面向多媒體系統(tǒng)的HTTP摘要安全認(rèn)證

王永建，朱紀(jì)周，楊建華，閆 超，王躍紅，宋四海

(中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司，北京 100079)

面向多媒體系統(tǒng)的HTTP摘要安全認(rèn)證

王永建，朱紀(jì)周，楊建華，閆 超，王躍紅，宋四海

(中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司，北京 100079)

多媒體系統(tǒng)的安全形勢(shì)非常嚴(yán)峻，客戶端是信息安全事故的集中源頭，因此，多媒體系統(tǒng)中客戶端的安全認(rèn)證非常關(guān)鍵。為了彌補(bǔ)傳統(tǒng)多媒體系統(tǒng)中SIP的不足，設(shè)計(jì)了一種基于HTTP摘要的認(rèn)證方案。首先簡(jiǎn)析了SIP協(xié)議與HTTP協(xié)議；設(shè)計(jì)了多媒體系統(tǒng)整體結(jié)構(gòu)，定義了各主要組成部件的功能。然后設(shè)計(jì)了認(rèn)證流程，AG的質(zhì)詢消息頭，MC的應(yīng)答消息頭和Response參數(shù)等方案。本文的設(shè)計(jì)思路對(duì)提高多媒體系統(tǒng)和SIP協(xié)議的安全性具有一定借鑒意義。

SIP；SDP；HTTP摘要；質(zhì)詢；應(yīng)答

本文著錄格式：王永建，朱紀(jì)周，楊建華，等. 面向多媒體系統(tǒng)的HTTP摘要安全認(rèn)證[J]. 軟件，2016，37（12）：197-201

0 引言

隨著國(guó)家“三網(wǎng)融合”的不斷推進(jìn)，多媒體業(yè)務(wù)發(fā)展迅速。不僅僅在日常生活中，在國(guó)家平安城市建設(shè)、科技強(qiáng)警中也日益重要。為此，公安部于2012年6月1日發(fā)布了《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》（GB/T28181-2011）等相關(guān)文件[1]。

隨著互聯(lián)網(wǎng)、云計(jì)算、HEVC（High Efficiency Video Coding）、Web、高清顯示等技術(shù)的發(fā)展，網(wǎng)絡(luò)多媒體系統(tǒng)近些年迅速崛起，對(duì)傳統(tǒng)的廣播電視報(bào)紙等傳媒產(chǎn)生了重大沖擊的同時(shí)，也注入了新的生機(jī)與活力。尤其是移動(dòng)互聯(lián)網(wǎng)、智能終端、光學(xué)器件的發(fā)展，每個(gè)人都能成為多媒體文件的采集者、轉(zhuǎn)發(fā)者和接受者。人們?cè)谙硎苓@些科技成果的同時(shí)，信息安全形勢(shì)越發(fā)嚴(yán)峻。

客戶端屬于信息安全事故的高發(fā)區(qū)域，也是監(jiān)管對(duì)象的難點(diǎn)，需要完善、嚴(yán)格的管控機(jī)制。因此，多媒體系統(tǒng)中客戶端的安全認(rèn)證非常關(guān)鍵。Web Service、B/S（Browser/Server）是典型的代表，目前在PC和智能終端上應(yīng)用廣泛，尤其是APP在移動(dòng)互聯(lián)網(wǎng)環(huán)境下更是流行。

本文利用HTTP（HyperText Transfer Protocol，超文本傳輸協(xié)議）協(xié)議，針對(duì)SIP（Session Initiation Protocol，會(huì)話初始協(xié)議）協(xié)議的安全性缺陷，探究設(shè)計(jì)了一種客戶端遠(yuǎn)程安全認(rèn)證機(jī)制，該機(jī)制面向常見的多媒體系統(tǒng)，具有寬廣的適用性和良好的可擴(kuò)展性。

