视频会议中国安全问题分析和解决方案

视频会议从诞生以来一直为安全问题困扰，特别是疫情大增涨时期，安全问题层出不穷，各种密码泄露，造成用户体验不佳，视频会议及时引入外部力量解决安全问题，保留用户，其措施果断，安全防护得当；即使解决后，视频会议仍然没有停止对安全问题的深度挖掘。

工业界常说的起新端身份验证（End to End Encryption，E2EE）是指消息或讯息在传送者和接受者这两端流动时是全程身份验证的，也就意味著讯息只能这两端可见。而在现有的绝大部分商品构架中，很大存有服务供应商或是商品前台连接各个使用者。因此，E2EE主要的功能是在防止讯息在流转操作过程中被窃听和篡改。

如下图右图，透过前台伺服器，使用者间能创建讯息传输地下通道。能简单的将服务供应商理解为路由器，负责把消息或是讯息从使用者A传送至使用者B。在此地下通道基础之上，E2EE能为使用者A和使用者B间创建一种私有地下通道，用以传输敏感讯息。在E2EE地下通道中传输的讯息，即使伺服器（不知道E2EE地下通道的讯息包）也无法以获取其中的讯息。

  视频会议使用的起新端身份验证

视频会议宣称的起新端身份验证实际上是另一种形式。是在使用者和服务供应商间创建了安全可靠信道，这样能防止其他的人窃听和篡改使用者和伺服器间的交互讯息。如下图右图：

先不论视频会议创建安全可靠地下通道和身份验证讯息的具体核心技术和演算法。在整体构架中，视频会议所指的起新端身份验证是不同的使用者端分别与伺服器端创建的安全可靠地下通道。如果使用者间要传递讯息，比如说A发讯息给B，服务供应商必须先泄密安全可靠地下通道A中的讯息，再透过安全可靠地下通道B身份验证传送到B。也就意味著，服务供应商能以获取大部份使用者通信的讯息和讯息。

视频会议使用的是标准的TLS来创建使用者与伺服器间的安全可靠地下通道。但由于不透明的中心化讯息包管理和讯息包生成形式，以及不当地使用AES身份验证演算法，因而造成了极大的安全可靠隐患。同时，由于并没有使用与生俱来的起新端身份验证，使用者的截图讯息能由视频会议服务器端全然以获取，造成了视频会议截图讯息外泄的一种重要原因。

视频会议中最为常用的功能是聊天室全体会议或是截图，这其实对起新端身份验证有更强的要求。理想情况下，参予聊天室全体会议的大部份人间须要创建一种起新端身份验证地下通道，也就意味著聊天室全体会议中的任何讯息，包括语音和截图，只能由参予全体会议的人以获取。怎样创建聊天室全体会议的起新端身份验证地下通道，怎样在参予人数非常多时不影响操控性，都会是潜在的挑战。

  起新端身份验证的困难性

当然，安全可靠创建和使用起新端身份验证地下通道是有很大的难度的。那个难度不仅仅在演算法上，也体现在整座商品的安全可靠构架上。值得注意的是，个人隐私维护与安全可靠并不全然等同。透过起新端身份验证能维护讯息个人隐私，但从整座安全可靠角度上来看，依然须要其他的机制来保证整座系统的安全可靠性。下面着重透露创建安全可靠的起新端身份验证地下通道可能须要面临的难题。

讯息包管理：

讯息包管理一直是个人隐私维护中最为薄弱，也最为重要的一环。使用讯息论演算法进行讯息的个人隐私维护，其安全可靠性会全然归结到讯息包上。因此，在创建和使用起新端身份验证地下通道时，讯息包的全生命周期管理会成为重中之重。

在E2EE的讯息身份验证操作过程中，一般会使用等距身份验证的形式。也就意味著参予者间须要预先共享资源一种讯息包。由此，须要透过讯息包协商的方法来创建该共享资源讯息包。这就是经典的讯息包协商和递送的难题。那个难题在多人聊天室全体会议的情景下会更加复杂。

起新端身份验证地下通道的讯息包的安全可靠使用和存储也是难点之一。以视频会议为例，应用程序应用软件全然由视频会议开发，怎样保证应用软件中不会存有恶意代码直接将应用程序的讯息包传送回服务器端？怎样保证使用后的讯息包已被安全可靠的销毁？其实，大部份类似的情景，商品提供方都存有着自证清白的难题。

