非线编辑网络所处的尴尬.docx
《非线编辑网络所处的尴尬.docx》由会员分享,可在线阅读,更多相关《非线编辑网络所处的尴尬.docx(14页珍藏版)》请在冰豆网上搜索。
非线编辑网络所处的尴尬
非线编辑网络所处的尴尬
[作者:
河南电视台景涛]
随着计算机硬件技术不断发展,计算机性能的提高,新一代非线性编辑系统应运而生。
新的非线设备采用了新的网络技术和体系结构比上一代系统在性能和效率上有了质的变化。
从单机的工作站来讲,由以往的“编辑工作站加专业板卡”的结构转变为“CPU+GPU+I/O通道”的结构方式,这得益于台式机CPU频率和显卡性能的提高。
从网络结构上看,已经由上一代的“光纤网加以太网”的双网结构转变为现今流行的多种网络体系结构。
这一切变化使得当今的非线制作网络能够更加便捷高效的处理各种复杂的编辑工作,是节目制作变得更加容易。
非线网络的优点已经受到用户的普遍认可。
非线性网络编辑系统在各方面技术都有很大的提升,无论是软件方面的,还是硬件方面的。
但是不管它变化有多大,它仍然存在着天生就有的缺陷。
这缺陷与它的优势相比虽然是微不足道的,但是却是致命的,具有一触即发的灾难性的危害。
这个缺陷来源于非线性编辑系统的网络体系结构,总结有三个方面,我们称之为“网络安全的威胁”、“数据库结构不完整性”、“不同厂商及不同系统版本的不兼容性”。
以上的几种缺陷会使如日中天的非线编技术陷入尴尬处境。
谈到这里,我们不禁要问究竟是什么在威胁我们的非线编网络?
是什么导致“数据库结构不完整”?
为什么会存在“不兼容”?
为什么说非线编网络“天生就存在”致命的威胁?
一网络安全问题
网络就意味着共享和交换,畅通的信息通道是系统中最珍贵的资源。
当有病毒入侵时,病毒本身会借助这个资源来为其所用,它会在网络中高速传播。
对于如此网络化的开放系统,一旦出现这种情况,就面临崩溃危机,使整个系统瘫痪。
实际应用中,非线网络中最重要的数据莫过于原始的素材数据,节目编排的“LIST”表,以及控制信息。
这些数据在专储和传输中,都可能被盗用、暴露或篡改。
另外,还存在一个威胁安全的因素,就是“非法操作”。
这里我们将非法操作主要归结为两大类:
第一类,是由操作人员的错误操作所引起。
这往往是因为操作人员对系统本身的不熟悉,或是由于粗心大意,导致素材源的丢失或损坏(如声音文件丢失等)。
这往往是不可逆转的。
有时还会出现这样的情况:
由于不同用户权限设置不合适,某用户会误删他人的节目素材。
第二类,由于计算机病毒的侵入,使得系统效率降低或是程序出错,也会引起系统本身做出“非法操作”。
如出现计划之外的“删除操作”或是数据库系统中数据出现错误等。
无论出现以上任何问题,我们都认为这个网络系统是不安全的。
这种情况时应当避免的。
网络系统的恢复是个非常复杂繁琐的问题,需要众多的专业技术人员来实施,同时还需要很长的修复调试周期。
即使修复后恢复使用,也会造成不可挽回的损失。
“网络安全”可谓重中之重。
目前,硬件技术不断发展,使得便携式计算机也能在非线编辑中发挥作用。
很多厂商也竞相推出自己的移动非线编辑系统。
“移动”,很明显是要在距服务器较远的地点采集数据信息。
我们不可能在采集完之后将数据带回单位的机房中才开始工作,节目数据的远距离传输是摆在面前问题。
那么:
在哪传?
谁来提供网络接口。
网吧还是官方的数据中心?
安全问题怎么办?
版权的归属如何?
怎么传?
采用哪种接入方式。
通过专线还是微波?
带宽能满足么?
