視頻信息安全設計方案

城市視頻監(jiān)控聯網系統(tǒng)信息安全設計方案二〇一五年十一月

目錄1項目背景 12信息安全相關知識 12.1信息安全服務與機制 22.1.1安全服務 22.1.2安全機制 32.2安全體系架構 32.2.1網絡安全基本模型 32.2.2信息安全框架 32.3信息安全起因 42.3.1技術缺陷 42.3.2管理缺陷 52.4網絡攻擊方式 52.4.1口令攻擊 52.4.2軟件攻擊 62.4.3竊聽攻擊 72.4.4欺詐攻擊 72.4.5病毒攻擊 82.4.6拒絕服務攻擊 82.5信息安全后果 92.6信息安全技術 92.6.1PKI體系 92.6.2用戶身份認證 122.6.3認證機制 132.6.4認證協議 153聯網視頻信息的特點 173.1系統(tǒng)多級架構 173.2網絡狀況復雜 173.3視頻數據量大 174視頻系統(tǒng)信息安全分類 174.1信令加密 184.2媒體流加密 185安全系統(tǒng)的實現 185.1認證中心 185.2視頻安全平臺 185.3系統(tǒng)評價 186系統(tǒng)建成預期效果 197安全技術展望 19項目背景互聯網、大數據時代雖然帶來了安防行業(yè)新的機遇與信息面貌，但是伴隨信息聚集性越來越高，云安全問題也帶來了新的挑戰(zhàn)。對不法分子來說，只要擊破云服務器，意味著可以獲得更多的資源，例如iCloud泄露門，12306信息泄露，攜程信息泄露等。?？低暋鞍踩T”事件，對正在大力發(fā)展信息經濟與互聯網經濟的中國，提出了信息安全的極大思考。信息安全任重而道遠，千里之堤，毀于蟻穴。所以在信息安全上，應仔細排查安全隱患，防患于未然。公開數據顯示，有74.1%的網民在過去半年內遇到網絡信息安全事件。有專家估計，中國每年因網絡信息安全問題造成的經濟損失高達數百億美元。在今年的全國兩會上，中國移動廣東公司總經理鐘天華代表建議，加快制定網絡信息安全法，從監(jiān)管主體、設施安全、運行安全、信息安全、法律責任等方面規(guī)范網絡信息安全。各省城市視頻監(jiān)控聯網系統(tǒng)共享平臺已基本建設完成，標準基于國標GB/T28181，但對于視頻信息安全的要求沒有嚴格要求。在國家對網絡和信息安全高度重視的當下，扮演政府、企業(yè)、社區(qū)“守門人”角色的安防行業(yè)，實現自主可控異常重要。需要一套完整解決方案。信息安全相關知識網絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。信息安全服務與機制安全服務信息安全服務產生的基礎是整個網絡系統(tǒng)需要規(guī)避安全風險、控制安全成本以及保障業(yè)務持續(xù)性。從實踐環(huán)節(jié)看，信息安全服務是由參與通信的開放系統(tǒng)的某一層(OSI)所提供的服務，它確保了該系統(tǒng)或數據傳輸具有足夠的安全性。結合信息安全的基本要素，明確五大類安全服務，即鑒別、訪問控制、數據完整、數據保密、抗抵賴。鑒別服務（authentication）主要用來鑒別參與通信的對等實體和數據源，確認其合法性、真實性。訪問控制服務（accesscontrol）用于防止未授權用戶非法使用資源。包括用戶身份認證，用戶權限確認。數據完整性服務（integrity）用于對付主動威脅，阻止非法實體對通信雙方交換數據的改動和刪除。數據保密性服務（confidentiality）防止系統(tǒng)內交換數據被截獲或非法存取而造成泄密，提供加密保護?？沟仲囆苑眨╪o-repudiation）防止發(fā)送方發(fā)送數據后否認自己發(fā)送過此數據，接收方接收后否認收到過此數據或偽造接收數據。安全機制安全體系架構網絡安全基本模型網絡安全基本模型包括通信主體雙方、攻擊者和可信第三方，通信雙方在網絡上傳輸信息，需要先在發(fā)收之間建立一條邏輯通道。