摘要：Web瀏覽器實(shí)時通信技術(shù)，能夠很好的滿足廣大用戶的需求，因而在我國有著廣闊的發(fā)展前景。本文主要論述了Web瀏覽器實(shí)時通信中涉及的主要安全性問題并有針對性的提出了相關(guān)的建議。

關(guān)鍵詞：Web；瀏覽器；實(shí)時通信；安全性

中圖分類號：TP393.092 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 18-0000-02

1 Web瀏覽器實(shí)時通信技術(shù)的發(fā)展情況

伴隨我國通信網(wǎng)絡(luò)與計算機(jī)互聯(lián)網(wǎng)的不斷發(fā)展和日益融合，用戶對于通信技術(shù)的需求也越來越多樣化，通信常常不僅有音頻方面的需求，也對于視頻以及其他通信形式更為依賴；此外對于實(shí)時通信也帶來了多樣化的需要。Web瀏覽器中B/S結(jié)構(gòu)是比較主流的通用的結(jié)構(gòu)，目前網(wǎng)頁上提供的最為常用的Audio，或者Video等實(shí)時性的媒體服務(wù)產(chǎn)品，通常也是由網(wǎng)頁插件技術(shù)，利用媒體下載服務(wù)進(jìn)行輔助。就我國現(xiàn)行的網(wǎng)頁技術(shù)，以及HTTP5傳輸方式而言，都不能有效地支持上述媒體功能的實(shí)時使用。以Web瀏覽器為基礎(chǔ)的網(wǎng)絡(luò)實(shí)時通信技術(shù)通常也被稱為RTC Web（Real-time Communication in Web browsers）技術(shù)，通過采用技術(shù)，能夠?qū)υ赪eb瀏覽器中實(shí)時的使用P2P通信等功能，迅速的傳送內(nèi)容，降低了對于中間服務(wù)器以及其他一些輔助插件和外掛程序的依賴。RTC Web技術(shù)也得到了許多國內(nèi)外研發(fā)團(tuán)隊、通信服務(wù)商以及普通用戶的廣泛關(guān)注，W3C與IETF分別在2011年第一和第二季度成立了專門的工作小組，對該技術(shù)的使用和標(biāo)準(zhǔn)化工作開展了廣泛的研究[1-2]，IETF的核心任務(wù)是建立健全瀏覽器實(shí)時通信傳輸協(xié)議與主要的格式：主要針對編解碼，通信傳輸，防火墻保護(hù)，通信安全以及隱私保護(hù)等方面的內(nèi)容；W3C主要是針對瀏覽器客戶端服務(wù)器上的API體系的構(gòu)建。單就程序應(yīng)用的層面上來講，Google公司于2011年6月3日，正式向開發(fā)人員公布了RTC Web系統(tǒng)的源代碼，這些源代碼主要通過沒有專利費(fèi)的伯克利軟件公司發(fā)布許可證向用戶提供服務(wù)，RTC Web系統(tǒng)能夠讓軟件開發(fā)人員利用JavaScript API系統(tǒng)和HTML協(xié)議進(jìn)行實(shí)時通信。正是這些相關(guān)技術(shù)的發(fā)展與應(yīng)用，使得Web瀏覽器的實(shí)時通信水平有了長足的發(fā)展進(jìn)步。