费用大概是多少?
要耗时多少?
这些都是设计者和用户亟待解决的问题。
另一方面,网络中的VOD(视频点播)技术日趋成熟。
我们也在开发相应的网络电视、IP电视,涉及电视节目的编码、打包、发送、解码等流程,在经营上要求控制流量、计费和安全认证等功能。
商业运作也要求网络的安全性必须能达到要求。
在安全的同时又要高效、便捷。
这又给我们的设计者增加了不少新要求。
这些需求,都需要非线编网络能接入Internet中,使节目数据能在公共交换设施中安全传输。
同样,网间的安全问题也是不可忽视的。
随着Internet的发展,网络中的安全性问题也日趋严重。
当资源广泛用于政治、军事、经济以及科学各个领域,网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。
公网中计算机网络面临的安全性威胁主要有四类:
截获(interception)、中断(interruption)、篡改(modification)、伪造(fabrication)。
*截获:
当甲通过网络与乙通信时,如果不采取任何保密措施,那么其他人(如丙),就可能偷听到他们的通信内容;
*中断:
当用户在通信时,有意的破坏者可设法中断他们的通信;
*篡改:
甲给乙发了某一报文,报文在转发过程中经过丙,丙将报文篡改后转发给乙;
*伪造:
甲并没有发送消息,丙以甲的身份发报文给乙,并告诉乙“我是合法用户甲”。
其中第一种我们称之为被动攻击,后三种称之为主动攻击。
在被动攻击中,攻击者只是观察通过某一个协议数据单元PDU而不干扰信息流(如在VOD中非法截获并浏览他人点播的信息)。
即使这些数据对攻击者来说是不易理解的,他也可以通过观察PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换的数据的性质。
这种被动攻击又称为通量分析(TrafficAnalysis)。
主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。
如有选择地更改、删除、延迟这些PDU(当然也包括记录和复制它们)。
还可在稍后的时间将以前录下的PDU插入这个连接(即重放攻击)。
甚至还可将合成的或伪造的PDU传送到一个连接中去(如在VOD中冒充合法用户点播信息内容)。
我们的网络必须提供解决的办法。
对于主动攻击,可以采取适当措施加以检测。
但对于被动攻击,通常却是检测不出来的。
根据这些特点,我们定义网络通信安全的目标:
*防止析出报文内容;
*防止信息量分析;
*检测更改报文流;检测拒绝报文服务;
*检测伪造初始化连接。
目前,加密技术很好的解决了被动攻击的威胁。
常用的加密技术如密钥密码体制、链路加密和端到端加密等。
所有的计算机网络安全的内容都与密码技术紧密相关。
如在保密通信中,要用加密算法来对消息进行加密,以对抗可能的窃听;安全协议中的一个重要内容就是要论证协议的安全性取决于加密算法的强度;在存取控制系统的设计中,也要用到加密技术。
不论截取者获得了多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。
在无任何限制的条件下,目前几乎所有实用的密码体制均是可破的。
因此,设计者关心的是要研制出在计算上(而不是在理论上)是不可破的密码体制。
如果一个密码体制中的密码不能被可以使用的计算资源破译,则这一密码体制称为在计算上是安全的。
常规的密钥密码体制有两种最基本密码:
替代密码和置换密码。
随着对密码学研究的深入,原来越多新的理论应运而生,很多大公司和国际标准组织对此作了很多工作。
IBM公司提出了数据加密标准DES,于1977年被美国定为联邦信息标准后,ISO也将之定为国际标准。
