劉邦桂

（廣東開放大學人工智能學院，廣東 廣州 510091）

1 研究背景

隨著虛擬現(xiàn)實（Virtual Reality，VR）技術(shù)[1]以及網(wǎng)絡(luò)技術(shù)的發(fā)展，基于VR 的網(wǎng)絡(luò)視頻會議越來越普及和重要，逐漸成為跨國、跨省、跨市等企業(yè)線上會議的一種主要形式。參會者佩戴專用VR 眼鏡就能參與虛擬現(xiàn)實會議，這是與普通線上網(wǎng)絡(luò)語音會議有較大區(qū)別的一種會議新形式，這種會議形式非常接近現(xiàn)實，既真實又生動。如何通過研究網(wǎng)絡(luò)中的虛擬專用網(wǎng)技術(shù)來服務(wù)于VR 視頻會議，提升視頻會議的通信質(zhì)量，減少部署成本，是目前網(wǎng)絡(luò)安全領(lǐng)域研究的熱點和難點。

2 VR 網(wǎng)絡(luò)視頻會議通信的不足

按照公司組織形式來看，基于VR 的網(wǎng)絡(luò)視頻會議架構(gòu)至少有3 種情況（見圖1）。一是總公司與分公司連接情況；二是總公司與合作伙伴或者辦事處連接情況；三是總公司與單個或者少量出差員工連接情況。

圖1 基于VR 的網(wǎng)絡(luò)視頻會議組織架構(gòu)

如果這些情況都是使用基于公網(wǎng)視頻會議方式，將會存在以下不足。成本和工作效率方面，由于是遠距離跨網(wǎng)絡(luò)部署，很難避免部署成本高、部署時間長、靈活性差等問題的出現(xiàn)，特別是目前遠程辦公越來越普及，經(jīng)常在通過會議來訪問內(nèi)網(wǎng)業(yè)務(wù)的時候發(fā)現(xiàn)，可承載的業(yè)務(wù)種類不多；網(wǎng)絡(luò)服務(wù)質(zhì)量方面，經(jīng)常出現(xiàn)延時、丟失數(shù)據(jù)包、會議數(shù)據(jù)無加密或者保護級別不夠?qū)е滦姑?、連接方式不靈活等情況。

3 虛擬專用網(wǎng)、視頻會議、VR 介紹

3.1 虛擬專用網(wǎng)

3.1.1 虛擬專用網(wǎng)技術(shù)的定義

虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)[2]是指在公網(wǎng)上通過特殊隧道協(xié)議在通信節(jié)點之間建立一個虛擬安全傳輸連接，隧道技術(shù)能夠穿越復雜的外部公共網(wǎng)絡(luò)，讓通信節(jié)點透明，與局域網(wǎng)一樣進行可靠通信?！疤摂M”就是在通信節(jié)點間建立的是虛擬鏈路，而以非物理連接貫通網(wǎng)絡(luò)，數(shù)據(jù)能夠通過被封裝打包后在互聯(lián)網(wǎng)公共數(shù)據(jù)網(wǎng)進行遠程傳輸；“專用網(wǎng)絡(luò)”是指用戶能夠按照自身需求，設(shè)計出最適合自己的網(wǎng)絡(luò)，不受公網(wǎng)其他用戶干擾，處于私有管理策略之下，具有獨立地址和路由規(guī)劃。

3.1.2 虛擬專用網(wǎng)的分類

用戶接入網(wǎng)絡(luò)有多種途徑，最常用的一種是非對稱數(shù)字用戶線路（Asymmetric Digital Subscriber Line，ADSL）。當前，5G 技術(shù)迅猛發(fā)展，越來越多的用戶通過5G 技術(shù)訪問互聯(lián)網(wǎng)。從訪問模式上來看，可以分為專線和撥號兩種[3]。專線VPN 是一種VPN 解決方案，針對那些在專線上訪問網(wǎng)絡(luò)業(yè)務(wù)提供商（Internet Service Provider，ISP）邊緣router 的用戶。它是一個永久的、虛擬的專用網(wǎng)絡(luò)，節(jié)省了傳統(tǒng)長距離線路的成本；撥號VPN 指使用公共交換電話網(wǎng)絡(luò)（Public Switched Telephone Network，PSTN）或綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（Integrated Services Digital Network，ISDN）連接到互聯(lián)網(wǎng)運營商的VPN。不像專線VPN，撥號VPN 是一種需要主動發(fā)起連接的方式，這是一個沒有固定連接的VPN，通常用于遠程漫游。因此，撥號VPN 通常要進行身份驗證，例如使用挑戰(zhàn)握手認證協(xié)議（Challenge Handshake Authentication Protocol，CHAP）和遠程用戶撥號認證服務(wù)（Remote Authentication Dial In User Service，RADIUS）。

