视频会议安全接入解决方案

视频会议安全接入解决方案

一．H.323协议介绍

1．H.323体系结构

为了能在不保证QoS的分组交换网络上展开多媒体会议，由ITU的第15研究组SG-15于1996年通过H.323建议的第一版，并在1998年提出了H.323的第二版。H.323制定了无QoS（服务质量）保证的分组网络PBN（packet Based Networks）上的多媒体通信系统标准，这些分组网络主宰了当今的桌面网络系统，包括基于TCP/IP、IPX分组交换的以太网、快速以太网、令牌网、FDDI技术。因此，H.323标准为LAN、WAN、Internet、因特网上的多媒体通信应用提供了技术基础和保障。

H.323是ITU多媒体通信系列标准H.32x的一部份，该系列标准使得在现有通信网络上进行视频会议成为可能，其中，H.320是在N-ISDN上进行多媒体通信的标准：H.321是在B-ISDN上进行多媒体通信的标准：H.322是在有服务质量保证的LAN上进行多媒体通信的标准：H.324是在GSTN和无线网络上进行多媒体通信的标准。H.323为现有的分组网络PBN（如IP网络）提供多媒体通信标准。若和其它的IP技术如IETF的资源预留协议RSVP相结合，就可以实现IP网络的多媒体通信。基于IP的LAN正变得越来越强大，如IP over SDH/SONET、IP over ATM技术正在快速发展以及LAN 宽带正在不断的提高。由于能提供设备与设备、应用与应用、供应商与供应商之间的互操作能力，因此，H.323能够保证所有H.323兼容设备的互操作性。更高速率的处理器、日益增强的图形器件和强大的多媒体加速芯片使提PC成为一个越来越强大的多媒体平台。H.323可提供PBN与别的网络之间进行多媒体通信的互连互通标准。许多计算机、网络通信公司，如Inter、Microsoft和Netscape 都支持H.323标准。H.323标准包括在无QoS保证的分组网络中进行多媒体通信所需的技术要求。这些分组网络包括LAN、WAN、Internet/因特网以及使用PPP等分组协议通过GSTN或ISDN的拨号连接或点对点连接。

从整体上来说，H.323是一个框架性建设，它涉及到终端设备、视频、音频和数据传输、通信控制、网络接口方面的内容，还包括了组成多点会议的多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）、网关以及关守等设备。它的基本组成单元是"域"，在H.323系统中，所谓域是指一个由关守管理的网关、多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）和所有终端组成的集合。一个域最少包含一个终端，而且必须有且只有一个关守。H.323系统中各个逻辑组成部份称为H.323的实体，其种类有：终端、网关、多点控制单元（MCU）、多点控制器（MC）、多点处理器（MP）。其中终端、网关、多点控制单元（MCU）是H.323中的终端设备，是网络中的逻辑

单元。终端设备是可呼叫的和被呼叫的，而有些实体是不通被呼叫的，如关守。H.323包括了H.323终端与其它终端之间的、通过不同网络的、端到端的连接。

2．H.323终端的组成

H.323为基于网络的通信系统定义了四个主要的组件：EP（Terminal）、网关（Gageway）、关守（Gagekeeper）、多点控制单元（MCU）。终端是分组网络中能提供实时、双向通信的节点设备，也是一种终端用户设备，可以和网关、多点接入控制单元通信。所有终端都必须支持语音通信，视频和数据通信可选。H.323规定了不同的音频、视频或数据终端协同工作所需的操作模式。它将是下一代因特网电话、音频会议终端和视频会议技术的主要标准。在发端，从输入设备获取的视频和音频信号，经编码器压缩后，按照一定格式打包，通过网络发送出去，在收端，来自网络的数据包首先被解包，获得的视频、音频压缩数据经解码后送入输出设备，用户数据和控制数据也得到了相应的处理。它所包含的各个功能单元及其标准备或协议分别是：