在DES之后,最著名的就是国际数据加密算法IDEA(InternationalDataEncryptionAlgorithm)。
IDEA使用128bit密钥,因而更加不易被攻破。
这些成果的取得使得我们在公共网络中安全传送素材数据得以实现。
对于VOD和IP电视的功能需求,加密技术能够很好的满足我们的安全需求。
经过加密技术处理后的数据,即使被非法的用户截获,对他来说也是完全没有任何意义的。
对于被动攻击可采用各种数据加密技术,而对付主动攻击,则需将加密技术与适当的鉴别技术相结合。
加密技术实现了对被动攻击的安全保护。
但是加密技术本身却不能防止主动攻击带来的安全隐患。
例如某个合法用户(或是非法用户)不断的发送无意义的请求(或是有意义的重复的请求),系统必须做出应答,如果这种应答次数数量巨大,同样会造成信息通道的不畅。
这时,我们就需要在系统中添加安全认证机制和简单的智能分析功能,对用户的合法性做出判断,并对大量的请求进行分析,筛选出合法的有意义的请求。
数字签名和报文鉴别(messageauthentication)是解决主动攻击中篡改和伪造行之有效的方法。
数字签名必须保证以下三点:
*接收者能够核实发送者对报文的签名;
*发送者事后不能抵赖对报文的签名;
*接收者不能伪造对报文的签名。
现在已有很多种实现各种数字签名的方法。
其中采用公开密钥算法要比采用常规密钥算法更容易实现。
发送者A用其秘密解密密钥SKA对报文进行运算,将结果DSKA(X)传送给接收者B。
B用已知的A的公开加密密钥得出EPKA(DSKA(X))=X。
因为除A外没有别人能具有A的解密密钥SKA,所以除A外没有人能产生密文DSKA(X)。
这样,报文X就被签名了。
如图1。
如果A要抵赖曾发送报文给B,B可以将X及DSKA(X)出示给第三者。
第三者很容易用PKA去证实A确实发送消息X给B。
反之,若B将X伪造成X’,则B不能在第三者前出示DSKA(X’)。
这样就证明了B伪造了报文。
可见实现数字签名也同时实现了对报文的来源鉴别。
报文鉴别就是一种过程,它使得通信的接收方能够验证所受到的报文(发送者和报文内容、发送时间、序列等)的真伪。
使用传统的加密方法就可达到报文鉴别的目的。
如果能确信只有报文的发送者和接收者才知道所用的加密密钥,那么可以推断,只有发送者才能制作此秘密报文。
若报文内容还包括时间戳和序号,这就可以用来鉴别这一报文。
所以,必须在系统中加入数字签名和报文鉴别,才能说从真正意义提高这个系统在公共网络中的安全性。
而我们目前所能见到的非线编辑系统中,很少有厂商对这方面做出宣传或实施。
另外,还要对存取进行控制。
存取控制(accesscontrol)也叫做访问控制。
必须对接入网络的权限加以控制,并规定每个用户的接入权限。
由于网络是个非常复杂的系统,其存取控制机制比操作系统的存取控制机制更复杂(尽管网络的存取控制机制是建立在操作系统的访问控制机制之上),尤其在高安全性级别的多级安全型(multilevelsecurity)情况下更是如此。
“网络安全”如此重要,在非线编系统设计时是否需要考虑呢?
答案是肯定的。
那么我们为什么还要说“网络安全的威胁”仍然存在呢?
原因就在于目前我们能见到的国内几家非线编辑系统的厂商所推出的产品的健壮性都不是十分令人满意,在系统设计上存在安全隐患。
简单举例来说,系统只能在孤立的网络环境中使用,如果直接连入其他网络中,任何不安全因素都是致命打击,即是说系统本身不能防毒抗毒或是抵抗入侵。
如果勉强要连接,必须通过专门的主机作为防火墙网关来连接,但即使这样,也不能完全保证安全。
文稿采集很难做到互联互通,一般也是单独设置文稿工作站来实现该功能。
至于说直接在Internet上共享资源更是无法实现。
是这些厂商的程序设计者考虑不周么?
不!
