王永建，朱紀周，楊建華，閆 超，王躍紅，宋四海

(中國通信建設(shè)集團設(shè)計院有限公司，北京 100079)

面向多媒體系統(tǒng)的HTTP摘要安全認證

王永建，朱紀周，楊建華，閆 超，王躍紅，宋四海

(中國通信建設(shè)集團設(shè)計院有限公司，北京 100079)

多媒體系統(tǒng)的安全形勢非常嚴峻，客戶端是信息安全事故的集中源頭，因此，多媒體系統(tǒng)中客戶端的安全認證非常關(guān)鍵。為了彌補傳統(tǒng)多媒體系統(tǒng)中SIP的不足，設(shè)計了一種基于HTTP摘要的認證方案。首先簡析了SIP協(xié)議與HTTP協(xié)議；設(shè)計了多媒體系統(tǒng)整體結(jié)構(gòu)，定義了各主要組成部件的功能。然后設(shè)計了認證流程，AG的質(zhì)詢消息頭，MC的應(yīng)答消息頭和Response參數(shù)等方案。本文的設(shè)計思路對提高多媒體系統(tǒng)和SIP協(xié)議的安全性具有一定借鑒意義。

SIP；SDP；HTTP摘要；質(zhì)詢；應(yīng)答

本文著錄格式：王永建，朱紀周，楊建華，等. 面向多媒體系統(tǒng)的HTTP摘要安全認證[J]. 軟件，2016，37（12）：197-201

0 引言

隨著國家“三網(wǎng)融合”的不斷推進，多媒體業(yè)務(wù)發(fā)展迅速。不僅僅在日常生活中，在國家平安城市建設(shè)、科技強警中也日益重要。為此，公安部于2012年6月1日發(fā)布了《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》（GB/T28181-2011）等相關(guān)文件[1]。

隨著互聯(lián)網(wǎng)、云計算、HEVC（High Efficiency Video Coding）、Web、高清顯示等技術(shù)的發(fā)展，網(wǎng)絡(luò)多媒體系統(tǒng)近些年迅速崛起，對傳統(tǒng)的廣播電視報紙等傳媒產(chǎn)生了重大沖擊的同時，也注入了新的生機與活力。尤其是移動互聯(lián)網(wǎng)、智能終端、光學(xué)器件的發(fā)展，每個人都能成為多媒體文件的采集者、轉(zhuǎn)發(fā)者和接受者。人們在享受這些科技成果的同時，信息安全形勢越發(fā)嚴峻。

客戶端屬于信息安全事故的高發(fā)區(qū)域，也是監(jiān)管對象的難點，需要完善、嚴格的管控機制。因此，多媒體系統(tǒng)中客戶端的安全認證非常關(guān)鍵。Web Service、B/S（Browser/Server）是典型的代表，目前在PC和智能終端上應(yīng)用廣泛，尤其是APP在移動互聯(lián)網(wǎng)環(huán)境下更是流行。

本文利用HTTP（HyperText Transfer Protocol，超文本傳輸協(xié)議）協(xié)議，針對SIP（Session Initiation Protocol，會話初始協(xié)議）協(xié)議的安全性缺陷，探究設(shè)計了一種客戶端遠程安全認證機制，該機制面向常見的多媒體系統(tǒng)，具有寬廣的適用性和良好的可擴展性。

1 相關(guān)協(xié)議分析

1.1 SIP協(xié)議

SIP是一個應(yīng)用層的控制協(xié)議，它利用HTTP協(xié)議和SMTP（Simple Mail Transfer Protocol，簡單郵件傳送協(xié)議）協(xié)議工作的信令協(xié)議，使用消息方式完成用戶會話的建立和管理，基于請求/響應(yīng)的事務(wù)處理模型實現(xiàn)[2]。見圖1所示：

圖1 SIP和HTTP協(xié)議在網(wǎng)絡(luò)體系結(jié)構(gòu)中的位置

SIP支持名字映射和重定向服務(wù)。在實際應(yīng)用中，客戶端位置，尤其是智能終端位置的移動性，客戶端常常在不同的網(wǎng)絡(luò)中進行切換。為了保證客戶端身份的唯一性和安全認證，要求SIP作為客戶端身份的唯一外部標(biāo)識；并需要客戶端的地址更新后，客戶端的默認網(wǎng)關(guān)地址進行重定向，始終指向多媒體系統(tǒng)對外發(fā)布的固定地址（或者服務(wù)器地址池中的合法地址），而無需關(guān)系所在的實際網(wǎng)絡(luò)位置。

