刘邦桂

（广东开放大学人工智能学院，广东 广州 510091）

1 研究背景

随着虚拟现实（Virtual Reality，VR）技术[1]以及网络技术的发展，基于VR 的网络视频会议越来越普及和重要，逐渐成为跨国、跨省、跨市等企业线上会议的一种主要形式。参会者佩戴专用VR 眼镜就能参与虚拟现实会议，这是与普通线上网络语音会议有较大区别的一种会议新形式，这种会议形式非常接近现实，既真实又生动。如何通过研究网络中的虚拟专用网技术来服务于VR 视频会议，提升视频会议的通信质量，减少部署成本，是目前网络安全领域研究的热点和难点。

2 VR 网络视频会议通信的不足

按照公司组织形式来看，基于VR 的网络视频会议架构至少有3 种情况（见图1）。一是总公司与分公司连接情况；二是总公司与合作伙伴或者办事处连接情况；三是总公司与单个或者少量出差员工连接情况。

图1 基于VR 的网络视频会议组织架构

如果这些情况都是使用基于公网视频会议方式，将会存在以下不足。成本和工作效率方面，由于是远距离跨网络部署，很难避免部署成本高、部署时间长、灵活性差等问题的出现，特别是目前远程办公越来越普及，经常在通过会议来访问内网业务的时候发现，可承载的业务种类不多；网络服务质量方面，经常出现延时、丢失数据包、会议数据无加密或者保护级别不够导致泄密、连接方式不灵活等情况。

3 虚拟专用网、视频会议、VR 介绍

3.1 虚拟专用网

3.1.1 虚拟专用网技术的定义

虚拟专用网（Virtual Private Network，VPN）技术[2]是指在公网上通过特殊隧道协议在通信节点之间建立一个虚拟安全传输连接，隧道技术能够穿越复杂的外部公共网络，让通信节点透明，与局域网一样进行可靠通信。“虚拟”就是在通信节点间建立的是虚拟链路，而以非物理连接贯通网络，数据能够通过被封装打包后在互联网公共数据网进行远程传输；“专用网络”是指用户能够按照自身需求，设计出最适合自己的网络，不受公网其他用户干扰，处于私有管理策略之下，具有独立地址和路由规划。

3.1.2 虚拟专用网的分类

用户接入网络有多种途径，最常用的一种是非对称数字用户线路（Asymmetric Digital Subscriber Line，ADSL）。当前，5G 技术迅猛发展，越来越多的用户通过5G 技术访问互联网。从访问模式上来看，可以分为专线和拨号两种[3]。专线VPN 是一种VPN 解决方案，针对那些在专线上访问网络业务提供商（Internet Service Provider，ISP）边缘router 的用户。它是一个永久的、虚拟的专用网络，节省了传统长距离线路的成本；拨号VPN 指使用公共交换电话网络（Public Switched Telephone Network，PSTN）或综合业务数字网络（Integrated Services Digital Network，ISDN）连接到互联网运营商的VPN。不像专线VPN，拨号VPN 是一种需要主动发起连接的方式，这是一个没有固定连接的VPN，通常用于远程漫游。因此，拨号VPN 通常要进行身份验证，例如使用挑战握手认证协议（Challenge Handshake Authentication Protocol，CHAP）和远程用户拨号认证服务（Remote Authentication Dial In User Service，RADIUS）。