根據(jù)開放式系統(tǒng)互聯(lián)[4]（Open System Interconnection，OSI）參考模型分層，根據(jù)協(xié)議所處不同層次，將VPN 劃分為數(shù)據(jù)鏈路層VPN、網(wǎng)絡(luò)層VPN、應(yīng)用層VPN，有點對點隧道協(xié)議（Point to Point Tunneling Protocol，PPTP）、二層隧道協(xié)議[5]（Layer 2 Tunneling Protocol，L2TP）、最傳統(tǒng)的虛擬組網(wǎng)協(xié)議（Generic Routing Encapsulation，GRE）、互聯(lián)網(wǎng)安全協(xié)議[6]（Internet Protocol Security，IPSec）、多協(xié)議標簽交換（Multi-Protocol Label Switching，MPLS）、邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）、SSL VPN 等多種。PPTP、L2TP 屬于數(shù)據(jù)鏈路層，GRE、IPSec 屬于網(wǎng)絡(luò)層，SSL 屬于應(yīng)用層。其中，L2TP 與PPTP 一樣使用用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）來封裝點對點協(xié)議（Point to Point Protocol，PPP），默認使用端口號1701，有隧道驗證和用戶身份認證功能，能夠給客戶端分配動態(tài)地址，不具備加密功能；GRE[7]是一種使用比較多的數(shù)據(jù)封裝協(xié)議，能夠用任意一種協(xié)議封裝任意一種其他協(xié)議，特別適用于解決互聯(lián)網(wǎng)協(xié)議第4版（Internet Protocol Version 4，IPv4）和互聯(lián)網(wǎng)協(xié)議第6 版（Internet Protocol Version 6，IPv6）技術(shù)孤島問題，也沒有數(shù)據(jù)加密功能；IPSec 有基于點到點隧道模式、基于端到端的傳輸模式兩種工作模式，提供多種加密算法和驗證算法，能夠在通信過程中動態(tài)生成用于加密和解密的密碼，可單獨使用，大部分情況用于結(jié)合GRE、L2TP 等其他VPN來嵌套使用，以滿足不同情況需求。

3.1.3 虛擬專用網(wǎng)的特點

一是安全有保障，VPN 技術(shù)是一種在公用網(wǎng)絡(luò)中建立虛擬私有鏈路、點對點連接的網(wǎng)絡(luò)技術(shù)，采用了加密技術(shù)，通過這種方式傳輸，確保數(shù)據(jù)的完整性和機密性。二是擴展靈活，VPN 能夠?qū)崿F(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)各種數(shù)據(jù)的通信，讓接入用戶不受物理位置和網(wǎng)絡(luò)類型的制約。三是易于管理，VPN管理從兩個方面進行，即ISP 和用戶兩個層面，在ISP 端預先建立好管理用戶、網(wǎng)絡(luò)連接、數(shù)據(jù)通信等規(guī)則應(yīng)用于端設(shè)備，在客戶端只需要登錄，盡量簡化配置工作和維護工作。VPN 的管理目的主要是降低網(wǎng)絡(luò)風險，使網(wǎng)絡(luò)具備以下特征：高可擴充性、低成本、高管理、高可靠性。

3.2 視頻會議

視頻會議是網(wǎng)絡(luò)技術(shù)發(fā)展的重要產(chǎn)物，由會議終端、中央控制單元、數(shù)據(jù)傳輸網(wǎng)絡(luò)、會議平臺構(gòu)成[8]。會議終端是用戶直接使用的設(shè)備，需要具備音頻、視頻碼流處理功能，把采集到的信息通過數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)狡渌K端；中央控制單元將會議終端收到的音頻信息和視頻信息通過分配算法，分配到各個具體終端，具有一對多的信息處理功能；數(shù)據(jù)傳輸網(wǎng)絡(luò)主要負責將各個系統(tǒng)互連起來實現(xiàn)數(shù)據(jù)過濾、加密、存儲和轉(zhuǎn)發(fā)，包括防火墻、路由器、交換機等通信設(shè)備以及光纖、電纜、雙絞線等有線通信介質(zhì)和無線通信介質(zhì)；會議平臺是會議具體組織和呈現(xiàn)的平臺，有軟件、硬件和軟硬件結(jié)合平臺等幾類，目前比較成熟的平臺有騰訊會議、Zoom、釘釘?shù)取?/p>

