9 Multimediální přenosy a kolaborativní prostředí
Aktivita Multimediální přenosy a kolaborativní prostředí se zabývá vývojem technologií a jejich provozem, jakož i diseminací znalostí o kolaborativních prostředích, pro jejichž implementaci lze efektivně využít vysokorychlostní síťovou infrastrukturu. Aktivita zahrnuje velmi širokou paletu činností od produkčních služeb nad sítí CESNET2, jako jsou například provoz IP telefonie, videokonferencí a audio-video streamovací služby, přes aktivity hraniční, kam lze zařadit například indexaci a vyhledávání v multimediálních datech, až po výzkumné úkoly, mezi něž patří například integrace konceptu služeb bandwidth-on-demand do samoorganizujících se kolaborativních prostředí, obrana proti SPITu v IP telefonii a vliv zabezpečení na kvalitu hovoru. I v letošním roce se aktivita opět podílela na řadě technologických demonstrací.
9.1 Bezpečnostní rizika v IP telefonii
V letošním roce jsme se věnovali především aktuálnímu tématu bezpečnosti. Provedli jsme klasifikaci útoků, které jsme rozdělili do čtyř hlavních oblastí a k jednotlivým hrozbám jsme uvedli i způsob obrany [VoŘ09b]. Dosud největší finanční újma způsobená VoIP útokem v ČR dosáhla částky 2,6 mil. Kč. V celosvětovém měřítku byla zaznamenána v USA, kde 23letý útočník způsobil poskytovatelům v New Jersey škodu 4,5 mil. USD. Po provedené analýze útoků jsme se zaměřili na potenciální hrozbu budoucnosti, kterou vidíme v útocích typu SPIT (Spam over IP Telephony).
Se spamem se setkává denně každý z nás a představuje nejrozšířenější internetový útok. Úroveň obtěžování na jednotku zprávy je však u telefonního spamu vyšší. Zatímco nevyžádaný email jednoduše smažeme když máme čas, vyzvánění má mnohem větší a především okamžitý rušivý efekt. S rozšiřováním VoIP technologie a snižováním nákladů na volání se zvyšuje pravděpodobnost, že SPIT ve střednědobém horizontu již nebude potenciální hrozbou, ale tvrdou realitou, se kterou se budeme každodenně setkávat. Přístup ke SPIT útokům musí být odlišný již z podstaty, neboť se jedná o komunikaci v reálném čase a analýza obsahu je stěží aplikovatelná. Provedli jsme popis současných možných způsobů obrany proti SPIT a navrhli způsob obrany založený na statistickém blacklistu. Ten je postaven na předpokladu, že volaný se aktivně nepodílí na tvorbě blacklistu, ale samotný komunikační systém s vysokou pravděpodobností sám odhalí SPIT útočníka a znemožní mu další provádění útoku.
![[Obrázek]](menuspitfile.png)
Nejprve jsme se zabývali otázkou, jak by mohl vypadat samotný SPIT útok, a realizovali jsme vlastní vývoj volacího automatu, který jsme nazvali SPITFILE. Tento nástroj byl vyvinut v jazyce Phyton v linuxovém prostředí, později portován i do Windows. Při vývoji jsme využili open-source SIP generátor Sipp. Na obrázku 9.1 najdete uživatelské menu SPITFILE.
Nástroj umožňuje dva režimy: Direct a Proxy. Druhý režim umožňuje volání přes SIP proxy, útok tudíž může být veden na jakýkoliv dostupný telefon (pevná linka, mobil). Do SPITFILE je vložena hlasová zpráva, např. reklama, zadáno cílové telefonní číslo a další parametry útoku, automat provádí opakovaně volání na cílové číslo a přehrává záznam. SPITFILE byl při testech odzkoušen s několika komunikačními systémy (Asterisk, sipX, Siemens HiPath 4000).
Ve druhém pololetí jsme se zaměřili na vývoj obrany. Přinesli jsme vlastní návrh, který je založen na analýze záznamů CDR (Call Detail Record), generovaných obecně jakýmkoliv komunikačním systémem ke každému volání. Podezřelá volání jsou zařazena do tabulky podezřelých volání a ohodnocena (rating). Recidivita chování volajícího zvyšuje rating a implikuje přesun do blacklistu. Volajícím v blacklistu je zamezeno volání, a to na určitou dobu, která je volena progresivně při opakovaném přesunu záznamu na blacklist, viz obrázek 9.2.
