摘 要:电子商务中流媒体的安全问题已经逐步的显现,各种影音文件已经成为病毒的栖身之地,同时流媒体播放器控件也存在着漏洞,因此,应从多个方面去解决流媒体的安全问题。
关键词:流媒体 应用安全 安全防范 一、引言 电子商务(Electronic Commerce)是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。 电子商务活动中,对于文本、图片、小型flash动画及较小的音频等类型的文件,可在客户端HTTP快速下载呈现。而采用传统方式通过网络传输大数据量的影音文件时,则需要较长时间,让文件在客户端下载完后才能进行浏览,给获取信息带来延时与不便,影响了电子商务活动中信息流的顺畅,利用流媒体技术可将大数据量的文件信息以流式方式基于网络传输在客户端边下载边观看。 二、电子商务信息安全现状 当前,电子商务所面临的信息安全现状不容乐观。根据美国权威杂志《信息安全杂志》披露,从事电子商务的比一般企业承担着更大的信息风险。调查显示,近年来,我国发生的通过网络进行的电子商务犯罪多达200起,造成上亿元的损失。网民对网上交易的最大担心莫过于支付信息的安全问题,超过八成的网民对网上交易的安全性表示担忧。信息安全问题成为困扰网上交易的一大难题。 我国的信息安全已经历了通信保密,机密数据保护两个发展阶段,现正处于网络信息安全研究阶段。通过、吸收、消化等手段,已逐步掌握了部分网络安全和电子商务安全技术,进行了安全操作系统、多级安全数据库的研制探索,但由于没有掌握系统核心技术,使得要开发出有自主知识产权的信息产品困难重重,而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。
wwW.CufebbS.net
在借鉴国外先进技术的基础上,国内一些企业也研制开发如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等,但这些产品安全技术的规范性、完善性、实用性还存在许多不足。 三、流媒体简介 由于受到网路带宽的限制,互联网上的数据都是以文字、图片之类的静态内容为主,而那些音频、视频数据很难在网上发布,因为一般非压缩的广播级品质视频需要160Mbps的网络带宽;非压缩CD音质的音频则需要大约2.8Mbps的网络带宽。目前大部分网络用户的带宽还只是56Kbps,这与音频、视频的传播要求相差甚远。网络带宽很难在短期内得到迅速提升,这样就出现了流媒体(Streaming media)。所谓流媒体是指采用流式传输的方式在Internet播放的媒体格式,而流式传输方式则是将整个A/V及3D等多媒体文件经过特殊的压缩方式分成一个个压缩包,由视频服务器向用户计算机连续、实时传送。 ???? 流媒体技术的开发创意是从传统的TCP/IP协议对通过网络传送信息的控制方法中得到的,流技术能够按照特定的顺序将文件发送出去,而播放程序则可以边接收数据边播放他们。 目前,在Internet/Intranet上提供流媒体服务的软件中应用广泛、成熟的产品还不多。 根据媒体形式的不同,流媒体可分为如下五类: 1)、流式音频。网上流式音频主要有数字化声音、音乐和语音识别三种形式,如ToolVox,RealAudio,Crescendo MIDI等。 2)、流式视频。如VDO Net公司的VDO Live,CISCO公司的IP/TV, XING Technology公司的StreamWorks等。 3)、流式动画。如Macromedia公司的FLASH矢量动画。 4)、流式图象。新推出的RealPlayer G2支持RealPix流式图象文件格式。 5)、流式文本。新推出的RealPlayer G2支持RealText流式文本文件格式。 流式传输的定义很广泛,现在主要指通过网络传送媒体(如视频、音频等)的技术总称。其特定含义为通过Internet将影视节目传送到PC机。实现流式传输有两种方法:顺序流式传输(progressive streaming)和实时流式传输(Realtime streaming)。 支持流媒体传输的网络协议: A、实时传输协议RTP(Real-timeTransportProtocol)用于Internet上针对多媒体数据流的一种传输协议和RTCP实时传输控制协议(Real-timeTransportControlProtocol),两者一起提供流量控制和拥塞控制服务。 