Netflix安全通信的新型方案——消息安全层

2014-11-14

近期，为了改善之前流媒体传输、通信过程中的诸多安全问题，Netflix公司提出了消息安全层（Message Security Layer，简称MSL）的概念。作为1997年在美国成立的视频租赁公司，Netflix主要为美国和加拿大的用户提供流媒体播放服务和电视、电影的在线出租业务。经过数十年的发展，Netflix已经发展成为全球领先的在线流媒体服务公司。目前，Netflix在美国的订阅人数就已经超过3300万，季度营业额达到十几亿美元。

为了能够为千万订阅者提供服务，Netflix利用庞大的快递体系和互联网系统形成了自己的解决方案。尤其在目前十分火热的流媒体部分，大量的设备来为在线观看视频提供提供支撑。然而，这些基于不同硬件和软件的设备在传输用户信息、视频信息等的时候，如何保证信息的安全性是Netflix公司一直在关注的问题。

最初，Netflix通过结合HTTPS和NTBA安全机制这两种方式来保证消息传递过程中的安全。这种方法在前期起到了很好的作用，但是随着互联网相关技术的发展，该方法越来越不能满足当前服务对安全的要求。据Netflix的安全工程师Wesley Miaw 和 Mitch Zollinger分析，HTTPS在安全方面的问题可以分为四个方面。

首先，HTTPS最大的问题在于其所采用的PKI架构。作为HTTP协议的安全版本，HTTPS通过安全套接字层（SSL）进行信息交换。在HTTPS的使用过程中，需要牵涉到RC4流加密算法以及数字认证。这其中就需要大量的证书来对服务器等进行证明。而服务器的证书在废除、重新启用等方面就容易引起大量的问题。之前，Netflix已经尝试利用CRL和OCSP等来解决这些问题。然而，仍然频繁有安全漏洞出现，消息传递的效率也受到影响。其次，影响HTTPS安全性的是其对时间精度的严格要求。对于使用X.509数字认证的HTTPS，如果时间不能明确保证，就不能对链接的安全性进行有效验证。然而，大量的设备现在都没有精确的时间，无法完成该任务。再次，HTTPS本身在设计过程中就存在一定的安全隐患。其中包括填充攻击以及先MAC后加密的工作方式等，都使得HTTPS本身的设计不完美。最后，HTTPS不能很好的支持新的特性和行为。为了能够对某些设备的特性和行为进行支持，需要修改SSL/TLS的协议栈，从而会引起大量的问题。

为了能够彻底解决这些问题，Netflix提出了消息安全层的概念。这一概念的提出主要遵循了跨语言、自动错误恢复、高性能、灵活、可扩展以及标准可兼容等设计思路。消息安全层具备完全性保护、加密、认证、同一消息不可重复传输、可信的服务网络、点到点等基本安全特征。相比于HTTPS，MSL有着明显的优点。首先，MSL采用了plug-in结构，使得不同的认证机制、密钥协议等等都可以被集成到MSL中。此外，时间无关性和服务环都能够很好增强其安全性。

在MSL协议中，一个典型的MSL消息包含消息头和负载数据包两个部分。消息头用来建立和维护安全链接，负载数据包承载着需要传输的内容。一旦建立起安全链接，数据就可以进行稳定传输。（而且，在初始链路建立过程中，一旦认证过程完成，以后的消息都可以直接使用已经获得的会话密钥来进行。）在错误处理方面，接收端感知到错误后会返回错误信息，发送端通过对相关信息进行认证完成会话恢复工作。

目前，读者可以在GitHub的Message Security Layer repository中看到相关的资料。其中，包括了对MSL的介绍、使用指南以及利用Java和JavaScript语言实现的MSL协议栈