![[Obrázek]](xl-antispitimpl.png)
Pro praktickou realizaci návrhu jsme použili open-source IP pobočkovou ústřednu Asterisk. Vyvinuli jsme aplikaci AntiSPIT, která bez aktivní participace oběti útoku odhaluje SPIT útočníky a komunikační systém další jejich požadavky na spojení odmítá. Výstup naší práce je volně ke stažení pod GPL licencí jako součást webových stránek aktivity. Rovněž registrujeme zájem o AntiSPIT i mimo členy sdružení CESNET. Naši práci jsme průběžně publikovali během řešení úkolu – [VŘR09], [VoŘ09f], [VoŘ09d] a [VoŘ09c].
Kromě aplikační bezpečnosti, je vhodné prostředí IP telefonie doplnit i o další bezpečnostní prvky, například v síťové oblasti, které omezí možnost útoku na příslušnou infrastrukturu. Naše praktické zkušenosti ověřované v reálném nasazení jsme shrnuli v technické zprávě [Pet09].
9.2 Kvalita řeči v IP telefonii a zabezpečení IPsec
Navázali jsme na práci z minulého roku [Voz09a], která se zabývala možným dopadem síťového zabezpečení na kvalitu řeči v IP. V minulém roce jsme ukázali metodiku stanovení kvality hovoru na základě znalosti ztrát a zpoždění v přenosovém řetězci a navrhli jsme vztahy pro výpočet nároků pásma v různých prostředích. Matematický model výpočtu jsme aplikovali na prostředí se zabezpečením TLS s použitím blokového šifrovacího schématu CBC a provedli experimenty s OpenVPN. V letošním roce jsme potvrdili platnost navržené metodiky výpočtu, a to jednak pro zabezpečení SRTP dle RFC 3711, které pro šifrování používá AES v čítačovém režimu CTR, a jednak pro IPsec. Ukázali jsme použití navržené metodiky pro IPsec a experimentálně ověřili výsledky v open-source řešení OpenSwan. Síťové nároky RTP toků v prostředí s IPsec zabezpečením mohou být až dvojnásobné oproti nešifrované komunikaci, což je nutné zohlednit již při návrhu implementace VoIP, kdy se obvykle počítá s logickým rozdělením sítě a s alokací síťových prostředků.
![[Obrázek]](xl-simplifiedemodel.png)
Dalším výstupem v letošním roce je stanovení regresní funkce pro výpočet faktoru zhoršení Id a softwarová implementace modifikovaného E-modelu v jazyce Java. Aplikace (obrázek 9.3) umožňuje nejen výpočet predikované kvality řeči při znalosti zpoždění, ztrátovosti a typu kodeků na trase, ale i vykreslení průběhu závislosti kvality na zpoždění či ztrátovosti. Výsledky práce byly průběžně publikovány v [Voz09b], [Voz09c], [PuV09] a nakonec shrnuty v technické zprávě [VoŘ09a].
9.3 Signalizační infrastruktury na H.323 a SIP a jejich služby
Kromě uvedených výzkumných úkolů se věnujeme i provozu a rozvoji služeb nad standardy H.323 a SIP. Provoz a další rozvoj služeb zpětně přináší nové problémy k řešení a umožňuje nám ověřovat výsledky výzkumu zpět v praxi.
Základní infrastruktura pro synchronní přenos hlasu, videa a obsahu je postavena na standardizovaných komunikačních protokolech SIP a H.323. Užití standardizovaných protokolů umožňuje širokou interoperabilitu na mezinárodní úrovni, což je jeden z klíčových parametrů otevřené služby, kterou naše komunita uživatelů potřebuje.
Provozujeme sestavu gatekeeperů (řídicích prvků H.323 infrastruktury) a SIP proxy (řídicích prvků SIP infrastruktury), která umožňuje projení nejen mezi institucemi, ale i s okolím, například prostřednictvím GDS (Global Dialing Scheme). GDS je hojně využíváno v akademické komunitě nejen v Evropě, ale i ve světě. V rámci integrace s okolními sítěmi jsme zřídili propojení na EVO phone bridge v CERNu, což umožňuje uživatelům napojit se do konferencí pořádaných v tomto sytému.
