視頻信息安全設(shè)計方案

城市視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息安全設(shè)計方案二〇一五年十一月

目錄1項目背景 12信息安全相關(guān)知識 12.1信息安全服務(wù)與機(jī)制 22.1.1安全服務(wù) 22.1.2安全機(jī)制 32.2安全體系架構(gòu) 32.2.1網(wǎng)絡(luò)安全基本模型 32.2.2信息安全框架 32.3信息安全起因 42.3.1技術(shù)缺陷 42.3.2管理缺陷 52.4網(wǎng)絡(luò)攻擊方式 52.4.1口令攻擊 52.4.2軟件攻擊 62.4.3竊聽攻擊 72.4.4欺詐攻擊 72.4.5病毒攻擊 82.4.6拒絕服務(wù)攻擊 82.5信息安全后果 92.6信息安全技術(shù) 92.6.1PKI體系 92.6.2用戶身份認(rèn)證 122.6.3認(rèn)證機(jī)制 132.6.4認(rèn)證協(xié)議 153聯(lián)網(wǎng)視頻信息的特點 173.1系統(tǒng)多級架構(gòu) 173.2網(wǎng)絡(luò)狀況復(fù)雜 173.3視頻數(shù)據(jù)量大 174視頻系統(tǒng)信息安全分類 174.1信令加密 184.2媒體流加密 185安全系統(tǒng)的實現(xiàn) 185.1認(rèn)證中心 185.2視頻安全平臺 185.3系統(tǒng)評價 186系統(tǒng)建成預(yù)期效果 197安全技術(shù)展望 19項目背景互聯(lián)網(wǎng)、大數(shù)據(jù)時代雖然帶來了安防行業(yè)新的機(jī)遇與信息面貌，但是伴隨信息聚集性越來越高，云安全問題也帶來了新的挑戰(zhàn)。對不法分子來說，只要擊破云服務(wù)器，意味著可以獲得更多的資源，例如iCloud泄露門，12306信息泄露，攜程信息泄露等。?？低暋鞍踩T”事件，對正在大力發(fā)展信息經(jīng)濟(jì)與互聯(lián)網(wǎng)經(jīng)濟(jì)的中國，提出了信息安全的極大思考。信息安全任重而道遠(yuǎn)，千里之堤，毀于蟻穴。所以在信息安全上，應(yīng)仔細(xì)排查安全隱患，防患于未然。公開數(shù)據(jù)顯示，有74.1%的網(wǎng)民在過去半年內(nèi)遇到網(wǎng)絡(luò)信息安全事件。有專家估計，中國每年因網(wǎng)絡(luò)信息安全問題造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。在今年的全國兩會上，中國移動廣東公司總經(jīng)理鐘天華代表建議，加快制定網(wǎng)絡(luò)信息安全法，從監(jiān)管主體、設(shè)施安全、運(yùn)行安全、信息安全、法律責(zé)任等方面規(guī)范網(wǎng)絡(luò)信息安全。各省城市視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)共享平臺已基本建設(shè)完成，標(biāo)準(zhǔn)基于國標(biāo)GB/T28181，但對于視頻信息安全的要求沒有嚴(yán)格要求。在國家對網(wǎng)絡(luò)和信息安全高度重視的當(dāng)下，扮演政府、企業(yè)、社區(qū)“守門人”角色的安防行業(yè)，實現(xiàn)自主可控異常重要。需要一套完整解決方案。信息安全相關(guān)知識網(wǎng)絡(luò)信息安全是一個關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。信息安全服務(wù)與機(jī)制安全服務(wù)信息安全服務(wù)產(chǎn)生的基礎(chǔ)是整個網(wǎng)絡(luò)系統(tǒng)需要規(guī)避安全風(fēng)險、控制安全成本以及保障業(yè)務(wù)持續(xù)性。從實踐環(huán)節(jié)看，信息安全服務(wù)是由參與通信的開放系統(tǒng)的某一層(OSI)所提供的服務(wù)，它確保了該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。結(jié)合信息安全的基本要素，明確五大類安全服務(wù)，即鑒別、訪問控制、數(shù)據(jù)完整、數(shù)據(jù)保密、抗抵賴。鑒別服務(wù)（authentication）主要用來鑒別參與通信的對等實體和數(shù)據(jù)源，確認(rèn)其合法性、真實性。訪問控制服務(wù)（accesscontrol）用于防止未授權(quán)用戶非法使用資源。包括用戶身份認(rèn)證，用戶權(quán)限確認(rèn)。數(shù)據(jù)完整性服務(wù)（integrity）用于對付主動威脅，阻止非法實體對通信雙方交換數(shù)據(jù)的改動和刪除。數(shù)據(jù)保密性服務(wù)（confidentiality）防止系統(tǒng)內(nèi)交換數(shù)據(jù)被截獲或非法存取而造成泄密，提供加密保護(hù)。抗抵賴性服務(wù)（no-repudiation）防止發(fā)送方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過此數(shù)據(jù)，接收方接收后否認(rèn)收到過此數(shù)據(jù)或偽造接收數(shù)據(jù)。