SIP消息分為兩類：SIP 請求和SIP 響應(yīng)；其中請求消息由客戶機發(fā)往服務(wù)器，響應(yīng)消息由服務(wù)器發(fā)往客戶機[3]。請求消息和響應(yīng)消息格式由一個起始行、若干個頭字段，以及一個可選的消息體組成[4]。請求和響應(yīng)消息的基本格式如下：

請求消息的起始行為請求行：

響應(yīng)消息的起始行為狀態(tài)行：

1.2 HTTP摘要認證

SIP協(xié)議由于其實現(xiàn)簡單、擴展性好、部署方便等而應(yīng)用廣泛，不過在使用過程中也暴露出了一些問題[7]。由于SIP協(xié)議最初的出現(xiàn)是為了實現(xiàn)會話控制，協(xié)議自身設(shè)計具有先天性的不足，SIP自身不具備認證功能和加密功能。

HTTP協(xié)議是目前互聯(lián)網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，所有的WWW文件都遵循該協(xié)議。HTTP協(xié)議提供了摘要認證機制，來保證用戶的身份認證與口令加密傳輸，并抵御重放攻擊[8]。HTTP協(xié)議的認證機制與SIP協(xié)議相結(jié)合，不失為一種良好的解決思路。

HTTP摘要認證是基于預(yù)分配用戶名密碼的一種認證機制，以替代基本認證，防止密碼明文傳輸泄露信息[9]。采用質(zhì)詢-應(yīng)答機制（chcallenge-response），“質(zhì)詢”指服務(wù)器向客戶端發(fā)送一個包含消息頭WWWAuhtelliteate的HTTP響應(yīng)，狀態(tài)碼為401(Unauhtiorezd)，要求客戶端發(fā)送端認證信息；“應(yīng)答”指客戶端識別出消息頭后，向服務(wù)器反饋基于HTTP的請求信息[10]。當(dāng)服務(wù)器收到客戶端的請求消息時,若該客戶端尚未完成身份的認證，則服務(wù)器會在回應(yīng)中發(fā)起挑戰(zhàn),客戶端須提供證明自己身份的信息,以完成服務(wù)器對其身份的驗證[11]。

2 系統(tǒng)結(jié)構(gòu)設(shè)計

本文設(shè)計的多媒體系統(tǒng)主要組成為：客戶端MC（Multimedia Client），接入網(wǎng)關(guān)AG（Access Gateway），媒體分發(fā)系統(tǒng)MDS（Media Distribution System），中央管理系統(tǒng)CMS（Central Management System），以及其它功能模塊，見圖2所示。

圖2 多媒體系統(tǒng)結(jié)構(gòu)圖

（1）中央管理系統(tǒng)

CMS是整個多媒體系統(tǒng)的中樞管理機構(gòu)，是系統(tǒng)的大腦，主要管理AG與其它功能模塊。作為信息存儲中心，存儲非業(yè)務(wù)類的關(guān)鍵數(shù)據(jù)，例如客戶端/用戶身份信息和業(yè)務(wù)配置參數(shù)，并向Portal提供發(fā)布的內(nèi)容；作為系統(tǒng)中樞機構(gòu)，提供客戶端/用戶身份信息管理[12]。接收SIP的呼叫請求，實現(xiàn)客戶端接入時的呼叫控制。如果被叫是本域的前端，則修改SIP消息中的SDP協(xié)議（Session Description Protocol），SDP是基于文本的，因此可擴展性比較強，應(yīng)用場景很廣。SDP用于描述媒體信息，并不支持會話內(nèi)容和媒體編碼協(xié)商功能。根據(jù)SDP描述的媒體信息（含已注冊的信令地址），發(fā)起新的SIP呼叫，失敗則釋放本次呼叫[13]。

（2）接入網(wǎng)關(guān)

AG部署在MC與CMS之間，是系統(tǒng)的前端接入網(wǎng)關(guān)，是MC注冊或者會話時的第一個訪問點，是Web和WAP客戶端的Http Portal[12]。AG必須實現(xiàn)本域MC的接入，接收和轉(zhuǎn)發(fā)由MC或CMS發(fā)來的SIP 信令。實現(xiàn)對MC的接入管理，接收、轉(zhuǎn)發(fā)來自MC的呼叫控制信令給CMS，轉(zhuǎn)發(fā)從CMS接收到的請求或應(yīng)答消息給MC。