3.3 VR

VR 融合了3D 視覺、三維聲音重構(gòu)、實時繪制等技術(shù)[8]，從現(xiàn)實環(huán)境中采集三維數(shù)據(jù)，對數(shù)據(jù)進行整合、調(diào)取和網(wǎng)絡(luò)傳輸，最后在終端設(shè)備支持下以模擬仿真的形式呈現(xiàn)出來。目前有桌面虛擬現(xiàn)實系統(tǒng)、沉浸式虛擬現(xiàn)實系統(tǒng)和多圖層虛擬現(xiàn)實系統(tǒng)幾種。其中，后兩種給用戶的感官體驗趨于真實，但需要額外穿戴設(shè)備，對數(shù)據(jù)傳輸網(wǎng)絡(luò)要求較高，成本也更高。在仿真教學、3D 購物體驗、游戲、旅游等方面有具體應(yīng)用。

4 VR 視頻會議與VPN 關(guān)聯(lián)度分析

4.1 VR 視頻會議與VPN

一是VR 是承載在計算機網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全技術(shù)上的一個應(yīng)用，VPN 是網(wǎng)絡(luò)安全技術(shù)的一個子領(lǐng)域，有助于解決上面VR 會議的大部分問題，VPN 模擬現(xiàn)實中的專線連接，將VR 通信兩端以透明專線連接起來，在通信兩端的路由器上進行專網(wǎng)配置；二是目前VPN 技術(shù)相當成熟，有比較全面的理論支持；三是隨著IPv6 地址不斷推廣，在越來越多內(nèi)網(wǎng)使用IPv6 的情況下，VPN 技術(shù)能夠利用GRE 構(gòu)建IPv4 to IPv6 和IPv6 to IPv4 協(xié)議轉(zhuǎn)換的數(shù)據(jù)通信通道[9]，展現(xiàn)出與普通互聯(lián)網(wǎng)互聯(lián)所沒有的優(yōu)越性，解決了因為網(wǎng)絡(luò)協(xié)議不同而導致的視頻會議無法連接的問題；四是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，VR 視頻會議在政治、經(jīng)濟、文化等領(lǐng)域廣泛應(yīng)用，運用VPN 技術(shù)能夠?qū)?shù)據(jù)進行安全處理，確保通信安全；五是VR 技術(shù)不斷發(fā)展，VR 眼鏡的功能越來越全面，能夠完成目前其他終端網(wǎng)絡(luò)的接入工作。

4.2 VR 視頻會議通信安全分析

基于VR 視頻會議通信，數(shù)據(jù)安全由三要素來決定，分別是數(shù)據(jù)的機密性、完整性和可用性。要對通信數(shù)據(jù)進行驗證（Authentication）、授權(quán)（Authorization）、加密（Encryption）、解密（Decryption）等操作，普通路由器所承載的通信協(xié)議在公網(wǎng)中根本無法完成這些操作，說明VPN 技術(shù)具有優(yōu)越性。

4.2.1 機密性

機密性是確保通信數(shù)據(jù)保密不被未授權(quán)的人竊?。煌暾允谴_保數(shù)據(jù)不被修改而傳給對方并被對方理解。VPN 的優(yōu)勢就是能夠?qū)?shù)據(jù)進行動態(tài)加密。目前VPN 中有對稱加密算法和非對稱加密算法兩種算法，足夠滿足數(shù)據(jù)通信的加密要求。數(shù)據(jù)加密可以選用目前流行的RSA 非對稱密鑰體制，對于會議保密級別不高的情況，也可以使用DES、RC5 等對稱密碼算法。加密和解密的密鑰也可以由參會雙方終端設(shè)備通過網(wǎng)絡(luò)密鑰交換協(xié)議（Internet Key Exchange，IKE）來動態(tài)生成，能有效避免竊聽、數(shù)據(jù)竊取、中間人攻擊等不安全通信行為。

4.2.2 完整性

完整性是指數(shù)據(jù)在不被第三方修改的情況下進行安全傳輸，包括數(shù)據(jù)完整性、隧道驗證、用戶身份認證等內(nèi)容。通信設(shè)備使用單向散列函數(shù)對數(shù)據(jù)進行驗證，比如常用的信息摘要算法（Message Digest Algorithm MD5）、安全散列算法1（Secure Hash Algorithm 1，SHA-1）等。會議建立過程中能進行基于密碼的端到端隧道驗證，同時通信雙方身份驗證可以通過本地密碼認證、專用Radius 服務(wù)器認證、電子身份證或來源于VR 虛擬眼鏡的各種生物認證、外置身份卡等途徑來完成。

