Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)

Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (LV thạc sĩ)

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công

bố trong bất cứ công trình nào

TÁC GIẢ

Dương Bắc Sơn

LỜI CÁM ƠN

Luận văn thạc sĩ kỹ thuật chuyên ngành Công nghệ Thông tin với đề tài

“Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình

đa điểm (Video Conferencing)” là kết quả quá trình cố gắng không ngừng của bản

thân và được sự giúp đỡ, động viên khích lệ của các thầy cô, bạn bè đồng nghiệp và người thân Qua trang viết này tác giả xin gửi lời cảm ơn tới những người đã giúp

đỡ tôi trong thời gian học tập - nghiên cứu khoa học vừa qua

Tôi xin tỏ lòng kính trọng và biết ơn sâu sắc đối với thầy giáo TS Nguyễn Vĩnh An người đã trực tiếp tận tình hướng dẫn cũng như cung cấp tài liệu thông tin khoa học cần thiết cho luận văn này

Xin chân thành cảm ơn Ban Lãnh đạo Học viện Bưu chính Viễn thông, khoa Quốc tế và Đào tạo Sau đại học đã tạo điều kiện cho tôi hoàn thành tốt công việc nghiên cứu khoa học của mình

Cuối cùng tôi xin chân thành cảm ơn đồng nghiệp, đơn vị công tác đã giúp đỡ tôi trong quá trình học tập và thực hiện Luận văn

Trân trọng./

TÁC GIẢ

Dương Bắc Sơn

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH iii

MỞ ĐẦU 1

1 Tính cấp thiết của đề tài 1

2 Tổng quan về các vấn đề nghiên cứu 2

3 Mục đích nghiên cứu 4

4 Đối tượng và phạm vi nghiên cứu 4

5 Phương pháp nghiên cứu 4

CHƯƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG HỘI NGHỊ TRUYỀN HÌNH 5

1.1 Quá trình phát triển dịch vụ, giải pháp hội nghị truyền hình 5

1.1.1 Khái niệm về Hội nghị Truyền hình (Video Conference) 5

1.1.2 Ưu điểm và nhược điểm của Video Conference 7

1.2 Cấu trúc và kiến trúc của hệ thống hội nghị truyền hình 8

1.2.1 Các thành phần 8

1.2.2 Kiến trúc tổng quát 9

1.3 Công nghệ sử dụng và Các thành phần kết nối Video Conference 11

1.3.1 Công nghệ sử dụng: 11

1.3.2 Các thành phần kết nối Video Conference: 11

1.4 Kết luận Chương 15

CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG HỘI NGHỊ TRUYỀN HÌNH 16

2.1 Tổng quan về bảo mật cho hệ thống hội nghị truyền hình 16

2.1.1 Bảo mật dưới góc độ người sử dụng cuối 16

2.1.2 Dưới góc độ người quản trị kỹ thuật 16

2.2 Các tiêu chuẩn về bảo mật hội nghị truyền hình 17

2.2.1 Bảo mật H.323 17

2.2.2 Bảo mật H.235 26

2.3 Các giải pháp hạn chế nguy cơ, lỗ hổng bảo mật đối với hệ thống Hội nghị truyền hình 53

2.3.1 Giải pháp cho nguy cơ bảo mật theo các thành phần của hệ thống 53

2.3.2 Giải pháp bảo mật cho nguy cơ theo kỹ thuật tấn công 57

2.4 Kết luận chương 59

CHƯƠNG 3: GIẢI PHÁP CHO BẢO MẬT HỘI NGHỊ TRUYỀN HÌNH TẠI HỆ THỐNG HỘI NGHỊ TRUYỀN HÌNH DẦU KHÍ 60

3.1 Giới thiệu mô hình hoạt động và hệ thống Hội nghị truyền hình tại Viện Dầu khí Việt Nam 60

3.2 Giải pháp chung 60

3.3 Giải pháp áp dụng cho Viện Dầu khí Việt Nam 61

3.3.1 Đối với Đường truyền sử dụng: 61

3.3.2 Đối với vị trí thiết bị HNTH trong mạng tổng thể chung 66

3.3.3 Sử dụng thiết bị đầu cuối chuyên dụng: 71

3.3.4 Bảo mật trên MCU: 74

3.4 Triển khai thực tế và đánh giá 74

3.4.1 Phân quyền cho đúng đối tượng điều khiển MCU 75

3.4.2 Thực hiện cuộc gọi ở các chế độ: 78

3.5 Đánh giá mô hình triển khai: 82

3.5.1 Những mặt đạt được: 82

3.5.2 Những mặt hạn chế 83

3.5.3 Hướng phát triển hệ thống 83

3.6 Kết luận chương 83

KẾT LUẬN 85

TÀI LIỆU THAM KHẢO 87

DANH MỤC TỪ VIẾT TẮT

1 HNTH Hội nghị truyền hình

2

MCU Multipoint Control Unit

(Thiết bị điều khiển đa điểm)

3

VCS Video Conferencing System

(Hệ thống kết nối hội nghị truyền hình)

4

CCU Central Control Unit

(Thiết bị điều khiển trung tâm)

5 RTP Real – Time Transport Protocol

6 RTCP Real – Time Control Protocol

7 MPLS Multi Protocol Label Switching

8 VPN Virtual Private Network (Mạng riêng ảo)

DANH MỤC HÌNH

Hình 0.1: Hội nghị truyền hình 2 điểm: 2

Hình 0.2: Hội nghị truyền hình đa điểm (ở đây là 5 điểm) 3

Hình 1.1: Hội nghị truyền hình đa điểm 5

Hình 1.2: Thiết bị đầu cuối cho hệ thống Video Conference 8

Hình 1.3: Sơ đồ 1 hệ thống Video Conference 10

Hình 1.4: Mô phỏng các cuộc họp trực tuyến 10

Hình 1.5: Mô hình Hội nghị truyền hình kết nối điểm - điểm 13

Hình 1.6: Mô hình Hội nghị truyền hình kết nối đa điểm 14

Hình 2.1: Các thành phần H.323 18

Hình 2.2: Cấu trúc của một đầu cuối H.323 19

Hình 2.3: Kết nối giữa một điểm cuối H.323 và một điểm cuối không phải H.323 20

Hình 2.4: Kiến trúc phân tầng H.323 22

Hình 2.5: Cuộc gọi trong H.323 23

Hình 2.6: Thiết lập cuộc gọi H323 24

Hình 2.7: Thủ tục H.235 30

Hình 2.8: Thành phần ClearToken 32

Hình 2.9: Trường EncytionSync 35

Hình 2.10: Mã hóa luồng dữ liệu 36

Hình 2.11: Giải mã luồng dữ liệu 37

Hình 2.12: Cập nhật khóa 38

Hình 2.13: Mã hóa CBC 39

Hình 2.14: Giải mã CBC 39

Hình 2.15: Kĩ thuật Ciphertext Stealing 40

Hình 2.16: Định dạng gói RTP dành cho anti spamming 41

Hình 2.17: OID anti-spamming 42

Hình 2.18: Baseline security profile 43

Hình 2.19: Quá trình tính toán xác thực ở bên gửi 45

Hình 2.20: Quá trình xác thực bên nhận 47

Hình 2.21: Signature security profile 48

Hình 2.22: Quá trình tính toán giá trị xác thực bên gửi, sử dụng chữ ký điện tử 50