Kromě bran připojujících ústředny institucí jsou součástí sítě i prvky umožňující vícebodové propojování (MCU) ve virtuálních jednacích místnostech pro několik spolupracujících týmů zároveň. MCU jednotka poskytuje kapacitu pro spojení až třiceti současných klientů při rozlišení 1280×720 obrazových bodů. Díky zapojení do GDS jsme schopni hostovat schůzky i mezinárodních projektů a poskytnout jim tak podporu na odpovídající úrovni. Těší nás také vzrůstající počet videokonferenčních jednotek instalovaných institucemi a integrovaných do našeho systému. V současné době evidujeme čtyřicet hardwarových jednotek.
Doplňkem k infrastruktuře IP telefonie a videokonferenčních služeb je systém pro spolupráci v reálném čase ve webovém prostředí. Tyto systémy umožňují kromě kvalitativně omezené obrazové a zvukové komunikace zejména sdílení dokumentů, aplikací i celé pracovní plochy. Jejich hlavní výhodou je, že nevyžadují specializovaný klientský software, neboť obvykle využívají v prohlížeči nainstalovaný Flash nebo Javu. Jedním z těchto systémů je Adobe Connect Pro. Připravili jsme pro týmy možnost v ověřovacím režimu využívat virtuální místnosti na serveru umístěném v naší síti. Zároveň jsme vyvinuli rozšíření [Nov09], jehož pomocí je systém integrován do prostředí federativní autentizace eduID.cz.
Nadále se věnujeme modelovým případům nasazení a rozvoji dalších aplikací pro IP telefonii. V rámci snahy o větší rozšíření IP telefonie se věnujeme také možnostem jednoduché konfigurace klientů. Proto jsme sestavili aplikaci pro konfiguraci modelů vybavených OS Symbian. Pokrok v těchto oblastech jsme například prezentovali na pravidelném semináři aktivity.
9.4 Ovládání end-to-end okruhů jako součást samoorganizujících se prostředí pro spolupráci
V návaznosti na demonstraci využití alokovatelných okruhů Internet2 DCN a AutoBAHN v roce 2008 jsme se zaměřili na začlenění těchto služeb do prostředí pro spolupráci založených na multimediálních službách. Navázali jsme na CoUniverse framework [LiH09] vyvíjený na Masarykově univerzitě a rozšířili jej o koncept alokovatelných síťových okruhů. CoUniverse umožňuje dynamickou orchestraci kolaborativních prostředí, která pracují s datovými toky srovnatelnými s kapacitou síťových propojení. Z tohoto důvodu zahrnuje sofistikovaný plánovací systém umožňující přiřazovat datové toky na jednotlivé síťové linky. Plánovač byl rozšířen o koncept lambda spojů, na něž mohou být datové toky plánovány i v okamžiku, kdy jsou ještě neaktivní. Teprve v okamžiku, kdy je datový tok na spoj skutečně přiřazen, je vygenerován požadavek na alokaci okruhu. Následně je takový spoj specifickým způsobem začleněn do monitoringu, aby bylo možno zjišťovat změny, které mohou mít vliv na provoz konfigurace vybudované dle požadavků uživatelů, a na případné změny reagovat hledáním nové konfigurace.
Praktická implementace systému byla provedena pomocí rozhraní OSCARS ke službě Internet2 DCN, která je v současné době jednou z nejpokročilejších služeb typu bandwidth-on-demand z hlediska implementace a praktického nasazení. Na základě této implementace proběhly v roce 2009 dvě demonstrace ve spolupráci se sdružením Internet2. První byla technologická demonstrace na Internet2 Winter Joint Tech Meeting, kde byla pomocí CoUniverse dynamicky řízena alokace okruhu umožňující propojení Masarykovy univerzity a Texas A&M University a pracovníci z těchto univerzit mohli spolupracovat pomocí platformy UltraGrid. Síťové schéma této demonstrace je zobrazeno na obrázku 9.4.