這就要先確定從發(fā)送端到接收端的路由，再選擇該路由上使用的通信協議，如TCP/IP。為了在開放式的網絡環(huán)境中安全地傳輸信息，需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分：一是對發(fā)送的信息進行安全轉換，如信息加密以便達到信息的保密性，附加一些特征碼以便進行發(fā)送者身份驗證等；二是發(fā)送雙方共享的某些秘密信息，如加密密鑰，除了對可信任的第三方外，對其他用戶是保密的。為了使信息安全傳輸，通常需要一個可信任的第三方，其作用是負責向通信雙方分發(fā)秘密信息，以及在雙方發(fā)生爭議時進行仲裁。一個安全的網絡通信必須考慮以下內容：實現與安全相關的信息轉換的規(guī)則或算法用于信息轉換算法的密碼信息（如密鑰）秘密信息的分發(fā)和共享使用信息轉換算法和秘密信息獲取安全服務所需的協議信息安全框架物理安全進入辦公室需經人臉識別門禁系統(tǒng)確認后才能打開辦公室門，出辦公室門需按出門按鈕。通信和網絡安全能完成對出入辦公室人員的授權管理，能對進出辦公室人員的歷史出入記錄進行查詢及輸出。運行安全信息安全信息安全起因首先，視頻監(jiān)控網絡安全問題是現實存在的，在互聯網傳輸中不加密問題更甚。即便是美國國防部內部網絡都曾被黑客入侵，何況是民用監(jiān)控。其次，視頻監(jiān)控網絡安全問題是普遍存在的，并非只?？低曇患摇４饲氨阌袌蟮?，只要在Google中搜索簡單的關鍵字，就可以無阻礙地連入全球超過1000個沒有保護措施的監(jiān)控攝像頭。用戶對網絡安全重視程度不夠，缺乏安全意識，在安裝完監(jiān)控產品之后，沒有對密碼進行修改，實際上只要用戶按照產品說明書的說明修改了初始默認密碼，就能很大程度上避免網絡安全隱患。第三，在視頻傳輸中，利用公安專用通信網保密性最佳，其次為視頻圖像專網，再次為虛擬專用網（VPN，VirtualPrivateNetwork），未加密的公網傳輸，包括移動互聯網傳輸保密性是很差的。目前平安城市視頻監(jiān)控系統(tǒng)承載網絡主要是公安專用通信網和視頻虛擬專網兩種?，F有系統(tǒng)的承載網絡情況復雜，平臺部署在不同的承載網絡上。虛擬專用網通常是在公用網絡上建立的專用網絡，是為特別用戶設置的加密通訊網絡，而平安城市視頻監(jiān)控系統(tǒng)匯接的社會圖像資源是通過多種方式接入到各級共享平臺，雖然在接入時會采取一些安全接入措施，但仍很難避免被非法侵入。未加密的公網傳輸毫無保密性可言。除了接入網絡的設備會受到網絡安全隱患威脅外這一無法回避的因素外，安防企業(yè)多是習慣于用局域網或者專網視角來看待問題。技術缺陷互聯網使用的通訊協議是TCP／IP．TCP／IP在最初的設計時．主要考慮的是如何實現網絡連接．并沒有充分考慮到網絡的安全問題．而TCP／IP協議是完全公開的，這就導致入侵者可以利用TCP／IP協議的漏洞對網絡進行攻擊。另外計算機使用的操作系統(tǒng)．比如說目前仍普遍使用的微軟windows操作系統(tǒng)在設計上也存在安全漏洞，用戶經常需要更新．下載它的安全補?。孕扪a它的安全漏洞。其他的技術缺陷還包括應用程序的編寫對安全性考慮不足．網絡通訊設備包括路由器、交換機存在安全的缺陷等等．這些技術上的缺陷都容易被入侵者利用．從而構成安全威脅。管理缺陷由于網絡使用單位的負責人、網絡管理員思想上不重視或者疏忽．沒有正視黑客入侵所造成的嚴重后果．沒有投入必要的人力、物力和財力來加強網絡的安全性，沒有采取有效的安全策略和安全機制．缺乏先進的網絡安全技術、工具、手段和產品等等，這也導致了網絡的安全防范能力差。主要有以下幾個方面：內部管理漏洞。缺乏健全的額管理制度或制度執(zhí)行不力，給內部人員違規(guī)或犯罪留下機會。與外部威脅相比，來自內部的攻擊和犯罪更難防范，而且是網絡安全的主要來源，據統(tǒng)計，大約80%的安全威脅來自系統(tǒng)內部。動態(tài)環(huán)境變化。