Hình 2.23: Quá trình xác thực ở bên nhận 52

Hình 2.24: Mô phỏng kỹ thuật giả mạo DHCP Server trong mạng LAN 57

Hình 2.25: Mô phỏng cuộc tấn công từ chối dịch vụ DDoS 58

Hình 3.1: Cấu trúc của địa chỉ VPN-IPv4 63

Hình 3.2: Mặt phẳng địa chỉ trong mạng MPLS VPN 64

Hình 3.3: Tách biệt lưu lượng 65

Hình 3.4: Sơ đồ kết nối logic Hệ thống mạng của Viện Dầu khí Việt Nam 67

Hình 3.5: Cấu hình mở các Port cho phép Video, Audio, Data của hệ thống Hội nghị Truyền hình đi ra ngoài Internet 69

Hình 3.6: Xem log trên firewall kiểm soát luồng thông tin ra ngoài Interntet 70 Hình 3.7: Thiết bị Codec Polycom HDX 9000 71

Hình 3.8: Bộ điều khiển MCU Pholycom RMX 1500 72

Hình 3.9: Yêu cầu xác thực đăng nhập quản trị MCU 75

Hình 3.10: Thay đổi địa chỉ IP của thiết bị đầu cuối 76

Hình 3.11: Mặc định chế độ Auto Answer Point-to-Point Video/ Auto Answer Multipoint Video đặt ở chế độ Yes (cho phép) 76

Hình 3.12: Đặt lại chế độ trả lời tự động khi có cuộc gọi đến (không cho phép trả lời tự động) 77

Hình 3.13: Thay đổi chế độ mã hóa H.323 Settings 77

Hình 3.14: Thay đổi chế độ mã hóa H.239, và IP H.323 cho các cuộc gọi (call

preference) 78

Hình 3.15: Cuộc gọi khi chưa đặt chế độ mã hóa H.323 AES - 128 79

Hình 3.16: Mặc định chế độ AES Encryption để ở chế độ Off 80

Hình 3.17: Đặt lại chế độ AES Encryption 81

Hình 3.18: Cuộc gọi sau khi đặt mã hóa AES - 128 81

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Trong những năm gần đây giải pháp hội nghị truyền hình là dịch vụ mở rộng trên nền tảng hạ tầng IP, cho phép các tổ chức/đơn vị, công ty/doanh nghiệp có trụ

sở chính đặt tại một nơi và các đơn vị/chi nhánh thành viên đặt ở những nơi khác nhau bị ngăn cách về mặt địa lý có thể trao đổi/hội họp với nhau không chỉ bằng lời nói, hình ảnh và có thể tham gia cùng một lúc nhiều tổ chức/đơn vị tại các địa điểm,

vị trí địa lý khác nhau, từ đó hình thành một mạng thống nhất trên toàn hệ thống

Giải pháp Hội nghị truyền hình đã được người sử dụng biết đến rộng rãi, nó

là công cụ đem lại sự thuận tiện trong việc trao đổi thông tin với nhiều ứng dụng trong nhiều lĩnh vực khác nhau của đời sống xã hội Công nghệ này ra đời đã phục

vụ công tác hội họp, quản lý, điều hành, khai thác thông qua môi trường mạng một cách hiệu quả và tiết kiệm chi phí, xóa bỏ biên giới về khoảng cách, địa lý mang lại nhiều lợi ích và hiệu quả cao cho công việc Giải pháp còn cung cấp thêm nhiều tiện ích cho người sử dụng: cho phép truyền hình ảnh, âm thanh và trình chiếu, chia sẻ các văn bản cũng như các ứng dụng Multimedia khác Cùng với sự phát triển của công nghệ và nhu cầu các cuộc họp/hội nghị/hội thảo từ xa (không phụ thuộc vào môi trường và vị trí địa lý) đã trở nên rất cấp thiết với các tổ chức/đơn vị cũng như các doanh nghiệp Hội nghị truyền hình độ nét cao HD được phát triển trong những năm gần đây đã đáp ứng được những nhu cầu đó

Vấn đề mã hóa, bảo mật thông tin của hệ thống Hội nghị truyền hình hiện nay vẫn chưa được các tổ chức, đơn vị quan tâm đúng mức, qua các nghiên cứu đánh giá thì rất nhiều hệ thống hội nghị truyền hình khi triển khai chưa được áp dụng những biện pháp an ninh, an toàn bảo mật và vì thế dễ dàng bị truy cập, đánh cắp, nghe lén thông tin Chính Vì vậy vấn đề bảo mật, an ninh, an toàn trong giải pháp Hội nghị truyền hình cần được nghiên cứu và đưa ra những giải pháp, khuyến cáo áp dụng trong thực tế để đảm bảo an ninh thông tin cho các tổ chức/đơn vị, cơ quan/doanh nghiệp đang sử dụng loại hình dịch vụ này Đó cũng chính là lý do Tôi

lựa chọn đề tài “Nghiên cứu bảo mật an toàn thông tin trong giải pháp Hội nghị truyền hình đa điểm (Video conferencing)”

2 Tổng quan về các vấn đề nghiên cứu

Ngày nay, Giải pháp Hội nghị truyền hình là một giải pháp Hội nghị trực tuyến giúp cơ quan, tổ chức, doanh nghiệp, các chủ thể kết nối từ xa qua đường truyền mạng Internet, WAN hay LAN Giảm bớt chi phí đi lại và các cuộc hội họp dày đặc, đáp ứng các cuộc hội họp tức thời với chất lượng hình ảnh và thoại sinh động, an toàn và bảo mật, lưu trữ toàn bộ thông tin hội họp Hội nghị truyền hình cho phép những người tham dự tại nhiều địa điểm từ những quốc gia khác nhau có thể nhìn thấy và trao đổi trực tiếp với nhau qua màn hình tivi như đang họp trong cùng một hội trường Công nghệ này đã được ứng dụng rộng rãi trong nhiều lĩnh vực giáo dục đào tạo, an ninh quốc phòng, y tế và chăm sóc sức khỏe

Hình 0.1: Hội nghị truyền hình 2 điểm:

Hình 0.2: Hội nghị truyền hình đa điểm (ở đây là 5 điểm)

Về giao thức sử dụng trong các hệ thống hội nghị truyền hình IP có thể chia làm hai loại chính: sử dụng giao thức H.323 và sử dụng IP multicast Tuy nhiên vấn

đề hết sức quan trọng đặt ra là đảm bảo an toàn, bảo mật cho các hội nghị truyền hình trên mạng IP và tại Việt Nam chưa có giải pháp trọn gói nào cho hệ thống Hội nghị truyền hình IP đảm bảo được tất cả các yêu cầu về an ninh, an toàn dữ liệu để

có thể đưa vào ứng dụng rộng rãi Năm 2005 nhóm tác giả của Viện khoa học kỹ thuật Bưu điện, Bộ công an, Học viện Mật mã, Ban cơ yếu chính phủ, … trong chương trình Nghiên cứu khoa học và phát triển Công nghệ Thông tin và truyền thông đã thực hiện đề tài KC.01.18 về việc Nghiên cứu Xây dựng Quy trình tổng thể, giải pháp đảm bảo an toàn, an ninh thông tin, ứng dụng cho Hội nghị truyền hình (Video Conferencing) Đề tài đã đưa ra được quy trình tổng thể và giải pháp an ninh cho hệ thống hội nghị truyền hình tại thời điểm đó và đã được ứng dụng vào một số cơ quan tổ chức, bộ ban ngành tại Việt Nam