安全機(jī)制安全體系架構(gòu)網(wǎng)絡(luò)安全基本模型網(wǎng)絡(luò)安全基本模型包括通信主體雙方、攻擊者和可信第三方，通信雙方在網(wǎng)絡(luò)上傳輸信息，需要先在發(fā)收之間建立一條邏輯通道。這就要先確定從發(fā)送端到接收端的路由，再選擇該路由上使用的通信協(xié)議，如TCP/IP。為了在開放式的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對信息提供安全機(jī)制和安全服務(wù)。信息的安全傳輸包括兩個基本部分：一是對發(fā)送的信息進(jìn)行安全轉(zhuǎn)換，如信息加密以便達(dá)到信息的保密性，附加一些特征碼以便進(jìn)行發(fā)送者身份驗證等；二是發(fā)送雙方共享的某些秘密信息，如加密密鑰，除了對可信任的第三方外，對其他用戶是保密的。為了使信息安全傳輸，通常需要一個可信任的第三方，其作用是負(fù)責(zé)向通信雙方分發(fā)秘密信息，以及在雙方發(fā)生爭議時進(jìn)行仲裁。一個安全的網(wǎng)絡(luò)通信必須考慮以下內(nèi)容：實現(xiàn)與安全相關(guān)的信息轉(zhuǎn)換的規(guī)則或算法用于信息轉(zhuǎn)換算法的密碼信息（如密鑰）秘密信息的分發(fā)和共享使用信息轉(zhuǎn)換算法和秘密信息獲取安全服務(wù)所需的協(xié)議信息安全框架物理安全進(jìn)入辦公室需經(jīng)人臉識別門禁系統(tǒng)確認(rèn)后才能打開辦公室門，出辦公室門需按出門按鈕。通信和網(wǎng)絡(luò)安全能完成對出入辦公室人員的授權(quán)管理，能對進(jìn)出辦公室人員的歷史出入記錄進(jìn)行查詢及輸出。運(yùn)行安全信息安全信息安全起因首先，視頻監(jiān)控網(wǎng)絡(luò)安全問題是現(xiàn)實存在的，在互聯(lián)網(wǎng)傳輸中不加密問題更甚。即便是美國國防部內(nèi)部網(wǎng)絡(luò)都曾被黑客入侵，何況是民用監(jiān)控。其次，視頻監(jiān)控網(wǎng)絡(luò)安全問題是普遍存在的，并非只?？低曇患摇４饲氨阌袌蟮?，只要在Google中搜索簡單的關(guān)鍵字，就可以無阻礙地連入全球超過1000個沒有保護(hù)措施的監(jiān)控攝像頭。用戶對網(wǎng)絡(luò)安全重視程度不夠，缺乏安全意識，在安裝完監(jiān)控產(chǎn)品之后，沒有對密碼進(jìn)行修改，實際上只要用戶按照產(chǎn)品說明書的說明修改了初始默認(rèn)密碼，就能很大程度上避免網(wǎng)絡(luò)安全隱患。第三，在視頻傳輸中，利用公安專用通信網(wǎng)保密性最佳，其次為視頻圖像專網(wǎng)，再次為虛擬專用網(wǎng)（VPN，VirtualPrivateNetwork），未加密的公網(wǎng)傳輸，包括移動互聯(lián)網(wǎng)傳輸保密性是很差的。目前平安城市視頻監(jiān)控系統(tǒng)承載網(wǎng)絡(luò)主要是公安專用通信網(wǎng)和視頻虛擬專網(wǎng)兩種。現(xiàn)有系統(tǒng)的承載網(wǎng)絡(luò)情況復(fù)雜，平臺部署在不同的承載網(wǎng)絡(luò)上。虛擬專用網(wǎng)通常是在公用網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)，是為特別用戶設(shè)置的加密通訊網(wǎng)絡(luò)，而平安城市視頻監(jiān)控系統(tǒng)匯接的社會圖像資源是通過多種方式接入到各級共享平臺，雖然在接入時會采取一些安全接入措施，但仍很難避免被非法侵入。未加密的公網(wǎng)傳輸毫無保密性可言。除了接入網(wǎng)絡(luò)的設(shè)備會受到網(wǎng)絡(luò)安全隱患威脅外這一無法回避的因素外，安防企業(yè)多是習(xí)慣于用局域網(wǎng)或者專網(wǎng)視角來看待問題。技術(shù)缺陷互聯(lián)網(wǎng)使用的通訊協(xié)議是TCP／IP．TCP／IP在最初的設(shè)計時．主要考慮的是如何實現(xiàn)網(wǎng)絡(luò)連接．并沒有充分考慮到網(wǎng)絡(luò)的安全問題．而TCP／IP協(xié)議是完全公開的，這就導(dǎo)致入侵者可以利用TCP／IP協(xié)議的漏洞對網(wǎng)絡(luò)進(jìn)行攻擊。另外計算機(jī)使用的操作系統(tǒng)．比如說目前仍普遍使用的微軟windows操作系統(tǒng)在設(shè)計上也存在安全漏洞，用戶經(jīng)常需要更新．下載它的安全補(bǔ)?。孕扪a(bǔ)它的安全漏洞。其他的技術(shù)缺陷還包括應(yīng)用程序的編寫對安全性考慮不足．網(wǎng)絡(luò)通訊設(shè)備包括路由器、交換機(jī)存在安全的缺陷等等．這些技術(shù)上的缺陷都容易被入侵者利用．從而構(gòu)成安全威脅。管理缺陷由于網(wǎng)絡(luò)使用單位的負(fù)責(zé)人、網(wǎng)絡(luò)管理員思想上不重視或者疏忽．沒有正視黑客入侵所造成的嚴(yán)重后果．沒有投入必要的人力、物力和財力來加強(qiáng)網(wǎng)絡(luò)的安全性，沒有采取有效的安全策略和安全機(jī)制．缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品等等，這也導(dǎo)致了網(wǎng)絡(luò)的安全防范能力差。