视频编解码（H.263/ H.261）：完成对视频码流的冗余压缩编码。

音频编解码（，并在接收端可选择地加入缓冲延迟以保证语音的连续性。所采用的标准为ITU-T 的H.723.1，它提供5.3kbit/s和6.3kbit/s两种码率，采用线性预测综合分析编码方法，分别使用代数码本激励线性预测和多脉冲最大似然量化，从而各自获得编码复杂度和质量的优化。

各种数据应用：包括电子白板、静止图像传输、文件交换、数据库共存、数据会议、运程设备控制等，可用的标准为T.120、T.84、T.434等。

控制单元（H.245）：提供端到端信令，以保证H.323终端的正常通信。所采用的协议为H.245（多媒体通信控制协议），它定义了请求、应答、信令和指示四种信息，通过各种终端间进行通信能力协商，打开/关闭逻辑信道，发送命令或指示等操作，完成对通信的控制。

H.225层：将视频、音频、控制等数据格式化并发送，同时从网络接收数据。另外，还负责处理一些诸如逻辑分帧、加序列号、错误检测等功能。

二．视频会议的发展和瓶颈

视频会议在电讯行业已经存在了30多年，但在90年代以前，这些系统一直使用专用的编解码硬件和软件，会议呼叫的各终端使用的编解码器必须来自同一个厂商，否则不能正常工作，这种非标准化系统产品的使用极大阻碍了视频会议领域的发展。另外，当时的网络状况非常不稳定并且带宽不理想，这样限制了视频会议系统的传输速度。

1997年3月是视频会议领域的发展过程中的重要时刻之一，ITU-T（国际电联电信委员会）发布了用于局域网上的视频会议标准协议——H.323，为那些与Internet和Intranet相连的视频会议

系统提供了互通的标准，各厂商纷纷推出符合该标准的视频会议产品。在此以前，用于ISDN上的群视频会议标准协议——H.320一直主导着视频会议领域的技术和产品发展。

而近几年来，随着国内外大型网络运营商对网络环境的建设和改造，以及ISDN、DDN、VPN、xDSL、ATM等技术的应用和推广，视频会议系统的使用环境也变得越来越好。因此无论是通讯行业还是IT 行业，都对视频会议领域重新进行关注，视音频编解码技术趋于成熟；视频会议系统价格开始下调；图像传输质量大为提高……

但是视频会议的发展也面临着很大的挑战和竞争，它的发展瓶颈如下：

1．如POLYCOM、VCON、VTEL等在终端产品上占有较多优势，使视频会议市场竞争激烈，厂商的利润空间在减少。如何拥有一个全方位的增值的解决方案，是很多视频会议厂商正在解

决的问题。

2．如何解决外出人员方便的利用EP建立视频会议，目前EP受上网方式，防火墙，穿越NAT，是否拥有合法地址等多重限制，至今他们也没有一个很好的解决办法。

3．如何解决视频会议在Internet传输的安全性和可靠性，也是困扰目前视频会议厂商的问题。

4．如何解决视频控制单元MCU不保露在Internet上的问题，因为MCU一旦在Internet上就很容易收到攻击。

5．如何提高视频会议产品厂商在高端市场的竞争力，也是他们目前他们尚未解决的问题。

以上的所有疑问，都可以通过与ARRAY SSL VPN解决方案中找到答案。

三．Array视频会议安全接入解决方案

1．Array SP产品L3VPN模块介绍

L3VPN功能是在客户端和SP之间通过SSL的连接建立一条VPN通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址，并通过这条VPN通道直连到企业内网，就好像客户端机器在企业内部一样，形成一种双向连通的通道。这样，就构建了一个类似IPSEC VPN一样的网络层的VPN，同时通过VPN通道的所有流量都是经过SSL加密的，保证了数据的安全性。由于此VPN是建立在网络层之上的，所以所有基于IP的应用都可以运行，包括基于动态TCP 、UDP端口的应用，以及H.323，流媒体流，NETBIOS、ICMP等应用。

下图示例：