![[Obrázek]](xl-cs-jt-winter09-dcndemo-v7_1-network-view.png)
Obrázek 9.4: Síťové schéma dynamicky alokovaných okruhů pro po demonstraci CoUniverse na Internet2 Joint Tech Meeting (větší obrázek)
Druhá demonstrace pak předváděla možnosti vytváření okruhů pro vysoce kvalitní obrazovou komunikaci lékařských týmů pomocí privátních kanálů mezi National Library of Medicine (součást National Institute of Health), Memorial Hermann Texas Medical Center a Internet2 Spring Member Meeting. Pro druhou demonstraci pak byla platforma CoUniverse rozšířena o ovládání H.323 videokonferenčních zařízení Polycom, což umožnilo kombinovat vysoce kvalitní přenos obrazové informace pomocí platformy UltraGrid a běžných videokonferenčních nástrojů, ovšem provozovaných na alokovaných sítích. I pro tyto běžné nástroje pak CoUniverse umožňuje zásadním způsobem zjednodušit přístup uživatelů k využívání pokročilých síťových služeb: místo složité ruční alokace okruhů a konfigurace zařízení tyto funkce zastane framework CoUniverse, z uživatelského pohledu prakticky na jediné kliknutí myši. Tyto technologie zpřístupňují kvalitní kolaborativní nástroje v prostředí zdravotnických institucí s požadavky na privátnost přenášených dat, kde je běžné používání videokonferencí po veřejné síti neakceptovatelné.
9.5 Rozvoj platformy UltraGrid
V letošním roce také doznala dalšího postupného rozšíření platforma UltraGrid. Jednalo se zejména o podporu levných karet pro záchyt nekomprimovaného HD videa (v ceně pod 5 000 Kč) zásadním způsobem snižující náklady na straně uživatelů a integraci nekomprimovaného až osmikanálového audia [LBH09b]. Do UltraGridu byla začleněna podpora kompatibility se systémem iHDTV a iVisto [LBH09a], čímž je zajištěna interoperabilita všech majoritních systémů pro nízkolatenční přenosy HD videa ve vysokorychlostních sítích. Pro náročné uživatele z kinematografické komunity byla doplněna podpora 2K videa se vzorkováním 4:4:4, která sloužila mimo jiné jako záložní řešení pro níže uvedenou demonstraci CineGrid.
9.6 Multimediální vyhledávač
V rámci vývoje vyhledávače multimediálních souborů jsme pracovali na dvou tématech. Prvním z nich je pokročilejší virtualizace systému destilátor, který získává metadata z multimediálních souborů tak, aby byla připravena k nasazení do prostředí OS Linux (pro předpokládané nasazení mimo počítačové učebny). Podařilo se nám vytvořit funkční obraz destilačního počítače s pomocí virtualizačního nástroje VirtualBox, který jsme postupně nasadili do prostředí web crawlerů, což zefektivnilo jejich využití.
Druhou oblastí byla integrace rozpoznávání textu v obrázcích (OCR). Vzhledem k výpočetní náročnosti nasazení OCR do prostředí videa a prostředí velmi vhodnému k paralelizaci jsme se rozhodli realizovat distribuci práce pomocí masivně paralelního prostředí BOINC. Ke konci roku 2009 máme k dispozici funkční OCR knihovnu a BOINC server a pracujeme na integraci, jejíž úspěšné završení předpokládáme v prvním čtvrtletí roku 2010.
9.7 CineGrid
V rámci aktivit organizace CineGrid jsme vybudovali pražský uzel sítě CineGrid Exchange. Jedná se o úložný prostor, který je řízen pravidlově orientovaným prostředím iRODS, propojeným do virtuální vysokorychlostní sítě postavené nad infrastrukturou GLIF. Uzel sdílí společnou datovou základnu a základnu pravidel s ostatními uzly (ke konci roku 2009 – San Diego, Tokio a Amsterdam). Naše role spočívala jednak v integraci systému s naším hardwarem (diskové pole se 48 TB neformátované diskové kapacity) a síťovým prostředím (10 Gb/s Ethernet) a jednak v účasti na definici formálních pravidel fungování systému iRODS.
Druhým úkolem bylo – ve spolupráci s aktivitami Optické sítě a Sledování a optimalizace výkonnostních charakteristik a společností Cinepost – provedení demonstrace na CineGrid's 4th Annual Workshop, konané na University of California San Diego v La Jolla v prosinci 2009. Cílem demonstrace bylo předvedení možností využití vysokorychlostních počítačových sítí pro účely filmové postprodukce, konkrétně procesu barevné korekce (color grading). Pro barevné korekce je nutné použít nekomprimovaný přenos barevné informace, neboť jde o interaktivní proces, který je citlivý na zpoždění (jež každá komprese nutně přináší) a zároveň požaduje maximální možnou kvalitu obrazu (kterou většina kompresních algoritmů degraduje).