主要有以下幾個方面：內(nèi)部管理漏洞。缺乏健全的額管理制度或制度執(zhí)行不力，給內(nèi)部人員違規(guī)或犯罪留下機(jī)會。與外部威脅相比，來自內(nèi)部的攻擊和犯罪更難防范，而且是網(wǎng)絡(luò)安全的主要來源，據(jù)統(tǒng)計，大約80%的安全威脅來自系統(tǒng)內(nèi)部。動態(tài)環(huán)境變化。單位變化，人員流動，原有內(nèi)部人員對網(wǎng)絡(luò)的破壞。社會問題、道德問題和立法問題。網(wǎng)絡(luò)攻擊方式互聯(lián)網(wǎng)技術(shù)在飛速發(fā)展的同時．黑客技術(shù)也在飛速發(fā)展，網(wǎng)絡(luò)世界的安全性不斷地在受到挑戰(zhàn)。對于黑客來說．要進(jìn)入普通人的電腦非常容易。只果你要上網(wǎng)．就免不了遇到病毒和黑客。下面列舉一些黑客常用攻擊手段：口令攻擊口令攻擊就是通過竊取口令的方式進(jìn)行破壞的活動，口令攻擊是比較常用的一種攻擊方式。在現(xiàn)實生活中．由于用戶名和密碼被盜造成損失的例子有很多，一旦用戶名和密碼被盜．入侵者還可以冒用此用戶的名義對系統(tǒng)進(jìn)行進(jìn)一步的破壞和攻擊．從而給用戶本身或者整個系統(tǒng)造成非常大的損失。就目前的黑客技術(shù)來說．用戶名和密碼的盜取對黑客不再是有難度的事情，黑客盜取口令的方法有很多。比如說，有的黑客通過FTP、TFTP和Telnet等工具．可以搜集用戶賬戶資料、獲得口令文件，然后對1：3令文件進(jìn)行解密來獲得口令?；蛘呷绻脩舻目诹钤O(shè)置缺乏安全性．可能被輕易地被“字典攻擊”猜到用戶的El令?！白值涔簟本褪峭ㄟ^編寫一個應(yīng)用程序．根據(jù)一定的規(guī)律．由應(yīng)用程序自動反復(fù)地去嘗試口令．強(qiáng)行破解用戶口令?！弊值涔簟币蠛诳鸵凶銐虻哪托暮蜁r間．但對那些口令安全系數(shù)極低的用戶，只要短短的幾分鐘．甚至數(shù)十秒就可以被破解。2014年11月，知名專業(yè)安全網(wǎng)站SecurityStreetRapid公布了3個RTSP安全漏洞，編號分別為：CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。這三個漏洞均為監(jiān)控設(shè)備對RTSP請求處理不當(dāng)導(dǎo)致的緩沖區(qū)溢出漏洞。通過該漏洞，攻擊者只要知道設(shè)備的IP地址，即可采用電腦對設(shè)備進(jìn)行拒絕服務(wù)攻擊，從而導(dǎo)致設(shè)備癱瘓或被攻擊者接管。弱口令。弱口令是指容易被攻擊者猜測到或被破解工具破解的口令。此次媒體報道中提及的弱口令問題主要是由于未修改設(shè)備初始密碼或設(shè)備密碼過于簡單導(dǎo)致的安全問題。弱口令問題普遍存在，主要的解決方式是建立嚴(yán)格、規(guī)范化的口令管理流程和管理機(jī)制。軟件攻擊軟件攻擊有時又叫漏洞攻擊．許多系統(tǒng)包括計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)都有這樣那樣的安全漏洞(Bug)和后門(backdoor)。特別是計算機(jī)系統(tǒng)．在安裝好操作系統(tǒng)后．出現(xiàn)漏洞和缺陷的可能性是最大的，這些漏洞需要廠商發(fā)布補(bǔ)丁(patch)程序來進(jìn)行修補(bǔ)。各個硬件廠商和軟件廠商，包括微軟在內(nèi)．都在不斷地發(fā)布自己的補(bǔ)丁．這要求用戶及時的去下載這些補(bǔ)?。M(jìn)行系統(tǒng)更新操作。如果系統(tǒng)管理人員沒有對網(wǎng)絡(luò)和操作系統(tǒng)的漏洞及時打補(bǔ)?。肭终呔涂梢院苋菀桌眠@些公開的漏洞，侵入系統(tǒng)．從而對整個網(wǎng)絡(luò)帶來災(zāi)難性的后果。軟件攻擊除了利用系統(tǒng)的漏洞外．還可以利用一些后門程序。后門，就是秘密入口。比如說．在程序開發(fā)階段，程序員可能會設(shè)置一些后門．以便于測試、修改和增強(qiáng)模塊功能。正常情況下，程序開放完成后需要去掉各個模塊的后門，不過有時由于疏忽或者其他原因，比如說如保留后門便于日后訪問、測試或維護(hù)．后門沒有去掉，一些別有用心的人就會利用專門的掃描工具發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動攻擊。國內(nèi)的安防產(chǎn)品的漏洞問題由來已久，主要原因在于社會和國家對信息化依賴越來越高。境外惡意攻擊者一般會對網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)系統(tǒng)存在弱口令問題后會利用其中未修復(fù)的安全漏洞進(jìn)行攻擊，然后植入后門軟件進(jìn)行長期控制。所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會面臨黑客攻擊的風(fēng)險，很多用戶缺乏安全意識，在安全上考慮不足也導(dǎo)致容易出現(xiàn)安全漏洞。竊聽攻擊網(wǎng)絡(luò)竊聽是最直接的獲取數(shù)據(jù)的手段．如果在共享的網(wǎng)絡(luò)通道上，用沒有加密的明文傳輸敏感數(shù)據(jù)．