4.2.3 可用性

可用性是指構(gòu)建軟件和硬件雙重備份，確保通信數(shù)據(jù)和通信服務(wù)不被中斷，或者即使通信雙方在遇到會議中斷的情況下也能實現(xiàn)最快主備份切換。比如，路由備份、鏈路備份、設(shè)備主備切換等。為了會議能夠連續(xù)、安全地進行，VPN 技術(shù)需要對通信鏈路進行安全檢測，在出現(xiàn)問題的情況下進行必要的、有針對性的防御和制止。

5 VR 安全通信方案設(shè)計與實現(xiàn)

5.1 場景分析

通過對圖1 中基于VR 的網(wǎng)絡(luò)視頻會議組織架構(gòu)進行分析，視頻會議要在總部、辦事處、出差員工、合作伙伴中構(gòu)建，根據(jù)不同特點需要選擇不同架構(gòu)，必要時對通信數(shù)據(jù)進行加密保護。實際情況中，單個VPN 未能實現(xiàn)加密功能，需要VPN 嵌套使用，L2TP 最適合移動用戶VPN 接入；GRE 最適合站點到站點的VPN 接入，支持動態(tài)路由協(xié)議；IPSec 提供數(shù)據(jù)加密服務(wù)并確保數(shù)據(jù)的完整性。因此，在實際運用中，各種VPN 技術(shù)嵌套是必要的和可行的。網(wǎng)絡(luò)架構(gòu)總體設(shè)計見圖2。

圖2 網(wǎng)絡(luò)架構(gòu)總體設(shè)計圖

5.2 網(wǎng)絡(luò)架構(gòu)設(shè)計

場景一，會議參與者較多的情況。針對前面所提到的幾種工作情況，可以選擇不同方式來設(shè)計。對于規(guī)模較大的公司，出現(xiàn)多區(qū)域多人參與的情況，可以選擇此種網(wǎng)絡(luò)基本架構(gòu)。在兩個通信區(qū)域之間的外網(wǎng)處架設(shè)接入設(shè)備，這類設(shè)備可以用目前性能較高的路由器或者防火墻實現(xiàn)兩區(qū)域的連接。這種架構(gòu)對參會者終端設(shè)備要求比較低，由各區(qū)域主要接入設(shè)備來完成登錄、驗證、授權(quán)、加密工作，此類參會人員只需要選用目前普通VR 眼鏡即可實現(xiàn)（見圖3）。

圖3 大量員工會議拓撲圖

圖3 中，會場A 和會場B 都有大量參與者，可以構(gòu)建點到點隧道，選用GRE VPN，鑒于會議可能需要加密，因此使用GRE+IPSec 結(jié)合方式，其中GRE 用于構(gòu)建隧道，IPSec 用于加密GRE 隧道數(shù)據(jù)。

場景二，單個參與者或者少量參與者的情況。對于個別員工出差、網(wǎng)絡(luò)服務(wù)參與者較少的情況，可以選擇此種網(wǎng)絡(luò)基本架構(gòu)。這類架構(gòu)對參會者終端設(shè)備要求比較高，需要佩戴VR 眼鏡才能夠通過遠程服務(wù)器進行登錄、驗證、授權(quán)、加密等工作。特別是目前公網(wǎng)IP 有v4 和v6 版本的情況下，VR眼鏡還需要有協(xié)議轉(zhuǎn)換功能。這類場景最大的好處是參會者不需要在固定場所參與視頻會議，而是可以隨時隨地參會，會議組建也非常靈活和方便。不足之處就是需要參會者具備一定的VR 眼鏡操作能力。L2TP 沒有加密功能，在會議信息需要加密傳輸時可以使用與L2TP+IPSec 結(jié)合的方式，其中L2TP 用來給外出員工通過媒體服務(wù)器與總部進行連接，IPSec 用來對通信數(shù)據(jù)進行加密（見圖4）。

圖4 少量員工會議拓撲圖

5.3 架構(gòu)仿真實現(xiàn)