（3）媒體分發(fā)系統(tǒng)

MDS負責(zé)系統(tǒng)的媒體轉(zhuǎn)發(fā)/分發(fā)和平臺側(cè)的媒體傳送，在CMS的媒體調(diào)度模塊控制下完成音視頻傳送功能，MDS要求支持多級級聯(lián)和分布式部署[12]。

（4）客戶端

基于Web和WAP，MC分為PC客戶端和手機客戶端兩大類?？蛻舳斯δ芤话惆ㄗ越尤?、鑒權(quán)認證、解碼、快照、語音呼叫、圖像預(yù)覽、鏡頭控制、云臺控制、錄像回放等功能。

3 認證設(shè)計方案

3.1 認證流程

根據(jù)本文第2節(jié)，AG負責(zé)MC的身份認證。MC每次向AG發(fā)起HTTP請求，AG都需要進行摘要認證。MC首次向AG發(fā)送HTTP請求，AG返回401（未授權(quán)）響應(yīng)進行挑戰(zhàn)。401消息的頭里帶有WWW-Authenticate消息頭，其中包含挑戰(zhàn)摘要的隨機參數(shù)nonce。MC收到401后，將用戶名密碼和挑戰(zhàn)信息用MD5加密形成認證鑒權(quán)頭，重新發(fā)送給AG，AG對認證鑒權(quán)頭進行驗證，如果認證成功則返回200 OK，并在響應(yīng)的消息中返回下次認證的隨機數(shù)nextnonce，MC下次請求時，根據(jù)nextnonce生成鑒權(quán)頭進行HTTP請求[14]。見圖3所示。3.2 AG的質(zhì)詢消息頭

圖3 HTTP摘要認證流程圖

AG的401未授權(quán)質(zhì)詢WWW-Authenticate消息頭語法：

AG的消息頭參數(shù)見表1所示：

3.3 MC的應(yīng)答消息頭

MC的應(yīng)答消息頭語法：

MC的Authorization頭參數(shù)見表2所示：

3.4 Response參數(shù)

在HTTP 摘要認證的“response”過程中，MC通過定義response的不同參數(shù)，向AG反饋相應(yīng)的HTTP請求信息，response參數(shù)計算方法至關(guān)重要。response參數(shù)計算算法參考RFC2617[15]：

AG在收到MC的挑戰(zhàn)響應(yīng)消息后，根據(jù)Authorization消息頭中的username參數(shù)，取出對應(yīng)的key和key的有效期，然后使用和MC相同的計算方法，對Authorization消息頭中的參數(shù)進行摘要計算，將計算結(jié)果與response值進行比較，相同則鑒權(quán)成功，返回200 OK響應(yīng)，不同則鑒權(quán)失敗，重新返回401 Unauthorized響應(yīng)，格式與請求一的401響應(yīng)相同。

表1 AG的消息頭參數(shù)說明表

表2 MC的Authorization頭參數(shù)說明表

4 結(jié)束語

針對SIP協(xié)議的安全性缺陷，本文利用HTTP摘要認證機制，設(shè)計了多媒體系統(tǒng)中客戶端與接入網(wǎng)關(guān)之間的HTTP摘要認證方案，對增強多媒體系統(tǒng)的安全性具有積極意義。不過，本文的設(shè)計方案仍需要進一步完善，因為HTTP摘要認證本身并非完美、無懈可擊，仍存在一定的缺陷性，如協(xié)議設(shè)計不支持雙向認證，缺乏私鑰協(xié)商機制，不能為SIP協(xié)議消息頭域加密等，這些缺陷還需不斷改進。另外，客戶端的安全接入有多種保證機制，需要多方協(xié)同。該領(lǐng)域的研究還有許多工作要做，任重道遠。

[1] 王永建, 劉永濤, 梁偉河等. 一種基于SIP的多媒體客戶端安全接入設(shè)計[J]. 通信技術(shù), 2016, 49(7): 923-928.

[2] 劉輝, 羅曉勇, 張杰. 基于SIP的無線視頻監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J]. 電視技術(shù), 2011, 35(19): 93-95.