“网络安全”确实在这些人的考虑之内。
但是网内的“网络安全”却不是他们关心的重点。
在目前的硬件环境下,“CPU+GPU+I/O通道”的结构方式,专业的视频处理还是非常消耗硬件资源的。
对于标清的播出信号处理,即使发挥最高的性能,也仅仅是“够用”而已。
至于高清信号,也算是能“勉强”度日。
在这种情况下,任何多余的系统资源开销在设计者看来都是不必要的,甚至是极其厌恶的。
但是目前市面上流行的任何一款涉及“安全控制”的软件,对系统资源的消耗都是不菲的。
如果要针对为电视制作开发的非线系统专门开发“安全控制”的软件,时间与资金的投入会让人踌躇不前。
另一方面,信息交换需要渠道通畅。
对于电视制作,海量的信息交换占用全部的通信带宽,解决的办法就是光纤通道。
虽然目前的光线网和千兆以太网已经可以满足当前的部分需求,但是对于即将开始的高清技术的竞争,带宽无疑又是设计师面临的巨大瓶颈。
这种情况下程序设计者一心追求的就是“道路的通畅”,而设置“安全控制”的行动犹如在本身已经很窄的道路上又添加了“绊马索”,常常会造成“道路不通畅”(当然,既安全又高效的理想的完美设计是我们想要达到的目标,但由于国外厂商的技术封锁等种种原因,使设计师往往不能充分发挥自己的才能)。
为了提高性能,只能在安全性上缩水。
种种现实情况,造成了目前实际应用中的非线编辑网络仍然受到的“网络安全的威胁”。
二数据库结构不完整
在非线编辑系统中,数据库显然是整个系统的核心。
它就像一本账本,记录了所有设备的使用情况、历史记录、用户信息、系统状态……任何操作都离不开数据库应用。
现在的非线编基本上都在网络环境中工作,很少会有电视台只采用单机工作的模式。
“网络”就意味着多个用户同时对某一共享资源同时进行使用或修改。
多个用户同时对同一数据库进行读写工作,当系统的同步措施和安全机制出现问题时,就会产生数据不一致性错误。
就以我台目前使用的某厂商的产品举例来说,在实际使用过程中,数据库数据经常会出现不一致性错误。
为了便于管理,系统设计者要对节目素材的数据量进行统计,这包括总量和每个用户的数据量,统计的结果会记录在数据库相应的数据表中。
当各个用户在自己的空间大小范围内上载素材时,系统允许上载;一旦某个用户所用的数据空间超出了预先分配给他的空间总量,系统便拒绝任何上载操作。
但是实际应用中发现,经常发生用户实际所用数据空间早已经大大超出了预定值,然而数据库中却记录了错误的信息,该用户仍然可以上载数据;或是出现相反的情况,用户已经自己删除了所有数据,系统仍然拒绝该用户上载,原因是“空间已满”。
数据库,顾名思义,是存放数据的仓库。
只不过这个仓库是在计算机存储设备上,而前数据是按一定的格式存放的。
人们收集并抽取一个应用所需的大量数据之后,应将其保存起来以供下一步加工处理,进一步抽取有用的信息。
它是长期储存在计算机内的、有组织的、可共享的数据集合。
数据库中的数据按一定的数据模型组织、描述和储存,具有较小的冗余度、较高的数据独立性和易扩展性,并可为各种用户共享。
数据的处理是指对各种数据进行收集、存储、加工和传播的一系列活动的总合。
数据管理则是指对数据进行分类、组织、编码、存储、检索和维护,它使数据处理的中心问题。
目前非线编辑系统数据库中采用的多是关系模型,关系模型的完整性规则是对关系的约束条件。
只有符合这种完整性规则的数据库才能说它的结构是比较安全的。
关系模型中可以有三类完整性约束:
实体完整性、参照完整性和用户定义完整性。
其中实体完整性和参照完整性是关系模型必须满足的完整性约束条件,被称作是关系的两个不变性。
简单解释即是:
*实体完整性:
数据表的主键(primarykey)不为空;
*参照完整性:
外键(foreignkey)应取主键的值或空值;