這些信息很可能被竊聽和監(jiān)視。竊聽者可以采用如sniffef等網(wǎng)絡(luò)協(xié)議分析工具，非常容易地在信息傳輸過程中獲取所有信息的內(nèi)容，這些信息包括賬號．密碼等重要信息。一旦入侵者監(jiān)聽到用戶傳輸?shù)目诹睿涂梢岳每诹钊肭值较到y(tǒng)中。比如說．政府部門內(nèi)部的普通工作人員．如果通過內(nèi)部網(wǎng)絡(luò)竊聽手段。獲取了領(lǐng)導(dǎo)的賬號和密碼，從而可以利用這些密碼．查閱只能由領(lǐng)導(dǎo)查閱的秘密文件等。這類方法有一定的局限性，但危害性較大．監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令．對內(nèi)部網(wǎng)絡(luò)安全威脅巨大，因為內(nèi)網(wǎng)數(shù)據(jù)往往是密級非常高的．如果被非法竊聽而導(dǎo)致信息泄露，將對國家造成非常大的損失。欺詐攻擊欺詐攻擊是利用假冒方式騙取連接和信息資源、損害企業(yè)的聲譽(yù)和利益的方式。比如說．黑客在被攻擊主機(jī)上啟動一個可執(zhí)行程序．該程序顯示一個偽造的登錄界面。當(dāng)用戶在這個偽裝的界面上鍵入登錄信息后．黑客程序會將用戶輸入的信息傳送到攻擊者主機(jī)．然后關(guān)閉界面給出提示錯誤．要求用戶重新登錄。此后．才會出現(xiàn)真正的登錄界面．這就是欺詐攻擊的一種方式。再比如說，黑客可以制作自己的網(wǎng)頁．一旦用戶點擊了假冒鏈接地址．進(jìn)入到這個網(wǎng)頁后，如果用戶此時輸入銀行賬號、密碼、驗證碼后，該假冒網(wǎng)頁會提示驗證碼錯誤．隨后再轉(zhuǎn)向正常的網(wǎng)頁．這樣．黑客就巧妙地從中獲取了用戶的機(jī)密信息。病毒攻擊計算機(jī)病毒實際上是一段可執(zhí)行程序，為什么稱之為病毒，主要是因為它和現(xiàn)實世界的病毒一樣具有傳染性．潛伏性和破壞性。在越來越依賴網(wǎng)絡(luò)的今天．由于病毒導(dǎo)致的系統(tǒng)破壞將帶來巨大的損失。計算機(jī)病毒對計算機(jī)的影響是災(zāi)難性的。從20世紀(jì)80年代起．計算機(jī)使用者就開始和計算機(jī)病毒斗爭，特別是隨著近年互聯(lián)網(wǎng)的發(fā)展．網(wǎng)絡(luò)應(yīng)用的普及、人們對計算機(jī)的依賴程度的不斷提高．這一切為病毒的傳播提供了方便的渠道，同時也使計算機(jī)病毒的種類迅速增加．?dāng)U散速度大大加快．受感染的范圍越來越廣，病毒的破壞性也越來越嚴(yán)重。以前病毒的傳播方式主要是單機(jī)之問通過軟盤介質(zhì)傳染．而現(xiàn)在病毒可以更迅速地通過網(wǎng)絡(luò)共享文件、電子郵件及互聯(lián)網(wǎng)在全世界范圍內(nèi)傳播拒絕服務(wù)攻擊DOS(denial-of-service)攻擊，簡稱DoS攻擊．是通過向攻擊目標(biāo)施加超強(qiáng)力的服務(wù)要求．要求被攻擊目標(biāo)提供超出它能力范圉的服務(wù)，從而引起的攻擊目標(biāo)對正常服務(wù)的拒絕或服務(wù)性能大大降低。簡單的說拒絕服務(wù)攻擊就是想辦法將被攻擊的計算機(jī)資源或網(wǎng)絡(luò)帶寬資源耗盡．導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓．而停止提供正常的服務(wù)。DoS攻擊由于可以通過使用一些公開的軟件和工具進(jìn)行攻擊，因而它的發(fā)動較為簡單．”拒絕服務(wù)”的攻擊方式是：用戶發(fā)送許多要求確認(rèn)的信息到服務(wù)器．使服務(wù)器里充斥著這種大量要求回復(fù)的無用信息．所有的信息都有需回復(fù)的虛假地址．而當(dāng)服務(wù)器試圖回傳時．卻無法找到用戶。服務(wù)器于是暫時等候，然后再切斷連接。服務(wù)器切斷連接時．黑客再度傳送新一批需要確認(rèn)的信息，這個過程周而復(fù)始．最終導(dǎo)致服務(wù)器資源耗盡而癱瘓。信息安全后果在現(xiàn)代網(wǎng)絡(luò)信息社會環(huán)境下．由于存在各種各樣的安全威脅，比如病毒、誤操作、設(shè)備故障和黑客攻擊等，從而可能會造成重要數(shù)據(jù)文件的丟失。安全問題具體的后果包括：企業(yè)的資料被有意篡改，網(wǎng)站的頁面被丑化或者修改。比如說，在被攻擊的網(wǎng)站首頁上貼上謠言、黃色圖片或反動言論．從而造成法律上和政治上的嚴(yán)重后果。破壞計算機(jī)的硬件系統(tǒng)，比如說磁盤系統(tǒng)．從而造成文件永久丟失。使得商業(yè)機(jī)密或技術(shù)成果泄露或者被散播。安全問題還可能使得服務(wù)被迫停止，并給客戶層帶來服務(wù)質(zhì)量低劣的印象，使得企業(yè)形象被破壞，從而造成惡劣影響和難以挽回的損失。信息安全技術(shù)PKI體系公鑰密碼體制分為三個部分，公鑰、私鑰、加密解密算法，它的加密解密過程如下：? 加密：通過加密算法和公鑰對內(nèi)容(或者說明文)進(jìn)行加密，得到密文。加密過程需要用到公鑰。? 解密：通過解密算法和私鑰對密文進(jìn)行解密，得到明文。解密過程需要用到解密算法和私鑰。注意，由公鑰加密的內(nèi)容，只能由私鑰進(jìn)行解密，也就是說，由公鑰加密的內(nèi)容，如果不知道私鑰，是無法解密的。