[3] 曾鷺鷺, 陳一民. 基于SIP協(xié)議的IP電話服務(wù)器的設(shè)計與實現(xiàn)[J]. 計算機工程, 2007, 33(3): 278-280.

[4] 徐軒. 嵌入式移動視頻采集終端的設(shè)計與實現(xiàn)[D]. 武漢:武漢理工大學(xué), 2013.

[5] 亢娟. 基于WCDMA網(wǎng)絡(luò)的智能公交系統(tǒng)接口協(xié)議研究[D]. 太原: 太原理工大學(xué), 2013.

[6] 陳瑩. 基于SIP協(xié)議的視頻監(jiān)控系統(tǒng)的實現(xiàn)與應(yīng)用[D]. 上海: 上海交通大學(xué), 2008.

[7] 李學(xué)杰, 金志剛, 戴居豐. 基于HTTP摘要認證的SIP安全性設(shè)計[J]. 電子測量技術(shù), 2007, 30(12): 109-115.

[8] 顧曉輝, 施佳佳, 郭放. SIP的安全機制及其HTTP摘要認證的改進[J]. 東華大學(xué)學(xué)報(自然科學(xué)版), 2010, 36(02): 165-174.

[9] 彭煥峰. 一種基于改進的HTTP摘要認證的SIP安全機制[J].微型機與應(yīng)用, 2011, 30(6): 53-55.

[10] 陳遠志. HTTP認證及其在Web平臺中的實現(xiàn)[J]. 中國數(shù)據(jù)通信, 2004, 6(10): 77-83.

[11] ]傅有為. 基于HTTP摘要認證機制的SIP通信系統(tǒng)的實現(xiàn)[D]. 大連: 大連理工大學(xué), 2011.

[12] 仝玉選. 試論電信級視頻監(jiān)控中心服務(wù)平臺[J]. 現(xiàn)代傳輸, 2011(6): 55-67.

[13] 姚楠, 王開圣. 基于三維GIS的電網(wǎng)視頻監(jiān)控系統(tǒng)[J].中國電力, 2012, 45(4): 96-100.

[14] 中國移動通信集團公司. 中國移動視頻監(jiān)控接口規(guī)范[DB/OL]. http://wenku.baidu.com/view/3a2ec2daad51f01dc281f 149.html?from=search,2011-10-19/2016-03-22.

[15] IETF.HTTP Authentication: Basic and Digest Access Authentication[DB/OL]. https://datatracker.ietf.org/doc/rfc2617/?include_ text=1,2013-03-02/2016-03-10.

An Security Authentication of HTTP Digest for Multimedia System

WANG Yong-jian, ZHU Ji-zhou, YANG Jian-hua, YAN Chao, WANG Yue-hong, SONG Si-hai

(China International Telecommunication Construction Group Design Institute Co. Ltd, Beijing 100079, China)

It is very severe for the security situation of multimedia system, and the client is the centralized source of information security incident, so it is the key of security authentication for clien in multimedia system. In order to make up for the lack of security of SIP in traditional multimedia system, it designs an authentication scheme based on HTTP digest. Firstly, it analyzes the principle of SIP protocol and HTTP protocol, and it designs the whole structure of multimedia system, and defines the function of each main component. Then, it designs the certification process and the scheme including chcallenge message header of AG, response message header of MC and parameter of Response. The design idea, in the paper, has a certain reference significance for improving the security of multimedia system and SIP protocol.

Session initiation protocol; Session description protocol; HTTP digest; Chcallenge; Response

TN919.81

A

10.3969/j.issn.1003-6970.2016.12.042

河南省重點科技攻關(guān)項目(122102210430)，中國通信建設(shè)集團“RD+PS”項目

王永建(1981-)，男，高級工程師，研究方向為信息安全、大數(shù)據(jù)、云計算；朱紀周(1966-)，通訊作者，男，本科，高級工程師，研究方向為計算機應(yīng)用、信息安全；楊建華(1979-)，男，本科，高級工程師，研究方向為數(shù)據(jù)通信、計算機應(yīng)用；閆超(1970-)，女，本科，高級工程師，研究方向為計算機應(yīng)用；王躍紅(1969-)，男，本科，工程師，研究方向為數(shù)據(jù)通信、計算機應(yīng)用；宋四海(1976-)，男，本科，高級工程師，研究方向為數(shù)據(jù)通信、計算機應(yīng)用。