多功能视讯会议系统总体方案设计

1、多功能视讯会议系统总体方案设计目 录 TOC o 1-4 h z u HYPERLINK l _Toc62052591 第一章技术方案建议 PAGEREF _Toc62052591 h 3 HYPERLINK l _Toc62052592 1.1技术方案 PAGEREF _Toc62052592 h 3 HYPERLINK l _Toc62052593 1.1.1视频会议系统总体设计方案 PAGEREF _Toc62052593 h 3 HYPERLINK l _Toc62052594 项目概述 PAGEREF _Toc62052594 h 3 HYPERLINK l _Toc62052595

2、 需求分析 PAGEREF _Toc62052595 h 3 HYPERLINK l _Toc62052596 建设内容 PAGEREF _Toc62052596 h 4 HYPERLINK l _Toc62052597 建设要求 PAGEREF _Toc62052597 h 4 HYPERLINK l _Toc62052598 系统方案架构设计 PAGEREF _Toc62052598 h 5 HYPERLINK l _Toc62052599 系统配置清单设计 PAGEREF _Toc62052599 h 6 HYPERLINK l _Toc62052600 视讯系统可靠性设计 PAGERE

3、F _Toc62052600 h 7 HYPERLINK l _Toc62052601 视讯系统安全性设计 PAGEREF _Toc62052601 h 13 HYPERLINK l _Toc62052602 系统主要功能特色 PAGEREF _Toc62052602 h 24 HYPERLINK l _Toc62052603 0主要设备介绍 PAGEREF _Toc62052603 h 60技术方案建议技术方案视频会议系统总体设计方案项目概述本项目将对贵方集团公司视频会议系统及视频会议室内的音视频设备、线路等相关设备进行改造升级，将模拟信号设备和线路升级改造为数字信号设备和线路，从根本上解决

4、设备老化、模拟信号易受干扰易衰减导致的视频卡顿中断等会议效果不佳的情况，同时新增安全保密电子记事本系统以及语音识别转写系统，提高办公会议的信息化水平。本次改造后视频流及内容流显示将由原模拟VGA显示变为1080P数字高清显示，实现双流全高清传输，视频会议视频效果将显著提升，满足贵方集团公司视频办公会议需求。需求分析本次系统改造后需满足以下要求：所有输入信号源、线路、中间信号处理设备剔除模拟设备，实现全数字化，显示支持全高清标准（1080P）；视频信号具备兼容性，保证双流模拟VGA视频信号接入；音频设备升级使音频传输播放流畅清晰，会议扩声系统升级参照GB50371厅堂扩声系统设计规范中会议类扩声

5、系统声学指标一级标准；集中控制系统各种接口设置合理优化，稳定高效；高峰厅增加安全保密电子记事本系统，方便参会领导审阅会议文件；增加语音识别转写系统一套，可以灵活接入各视频会议室（通过音频线缆）。建设内容本项目建设内容主要包括： 1、视频会议系统改造将替换现有旧MCU设备，并确保兼容一段时间的旧宝利通视频终端（HDX8000），以便各企业会场进行新终端更换。2、集团总部长安厅、高峰厅和光明厅3个会议室的音视频设备进行升级改造；3、新增安全保密电子记事本系统，主要用于高峰厅会议材料的阅读、记录，支持手写笔迹等功能；4、新增语音识别转写系统，是软硬件一体的设备，用于对普通话连续语音的实时转写及相关辅

6、助转写功能，如自动分段、关键词优化、语气词过滤等能帮助会议记录人员进行会议纪要整理、提升出稿效率；5、编制修订集团视频会议系统会议室建设规范及视频会议系统管理要求；6、项目建设依据相关标准规范，确保完成后能协助招标人通过应用系统安全测评。建设要求根据此次改造升级的总体要求，鉴于视频会议的发展趋势，我方的建设遵循以下原则和要求： 配备设备既考虑先进性也要实用性，注重系统配置经济效益，达到综合平衡；主要设备支持高带宽；设备具有较强的扩展性； 人机界面应友好，易操作和易控制，减轻控制人员的操作强度，减少误操作，提高会议效率；故障提示清晰明确、可读性好，系统易维修维护；系统整体兼容性强，可兼容设备需求

7、的音视频格式、压缩格式和通讯协议；设备对工作环境和条件要求较低，能长期稳定工作，具备7*24小时待机能力；系统启动快，系统掉电后再通电或网络中断后再恢复正常，系统恢复迅速；系统故障率低，维护维修方便；综合考虑系统性能和价格，性价比在同类系统和条件下最优，经济性应包括以下内容：系统本身的价格（包括系统、技术服务和培训）、系统的易扩展性升级、对实施现场的特殊要求所需的费用；根据以上的建设原则和要求，该系统应建成一个技术先进、可靠、管用方便、性能优秀、灵活扩展、标准开放的视频会议系统，并能够综合考虑到系统的中长期发展，在系统结构、系统应用、系统管理、系统性能等各方面适应未来视频会议和多媒体融合通讯技