Tuy nhiên cùng với sự phát triển của công nghệ, vẫn dựa trên nền tảng IP thì tới nay đã có nhiều thay đổi trong việc phát triển các thiết bị phần cứng, phền mềm sử

dụng trong Hội nghị truyền hình Việc đánh giá và đưa ra các giải pháp đảm bảo an ninh, an toàn dữ liệu của hệ thống trong thời điểm hiện nay chưa thực sự được quan tâm, mọi người vẫn chỉ quan tâm đến việc làm thế nào để tăng dung lượng đường truyền, truyền dữ liệu với tốc độ cao (hình ảnh sắc nét, âm thanh sống động, …) Vì vậy trong phạm vi đề tài của luận Văn sẽ tập trung vào một số nghiên cứu sau:

- Nghiên cứu giải pháp triển khai hội nghị truyền hình đa điểm tốc độ cao qua mạng WAN/Internet

- Đánh giá các nguy cơ, lỗ hổng đối với giải pháp Hội nghị truyền hình

- Nghiên cứu các tiêu chuẩn đóng gói dữ liệu, nén dữ liệu và mã hóa dữ liệu trên kênh truyền nhằm bảo đảm an ninh, an toàn hệ thống của giải pháp hội nghị truyền hình

- Đề xuất ứng dụng các giải pháp đảm bảo an ninh, an toàn dữ liệu đối với hệ thống Hội nghị truyền hình

3 Mục đích nghiên cứu

- Nghiên cứu, tìm hiểu các vấn đề cơ bản về phương pháp mã hóa, bảo mật,

an ninh, an toàn thông tin ứng dụng trong giải pháp Hội nghị truyền hình

- Đề xuất, ứng dụng trong các hệ thống Hội nghị truyền hình của doanh nghiệp hiện nay

4 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của luận văn là các phương pháp mã hóa, giải pháp đảm bảo an toàn, bảo mật thông tin dữ liệu trong hệ thống hội nghị truyền hình đa điểm

5 Phương pháp nghiên cứu

- Phương pháp nghiên cứu lý thuyết: Tổng hợp, thu thập, nghiên cứu tài liệu, các thuật toán mã hóa dữ liệu sử dụng trong giải pháp hội nghị truyền hình

- Phương pháp thực nghiệm: Ứng dụng các kết quả lý thuyết đã được phân tích vào hệ thống hội nghị truyền hình đa điểm Nhận xét, đánh giá mức độ bảo mật,

an toàn thông tin dữ liệu các cuộc họp/hội nghị

CHƯƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG HỘI NGHỊ

TRUYỀN HÌNH 1.1 Quá trình phát triển dịch vụ, giải pháp hội nghị truyền hình 1.1.1 Khái niệm về Hội nghị Truyền hình (Video Conference)

Hội nghị truyền hình (Video Conference) là hệ thống thiết bị (phần cứng) và phần mềm kết hợp với nhau để truyền tải hình ảnh và âm thanh giữa hai hoặc nhiều địa điểm từ xa kết nối qua đường truyền mạng Internet, WAN hay LAN giúp cho những người ngồi ở các nơi khác nhau có thể nói chuyện như đang ngồi trong cùng một phòng họp

Hình 1.1: Hội nghị truyền hình đa điểm

Hội nghị truyền hình (Video Conference) là một phương thức thông tin liên lạc mới, được tích hợp bởi những đặc tính của công nghệ viễn thông và công nghệ thông tin nhằm đem đến cho người sử dụng nhiều tiện ích hơn một cuộc gọi điện thoại bình thường Về cơ bản Video Conference giống như liên lạc bằng điện thoại nhưng được bổ sung hàng loạt các tiện ích khác như:

- Những người đàm thoại có thể nhìn thấy nhau

- Cùng chia sẻ dữ liệu trên máy tính như văn bản, hình ảnh, video, bảng tính,

Từ những năm 60 của thế kỷ 20, hội nghị truyền hình đã được nghiên cứu và

áp dụng ở các nước tiên tiến Đến những năm 1970 hội nghị truyền hình ứng dụng công nghệ số hóa, những năm 1980 công nghệ nén hình ảnh đã có bước nhảy vọt, kênh truyền tín hiệu hình ảnh số ra đời không chiếm nhiều dải thông rộng như kênh truyền hình Analog Với tốc độ truyền thấp hơn 34Mbit/s, tín hiệu hình ảnh đã được nén, chất lượng hình ảnh vẫn thỏa mãn nhu cầu người dùng Từ năm 1990 đến nay công nghệ máy tính và mạng Internet phát triển rất nhanh và có nhiều ảnh hưởng (tích cực) đến hệ thống hội nghị truyền hình trực tuyến

Hệ thống Video Conference được ứng dụng trong các lĩnh vực:

- Các cuộc họp, hội nghị, thảo luận, trao đổi của các đơn vị có vị trí cách xa nhau hoặc không thể gặp nhau ở cùng một nơi;

- Trao đổi thông tin và tài liệu của các nhóm làm việc chung nhưng ở các nơi khác nhau;

- Mô hình dạy học trực tuyến được trường đại học hay các trung tâm dạy học hay sử dụng;

- Tư vấn từ xa, các chuyên gia có thể lắng nghe khách hàng và tư vấn các vấn

đề của họ như đang ở trong một cuộc gặp trực tiếp;

- Chăm sóc y tế từ xa người bệnh có thể được khám bệnh, chẩn đoán hay thậm chí phẫu thuật gián tiếp từ các chuyên gia y tế tại những nơi rất xa;

- Các lĩnh vực yêu cầu trao đổi thông tin, hình ảnh, âm thanh thời gian thực khác

Với mỗi lĩnh vực kể trên hội nghị truyền hình luôn là lựa chọn tối ưu khi khoảng cách giữa các điểm liên lạc với nhau là khá xa, không thuận lợi cho việc đi lại để trực tiếp gặp mặt nhau trao đổi công việc

1.1.2 Ưu điểm và nhược điểm của Video Conference

Ưu điểm:

- Cung cấp một môi trường làm việc đa phương tiện, hỗ trợ đa điểm (Multimedia)

- Chức năng chuyển mạch gói trên nền TCP/IP

- Cung cấp giải pháp tích hợp trên nền mạng máy tính sẵn có của đơn vị

- Triển khai, cài đặt, cấu hình và bảo dưỡng nhanh chóng và dễ dàng

- Độ tin cậy và ổn định cao

- Hỗ trợ đầy đủ các tính năng như cuộc họp thông thường

- Sử dụng các chuẩn công nghệ mới nhất H.320, H.323, SIP, 3G…

- Tiết kiệm thời gian di chuyển

- Tiết kiệm chi phí tổ chức hội nghị

- Thực hiện cuộc họp trực tuyến giữa nhiều văn phòng

- Tổ chức cuộc họp, hội nghị nhanh chóng và đơn giản

- Độ bảo mật và an toàn của cuộc họp cao;

- Các quyết định và nội dung trao đổi được đưa ra kịp thời và đúng lúc

Nhược điểm

- Chất lượng dịch vụ: do các mạng truyền số liệu vốn dĩ không được thiết

kế để truyền thoại thời gian thực cho nên việc bị trễ trên đường truyền hay việc mất mát các gói tin hoàn toàn có thể xảy ra và sẽ ảnh hưởng tới chất lượng dịch vụ

