視頻會議系統分析與設計研究

劉浩然 劉彬 林榮

摘? 要：物聯網與5G技術的成熟使人們對于視頻會議的需求呈爆發性增長。為進一步探索視頻會議系統未來的發展趨勢，結合攀枝花市扶貧和移民工作局的業務需求進行調研和分析，提出一種利用國產加密算法及技術進行改善的視頻會議系統設計方案。該方案進一步提高了視頻會議系統的安全性與便利性，較好地滿足了攀枝花市扶貧和移民工作局的需求，提高了該單位的工作效率，滿足未來我國市場對于具有自主知識產權、高可控性與高安全性的需求趨勢。

關鍵詞：視頻會議;國產加密算法;視頻會議系統設計

中圖分類號：TN948.63? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）18-0058-04

Abstract：The maturity of the internet of things and 5G technology has led to explosive growth in demand for video conferencing. In order to further explore the future development trend of the video conference system，combined with the business needs of the Panzhihua City Poverty Alleviation and Immigration Bureau，the research and analysis are carried out，and a video conference system design scheme that uses domestic encryption algorithms and technology to improve is proposed. This solution further improves the safety and convenience of the use of the video conferencing system，better meets the needs of Panzhihua City Poverty Alleviation and Immigration Bureau，improves the work efficiency of this unit，meet the future market demand for independent intellectual property rights，high controllability and high security.

Keywords：video conference;domestic encryption algorithm;video conference system design

0? 引? 言

由于一場突如其來的疫情，行業各領域對于視頻會議軟件的需求呈爆發式增長，然而鮮有人關注系統的安全性，直到最近視頻會議軟件頻繁曝出安全漏洞，人們才意識到安全問題的嚴重性。隨著國產加密算法與技術的發展及各行業減少對國外技術的依賴、加速自主研發的趨勢，國產化必然是未來視頻會議系統發展的方向。

常見的視頻會議設計方案大多使用國外開源加解密框架及口令與身份認證體系，隨著我國網絡強國戰略的提出，這些方案因缺乏足夠的知識自主性、功能可控性及設計安全性等因素，已不適于我國的未來市場需求。

攀枝花市扶貧和移民工作局現有視頻會議系統使用國外開源的加解密框架對數據進行加解密，且系統功能單一，僅支持在線會議，不具備數據自備功能。為進一步滿足市場未來需求，本方案針對攀枝花市扶貧和移民工作局視頻會議系統進行設計，在國產操作系統與國產芯片尚不成熟的前提下，使用國產加密算法及技術解決數據加密的自主性與可控性問題。通過使用國產加密算法及國密SSL協議、嵌入式架構、強認證與會議密碼、平臺自備份等對視頻會議系統進行了設計，并通過語音接入與視頻監控接入等特色功能滿足特定場景需求，進一步提高視頻會議系統在日常生活中使用的安全性與便利性。

1? 項目背景

在視頻會議需求高速增長的同時，市場對于視頻會議系統也有了更高的要求與更多的需求，產品的安全性與功能多元性成為最大競爭力。攀枝花市扶貧和移民工作局現有視頻會議系統雖然在設備上已基本實現國產化，但更關鍵的數據加密部分卻還是使用國外的密碼算法與安全芯片，缺乏了足夠的自主性、可控性與安全性。早在2011年，國家密碼管理局就發布《關于做好公鑰密碼算法升級工作的通知》，明確要求之后所有投入運行并使用公鑰密碼的信息系統均應使用SM2算法。當前的國內市場還缺乏使用自主國產密碼算法與技術的視頻會議系統，未能解決視頻會議數據加解密自主可控的問題，在目前國產操作系統尚不完善、國產高端芯片尚不成熟的情況下，使用國產加密算法是針對以上問題最優的解決方案。此外，針對現有系統功能較為單薄、無法高效利用硬件資源、無法實現系統功能多樣化等缺陷，本方案設計了一套功能完整、具有較高自備性的視頻會議系統。

2? 需求分析

系統現有痛點需求為安全和功能多元化兩方面，基于此，本方案從設備、網絡、安全及特色功能四方面需求進行分析，確保系統在滿足現有市場需求的同時，也能應對未來市場的趨勢變化，具體需求分析如下。

2.1? 設備需求分析

視頻會議系統應滿足4K30幀雙視頻流及錄制等功能的正常運作，能在提供較高清晰度的同時還應具有其他擴展性功能，如實時錄制會議圖像、傳輸高清雙流內容、多屏投放等功能，解決現有系統功能單一的缺點。

2.2? 網絡需求分析

整個視頻會議系統的流暢運行除了設備處理性能的要求，還需要高帶寬的網絡保障系統業務的正常運行，通過對各分會場設置帶寬下限，給總線路分配千兆高帶寬，確保系統流暢運行。此外，網絡還需具備較強的網絡丟包恢復機制，并通過網絡優化減少端到端的時延與時延抖動，進一步保障會議系統穩定運行。

