一个基于数字证书的流媒体可接入设备方案.doc

资源描述

《一个基于数字证书的流媒体可接入设备方案.doc》由会员分享，可在线阅读，更多相关《一个基于数字证书的流媒体可接入设备方案.doc（8页珍藏版）》请在三一文库上搜索。

1、一个基于数字证书的流媒体可接入设备方案收稿日期：20070115 随着宽带互联网络铺设的完成，宽带应用业务的缺乏逐渐呈现出来。这些业务既是支撑网络持续发展的动力源泉，也是宽带网络经营者获取效益的基点。1网络流媒体（S treamingMedia）技术就是利用网络传输声音与视频信号的网上应用业务。它的诞生和发展推动了互联网整体架构的革新，同时赋予宽带应用更多的娱乐性和互动性。传统的音视频文件不但存贮体积十分庞大，而且要等到完全下载后才能播放；而采用流媒体技术，就可实现流式传输，将声音、影像或动画由服务器向用户计算机进行连续、不间断传送，用户不必等到整个文件全部下载完毕即可进行观看。流式

2、传输技术分为两种：一种是顺序流式传输；另一种是实时流式传输。流媒体包含了媒体技术和网络技术，它们可以说是交叉的两大成熟学科，为了充分发挥两种技术的各自优势，面对这样的状况，人们把实现流媒体的网络技术从其运营的业务模式划分出来，构成对宽带流媒体应用的支撑环境。通过支撑环境开展宽带流媒体业务有很多优点：（）对应用提供商而言，流媒体应用通过一个独立的支撑环境提供完整、强大的业务管理功能，减小了实现技术的屏障，它使得媒体应用的开发周期短，特别有利于新媒体应用的开发；也使得媒体应用的运行和维护成本减小，支持大规模的应用，共享的用户资源，支持多种运营模式等。它包括了超市模式和互联网模式，媒

3、体应用提供商可以根据市场要求和业务的特点与支撑平台达成利润分账的多种模式。（）对于用户而言，统一的支撑环境方便了用户的使用，例如用户仅通过一点认证就可以访问全部授权业务，并完成相关的支付等工作。（）对于运营商而言，支撑环境也是一个增值业务支撑平台，它本身也是一种面向媒体应用提供商开展的业务。对网络提供商而言，可以在提供基本的网络接入服务的同时，发展成为其他增值业务形式。总之，独立支撑环境技术对流媒体的完整业务进行不同领域和不同层次的划分，使其更适合在网络分布式环境分工运作中发挥所涉及各个技术优势，这样的优点不但推动了流媒体自身的快速发展，也为小储量流媒体外延设备的发展奠定了良

4、好基础。流媒体的外延设备尽管功能简单，但其可随身离线播放的特性使其成为极为风靡的产品。但随流媒体本身所含价值与设备技术成本的提高，流媒体的外延设备作为简单服务性播放设备，其设备价值更多在于所取得服务。保护服务才有利于培养自己的客户，因此地，在不同流媒体的外延设备间形成多种不同的流媒体服务格式，从而造成了该行业发展的壁垒，也不利于网络分布式服务环境的有效利用。2-4基于上述原因，本文从成熟数字证书技术入手，提出一个基于数字证书的流媒体外延设备接入方案，目的在于提供统一格式服务和提高分布式网络服务效率及适合流媒体外延设备特点的管理技术平台。具体完成任务包括：使用属性证书和身份

5、证书建立一个基于客户真实身份统一的分布式资源接入平台，并根据客户权限分配客户所访问资源；在流媒体外延设备中设置安全证书存贮和授权执照播放功能；建立相应的证书发放及管理。一、数字证书与接入控制系统网络服务不仅在于远程通信更在于客户通过对远程服务器的访问实现信息资源的共享，它在降低资源组织难度和提高资源利用效率的同时也增加了开放环境下安全接入控制的难度。在分布式网络环境中采用基于属性数字证书的统一授权登录接入技术比基于控制列表（ACL ）的分散接入方式有更大益处。数字证书是由网络客户与服务之外的可信第三方(TTP，Trus ted Third Party)提供的数字签名文件，该文件主要

6、包括了用户主题和属性两组数据项，由于被签名密封，因此不能随意篡改，可通过可信第三方的公开密钥进行验证。当用户主题选取用户的惟一身份标识，而相关属性选取公钥密码中的用户的公开密钥时，就叫身份数字证书；当选取用户的持有者标识与一组属性时，则为属性证书。5,6在统一授权登录接入中这些属性就为用户接入某个特定对象的授权项。在本方案中，设D为外延设备，CA为数字证书机构，CA为D颁发身份由客户方提供，则称为“推”的模式；若由验证方从证书库中查询，则称为“拉”的模式。证书中签名与验证过程支持多种可选算法，其中采用椭圆曲线算法具有更短的数据值，更适合流媒体外延设备的应用环境。由于基于大

7、数分解的椭圆曲线算法只在理论上有意义，而使用中只有基于离散对数的椭圆曲线算法才有实用价值，因而在代理签名系统中只在离散对数的算法运用了椭圆曲线算法，而基于大数分解的算法仍采用RSA算法实现。二、基于数字证书的流媒体外延设备接入系统 1系统总体结构系统的总体结构如图1所示。作为网络分布式服务节点包括统一的单点登录平台、媒体资源查询、流媒体资源库和结算行等。客户通过个人身份ID流媒体外延设备D的证书登录资源网站，网站首先由单点登录模块对客户进行的身份认证和权限分配，若客户信息中有身份证书CCert和属性证书ACert，则在验证证书有效后再根据证书的内容验证用户身份是否有效，若有效

