瞩目视频通信云安全策略

1.1    安全概述

瞩目采用多中心方式向客户提供实时的视频、语音、数据通信服务。瞩目基础架构分别部署在运营商IDC、阿里云以及亚马逊云（AWS）。除了以上三个中心，瞩目同时准备在其他公有云上建设瞩目平台。三个中心互为备份，一个节点失效，服务将会自动切换到其他中心，保证服务的连续性。即便在会议中，某节点出现平台故障，会议在极短时间内会切换到其他数据中心平台。

瞩目采用的云平台安全策略可参考如下信息，各云平台均达到了国际水平的安全管理水平以及技术平台。

阿里云安全策略：

http://help.aliyun.com/knowledge_detail.htm?knowledgeId=5975221

亚马逊云（AWS）安全策略文档：http://aws.amazon.com/cn/security/?nc2=h_ls

瞩目基础架构采用分布式低延时的媒体路由器作为瞩目的通信基础架构，所有的会话数据从会议发起者到参加者之间都为动态更新，对防止窃听有天然的防范。在客户使用中，在瞩目后台数据库并不存储任何会话数据，且会话数据为临时数据，会议结束会话数据即从系统中消除。

1.2    身份认证

    瞩目系统的身份认证分为用户部分以及系统管理部分。

    用户部分的身份认证方式采用了用户名和密码的认证方式。用户在进行系统注册时，需要通过手机短信进行认证，实现实名制的要求。瞩目用户在通过网页、客户端登录系统时，在输入用户名和密码后，用户名和密码通过HTTPS的协议传输，加密证书为SHA2. 下图是对于zhumu.me 服务器SSL通信加密情况的验证：

 

服务器端接收用户名和密码以后，读取数据库存储的认证信息进行比较并返回结果。客户端验证过程使用唯一性的一个客户端一个会话令牌来验证每位加入会议的参会者的身份。每个会话都有一组由瞩目生成的会话参数。每个经过身份验证的参与者必须获取了这些会话参数与唯一会话令牌才能成功进行操作。用户名／密码在服务器的数据库中采用3DES算法加密存储，确保用户登录信息的安全可靠。

企业级用户的登录方式也可以采用基于SAML2.0的单点登录方式（SSO）。SAML 2.0支持基于Web的身份验证授权，包括单点登录（SSO）。 SAML2.0是一个XML框架，也就是一组协议和规范，可以用来传输企业用户身份证明， 主要是企业外的身份跨域传递，使用安全令牌来传递SAML授权（企业用户身份）和Web服务（瞩目）之间的用户信息。

瞩目可以给经过允许授权的用户开发API调用权限，每个用户帐户都将获得一对API密钥和密码。API调用通过安全的Web服务安全发送，需要进行API认证。

    系统管理的认证方式采用管理工作站证书认证的方式进行，所有系统有服务器均关闭用户／密码的登录的功能，系统管理员只能通过制定的管理工作站在指定的物理地点（IP白名单）登录服务器进行管理操作。管理工作站需要通过Windows活动目录登录，并满足域控服务器对于密码强度等的要求。

1.3    用户授权

瞩目的用户授权主要围绕着用户账户管理、开启／结束会议、会议中的控制等核心业务功能进行设计。

账户管理在用户登录zhumu.me后，可以对账户本身的基本信息进行修改；还可以对预制的会议模版所含的功能进行修改；也可以对本账户的账单进行操作，包括充值等。如果该用户同时是一个企业的管理员，那么该用户可以通过web端进行如下操作：

1.      确定登录方式是采用标准的用户名密码还是单点登录

2.      添加管理员和用户

3.      用户的升级与降级

4.      删除用户

5.      账单与报表的查询

会议相关的功能在用户登录瞩目客户端以后使用，客户端验证过程使用唯一性的一个客户端一个会话令牌来验证每位加入会议的参会者的身份。每个会话都有一组由瞩目生成的会话参数。每个经过身份验证的参与者必须获取了这些会话参数与唯一会话令牌才能成功加入会议。瞩目采取基于用户角色进行授权的方式，主要角色为主持人和参会人。