- Chi phí thường lớn đối với các hệ thống Video Conference chuyên dụng

1.2 Cấu trúc và kiến trúc của hệ thống hội nghị truyền hình

1.2.1 Các thành phần

Hội nghị truyền hình bao gồm 4 thành phần chính:

- Máy chủ Video Conference Server: Hoạt động giống như bộ phận điều khiển trung tâm MCU trong các hệ thống HNTH chuyên dụng với chức năng khởi tạo, quản

lý thành viên, giám sát và kết thúc các phòng hội nghị ảo (Conference room) theo yêu cầu của người sử dụng Thành phần này được coi là hạt nhân của hệ thống

- Thiết bị chuyên dùng để thu và truyền tín hiệu âm thanh, hình ảnh:

 Softphone và máy tính cá nhân (PC): Bao gồm 1 headphone, 1 phần mềm

và 1 kết nối Internet Các phần mềm Softphone phổ biến như X-lite, 3CX, Zoiper…

 Camera hoặc webcam: Hỗ trợ việc thu tín hiệu hình ảnh Tín hiệu từ các camera là tín hiệu tương tự do vậy để truyền tải trên môi trường mạng (môi trường IP) thì cần phải có thiết bị chuyển đổi sang tín hiệu số, tín hiệu sau đó được thêm địa chỉ IP, địa chỉ MAC và được truyền trên mạng với một tốc độ bit cố định

Hình 1.2: Thiết bị đầu cuối cho hệ thống Video Conference

- Hệ thống mạng truy nhập IP phù hợp: Hội nghị truyền hình được sử dụng trong hai hệ thống mạng thông thường sau:

 Mạng internet thông qua giao thức IP

 Mạng viễn thông thông qua giao thức ISDN

Hiện nay hội nghị truyền hình thường ưu tiên sử dụng giao thức IP do sự phổ biến và linh hoạt băng thông lớn hơn nhiều, tiện lợi và chi phí thấp của mạng Internet so với ISDN

- Phòng hội nghị

 Yếu tố để bắt đầu một cuộc hội nghị truyền hình hiệu quả là có được một phòng hội nghị phù hợp Một căn phòng thông thường sẽ không thể đem lại hiệu quả như ý Tai người có thể thích ứng với các tiếng ồn xung quanh nhưng micro sẽ khuếch đại những âm thanh đó và sẽ làm nhiễu cuộc hội nghị Mắt người cũng có thể thích ứng với các điều kiện ánh sáng khác nhau như tình trạng ngược sáng , nhưng camera sẽ không thể thích ứng với tình trạng ánh sáng có độ tương phản cao như vậy Cách thiết kế, bài trí trong phòng cũng cần được lưu ý kĩ để có được một cuộc hội nghị truyền hình hiệu quả

 Hội nghị truyền hình cũng là một hình thức trong truyền hình nên nó cũng

có những tiêu chí tương tự Về ánh sáng nên tránh những trường hợp có độ tương phản cao Đồ vật trong phòng không nên quá nhiều Chuyển động trong phòng cần

ở mức tối thiểu Âm thanh trong hội nghị truyền hình có thể bị chậm trễ (trong khoảng 0.5 giây) nên điều này có thể tạo ra cảm giác không thoải mái Giữa hình ảnh và giọng nói thể bị trì hoãn tạo ra sự không ăn khớp với nhau

1.2.2 Kiến trúc tổng quát

Hình 1.3: Sơ đồ 1 hệ thống Video Conference

Hình 1.4: Mô phỏng các cuộc họp trực tuyến

1.3 Công nghệ sử dụng và Các thành phần kết nối Video Conference

1.3.2 Các thành phần kết nối Video Conference:

- Phòng họp cá nhân:

Với phòng họp cá nhân, người tham gia chỉ cần trang bị thiết bị máy tính được cài đặt phần mềm thực hiện chức năng HNTH đầu cuối Các thiết bị đầu cuối cần tích hợp hoặc bổ sung các thiết bị ngoại vi như camera, micro… Cho phép người họp tham gia cuộc họp điểm – điểm hoặc đa điểm như các thiết bị cơ bản tại các phòng họp chung khác Các thành phần cần có của phòng họp cá nhân bao gồm: Phần mềm cài đặt trên máy tính (PC, Laptop) (Có thể trang bị thêm các thiết bị chuyên dụng như WebCam, micro lọc tiếng, màn hình ngoài); phần mềm có thể hỗ trợ cuộc họp điểm - điểm, cho phép kết nối cuộc họp tới tối đa 3 điểm mà không cần phải thêm thiết bị quản lý đa điểm ngoài (MCU) Hoặc có thể là thiết bị chuyên dụng đã được cài đặt ứng dụng truyền hình hội nghị, tích hợp sẵn camera, micro chuyên dụng

- Phòng họp chung:

Với mỗi điểm tham gia kết nối, cần phải trang bị đầy đủ các thành phần sau

để tham gia cuộc họp (Đây cũng là thành phần cần trang bị trong các cuộc họp Điểm - Điểm):

Camera quan sát: Thu tín hiệu hình ảnh

Micro: Thu tín hiệu âm thanh

Codec: Xử lý mã hóa nhận và truyền tín hiệu âm thanh và hình ảnh qua đường truyền

Màn hình hiển thị: Hiện thị nội dung cuộc họp; hình ảnh đầu xa, hình ảnh dữ liệu cần hiển thị

Loa: Phát tín hiệu âm thanh cuộc họp đầu gần; đầu xa

Kết nối chia sẻ hình ảnh: Sử dụng thêm máy vi tính kết nối chia sẻ dữ liệu lên cuộc họp

Tùy thuộc vào hạ tầng phòng họp mà số lượng các thiết bị âm thanh, hình ảnh sẽ được tùy chọn đáp ứng theo nhu cầu diện tích phòng họp, số lượng người tham gia, các thành phần mở rộng tùy theo nhu cầu sử dụng Khi có nhu cầu kết nối

mở rộng số điểm tham gia cuộc họp và lưu lại hình ảnh; âm thanh cuộc họp thì có thể bổ sung các thành phần sau:

Thiết bị lưu trữ: Lưu lại nội dung cuộc họp

MCU- Kết nối đa điểm: Sử dụng khi có nhu cầu kết nối nhiều điểm trong cuộc họp đồng thời, hỗ trợ nhiều tính năng cấp cao Cho phép khởi tạo, kết thúc cuộc họp, tùy chỉnh layout hiển thị, đặt lịch cuộc họp, giám sát, quản lý chất lượng cuộc họp…

1.3.2.1 Mô hình kết nối điểm - điểm:

Thiết bị đầu cuối Hội Nghị Truyền Hình tại 2 điểm cho các vị trí sẽ sử dụng các thiết bị đầu cuối như đã nêu trên Ví dụ chức năng cho hội nghị 2 điểm có thể sử dụng thiết bị hội nghị truyền hình Polycom-HDX 8000, đồng thời với tốc độ cho phép là 384Kbps cho mỗi site tham gia vào cuộc gọi