單位變化，人員流動，原有內部人員對網絡的破壞。社會問題、道德問題和立法問題。網絡攻擊方式互聯網技術在飛速發(fā)展的同時．黑客技術也在飛速發(fā)展，網絡世界的安全性不斷地在受到挑戰(zhàn)。對于黑客來說．要進入普通人的電腦非常容易。只果你要上網．就免不了遇到病毒和黑客。下面列舉一些黑客常用攻擊手段：口令攻擊口令攻擊就是通過竊取口令的方式進行破壞的活動，口令攻擊是比較常用的一種攻擊方式。在現實生活中．由于用戶名和密碼被盜造成損失的例子有很多，一旦用戶名和密碼被盜．入侵者還可以冒用此用戶的名義對系統(tǒng)進行進一步的破壞和攻擊．從而給用戶本身或者整個系統(tǒng)造成非常大的損失。就目前的黑客技術來說．用戶名和密碼的盜取對黑客不再是有難度的事情，黑客盜取口令的方法有很多。比如說，有的黑客通過FTP、TFTP和Telnet等工具．可以搜集用戶賬戶資料、獲得口令文件，然后對1：3令文件進行解密來獲得口令?；蛘呷绻脩舻目诹钤O置缺乏安全性．可能被輕易地被“字典攻擊”猜到用戶的El令。“字典攻擊”就是通過編寫一個應用程序．根據一定的規(guī)律．由應用程序自動反復地去嘗試口令．強行破解用戶口令?！弊值涔簟币蠛诳鸵凶銐虻哪托暮蜁r間．但對那些口令安全系數極低的用戶，只要短短的幾分鐘．甚至數十秒就可以被破解。2014年11月，知名專業(yè)安全網站SecurityStreetRapid公布了3個RTSP安全漏洞，編號分別為：CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。這三個漏洞均為監(jiān)控設備對RTSP請求處理不當導致的緩沖區(qū)溢出漏洞。通過該漏洞，攻擊者只要知道設備的IP地址，即可采用電腦對設備進行拒絕服務攻擊，從而導致設備癱瘓或被攻擊者接管。弱口令。弱口令是指容易被攻擊者猜測到或被破解工具破解的口令。此次媒體報道中提及的弱口令問題主要是由于未修改設備初始密碼或設備密碼過于簡單導致的安全問題。弱口令問題普遍存在，主要的解決方式是建立嚴格、規(guī)范化的口令管理流程和管理機制。軟件攻擊軟件攻擊有時又叫漏洞攻擊．許多系統(tǒng)包括計算機系統(tǒng)、網絡系統(tǒng)都有這樣那樣的安全漏洞(Bug)和后門(backdoor)。特別是計算機系統(tǒng)．在安裝好操作系統(tǒng)后．出現漏洞和缺陷的可能性是最大的，這些漏洞需要廠商發(fā)布補丁(patch)程序來進行修補。各個硬件廠商和軟件廠商，包括微軟在內．都在不斷地發(fā)布自己的補?。@要求用戶及時的去下載這些補丁．進行系統(tǒng)更新操作。如果系統(tǒng)管理人員沒有對網絡和操作系統(tǒng)的漏洞及時打補?。肭终呔涂梢院苋菀桌眠@些公開的漏洞，侵入系統(tǒng)．從而對整個網絡帶來災難性的后果。軟件攻擊除了利用系統(tǒng)的漏洞外．還可以利用一些后門程序。后門，就是秘密入口。比如說．在程序開發(fā)階段，程序員可能會設置一些后門．以便于測試、修改和增強模塊功能。正常情況下，程序開放完成后需要去掉各個模塊的后門，不過有時由于疏忽或者其他原因，比如說如保留后門便于日后訪問、測試或維護．后門沒有去掉，一些別有用心的人就會利用專門的掃描工具發(fā)現并利用這些后門，然后進入系統(tǒng)并發(fā)動攻擊。國內的安防產品的漏洞問題由來已久，主要原因在于社會和國家對信息化依賴越來越高。境外惡意攻擊者一般會對網絡進行掃描，發(fā)現系統(tǒng)存在弱口令問題后會利用其中未修復的安全漏洞進行攻擊，然后植入后門軟件進行長期控制。所有暴露在互聯網環(huán)境下的設備都會面臨黑客攻擊的風險，很多用戶缺乏安全意識，在安全上考慮不足也導致容易出現安全漏洞。竊聽攻擊網絡竊聽是最直接的獲取數據的手段．如果在共享的網絡通道上，用沒有加密的明文傳輸敏感數據．這些信息很可能被竊聽和監(jiān)視。