8、术应用的发展，方便的扩容，灵活增加会议点，最大程度保护招标人的投资，关键设备（MCU、矩阵等）优选国产优质产品。系统方案架构设计系统方案组网说明：在贵方机房部署SMC2.0实现系统统一管理运维、License统一管理、动态资源分配；在贵方机房部署VP9660MCU用于多点会议召开，单台设备最大支持硬件能力同时接入256路1080P/30，本次配置45路H.265协议1080P30fps终端接入以及15路H.264协议1080P30fps终端接入支持全适配会议、支持端口资源动态适配，支持分布式部署、多级多通道级联；在贵方总部会场分别采用分体式会议终端Box600进行双机热备部署,配套高清会议摄像

9、机CloudLink Camera 200和全向麦克风500用于会场音视频画面的采集，同时Box600终端结合现场显示系统、音频系统实现远端音视频画面的融合应用。系统配置清单设计配置项型号数量备注说明视讯业务管理系统SMC2.01软件安装包及服务器多点控制单元VP96601MCU配置45路H.265协议1080P30fps终端接入以及15路H.264协议1080P30fps终端接入分体式会议终端CloudLink Box6006高清会议室终端CloudLink Camera 2006高清会议摄像头CloudLinkMic 5006全向麦克风原厂触控平板6原厂触控平板视讯系统可靠性设计平台本地双

10、机备份SMC2.0、SC支持双机部署，实现会议的高可靠性。SMC2.0本地双机热备SMC2.0双机系统支持手动切换和自动切换，当主用服务器出现故障时，业务自动切换到备用服务器上，保证视讯系统的稳定。SC本地双机热备SC双机系统支持手动切换和自动切换，在其中一个SC出现网络故障时，能实现业务平滑切换不中断，保障正常通信，提高可靠性。MCU硬件备份VP9660系列MCU的专有硬件采用了完备的多层级可靠性设计，根据各类故障提供多重备份机制，充分保证视频会议稳定进行。业务板备份VP9660拥有多个业务板槽位，可同时配置多块业务板，实现信令、媒体备份倒换。系统启动后会选择其中一块业务板作为H.323信令

11、处理板，如果当前的呼叫信令板出现异常，MCU会自动将信令处理切换到另一块业务板上；拔出当前有业务运行的媒体板时，MCU系统会自动将业务切换到其他可用媒体板上运行。网口备份VP9660GE0网口和GE1网口可以互通备份。当工作网口的线路由于网络设备等各种原因出现通信中断的时候，系统会自动把通信线路从主用网口线路切换到备用网口线路。电源模块备份VP9660可配置两组电源模块，分担设备整机电力负荷的同时，每一组电源模块均可为整机满负荷配置提供充足功耗，实现电源模块的双备份。芯片备份VP9660单板里面的音视频媒体处理芯片具有备份，当一个芯片出现故障无法工作的时候，系统会自动调用空闲的芯片来完成工作，

12、对音视频效果完全没有影响，使得音视频会议得到了芯片级的保障。资源池会议备份随着云计算技术的逐渐发展，视讯系统组网逐渐走向云化，基于云计算架构的新型视讯组网和应用将成为未来视讯系统的发展方向。云计算技术应用在视讯行业组网中即是将视讯系统中最重要的音视频交换处理平台MCU进行云化、端口化，使多台MCU设备之间组成MCU“资源池”，实现在会议组建中不用去考虑使用哪个MCU的端口资源，系统通过智能的资源调度和端口分配原则满足每次会议的正常使用。华为视讯依托于SMC2.0管理平台提供的对音视频媒体处理与交换资源统一管理与智能分配的虚拟化技术，通过划分合理的服务区，将VP9800系列MCU、ClouodM

13、CU与传统VP9600系列MCU组成混合“资源池”，统一为全网接入终端提供基础音视频媒体处理资源，从而实现负载均衡、负荷分担、智能备份等最优资源自动配置策略。资源调配原理资源池管理系统根据用户请求的会议参数，与会会场，按照资源调配策略为会场确定接入MCU以及MCU之间的级联关系，这个过程可称之为资源调配过程。资源池管理系统以服务区方式对MCU资源进行管理。服务区是资源池管理系统为会场分配MCU资源的管理概念, 会场和MCU之间通过服务区进行关联。每个会场只可归属一个服务区，每个服务区可包括多台MCU，实际应用上，每个服务区可对应于系统的一个MCU资源池。服务区确定策略由于级联会议一方面可对分布

14、式的会议进行就近收敛，降低对主MCU的带宽占用，另一方面会对MCU端口产生浪费（会场越少越明显），并增加系统时延。系统采用两级MCU组网，当下级参会会场较少时，应当避免级联，直接使用总部MCU资源。分配MCU资源按照资源最优、负载均衡原则分配MCU资源。主从服务区确定完之后，当某个服务区内存在多台MCU满足该服务区的会场接入需求时，系统会按照资源最优的原则选择剩余资源最充足的MCU进行会场接入。当该服务区内MCU资源不足时， 如果该服务区存在备份服务区，则可以使用备份服务区的MCU资源。资源池备份触发条件（1）会议预约时本服务区MCU资源不足（2）会议过程中本服务区MCU发生故障时产生非级联会