場景一，異地參會者較多的情況，選用GRE OVER IPSec 隧道[10]。

要求在會場A 出口路由器A 和會場B 出口路由器B 之間先建立GRE 隧道，然后在路由器A 和路由器B 之間建立IPSec 隧道來保護GRE 隧道。在運用IPSec 加密會議數(shù)據(jù)過程中，加密和解密所需要的密碼具有靜態(tài)和動態(tài)、對稱和非對稱等屬性，因為靜態(tài)密碼需要人為設(shè)置且容易出現(xiàn)錯誤和泄露，所以選用IKE 來動態(tài)生成，其中加密和解密算法在隧道配置過程中可以按要求來選用。

配置GRE 隧道。在會場A 和會場B 端口路由上新建隧道并指定源和目的，其中分部會場B 建立隧道，指定源和目的配置與總部會場A 類似。

配置IPSec 保護GRE 隧道。首先新建會場之間需要保護的GRE 隧道會議數(shù)據(jù)流，以IPSec+IKE為主模式，使用預共享密鑰方式，對GRE 隧道封裝后數(shù)據(jù)進行128 位的高級加密標準（Advanced Encryption Standard，AES）算法加密保護，在構(gòu)建對等體時會場之間需要運用密碼來相互驗證身份，最后將安全策略應(yīng)用在會場之間出口路由上。會場B 出口路由器B 上對等對應(yīng)配置，特別是端口地址、訪問控制列表（Access Control Lists，ACL）地址一定要相互對應(yīng)。

場景二，異地參會者較少的情況，選用L2TP over IPsec[3]。

配置L2TP VPN。選擇合適路由協(xié)議，實現(xiàn)分部會場與總部會場之間的公網(wǎng)連通,在分部會場上首先啟動L2TP 功能，配置l2tp 組，同時啟動會場之間的隧道密碼驗證，其中start l2tp 命令指定了總部會場的地址，并指定公司域名為abc.com，域內(nèi)用戶為L2TP 用戶，這樣abc.com 域內(nèi)用戶撥入將觸發(fā)L2TP 建立。

總部會場上首先啟動L2TP 功能，然后配置abc.com 域和IP 地址池。此域用于提供對L2TP VPN 用戶進行身份驗證的參數(shù)，地址池用于為L2TP VPN 客戶端分配IP 地址，這里與GRE 不同的是因為少量員工出差、地點和時間不固定等原因，L2TP 建立需要分部會場主動撥號，等總部會場通過并分配地址后才能接入，即主會場不知道出差員工地址，不能主動建立隧道。

在撥號過程中，分會場接入需要對員工進行身份驗證，驗證方式可以為本地驗證和選用專門Radius 服務(wù)器驗證，本文仿真選用本地驗證方式。新建用戶并配置其密碼和服務(wù)類型，最后配置一個虛擬模板接口，以便對撥入的L2TP VPN 用戶進行身份驗證，為其分配地址并與其進行IP 通信。

最后，在主會場端配置l2tp 組，設(shè)定隧道本端名稱、隧道驗證碼等，允許接受來自公司域名abc.com 內(nèi)且名為LAC 的分部會場設(shè)備發(fā)起的控制連接，控制連接建立后隧道內(nèi)就可以進行數(shù)據(jù)通信，但目前還沒有任何加密設(shè)置。

配置IPSec VPN 保護L2TP VPN 數(shù)據(jù)，在總部會場上配置IPSec/IKE。這個過程主要完成對已建立會場之間L2TP 內(nèi)數(shù)據(jù)進行加密的工作，由于加密系統(tǒng)包含加密和解密兩個過程，分會場因為與會人員較少而且位置不固定，可以在VR 眼鏡上預安裝相應(yīng)撥號軟件，讓VR 眼鏡開機就可自動撥號。主會場端需要配置加密會議數(shù)據(jù)流、設(shè)置數(shù)據(jù)加密算法、驗證算法、驗證隧道之間密碼等。

6 結(jié)束語

以上架構(gòu)中，對VR 眼鏡的要求會越來越高，虛擬眼鏡目前除了視覺成像之外，已經(jīng)具備登錄并連接服務(wù)器的功能，越來越可以替代電腦和手機功能來參與虛擬現(xiàn)實的交互。例如，用戶登錄、數(shù)據(jù)加密、身份認證等功能，且這將是一個趨勢，為此項研究在現(xiàn)實中使用提供了可能性。當前，還有新的要求也對此項研究提出了挑戰(zhàn)。例如，VR 眼鏡是否支持IPv6 協(xié)議或是否支持IPv4 協(xié)議轉(zhuǎn)換等功能，這就需要后臺的一大批服務(wù)器做計算支撐，成本也會隨之增加。