1 相關(guān)協(xié)議分析

1.1 SIP協(xié)議

SIP是一個(gè)應(yīng)用層的控制協(xié)議，它利用HTTP協(xié)議和SMTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳送協(xié)議）協(xié)議工作的信令協(xié)議，使用消息方式完成用戶會(huì)話的建立和管理，基于請(qǐng)求/響應(yīng)的事務(wù)處理模型實(shí)現(xiàn)[2]。見圖1所示：

圖1 SIP和HTTP協(xié)議在網(wǎng)絡(luò)體系結(jié)構(gòu)中的位置

SIP支持名字映射和重定向服務(wù)。在實(shí)際應(yīng)用中，客戶端位置，尤其是智能終端位置的移動(dòng)性，客戶端常常在不同的網(wǎng)絡(luò)中進(jìn)行切換。為了保證客戶端身份的唯一性和安全認(rèn)證，要求SIP作為客戶端身份的唯一外部標(biāo)識(shí)；并需要客戶端的地址更新后，客戶端的默認(rèn)網(wǎng)關(guān)地址進(jìn)行重定向，始終指向多媒體系統(tǒng)對(duì)外發(fā)布的固定地址（或者服務(wù)器地址池中的合法地址），而無(wú)需關(guān)系所在的實(shí)際網(wǎng)絡(luò)位置。

SIP消息分為兩類：SIP 請(qǐng)求和SIP 響應(yīng)；其中請(qǐng)求消息由客戶機(jī)發(fā)往服務(wù)器，響應(yīng)消息由服務(wù)器發(fā)往客戶機(jī)[3]。請(qǐng)求消息和響應(yīng)消息格式由一個(gè)起始行、若干個(gè)頭字段，以及一個(gè)可選的消息體組成[4]。請(qǐng)求和響應(yīng)消息的基本格式如下：

請(qǐng)求消息的起始行為請(qǐng)求行：

響應(yīng)消息的起始行為狀態(tài)行：

1.2 HTTP摘要認(rèn)證

SIP協(xié)議由于其實(shí)現(xiàn)簡(jiǎn)單、擴(kuò)展性好、部署方便等而應(yīng)用廣泛，不過(guò)在使用過(guò)程中也暴露出了一些問(wèn)題[7]。由于SIP協(xié)議最初的出現(xiàn)是為了實(shí)現(xiàn)會(huì)話控制，協(xié)議自身設(shè)計(jì)具有先天性的不足，SIP自身不具備認(rèn)證功能和加密功能。

HTTP協(xié)議是目前互聯(lián)網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，所有的WWW文件都遵循該協(xié)議。HTTP協(xié)議提供了摘要認(rèn)證機(jī)制，來(lái)保證用戶的身份認(rèn)證與口令加密傳輸，并抵御重放攻擊[8]。HTTP協(xié)議的認(rèn)證機(jī)制與SIP協(xié)議相結(jié)合，不失為一種良好的解決思路。

HTTP摘要認(rèn)證是基于預(yù)分配用戶名密碼的一種認(rèn)證機(jī)制，以替代基本認(rèn)證，防止密碼明文傳輸泄露信息[9]。采用質(zhì)詢-應(yīng)答機(jī)制（chcallenge-response），“質(zhì)詢”指服務(wù)器向客戶端發(fā)送一個(gè)包含消息頭WWWAuhtelliteate的HTTP響應(yīng)，狀態(tài)碼為401(Unauhtiorezd)，要求客戶端發(fā)送端認(rèn)證信息；“應(yīng)答”指客戶端識(shí)別出消息頭后，向服務(wù)器反饋基于HTTP的請(qǐng)求信息[10]。當(dāng)服務(wù)器收到客戶端的請(qǐng)求消息時(shí),若該客戶端尚未完成身份的認(rèn)證，則服務(wù)器會(huì)在回應(yīng)中發(fā)起挑戰(zhàn),客戶端須提供證明自己身份的信息,以完成服務(wù)器對(duì)其身份的驗(yàn)證[11]。

2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

本文設(shè)計(jì)的多媒體系統(tǒng)主要組成為：客戶端MC（Multimedia Client），接入網(wǎng)關(guān)AG（Access Gateway），媒體分發(fā)系統(tǒng)MDS（Media Distribution System），中央管理系統(tǒng)CMS（Central Management System），以及其它功能模塊，見圖2所示。

