云会议的数据加密和防火墙穿越.docx

云会议的数据传输:加密与防火墙穿越2011年3月 创想空间商务通信服务有限公司声明创想空间商务通信服务有限公司为客户提供全方位的技术支持，用户可与就近的办事处联系，也可直接与公司总部联系。 创想空间商务通信服务有限公司 地址：北京市海淀区上地东路1号院4号楼鹏寰国际大厦11层 网址： 客服热线：400-810-8600 客服传真：(86-10) 59933777 客服邮箱：版权所有 创想空间商务通信服务有限公司 2009。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 注意 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。云会议的数据传输：加密与防火墙穿越数据传输包含两个部分：用于通过 Internet 传送数据的加密，以及数据穿越每个参会人的防火墙的方式。1. 加密技术在全时云会议使用的过程中，参会人通过公共互联网共享内容。所有的内容传输都采用了先进的 SSL 技术防止未经授权的截取。这样的技术与金融机构为了保障他们的在线交易所使用的技术是相同的。当用户上传文档到全时云会议分布式部署的服务器，这些文档都已经以 128位 AES 加密技术保护。在会议进行期间，这些共享的文档、屏幕数据都以加密的格式传送，等数据成功传送到了每个人的客户端软件，才进行解密。与会者的客户端在连接服务器的时候，会使用 HTTPS 通讯协定串气服务器与客户端之间的连接，然后加密来传输会议中需要的数据与信息。每一个与会者都会使用唯一的密钥来启动客户端与服务器的安全连线。一旦与会者建立起安全的连接，所有已经用 AES 加密的共享信息就可以通过这条安全的网络传输。这样的方式能保证全时云会议在不需要曝露用户共享的内容情况下，依然可以利用与会者的代理服务器来传输内容。2. 防火墙穿越今天商业活动的本质，需要让信息工作者能同时跟内部与外部进行沟通交流。为了让最大范围的用户使用网络服务，一个网络会议服务平台与软件必须要能让参会人从不同的公司网络连接到服务器，而这些公司网络环境通常都会以防火墙保护。全时云会议采用了独特的技术，保障每个用户在使用全时云会议期间以最有效的方式通过防火墙来进行传输。这种方式必须尽可能地达到最大的用户使用范围，而且为每个用户建立一个通讯传输管道，因此没有人能被迫忍受因为其他用户的防火墙配置而导致速度过慢的连接。什么是防火墙策略防火墙策略定义了哪些数据可以允许进入内网并且进行传输。封包进入内网后，有可能会因为曝露了防火墙背后的电脑而导致防火墙外部攻击而被阻拦下来。而防火墙内的封包也可能因为为了尽量降低敏感信息穿越拥有者的控制而禁止外流。最严格的政策就是禁止所有信息穿越防火墙，网络管理者可以很容易地切开这两段网络而达成这样的效用。在这样的情况下，没有任何互联网通信能通过内网，也没有任何内网信息能传送到互联网上。这样的场景通常都适用于在讲求极其高安全性网络上，比如：国防部门的内部网络上。然而，这也意味着内网的用户无法通过网络连接到互联网上取得信息。举例来说，他们就没有办法从浏览器获取外面的信息。因为这样的限制对大多数用户来说过于极端，IT部门通常会设置比较宽容的政策，来管理通信网络。只是这些政策在不同的组织之间有很大的差距。这些规则通常会仰赖一些特别的通讯端口。网络会议应用的协议网络会议应用程序通常利用 HTTP、TCP或UDP协议。HTTP IT 部门通常会配置防火墙允许那些通过批准的协议，让数据封包能顺利通过防火墙。比如：大部分的防火墙能允许用户使用一种协议称为超文本协议( HTTP)来浏览网页。TCP 一些串流式语音或视频、文档传输、或者终端模拟器通常会使用不同的协议如传输控制协议(TCP)进行传输。而防火墙管理者可能会禁止档案传输，因此设立仅允许 HTTP 协议进行传输的规定。UDP 语音与视频有时候会利用 UDP 协议进行传输。UDP 有时候会被称为“尽力而为”的协议，意思就是说这样的数据封包只进行一次传输，即使这些信息并没有成功地被传送并被确认的情况下，也不会重新传输。防火墙策略：端口以特定语言或协议所编写的通讯内容，会在特定的位置被传输出去，我们称这个特定的位置为端口。端口代表了数据要传输的目标地址位置。因此防火墙能设置端口范围，同意/禁止信息的传送，也可以设置规则来限制数据传送的方向(进入、送出)以及驱动何种通讯渠道来传输信息。通过限制端口的方式，管理员可以限制信息去哪里。举例来说，互联网的标准端口是 80，而部分防火墙管理者就会配置他们的防火墙仅能允许 HTTP 流量通过 80 端口来进行传输。通过防火墙的传输l TCP部分实时通信工具能支持 T.120 以及 H.323 标准，这些标准使用了 TCP 协议。虽然 T.120 以及 H.323 都被不同的国际标准协会认可，但并没有被所有的防火墙管理员采纳。因此，它们无法通过被限制的防火墙。用户若要使用支持这些标准的产品时，可以跟防火墙管理员进行协商，以“打洞”的方式来允许使用特殊的协议与端口。但大部分的防火墙管理者在没有更进一步了解协议与产品的情况下，通常都会拒绝这样的请求，因为他们并不想让自己的内部网络因此受到外部攻击。即使配置防火墙是非常简单的，但协议认证则通常非常耗费时间。因此，这样的方式在没有事先计划好的情况下，是不可行的。由于 TCP 直连的表现优势，全时云会议会自动感测到是否允许这样的协议穿越防火墙，并且在许可的情况下使用这样的协议。但全时云会议并不会仅限使用 TCP 传输，在时机不允许的情况下，全时云会议会寻求其他替代方式来进行传输。l HTTPS这涉及到使用 HTTPS 协议以及 443 端口隧道来保障通讯内容能通过那些允许互联网浏览形式的防火墙。全时云会议采用的隧道串流式数据传输模式虽然比较效率相对较低，因而产生了性能损失，但能保障信息顺利传送。自动侦测传输技术如本文所说明的，我们可以采取不同的协议来保障最大的传输范围。然而，大部分的用户并不知道他们的防