15、议的备份按照备份资源池定义顺序依次选择，直到找到可用的备份资源池为止，系统找到可用的备份资源池后， 将原有MCU上的会议整体备份到备份资源池的MCU上。以北京冀北天津河北的备份顺序为例，如下：级联会议的备份当会议存在级联的情况时, 分为两种情况（1）主MCU故障（2）从MCU故障。所有该MCU上的接入会场和级联会场都会整体切换到备份资源池的MCU上，会议中的其它MCU会与备份资源池的MCU建立新的级联关系。资源池备份对会议的影响MCU切换到备份资源池的MCU时，因为会场的信令和媒体流都经过MCU，发生故障的MCU上所接入的会场会产生短时间的图像和声音中断。备份时，资源池管理系统会将该MCU上的

16、会议信息、会场接入信息、会议广播状态发送到备份MCU上进行恢复。备份MCU会依据这些信息重新呼叫各会场入会，并设置会议状态。根据会议的不同参会会场数目，会议一般会在15分钟内进行恢复。IP会场备份通过IP会场备份，可以实现部分重要会场及IP线路的1+1备份，在提高该会场参与会议的可靠性的同时，不增加用户的MCU端口投资。SMC2.0支持对可管理会场和不可管理添加备份会场，在主会场入会失败或活动会议中异常离线时，SMC2.0会对主会场重新呼叫，如果重呼后主会场仍然不能入会，则SMC2.0会结束对主会场的呼叫，自动开始呼叫备份会场，保证会议继续进行。支持使用IP音频会场或标清会场备份高清会场，使客

17、户升级换代的旧设备能够有效利用，降低用户在备份会场的投资。异地容灾华为高清视频会议解决方案支持异地容灾，在不同物理地域各部署一套系统，当其中一个地域系统出现异常时，例如自然灾害引起整系统无法使用时，另一个地域的全套系统可以接管所有业务。华为高清视频会议解决方案采用网元级倒换策略。在主备容灾的部署模式下，又分为手动（Manual）和自动（Auto）两种运行模式，从而使得在主备容灾部署模式下，能够提供手动倒换、自动倒换和手动倒回能力。SMC2.0采用单机主备模式，主备SMC2.0之间建立心跳和数据同步，正常情况下只有主用SMC2.0提供会议管理以及设备管理的功能。当主用SMC2.0故障时由备用SM

18、C2.0接管业务。SC采用单机主备模式，主备SC之间建立心跳和数据同步，正常情况下只有主用SC提供放号功能、终端注册以及路由转发功能。当主用SC故障时由备用SC接管业务。主备SC分别有不同的IP地址，网元通过IP地址对接主SC。终端则通过域名访问主备SC。USM-EUA采用单机主备模式。由于USM-EUA只能跟SC合设，它跟随SC主备倒换而倒换。正常情况下只有主用USM-EUA提供企业通讯录业务，当主用USM-EUA故障时由备用USM-EUA接管业务。主备USM-EUA分别有不同的IP地址，终端、网元通过IP地址访问主USM-EUA。终端或网元SMC2.0、SC和USM-EUA的主备模式，首选

19、主用网元进行访问，不通时自动倒换访问。在使用备用网元过程中，遇到不通，同样自动切回。终端双归属于主备SMC2.0、主备SC和主备USM-EUA。MCU双归属于主备SMC2.0、主备SC。MCU是资源型网元，自身没有容灾的概念，由SMC2.0和SC进行调度和使用，两套SMC2.0和SC共用一份资源型网元。视讯系统安全性设计为保证视频会议系统解决方案的安全性，华为研究了许多国际主流的安全标准，并借助在运营商成功运作的网络和设备的安全运营经验，针对视频会议解决方案分层提供了安全解决方案。安全威胁视讯解决方案结合当前通信网络面临的安全威胁，旨在帮助从多个层次构建一个开放、透明、可视的安全解决方案。管理

20、层安全威胁缺乏安全管理规章制度，或者没有严格执行安全管理规章制度。人员安全意识不足。没有及时进行系统及应用安全补丁的安装，导致系统存在不安全因素。多人共用帐号，责任无法追溯。安全资料不全，无法有效指导安全生产。应用层安全威胁输入验证：缓冲区溢出，跨站点脚本编写，SQL注入。身份验证：网络窃听，暴力破解，词典攻击，重放Cookie，盗窃凭据。授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。配置管理：未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据，缺乏个人可记帐性，越权进程和服务帐户。敏感数据：访问存储器中的敏感数据，窃听网络，篡改数据。会话管理：会话劫持，会话重放，中间人攻击。

21、加密技术：密钥生成或密钥管理差，脆弱的或者自定义的加密术。参数操作：查询字符串操作，窗体字段操作，Cookie操作，HTTP标头操作。异常处理：信息泄漏，拒绝服务。安全审计：用户拒绝执行某项操作，攻击者利用没有跟踪记录的应用程序，攻击者掩饰他或者她的跟踪记录。系统层安全威胁病毒、特洛伊木马和蠕虫：病毒就是一种设计的程序，它进行恶意的行为，并破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中外，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统

22、资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运行。足迹：足迹的示例有端口扫描、ping扫描以及NetBIOS枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。破解口令：如果攻击者不能够与服务器建立匿名连接，攻击者将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端，攻击者只需要破解帐户的口令即可，使用空白或者脆弱的口令可以使攻击者的工作更为轻松。拒绝服务：可以通过多种方法实现拒

23、绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力攻击应用程序而破坏服务，或者攻击者知道应用程序所在服务、运行服务器的操作系统中存在的缺陷。任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者就会损害服务器资源，或进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷：允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。网络层安全威胁信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，