公鑰密碼體制的公鑰和算法都是公開的(這是為什么叫公鑰密碼體制的原因)，私鑰是保密的。大家都以使用公鑰進(jìn)行加密，但是只有私鑰的持有者才能解密。在實際的使用中，有需要的人會生成一對公鑰和私鑰，把公鑰發(fā)布出去給別人使用，自己保留私鑰。證書認(rèn)證機(jī)構(gòu)（CA）認(rèn)證授權(quán)機(jī)構(gòu)（CA,CertificateAuthority），也稱為電子認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為網(wǎng)絡(luò)活動中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。CA也擁有一個證書（內(nèi)含公鑰）和私鑰。網(wǎng)上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發(fā)的證書。如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。如果一個用戶想鑒別另一個證書的真?zhèn)危陀肅A的公鑰對那個證書上的簽字進(jìn)行驗證，一旦驗證通過，該證書就被認(rèn)為是有效的。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進(jìn)行驗證，也需要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證，并負(fù)責(zé)管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)數(shù)字證書證書實際是由證書簽證機(jī)關(guān)（CA）簽發(fā)的對用戶的公鑰的認(rèn)證。證書的內(nèi)容包括：電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。證書的格式和驗證方法普遍遵循X.509國際標(biāo)準(zhǔn)。信息發(fā)送者用其私匙對從所傳報文中提取出的特征數(shù)據(jù)（或稱數(shù)字指紋）進(jìn)行RSA算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當(dāng)信息接收者收到報文后，就可以用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行驗證。數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認(rèn)證。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。數(shù)字證書中含有公鑰對所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認(rèn)證。1.使用數(shù)字證書能做什么?數(shù)字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之于眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應(yīng)的私鑰解密。為確保只有某個人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發(fā)件人的身份，發(fā)送者要用自己的私鑰對信件進(jìn)行簽名；收件人可使用發(fā)送者的公鑰對簽名進(jìn)行驗證，以確認(rèn)發(fā)送者的身份。在線交易中您可使用數(shù)字證書驗證對方身份。用數(shù)字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數(shù)字證書網(wǎng)上安全才得以實現(xiàn)，電子郵件、在線交易和信用卡購物的安全才能得到保證。2.數(shù)字證書的類型個人數(shù)字證書，主要用于標(biāo)識數(shù)字證書自然人所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網(wǎng)上進(jìn)行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動。機(jī)構(gòu)數(shù)字證書，主要用于標(biāo)識數(shù)字證書機(jī)構(gòu)所有人的身份，包含機(jī)構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱、組織機(jī)構(gòu)代碼等，可用于機(jī)構(gòu)在電子商務(wù)、電子政務(wù)應(yīng)用中進(jìn)行合同簽定、網(wǎng)上支付、行政審批、網(wǎng)上辦公等各類活動。設(shè)備數(shù)字證書，用于在網(wǎng)絡(luò)應(yīng)用中標(biāo)識網(wǎng)絡(luò)設(shè)備的身份，主要包含了設(shè)備的相關(guān)信息及其公鑰，如：域名、網(wǎng)址等，可用于VPN服務(wù)器、WEB服務(wù)器等各種網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)通訊中標(biāo)識和驗證設(shè)備身份。