Về tốc độ đường truyền nếu tất cả các điểm kết nối có tốc độ trên thiết bị là 384Kbps, thì tuỳ theo số lượng điểm kết nối về đồng thời ta sẽ tính được tốc độc trung bình như bảng bên dưới, tuy nhiên theo phép tính toán an toàn nhất của thiết

bị Polycom thì phải thêm 20% của băng thông được ấn định trên thiết bị đầu cuối

là: 384Kbps + (20%*384) = 460Kbps (tương đương băng thông 512Kbps nếu thuê

từ nhà cung cấp dịch vụ) tại mỗi điểm khi kết nối

Băng thông yêu cầu tối thiểu cho viêc kết nối hội nghị truyền hình 2 điểm:

# of

connection

Call Quality (Kbps)

Bandwidth of Call Quality (Kbps) at Center Site A Standard Density

Bandwidth Required (Kbps) at Center Site A

High Density

Hình 1.5: Mô hình Hội nghị truyền hình kết nối điểm - điểm

Tại site 1 và site 2 sử dụng hội nghị truyền hình giữa 2 điểm thì có thể gọi trực tiếp giữa 2 điểm với nhau thông qua địa chỉ IP đã được gán trên thiết bị hoặc thông qua tên hay số do quản lí theo quy định

Yêu cầu đường truyền đủ lớn cho 02 vị trí cùng hội nghị với nhau, nhằm đảm bảo chất lượng hình ảnh và âm thanh phục vụ tốt cho hội nghị

1.3.2.2 Mô hình kết nối đa điểm:

Hội nghị truyền hình được thiết lập giữa từ 3 văn phòng trở lên với nhau Đối với kết nối đa điểm cần phải có thiết bị xử lí thông tin đa điểm (MCU – Multipoint Control Unit) để thu nhận và phân phối hình ảnh, âm thanh đến các vị trí tham gia hội nghị truyền hình

Tại trụ sở chính, chúng ta cần phải có 1 MCU riêng biệt, hoạt động như 1 thiết bị trung tâm để kết nối các điểm với nhau

Ngoài ra ở trụ sở chính cần có thêm 1 thiết bị hội nghị để thu nhận và truyền tải tín hiệu là thiết bị điều khiển trung tâm (CCU) tốt với chất lượng hình ảnh cao hơn so với trụ sở khác Ở các vị trí xa, chúng ta sẽ sử dụng thiết bị CCU hoặc phần

mềm để kết nối Lưu ý là đối với phần mềm, khi kết nối vào hệ thống sẽ được xem như là 1 vị trí riêng biệt

Hình 1.6: Mô hình Hội nghị truyền hình kết nối đa điểm

- Đường truyền kết nối

Để hội nghị truyền hình hoạt động hiệu quả thì cần phải đảm bảo băng thông cho tất cả các đường truyền có tốc độ upload bằng tốc độ download Tại phòng họp nhỏ, lớn có cùng tòa nhà với nơi đặt thiết bị MCU nên có thể sử dụng thông qua mạng LAN kết nối về MCU nên tốc độ sẽ đảm bảo trên 1.25 Mbps Băng thông kết nối đến MCU tối đa khi kết nối với các vị trí được tính theo số điểm x băng thông từng điểm (1.25 Mbps) Tốc độ nêu trên là tốc độ tính riêng ứng dụng cho các điểm Endpoint và MCU; không dùng chung với các ứng dụng khác

Khi hoạt động hệ tín hiệu Video/audio cần được mở các cổng ứng dụng trên đường truyền do đó mạng khách hàng nên sử dụng đường lease line hoặc mạng WAN tại mỗi điểm có kết nối đến hệ thống truyền hình hội nghị

1.4 Kết luận Chương

Tại chương này đã trình bày trình bày giới thiệu một số kiến thức tổng quan

về giải pháp Hội nghị truyền hình, quá trình hình thành và phát triển cũng như mô hình triển khai hệ thống Hội nghị truyền hình đa điểm, kiến trúc thành phần của một

hệ thống Hội nghị truyền hình Giới thiệu các mô hình kết nối điểm - điểm, Đa điểm trong hệ thống Hội nghị truyền hình hiện nay

CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG

HỘI NGHỊ TRUYỀN HÌNH 2.1 Tổng quan về bảo mật cho hệ thống hội nghị truyền hình

2.1.1 Bảo mật dưới góc độ người sử dụng cuối

Dưới góc độ người sử dụng cuối thì một buổi hội thảo truyền hình sẽ mở một cửa sổ tới phòng họp; Do đó, nhân viên phải đảm bảo rằng họ biết những người đang tham gia vào hội nghị truyền hình Ngoài ra, bởi vì công nghệ hội nghị truyền hình cho phép ghi âm các buổi hội nghị, nên việc phân quyền và giao nhiệm vụ cho người quản trị cấp cao cần được xem xét kỹ để tránh lộ lọt các thông tin cá nhân cũng như của tổ chức, doanh nghiệp

- Thông tin cá nhân được ghi lại

Các hình ảnh được ghi lại trên một hệ thống video đó là đủ rõ ràng để xác định một người hoặc các hoạt động mà họ đang tham gia trong phiên hội nghị

- Thông tin bí mật

Ngoài những nguy cơ lộ thông tin cá nhân cũng có nguy cơ bị lộ thông tin của đơn vị/ cơ quan/ trường học, … nếu thiết bị không được sử dụng một cách chính xác hay đúng và bảo đảm an ninh an toàn thông tin

- Phát hành vô ý hoặc tiết lộ thông tin

Âm thanh và hình ảnh được truyền tải có thể được lưu giữ như ảnh chụp hoặc video từ hệ thống ở các vị trí khác mà nó được kết nối Nếu việc truyền tải thông tin không được mã hóa, nó có thể bị chặn/ truy cập và đánh cắp một cách trái phép Các video sau đó được phát tán qua Internet hoặc sử dụng cho các mục đích khác gây tổn hại đến cá nhân, tập thể, cơ quan, đơn vị

2.1.2 Dưới góc độ người quản trị kỹ thuật

Hiện nay các thiết bị hội nghị truyền hình, được sử dụng trong hầu hết các phòng họp trên cả nước cũng như toàn thế giới Tuy nhiên đến nay vẫn có những vi phạm an ninh gây ảnh hưởng tới việc bảo mật an toàn thông tin của các cuộc họp, hội nghị Một tính năng mặc định thông thường hiện nay đối với hệ thống video

(Polycom Conference) đó là tự động trả lời cuộc gọi đến Lợi dụng điều này kẻ xấu

có thể sử dụng các kỹ thuật để tấn công lỗ hổng nghiêm trọng này nhằm khai thác

và phát tán thông tin

Một nghiên cứu của tác giả Moritz Jodeit với bài viết “Hacking Video Conferencing Systems” đã chỉ ra rằng rất nhiều người đang sử dụng các hệ thống video có thể truy cập từ Internet hoặc thông qua mạng điện thoại trong khi ở nhiều trường hợp, các vấn đề bảo mật được giới hạn trong việc triển khai và cấu hình an toàn Tác giả Moritz đã tiến hành nghiên cứu một số lỗ hổng trên các thiết bị Polycom HDX nhằm đánh giá hiện trạng bảo mật trên các thiết bị Sau khi phân tích các định dạng tập tin phần mềm cập nhật và hiển thị như thế nào để có được mức độ truy cập hệ thống cho các thiết bị khác Tác giả đã mô tả làm thế nào để thiết lập một môi trường phát triển tránh các xâm nhập trái phép phù hợp, đặt nền tảng cho nghiên cứu bảo mật trong tương lai