Pro účely demonstrace jsme využili 10 Gb/s okruhy do kampusu filmových studií Barrandov a do Chicaga a následně infrastrukturu výzkumných sítí a propojovacích bodů v USA (StarLight, C-Wave, Pacific NorthWestern GigaPop, C-Wave a OptIPuter).
Při demonstraci jsme využili hardwarového zařízení MVTP-4k pro přenos nekomprimovaného HD-SDI signálu 4K videa (rozlišení 4096×2160) se vzorkováním 4:2:2 po IP, vyvinuté výzkumnou aktivitou Sledování a optimalizace výkonnostních charakteristik. Jako záložní řešení (pro případ selhání prototypu nebo jeho poškození při transportu do USA) jsme otestovali a v průběhu demonstrace měli průběžně připravenu výše uvedenou implementaci platformy UltraGrid 2K 4:4:4.
Demonstrace proběhla úspěšně, během ní jsme přenášeli homogenní datový tok o kapacitě přesahující 5 Gb/s.
9.8 Audio streamování
Pro potřeby bezeztrátové distribuce vysoce kvalitního audia v IP sítích jsme navrhli a realizovali univerzální transkodér, který je schopen v reálném čase převádět vstupní zvukový stream v bezztrátovém kompresním kódování FLAC do jiných formátů a poskytovat je streamovacím serverům nebo koncovým klientům. Systém má otevřenou modulární architekturu, takže jeho jednotlivé komponenty lze kombinovat i nahrazovat jinými. To je výhodou zejména u producentů výstupních streamů, kde není svázán s jednou konkrétní aplikací kodéru, ale obecně může používat řadu programů, které dokáží výstupní stream požadovaných parametrů generovat. Transkodér je založen výhradně na open-source technologiích.
![[Obrázek]](xl-schema1.png)
Na základě zkušeností s různými streamovacími systémy pro distribuci audia jsme vytvořili prototypové řešení streamovacího systému, který odpovídá potřebám studentských rádií (typicky v prostředí žurnalistických oborů na univerzitách v ČR) pro vysílání jejich programu po síti. Navržený systém umožňuje vysílat zvukové záznamy z diskového archivu, záznamy z běžných CD disků, živé vstupy z mikrofonů a obecně výstupy z jakéhokoliv zvukového zařízení připojeného k počítači. Výstupní stream lze přijímat běžnými přehrávači v různých operačních systémech. Celý postup stavby, doporučení komponent, programového vybavení i konfigurace jsme popsali v podrobném návodu. Systém je založen na volně dostupném programovém vybavení a funguje v prostředí operačního systému Linux. Konkrétně podporujeme například Radio R provozované v rámci výuky žurnalistiky na Fakultě sociálních studií Masarykovy univerzity.
9.9 Podpora a akce
Neméně důležitou součástí naší práce je předávání poznatků a podpora akcí. Poskytujeme individuální konzultace nejen pro členy sdružení v oblasti IP telefonních, videokonferenčních a prezentačních technologií (projekty Fondu rozvoje, AVČR, NTK, NKP, MZK, ÚJV Řež, VUT, MŠMT) a napomáháme při testech a zprovozňování realizovaných pracovišť.
V uplynulém roce jsme zajištěním vícebodových videokonferencí a streamingu podpořili řadu konferencí a seminářů. Patří mezi ně například:
- HD videokonferenční přenos očních operací Live Surgery 2009 (spojení sálů FN Ostrava, FN Hradec Králové, FN Olomouc, ÚVN Praha a auly ÚVN) realizovaný ve spolupráci s CNC,
- konference o výpočtech ve fyzice vysokých energií CHEP 2009,
- pracovní schůzky TERENA TF-Media a CEREMC2,
- TERENA NGN workshop,
- konference OpenSource řešení v sítích na SLU v Karviné.
Ve spolupráci s Tuesday Business Network jsme připravili seminář s názvem Film a technologie: Konec harddisků, nastupují optické sítě, kterého se zúčastnilo přes 80 účastníků. Začátkem prosince jsme uspořádali již tradiční celodenní seminář s účastí téměř padesáti posluchačů, kde byly představeny naše služby, řešení nasazená v institucích i výsledky výzkumu z oblasti bezpečnosti a přenosu videa.
předchozí
|
 obsah |
následující
|