王永建，朱纪周，杨建华，闫 超，王跃红，宋四海

(中国通信建设集团设计院有限公司，北京 100079)

面向多媒体系统的HTTP摘要安全认证

王永建，朱纪周，杨建华，闫 超，王跃红，宋四海

(中国通信建设集团设计院有限公司，北京 100079)

多媒体系统的安全形势非常严峻，客户端是信息安全事故的集中源头，因此，多媒体系统中客户端的安全认证非常关键。为了弥补传统多媒体系统中SIP的不足，设计了一种基于HTTP摘要的认证方案。首先简析了SIP协议与HTTP协议；设计了多媒体系统整体结构，定义了各主要组成部件的功能。然后设计了认证流程，AG的质询消息头，MC的应答消息头和Response参数等方案。本文的设计思路对提高多媒体系统和SIP协议的安全性具有一定借鉴意义。

SIP；SDP；HTTP摘要；质询；应答

本文著录格式：王永建，朱纪周，杨建华，等. 面向多媒体系统的HTTP摘要安全认证[J]. 软件，2016，37（12）：197-201

0 引言

随着国家“三网融合”的不断推进，多媒体业务发展迅速。不仅仅在日常生活中，在国家平安城市建设、科技强警中也日益重要。为此，公安部于2012年6月1日发布了《安全防范视频监控联网系统信息传输、交换、控制技术要求》（GB/T28181-2011）等相关文件[1]。

随着互联网、云计算、HEVC（High Efficiency Video Coding）、Web、高清显示等技术的发展，网络多媒体系统近些年迅速崛起，对传统的广播电视报纸等传媒产生了重大冲击的同时，也注入了新的生机与活力。尤其是移动互联网、智能终端、光学器件的发展，每个人都能成为多媒体文件的采集者、转发者和接受者。人们在享受这些科技成果的同时，信息安全形势越发严峻。

客户端属于信息安全事故的高发区域，也是监管对象的难点，需要完善、严格的管控机制。因此，多媒体系统中客户端的安全认证非常关键。Web Service、B/S（Browser/Server）是典型的代表，目前在PC和智能终端上应用广泛，尤其是APP在移动互联网环境下更是流行。

本文利用HTTP（HyperText Transfer Protocol，超文本传输协议）协议，针对SIP（Session Initiation Protocol，会话初始协议）协议的安全性缺陷，探究设计了一种客户端远程安全认证机制，该机制面向常见的多媒体系统，具有宽广的适用性和良好的可扩展性。

1 相关协议分析

1.1 SIP协议

SIP是一个应用层的控制协议，它利用HTTP协议和SMTP（Simple Mail Transfer Protocol，简单邮件传送协议）协议工作的信令协议，使用消息方式完成用户会话的建立和管理，基于请求/响应的事务处理模型实现[2]。见图1所示：

图1 SIP和HTTP协议在网络体系结构中的位置

SIP支持名字映射和重定向服务。在实际应用中，客户端位置，尤其是智能终端位置的移动性，客户端常常在不同的网络中进行切换。为了保证客户端身份的唯一性和安全认证，要求SIP作为客户端身份的唯一外部标识；并需要客户端的地址更新后，客户端的默认网关地址进行重定向，始终指向多媒体系统对外发布的固定地址（或者服务器地址池中的合法地址），而无需关系所在的实际网络位置。

SIP消息分为两类：SIP 请求和SIP 响应；其中请求消息由客户机发往服务器，响应消息由服务器发往客户机[3]。请求消息和响应消息格式由一个起始行、若干个头字段，以及一个可选的消息体组成[4]。请求和响应消息的基本格式如下：

请求消息的起始行为请求行：

响应消息的起始行为状态行：

1.2 HTTP摘要认证

SIP协议由于其实现简单、扩展性好、部署方便等而应用广泛，不过在使用过程中也暴露出了一些问题[7]。由于SIP协议最初的出现是为了实现会话控制，协议自身设计具有先天性的不足，SIP自身不具备认证功能和加密功能。

HTTP协议是目前互联网中应用最为广泛的一种网络协议，所有的WWW文件都遵循该协议。HTTP协议提供了摘要认证机制，来保证用户的身份认证与口令加密传输，并抵御重放攻击[8]。HTTP协议的认证机制与SIP协议相结合，不失为一种良好的解决思路。