此外，還有代碼簽名數(shù)字證書，是簽發(fā)給軟件提供者的數(shù)字證書，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來源于一個真實軟件發(fā)布者，可以有效防止軟件代碼被篡改。用戶身份認(rèn)證所謂身份認(rèn)證，就是判斷一個用戶是否為合法用戶的處理過程。最常用的簡單身份認(rèn)證方式是系統(tǒng)通過核對用戶輸入的用戶名和口令，看其是否與系統(tǒng)中存儲的該用戶的用戶名和口令一致，來判斷用戶身份是否正確。復(fù)雜一些的身份認(rèn)證方式采用一些較復(fù)雜的加密算法與協(xié)議，需要用戶出示更多的信息(如私鑰)來證明自己的身份，如Kerberos身份認(rèn)證系統(tǒng)。身份認(rèn)證一般與授權(quán)控制是相互聯(lián)系的，授權(quán)控制是指一旦用戶的身份通過認(rèn)證以后，確定哪些資源該用戶可以訪問、可以進(jìn)行何種方式的訪問操作等問題。在一個數(shù)字化的工作體系中，應(yīng)該有一個統(tǒng)一的身份認(rèn)證系統(tǒng)供各應(yīng)用系統(tǒng)使用，但授權(quán)控制可以由各應(yīng)用系統(tǒng)自己管理。統(tǒng)一用戶管理系統(tǒng)(IDS),實現(xiàn)網(wǎng)上應(yīng)用系統(tǒng)的用戶、角色和組織機(jī)構(gòu)統(tǒng)一化管理，實現(xiàn)各種應(yīng)用系統(tǒng)間跨域的單點登錄和單點退出和統(tǒng)一的身份認(rèn)證功能，用戶登錄到一個系統(tǒng)后，再轉(zhuǎn)入到其他應(yīng)用系統(tǒng)時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應(yīng)用系統(tǒng)中身份的一致性。身份認(rèn)證可分為用戶與系統(tǒng)間的認(rèn)證和系統(tǒng)與系統(tǒng)之間的認(rèn)證。身份認(rèn)證必須做到準(zhǔn)確無誤地將對方辨認(rèn)出來，同時還應(yīng)該提供雙向的認(rèn)證。目前使用比較多的是用戶與系統(tǒng)間的身份認(rèn)證，它只需單向進(jìn)行，只由系統(tǒng)對用戶進(jìn)行身份驗證。隨著計算機(jī)網(wǎng)絡(luò)化的發(fā)展，大量的組織機(jī)構(gòu)涌入國際互聯(lián)網(wǎng)，以及電子商務(wù)與電子政務(wù)的大量興起，系統(tǒng)與系統(tǒng)之間的身份認(rèn)證也變得越來越重要。身份認(rèn)證的基本方式可以基于下述一個或幾個因素的組合：所知（Knowledge）：即用戶所知道的或所掌握的知識，如口令；所有（Possesses）：用戶所擁有的某個秘密信息，如智能卡中存儲的用戶個人化參數(shù)，訪問系統(tǒng)資源時必須要有智能卡；特征（Characteristics）：用戶所具有的生物及動作特征，如指紋、聲音、視網(wǎng)膜掃描等。根據(jù)在認(rèn)證中采用的因素的多少，可以分為單因素認(rèn)證、雙因素認(rèn)證、多因素認(rèn)證等方法。身份認(rèn)證系統(tǒng)所采用的方法考慮因素越多，認(rèn)證的可靠性就越高。認(rèn)證機(jī)制基于口令的身份認(rèn)證機(jī)制基于口令的身份認(rèn)證技術(shù)因其簡單易用，得到了廣泛的使用。但隨著網(wǎng)絡(luò)應(yīng)用的深入和網(wǎng)絡(luò)攻擊手段的多樣化，口令認(rèn)證技術(shù)也不斷發(fā)生變化，產(chǎn)生了各種各樣的新技術(shù)。最常采用的身份認(rèn)證方式是基于靜態(tài)口令的認(rèn)證方式，它是最簡單、目前應(yīng)用最普遍的一種身份認(rèn)證方式。但它是一種單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充；同時易被攻擊，采用窺探、字典攻擊、窮舉嘗試、網(wǎng)絡(luò)數(shù)據(jù)流竊聽、重放攻擊等很容易攻破該認(rèn)證系統(tǒng)。相對靜態(tài)口令，動態(tài)口令也叫一次性口令，它的基本原理是在用戶登錄過程中，基于用戶口令加入不確定因子，對用戶口令和不確定因子進(jìn)行單向散列函數(shù)變換，所得的結(jié)果作為認(rèn)證數(shù)據(jù)提交給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器接收到用戶的認(rèn)證數(shù)據(jù)后，把用戶的認(rèn)證數(shù)據(jù)和自己用同樣的散列算法計算出的數(shù)值進(jìn)行比對，從而實現(xiàn)對用戶身份的認(rèn)證。在認(rèn)證過程中，用戶口令不在網(wǎng)絡(luò)上傳輸，不直接用于驗證用戶的身份。動態(tài)口令機(jī)制每次都采用不同的不確定因子來生成認(rèn)證數(shù)據(jù)，從而每次提交的認(rèn)證數(shù)據(jù)都不相同，提高了認(rèn)證過程的安全性。挑戰(zhàn)/響應(yīng)認(rèn)證機(jī)制挑戰(zhàn)/響應(yīng)方式的身份認(rèn)證機(jī)制就是每次認(rèn)證時認(rèn)證服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”碼，客戶端程序收到這個“挑戰(zhàn)”碼，根據(jù)客戶端和服務(wù)器之間共享的密鑰信息，以及服務(wù)器端發(fā)送的“挑戰(zhàn)”碼做出相應(yīng)的“應(yīng)答”。