24、攻击者最初是扫描端口。识别出开放端口后，利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。嗅探：嗅探查或者窃听就是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。探查数据包需要在服务器或客户端通信的通道中安装数据包探测器。欺骗：欺骗是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以

25、使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表。会话劫持：也称为中间人攻击，会话劫持欺骗服务器或者客户端认为攻击者的主机就是合法主机。拒绝服务（DoS/DDoS）：拒绝服务就是拒绝合法用户访问服务器或者服务。物理层安全威胁机房安全：非法进入、火灾、水灾、潮湿、雷电、静电等。设备安全：盗窃、毁坏等。线路安全：盗窃、窃听、干扰等。介质安全：盗窃、潮湿、毁坏等。安全策略为保护视讯系统中的操作系统、数据库与网络设备，引入了安全策略，这些安全策略中，大部分规则都可应用于操作系统、数据库与应用程序。视讯产品使用的安全策略包括但不限于以下内容：密码管理使用强密码策略与密码修改策略，如长度限制、字

26、符组合及弱密码检测等，用于防止密码攻击。强密码策略包括：口令长度至少6个字符；口令必须包含如下至少两种字符的组合:至少一个小写字母。至少一个大写字母。至少一个数字。至少一个特殊字符：!#$%&*()-_=+|;:,/?和空格。口令不能和帐号一样。若设置的口令不符合上述规则，进行警告。密码修改策略包括：用户（包括管理员）修改自身口令前需再次验证旧口令，验证通过才能修改。普通用户仅可以修改自身帐号的口令。管理员可以重置其他用户的口令，无需验证旧口令。系统内置帐号的初始密码可配置为必须修改才可登录系统。口令加密保存，不允许明文保存或显示，只有管理员可以访问口令密文文件，普通用户不能读取或拷贝加密的内

27、容。在公共网络上进行口令的传输时，使用安全传输通道或者加密后传输。认证与会话控制设备外部可见的能对系统进行管理的物理接口均有接入认证机制（必须输入正确的用户名和口令才能登录系统）。所有能对系统进行管理的通信端口及协议都有接入认证机制（必须输入正确的用户名和口令才能登录系统）。当用户登录时连续多次输入错误密码后此用户名被锁定，锁定状态的用户无法登录系统。当用户帐号被锁定后，系统自动在一段时间之后解锁，解锁时长可配置。当用户帐号被锁定后，系统管理员可为该用户解锁。加密算法使用标准的加密算法和密钥协商机制，不使用私有算法。使用高安全等级加密算法（如AES128），降低敏感信息被破解的风险。在口令不需

28、要还原的场景，如用户登录设备的密码，使用安全的不可逆的HASH算法（如PBKDF2）对密码进行加密后存储，防止密码泄露后被解密。安全协议支持使用高级别安全协议（如SSHv2/TLS1.2/IPSec/FTPS/LDAPS/SNMPv3）对设备进行维护管理。基于SIP的会议支持TLS和SRTP安全协议。对不安全协议，支持关闭，缺省关闭FTP、Telnet和SSHv1.x。最小授权规则系统中新建的用户，默认只有最小的权限。可为帐号分配不同的角色，一种角色只能拥有必需的权限。文件权限管理系统文件非授权用户不能访问。安全日志管理面所有的用户活动和操作指令均记录日志。日志内容能支撑事后的审计。日志有访问

29、控制，只有管理员才能有访问权限。系统加固OS安全加固、DB安全加固、安全补丁机制。IP防攻击、防信令DoS/DDoS攻击、防信令畸形报文攻击。SIP业务逻辑安全、RTP报文过滤机制、防信令风暴等。应用层安全华为高清视讯解决方案在应用层提供的安全方案包括：认证、口令策略、访问控制与授权、加密、会话管理、日志、数据保护、运行安全等。安全技术说明访问控制产品所有的人机接口登录帐号和口令通过文档向客户公开，帐号可管理（启用/禁用/删除），口令可修改。产品所有的命令行及参数通过文档向客户公开（命令行手册文档）。产品所有的通信端口及协议通过文档向客户公开（通信矩阵文档）。不存在可绕过系统安全机制（认证、权

30、限控制、日志记录）对系统或数据进行访问的功能。业务安全SMC2.0、MCU、RSE录播服务器、会议终端、智真中控设备均有内置Web服务器，用于设备的维护管理，用户可选择安全的HTTPS通信方式登录设备，确保用户登录的帐号和口令，以及敏感的参数信息不会被窃取。基于H.323协议召开会议时，支持启用H.235安全协议，并支持启用SRTP（安全实时传输协议）对媒体流进行加密，保证会议的信息安全。基于SIP协议召开会议时，支持启用TLS协议对信令进行加密，并支持启用SRTP（安全实时传输协议）对媒体流进行加密，保证会议的信息安全。主叫呼集功能允许某个用户通过会议终端主动向SC发起召集会议请求，并在会议

31、终端上配置会议的相关参数（如会场名、会议接入密码、付费帐号及密码等），其中包含了敏感信息，为保障敏感信息的安全传输，主叫呼集功能支持使用安全的HTTPS通道进行数据传输，即终端作为HTTPS客户端向HTTPS服务端（SC）发起主叫呼集请求。产品在执行任何操作前，先对登录用户的权限进行判断，防止用户进行越权访问。对来自其它系统的任何请求均进行参数合法性检查，防止受到畸形报文攻击。支持会议接入密码、会议控制密码，防止非法用户接入会议或控制会议。敏感数据保护产品的日志、诊断调试信息、告警信息中不包含敏感数据信息。产品在传输敏感数据时，使用安全传输通道，或者对数据进行加密后再传输。在保存敏感数据时，对