8、则为其分配访问资源的权限。这时采用的是“推”模式的认证方法，若采用“拉”模式认证，所使用的证书则从证书机构和属性机构的目录服务器或证书服务器查询取得。证书机构和属性机构的目录服务器不是系统本身的组成部分，需远程服务，而证书服务器则为其在本系统中的本地副本，可提供同步地实时查询。当客户认证通过则授予其相应权限，并准许作相应的资源查询。客户选取所需的流媒体资源后，资源保护模块验证权限后执行下载任务，并通知执照模块生成符合客户应有权限的使用执照。 2接入的身份认证及授权协议接入控制的身份认证分为两种，即完全认证和简单认证。通常情况下，客户的首次登录使用完全认证，而为了提高效率以后的

9、登录可采用简单验证。通过认证，确保在不安全的网络环境中正在登录的客户就是所持身份证书的客户，在该次登录过程中，没有身份伪造、信息窃取和重复攻击等情况发生，使所发生的权限分配严格地建立在客户真实身份的基础上。然后验证客户的属性证书并根据客户属性证书中客户所能接入资源的权限条目关联到实际资源设备，设置该客户资源访问表等，以备客户下载流媒体资源时提供合适的权限。图2给出了一个完认证的协议过程，图中客户（Client_D）指流媒体持有外延设备的在线用户，Sso (Single sign-on)为单点登录平台。 3流媒体资源的下载与颁发执照当客户登录取得授权后就可浏览和下载其权限范围内的

10、流媒体资源。要在流媒体外延设备上播放，还必须按持有流媒体使用执照。因为使用执照中嵌有控制流媒体外延设备工作的指令，使其按规定的方式和次数运行。流媒体资源的下载与颁发执照的协议如图3所示。 4证书发放及管理证书是系统工作的核心，证书机构是发放数字证书的机构，作为可信任的第三方独立存在，并包括在系统中。除签名身份证书外，还提供相关证书查询的目录服务。属性证书机构AA 作为权限分配机构则可嵌入本系统中，为使其签属证书获得客户信任，AA也必须持有CA签发的身份证书。另外，为克服网络传输中的不可靠性，对于远程目录服务，系统都配备有可同步查询的证书数据库。 5流媒体外延设备流媒体外延设

11、备的使用完全依赖于流媒体的服务，单纯的媒体播放设备是只介于播放器与服务接收器之间的设备，并不适合流媒体外延服务的要求，因此需做简单的设计改造，使其可嵌入数字证书和对应的私有密钥，以适合其服务的要求。三、效率与安全分析本系统使用了身份数字证书和属性数字证书，它比使用单个身份数字证书的效率要高7- 1 4。这是因为：尽管在身份数字证书也可以嵌入客户的属性，但是由于身份证书的用途主要在于证明客户身份，身份具持久性而长时间不更改，但属性权限随要接入系统而随时改变，若只用身份证书则经常变更证书必然会增加使用成本。属性数字证书就是其进入系统的所签发的通行证，其属性就是访问该系统一组资源的权

12、限集，当该设备在不同系统注册时，应具有不同的权限，即同一身份数字证书可支持多人属性数字证书的应用，避免了具有多个身份证书的开销。采用属性证书可实现单点统一登录环境的形成，减少了系统中分散服务器单独设置接入管理列表（ACL）的负担，使管理更趋清晰，有助于降低网络管理的成本，使其向更高层次的发展。可证明本系统所采用的方案是安全的。本方案的核心技术采用的是证书技术，它可信的第三方签名的文件，通过密码技术可验证它是否被篡改过。而通过身份数字证书中的公开密钥验证登录客户持有私密钥从而证明其身份的真实性。验证中所采用的时戳保证其验证的信息是没过期的，而采用的随机数保证验证过程中没被窃听者篡

13、改。数字证书的安全性可参考文献，从下面的定理中可证明上节所使用的随机数技术是可以保证验证者所接收消息不可伪造的。定理当双方私密钥没有泄露时，请求方返回验证方消息时，可证明请求方提供的消息是不可伪造的。证明设请求方，验证方为，证书机构为。可证明通过为签名数字证书所获取得对方公钥为其的真实公钥。则sgnVsk(rd)为V方产生随机数rd的签名。当V的私钥没有泄露时，极短的时间内伪造sngVsk(rd)是数学上的不可解的难问题。因而请求方收到消息是不可伪造的。同理可证明sgnRsk(rd) 是不可伪造成的，从而可证明请求方提供的消息是不可伪造的。结论网络信息系统是基于网络而发展的，除本身的发展外还在于其上业务的发展。因为作为一种传媒工具，网络文化所蕴含的价值要远大于网络技术本身所产生的价值。随着技术的不断进步，网络技术变得日益透明，人们对网络变得越来越依赖，重要的是能产生更多基于网络平台的业务，从而达到更合理利用网络这一基础设施的目的。

展开阅读全文