浅谈Web浏览器实时通信中安全性.docVIP

浅谈Web浏览器实时通信中安全性 　　摘要：Web浏览器实时通信技术，能够很好的满足广大用户的需求，因而在我国有着广阔的发展前景。本文主要论述了Web浏览器实时通信中涉及的主要安全性问题并有针对性的提出了相关的建议。 　　关键词：Web；浏览器；实时通信；安全性 　　中图分类号：TP393.092　文献标识码：A　文章编号：1007-9599　（2012）　18-0000-02 　　1　Web浏览器实时通信技术的发展情况 　　伴随我国通信网络与计算机互联网的不断发展和日益融合，用户对于通信技术的需求也越来越多样化，通信常常不仅有音频方面的需求，也对于视频以及其他通信形式更为依赖；此外对于实时通信也带来了多样化的需要。Web浏览器中B/S结构是比较主流的通用的结构，目前网页上提供的最为常用的Audio，或者Video等实时性的媒体服务产品，通常也是由网页插件技术，利用媒体下载服务进行辅助。就我国现行的网页技术，以及HTTP5传输方式而言，都不能有效地支持上述媒体功能的实时使用。以Web浏览器为基础的网络实时通信技术通常也被称为RTC　Web（Real-time　Communication　in　Web　browsers）技术，通过采用技术，能够对在Web浏览器中实时的使用P2P通信等功能，迅速的传送内容，降低了对于中间服务器以及其他一些辅助插件和外挂程序的依赖。RTC　Web技术也得到了许多国内外研发团队、通信服务商以及普通用户的广泛关注，W3C与IETF分别在2011年第一和第二季度成立了专门的工作小组，对该技术的使用和标准化工作开展了广泛的研究[1-2]，IETF的核心任务是建立健全浏览器实时通信传输协议与主要的格式：主要针对编解码，通信传输，防火墙保护，通信安全以及隐私保护等方面的内容；W3C主要是针对浏览器客户端服务器上的API体系的构建。单就程序应用的层面上来讲，Google公司于2011年6月3日，正式向开发人员公布了RTC　Web系统的源代码，这些源代码主要通过没有专利费的伯克利软件公司发布许可证向用户提供服务，RTC　Web系统能够让软件开发人员利用JavaScript　API系统和HTML协议进行实时通信。正是这些相关技术的发展与应用，使得Web浏览器的实时通信水平有了长足的发展进步。 　　2　Web浏览器实时通信中存在的主要安全问题 　　RTC　Web实时通信主要的安全问题主要有以下几个方面：（1）Distribute　Denial　of　Service也就是分布式拒绝服务攻击：在进行实时通信时，攻击者利用向特定网络节点发送大量的垃圾信息的方式，不断的耗尽特定网络节点对于通信信息的分析处理能力，进而对通信传输服务造成干扰。目前应该问题的主要途径是利用攻击检测模型，识别和预警攻击。（2）路由攻击：主要包括利用发送的伪造路由信息，以实现干扰正常路由工作的目的。通过伪造合法的但是无效的路由信息，网络传输处理的数据量过大，使得合法路由数据速度无法满足要求，大量的数据也会很大的消耗节点能量。（3）系统攻击：主要是通过寻找系统安全漏洞，侵入他人系统的行为。其有三个阶段采集信息、寻找系统安全弱点、展开攻击。一旦网络缺乏良好的容错性能力，攻击者就能够通过漏洞攻击用户。（4）防火墙漏洞攻击：通过利用防火墙在软件与硬件方面的漏洞，发起攻击以造成软件和硬件的故障。防火墙通常需要使用病毒监测手段来防范外部攻击。其本身也十分可能成为攻击的目前，造成软硬件方面损坏，防火墙能够利用状态资源控制体系，利用智能TCP代理体系对SYN　Flood进行有效的阻止，利用Net　Flow有效的防范DOS攻击，并通过病毒监测功能和设定防溢出措施等方法来防范攻击。（5）基于P2P体系的网络病毒：在网络P2P传输体系下，方便用户进行资源的快速共享，然而同时也为网络病毒的入侵提供便利。通过P2P信息传输体系带来的病毒，波及面广，可能造成巨大的损失。 　　3　RTC　Web环境下出现的新安全问题 　　当浏览器能够自由的访问用户的本地资源的情况下也可能引发一系列十分严重的问题。在RTC　Web系统中，JS　API授权其他用户自由的访问用户自身的本地媒体文件，在这些文件中一方面包括用户存储的音频和视频资料，另一方面还能够自由的访问本地资源，更具风险的是，涉及到用户档案中十分隐私的加密材料和文件时，往往也无法保证其安全。经过Web浏览器的一些存在风险的应用程序可以毫无限制的连接到互联网中，无形中就使得安装了浏览器浏览互联网用户成为一个新网络环境下的受害者。目前针对控制和管理本地资源访问权限的安全防范手段主要还是依靠隔离以及沙箱技术。借助于系统的自身的安全管理体系（Security　Manager）认真核实用户是否具备访问本地系统资源的权限。在通常