2.3? 安全需求分析

由于攀枝花市扶貧和移民工作局工作信息的保密性，本方案針對常見的內容竊聽、身份冒充攻擊與主機攻擊，通過國密SSL隧道全程對運輸數據進行加密，并設置強認證、服務請求限制等安全措施保障整個系統的安全。

2.4? 特色功能分析

現有系統依照常用方案進行設計，與自身業務缺乏契合，本系統支持召開所有會場同時參加的全網會議，支持自主組會及各類型分組會議，支持主席控制、導演控制、語音激勵等會議控制方式，支持召開應急作戰指揮、多點研討、遠程教育等功能，支持PC、PAD等多終端設備接入會議。

3? 系統設計

3.1? 系統總體設計

系統總體結構分為五層，由上至下分別為應用層、云管理控制層、云資源層、網絡層及用戶層，具體結構及功能如下。應用層：提供廣泛的開發接口并設置定制化解決方案;云管理控制層：通過部署在云平臺的云服務器集群對視頻會議系統進行管理與控制;云資源層：集合所有可用的資源，構建一個云資源池，實現設備互聯、互備與互用，提高系統的運行效率;網絡層：提供穩定的網絡服務，在網絡狀況較差時對網絡進行優化;用戶層：支持PC、PAD、移動端及會議室多終端接入方式。

系統按模塊分為SIP終端、接入系統、媒體處理系統及視頻會議系統四部分，模塊具體內容如圖1所示。

本方案還利用云計算虛擬化技術與動態資源池技術，構建了一個大規模、安全可控的云視頻平臺，視頻會議數據的傳輸過程中使用國密SSL及國家密碼局認證的國密算法對所有傳輸數據進行加密，在關鍵環節實現了技術自主化與可控化，確保整個會議系統的安全可靠。系統網絡拓撲圖如圖2所示。

3.2? 系統組網設計

整個視頻會議系統基于云計算架構部署，系統各級平臺通過部署硬件媒體資源構建一個云媒體資源池，在提高應用系統部署靈活性與可靠性的同時對業務數據等資源進行整合，通過采用H.323音視頻協議，在分組交換網絡上為用戶提供視頻通信功能，采用SIP提供跨網絡的服務支持，優化智能終端用戶體驗，支持H.265/4K高性能應用;系統各級終端設備就近接入云平臺，實現全網終端無間斷服務;針對媒體資源池的安全，通過配置SSU（國密加密單元）加密模塊，終端設備內置SSU安全芯片，進一步確保會議數據的安全。

3.3? 系統安全設計

3.3.1? 嵌入式設計

嵌入式設計能精簡操作指令，減少故障發生概率，具有較高的安全性。本方案的云平臺MCU及終端均采用嵌入式設計，將硬件與軟件進一步結合，提高系統運作效率;云平臺采用全面的電信級安全性和可靠性設計思路，從系統的總體架構、底層處理，到協議規范業務進行優化設計，確保整個系統的高效率。

3.3.2? 加密算法設計

碼流信息加密和消息認證遵循SRTP協議，使用SM3算法對碼流數據進行消息認證，碼流密鑰協商遵循Offer/Answer規范，使用基于GMTLS安全通道的SIP信令進行傳輸。通訊信令交互采用SIP協議，工作模式采用CBC模式，簽名檢驗使用SM2算法，摘要使用SM3算法，對稱加密使用SM4算法，保證數據完整性。在整個媒體流的傳輸過程中對所有數據流通過128位AES進行加密，解碼端使用相同密鑰對數據進行解密。對于算法的詳細實現，SM1算法使用國家密碼管理局審批通過的PCI-E密碼卡實現，SM2通過商用密碼芯片實現，SM3和SM4算法則由軟件實現。

3.3.3? 強認證設計

強認證設計主要是通過賬戶口令認證與數字證書或賬戶口令認證與動態口令相結合的方式對用戶身份進行驗證，通過拒絕非法終端的接入與訪問實現終端認證的不可否認性，最大程度阻擋非法監聽行為。

3.3.4? 會議密碼設計

對于新建會議，會議創建人及創建人設置的主持人有權限對會議密碼進行設計。進入會議需要輸入正確的密碼，并通過對終端設備進行認證決定該用戶是否有權進入會議，進一步確保會議的安全性。

3.3.5? 分級分權設計

整個系統的后臺管理采用多級權限架構設計，支持分級分權管理，對用戶的管理權限進行細分，整個管理體系更加便捷有效，不同權限用戶可依據各自的細分權限對會議進行管理與控制，提高系統可管理性的同時也方便了后期發生問題時對管理記錄查詢。

3.3.6? 攻擊防范設計

攻擊防范主要針對常見的流量攻擊與資源耗盡攻擊，具體安全策略為設置定期掃描網絡節點、禁用不常用端口及服務協議、對單個IP地址請求服務次數進行限制等方式，對常見的網絡攻擊進行防范，保證系統的安全。

