从企业需求看视频系统安全机(2)
2015-08-12 01:00
导读:基于IP网络的视频会议系统采用H.323标准。总的来讲,H.323的安全性是一个复杂的问题,它不仅包括对音频、视频或数据流本身的保护,还必须包括对Q.931(用于呼
基于IP网络的视频会议系统采用H.323标准。总的来讲,H.323的安全性是一个复杂的问题,它不仅包括对音频、视频或数据流本身的保护,还必须包括对Q.931(用于呼叫建立)、H.245(用于呼叫管理)及网闸RAS(Registration/Admission/Status)的保护,以防止呼叫控制协议受到破坏。
这里,安全保证主要采用与安全机制相关的H.235协议中规定的机制来实现,主要有:身份认证、数据完整性、数据加密和用户费用证实机制(non-repudiation)。
身份认证用于确定终端用户的身份,是H.323视频会议系统安全体制中最为重要的环节,如果没有它,任何一个用户都可以冒充合法用户进入网络。只有在被确认身份之后,才能够提供进一步的安全保证。
数据完整性用于证实一个数据包有效数据的完整性,从而保证在两个端点之间进行呼叫过程中的有效数据不被修改或损坏。数据完整性利用加密机制来保证数据包的完整,在这种中,只需要将校验数据加密,而有效数据不必加密,从而减少了每个数据包对加密处理的要求。
确保了数据的完整性之后,在用户允许的情况下,还可以采用数据加解密技术来避免数据的被窃听。数据的加密级别最终取决于企业用户的要求和国家的限制。
用户费用证实机制用于防止某些用户否认他们曾参与某一个呼叫。但是,就一般情况来说,该机制更多的应用于电信运营商,因为他们需要一种途径来准确估算服务所需的费用,并证实这些费用的确用于用户的呼叫。对企业用户而言,可以不必实施用户费用证实机制。
网络层安全机制
,企业用户组建的视频会议系统多是基于IP网络的,针对这种情况,还可以充分利用网络层现有的IPSec协议,提出网络层的安全解决机制。
正如大家所知,IP层安全性协议IPSec提供了面向连接的TCP和面向非连接的用户数据协议两种安全性服务,而且使整个网络线路上的路由器可以分担加解密所带来的负荷,从而减轻终端的负荷。利用IPSec协议的这种特点,可在视频会议终端设备中增加用于支持IPSec协议的iSec智能安全模块,这样企业用户就可以防止各种人为的或网络病毒带来的各种恶意攻击和篡改,保持传输过程的数据完整性。
(转载自http://zw.NSEAC.com科教作文网)
此外,如果不增加iSec智能安全模块,产品的开放性也可为用户轻松提供IP层安全防护措施。例如,在产品中安装英特尔的 PRO/100 S 网卡,该网卡能直接提供IPSec(互联网协议安全)加密能力,从而实现:用户的身份验证,防止未经授权的数据访问;防止恶意的攻击和篡改,保持传输过程的数据完整性;数据包加密,确保数据的机密性。可以说,直接利用网卡实现IP层安全的措施,是一种独特的开放平台终端设备安全措施。
用户实际安全措施