竊聽者可以采用如sniffef等網絡協議分析工具，非常容易地在信息傳輸過程中獲取所有信息的內容，這些信息包括賬號．密碼等重要信息。一旦入侵者監(jiān)聽到用戶傳輸的口令．就可以利用口令入侵到系統(tǒng)中。比如說．政府部門內部的普通工作人員．如果通過內部網絡竊聽手段。獲取了領導的賬號和密碼，從而可以利用這些密碼．查閱只能由領導查閱的秘密文件等。這類方法有一定的局限性，但危害性較大．監(jiān)聽者往往能夠獲得其所在網段的所有用戶賬號和口令．對內部網絡安全威脅巨大，因為內網數據往往是密級非常高的．如果被非法竊聽而導致信息泄露，將對國家造成非常大的損失。欺詐攻擊欺詐攻擊是利用假冒方式騙取連接和信息資源、損害企業(yè)的聲譽和利益的方式。比如說．黑客在被攻擊主機上啟動一個可執(zhí)行程序．該程序顯示一個偽造的登錄界面。當用戶在這個偽裝的界面上鍵入登錄信息后．黑客程序會將用戶輸入的信息傳送到攻擊者主機．然后關閉界面給出提示錯誤．要求用戶重新登錄。此后．才會出現真正的登錄界面．這就是欺詐攻擊的一種方式。再比如說，黑客可以制作自己的網頁．一旦用戶點擊了假冒鏈接地址．進入到這個網頁后，如果用戶此時輸入銀行賬號、密碼、驗證碼后，該假冒網頁會提示驗證碼錯誤．隨后再轉向正常的網頁．這樣．黑客就巧妙地從中獲取了用戶的機密信息。病毒攻擊計算機病毒實際上是一段可執(zhí)行程序，為什么稱之為病毒，主要是因為它和現實世界的病毒一樣具有傳染性．潛伏性和破壞性。在越來越依賴網絡的今天．由于病毒導致的系統(tǒng)破壞將帶來巨大的損失。計算機病毒對計算機的影響是災難性的。從20世紀80年代起．計算機使用者就開始和計算機病毒斗爭，特別是隨著近年互聯網的發(fā)展．網絡應用的普及、人們對計算機的依賴程度的不斷提高．這一切為病毒的傳播提供了方便的渠道，同時也使計算機病毒的種類迅速增加．擴散速度大大加快．受感染的范圍越來越廣，病毒的破壞性也越來越嚴重。以前病毒的傳播方式主要是單機之問通過軟盤介質傳染．而現在病毒可以更迅速地通過網絡共享文件、電子郵件及互聯網在全世界范圍內傳播拒絕服務攻擊DOS(denial-of-service)攻擊，簡稱DoS攻擊．是通過向攻擊目標施加超強力的服務要求．要求被攻擊目標提供超出它能力范圉的服務，從而引起的攻擊目標對正常服務的拒絕或服務性能大大降低。簡單的說拒絕服務攻擊就是想辦法將被攻擊的計算機資源或網絡帶寬資源耗盡．導致網絡或系統(tǒng)不勝負荷以至于癱瘓．而停止提供正常的服務。DoS攻擊由于可以通過使用一些公開的軟件和工具進行攻擊，因而它的發(fā)動較為簡單．”拒絕服務”的攻擊方式是：用戶發(fā)送許多要求確認的信息到服務器．使服務器里充斥著這種大量要求回復的無用信息．所有的信息都有需回復的虛假地址．而當服務器試圖回傳時．卻無法找到用戶。服務器于是暫時等候，然后再切斷連接。服務器切斷連接時．黑客再度傳送新一批需要確認的信息，這個過程周而復始．最終導致服務器資源耗盡而癱瘓。信息安全后果在現代網絡信息社會環(huán)境下．由于存在各種各樣的安全威脅，比如病毒、誤操作、設備故障和黑客攻擊等，從而可能會造成重要數據文件的丟失。安全問題具體的后果包括：企業(yè)的資料被有意篡改，網站的頁面被丑化或者修改。比如說，在被攻擊的網站首頁上貼上謠言、黃色圖片或反動言論．從而造成法律上和政治上的嚴重后果。破壞計算機的硬件系統(tǒng)，比如說磁盤系統(tǒng)．從而造成文件永久丟失。使得商業(yè)機密或技術成果泄露或者被散播。安全問題還可能使得服務被迫停止，并給客戶層帶來服務質量低劣的印象，使得企業(yè)形象被破壞，從而造成惡劣影響和難以挽回的損失。信息安全技術PKI體系公鑰密碼體制分為三個部分，公鑰、私鑰、加密解密算法，它的加密解密過程如下：? 加密：通過加密算法和公鑰對內容(或者說明文)進行加密，得到密文。加密過程需要用到公鑰。? 解密：通過解密算法和私鑰對密文進行解密，得到明文。解密過程需要用到解密算法和私鑰。