服務(wù)器根據(jù)應(yīng)答的結(jié)果確定是否接受客戶端的身份聲明。從本質(zhì)上講，這種機(jī)制實際上也是一次性口令的一種。一個典型的認(rèn)證過程如下圖所示：認(rèn)證過程為：1)客戶向認(rèn)證服務(wù)器發(fā)出請求，要求進(jìn)行身份認(rèn)證；2)認(rèn)證服務(wù)器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進(jìn)一步處理；3)認(rèn)證服務(wù)器內(nèi)部產(chǎn)生一個隨機(jī)數(shù)，作為“挑戰(zhàn)”碼，發(fā)送給客戶；4)客戶將用戶名字和隨機(jī)數(shù)合并，使用單向Hash函數(shù)（例如MD5算法）生成一個字節(jié)串作為應(yīng)答；5)認(rèn)證服務(wù)器將應(yīng)答串與自己的計算結(jié)果比較，若二者相同，則通過一次認(rèn)證；否則，認(rèn)證失??；6)認(rèn)證服務(wù)器通知客戶認(rèn)證成功或失敗。EAP認(rèn)證機(jī)制EAP（ExtensibleAuthenticationProtocol）擴(kuò)展認(rèn)證協(xié)議在RFC2248中定義，是一個普遍使用的認(rèn)證機(jī)制，它常被用于無線網(wǎng)絡(luò)或點到點的連接中。EAP不僅可以用于無線局域網(wǎng)，而且可以用于有線局域網(wǎng)，但它在無線局域網(wǎng)中使用的更頻繁。EAP實際是一個認(rèn)證框架，不是一個特殊的認(rèn)證機(jī)制。EAP提供一些公共的功能，并且允許協(xié)商所希望的認(rèn)證機(jī)制。這些機(jī)制被稱為EAP方法。由于EAP方法除了IETF定義了一部分外，廠商也可以自定義方法，因此EAP具有很強(qiáng)的擴(kuò)展性。IETF的RFC中定義的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。無線網(wǎng)絡(luò)中常用的方法包括EAP-TLS、EAP-SIM、EAP-AKA、PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的網(wǎng)絡(luò)中使用廣泛，可擴(kuò)展的EAP方法可以為接入網(wǎng)絡(luò)提供一個安全認(rèn)證機(jī)制。鑰認(rèn)證機(jī)制隨著網(wǎng)絡(luò)應(yīng)用的普及，對系統(tǒng)外用戶進(jìn)行身份認(rèn)證的需求不斷增加，即某個用戶沒有在一個系統(tǒng)中注冊，但也要求能夠?qū)ζ渖矸葸M(jìn)行認(rèn)證，尤其是在分布式系統(tǒng)中，這種要求格外突出。這種情況下，公鑰認(rèn)證機(jī)制就顯示出它獨特的優(yōu)越性。公鑰認(rèn)證機(jī)制中每個用戶被分配給一對密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向所有人公開。用戶如果能夠向驗證方證實自己持有私鑰，就證明了自己的身份。當(dāng)它用作身份認(rèn)證時，驗證方需要用戶方對某種信息進(jìn)行數(shù)字簽名，即用戶方以用戶私鑰作為加密密鑰，對某種信息進(jìn)行加密，傳給驗證方，而驗證方根據(jù)用戶方預(yù)先提供的公鑰作為解密密鑰，就可以將用戶方的數(shù)字簽名進(jìn)行解密，以確認(rèn)該信息是否是該用戶所發(fā)，進(jìn)而認(rèn)證該用戶的身份。公鑰認(rèn)證機(jī)制中要驗證用戶的身份，必須擁有用戶的公鑰，而用戶公鑰是否正確，是否是所聲稱擁有人的真實公鑰，在認(rèn)證體系中是一個關(guān)鍵問題。常用的辦法是找一個值得信賴而且獨立的第三方認(rèn)證機(jī)構(gòu)充當(dāng)認(rèn)證中心（CertificateAuthority，CA），來確認(rèn)聲稱擁有公開密鑰的人的真正身份。要建立安全的公鑰認(rèn)證系統(tǒng)，必須先建立一個穩(wěn)固、健全的CA體系，尤其是公認(rèn)的權(quán)威機(jī)構(gòu)，即“RootCA”，這也是當(dāng)前公鑰基礎(chǔ)設(shè)施（PKI）建設(shè)的一個重點。認(rèn)證協(xié)議許多協(xié)議在向用戶或設(shè)備授權(quán)訪問和訪問權(quán)限之前需要認(rèn)證校驗，通常要用到認(rèn)證相關(guān)的機(jī)制，前面討論了常用的認(rèn)證機(jī)制，本節(jié)介紹使用這些認(rèn)證機(jī)制的協(xié)議，這些協(xié)議包括RADIUS、TACACS、Kerberos、LDAP等。RADIUS和TACACS通常用在撥號環(huán)境中，Kerberos是在校園網(wǎng)中用的比較多的協(xié)議。LDAP提供一種輕量級的目錄服務(wù)，嚴(yán)格來說不能算作一種認(rèn)證協(xié)議，而對用戶進(jìn)行認(rèn)證授權(quán)只是LDAP的一種應(yīng)用。