3.3.7? 安全協議設計

H.235安全通信協議是H.323體系系列中安全方面的標準，主要提供身份認證、數據加密及完整性功能，本方案的所有云MCU、云平臺及終端都支持國際標準的H.235安全通信協議。

3.3.8? 加密機兼容設計

為進一步提高會議數據的保密性，本系統支持與網絡加密機兼容，通過在網絡中安裝網絡加密機，保障整個系統所有的傳送數據均為密文，并在此基礎上結合國密算法實現多重加密。

3.4? 系統可靠性設計

3.4.1? 平臺架構設計

在系統組網中，MCU是整個系統的核心，負責匯聚、處理并轉發多方接入碼流，承擔大部分媒體處理工作，傳統嵌入式硬件架構已不能滿足現有業務需求。基于此，本方案采用基于ATCA架構的MCU，利用ATCA架構提供雙萬兆背板交換，具備優異散熱機制，支持高速總線媒體數據交換，標準化、開放化設計，整體上減少部署的開銷與復雜度。

3.4.2? 平臺備份設計

本方案選擇具備可靠備份機制的MCU，提供電源備份、網口備份、風扇備份、芯片備份、媒體處理單元備份、背板雙線備份、主控單元備份、整機備份等多重備份功能，且系統核心設備接口之間實現熱備，當有接口出現故障時，熱備接口能及時接替工作，確保系統穩定運行。

3.4.3? 網絡穩定設計

對于整體網絡的設計，通過配置網絡組，提高網絡的冗余度與吞吐量，利用智能網絡丟包、抖動重傳恢復、端到端時延優化、碼流平滑及時延抖動優化等網絡優化機制，減少網絡波動造成的影響，確保系統的平穩運作，確保用戶體驗。

3.5? 系統擴展性設計

3.5.1? 語音終端接入

在召開會議時，常常會有人員因為各種原因無法出席，為解決這個問題，本方案支持通過電話語音接入會議，具體實現為通過接入IP電話或配置語音網關擴展允許手機終端接入會議，通過語音終端接入會議的用戶可以聽見參議內容且可自主選擇發言。

3.5.2? 視頻監控接入

在出現某些突發狀況時，臨時在事故現場搭建一個會議系統顯然不是一個可行方案，本方案通過利用具有良好兼容性的MCU接入前端視頻監控，與監控系統實現無縫數據互通，將實時畫面回傳到會議系統中，且支持廣播多路監控圖像至各分會場，分會場也具有自主選擇主畫面的功能，根據各自需求選擇相適應的畫面。

3.5.3? 語音備份

用戶有時會由于網絡故障等因素無法參與會議，導致信息傳達不到位，針對此情況，本系統支持IP語音備份及模擬語音備份等多種備份方案，確保在用戶端出現故障時，客戶端能對會議內容進行備份。

4? 結? 論

隨著物聯網與5G時代的來臨，人們對于視頻會議的需求將更加多樣化，系統應用場景將更加多元化，通過利用云計算與大數據的發展成果，現有的視頻會議系統已完全顛覆傳統視頻會議系統。就目前的市場而言，我國的視頻會議系統還具有較大的發展空間，市面上雖然有很多相應的產品，可掌握核心技術的廠家屈指可數，我們在技術自主化方面還有較長的路途。

人們的需求是導致產品進化的根源，在以后的市場環境中，視頻會議系統必將還會有其獨特的作用性，成本降低、可用性強、多功能性等優勢將是視頻會議系統在更多的場景中出現的契機。

參考文獻：

[1]王曉曄.基于組播技術的網絡視頻會議的研究與實現 [J].現代信息科技，2019，3（3）：52-54.

[2] 沈劉平，于江，秦愛祥.視頻會議系統 [J].兵器裝備工程學報，2011，32（4）：83-84.

[3] 黃杏英.視頻會議系統 [D].廈門：華僑大學，2007.

[4] 張玲.軟件視頻會議系統的設計與實現 [D].成都：電子科技大學，2011.

[5] 涂友華.基于SIP的IP視頻會議系統的研究 [D].北京：北京郵電大學，2006.

[6] 江湖.全高清視頻會議系統在集團型企業中的應用 [J].智能城市應用，2020，3（1）：42-45.

[7] 陳立彬.1080p高清視頻會議系統在金融資產管理公司中的應用 [J].信息周刊，2020（4）：172-173.

[8] 陳楊.視頻會議系統技術探討 [J].通訊世界，2017（6）：59-60.

作者簡介：劉浩然（2000—），男，漢族，四川德陽人，本科，研究方向：計算機網絡;劉彬（1982—），男，漢族，四川資陽人，網絡安全高級工程師，講師，碩士，研究方向：計算機網絡。