32、数据加密后再保存。用户登录设备的口令，使用安全不可逆哈希算法加密后保存在设备的存储器中。采用标准的加密算法和密钥协商机制，不使用私有算法。安全日志与审计用户登录和注销有日志记录。增加、删除用户和用户属性（帐号、口令等）的变更有日志记录。用户的锁定和解锁，禁用和恢复有日志记录。角色权限变更有日志记录。系统相关安全配置（如安全日志内容配置）的变更有日志记录。重要资源的变更，如某个重要文件的删除、修改等有日志记录。对系统配置参数的修改有日志记录。对系统进行启动、关闭、重启、暂停、恢复、倒换有日志记录。对业务的加载、卸载有日志记录。软件的升级操作，包括远程升级和本地升级有日志记录。所有帐户的非查询类命

33、令行操作命令有日志记录。日志有访问控制，只有管理员才能有访问权限。安全日志可用于审计。安全通信协议支持通过安全的HTTPS协议远程登录设备内置Web服务器进行维护管理，即HTTP下加入SSL层，视讯产品支持TLS1.1及以上版本，SSL协议提供的服务主要有：通过证书认证用户和服务器，确保数据发送到正确的客户机和服务器。加密数据以防止数据中途被窃取。维护数据的完整性，确保数据在传输过程中不被改变。支持通过安全的SSHv2协议远程登录设备进行维护管理。从客户端来看，SSH提供两种级别的安全验证。第一种级别（基于口令的安全验证）客户端通过自己的帐号和口令，就可以登录到远程主机。所有传输的数据都会被加

34、密，但是不能保证正在连接的服务器是需要连接的服务器，可能存在“中间人”攻击。第二种级别（基于密匙的安全验证）客户端为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果要连接到SSH服务器，客户端软件就会向服务器发出请求，服务器收到请求之后，先在服务器上寻找此客户端的公用密匙，然后与客户端发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后用私人密匙解密再把它发送给服务器。使用这种认证方式，不仅加密所有传送的数据，而且防止“中间人”攻击。支持通过安全的LDAPS协议进行网络地址本的上传和下载操

35、作。支持通过安全的SNMPv3协议与网管系统通信，与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，用户安全模块提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。加密指以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。支持H.235安全协议，H.235是H.323系统有关安全方面的一种标准，H.235 主要为H.323体系提供了身份认证、信令和媒体流加

36、密、数据完整性功能。基于SIP协议召开会议时，视讯产品支持通过TLS协议对信令进行加密，并且支持SRTP（安全实时传输协议）对媒体流进行加密。系统层安全华为视讯解决方案提供系统层操作系统、通用数据库的安全加固策略，保障操作系统、数据库正常运行，支撑应用层各应用软件的运行。安全技术说明操作系统安全产品软件包发布前，经过至少两款主流的防病毒软件扫描，保证产品软件包本身不包含恶意程序或病毒。基于通用操作系统的软件，提供数字签名和验证工具，在软件安装或升级过程中可对软件进行完整性验证，防止软件被篡改。对操作系统进行加固，实现操作系统安全，遵循CIS（Center of Internet Securit

37、y）的加固策略。数据库安全SMC 2.0默认使用独立的数据库帐号进行数据库连接，且该帐号的访问权限为SMC 2.0需要的最低权限。不使用sa帐号进行数据访问，避免帐号泄露对数据库造成影响。SMC 2.0对数据库帐号和密码进行加密后存放，避免连接数据库使用的帐号和密码泄露后被解密。Web服务安全对Web容器进行安全配置加固和最新补丁来保证Web服务安全。用户可以启用HTTPS安全协议与Web服务器通信，确保数据传输的安全。Web登录的密码在系统中加密存储，使用不可逆算法，防止泄露后被解密。网络层安全划分安全区域，通过防火墙进行隔离。华为视讯解决方案根据安全域划分为3个区域。Untrust区域主要

38、指外部的Internet。在视讯解决方案中，此区域进入的用户请求都是不受信任的，需要经过外网防火墙隔离。DMZ区域是企业Untrust区域与企业内部业务系统的隔离区域。外网用户的TE Desktop、TE Mobile等终端访问DMZ区域的SC，并通过此区域的服务器与核心区服务器交互。Trust区域该区域与DMZ区域、Untrust区域的服务器隔离，外部用户不能直接访问。主要部署企业员工的办公机器和会议室等，视讯解决方案提供的TE Desktop&TE Mobile、固定电话、智真、终端、SMC2.0、MCU等均部署在此区域。管理层安全通过完好的规定、策略、定义好的过程、操作指引以避免系统弱点

