面向多媒體系統的HTTP摘要安全認證

王永建，朱紀周，楊建華，閆 超，王躍紅，宋四海

(中國通信建設集團設計院有限公司，北京 100079)

面向多媒體系統的HTTP摘要安全認證

王永建，朱紀周，楊建華，閆 超，王躍紅，宋四海

(中國通信建設集團設計院有限公司，北京 100079)

多媒體系統的安全形勢非常嚴峻，客戶端是信息安全事故的集中源頭，因此，多媒體系統中客戶端的安全認證非常關鍵。為了彌補傳統多媒體系統中SIP的不足，設計了一種基于HTTP摘要的認證方案。首先簡析了SIP協議與HTTP協議；設計了多媒體系統整體結構，定義了各主要組成部件的功能。然后設計了認證流程，AG的質詢消息頭，MC的應答消息頭和Response參數等方案。本文的設計思路對提高多媒體系統和SIP協議的安全性具有一定借鑒意義。

SIP；SDP；HTTP摘要；質詢；應答

本文著錄格式：王永建，朱紀周，楊建華，等. 面向多媒體系統的HTTP摘要安全認證[J]. 軟件，2016，37（12）：197-201

0 引言

隨著國家“三網融合”的不斷推進，多媒體業務發展迅速。不僅僅在日常生活中，在國家平安城市建設、科技強警中也日益重要。為此，公安部于2012年6月1日發布了《安全防范視頻監控聯網系統信息傳輸、交換、控制技術要求》（GB/T28181-2011）等相關文件[1]。

隨著互聯網、云計算、HEVC（High Efficiency Video Coding）、Web、高清顯示等技術的發展，網絡多媒體系統近些年迅速崛起，對傳統的廣播電視報紙等傳媒產生了重大沖擊的同時，也注入了新的生機與活力。尤其是移動互聯網、智能終端、光學器件的發展，每個人都能成為多媒體文件的采集者、轉發者和接受者。人們在享受這些科技成果的同時，信息安全形勢越發嚴峻。

客戶端屬于信息安全事故的高發區域，也是監管對象的難點，需要完善、嚴格的管控機制。因此，多媒體系統中客戶端的安全認證非常關鍵。Web Service、B/S（Browser/Server）是典型的代表，目前在PC和智能終端上應用廣泛，尤其是APP在移動互聯網環境下更是流行。

本文利用HTTP（HyperText Transfer Protocol，超文本傳輸協議）協議，針對SIP（Session Initiation Protocol，會話初始協議）協議的安全性缺陷，探究設計了一種客戶端遠程安全認證機制，該機制面向常見的多媒體系統，具有寬廣的適用性和良好的可擴展性。

1 相關協議分析

1.1 SIP協議

SIP是一個應用層的控制協議，它利用HTTP協議和SMTP（Simple Mail Transfer Protocol，簡單郵件傳送協議）協議工作的信令協議，使用消息方式完成用戶會話的建立和管理，基于請求/響應的事務處理模型實現[2]。見圖1所示：

圖1 SIP和HTTP協議在網絡體系結構中的位置

SIP支持名字映射和重定向服務。在實際應用中，客戶端位置，尤其是智能終端位置的移動性，客戶端常常在不同的網絡中進行切換。為了保證客戶端身份的唯一性和安全認證，要求SIP作為客戶端身份的唯一外部標識；并需要客戶端的地址更新后，客戶端的默認網關地址進行重定向，始終指向多媒體系統對外發布的固定地址（或者服務器地址池中的合法地址），而無需關系所在的實際網絡位置。

SIP消息分為兩類：SIP 請求和SIP 響應；其中請求消息由客戶機發往服務器，響應消息由服務器發往客戶機[3]。請求消息和響應消息格式由一個起始行、若干個頭字段，以及一個可選的消息體組成[4]。請求和響應消息的基本格式如下：

請求消息的起始行為請求行：

響應消息的起始行為狀態行：

1.2 HTTP摘要認證

SIP協議由于其實現簡單、擴展性好、部署方便等而應用廣泛，不過在使用過程中也暴露出了一些問題[7]。由于SIP協議最初的出現是為了實現會話控制，協議自身設計具有先天性的不足，SIP自身不具備認證功能和加密功能。

HTTP協議是目前互聯網中應用最為廣泛的一種網絡協議，所有的WWW文件都遵循該協議。HTTP協議提供了摘要認證機制，來保證用戶的身份認證與口令加密傳輸，并抵御重放攻擊[8]。HTTP協議的認證機制與SIP協議相結合，不失為一種良好的解決思路。