B、 实时流协议RTSP (RealTimeStreamingProtocol) 定义了一对多的应用程序如何有效地通过IP网络传送多媒体数据和资源预订协议RSVP协议(ResourceReserveProtocol )正在开发的Internet上的资源预订协议。 四、流媒体应用的安全问题 随着流媒体在电子商务中诸如商标、广告、文字方面的运用越来越广泛,随之而来的安全问题将逐渐地出现在人们的面前。 众所周知,病毒只会感染可执行文件,殊不知,影音文件也成为了病毒木马的栖身之所。利用Helix Producer Plus这款图形化的专业流媒体文件制作工具,可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件,插入在其中的网页木马也会随之打开。当播放已经插入木马的恶意文件时,播放器首先会弹出一个提示窗口,说明此文件经过DRM加密需要通过URL验证证书,而这个URL就是事先设置好的网页木马地址,当用户点击“是”进行验证时,种马便成功了。 日前在网络上新发现了一款恶意代码软件,该软件对Windows用户在P2P网络上下载音乐文件时构成潜在威胁。新的恶意代码通常潜藏在包含ASF的网页上,ASF是高级串流格式(Advanced Streaming Format)的缩写,是微软为Windows98所开发的串流多媒体文件格式。如果用户打开了一个被感染的音乐文件,系统将自动登录到IE浏览器并装载一个恶意代码网页,该网页提示用户下载解码器。一旦用户下载了所谓的“解码器”——实质上是一个特洛伊木马,并点击安装,一个代理程序将安装在用户系统上。该代理程序将允许黑客远程监控“受害”机器,帮助黑客对“受害”实施其他的恶意攻击。该恶意软件还具备了蠕虫病毒的特性,一旦用户PC感染了该病毒,其将在用户电脑上寻找 MP3 或 MP2 音频文件,然后将他们转换为微软的WMA格式,使之成为ASF格式文件一部分,以生成更多的含有恶意代码的网页链接。 五、流媒体安全防范 1、身份验证的采用 在流媒体通信中,对于用户来说,最主要的安全性危胁是多媒体信息的可信性。用户需要确保其收到的多媒体信息确实是由该多媒体信息的服务提供商提供的。而在现有的组播通信机制中,采用共享的会话密钥来加密数据流,组中的每个用户都知道该密钥,都可以冒充服务提供商来发送数据,因此用户必须对信息的发送者进行身份验证。 2、安全的通讯协议 安全通信协议主要涉及3个实体,即流媒体客户端(CL)、认证服务器(As)和流媒体视频服务器(vs)。其中认证服务器用来完成对客户端的认证,也能够完成对视频服务器的认证。对客户端的认证基于用户名和密码,但认证过程必须确保密码不在信道上传输,且认证结束后应产生保证PFS特性的临时会话密钥,即使将来用户口令泄漏,仍然无法破解已经完成的通信过程中的信息。 3、密码体系的应用 与普通分组密码和公钥密码相比序列密码速度最快实时性最好。因此,序列密码适用于数据量大且实时性要求高的流媒体加密,它也是目前军事外交领域应用的一种主流密码体制。序列密码是仿效“一次一密”的密码系统,只要产生的密码序列周期足够长,随机性和不可预测性足够好,便可近似地实现理想的保密体制。 4、文件剥离 影音文件中的病毒,是人们通过软件加载进去的,我们同样可以利用软件,把病毒从媒体文件中剥离出来。看影片之前,用Helix Producer Plus 9的清空了影片的剪辑信息,这样就可以彻底的将隐藏在影音文件中的病毒杀光。除此之外,还有一种非常简单的方法,可以有效防止影音文件木马,使用影音风暴、鼎点播放器,因为这些播放器工作过程中,不会调用IE浏览器。 六、结束语 本文从流媒体技术原理出发,研究了流媒体面临的安全问题,以及其应采用的防范措施。 参考文献 [1]王宝智.多煤体宽带网技术[M]北京:国防工业出版社.2002. [2]吴围勇,邱学刚.万燕仔.网络视频流媒体技术与应用[M].北京:北京邮电大学出版社.2001 [3] 方勇,刘嘉勇,信息系统安全导论.电子工业出版社 [4] 廉士国,孙金生,王执铨.基于认证和加密技术的安全多媒体传输方案.东南大学学报,2004,34:84—87.中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