注意，由公鑰加密的內容，只能由私鑰進行解密，也就是說，由公鑰加密的內容，如果不知道私鑰，是無法解密的。公鑰密碼體制的公鑰和算法都是公開的(這是為什么叫公鑰密碼體制的原因)，私鑰是保密的。大家都以使用公鑰進行加密，但是只有私鑰的持有者才能解密。在實際的使用中，有需要的人會生成一對公鑰和私鑰，把公鑰發(fā)布出去給別人使用，自己保留私鑰。證書認證機構（CA）認證授權機構（CA,CertificateAuthority），也稱為電子認證中心，是負責發(fā)放和管理數字證書的權威機構，并作為網絡活動中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網關發(fā)放證書。CA是證書的簽發(fā)機構,它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。CA也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發(fā)的證書。如果用戶想得到一份屬于自己的證書，他應先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。如果一個用戶想鑒別另一個證書的真?zhèn)?，他就用CA的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發(fā)并管理符合國內、國際安全電子交易協議標準的電子商務安全證，并負責管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環(huán)節(jié)數字證書證書實際是由證書簽證機關（CA）簽發(fā)的對用戶的公鑰的認證。證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。證書的格式和驗證方法普遍遵循X.509國際標準。信息發(fā)送者用其私匙對從所傳報文中提取出的特征數據（或稱數字指紋）進行RSA算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文后，就可以用發(fā)送者的公鑰對數字簽名進行驗證。數字證書為實現雙方安全通信提供了電子認證。在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有公鑰對所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F對證書持有者身份的認證。1.使用數字證書能做什么?數字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之于眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發(fā)件人的身份，發(fā)送者要用自己的私鑰對信件進行簽名；收件人可使用發(fā)送者的公鑰對簽名進行驗證，以確認發(fā)送者的身份。在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現，電子郵件、在線交易和信用卡購物的安全才能得到保證。2.數字證書的類型個人數字證書，主要用于標識數字證書自然人所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動。機構數字證書，主要用于標識數字證書機構所有人的身份，包含機構的相關信息及其公鑰，如：企業(yè)名稱、組織機構代碼等，可用于機構在電子商務、電子政務應用中進行合同簽定、網上支付、行政審批、網上辦公等各類活動。設備數字證書，用于在網絡應用中標識網絡設備的身份，主要包含了設備的相關信息及其公鑰，如：域名、網址等，可用于VPN服務器、WEB服務器等各種網絡設備在網絡通訊中標識和驗證設備身份。