HTTP摘要認證是基于預分配用戶名密碼的一種認證機制，以替代基本認證，防止密碼明文傳輸泄露信息[9]。采用質詢-應答機制（chcallenge-response），“質詢”指服務器向客戶端發送一個包含消息頭WWWAuhtelliteate的HTTP響應，狀態碼為401(Unauhtiorezd)，要求客戶端發送端認證信息；“應答”指客戶端識別出消息頭后，向服務器反饋基于HTTP的請求信息[10]。當服務器收到客戶端的請求消息時,若該客戶端尚未完成身份的認證，則服務器會在回應中發起挑戰,客戶端須提供證明自己身份的信息,以完成服務器對其身份的驗證[11]。

2 系統結構設計

本文設計的多媒體系統主要組成為：客戶端MC（Multimedia Client），接入網關AG（Access Gateway），媒體分發系統MDS（Media Distribution System），中央管理系統CMS（Central Management System），以及其它功能模塊，見圖2所示。

圖2 多媒體系統結構圖

（1）中央管理系統

CMS是整個多媒體系統的中樞管理機構，是系統的大腦，主要管理AG與其它功能模塊。作為信息存儲中心，存儲非業務類的關鍵數據，例如客戶端/用戶身份信息和業務配置參數，并向Portal提供發布的內容；作為系統中樞機構，提供客戶端/用戶身份信息管理[12]。接收SIP的呼叫請求，實現客戶端接入時的呼叫控制。如果被叫是本域的前端，則修改SIP消息中的SDP協議（Session Description Protocol），SDP是基于文本的，因此可擴展性比較強，應用場景很廣。SDP用于描述媒體信息，并不支持會話內容和媒體編碼協商功能。根據SDP描述的媒體信息（含已注冊的信令地址），發起新的SIP呼叫，失敗則釋放本次呼叫[13]。

（2）接入網關

AG部署在MC與CMS之間，是系統的前端接入網關，是MC注冊或者會話時的第一個訪問點，是Web和WAP客戶端的Http Portal[12]。AG必須實現本域MC的接入，接收和轉發由MC或CMS發來的SIP 信令。實現對MC的接入管理，接收、轉發來自MC的呼叫控制信令給CMS，轉發從CMS接收到的請求或應答消息給MC。

（3）媒體分發系統

MDS負責系統的媒體轉發/分發和平臺側的媒體傳送，在CMS的媒體調度模塊控制下完成音視頻傳送功能，MDS要求支持多級級聯和分布式部署[12]。

（4）客戶端

基于Web和WAP，MC分為PC客戶端和手機客戶端兩大類。客戶端功能一般包括注冊接入、鑒權認證、解碼、快照、語音呼叫、圖像預覽、鏡頭控制、云臺控制、錄像回放等功能。

3 認證設計方案

3.1 認證流程

根據本文第2節，AG負責MC的身份認證。MC每次向AG發起HTTP請求，AG都需要進行摘要認證。MC首次向AG發送HTTP請求，AG返回401（未授權）響應進行挑戰。401消息的頭里帶有WWW-Authenticate消息頭，其中包含挑戰摘要的隨機參數nonce。MC收到401后，將用戶名密碼和挑戰信息用MD5加密形成認證鑒權頭，重新發送給AG，AG對認證鑒權頭進行驗證，如果認證成功則返回200 OK，并在響應的消息中返回下次認證的隨機數nextnonce，MC下次請求時，根據nextnonce生成鑒權頭進行HTTP請求[14]。見圖3所示。3.2 AG的質詢消息頭

圖3 HTTP摘要認證流程圖

AG的401未授權質詢WWW-Authenticate消息頭語法：

AG的消息頭參數見表1所示：

3.3 MC的應答消息頭

MC的應答消息頭語法：

MC的Authorization頭參數見表2所示：

3.4 Response參數

在HTTP 摘要認證的“response”過程中，MC通過定義response的不同參數，向AG反饋相應的HTTP請求信息，response參數計算方法至關重要。response參數計算算法參考RFC2617[15]：

AG在收到MC的挑戰響應消息后，根據Authorization消息頭中的username參數，取出對應的key和key的有效期，然后使用和MC相同的計算方法，對Authorization消息頭中的參數進行摘要計算，將計算結果與response值進行比較，相同則鑒權成功，返回200 OK響應，不同則鑒權失敗，重新返回401 Unauthorized響應，格式與請求一的401響應相同。

表1 AG的消息頭參數說明表

表2 MC的Authorization頭參數說明表

4 結束語

針對SIP協議的安全性缺陷，本文利用HTTP摘要認證機制，設計了多媒體系統中客戶端與接入網關之間的HTTP摘要認證方案，對增強多媒體系統的安全性具有積極意義。不過，本文的設計方案仍需要進一步完善，因為HTTP摘要認證本身并非完美、無懈可擊，仍存在一定的缺陷性，如協議設計不支持雙向認證，缺乏私鑰協商機制，不能為SIP協議消息頭域加密等，這些缺陷還需不斷改進。另外，客戶端的安全接入有多種保證機制，需要多方協同。該領域的研究還有許多工作要做，任重道遠。

[1] 王永建, 劉永濤, 梁偉河等. 一種基于SIP的多媒體客戶端安全接入設計[J]. 通信技術, 2016, 49(7): 923-928.