2.2 Các tiêu chuẩn về bảo mật hội nghị truyền hình

Tiêu chuẩn bảo mật của ITU (International Telecommunication Union) như H323 và H235 về đóng gói dữ liệu, nén dữ liệu và mã hóa dữ liệu trên kênh truyền nhằm bảo đảm an ninh

2.2.1 Bảo mật H.323

H.323 là chuẩn quốc tế về hội thoại trên mạng được đưa ra bởi hiệp hội viễn thông quốc tế ITU (International Telecommunication Union) Nó qui định các thành phần, các giao thức sử dụng, các thủ tục cho phép truyền các dữ liệu đa phương tiện (âm thanh, hình ảnh) và số liệu thời gian thực thông qua mạng IP mà không quan tâm tới chất lượng dịch vụ (QoS) Các đầu cuối của các hãng khác nhau có thể giao tiếp được với nhau nếu các đầu cuối này tuân theo chuẩn H.323

2.2.1.1 Các thành phần của một hệ thống H.323

Một hệ thống H.323 bao gồm có 4 thành phần chính cho việc truyền tin trên mạng đó là: Terminal, Gateway, Gatekeeper, MCU (Multipoint control unit)

Hình 2.1: Các thành phần H.323

 Terminal: Một ví dụ của đầu cuối H.323 được diễn tả trong Hình 2.2 Sơ

đồ này chỉ ra các phần tử người dùng, giao diện, video codec, audio codec, H.225.0 layer, hệ thống các phương thức điều khiển Tất cả các đầu cuối H.323 sẽ bao gồm một hệ thống điều khiển, H.225.0 layer, giao diện mạng và một Audio Codec Trong đó, Video Codec và các ứng dụng dữ liệu người dùng là tùy chọn

Hình 2.2: Cấu trúc của một đầu cuối H.323

H.323 terminal là một thiết bị đầu cuối trong mạng LAN có khả năng trao đổi thông tin 2 chiều thời gian thực, các terminal có thể là các thiết bị độc lập hoặc các PC Yêu cầu đối với các thiết bị đầu cuối H.323 để có khả năng trao đổi và giao tiếp được với nhau là phải hỗ trợ chuẩn H245 được dùng để điều tiết các kênh truyền dữ liệu và trao đổi khả năng của thiết bị, H225 được dùng để thiết lập, báo hiệu và huỷ bỏ cuộc gọi và RTP/RTCP được dùng để truyền các gói tin audio, video

 Gateway: Cung cấp sự chuyển dịch thích hợp giữa các định dạng truyền

dẫn (Ví dụ: H.225.0 sang H.221 và ngược lại), giữa các thủ tục truyền thông (Ví dụ: H.245 sang H.242 và ngược lại) Gateway cũng có thể thực hiện việc thiết lập cuộc gọi Việc thay đổi định dạng của video, audio và dữ liệu có thể cũng được thực hiện bên trong Gateway Gateway được dùng để kết nối giữa hai mạng không giống nhau Ví dụ, một GW có thể kết nối và cung cấp liên lạc giữa đầu cuối H323 và các mạng SCN (bao gồm các mạng điện thoại PSTN) Cung cấp giao thức biên dịch và chuyển mã giữa một điểm cuối H.323 và một điểm cuối không phải H.323

Hình 2.3: Kết nối giữa một điểm cuối H.323 và một điểm cuối không phải

H.323

Tuy nhiên, Một đầu cuối H.323 có thể kết nối một đầu cuối H.323 khác trên cùng một mạng LAN mà không cần sự tham gia của Gateway

 Gatekeeper: là thành phần tùy chọn của một hệ thống H.323, điều

khiển việc giải quyết địa chỉ và cho vào mạng H.323 Chức năng quan trọng nhất của nó là biên dịch địa chỉ giữa địa chỉ ký danh tượng trưng và địa chỉ IP Ví dụ, với sự có mặt của gatekeeper nó có khả năng gọi tới địa chỉ có tên là “Viện DKVN – HN” thay vì phải gọi tới địa chỉ IP 192.168.10.10

Khi có mặt trong hệ thống, gatekeeper cung cấp những dịnh vụ chính sau:

o Address Translation (Biên dịch địa chỉ): Gatekeeper biên dịch các địa

chỉ ký danh tượng trưng sang địa chỉ truyền dẫn thực trong mạng (địa chỉ IP) Điều này được thực hiện bằng cách sử dụng một bảng biên dịch được cập nhật thường xuyên qua các thông báo đăng ký của các đầu cuối

o Admissions Control (Điều khiển truy cập): Gatekeeper cho phép thiết bị

đầu cuối truy cập mạng LAN sử dụng thông báo ARQ/ACF/ARJ H.225.0

o Bandwidth Control (Điều khiển băng thông): Gatekeeper hỗ trợ các

thông báo BRQ/BRJ/BCF để quản lý và giám sát việc sử dụng dịch vụ và cung cấp băng thông có giới hạn

 MCU (Multipoint Control Unit): Là một đầu cuối, nó hỗ trợ đàm

thoại hội nghị giữa nhiều thiết bị đầu cuối MCU bao gồm 1 MC (multipoint controller), tùy chọn có hoặc không có các MP (multipoint processor) MC có nhiệm vụ điều khiển tài nguyên của hội thoại bằng cách xác định tài nguyên nào cần được gửi tới các thiết bị đầu cuối, MP có nhiệm vụ trộn, chuyển mạch các chuỗi tín hiệu dữ liệu, âm thanh, hình ảnh do MC điều khiển MCU sử dụng thông báo H.245 Bên cạnh mạng LAN của một Gateway có thể là một MCU Một Gatekeeper có thể cũng bao gồm một MCU

2.2.1.2 Các thành phần của Giao thức H323

 Giao thức báo hiệu cuộc gọi H.225: H.225 RAS, H.225.0 Call Signalling

 Giao thức điều khiển cuộc gọi H.245

 Giao thức truyền tải thông tin đa phương tiện RTP/RTCP

 Các chuẩn mã hóa audio: G.711, G.722, G.728, G.729

 Các chuẩn mã hóa video: H.261, H.263

Nhiệm vụ của các giao thức sử dụng trong mạng H.323

 H.225.0 bao gồm H.225.0 RAS và H.225.0 Call Signalling Phiên bản đầu tiên của giao thức báo hiệu cuộc gọi H.225.0 được công bố vào ngày 11/11/1996

o H.225.0 RAS là giao thức giữa H.323 Endpoints (Terminal, Gateway)

và Gatekeeper RAS thực thi quá trình đăng ký, thu nhận, thay đổi băng thông, giám sát trạng thái giữa H.323 Endpoints và Gatekeeper

o H.225.0 Call Signalling (Báo hiệu cuộc gọi) dùng để thiết lập kết nối giữa các H.323 Endpoints

 H.245 là giao thức điều khiển cuộc gọi Nó mang thông báo điều khiển hoạt động của các thành phần H.323 (H.323 host, H.323 gateway, H.323 gatekeeper) Chức năng quan trọng nhất của H.245 là khả năng trao đổi Các chức năng khác của H.245 bao gồm đóng mở các kênh logic, các thông báo điều khiển luồng, chế độ ưu tiên cho các yêu cầu, các chỉ dẫn và các lệnh thông thường Điểm cuối khi tham gia nó sẽ thiết lập H.245 cho mỗi cuộc gọi Để phù hợp với