*用户定义完整性:
系统应对数据库中的值的范围进行校验。
为了减少数据库中的数据冗余,设计数据库时应规范化。
规范化的直接目的就是为了减少插入异常和删除异常(这些异常导致数据库在使用中出现各种错误)。
通常按属性间依赖情况来区分关系规范化的程度为第一范式、第二范式、第三范式和第四范式等。
数据依赖是通过一个关系中属性间值的相等与否体现出来的数据间的相互关系。
最主要的是函数依赖(FunctionalDependency)和多值依赖(Multi-valuedDependency,简称MVD)。
关系数据库中的关系是要满足一定要求的,满足不同程度要求的为不同范式。
满足最低要求的叫第一范式,简称1NF。
从范式来讲,主要是E.F.Codd做的工作,1971年~1972年他系统地提出了1NF,2NF,3NF的概念,讨论了规范化的问题。
1974年,Codd和Boyce又共同提出了一个新范式,即BCNF。
1976年Fagin又提出了4NF。
后来又有人提出了5NF。
建立一个结构合理的数据库是第一部,接下来很重要的工作就是合理安排对数据库的操作程序。
当系统运行时出现错误需要恢复数据时,又引出一个新的问题,即数据库恢复技术。
尽管数据库系统中采取了各种保护措施来防止数据库的安全性和完整性被破坏,保证并发事务的正确执行,但是计算机系统中硬件的故障、软件的错误、操作员的失误以及恶意的破坏仍是不可避免的,这些故障轻则造成运行事务非正常中断,影响数据库中的数据的正确性,重则破坏数据库,使数据库中全部或部分数据丢失,因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整状态)的功能,这就是数据库的恢复。
恢复子系统是数据库管理系统的一个重要组成部分,而且还相当庞大,常常占整个系统代码的百分之十以上。
数据库系统所采用的恢复技术是否行之有效,不仅对系统的可靠程度起着决定性作用,而且对系统的运行效率也有很大影响,是衡量系统性能高低的重要指标。
那么是什么引起故障呢?
总结有几类:
事务内部的故障,一般指事务没有达到预期的终点,在正常终止前被中断;系统故障,例如系统错误、停电等引起的错误;介质故障,如硬盘损坏;计算机病毒。
恢复机制涉及的两个关键问题是:
如何建立冗余数据;如何利用这些冗余数据实施数据库恢复。
建立冗余数据最常用的技术是数据传储和登录日志文件。
数据传储即管理员定期对数据库进行备份;日志文件是用来记录事务对数据库的更新操作的文件。
不同数据库系统采用的日志文件格式并不完全一样。
为保证数据库是可恢复的,登记日志文件时必须遵循两条原则:
*登记的次序严格按并发事务执行的时间次序;
*必须先写日志文件,后写数据库。
当出现错误后,系统的恢复步骤是:
*反向扫描文件日志(即从最后向前扫描日志文件),查找该事务的更新操作;
*对该事务的更新操作执行逆操作。
即将日志记录中“更新前的值”写入数据库。
这样,如果记录中是插入操作,则相当于做删除操作(因此时“更新前的值”为空);若记录中是删除操作,则做插入操作;若是修改操作,则相当于用修改前值代替修改后值;
*继续发向扫描日志文件,查找该事务的其他更新操作,并作同样处理;
*如此处理下去,直至读到此事务的开始标记,事务故障恢复完成。
为了尽量减少错误的发生,要在系统设计时做好同步机制、并发控制机制。
数据库是一个共享资源,可以供多个用户使用。
当多个用户并发地存取数据库时就会产生多个事务同时存取统一数据的情况。
若对并发操作不加控制就可能会存取和储存不正确的数据,破坏数据库的一致性。
并发操作带来的数据不一致性包括三类:
丢失修改(LostUpdate)、不可重复读(Non-RepeatableRead)和读“脏”数据(DirtyRead)。