根据开放式系统互联[4]（Open System Interconnection，OSI）参考模型分层，根据协议所处不同层次，将VPN 划分为数据链路层VPN、网络层VPN、应用层VPN，有点对点隧道协议（Point to Point Tunneling Protocol，PPTP）、二层隧道协议[5]（Layer 2 Tunneling Protocol，L2TP）、最传统的虚拟组网协议（Generic Routing Encapsulation，GRE）、互联网安全协议[6]（Internet Protocol Security，IPSec）、多协议标签交换（Multi-Protocol Label Switching，MPLS）、边界网关协议（Border Gateway Protocol，BGP）、SSL VPN 等多种。PPTP、L2TP 属于数据链路层，GRE、IPSec 属于网络层，SSL 属于应用层。其中，L2TP 与PPTP 一样使用用户数据报协议（User Datagram Protocol，UDP）来封装点对点协议（Point to Point Protocol，PPP），默认使用端口号1701，有隧道验证和用户身份认证功能，能够给客户端分配动态地址，不具备加密功能；GRE[7]是一种使用比较多的数据封装协议，能够用任意一种协议封装任意一种其他协议，特别适用于解决互联网协议第4版（Internet Protocol Version 4，IPv4）和互联网协议第6 版（Internet Protocol Version 6，IPv6）技术孤岛问题，也没有数据加密功能；IPSec 有基于点到点隧道模式、基于端到端的传输模式两种工作模式，提供多种加密算法和验证算法，能够在通信过程中动态生成用于加密和解密的密码，可单独使用，大部分情况用于结合GRE、L2TP 等其他VPN来嵌套使用，以满足不同情况需求。

3.1.3 虚拟专用网的特点

一是安全有保障，VPN 技术是一种在公用网络中建立虚拟私有链路、点对点连接的网络技术，采用了加密技术，通过这种方式传输，确保数据的完整性和机密性。二是扩展灵活，VPN 能够实现内部网络和外部网络各种数据的通信，让接入用户不受物理位置和网络类型的制约。三是易于管理，VPN管理从两个方面进行，即ISP 和用户两个层面，在ISP 端预先建立好管理用户、网络连接、数据通信等规则应用于端设备，在客户端只需要登录，尽量简化配置工作和维护工作。VPN 的管理目的主要是降低网络风险，使网络具备以下特征：高可扩充性、低成本、高管理、高可靠性。

3.2 视频会议

视频会议是网络技术发展的重要产物，由会议终端、中央控制单元、数据传输网络、会议平台构成[8]。会议终端是用户直接使用的设备，需要具备音频、视频码流处理功能，把采集到的信息通过数据网络传输到其他终端；中央控制单元将会议终端收到的音频信息和视频信息通过分配算法，分配到各个具体终端，具有一对多的信息处理功能；数据传输网络主要负责将各个系统互连起来实现数据过滤、加密、存储和转发，包括防火墙、路由器、交换机等通信设备以及光纤、电缆、双绞线等有线通信介质和无线通信介质；会议平台是会议具体组织和呈现的平台，有软件、硬件和软硬件结合平台等几类，目前比较成熟的平台有腾讯会议、Zoom、钉钉等。

3.3 VR

VR 融合了3D 视觉、三维声音重构、实时绘制等技术[8]，从现实环境中采集三维数据，对数据进行整合、调取和网络传输，最后在终端设备支持下以模拟仿真的形式呈现出来。目前有桌面虚拟现实系统、沉浸式虚拟现实系统和多图层虚拟现实系统几种。其中，后两种给用户的感官体验趋于真实，但需要额外穿戴设备，对数据传输网络要求较高，成本也更高。在仿真教学、3D 购物体验、游戏、旅游等方面有具体应用。

4 VR 视频会议与VPN 关联度分析

4.1 VR 视频会议与VPN

一是VR 是承载在计算机网络技术与网络安全技术上的一个应用，VPN 是网络安全技术的一个子领域，有助于解决上面VR 会议的大部分问题，VPN 模拟现实中的专线连接，将VR 通信两端以透明专线连接起来，在通信两端的路由器上进行专网配置；二是目前VPN 技术相当成熟，有比较全面的理论支持；三是随着IPv6 地址不断推广，在越来越多内网使用IPv6 的情况下，VPN 技术能够利用GRE 构建IPv4 to IPv6 和IPv6 to IPv4 协议转换的数据通信通道[9]，展现出与普通互联网互联所没有的优越性，解决了因为网络协议不同而导致的视频会议无法连接的问题；四是随着网络技术的迅速发展，VR 视频会议在政治、经济、文化等领域广泛应用，运用VPN 技术能够对数据进行安全处理，确保通信安全；五是VR 技术不断发展，VR 眼镜的功能越来越全面，能够完成目前其他终端网络的接入工作。