H.245, các điểm cuối H.323 phải hỗ trợ cú pháp, ngữ nghĩa và các thủ tục sau:

o Khả năng trao đổi

o Xác định chủ/tớ

o Đóng mở các kênh logic

o Các điều khiển cuộc gọi

o Chế độ yêu cầu

 RTP/RCTP: Có chức năng truyền và kết hợp tín hiệu media (Audio, Video)

 Audio/Video CODEC: dùng để mã hóa và giải mã tín hiệu Audio và Video Data Control and Signalling Audio/Video Registration

T.120

H225 Call Signalling

H245 Conference Control

RTP/RTCP H225.0 RAS

Network Layer Data link Layer Physical Layer

Hình 2.4: Kiến trúc phân tầng H.323

2.2.1.3 Các thủ tục báo hiệu trong mạng H323

Hình 2.5: Cuộc gọi trong H.323

Người ta chia một cuộc gọi làm 5 giai đoạn gồm:

- Giai đoạn 1: Thiết lập cuộc gọi

- Giai đoạn 2: Thiết lập kênh điều khiển

- Giai đoạn 3: Thiết lập kênh truyền thông

- Giai đoạn 4: Dịch vụ

- Giai đoan 5: Kết thúc cuộc gọi

 Giai đoạn 1: Thiết lập cuộc gọi: Giao thức sử dụng: H.225

Hai đầu cuối gọi gửi bản tin H.225 RAS đến GK (Gate Keeper) để đăng ký

và lấy địa chỉ của đầu cuối bị gọi Sau đó, đầu cuối này trao đổi các bản tin H.225 (SETUP, CALL PROCEEDING, ALERTING, CONNECT) với đầu cuối bị gọi;

trong lúc trao đổi những bản tin này, đầu cuối bị gọi cũng sử dụng bản tin H.225 RAS để đăng ký với GK

Hình 2.6: Thiết lập cuộc gọi H323

 Giai đoạn 2: Thiết lập kênh điều khiển: Giao thức sử dụng: H.245

Các thông số của cuộc gọi sẽ được thống nhất trong giai đoạn này khi các đầu cuối gửi các bản tin H.245 cho nhau, bao gồm:

o Khả năng trao đổi của đầu cuối (Terminal Capability Exchange): là khả năng truyền, nhận cũng như xử lý các dòng thông tin của các đầu cuối Việc trao đổi thông tin giữa 2 điểm cuối là cần thiết để cả 2 có cùng phương thức CODEC trong quá trình tham gia một kết nối Các thông báo H.245 sử dụng trong quá

trình này: TerminalCapabilitySet, TerminalCapabilitySetAck

o Quyết định chủ tớ (Master-Slave Determination): Mâu thuẫn có thể nảy sinh khi 2 đầu cuối đều có khả năng MC tham gia vào một cuộc gọi hội nghị Để giải quyết vấn đề này một đầu cuối sẽ đóng vai trò chủ, các đầu cuối khác đóng vai

trò tớ Khi xảy ra mâu thuẫn các đầu cuối phải thông báo vai trò của mình Thủ tục này cho phép các đầu cuối tham gia trong một cuộc gọi xác định đâu là đầu cuối chủ, đâu là đầu cuối tớ Vai trò của các đầu cuối có thể được xác định lại trong suốt tiến trình hội nghị Các bản tin được sử dụng để xác định chủ tớ:

masterSlaveDetermination, masterSlaveDeterminationAck

o Đóng mở các kênh logic (Logical Chanel Signalling): Một kênh logic là kênh mang thông tin từ điểm cuối này đến điểm cuối khác hoặc đến nhiều điểm cuối khác Một điểm cuối có thể yêu cầu thiết lập kênh logic bằng cách gửi bản tin

openLogicalChannel Điểm cuối có thể chấp nhận yêu cầu này hoặc từ chối Nếu đồng ý nó sẽ đáp ứng bằng bản tin openLogicalChannelAck ngược lại nó sẽ

gửi bản tin phản hồi

 Giai đoạn 3: Thiết lập kênh truyền thông

Sau khi trao đổi khả năng (tốc độ nhận tối đa, phương thức mã hoá…) và xác định quan hệ master-slave trong giao tiếp ở giai đoạn 2, thủ tục điều khiển kênh H.245 sẽ thực hiện việc mở kênh logic để truyền dữ liệu Các kênh này là kênh H.225

Sau khi mở kênh logic để truyền tín hiệu là âm thanh và hình ảnh thì mỗi

đầu cuối truyền tín hiệu sẽ truyền đi một bản tin h225.0

MaximumSkewIndication để xác định thông số truyền

 Giai đoạn 4: Dịch vụ cuộc gọi

Có một số dịch vụ cuộc gọi được thực hiện trên mạng H.323 như: thay đổi

độ rộng băng tần, giám sát trạng thái hoạt động, hội nghị đặc biệt, các dịch vụ bổ sung Hai loại dịch vụ điển hình: thay đổi độ rộng băng tần và giám sát trạng thái hoạt động

 Giai đoạn 5: Kết thúc cuộc gọi

Cuộc gọi được kết thúc 1 cách tuần tự: từ kênh truyền thông, kênh điều khiển, kênh báo hiệu đến đăng ký của các đầu cuối với GK

Đầu tiên hai đầu cuối kết thúc kênh truyền thông và kênh điều khiển H.245

bằng các bản tin CloseLogicalChannel và EndSessionComand Sau đó đầu cuối

bị gọi gửi đi bản tin H.225 RELEASE COMPLETE để kết thúc kênh báo hiệu

cuộc gọi Cuối cùng, đăng ký giữa GK và đầu cuối kết thúc bằng các bản tin RAS

Trường hợp cuộc gọi không có GK: hai đầu cuối vẫn thực hiện các bước

như trên và không sử dụng các bản tin RAS

2.2.2 Bảo mật H.235

H.235 là chuẩn về bảo mật dành cho hội thoại qua mạng sử dụng giao thức báo hiệu H.323 được đưa ra bởi hiệp hội liên minh viễn thông quốc tế ITU (International Telecommunication Union) Ví dụ, những hệ thống H.323 hoạt động dựa trên mạng chuyển mạch gói (không cung cấp sự bảo đảm về chất lượng dịch

vụ QoS) Vì vậy truyền thông thời gian thực cần quan tâm tới 2 điều: xác thực và

bảo mật

H.235 mô tả những cơ sở và kĩ thuật bảo mật được tận dụng cho những thiết bị đầu cuối đa phương tiện H.3xx Nó cũng bao gồm những phạm vi cần quan tâm của việc tương tác trong hội nghị truyền thông (những giao thức và thuật toán cần thiết giữa những thực thể H.323)