HTTP摘要认证是基于预分配用户名密码的一种认证机制，以替代基本认证，防止密码明文传输泄露信息[9]。采用质询-应答机制（chcallenge-response），“质询”指服务器向客户端发送一个包含消息头WWWAuhtelliteate的HTTP响应，状态码为401(Unauhtiorezd)，要求客户端发送端认证信息；“应答”指客户端识别出消息头后，向服务器反馈基于HTTP的请求信息[10]。当服务器收到客户端的请求消息时,若该客户端尚未完成身份的认证，则服务器会在回应中发起挑战,客户端须提供证明自己身份的信息,以完成服务器对其身份的验证[11]。

2 系统结构设计

本文设计的多媒体系统主要组成为：客户端MC（Multimedia Client），接入网关AG（Access Gateway），媒体分发系统MDS（Media Distribution System），中央管理系统CMS（Central Management System），以及其它功能模块，见图2所示。

图2 多媒体系统结构图

（1）中央管理系统

CMS是整个多媒体系统的中枢管理机构，是系统的大脑，主要管理AG与其它功能模块。作为信息存储中心，存储非业务类的关键数据，例如客户端/用户身份信息和业务配置参数，并向Portal提供发布的内容；作为系统中枢机构，提供客户端/用户身份信息管理[12]。接收SIP的呼叫请求，实现客户端接入时的呼叫控制。如果被叫是本域的前端，则修改SIP消息中的SDP协议（Session Description Protocol），SDP是基于文本的，因此可扩展性比较强，应用场景很广。SDP用于描述媒体信息，并不支持会话内容和媒体编码协商功能。根据SDP描述的媒体信息（含已注册的信令地址），发起新的SIP呼叫，失败则释放本次呼叫[13]。

（2）接入网关

AG部署在MC与CMS之间，是系统的前端接入网关，是MC注册或者会话时的第一个访问点，是Web和WAP客户端的Http Portal[12]。AG必须实现本域MC的接入，接收和转发由MC或CMS发来的SIP 信令。实现对MC的接入管理，接收、转发来自MC的呼叫控制信令给CMS，转发从CMS接收到的请求或应答消息给MC。

（3）媒体分发系统

MDS负责系统的媒体转发/分发和平台侧的媒体传送，在CMS的媒体调度模块控制下完成音视频传送功能，MDS要求支持多级级联和分布式部署[12]。

（4）客户端

基于Web和WAP，MC分为PC客户端和手机客户端两大类。客户端功能一般包括注册接入、鉴权认证、解码、快照、语音呼叫、图像预览、镜头控制、云台控制、录像回放等功能。

3 认证设计方案

3.1 认证流程

根据本文第2节，AG负责MC的身份认证。MC每次向AG发起HTTP请求，AG都需要进行摘要认证。MC首次向AG发送HTTP请求，AG返回401（未授权）响应进行挑战。401消息的头里带有WWW-Authenticate消息头，其中包含挑战摘要的随机参数nonce。MC收到401后，将用户名密码和挑战信息用MD5加密形成认证鉴权头，重新发送给AG，AG对认证鉴权头进行验证，如果认证成功则返回200 OK，并在响应的消息中返回下次认证的随机数nextnonce，MC下次请求时，根据nextnonce生成鉴权头进行HTTP请求[14]。见图3所示。3.2 AG的质询消息头

图3 HTTP摘要认证流程图

AG的401未授权质询WWW-Authenticate消息头语法：

AG的消息头参数见表1所示：

3.3 MC的应答消息头

MC的应答消息头语法：

MC的Authorization头参数见表2所示：

3.4 Response参数

在HTTP 摘要认证的“response”过程中，MC通过定义response的不同参数，向AG反馈相应的HTTP请求信息，response参数计算方法至关重要。response参数计算算法参考RFC2617[15]：

AG在收到MC的挑战响应消息后，根据Authorization消息头中的username参数，取出对应的key和key的有效期，然后使用和MC相同的计算方法，对Authorization消息头中的参数进行摘要计算，将计算结果与response值进行比较，相同则鉴权成功，返回200 OK响应，不同则鉴权失败，重新返回401 Unauthorized响应，格式与请求一的401响应相同。

表1 AG的消息头参数说明表

表2 MC的Authorization头参数说明表

4 结束语

针对SIP协议的安全性缺陷，本文利用HTTP摘要认证机制，设计了多媒体系统中客户端与接入网关之间的HTTP摘要认证方案，对增强多媒体系统的安全性具有积极意义。不过，本文的设计方案仍需要进一步完善，因为HTTP摘要认证本身并非完美、无懈可击，仍存在一定的缺陷性，如协议设计不支持双向认证，缺乏私钥协商机制，不能为SIP协议消息头域加密等，这些缺陷还需不断改进。另外，客户端的安全接入有多种保证机制，需要多方协同。该领域的研究还有许多工作要做，任重道远。

[1] 王永建, 刘永涛, 梁伟河等. 一种基于SIP的多媒体客户端安全接入设计[J]. 通信技术, 2016, 49(7): 923-928.

