网络视频监控系统信息安全机制盘点

[page]    用户名令牌描述必须使用随机数和时间戳作为定义（根据WS-usemame token），因为系统为每个摄像头设备提供不同证书不太现实，因此系统对客户端使用用户名令牌描述和主要权限验证，这样就需使用密码加密算法，算法主要采用SHA-1函数和HMAC算法。举例来说，某一用户A，其用户名令牌为UA，P-UA，该用户要访问的终端设备为NEP，则PE_UA=base64（HMAC-SHA-1（UA+P_UA，NEP+“0NVIF password”））即为其客户端配置的用户证书和设备权限验证，其中HMAC_SHA-1是一种安全的基于加密散列（Hash）函数和共享密钥的消息认证协议，它可以有效地防止数据在传输过程中被截获和篡改。维护了数据的完整性、可靠性和安全性。

    在信息的安全通信层面，0NVIF规范定义了两种通信层面的安全架构：传输层安全（transpon layer security，TLS）和消息层安全。

    传输层安全协议用于保护0NⅥF提供的所有服务。同时还需要保护媒体流的RTP（real.time tmsport protocol，实时传输协议），RTSP/HTTPS。

    设备应该支持TLS 1.0、TLS 1.1，可以支持TLS 1.2；加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。

    客户端应支持TLS 1.1、TLS 1.0，加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_NULL_SHA。

    服务器端认证：设备支持X.509（X.509是由国际电信联盟（ITU-T）制定的数字证书标准）服务器认证。RSA key长度至少为l024 bit：客户端支持TLS服务器认证。

    客户端认证：支持哪的设备应该支持客户端认证，客户端认证功能可以在设备管理命令中禁止和启用。支持TLS的设备应该在证书请求中支持R5A认证类型。而且应该支持RSA客户端认证和签名验证。

    信息层面的安全。规范采用基于端口的安全框架IEEE 802.1x， 支持EAP-PEAP/MSCHAPv2、EAP-MD5、EAP-TLS和EAP-TLS。TLS允许点对点的保密性和完整性，但是在有中间通信节点的情况下，TLS不能提供端到端的安全，此外，为了实现用户基本权限控制，Web Services需要验证每个SOAP消息的来源。

    在信息安全方面，公安部《城市监控报警联网系统技术标准安全技术要求》对此有具体的信息安全章节要求，该标准是由全国安全防范报警系统标准化技术委员会制定的，其成立于1987年，负责我国安全防范技术领域国家标准、行业标准的制定、修订工作和对口国际电工委员会/报警技术委员会（IEC/TC79）的工作。

    其信息安全技术要求的主要内容总结如下。

    公钥基础设施，包括证书认证机构（CA）和3种证书类型（用户证书、设备证书和CA证书），证书的载体可通过移动存储介质、硬盘、智能卡、USBKey、专用加密设备，其中USBKev为USB接口带有算法的令牌，专用加密设备如加密机，用于产生、存储和管理密钥和公钥证书。

    用户身份认证可采用USBKev、静态口令、动态口令、智能卡、人体生物特征等。

    对标准SIP设备的认证，采用数字证书的认证方式。

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!