此外，還有代碼簽名數字證書，是簽發(fā)給軟件提供者的數字證書，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來源于一個真實軟件發(fā)布者，可以有效防止軟件代碼被篡改。用戶身份認證所謂身份認證，就是判斷一個用戶是否為合法用戶的處理過程。最常用的簡單身份認證方式是系統(tǒng)通過核對用戶輸入的用戶名和口令，看其是否與系統(tǒng)中存儲的該用戶的用戶名和口令一致，來判斷用戶身份是否正確。復雜一些的身份認證方式采用一些較復雜的加密算法與協議，需要用戶出示更多的信息(如私鑰)來證明自己的身份，如Kerberos身份認證系統(tǒng)。身份認證一般與授權控制是相互聯系的，授權控制是指一旦用戶的身份通過認證以后，確定哪些資源該用戶可以訪問、可以進行何種方式的訪問操作等問題。在一個數字化的工作體系中，應該有一個統(tǒng)一的身份認證系統(tǒng)供各應用系統(tǒng)使用，但授權控制可以由各應用系統(tǒng)自己管理。統(tǒng)一用戶管理系統(tǒng)(IDS),實現網上應用系統(tǒng)的用戶、角色和組織機構統(tǒng)一化管理，實現各種應用系統(tǒng)間跨域的單點登錄和單點退出和統(tǒng)一的身份認證功能，用戶登錄到一個系統(tǒng)后，再轉入到其他應用系統(tǒng)時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應用系統(tǒng)中身份的一致性。身份認證可分為用戶與系統(tǒng)間的認證和系統(tǒng)與系統(tǒng)之間的認證。身份認證必須做到準確無誤地將對方辨認出來，同時還應該提供雙向的認證。目前使用比較多的是用戶與系統(tǒng)間的身份認證，它只需單向進行，只由系統(tǒng)對用戶進行身份驗證。隨著計算機網絡化的發(fā)展，大量的組織機構涌入國際互聯網，以及電子商務與電子政務的大量興起，系統(tǒng)與系統(tǒng)之間的身份認證也變得越來越重要。身份認證的基本方式可以基于下述一個或幾個因素的組合：所知（Knowledge）：即用戶所知道的或所掌握的知識，如口令；所有（Possesses）：用戶所擁有的某個秘密信息，如智能卡中存儲的用戶個人化參數，訪問系統(tǒng)資源時必須要有智能卡；特征（Characteristics）：用戶所具有的生物及動作特征，如指紋、聲音、視網膜掃描等。根據在認證中采用的因素的多少，可以分為單因素認證、雙因素認證、多因素認證等方法。身份認證系統(tǒng)所采用的方法考慮因素越多，認證的可靠性就越高。認證機制基于口令的身份認證機制基于口令的身份認證技術因其簡單易用，得到了廣泛的使用。但隨著網絡應用的深入和網絡攻擊手段的多樣化，口令認證技術也不斷發(fā)生變化，產生了各種各樣的新技術。最常采用的身份認證方式是基于靜態(tài)口令的認證方式，它是最簡單、目前應用最普遍的一種身份認證方式。但它是一種單因素的認證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充；同時易被攻擊，采用窺探、字典攻擊、窮舉嘗試、網絡數據流竊聽、重放攻擊等很容易攻破該認證系統(tǒng)。相對靜態(tài)口令，動態(tài)口令也叫一次性口令，它的基本原理是在用戶登錄過程中，基于用戶口令加入不確定因子，對用戶口令和不確定因子進行單向散列函數變換，所得的結果作為認證數據提交給認證服務器。認證服務器接收到用戶的認證數據后，把用戶的認證數據和自己用同樣的散列算法計算出的數值進行比對，從而實現對用戶身份的認證。在認證過程中，用戶口令不在網絡上傳輸，不直接用于驗證用戶的身份。動態(tài)口令機制每次都采用不同的不確定因子來生成認證數據，從而每次提交的認證數據都不相同，提高了認證過程的安全性。挑戰(zhàn)/響應認證機制挑戰(zhàn)/響應方式的身份認證機制就是每次認證時認證服務器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”碼，客戶端程序收到這個“挑戰(zhàn)”碼，根據客戶端和服務器之間共享的密鑰信息，以及服務器端發(fā)送的“挑戰(zhàn)”碼做出相應的“應答”。