39、被攻击。组织与过程建立安全管理规章制度，并严格执行安全管理规章制度。对相关人员进行安全意识培训，以避免因安全意识淡薄带来安全风险。建立安全规范，并对操作人员进行足够的培训，以使安全措施能以得到有效的执行。定期对安全日志进行检查，及时发现与处理安全隐患。帐号与权限管理为每个有权限的人分配必要的权限，防止多人共用帐号，造成责任无法追溯。系统备份定期为数据库系统进行全部及增量备份，把因安全问题带来的损失降到最小。多重加密在H.323组网时，华为端到端高清视讯系统支持H.235信令加密与AES媒体流加密技术，在SIP组网时，华为高清视讯系统支持TLS信令加密和SRTP媒体流加密技术，与华为公司MCU、

40、管理平台融合，提供端到端、端到系统侧、多点会议等全网全业务信令，媒体流的加解密方案，极大的保证了会议的安全性，充分保障用户使用安全。华为高清视讯系统也支持第三方加密机方式，支持华为Eudemon系列防火墙加密，支持华为路由器和交换机加密。系统主要功能特色极致体验4k超清视频体验华为高清视讯系统覆盖全系列的高清终端产品，最高支持4K 25/30fps视频4K 25/30fps辅流的双流高清方案。产品包括高清MCU，高清视讯终端，高清摄像机，高清阵列式数字麦克风。业界首家端到端提供4k*2k 25/30fps的解决方案的厂商。4K拥有4倍于1080p的分辨率、信息量，可以在更大的屏幕上呈现更精细的

41、图像，从而使得通过远程协作的方式完成精密设计、远程医疗等成为可能。H.265结合华为专利活动视频增强技术（VME），使得在传统的1080p带宽下即可获得4K的视频效果和体验。华为视讯解决方案提供SMC2.0、MCU和CloudLink系列硬终端，实现H.265 4K会议。相关功能包括：SMC的H.265会议预约和调度。终端点对点呼叫，支持H.265 4K的互通。主叫呼集预约H.265会议。终端发起主叫呼集，其中的会议参数支持选择为H.265。H.265多点全适配会议。H.265会议加密。华为高清视讯系统支持以下高清标准：视频：720P(1280720)25/30 fps （p：Progress

42、ive 即逐行扫描）720P(1280720)50/60 fps （p：Progressive 即逐行扫描）1080P(19201080)25/30 fps （p：Progressive 即逐行扫描）1080P(19201080)50/60 fps （p：Progressive 即逐行扫描）4K(38402160)25/30 fps （p：Progressive 即逐行扫描）华为高清视讯系统能够支持50/60帧/秒满帧率技术，相比较传统的25/30/秒帧技术，图像流畅度提高一倍，大幅度的提高图像的流畅性，能够让客户体验到极致流畅的视频效果。华为高清视讯系统采用VideoIntensifier、

43、ViewProcess技术，配合最新的H.264 HP编码技术，大大提高了图像压缩比，在同样带宽下，可向用户提供更逼真、更清晰、更流畅的画面。CD级音质体验华为高清视频系统采用AAC-LD、Opus宽频的语音技术，语音质量有了大幅度的提高，可以到达CD音质效果。该高清视讯系统支持全方位的语音处理，采用快速自适应回声抵消、自动增益控制和自动噪音抑制技术，可向用户提供清晰的全双工数字音频。采用输入音频通道独立处理技术，AudioEnhancer（语音增强）和VoiceClear（语音清脆化）等专利技术使声音听起来更加饱满和丰富。支持Opus，前向纠错FEC（Forward Error Correc

44、tion）、后向纠错（backward errorcorrection）、抗丢包PLC（Packet Loss Concealment）、自动传输增强NetATE（Net Automatic-Transfer-Enhancement）和自适应音频抖动缓冲AJB（Audio JitterBuffer）。音频：协议标准采样频率支持音频带宽输出码率最低算法延迟G.7118KHz300Hz3,400Hz64Kbps1msG.729A8kHz300Hz3,400Hz8Kbps20msG.72216kHz50Hz7kHz64Kbps3msG.722.116kHz50Hz7kHz24、32Kbps40msA

45、AC-LD48kHz20Hz20kHz4864Kbps20msOpus48kHz20Hz20kHz864Kbps20ms网络自适应华为高清视讯系统拥有独创技术，具备超强的网络适应能力，打造稳定的高清系统，可以全方位保证会议正常召开。低带宽高清技术华为VME2.0（Video Motion Enhancement）+H.264 HP(High Profile)/H.265，为客户带来超低带宽高清体验，能获得以下受益效果：利用H.264 HP编码算法，使得在视频主观质量差异不大的情况，能够较大幅度降低50%码率；利用H.265编码算法，使得在视频主观质量差异不大的情况，能够较大幅度降低35%码率；

46、利用华为VME2.0技术，能够在解码后，获得更加清晰、更加符合人眼舒适度的视频感官效果。华为的VME+H.264 HP/H.265“双核”处理技术，端到端，有效地增强了视频质量，获得了更加清晰、更加符合人眼舒适度的感官效果。同时，节省了至少25%-65%带宽，实现了最低384K带宽(每屏幕)1080P30的效果、512K带宽(每屏幕) 1080P60的效果。华为视讯系列产品的VME+H.264 HP/H.265双核驱动，既能够在同一标准（H.264 HP/H.265）下保证和业界其它厂商良好的互通性又能与企业现有的Baseline Profile系统兼容。华为的VME+H.264 HP/H.2