操控性影响：

使用者体验往往是在线通信商品成功与否最重要的因素之一。甚至能说，视频会议的安全可靠隐患很大程度上是由于追求极致的使用者体验造成的。特别是聊天室截图的情景，对流讯息的加泄密处理不可避免的须要损失很大的操控性，身份验证讯息的传输也会造成更大的网络负荷，从而引起卡顿的情况。在参予人数非常多的情景下，对于伺服器，终端设备的配置要求势必会更高。

  可能的讯息论化解办法

讯息论为讯息个人隐私维护提供了非常丰富的核心技术手段。针对为聊天室全体会议、截图创建起新端身份验证地下通道的难题，其实也存有许多讯息论演算法。当然，单纯的演算法不能全然化解大部份的安全可靠难题，这里只是提供一种可能的核心技术方向。与生俱来完美的化解这类安全可靠难题，须要有非常复杂的方案设计和安全可靠构架设计。这里透露一种讯息论演算法作为可能的化解办法——全权重身份验证（Proxy Re-Encryption，PRE）。

在这之前，稍微解释一下讯息论中较为常用的概念。讯息论中的身份验证管理体系大体分为两类，分离式私钥管理体系和等距私钥管理体系。可形象的如下图右图：

在分离式私钥管理体系中，或是我们常说的私钥私钥管理体系，讯息包分为私钥和私钥（两个讯息包是分离式的）。私钥像一把打开的锁，任何人能把文档（讯息）放到箱子中（演算法），用这把锁将箱子锁起来（身份验证）。私钥像是我们常用的门锁，任何享有门锁（私钥）的人，能打开锁（泄密），拿出箱子里的文档。因此，没有门锁（私钥）的人并不知道箱子里的东西。

在等距讯息包管理体系中，身份验证和泄密使用的是同一种讯息包（因而称为等距讯息包）。这里能想象一种已内置一把锁，因此留出锁孔的箱子。这意味著，在把文档放到箱子中后，锁上箱子（身份验证）和打开箱子（泄密）都须要使用同一把门锁（私钥）。

两种身份验证管理体系均有各自的特点：

分离式身份验证管理体系在递送讯息包非常方便，只须要把私钥（锁）公布出去，自己保留私钥（门锁）即可。但整体的加泄密操控性相对较差。

等距身份验证管理体系在讯息包递送时非常麻烦，但加泄密的操控性非常快，大约比分离式身份验证快两个数量级左右。

全权重身份验证（Proxy Re-Encryption）：

我们开始透露全权重身份验证。在那个系统里，存有着三个角色，使用者A，使用者B和全权（Proxy），那个全权能看做是上述中的伺服器或是服务供应商。PRE本身能看做是一种特殊的分离式身份验证管理体系。简而言之，全权在不看到讯息的前提下，能将使用者A的密钥转变为使用者B的密钥。我们用下图来更形象的理解那个操作过程。

使用者A希望将自己的讯息（比如说照片，大量的文档等）互动给使用者B。与传统情况（直接用B的私钥身份验证后传送）不一样的地方在于：使用者A期望在后来能继续将这些文档再互动给更多人，比如说C，D，E等等，但不愿意反复借助传统的形式传送。因为这会带来大量的排序和带宽需求（须要反复身份验证和传输）。

全权重身份验证是这样的一种操作过程：

a. 使用者A借助自己的私钥（红色的锁）身份验证讯息，然后将其上传至全权。因为私钥（红色门锁）在使用者A手上，所以全权得不到任何的讯息讯息。

b. PRE中有一种神奇的切换操作过程——重身份验证。全权能将A的密钥切换为B的密钥（白色的锁）。那个操作过程中全权无法看到讯息，因此两个密钥中的讯息是全然一样的。（实际上，全权能进行该操作是必须透过使用者A许可的，许可的形式是由A生成的某个特有的讯息传送到全权，全权用该讯息进行重身份验证。注意，那个许可讯息不是A的私钥）。