4.2 VR 视频会议通信安全分析

基于VR 视频会议通信，数据安全由三要素来决定，分别是数据的机密性、完整性和可用性。要对通信数据进行验证（Authentication）、授权（Authorization）、加密（Encryption）、解密（Decryption）等操作，普通路由器所承载的通信协议在公网中根本无法完成这些操作，说明VPN 技术具有优越性。

4.2.1 机密性

机密性是确保通信数据保密不被未授权的人窃取；完整性是确保数据不被修改而传给对方并被对方理解。VPN 的优势就是能够对数据进行动态加密。目前VPN 中有对称加密算法和非对称加密算法两种算法，足够满足数据通信的加密要求。数据加密可以选用目前流行的RSA 非对称密钥体制，对于会议保密级别不高的情况，也可以使用DES、RC5 等对称密码算法。加密和解密的密钥也可以由参会双方终端设备通过网络密钥交换协议（Internet Key Exchange，IKE）来动态生成，能有效避免窃听、数据窃取、中间人攻击等不安全通信行为。

4.2.2 完整性

完整性是指数据在不被第三方修改的情况下进行安全传输，包括数据完整性、隧道验证、用户身份认证等内容。通信设备使用单向散列函数对数据进行验证，比如常用的信息摘要算法（Message Digest Algorithm MD5）、安全散列算法1（Secure Hash Algorithm 1，SHA-1）等。会议建立过程中能进行基于密码的端到端隧道验证，同时通信双方身份验证可以通过本地密码认证、专用Radius 服务器认证、电子身份证或来源于VR 虚拟眼镜的各种生物认证、外置身份卡等途径来完成。

4.2.3 可用性

可用性是指构建软件和硬件双重备份，确保通信数据和通信服务不被中断，或者即使通信双方在遇到会议中断的情况下也能实现最快主备份切换。比如，路由备份、链路备份、设备主备切换等。为了会议能够连续、安全地进行，VPN 技术需要对通信链路进行安全检测，在出现问题的情况下进行必要的、有针对性的防御和制止。

5 VR 安全通信方案设计与实现

5.1 场景分析

通过对图1 中基于VR 的网络视频会议组织架构进行分析，视频会议要在总部、办事处、出差员工、合作伙伴中构建，根据不同特点需要选择不同架构，必要时对通信数据进行加密保护。实际情况中，单个VPN 未能实现加密功能，需要VPN 嵌套使用，L2TP 最适合移动用户VPN 接入；GRE 最适合站点到站点的VPN 接入，支持动态路由协议；IPSec 提供数据加密服务并确保数据的完整性。因此，在实际运用中，各种VPN 技术嵌套是必要的和可行的。网络架构总体设计见图2。

图2 网络架构总体设计图

5.2 网络架构设计

场景一，会议参与者较多的情况。针对前面所提到的几种工作情况，可以选择不同方式来设计。对于规模较大的公司，出现多区域多人参与的情况，可以选择此种网络基本架构。在两个通信区域之间的外网处架设接入设备，这类设备可以用目前性能较高的路由器或者防火墙实现两区域的连接。这种架构对参会者终端设备要求比较低，由各区域主要接入设备来完成登录、验证、授权、加密工作，此类参会人员只需要选用目前普通VR 眼镜即可实现（见图3）。

图3 大量员工会议拓扑图

图3 中，会场A 和会场B 都有大量参与者，可以构建点到点隧道，选用GRE VPN，鉴于会议可能需要加密，因此使用GRE+IPSec 结合方式，其中GRE 用于构建隧道，IPSec 用于加密GRE 隧道数据。

场景二，单个参与者或者少量参与者的情况。对于个别员工出差、网络服务参与者较少的情况，可以选择此种网络基本架构。这类架构对参会者终端设备要求比较高，需要佩戴VR 眼镜才能够通过远程服务器进行登录、验证、授权、加密等工作。特别是目前公网IP 有v4 和v6 版本的情况下，VR眼镜还需要有协议转换功能。这类场景最大的好处是参会者不需要在固定场所参与视频会议，而是可以随时随地参会，会议组建也非常灵活和方便。不足之处就是需要参会者具备一定的VR 眼镜操作能力。L2TP 没有加密功能，在会议信息需要加密传输时可以使用与L2TP+IPSec 结合的方式，其中L2TP 用来给外出员工通过媒体服务器与总部进行连接，IPSec 用来对通信数据进行加密（见图4）。

