayNetworks SP支持单臂和双臂网络结构。SSL VPN通常安装在防火墙和服务器之间，如果以透明方式运等行，除了在防火墙上简单地开放所需要的HTTPS 443 端口外，无须对原有网络再做任何变动. MCU和ECS均部署在SP设备保护的内网，对外隐藏了IP地址，保护了视频会议中关键的网络设备。 管理更加容易。采用SSL VPN更容易管理，由于使用者可以