圖2 多媒體系統(tǒng)結(jié)構(gòu)圖

（1）中央管理系統(tǒng)

CMS是整個(gè)多媒體系統(tǒng)的中樞管理機(jī)構(gòu)，是系統(tǒng)的大腦，主要管理AG與其它功能模塊。作為信息存儲(chǔ)中心，存儲(chǔ)非業(yè)務(wù)類的關(guān)鍵數(shù)據(jù)，例如客戶端/用戶身份信息和業(yè)務(wù)配置參數(shù)，并向Portal提供發(fā)布的內(nèi)容；作為系統(tǒng)中樞機(jī)構(gòu)，提供客戶端/用戶身份信息管理[12]。接收SIP的呼叫請(qǐng)求，實(shí)現(xiàn)客戶端接入時(shí)的呼叫控制。如果被叫是本域的前端，則修改SIP消息中的SDP協(xié)議（Session Description Protocol），SDP是基于文本的，因此可擴(kuò)展性比較強(qiáng)，應(yīng)用場(chǎng)景很廣。SDP用于描述媒體信息，并不支持會(huì)話內(nèi)容和媒體編碼協(xié)商功能。根據(jù)SDP描述的媒體信息（含已注冊(cè)的信令地址），發(fā)起新的SIP呼叫，失敗則釋放本次呼叫[13]。

（2）接入網(wǎng)關(guān)

AG部署在MC與CMS之間，是系統(tǒng)的前端接入網(wǎng)關(guān)，是MC注冊(cè)或者會(huì)話時(shí)的第一個(gè)訪問(wèn)點(diǎn)，是Web和WAP客戶端的Http Portal[12]。AG必須實(shí)現(xiàn)本域MC的接入，接收和轉(zhuǎn)發(fā)由MC或CMS發(fā)來(lái)的SIP 信令。實(shí)現(xiàn)對(duì)MC的接入管理，接收、轉(zhuǎn)發(fā)來(lái)自MC的呼叫控制信令給CMS，轉(zhuǎn)發(fā)從CMS接收到的請(qǐng)求或應(yīng)答消息給MC。

（3）媒體分發(fā)系統(tǒng)

MDS負(fù)責(zé)系統(tǒng)的媒體轉(zhuǎn)發(fā)/分發(fā)和平臺(tái)側(cè)的媒體傳送，在CMS的媒體調(diào)度模塊控制下完成音視頻傳送功能，MDS要求支持多級(jí)級(jí)聯(lián)和分布式部署[12]。

（4）客戶端

基于Web和WAP，MC分為PC客戶端和手機(jī)客戶端兩大類?？蛻舳斯δ芤话惆ㄗ?cè)接入、鑒權(quán)認(rèn)證、解碼、快照、語(yǔ)音呼叫、圖像預(yù)覽、鏡頭控制、云臺(tái)控制、錄像回放等功能。

3 認(rèn)證設(shè)計(jì)方案

3.1 認(rèn)證流程

根據(jù)本文第2節(jié)，AG負(fù)責(zé)MC的身份認(rèn)證。MC每次向AG發(fā)起HTTP請(qǐng)求，AG都需要進(jìn)行摘要認(rèn)證。MC首次向AG發(fā)送HTTP請(qǐng)求，AG返回401（未授權(quán)）響應(yīng)進(jìn)行挑戰(zhàn)。401消息的頭里帶有WWW-Authenticate消息頭，其中包含挑戰(zhàn)摘要的隨機(jī)參數(shù)nonce。MC收到401后，將用戶名密碼和挑戰(zhàn)信息用MD5加密形成認(rèn)證鑒權(quán)頭，重新發(fā)送給AG，AG對(duì)認(rèn)證鑒權(quán)頭進(jìn)行驗(yàn)證，如果認(rèn)證成功則返回200 OK，并在響應(yīng)的消息中返回下次認(rèn)證的隨機(jī)數(shù)nextnonce，MC下次請(qǐng)求時(shí)，根據(jù)nextnonce生成鑒權(quán)頭進(jìn)行HTTP請(qǐng)求[14]。見圖3所示。3.2 AG的質(zhì)詢消息頭

