多媒体应用的安全策略探讨
文/同卫国
摘要:随着我国网络技术的不断发
展,多媒体的应用也越来越广泛,
其安全问题也日益突出。本论文
对多媒体应用的相关安全技术:
PKI 技术、PMI 技术和 XML 安全
技术作了简要的介绍;同时对多
媒体应用的安全模型作了相关说
明,对组成这个模型的三个部分
作了相关概述,以便为多媒体安
全工作提供一点参考。
【关键词】多媒体 网络技术 数字证书库
1 安全的相关技术
随着科学技术的发展,多媒体技术也越
来越成熟,其应用范围包括了教育、科研、经
济、军事等诸多领域。随着其应用范围的扩大,
有些部门在其安全性上也提出了更高的要求。
多媒体应用的安全问题已收到越来越多的专家
学者的关注。在本论文中笔者对媒体应用中的
相关安全技术作简要介绍。
1.1 PKI技术
PKI 是公钥基础设施英文的缩写,它主
要由四个部分组成,包括数字证书库、密钥管
理中心、证书认证中心和审核机构。它以公共
密钥技术作为理论基础,是目前应用最广泛的
安全机制之一。在此安全机制中有一对密钥、
私钥和公开的公钥。利用公钥无法将私钥推导
出来,但是要想还原公钥加密的数据,那就只
能依靠特定的私钥。因此,即使在不安全的客
户端也能实现安全通信,不用担心会泄露相关
数据。
在这整个安全体系的基础设施中,其核
心是认证机构;对于认证机构所发放的证书,
如果要对其管理、发放进行相关扩充,那就需
要审核机构发挥作用;密钥管理中心不仅能够
产生密钥也能够对这些密钥进行有效管理,每
个认证机构必须要有一个密钥管理中心;证书
就存放在数字证书库中,因此,数字证书库的
安全性以及完整性十分重要。
1.2 PMI技术
PMI 和PKI 两者之间的结构十分类似,
它的组成主要包含三个部分:属性证书、证书
库和权威。对于证书的产生、发放、存储、管
理和撤销等相关操作它都可以顺利完成。其体
系结构又主要分为三层:信任源点、权威机构
中心、中心代理点。
1.3 XML安全技术
XML 是可扩展标记语言英文的缩写,这
种数据描述语言是开放型的。互联网上的信息
具有开放性的特点,每一个用户都可以对网络
上的数据都进行相关修改。对于所要描述的内
容,XML 语言能够清晰地进行表达。XML 文
件同样也具有开放性的特点,对于其信息数据,
任何人都能够轻而易举地知道。因此,对于某
些重要的XML 文件,其安全性和完整性是不
容忽视的。
对于XML 签名加密技术来说,其技术本
身并没有突破。只是在XML 文件内部,能够
对XML 元素进行签名和加密处理。因此 XML
文件的安全保密工作也就具有了相当的扩展性
和灵活性。
XML 的签名包含两部分:创建和验证。
而创建又分为两个方面:引用创建和签名创
建。在进行引用创建时,要通过URI 对相关
数据进行查找,然后转换这些数据,使其生成
摘要,这样就创建出了 Reference 元素;而签
名创建就是创建SignedInfo 元素,然后将上述
Reference 元素纳入其中,并指定相关方法,
把元素标准化并签名,从而组合成 Signature
元素。验证也分为两个方面:引用验证和签名
验证。签名验证需要对相关密钥进行获取,从
而将标准化的元素摘要生成,再将其同解密元
素作比较,如果同原文无差别,那么就验证成
功。
2 多媒体应用安全模型设计
多媒体应用安全模型主要包含三大模块:
PKI/PMI 模块、多媒体访问控制模块和强审计
模块。
2.1 模块设计
在上述系统中,PKI/PMI 模块的功能就
是为用户提供公钥证书和属性证书,其中公钥
证书用以表明身份和属性证书用以表明权限。
PMI 的建立是以PKI 公钥基础设施为基础,
因此,用户要想申请属性证书,那就必须先取
得身份证书。
PKI 由两个部分构成,即CA 认证中心和
证书库。用户需要提交相关申请请求,然后
CA 认证中心对用户身份进行验证核对,通过
后方能为用户颁发公钥证书,同时在证书库中
对证书进行储存和管理。
PMI 不同之处在于,用户只有具有了 CA
颁发的公钥证书后,其属性证书的申请才会被
接受。在然后在AA 权限机构中对用户身份和
权限进行验证,通过之后方为用户颁发属性证
书。两种证书结构类似,只是内容略有差异。
2.2 多媒体访问控制设计
系统对用户的身份及角色进行验证,就
是对 PKI/PMI 模块为用户提供的公钥证书和
属性证书进行验证。用户的身份信息保存在公
钥证书中,用户的角色信息及公钥证书序列号都保存在属性证书中,这样能够有效实现两种
证书的统一。用户要想证明身份,就需要提供
公钥证书即其私钥,若要证明用户角色,就需
要再提供属性证书及其私钥。不同的角色有着
不同的视频访问权限,在RBAC 策略中记录
着用户角色以及用户可以访问视频的权限。换
言之,角色与权限之间的对应由 RBAC 策略
来实现。对于相同的视频来说,不同的角色访
问的范围也各不相同,这就是权限的不同。
我们可以用一个四元组(who,what,
when,where)来表示用户的访问请求。系统
对RBAC 模型进行了相关扩展,对这四个方
面也作了不同的访问限制,从而大大提高了系
统的安全性。
2.3 安全审计的设计
安全审计模块在系统中是独立的,其查
看权限仅限于系统的审计管理员。在系统中,
审计功能主要包含两个方面:一、数据库审计,
它是跟踪数据的读取行为,从而确保存储在数
据库中的信息是被安全地、合理地使用,从而
才能让合法用户在权力范围内对数据库进行访
问;二、应用审计,它主要是审计系统管理员
对安全策略的更新。一般会有专门的审计管理
员,他能够对日志记录的存储进行管理,但是
无法对日志记录进行删除和修改操作。这样就
有效控制了系统管理员的权限,避免其权限过
大而产生渎职行为。
3 结束语
本论文对多媒体应用安全的相关技术作
了简单介绍,着重对认证和加密方式作了相关
描述并构建了相关安全模型。随着科技的进步,
多媒体应用的安全必然会变得更加重要,在以
后的研究过程中,有必要以多媒体应用安全平
台中的密钥管理、证书管理的合理性和安全性
为重点进行深入研究。笔者学识有限,所作论
述仅供参考。
参考文献
[1] 程安潮. 基于属性证书的 PMI 授权
管理模型应用研究[J]. 计算机工
程,2006,(4).162164.
[2] 张文凯, 曹元大. 基于 PKI/PMI 的应
用安全平台模型的研究[J]. 计算机工
程,2004,30(9).131133.
[3] 谭寒生, 张舰.PMI 与 PKI 模型关系研究
[J]. 计算机应用,2002,(8).8688.
[4] 周学广, 张焕国, 张少武等. 信息安全
学( 第二版)[M]. 北京: 机械工业出版
社.2008,104.
作者单位
陕西职业技术学院 陕西省西安市 710100