服務器根據應答的結果確定是否接受客戶端的身份聲明。從本質上講，這種機制實際上也是一次性口令的一種。一個典型的認證過程如下圖所示：認證過程為：1)客戶向認證服務器發(fā)出請求，要求進行身份認證；2)認證服務器從用戶數據庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理；3)認證服務器內部產生一個隨機數，作為“挑戰(zhàn)”碼，發(fā)送給客戶；4)客戶將用戶名字和隨機數合并，使用單向Hash函數（例如MD5算法）生成一個字節(jié)串作為應答；5)認證服務器將應答串與自己的計算結果比較，若二者相同，則通過一次認證；否則，認證失??；6)認證服務器通知客戶認證成功或失敗。EAP認證機制EAP（ExtensibleAuthenticationProtocol）擴展認證協議在RFC2248中定義，是一個普遍使用的認證機制，它常被用于無線網絡或點到點的連接中。EAP不僅可以用于無線局域網，而且可以用于有線局域網，但它在無線局域網中使用的更頻繁。EAP實際是一個認證框架，不是一個特殊的認證機制。EAP提供一些公共的功能，并且允許協商所希望的認證機制。這些機制被稱為EAP方法。由于EAP方法除了IETF定義了一部分外，廠商也可以自定義方法，因此EAP具有很強的擴展性。IETF的RFC中定義的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。無線網絡中常用的方法包括EAP-TLS、EAP-SIM、EAP-AKA、PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的網絡中使用廣泛，可擴展的EAP方法可以為接入網絡提供一個安全認證機制。鑰認證機制隨著網絡應用的普及，對系統(tǒng)外用戶進行身份認證的需求不斷增加，即某個用戶沒有在一個系統(tǒng)中注冊，但也要求能夠對其身份進行認證，尤其是在分布式系統(tǒng)中，這種要求格外突出。這種情況下，公鑰認證機制就顯示出它獨特的優(yōu)越性。公鑰認證機制中每個用戶被分配給一對密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向所有人公開。用戶如果能夠向驗證方證實自己持有私鑰，就證明了自己的身份。當它用作身份認證時，驗證方需要用戶方對某種信息進行數字簽名，即用戶方以用戶私鑰作為加密密鑰，對某種信息進行加密，傳給驗證方，而驗證方根據用戶方預先提供的公鑰作為解密密鑰，就可以將用戶方的數字簽名進行解密，以確認該信息是否是該用戶所發(fā)，進而認證該用戶的身份。公鑰認證機制中要驗證用戶的身份，必須擁有用戶的公鑰，而用戶公鑰是否正確，是否是所聲稱擁有人的真實公鑰，在認證體系中是一個關鍵問題。常用的辦法是找一個值得信賴而且獨立的第三方認證機構充當認證中心（CertificateAuthority，CA），來確認聲稱擁有公開密鑰的人的真正身份。要建立安全的公鑰認證系統(tǒng)，必須先建立一個穩(wěn)固、健全的CA體系，尤其是公認的權威機構，即“RootCA”，這也是當前公鑰基礎設施（PKI）建設的一個重點。認證協議許多協議在向用戶或設備授權訪問和訪問權限之前需要認證校驗，通常要用到認證相關的機制，前面討論了常用的認證機制，本節(jié)介紹使用這些認證機制的協議，這些協議包括RADIUS、TACACS、Kerberos、LDAP等。RADIUS和TACACS通常用在撥號環(huán)境中，Kerberos是在校園網中用的比較多的協議。LDAP提供一種輕量級的目錄服務，嚴格來說不能算作一種認證協議，而對用戶進行認證授權只是LDAP的一種應用。