2 Web瀏覽器實(shí)時通信中存在的主要安全問題

RTC Web實(shí)時通信主要的安全問題主要有以下幾個方面：（1）Distribute Denial of Service也就是分布式拒絕服務(wù)攻擊：在進(jìn)行實(shí)時通信時，攻擊者利用向特定網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送大量的垃圾信息的方式，不斷的耗盡特定網(wǎng)絡(luò)節(jié)點(diǎn)對于通信信息的分析處理能力，進(jìn)而對通信傳輸服務(wù)造成干擾。目前應(yīng)該問題的主要途徑是利用攻擊檢測模型，識別和預(yù)警攻擊。（2）路由攻擊：主要包括利用發(fā)送的偽造路由信息，以實(shí)現(xiàn)干擾正常路由工作的目的。通過偽造合法的但是無效的路由信息，網(wǎng)絡(luò)傳輸處理的數(shù)據(jù)量過大，使得合法路由數(shù)據(jù)速度無法滿足要求，大量的數(shù)據(jù)也會很大的消耗節(jié)點(diǎn)能量。（3）系統(tǒng)攻擊：主要是通過尋找系統(tǒng)安全漏洞，侵入他人系統(tǒng)的行為。其有三個階段采集信息、尋找系統(tǒng)安全弱點(diǎn)、展開攻擊。一旦網(wǎng)絡(luò)缺乏良好的容錯性能力，攻擊者就能夠通過漏洞攻擊用戶。（4）防火墻漏洞攻擊：通過利用防火墻在軟件與硬件方面的漏洞，發(fā)起攻擊以造成軟件和硬件的故障。防火墻通常需要使用病毒監(jiān)測手段來防范外部攻擊。其本身也十分可能成為攻擊的目前，造成軟硬件方面損壞，防火墻能夠利用狀態(tài)資源控制體系，利用智能TCP代理體系對SYN Flood進(jìn)行有效的阻止，利用Net Flow有效的防范DOS攻擊，并通過病毒監(jiān)測功能和設(shè)定防溢出措施等方法來防范攻擊。（5）基于P2P體系的網(wǎng)絡(luò)病毒：在網(wǎng)絡(luò)P2P傳輸體系下，方便用戶進(jìn)行資源的快速共享，然而同時也為網(wǎng)絡(luò)病毒的入侵提供便利。通過P2P信息傳輸體系帶來的病毒，波及面廣，可能造成巨大的損失。

3 RTC Web環(huán)境下出現(xiàn)的新安全問題

當(dāng)瀏覽器能夠自由的訪問用戶的本地資源的情況下也可能引發(fā)一系列十分嚴(yán)重的問題。在RTC Web系統(tǒng)中，JS API授權(quán)其他用戶自由的訪問用戶自身的本地媒體文件，在這些文件中一方面包括用戶存儲的音頻和視頻資料，另一方面還能夠自由的訪問本地資源，更具風(fēng)險的是，涉及到用戶檔案中十分隱私的加密材料和文件時，往往也無法保證其安全。經(jīng)過Web瀏覽器的一些存在風(fēng)險的應(yīng)用程序可以毫無限制的連接到互聯(lián)網(wǎng)中，無形中就使得安裝了瀏覽器瀏覽互聯(lián)網(wǎng)用戶成為一個新網(wǎng)絡(luò)環(huán)境下的受害者。目前針對控制和管理本地資源訪問權(quán)限的安全防范手段主要還是依靠隔離以及沙箱技術(shù)。借助于系統(tǒng)的自身的安全管理體系（Security Manager）認(rèn)真核實(shí)用戶是否具備訪問本地系統(tǒng)資源的權(quán)限。在通常的環(huán)境中，只授權(quán)一些被系統(tǒng)認(rèn)定為安全的操作，如果需要對其他安全性無法得到保障的操作進(jìn)行執(zhí)行授權(quán)，則需要具備特定的數(shù)字簽名代碼，只有完成了數(shù)字認(rèn)證，再對該用戶進(jìn)行訪問本地資源的授權(quán)，在沙箱環(huán)境下處理的代碼無法修改或查看本地用戶記錄的系統(tǒng)信息。以Chrome瀏覽器內(nèi)置的Native Client的沙箱為例，互聯(lián)網(wǎng)用戶可以在沙箱中自由的執(zhí)行本地程序代碼，也就能夠讓瀏覽器程序獲得很快的執(zhí)行速度，類似于執(zhí)行一個本地程序。同時它也有針對性的制定了一些沙箱策略來保障本地程序運(yùn)行的安全穩(wěn)定。在RTC Web環(huán)境下，我們可以充分的利用沙箱的這部分功能，將瀏覽的站點(diǎn)劃分為不可信站點(diǎn)與可信站點(diǎn)，可信站點(diǎn)主要包括一些完成安全驗證，并認(rèn)定為訪問十分安全的站點(diǎn)，并允許這部分站點(diǎn)對于所有的本地資源進(jìn)行訪問；而不可信站點(diǎn)通常包括那些存在安全隱患的站點(diǎn)，將其置于沙箱內(nèi)部進(jìn)行執(zhí)行，就能夠有效的防止這部分站點(diǎn)自由的訪問用戶的本地資源。在劃分審核可信與非可信站點(diǎn)的過程中，在IETF中部分專家建議使用同源策略（SOP：Same Origin Police）為原則來考慮：（1）站點(diǎn)網(wǎng)頁的安全性屬性主要是通過其來源決定的，主要包括：網(wǎng)絡(luò)協(xié)議（HTTP或HTTPS），網(wǎng)站主機(jī)和連接端口。（2）不同的站點(diǎn)起源必須結(jié)合自身安全問題的特點(diǎn)，有針對性的制定相關(guān)的策略。如起源存在差異情況下，訪問用戶本地資源的行為會受到嚴(yán)格的限制和管理。然后我們通過下面的（圖一）與（圖二）再來看看DDOS和協(xié)議仿真攻擊在RTC Web中情況：