会议中主持人可控的安全操作包括：

1)      开启端到端的加密会议（E2E）

2)      移除某位或全部参会者

3)      结束会议

4)      锁定会议。主持人可禁止新的参会者加入会议，保证只有当前会议参加进入会议。

5)      允许/取消参会者录制

6)      与参会者进行私聊或群聊

7)      将参会者设为等待状态 让参会者暂时离开会议

8)      打开新窗口时暂停共享屏幕

会议中参会人可控的安全操作：

1)      安全登录

2)      静音/解除静音

3)      启动/停止视频

会议中的安全授权包括：

1)      只有会议中的参会者才能观看共享内容

2)      完全取决于会议会话是否连接成功

3)      对所有共享数据执行专有编码过程

4)      可以多所有共享内容采用AES-256位标准加密

5)      网络连接应用TLS-256位标准加密

6)      视频会议中每位参会者的视频识别

主持人可以要求参会人在加入会议前输入会议密码，这样可以防止未被邀请的人员加入。为了更好的控制会议，主持人可以要求参会人只有在主持人发起会议后加入会议；但为了更灵活，主持人也可以允许参会者在主持人开启会议前加入会议。若主持人不加入会议，30分钟后会议便终止。

1.4    密码管理

    瞩目系统的密码管理遵循信息安全的最佳实践，主要包含以下几个方面：

ü  瞩目用户有责任和义务妥善保管其个人帐号和密码，密码忘记时，可以通过注册手机号验证的方式进行找回。 

ü  用户密码设置应遵循以下原则： 密码长度不得少于6位 密码由数字、大小写字母和特殊符号组成，并具有必要的组合复 杂度，禁止使用连续或相同的数字、字母组合（如123456等）和其他易于破译的组合作为密码。 

ü  建议用户应定期（至少每季度一次）进行密码的修改，并且同一密码不能反复使用。 

ü  所有服务器端的用户名／密码登录关闭，采用证书登录的方式。

1.5    数据传输加密

瞩目对所有瞩目客户端与服务器、多媒体路由器之间的通信采用TLS-256加密通道进行加密。

1.6    数据存储加密

瞩目系统所有涉及的用户数据均存储于阿里云RDS数据库中，数据加密采用数据库系统自身的技术进行加密。包括下面的方式：

.SSL

RDS 提供 MySQL 和 SQL Server 的安全套接层协议。使用 RDS 提供的服务器端根证书来验证目标地址和端口的数据库服务是否为 RDS 提供，从而有效避免中间人攻击。除此之外，RDS 还提供了服务器端 SSL 证书的启用和更新能力，以便用户按需更替 SSL 证书以保障安全有效性。

TDE

RDS 提供 MySQL 和 SQL Server 的透明数据加密功能。在开启了透明数据加密功能的 RDS 实例上，系统管理员可以指定参与加密的数据库或者表。

这些数据库或者表中的数据在写入到任何设备（磁盘、SSD、PCIE 卡）或者服务（OSS、OAS）前都会进行加密，因此实例对应的数据文件、备份都是以密文形式存在。

TDE 加密采用国际流行的 AES 算法，秘钥长度为 128 比特。秘钥由 KMS 服务加密保存，RDS 只在启动实例和迁移实例的动态读取一次秘钥。管理员可自行通过 KMS控制台对秘钥进行更替。

 

1.7    数据备份

部署于IAAS的架构上为瞩目系统提供了丰富的数据备份选项。瞩目系统服务器主要采用IAAS服务商提供的快照以及镜像功能，并设计相应的更新策略。数据库系统采用IAAS提供商的RDS服务，以及相应的RDS数据备份策略。RDS 提供两种备份功能，分别为数据备份和日志备份。

数据备份为强制项，管理员设置每天在3:00执行全量的常规物理备份。另外管理员也可以根据运维需要，通过控制台或者 Open API随时发起全量的临时物理备份。日志备份采用数据备份同样的策略； 数据备份和日志备份使用相同的过期删除策略。

    IAAS服务商上的关键数据，也会同步到瞩目的数据中心进行备份。

1.8    数据删除保护

数据备份的策略保证了系统管理员操作失误时，系统可以迅速恢复到，删除发生之前的状态。瞩目不保存用户通信过程中的任何媒体数据，因此不存在数据删除保护的问题。