c. 使用者B能下载此密钥，因此泄密（白色门锁）得到其中的讯息。

PRE中神奇的重身份验证操作过程，能用来化解聊天室全体会议或是截图的讯息包递送难题。下面将以简化的形式，一点点为大家透露。

假设使用者A希望发起聊天室全体会议或是截图，使用者A首先会选取一种随机的会话讯息包（红色门锁），该会话讯息包是等距讯息包，将会在实际的讯息交互中用于加泄密操作。

在选取会话讯息包之后，使用者A则借助自己的私钥（白色的门锁）身份验证该会话讯息包，然后传送到服务供应商（比如说，视频会议的前台伺服器）。那个操作过程会话讯息包一直是安全可靠的，因为只有使用者A享有私钥（白色的门锁）。

服务供应商接收到密钥之后，可按照使用者A的许可，将该密钥切换为其他三个使用者的密钥（紫色的锁，红色的锁，绿色的锁），三个密钥中对应的讯息都是会话讯息包（红色门锁）。

在切换之后，服务供应商将密钥推送给各个使用者，各使用者能透过自身的私钥（紫色门锁，红色门锁，绿色门锁）泄密得到会话讯息包（红色门锁）。最后，大部份参予者都享有同样的会话讯息包，因而创建起了起新端身份验证地下通道。

聊天室内任何人发出的讯息能由会话讯息包身份验证，然后传送到服务供应商。服务供应商将该密钥讯息广播至其他使用者，其他使用者借助会话讯息包进行泄密。整座操作过程中，服务供应商无法以获取聊天室内的通信讯息。

同时，服务供应商将一直保存使用者A提交的密钥。这是因为在有新加入成员时，只要使用者A同意，服务供应商则能将该密钥转为新成员的密钥，以此将会话讯息包同步给新成员。在会话结束后，大部份成员将本地的会话讯息包删除。

当然，上述只是一种基本流程的透露，要形成完备的方案须要与详细的业务流程配合，因此在构架和安全可靠机制上须要有全面的考虑和设计。

  个人隐私排序

讯息已然成为捷伊生产要素，而其价值由讯息的效用（utility）才能与生俱来衡量，讯息效用的体现则很大是在讯息的使用操作过程当中。视频会议的安全可靠事件中，本质上是讯息在传输操作过程中的安全可靠性难题。讯息传输自然也是讯息流动的一种形式，然而从整座市场看，现在面临的讯息个人隐私的难题远远不止是讯息传输中产生的。

传统网络的盈利模式本质上就是借助使用者讯息变现，目前已开始受到严峻的挑战。随着对讯息个人隐私维护的重视度的提升，网络盈利模式中惯性式的收集讯息的做法已逐渐不可行。频频发生的讯息外泄和滥用事件也不断促进国内外透过立法维护讯息个人隐私，从而大环境上迫使网络进行转型。

企业间讯息的共享资源和协作也存有着巨大的障碍。在讯息量爆炸增长的今天，很难有一家机构享有大部份的讯息。讯息作为极为特殊的资产，企业间也不会与生俱来彼此互动。怎样充分借助不同机构间的讯息，训练更加有效的AI模型已成为讯息市场最大的难题。这是因为讯息的多样性直接决定了模型的精度，进而决定了商业成本与风险。因此，从 AI 演算法的角度来看，讯息越多越好；从个人隐私维护的角度来看，讯息暴露的越少越好。这种内在的矛盾已成为 AI 核心技术进一步使用的最大的障碍。

个人隐私排序（Privacy-Preserving Computation）则是化解讯息流动中的讯息个人隐私难题的终极方法。以讯息论为核心，为讯息在个人隐私维护的前提下使用提供了各种核心技术基础。透过个人隐私排序核心技术，在捷伊数字化时代，人必将回归个体的自然权利，将网络平台沦为人的工具。

在捷伊数字化时代，我们依然处在搭建整座个人隐私排序网络基础建设的基础阶段。无论从核心技术上还是从捷伊盈利模式上，都还须要不断的探索。也正是因为如此，PlatON一直致力于将个人隐私排序核心技术推广到各个领域。近期即将推出的个人隐私AI框架——Rosetta，正是为了结合AI演算法与个人隐私排序核心技术，降低开发者使用个人隐私排序核心技术门槛的大胆尝试。