47、65双核技术相对于H264 BP技术，能够做到真正意义的至少节省一半带宽的同时有效增强了视频质量。显著改善了视频通信的一个重大保障，使得企业在部署视讯系统时可以选择部分升级或不升级网络，就能得到更加清晰、更加符合人眼舒适度的视频感官效果，提升沟通效率。分辨率/帧率H.264 BP带宽（bit/s）H.264 HP带宽（bit/s）VME+H.264 HP带宽(bit/s）H.265带宽(bit/s）VME+H.265带宽(bit/s）节约带宽（%）4CIF512K256K128K-50%720P/30fps1.5M768K384K512K256K50%720P/60fps2M1M512K768

48、M384K50%1080P/30fps2M1M512K768K384K50%1080P/60fps3M1.5M768K1M512K50%4K/30fps-2M1M50%超强纠错（SEC 3.0- Super Error Concealment）HUAWEI VP9660采用H.264 SVC和华为公司独有的SEC3.0超强抗丢包处理技术，在网络丢包率达20%环境下仍可保障视频流畅；采用IRC智能调速技术，动态调整视讯码流带宽，保证最优的音视频体验；超强的抗网络抖动能力，最大可达1000ms，保证会议顺利进行。独到的QoS保证技术，支持华为公司独有的超强纠错技术，系统能够针对IP网络丰富的QOS

49、模式自动调整网络传输和视音频处理的不同纠错策略，从而保障图像、音频在各种恶劣网络条件下达到最优效果。在同样在网络抖动、延时、包误差等指标上，比国际标准和业界友商相比有极大的提高。丢包重传技术：在小丢包、零星丢包情况下，使用丢包重传技术自动降速技术：对于因网络拥塞造成的丢包，自动降速技术能够大大降低网络上的丢包率华为专利抗丢包技术：SEC1.0（可抗3%的丢包）、SEC2.0（可抗5%的丢包）、SEC3.0（可抗20%的丢包）丢包率华为产品（启用SEC3.0）其它厂商小于1无察觉有损伤可察觉，但不明显13无察觉损伤显著，图像恶化严重310%图像流畅、清晰、无卡顿、无马赛克图像恶劣，沟通无法进行1

50、0%20%图像流畅、清晰、无卡顿、无马赛克图像恶劣，沟通无法进行20%30%图像流畅、运动区域有少量马赛克,但可恢复图像恶劣，沟通无法进行智能调速（IRC-Intelligent Rate Control）华为高清视讯系统采用智能调速技术，视讯过程中实时统计当前的视音频丢包情况，当丢包率大于某个设定的条件时，便启动智能调速策略处理，让当前不稳定网络达到最佳的视频通话效果。华为专有IRC技术，自动侦测网络业务占用带宽变化情况，智能选择适合各种网络带宽的最佳图像分辨率，保持会议良好质量。断线恢复（RoD-Reconnect on Disconnect）华为高清视讯系统采用断线恢复技术， 在实际会议

51、中可能碰到IP网络异常中断的情况，在30秒内只要网络恢复正常，该系统的视讯终端可立即恢复会议功能，使会议继续正常进行。对于网络中断超过30秒以上，终端将退出会议，当网络恢复正常时，该系统提供特服号功能，终端通过呼叫特服号可立即回到会议中继续参加会议。对于终端异常断电等特殊情况，当供电恢复，该系统的视讯终端可自动回到会议中继续参加会议。当MCU出现断电，该系统同样可以在供电恢复后自动恢复会议，确保会议继续。丢包重传（ARQ-Automatic Repeat reQuest）华为高清视讯系统采用丢包重传技术，它通过使用确认和超时这两个机制，在不可靠服务的基础上实现可靠的信息传输。如果发送方在发送后

52、一段时间之内没有收到确认帧，它通常会重新发送，确保视讯的高流畅性。多通道级联华为MCU支持数字级联， 且最大支持6级级联。数字级联采用无缝对接，主会场的信号经过两级MCU转发给下级分会场，中间无需编解码处理，视音频效果未受损伤，除转发时网络延时外，跟使用同一台MCU毫无差别。华为MCU的数字级联技术可以使会场操控更方便简单。 两MCU间有逻辑上的上下级关系，上级MCU进行广播操作后，下级MCU会自动进行广播，主会场发送辅流后，辅流也会自动发送给上下级的所有会场，统一维护调度无需额外操作，级联时间不超过5秒。华为MCU支持多通道级联，且设有快捷的操作方式，充分降低管理人员的运维压力。系统根据MC

53、U的级联多通道的线路类型和数量，自动调度出多通道级联会议，并自动生成多通道参数信息，使用户方便自由选看任何会场，带来更好的会场体验效果。通过采用华为MCU级联召集会议的方式，可以解决分层组网、提高会议容量等问题。全适配会议由于HUAWEI MCU为真正的全编全解架构，内置丰富的软/硬件图像编解码资源，最大限度任意会场、任意协议、任意速率的支持速率、协议动态适配，即所有参会的会场均能够以不同的通信协议、不同的带宽、不同的视音频协议、不同的清晰度加入会议。所有的会场加入会议中均先进行图像解码，然后再进行重新编码组合成新的图像。支持以下任意编码协议、图像格式在任意支持速率（64K8M）下适配。H.2