[2] 劉輝, 羅曉勇, 張杰. 基于SIP的無線視頻監控系統的設計與實現[J]. 電視技術, 2011, 35(19): 93-95.

[3] 曾鷺鷺, 陳一民. 基于SIP協議的IP電話服務器的設計與實現[J]. 計算機工程, 2007, 33(3): 278-280.

[4] 徐軒. 嵌入式移動視頻采集終端的設計與實現[D]. 武漢:武漢理工大學, 2013.

[5] 亢娟. 基于WCDMA網絡的智能公交系統接口協議研究[D]. 太原: 太原理工大學, 2013.

[6] 陳瑩. 基于SIP協議的視頻監控系統的實現與應用[D]. 上海: 上海交通大學, 2008.

[7] 李學杰, 金志剛, 戴居豐. 基于HTTP摘要認證的SIP安全性設計[J]. 電子測量技術, 2007, 30(12): 109-115.

[8] 顧曉輝, 施佳佳, 郭放. SIP的安全機制及其HTTP摘要認證的改進[J]. 東華大學學報(自然科學版), 2010, 36(02): 165-174.

[9] 彭煥峰. 一種基于改進的HTTP摘要認證的SIP安全機制[J].微型機與應用, 2011, 30(6): 53-55.

[10] 陳遠志. HTTP認證及其在Web平臺中的實現[J]. 中國數據通信, 2004, 6(10): 77-83.

[11] ]傅有為. 基于HTTP摘要認證機制的SIP通信系統的實現[D]. 大連: 大連理工大學, 2011.

[12] 仝玉選. 試論電信級視頻監控中心服務平臺[J]. 現代傳輸, 2011(6): 55-67.

[13] 姚楠, 王開圣. 基于三維GIS的電網視頻監控系統[J].中國電力, 2012, 45(4): 96-100.

[14] 中國移動通信集團公司. 中國移動視頻監控接口規范[DB/OL]. http://wenku.baidu.com/view/3a2ec2daad51f01dc281f 149.html?from=search,2011-10-19/2016-03-22.

[15] IETF.HTTP Authentication: Basic and Digest Access Authentication[DB/OL]. https://datatracker.ietf.org/doc/rfc2617/?include_ text=1,2013-03-02/2016-03-10.

An Security Authentication of HTTP Digest for Multimedia System

WANG Yong-jian, ZHU Ji-zhou, YANG Jian-hua, YAN Chao, WANG Yue-hong, SONG Si-hai

(China International Telecommunication Construction Group Design Institute Co. Ltd, Beijing 100079, China)

It is very severe for the security situation of multimedia system, and the client is the centralized source of information security incident, so it is the key of security authentication for clien in multimedia system. In order to make up for the lack of security of SIP in traditional multimedia system, it designs an authentication scheme based on HTTP digest. Firstly, it analyzes the principle of SIP protocol and HTTP protocol, and it designs the whole structure of multimedia system, and defines the function of each main component. Then, it designs the certification process and the scheme including chcallenge message header of AG, response message header of MC and parameter of Response. The design idea, in the paper, has a certain reference significance for improving the security of multimedia system and SIP protocol.

Session initiation protocol; Session description protocol; HTTP digest; Chcallenge; Response

TN919.81

A

10.3969/j.issn.1003-6970.2016.12.042

河南省重點科技攻關項目(122102210430)，中國通信建設集團“RD+PS”項目

王永建(1981-)，男，高級工程師，研究方向為信息安全、大數據、云計算；朱紀周(1966-)，通訊作者，男，本科，高級工程師，研究方向為計算機應用、信息安全；楊建華(1979-)，男，本科，高級工程師，研究方向為數據通信、計算機應用；閆超(1970-)，女，本科，高級工程師，研究方向為計算機應用；王躍紅(1969-)，男，本科，工程師，研究方向為數據通信、計算機應用；宋四海(1976-)，男，本科，高級工程師，研究方向為數據通信、計算機應用。