[2] 刘辉, 罗晓勇, 张杰. 基于SIP的无线视频监控系统的设计与实现[J]. 电视技术, 2011, 35(19): 93-95.

[3] 曾鹭鹭, 陈一民. 基于SIP协议的IP电话服务器的设计与实现[J]. 计算机工程, 2007, 33(3): 278-280.

[4] 徐轩. 嵌入式移动视频采集终端的设计与实现[D]. 武汉:武汉理工大学, 2013.

[5] 亢娟. 基于WCDMA网络的智能公交系统接口协议研究[D]. 太原: 太原理工大学, 2013.

[6] 陈莹. 基于SIP协议的视频监控系统的实现与应用[D]. 上海: 上海交通大学, 2008.

[7] 李学杰, 金志刚, 戴居丰. 基于HTTP摘要认证的SIP安全性设计[J]. 电子测量技术, 2007, 30(12): 109-115.

[8] 顾晓辉, 施佳佳, 郭放. SIP的安全机制及其HTTP摘要认证的改进[J]. 东华大学学报(自然科学版), 2010, 36(02): 165-174.

[9] 彭焕峰. 一种基于改进的HTTP摘要认证的SIP安全机制[J].微型机与应用, 2011, 30(6): 53-55.

[10] 陈远志. HTTP认证及其在Web平台中的实现[J]. 中国数据通信, 2004, 6(10): 77-83.

[11] ]傅有为. 基于HTTP摘要认证机制的SIP通信系统的实现[D]. 大连: 大连理工大学, 2011.

[12] 仝玉选. 试论电信级视频监控中心服务平台[J]. 现代传输, 2011(6): 55-67.

[13] 姚楠, 王开圣. 基于三维GIS的电网视频监控系统[J].中国电力, 2012, 45(4): 96-100.

[14] 中国移动通信集团公司. 中国移动视频监控接口规范[DB/OL]. http://wenku.baidu.com/view/3a2ec2daad51f01dc281f 149.html?from=search,2011-10-19/2016-03-22.

[15] IETF.HTTP Authentication: Basic and Digest Access Authentication[DB/OL]. https://datatracker.ietf.org/doc/rfc2617/?include_ text=1,2013-03-02/2016-03-10.

An Security Authentication of HTTP Digest for Multimedia System

WANG Yong-jian, ZHU Ji-zhou, YANG Jian-hua, YAN Chao, WANG Yue-hong, SONG Si-hai

(China International Telecommunication Construction Group Design Institute Co. Ltd, Beijing 100079, China)

It is very severe for the security situation of multimedia system, and the client is the centralized source of information security incident, so it is the key of security authentication for clien in multimedia system. In order to make up for the lack of security of SIP in traditional multimedia system, it designs an authentication scheme based on HTTP digest. Firstly, it analyzes the principle of SIP protocol and HTTP protocol, and it designs the whole structure of multimedia system, and defines the function of each main component. Then, it designs the certification process and the scheme including chcallenge message header of AG, response message header of MC and parameter of Response. The design idea, in the paper, has a certain reference significance for improving the security of multimedia system and SIP protocol.

Session initiation protocol; Session description protocol; HTTP digest; Chcallenge; Response

TN919.81

A

10.3969/j.issn.1003-6970.2016.12.042

河南省重点科技攻关项目(122102210430)，中国通信建设集团“RD+PS”项目

王永建(1981-)，男，高级工程师，研究方向为信息安全、大数据、云计算；朱纪周(1966-)，通讯作者，男，本科，高级工程师，研究方向为计算机应用、信息安全；杨建华(1979-)，男，本科，高级工程师，研究方向为数据通信、计算机应用；闫超(1970-)，女，本科，高级工程师，研究方向为计算机应用；王跃红(1969-)，男，本科，工程师，研究方向为数据通信、计算机应用；宋四海(1976-)，男，本科，高级工程师，研究方向为数据通信、计算机应用。