文/同卫国

摘要：随着我国网络技术的不断发

展，多媒体的应用也越来越广泛，

其安全问题也日益突出。本论文

对多媒体应用的相关安全技术：

PKI 技术、PMI 技术和 XML 安全

技术作了简要的介绍；同时对多

媒体应用的安全模型作了相关说

明，对组成这个模型的三个部分

作了相关概述，以便为多媒体安

全工作提供一点参考。

【关键词】多媒体 网络技术 数字证书库

1 安全的相关技术

随着科学技术的发展，多媒体技术也越

来越成熟，其应用范围包括了教育、科研、经

济、军事等诸多领域。随着其应用范围的扩大，

有些部门在其安全性上也提出了更高的要求。

多媒体应用的安全问题已收到越来越多的专家

学者的关注。在本论文中笔者对媒体应用中的

相关安全技术作简要介绍。

1.1 PKI技术

PKI 是公钥基础设施英文的缩写，它主

要由四个部分组成，包括数字证书库、密钥管

理中心、证书认证中心和审核机构。它以公共

密钥技术作为理论基础，是目前应用最广泛的

安全机制之一。在此安全机制中有一对密钥、

私钥和公开的公钥。利用公钥无法将私钥推导

出来，但是要想还原公钥加密的数据，那就只

能依靠特定的私钥。因此，即使在不安全的客

户端也能实现安全通信，不用担心会泄露相关

数据。

在这整个安全体系的基础设施中，其核

心是认证机构；对于认证机构所发放的证书，

如果要对其管理、发放进行相关扩充，那就需

要审核机构发挥作用；密钥管理中心不仅能够

产生密钥也能够对这些密钥进行有效管理，每

个认证机构必须要有一个密钥管理中心；证书

就存放在数字证书库中，因此，数字证书库的

安全性以及完整性十分重要。

1.2 PMI技术

PMI 和PKI 两者之间的结构十分类似，

它的组成主要包含三个部分：属性证书、证书

库和权威。对于证书的产生、发放、存储、管

理和撤销等相关操作它都可以顺利完成。其体

系结构又主要分为三层：信任源点、权威机构

中心、中心代理点。

1.3 XML安全技术

XML 是可扩展标记语言英文的缩写，这

种数据描述语言是开放型的。互联网上的信息

具有开放性的特点，每一个用户都可以对网络

上的数据都进行相关修改。对于所要描述的内

容，XML 语言能够清晰地进行表达。XML 文

件同样也具有开放性的特点，对于其信息数据，

任何人都能够轻而易举地知道。因此，对于某

些重要的XML 文件，其安全性和完整性是不

容忽视的。

对于XML 签名加密技术来说，其技术本

身并没有突破。只是在XML 文件内部，能够

对XML 元素进行签名和加密处理。因此 XML

文件的安全保密工作也就具有了相当的扩展性

和灵活性。

XML 的签名包含两部分：创建和验证。

而创建又分为两个方面：引用创建和签名创

建。在进行引用创建时，要通过URI 对相关

数据进行查找，然后转换这些数据，使其生成

摘要，这样就创建出了 Reference 元素；而签

名创建就是创建SignedInfo 元素，然后将上述

Reference 元素纳入其中，并指定相关方法，

把元素标准化并签名，从而组合成 Signature

元素。验证也分为两个方面：引用验证和签名

验证。签名验证需要对相关密钥进行获取，从

而将标准化的元素摘要生成，再将其同解密元

素作比较，如果同原文无差别，那么就验证成

功。

2 多媒体应用安全模型设计

多媒体应用安全模型主要包含三大模块：

PKI/PMI 模块、多媒体访问控制模块和强审计

模块。

2.1 模块设计

在上述系统中，PKI/PMI 模块的功能就

是为用户提供公钥证书和属性证书，其中公钥

证书用以表明身份和属性证书用以表明权限。

PMI 的建立是以PKI 公钥基础设施为基础，

因此，用户要想申请属性证书，那就必须先取

得身份证书。

PKI 由两个部分构成，即CA 认证中心和

证书库。用户需要提交相关申请请求，然后

CA 认证中心对用户身份进行验证核对，通过

后方能为用户颁发公钥证书，同时在证书库中

对证书进行储存和管理。

PMI 不同之处在于，用户只有具有了 CA

颁发的公钥证书后，其属性证书的申请才会被

接受。在然后在AA 权限机构中对用户身份和

权限进行验证，通过之后方为用户颁发属性证

书。两种证书结构类似，只是内容略有差异。

2.2 多媒体访问控制设计

系统对用户的身份及角色进行验证，就

是对 PKI/PMI 模块为用户提供的公钥证书和

属性证书进行验证。用户的身份信息保存在公

钥证书中，用户的角色信息及公钥证书序列号都保存在属性证书中，这样能够有效实现两种

证书的统一。用户要想证明身份，就需要提供

公钥证书即其私钥，若要证明用户角色，就需

要再提供属性证书及其私钥。不同的角色有着

不同的视频访问权限，在RBAC 策略中记录

着用户角色以及用户可以访问视频的权限。换

言之，角色与权限之间的对应由 RBAC 策略

来实现。对于相同的视频来说，不同的角色访

问的范围也各不相同，这就是权限的不同。

我们可以用一个四元组（who，what，

when，where）来表示用户的访问请求。系统

对RBAC 模型进行了相关扩展，对这四个方

面也作了不同的访问限制，从而大大提高了系

统的安全性。

2.3 安全审计的设计

安全审计模块在系统中是独立的，其查

看权限仅限于系统的审计管理员。在系统中，

审计功能主要包含两个方面：一、数据库审计，

它是跟踪数据的读取行为，从而确保存储在数

据库中的信息是被安全地、合理地使用，从而

才能让合法用户在权力范围内对数据库进行访

问；二、应用审计，它主要是审计系统管理员

对安全策略的更新。一般会有专门的审计管理

员，他能够对日志记录的存储进行管理，但是

无法对日志记录进行删除和修改操作。这样就

有效控制了系统管理员的权限，避免其权限过

大而产生渎职行为。

3 结束语

本论文对多媒体应用安全的相关技术作

了简单介绍，着重对认证和加密方式作了相关

描述并构建了相关安全模型。随着科技的进步，

多媒体应用的安全必然会变得更加重要，在以

后的研究过程中，有必要以多媒体应用安全平

台中的密钥管理、证书管理的合理性和安全性

为重点进行深入研究。笔者学识有限，所作论

述仅供参考。

参考文献

[1] 程安潮. 基于属性证书的 PMI 授权

管理模型应用研究[J]. 计算机工

程,2006,(4).162164.

[2] 张文凯, 曹元大. 基于 PKI/PMI 的应

用安全平台模型的研究[J]. 计算机工

程,2004,30(9).131133.

[3] 谭寒生, 张舰.PMI 与 PKI 模型关系研究

[J]. 计算机应用，2002，(8).8688.

[4] 周学广, 张焕国, 张少武等. 信息安全

学( 第二版)[M]. 北京: 机械工业出版

社.2008,104.

作者单位

陕西职业技术学院　陕西省西安市　710100