图4 少量员工会议拓扑图

5.3 架构仿真实现

场景一，异地参会者较多的情况，选用GRE OVER IPSec 隧道[10]。

要求在会场A 出口路由器A 和会场B 出口路由器B 之间先建立GRE 隧道，然后在路由器A 和路由器B 之间建立IPSec 隧道来保护GRE 隧道。在运用IPSec 加密会议数据过程中，加密和解密所需要的密码具有静态和动态、对称和非对称等属性，因为静态密码需要人为设置且容易出现错误和泄露，所以选用IKE 来动态生成，其中加密和解密算法在隧道配置过程中可以按要求来选用。

配置GRE 隧道。在会场A 和会场B 端口路由上新建隧道并指定源和目的，其中分部会场B 建立隧道，指定源和目的配置与总部会场A 类似。

配置IPSec 保护GRE 隧道。首先新建会场之间需要保护的GRE 隧道会议数据流，以IPSec+IKE为主模式，使用预共享密钥方式，对GRE 隧道封装后数据进行128 位的高级加密标准（Advanced Encryption Standard，AES）算法加密保护，在构建对等体时会场之间需要运用密码来相互验证身份，最后将安全策略应用在会场之间出口路由上。会场B 出口路由器B 上对等对应配置，特别是端口地址、访问控制列表（Access Control Lists，ACL）地址一定要相互对应。

场景二，异地参会者较少的情况，选用L2TP over IPsec[3]。

配置L2TP VPN。选择合适路由协议，实现分部会场与总部会场之间的公网连通,在分部会场上首先启动L2TP 功能，配置l2tp 组，同时启动会场之间的隧道密码验证，其中start l2tp 命令指定了总部会场的地址，并指定公司域名为abc.com，域内用户为L2TP 用户，这样abc.com 域内用户拨入将触发L2TP 建立。

总部会场上首先启动L2TP 功能，然后配置abc.com 域和IP 地址池。此域用于提供对L2TP VPN 用户进行身份验证的参数，地址池用于为L2TP VPN 客户端分配IP 地址，这里与GRE 不同的是因为少量员工出差、地点和时间不固定等原因，L2TP 建立需要分部会场主动拨号，等总部会场通过并分配地址后才能接入，即主会场不知道出差员工地址，不能主动建立隧道。

在拨号过程中，分会场接入需要对员工进行身份验证，验证方式可以为本地验证和选用专门Radius 服务器验证，本文仿真选用本地验证方式。新建用户并配置其密码和服务类型，最后配置一个虚拟模板接口，以便对拨入的L2TP VPN 用户进行身份验证，为其分配地址并与其进行IP 通信。

最后，在主会场端配置l2tp 组，设定隧道本端名称、隧道验证码等，允许接受来自公司域名abc.com 内且名为LAC 的分部会场设备发起的控制连接，控制连接建立后隧道内就可以进行数据通信，但目前还没有任何加密设置。

配置IPSec VPN 保护L2TP VPN 数据，在总部会场上配置IPSec/IKE。这个过程主要完成对已建立会场之间L2TP 内数据进行加密的工作，由于加密系统包含加密和解密两个过程，分会场因为与会人员较少而且位置不固定，可以在VR 眼镜上预安装相应拨号软件，让VR 眼镜开机就可自动拨号。主会场端需要配置加密会议数据流、设置数据加密算法、验证算法、验证隧道之间密码等。

6 结束语

以上架构中，对VR 眼镜的要求会越来越高，虚拟眼镜目前除了视觉成像之外，已经具备登录并连接服务器的功能，越来越可以替代电脑和手机功能来参与虚拟现实的交互。例如，用户登录、数据加密、身份认证等功能，且这将是一个趋势，为此项研究在现实中使用提供了可能性。当前，还有新的要求也对此项研究提出了挑战。例如，VR 眼镜是否支持IPv6 协议或是否支持IPv4 协议转换等功能，这就需要后台的一大批服务器做计算支撑，成本也会随之增加。