这三类数据不一致性的主要原因是并发操作破坏了事务的隔离性。
并发控制就是要用正确的方式调度并发操作,是一个用户事务的执行不是其他事务的干扰,从而避免造成数据的不一致性。
目前国内市场上众多厂商推出的非线编辑系统在数据库设计上并没有一个统一的标准,即便是同一厂商不同时期推出的产品也没有一个统一标准。
同一品牌的新系统对交早版本的数据库也完全不兼容,甚至所用的数据库系统开发工具都不一样,所以在每个版本中都会对数据库结构重新进行调整。
当然,结构的调整并不是随意的,这种调整是对整个系统的不断优化。
但是由于缺乏统一的设计思想,不同时期开发人员的变动也很大,所以数据库结构不断无序地被改变,设计随意性较大,总会出现这样那样的不尽如人意的地方,甚至是BUG。
某个具体系统的开发过程中,厂商往往是针对大客户的需求来进行开发。
最终用户过多地参与,在这期间他们出于各种需要,往往在开发的过程中临时提出新的修改方案。
(殊不知数据库结构的任意调整是数据库设计中的大忌,一般来说数据库结构一旦确定就不能再更改,要么就重做。
)但出于工期、资金等因素的考虑,很多设计者又不愿意重做,就只能在原有基础上多次修改。
于是本来就不那么严谨的结构变得千疮百孔,补丁叠着补丁,试想如此的结构怎能保证不出问题。
另一方面,很多厂商开发的产品完成度不佳。
什么意思呢?
对于一个成熟的产品,不单要求整个系统有完整的结构,而且要求这个系统在安装、调试、运行以及修复等方面能做到自动化设置,并且结构严谨。
目前各个厂商所开发的产品在安装过程中不能做到无人值守,往往需要开发人员作现场调试,才能安装使用。
安装后又要作大量专业化设置,如修改注册表、建立数据源、作磁盘映射、设置数据库路径、安装补丁等等。
其实这些工作本应由安装程序自动完成,可是由于产品开发时所遗留各种问题,且整个系统不完备,造成很多收尾工作无法完成。
很多产品没有自动检测功能,当系统出现错误时,无法自动检测出故障原因,系统很难及时恢复。
如果由于软件问题出了错误,用户很难及时纠正,这时必须由系统开发人员对问题进行分析。
由于系统不完整,并使得系统整体的稳定性比较差,经常会因为一个小问题而引起系统崩溃。
例如,很多厂商对开发的产品都作了硬件冗余,即对重要部件作热备份,来提高系统稳定性和安全性。
但是由于系统健壮性不够,冗余本身也增加了安全隐患。
例如某些产品对主域服务器作双机备份,可是这两个服务器却不能相互协调工作,或者说系统不能自动做出正确的判断,偶尔以错误顺序开启服务器时,系统就会出现“无法确认主域服务器”的错误。
当然,很多设计者会说本来就告诉你不能以错误顺序开机,出现这种错误属操作不当。
这绝对是一种推卸责任的说辞,一个完备的系统本来就应当对错误操作进行提示或修正。
实际的应用环境其实是很复杂的,或者说是很苛刻的,成熟的系统必须能经得起各种严酷环境的考验,乃至人为的一些不当操作。
很多软件产品在出厂前都需要经历各种严格的测试,不断提高系统对苛刻环境适应性,保证系统正常运转。
以用户“操作不当”为说辞,是不能接受的。
三不同厂商及不同系统版本的不兼容性
其实前面已经提到了,在非线性编辑系统相关行业中,由于国内没有权威的部门制定相关标准,业界也没有一个由多家厂商统一支持的标准,于是出现了百家争鸣的现状。
不论是素材文件格式还是编辑列表结构都没有一个统一标准,不同厂商间的文件交换便成了一个解不开的结。
出于对知识产权的保护,任何一个厂商都不愿轻易公开自己所开发的系统采用的文件结构和格式,无序的竞争使得大家很难坐下来一起合作。
用了我的产品,就别想再换其他厂商的产品。
如果在其他产品上作的半成品想在我的产品上继续使用,回答只有五个字:
对不起,不行。
这种在产品开发上的随意性也和各大厂商
升级会员 