在RTC web環(huán)境下，互聯(lián)網(wǎng)中的惡意站點(diǎn)主要是利用JSAPI攻擊DDOS，或者經(jīng)由瀏覽器協(xié)議攻擊DNS。這種攻擊模式下，用戶資源的訪問量急劇升高，將使用戶瀏覽器完全陷入癱瘓之中，甚至?xí)τ脩粲嬎銠C(jī)硬件造成損壞。定期的對用戶計算機(jī)網(wǎng)絡(luò)進(jìn)行掃描是一種有效的防御措施，并且核實(shí)瀏覽器訪問者的授權(quán)信息。此外面對這些較為新穎的攻擊模式，在應(yīng)對方面仍然比較困難，可能會對計算機(jī)用戶造成較大的損失。

4 結(jié)論

綜上所述，在發(fā)展的同時，也不得不認(rèn)識到，目前Web瀏覽器的實(shí)時通信應(yīng)用中，也存在一些隱患與不足，安全性就是其中最為重要的隱患。就網(wǎng)絡(luò)P2P技術(shù)應(yīng)用情況而言，存在著許多普遍性的網(wǎng)絡(luò)通信安全性隱患以及網(wǎng)絡(luò)應(yīng)用層中的安全性隱患；此外在RTC Web技術(shù)的應(yīng)用中，Web瀏覽器具備訪問本地資源的權(quán)限也為用戶安全工作帶來了極大的挑戰(zhàn)。在今后的發(fā)展中將Web瀏覽器的實(shí)時通信技術(shù)的研究與目前發(fā)展迅速的HTML5技術(shù)的研發(fā)工作緊密的結(jié)合起來，將有望在未來3年內(nèi)，得到廣泛的推廣和應(yīng)用，對目前IP上網(wǎng)絡(luò)業(yè)務(wù)體系會帶來十分顯著的改變，更為目前的計算機(jī)網(wǎng)絡(luò)技術(shù)的研發(fā)和應(yīng)用提供了一個健全完善的發(fā)展平臺。在我國互聯(lián)網(wǎng)瀏覽器目前的發(fā)展勢頭下，實(shí)時通信運(yùn)營商以及互聯(lián)網(wǎng)運(yùn)營商，都十分關(guān)注RTC Web技術(shù)的發(fā)展以及HTML5技術(shù)的研究情況。但是這些技術(shù)得到廣泛推廣的前提，是能夠有力的保障其安全性問題。在這些問題中，API攻擊以及在訪問和瀏覽本地資源上的威脅就不得不得到重視和解決。

參考文獻(xiàn)：

[1]吳敏，王汝傳，王治平.基于支持向量機(jī)的P2P網(wǎng)絡(luò)DoS攻擊檢測[J].計算機(jī)技術(shù)與發(fā)展，2009，11.

[2]熊皓，倪波，陸垂偉.P2P安全性分析[J].現(xiàn)代計算機(jī)，2009，3.

[3]衛(wèi)建安，利錦川.局域網(wǎng)實(shí)時通信工具的研究與實(shí)現(xiàn)[J].現(xiàn)代計算機(jī)（專業(yè)版），2010，3.

[作者簡介]丁釗（1985.4-），男，河南許昌人，本科，國家電網(wǎng)許繼集團(tuán)微電網(wǎng)公司，助工。