圖3 HTTP摘要認(rèn)證流程圖

AG的401未授權(quán)質(zhì)詢WWW-Authenticate消息頭語(yǔ)法：

AG的消息頭參數(shù)見表1所示：

3.3 MC的應(yīng)答消息頭

MC的應(yīng)答消息頭語(yǔ)法：

MC的Authorization頭參數(shù)見表2所示：

3.4 Response參數(shù)

在HTTP 摘要認(rèn)證的“response”過(guò)程中，MC通過(guò)定義response的不同參數(shù)，向AG反饋相應(yīng)的HTTP請(qǐng)求信息，response參數(shù)計(jì)算方法至關(guān)重要。response參數(shù)計(jì)算算法參考RFC2617[15]：

AG在收到MC的挑戰(zhàn)響應(yīng)消息后，根據(jù)Authorization消息頭中的username參數(shù)，取出對(duì)應(yīng)的key和key的有效期，然后使用和MC相同的計(jì)算方法，對(duì)Authorization消息頭中的參數(shù)進(jìn)行摘要計(jì)算，將計(jì)算結(jié)果與response值進(jìn)行比較，相同則鑒權(quán)成功，返回200 OK響應(yīng)，不同則鑒權(quán)失敗，重新返回401 Unauthorized響應(yīng)，格式與請(qǐng)求一的401響應(yīng)相同。

表1 AG的消息頭參數(shù)說(shuō)明表

表2 MC的Authorization頭參數(shù)說(shuō)明表

4 結(jié)束語(yǔ)

針對(duì)SIP協(xié)議的安全性缺陷，本文利用HTTP摘要認(rèn)證機(jī)制，設(shè)計(jì)了多媒體系統(tǒng)中客戶端與接入網(wǎng)關(guān)之間的HTTP摘要認(rèn)證方案，對(duì)增強(qiáng)多媒體系統(tǒng)的安全性具有積極意義。不過(guò)，本文的設(shè)計(jì)方案仍需要進(jìn)一步完善，因?yàn)镠TTP摘要認(rèn)證本身并非完美、無(wú)懈可擊，仍存在一定的缺陷性，如協(xié)議設(shè)計(jì)不支持雙向認(rèn)證，缺乏私鑰協(xié)商機(jī)制，不能為SIP協(xié)議消息頭域加密等，這些缺陷還需不斷改進(jìn)。另外，客戶端的安全接入有多種保證機(jī)制，需要多方協(xié)同。該領(lǐng)域的研究還有許多工作要做，任重道遠(yuǎn)。

[1] 王永建, 劉永濤, 梁偉河等. 一種基于SIP的多媒體客戶端安全接入設(shè)計(jì)[J]. 通信技術(shù), 2016, 49(7): 923-928.

[2] 劉輝, 羅曉勇, 張杰. 基于SIP的無(wú)線視頻監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 電視技術(shù), 2011, 35(19): 93-95.

[3] 曾鷺鷺, 陳一民. 基于SIP協(xié)議的IP電話服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程, 2007, 33(3): 278-280.

[4] 徐軒. 嵌入式移動(dòng)視頻采集終端的設(shè)計(jì)與實(shí)現(xiàn)[D]. 武漢:武漢理工大學(xué), 2013.

[5] 亢娟. 基于WCDMA網(wǎng)絡(luò)的智能公交系統(tǒng)接口協(xié)議研究[D]. 太原: 太原理工大學(xué), 2013.

[6] 陳瑩. 基于SIP協(xié)議的視頻監(jiān)控系統(tǒng)的實(shí)現(xiàn)與應(yīng)用[D]. 上海: 上海交通大學(xué), 2008.

[7] 李學(xué)杰, 金志剛, 戴居豐. 基于HTTP摘要認(rèn)證的SIP安全性設(shè)計(jì)[J]. 電子測(cè)量技術(shù), 2007, 30(12): 109-115.