H.235 cung cấp khả năng dàn xếp dịch vụ, nó liên quan đến khả năng hệ thống, yêu cầu của ứng dụng và đặc tả về ràng buộc của cách thức bảo mật Nó hỗ trợ những thuật toán mã hóa khác nhau, với những tùy chọn thích hợp với những mục đích khác nhau (Ví dụ như độ dài khóa)

o H.235 mô tả giao thức trao đổi chứng nhận điện tử (certificate), nhưng không chỉ rõ cách thức mà các bên tham gia xác nhận và chấp nhận nó Nhìn

chung, chứng nhận điện tử đưa ra 1 sự bảo đảm cho người kiểm tra rằng: người gửi chứng nhận điện tử là ai Mục đích đằng sau chứng nhận điện tử là xác thực người sử dụng thiết bị đầu cuối chứ không đơn thuần là xác thực thiết bị đầu cuối

về mặt vật lý Sử dụng chứng nhận điện tử, giao thức xác thực(authentication) này chứng tỏ được rằng người nhận sở hữu khóa bí mật (private key) tương ứng với khóa công khai (public key) chứa trong chứng nhận điện tử Cách xác thực này giúp chống lại kiểu tấn công man-in-the-midle, chứ không tự động xác định được người trả lời là ai Để làm được điều này đòi hỏi phải có 1 vài thông tin khác trong chứng nhận điện tử Ví dụ, chứng nhận điện tử thông thường bao gồm ID của nhà cung cấp dịch vụ cùng với biểu mẫu thông tin tài khoản người sử dụng quy định bởi nhà cung cấp dịch vụ

o Đối với xác thực không sử dụng chứng nhận điện tử, khuyến nghị H.235 cung cấp báo hiệu để hoàn thành những kịch bản khác nhau Phương pháp này phụ thuộc vào thứ tự liên lạc của các bên tham gia để thu được khóa chung (share secret) Như là 1 lựa chọn thứ 3, việc xác thực có thể hoàn thành cùng với việc sử dụng những giao thức bảo mật riêng biệt khác như TLS hay IPSEC

o Xác nhận 1 chiều hay 2 chiều đều có thể được hỗ trợ bởi các điểm đầu cuối ngang hàng Việc xác thực này có thể diễn ra trên 1 vài hoặc tất cả các kênh truyền thông

 Certificate (Chứng chỉ điện tử):

o Sự chuẩn hóa của chứng nhận điện tử, bao gồm quá trình tạo ra chúng, quản lý, phân phối không nằm trong phạm vi của khuyến nghị này Chứng nhận điện tử sử dụng để thiết lập kênh bảo mật (Báo hiệu cuộc gọi, điều khiển cuộc gọi) phải thích hợp với những điều đã quy định bởi giao thức được thống nhất bảo mật kênh truyền

o Chú ý khi sử dụng khóa công khai trong chứng nhận điện tử, các đầu cuối được yêu cầu cung cấp chữ kí điện tử sử dụng khóa bí mật Việc chỉ trao đổi khóa công khai trong chứng nhận điện tử không chống lại khả năng bị tấn công man-in-the-midle Giao thức H.235 thích hợp với yêu cầu này

 Call establishment security (Bảo mật báo hiệu cuộc gọi - H.225)

Có 2 lý do thúc đẩy việc thiết lập kênh bảo mật Thứ nhất là xác thực đơn giản trước khi chấp nhận cuộc gọi Thứ 2 là để cấp phép cuộc gọi Nhiệm vụ của kênh H.225 trong trường hợp này là cung cấp các kĩ thuật bảo mật mà đầu cuối có thể đáp ứng, xác nhận các kĩ thuật bảo mật đó và trao đổi chứng chỉ điện tử

 Call control security (Bảo mật kênh điều khiển cuộc gọi H.245)

Kênh điều khiển cuộc gọi cũng nên được bảo mật để cung cấp bảo đảm cho kênh truyền thông sau đó Kênh H.245 được bảo vệ sử dụng những kĩ thuật bảo mật đã được trao đổi trước đó Bản tin H.245 được sử dụng để báo hiệu thuật toán

mã hóa và khóa đã được mã hóa sử dụng trong kênh chia sẻ, kênh media Trong hội nghị đa điểm, nhiều khóa khác nhau được sử dụng cho nhiều luồng với mỗi điểm đầu cuối Nó đảm bảo an toàn đối với mỗi điểm đầu cuối trong hội nghị

Kĩ thuật bảo vệ H.245 phụ thuộc vào đầu cuối H-series liên quan Yêu cầu duy nhất cho tất cả các hệ thống tận dụng cấu trúc bảo mật này là mỗi bên phải có 1 vài cách thức dàn xếp hay báo hiệu rằng kênh H.245 được hoạt động theo cách thức bảo mật trước khi nó được khởi tạo Ví dụ, H.323 sẽ sử dụng bản tin báo hiệu H.255.0 để hoàn thành việc này

 Media stream privacy (Bảo mật kênh truyền thông)

Khuyến nghị này mô tả bảo mật truyền thông cho luồng dữ liệu đa phương tiện truyền trên mạng chuyển mạnh gói

Bước đầu tiên trong việc đạt được bảo mật truyền thông là sự cung cấp có đảm bảo của 1 kênh điều khiển, dựa trên đó để đặt 1 khóa mã hóa và thiết lập những kênh logic sẽ mang những luồng dữ liệu truyền thông đã được mã hóa Vì vậy, khi hoạt động trong 1 hội nghị có đảm bảo, các đầu cuối tham gia có thể sử dụng 1 kênh H.245 đã được mã hóa Theo cách đó, thuật toán mã hóa được lựa

chọn và khóa mã hóa đưa vào trong bản tin H.245 OpenLogicalChannel được

bảo vệ

Dữ liệu đã được mã hóa được truyền trong các kênh logic phải nằm trong

kiểu được đặc tả bởi OpenLogicalChannel Thông tin trong phần header gửi đi

không được mã hóa Sự bảo mật của dữ liệu dựa trên cơ sở mã hóa end-to-end

 Trusted elements (Thành phần tin tưởng)

Cơ sở của việc xác thực và bảo mật được định nghĩa bởi các đầu cuối của kênh liên lạc Đối với 1 kênh thiết lập cuộc gọi, đó có thể là giữa người gọi và một thành phần máy chủ Ví dụ, một máy điện thoại tin tưởng rằng chuyển mạng sẽ kết nối nó tới đúng chiếc điện thoại có số mà nó đã gọi Vì vậy, thực thể nào giới hạn kênh điều khiển mã hóa H.245 và hay kiểu mã hóa dữ liệu của kênh logic sẽ được coi như là trusted element của kết nối, nó có thể gồm các MC(U) hay gateway Kết quả của việc tin tưởng 1 thành phần là sự tin cậy để chia sẻ các kĩ thuật bảo mật (thuật toán hay khóa) cho thành phần này Điều đó được thực hiện theo cách thông thường là trao đổi chứng nhận điện tử

Sự đảm bảo cuộc gọi giữa 2 điểm đầu cuối là chắc chắn nếu những kết nối giữa các trusted element được chứng minh là bảo vệ khỏi tấn công man-in-the- midle

2.2.2.2 Các thủ tục bảo mật trong cuộc gọi sử dụng H.235

Hình 2.7: Thủ tục H.235

 Thủ tục thiết lập kết nối

Kênh báo hiệu cuộc gọi H.225 và kênh điều khiển cuộc gọi H.245 sẽ hoạt động trong chế độ bảo mật hoặc không bảo mật Đối với kênh báo hiệu, cổng bảo mật TLS (port 1300) sẽ được sử dụng Đối với kênh điều khiển cuộc gọi, chế độ bảo mật được quyết định bởi thông tin được truyền tải trong giao thức khởi tạo kết nối