54、61 QCIF/CIFH.263 QCIF/CIF/4CIFH.264BP/HP QCIF/CIF/4CIFH.264BP/H.264HP 720P30fpsH.264BP/H.264HP 720P60fpsH.264BP/H.264HP 1080P30fpsH.264BP/H.264HP 1080P60fpsH.265 4K*2K30fps自动多画面HUAWEI MCU支持自动多画面，随会场的新增/删减自动新增/删减多画面，不需要管理员手动操作，智能提供多画面给会场用户观看；同时各会场可任意选看不同子画面组合的多画面，满足不同会场用户观看不同多画面的需求。音频自适应HUAWEI MCU应用强

55、大的音频自适应功能，即终端加入会议时，根据终端的音频能力，MCU可以自动匹配MCU和终端都支持的最优音频协议，让终端入会，充分保证各标清高、标清终端自动入会，保证最优秀的音频效果；而整个过程由MCU自动完成，不需要任何手工操作，智能提供优质的语音效果。活动会议速率、视频动态适配HUAWEI MCU支持强大的视频、带宽动态适配功能，即正在召开的高清会议，可以任意添加不同带宽、不同视频协议的高清终端、标清终端入会；当添加的会场能力低于会议时，MCU将自动完成会议动态适配，兼容不同能力终端入会，提供智能的适配功能。简单易用用户界面简约时尚华为公司多年来专注于用户使用习惯，吸取业界顶级UI设计公司的优

56、秀设计理念，开发出全新简约时尚的用户界面。整个界面具有良好的指引性和易用性，界面图标、文字索引易于理解，帮助用户在第一时间作出最正确的操作，非常简单易用。管理员和最终用户有着清晰的界线，各种业务功能能够得到最好的聚焦。与此同时，与之配套的遥控器设计美观、大方，造型优雅，按键简洁，真正做到用最少的按键诠释最丰富的功能。CloudLink硬终端采用全新设计的可触控白板协作系统，通过自带触摸屏或者配套第三方IWB可实现点击图标触控操作，或者开启智能语音助手，轻松开始会议。使用触控界面可以加入已预约的会议，创建多点与点对点会议，白板协作与共享，会议控制，控制麦克风、扬声器和摄像机，开启摄像机语音跟踪模

57、式，一键智能诊断等。华为CloudLink系列硬终端支持用户自定义背景和预置背景替换功能，支持动态壁纸。PAD智能操控平台华为TE系列高清终端、RP系列多功能智真、TP系列三屏智真终端，可配套安卓Pad作为智能操控平台，使用图形化界面操控模式，提供一键智能控制功能，使用过程只需轻轻点击屏幕可视图标，比打电话更方便使用。用户可通过Pad触摸屏点击实现所有设备的开机、关机、启动操作，轻松控制电源、LCD显示屏、高清摄像机、核心编解码器等设备。 会议过程中更轻松控制，只需要在Pad上一键点击便能实现静、闭音；丰富的会议控制功能，主要包括：申请/释放主席、观看会场、点名发言、声控切换、广播会场、自动浏

58、览、屏幕切换（多画面选看）、本端胶片发送控制等功能。整个控制过程随心而动，与传统会议相比，不需要多个控制设备、反复多级菜单操作等复杂步骤，用户界面十分简洁干净，与传统的会议应用模式自然融合。Touch智能操控平台华为全新一代CloudLink系列硬终端、协作智真等产品配置Touch智能操控平台，Touch采用全新设计触控系统，简约直观、特征清晰、亲和融入，使用过程中，只需点击图标，轻松开始会议。使用Touch界面，可以加入已预约的会议，创建多点与点对点会议，共享会议材料，设置多画面，会议控制，系统配置，控制麦克风、扬声器和摄像机，开启摄像机语音跟踪模式，一键智能诊断等。会议中如果远端摄像机允许

59、被远程操作，还可以控制远端摄像机。字幕与横幅功能A、中文会场名显示华为高清视讯终端提供了中文会场名显示功能，用户可以轻松分辨出当前观看的是哪个会场。设置的字幕可以灵活地在屏幕上、下、左、右显示，更可以选择16种不同的颜色显示。还可控制在界面上显示及显示时间的设置。B、数字图片横幅功能华为高清视讯终端提供业界最强大数字字幕横幅编辑功能。用户可以方便地向远端会场发送上、中、下三个区域的横幅组合内容，并且提供区域的自动调整、自适应实景编辑、图片插入、背景透明度/颜色/字体可调、多种的字幕滚动方式如中文和英文字幕、预览等强大功能，更可以选择16种不同的颜色显示。应用强大的字幕短信功能，增强了与会各会场

60、之间的沟通和交流，更贴近用户的使用。会议中经常需要使用字幕功能，如用于重要提示、会议通知、欢迎词等，如主席会场可现场或提前编辑好字幕，会议中可通过滚动方式或其它方式在会场中实时发送给其它会场。下面是分会场看到主会场发送滚动字幕的实际效果：C、系统预置横幅、字幕功能丰富的会议召集模式系统支持多种会议召集方式，可以灵活的召开会议，支持通过会场人员、管理员、企业平台、邮件等方式即集召开。终端呼叫-主叫呼集会场操控人员仅使用遥控器或PAD、Touch便可直接呼叫对方的号码（或从电话本选择呼叫），无需其他人协助，可以在任意几个终端会场，自主召集会议，不需要系统管理员协助。系统侧可实现无人值守，实现一键呼