[8] 顧曉輝, 施佳佳, 郭放. SIP的安全機(jī)制及其HTTP摘要認(rèn)證的改進(jìn)[J]. 東華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2010, 36(02): 165-174.

[9] 彭煥峰. 一種基于改進(jìn)的HTTP摘要認(rèn)證的SIP安全機(jī)制[J].微型機(jī)與應(yīng)用, 2011, 30(6): 53-55.

[10] 陳遠(yuǎn)志. HTTP認(rèn)證及其在Web平臺(tái)中的實(shí)現(xiàn)[J]. 中國(guó)數(shù)據(jù)通信, 2004, 6(10): 77-83.

[11] ]傅有為. 基于HTTP摘要認(rèn)證機(jī)制的SIP通信系統(tǒng)的實(shí)現(xiàn)[D]. 大連: 大連理工大學(xué), 2011.

[12] 仝玉選. 試論電信級(jí)視頻監(jiān)控中心服務(wù)平臺(tái)[J]. 現(xiàn)代傳輸, 2011(6): 55-67.

[13] 姚楠, 王開圣. 基于三維GIS的電網(wǎng)視頻監(jiān)控系統(tǒng)[J].中國(guó)電力, 2012, 45(4): 96-100.

[14] 中國(guó)移動(dòng)通信集團(tuán)公司. 中國(guó)移動(dòng)視頻監(jiān)控接口規(guī)范[DB/OL]. http://wenku.baidu.com/view/3a2ec2daad51f01dc281f 149.html?from=search,2011-10-19/2016-03-22.

[15] IETF.HTTP Authentication: Basic and Digest Access Authentication[DB/OL]. https://datatracker.ietf.org/doc/rfc2617/?include_ text=1,2013-03-02/2016-03-10.

An Security Authentication of HTTP Digest for Multimedia System

WANG Yong-jian, ZHU Ji-zhou, YANG Jian-hua, YAN Chao, WANG Yue-hong, SONG Si-hai

(China International Telecommunication Construction Group Design Institute Co. Ltd, Beijing 100079, China)

It is very severe for the security situation of multimedia system, and the client is the centralized source of information security incident, so it is the key of security authentication for clien in multimedia system. In order to make up for the lack of security of SIP in traditional multimedia system, it designs an authentication scheme based on HTTP digest. Firstly, it analyzes the principle of SIP protocol and HTTP protocol, and it designs the whole structure of multimedia system, and defines the function of each main component. Then, it designs the certification process and the scheme including chcallenge message header of AG, response message header of MC and parameter of Response. The design idea, in the paper, has a certain reference significance for improving the security of multimedia system and SIP protocol.

Session initiation protocol; Session description protocol; HTTP digest; Chcallenge; Response

TN919.81

A

10.3969/j.issn.1003-6970.2016.12.042

河南省重點(diǎn)科技攻關(guān)項(xiàng)目(122102210430)，中國(guó)通信建設(shè)集團(tuán)“RD+PS”項(xiàng)目

王永建(1981-)，男，高級(jí)工程師，研究方向?yàn)樾畔踩?、大?shù)據(jù)、云計(jì)算；朱紀(jì)周(1966-)，通訊作者，男，本科，高級(jí)工程師，研究方向?yàn)橛?jì)算機(jī)應(yīng)用、信息安全；楊建華(1979-)，男，本科，高級(jí)工程師，研究方向?yàn)閿?shù)據(jù)通信、計(jì)算機(jī)應(yīng)用；閆超(1970-)，女，本科，高級(jí)工程師，研究方向?yàn)橛?jì)算機(jī)應(yīng)用；王躍紅(1969-)，男，本科，工程師，研究方向?yàn)閿?shù)據(jù)通信、計(jì)算機(jī)應(yīng)用；宋四海(1976-)，男，本科，高級(jí)工程師，研究方向?yàn)閿?shù)據(jù)通信、計(jì)算機(jī)應(yīng)用。