RADIUS認證協議RADIUS（RemoteAuthenticationDialInUserService）協議最初是由Livingston公司提出的，目的是為撥號用戶進行認證和計費。后來經過多次改進，形成了一個通用的AAA協議。RADIUS協議認證機制靈活，能夠支持各種認證方法對用戶進行認證。可以采用上述任何一種認證機制。RADIUS是一種可擴展的協議，它進行的全部工作都是基于屬性進行的，由于屬性可擴展性，因此很容易支持不同的認證方式。RADIUS協議通過UDP協議進行通信，RADIUS服務器的1812端口負責認證，1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中，使用UDP更加快捷方便。TACACS認證協議TACACS（TerminalAccessControllerAccessControlSystem）最先是由BBN為MILNET開發(fā)的一種基于UDP的訪問控制協議，一些廠商對協議進行了擴展，最終形成了一種新的AAA協議，其中CISCO公司對TACACS協議多次進行增強擴展，目前成為TACACS+協議，H3C在TACACS（RFC1492）基礎上進行了功能增強，形成了H3C擴展的TACACS協議。無論TACACS、TACACS+還是H3C擴展TACACS協議，其認證、授權和計費是分離的，并且與原始TACACS協議相比，TACACS+和HWTACACS可以使用TCP作為傳輸層協議，端口號為49。TACACS+允許任意長度和內容的認證交換，與RADIUS一樣，具有很強的擴展性，并且客戶端可以使用任何認證機制。由于TACACS+的認證與其他服務是分開的，所以認證不是強制的，這點與RADIUS是不同的。Kerberos認證協議在一個分布式環(huán)境中，采用上述兩種認證協議時，如果發(fā)生賬號改動的情況，每臺機器上的都要進行相應的賬號修改，工作量非常大。Kerberos是MIT為解決分布式網絡認證而設計的可信第三方認證協議。Kerberos基于對稱密碼技術，網絡上的每個實體持有不同的密鑰，是否知道該密鑰便是身份的證明。網絡上的Kerberos服務起著可信仲裁者的作用，可提供安全的網絡認證。Kerberos常見的有兩個版本：第4版和第5版，目前使用的標準版本是版本5。Kerberos是一種受托的第三方認證服務，它是建立在Needham和Schroeder認證協議基礎上，它要求信任第三方，即Kerberos認證服務器（AS）。AS為客戶和服務器提供證明自己身份的票據以及雙方安全通信的會話密鑰。Kerberos中還有一個票據授予服務器（TGS），TGS向AS的可靠用戶發(fā)出票據。除客戶第一次獲得的初始票據是由Kerberos認證服務器簽發(fā)外，其他票據都是由TGS簽發(fā)的，一個票據可以使用多次直至期限?？蛻舴秸埱蠓辗教峁┮粋€服務時，不僅要向服務方發(fā)送從票據授予服務器領來的票據，同時還要自己生成一個鑒別碼(Authenticator，Ac)一同發(fā)送，該證是一次性的。LDAP協議LDAP（LightweightDirectoryAccessProtocol）是基于X.500標準的，但是比X.500簡單，并且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP是一個目錄服務協議，目前存在眾多版本的LDAP，而最常見的則是V2和V3兩個版本，它們分別于1995年和1997年首次發(fā)布。一般在分布式、跨平臺認證的場景下，LDAP比前面介紹的認證協議具有一定優(yōu)勢。LDAP協議嚴格來說并不屬于單純認證協議，對用戶進行授權認證是LDAP協議的一個典型應用。例如Microsoft的Windows操作系統(tǒng)就使用了ActiveDirectoryServer來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄Windows時的認證和授權。目錄服務其實也是