RADIUS認(rèn)證協(xié)議RADIUS（RemoteAuthenticationDialInUserService）協(xié)議最初是由Livingston公司提出的，目的是為撥號用戶進(jìn)行認(rèn)證和計費。后來經(jīng)過多次改進(jìn)，形成了一個通用的AAA協(xié)議。RADIUS協(xié)議認(rèn)證機(jī)制靈活，能夠支持各種認(rèn)證方法對用戶進(jìn)行認(rèn)證。可以采用上述任何一種認(rèn)證機(jī)制。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于屬性進(jìn)行的，由于屬性可擴(kuò)展性，因此很容易支持不同的認(rèn)證方式。RADIUS協(xié)議通過UDP協(xié)議進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務(wù)器大多在同一個局域網(wǎng)中，使用UDP更加快捷方便。TACACS認(rèn)證協(xié)議TACACS（TerminalAccessControllerAccessControlSystem）最先是由BBN為MILNET開發(fā)的一種基于UDP的訪問控制協(xié)議，一些廠商對協(xié)議進(jìn)行了擴(kuò)展，最終形成了一種新的AAA協(xié)議，其中CISCO公司對TACACS協(xié)議多次進(jìn)行增強(qiáng)擴(kuò)展，目前成為TACACS+協(xié)議，H3C在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)，形成了H3C擴(kuò)展的TACACS協(xié)議。無論TACACS、TACACS+還是H3C擴(kuò)展TACACS協(xié)議，其認(rèn)證、授權(quán)和計費是分離的，并且與原始TACACS協(xié)議相比，TACACS+和HWTACACS可以使用TCP作為傳輸層協(xié)議，端口號為49。TACACS+允許任意長度和內(nèi)容的認(rèn)證交換，與RADIUS一樣，具有很強(qiáng)的擴(kuò)展性，并且客戶端可以使用任何認(rèn)證機(jī)制。由于TACACS+的認(rèn)證與其他服務(wù)是分開的，所以認(rèn)證不是強(qiáng)制的，這點與RADIUS是不同的。Kerberos認(rèn)證協(xié)議在一個分布式環(huán)境中，采用上述兩種認(rèn)證協(xié)議時，如果發(fā)生賬號改動的情況，每臺機(jī)器上的都要進(jìn)行相應(yīng)的賬號修改，工作量非常大。Kerberos是MIT為解決分布式網(wǎng)絡(luò)認(rèn)證而設(shè)計的可信第三方認(rèn)證協(xié)議。Kerberos基于對稱密碼技術(shù)，網(wǎng)絡(luò)上的每個實體持有不同的密鑰，是否知道該密鑰便是身份的證明。網(wǎng)絡(luò)上的Kerberos服務(wù)起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)認(rèn)證。Kerberos常見的有兩個版本：第4版和第5版，目前使用的標(biāo)準(zhǔn)版本是版本5。Kerberos是一種受托的第三方認(rèn)證服務(wù)，它是建立在Needham和Schroeder認(rèn)證協(xié)議基礎(chǔ)上，它要求信任第三方，即Kerberos認(rèn)證服務(wù)器（AS）。AS為客戶和服務(wù)器提供證明自己身份的票據(jù)以及雙方安全通信的會話密鑰。Kerberos中還有一個票據(jù)授予服務(wù)器（TGS），TGS向AS的可靠用戶發(fā)出票據(jù)。除客戶第一次獲得的初始票據(jù)是由Kerberos認(rèn)證服務(wù)器簽發(fā)外，其他票據(jù)都是由TGS簽發(fā)的，一個票據(jù)可以使用多次直至期限。客戶方請求服務(wù)方提供一個服務(wù)時，不僅要向服務(wù)方發(fā)送從票據(jù)授予服務(wù)器領(lǐng)來的票據(jù)，同時還要自己生成一個鑒別碼(Authenticator，Ac)一同發(fā)送，該證是一次性的。LDAP協(xié)議LDAP（LightweightDirectoryAccessProtocol）是基于X.500標(biāo)準(zhǔn)的，但是比X.500簡單，并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP是一個目錄服務(wù)協(xié)議，目前存在眾多版本的LDAP，而最常見的則是V2和V3兩個版本，它們分別于1995年和1997年首次發(fā)布。一般在分布式、跨平臺認(rèn)證的場景下，LDAP比前面介紹的認(rèn)證協(xié)議具有一定優(yōu)勢。LDAP協(xié)議嚴(yán)格來說并不屬于單純認(rèn)證協(xié)議，對用戶進(jìn)行授權(quán)認(rèn)證是LDAP協(xié)議的一個典型應(yīng)用。例如Microsoft的Windows操作系統(tǒng)就使用了ActiveDirectoryServer來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄Windows時的認(rèn)證和授權(quán)。目錄服務(wù)其實也是