【正文】 同的物理通道進行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。目錄服務其實也是一種數(shù)據(jù)庫系統(tǒng)，只是這種數(shù)據(jù)庫是一種樹形結構，而不是通常使用的關系數(shù)據(jù)庫。LDAP 是一個目錄服務協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個版本，它們分別于 1995 年和 1997 年首次發(fā)布。除客戶第一次獲得的初始票據(jù)是由 Kerberos 認證服務器簽發(fā)外，其他票據(jù)都是由 TGS 簽發(fā)的，一個票據(jù)可以使用多次直至期限。Kerberos 常見的有兩個版本：第 4 版和第 5 版，目前使用的標準版本是版本 5。 Kerberos 認證協(xié)議在一個分布式環(huán)境中，采用上述兩種認證協(xié)議時，如果發(fā)生賬號改動的情況，每臺機器上的都要進行相應的賬號修改，工作量非常大。 TACACS 認證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由 BBN 為MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對協(xié)議進行了擴展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對 TACACS 協(xié)議多次進行增強擴展，目前成為 TACACS+協(xié)議， H3C 在 TACACS（RFC1492）基礎上進行了功能增強，形成了 H3C 擴展的 TACACS 協(xié)議。可以采用上述任何一種認證機制。 LDAP 提供一種輕量級的目錄服務，嚴格來說不能算作一種認證協(xié)議，而對用戶進行認證授權只是LDAP 的一種應用。常用的辦法是找一個值得信賴而且獨立的第三方認證機構充當認證中心（Certificate Authority，CA） ，來確認聲稱擁有公開密鑰的人的真正身份。公鑰認證機制中每個用戶被分配給一對密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向所有人公開。無線網(wǎng)絡中常用的方法包括 EAPTLS、 EAPSIM、 EAPAKA、 PEAP、LEAP 和 EAPTTLS。EAP 提供一些公共的功能，并且允許協(xié)商所希望的認證機制。一個典型的認證過程如下圖所示：認證過程為：1) 客戶向認證服務器發(fā)出請求，要求進行身份認證；2) 認證服務器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理；3) 認證服務器內部產(chǎn)生一個隨機數(shù)，作為“挑戰(zhàn)”碼，發(fā)送給客戶；4) 客戶將用戶名字和隨機數(shù)合并，使用單向 Hash 函數(shù)（例如 MD5 算法）生成一個字節(jié)串作為應答；5) 認證服務器將應答串與自己的計算結果比較，若二者相同，則通過一次認證；否則，認證失??；6) 認證服務器通知客戶認證成功或失敗。動態(tài)口令機制每次都采用不同的不確定因子來生成認證數(shù)據(jù)，從而每次提交的認證數(shù)據(jù)都不相同，提高了認證過程的安全性。但它是一種單因素的認證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充；同時易被攻擊，采用窺探、字典攻擊、窮舉嘗試、網(wǎng)絡數(shù)據(jù)流竊聽、重放攻擊等很容易攻破該認證系統(tǒng)。身份認證系統(tǒng)所采用的方法考慮因素越多，認證的可靠性就越高。目前使用比較多的是用戶與系統(tǒng)間的身份認證，它只需單向進行，只由系統(tǒng)對用戶進行身份驗證。在一個數(shù)字化的工作體系中，應該有一個統(tǒng)一的身份認證系統(tǒng)供各應用系統(tǒng)使用，但授權控制可以由各應用系統(tǒng)自己管理。 用戶身份認證所謂身份認證，就是判斷一個用戶是否為合法用戶的處理過程。個人數(shù)字證書，主要用于標識數(shù)字證書自然人所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網(wǎng)上進行合 12 / 23同簽定、定單、錄入審核、操作權限、支付信息等活動。同樣，為證實發(fā)件人的身份，發(fā)送者要用自己的私鑰對信件進行簽名；收件人可使用發(fā)送者的公鑰對簽名進行驗證，以確認發(fā)送者的身份。公鑰公之于眾，誰都可以使用。在因特網(wǎng)、公司內部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。證書的格式和驗證方法普遍遵循 國際標準。在 CA 判明申請者的身份后，便為他分配一個公鑰，并且 CA 將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。CA 機構的數(shù)字簽名使得攻擊者不能偽造和篡改證書。大家都以使用公鑰進行加密，但是只有私鑰的持有者才能解密。 ?解密：通過解密算法和私鑰對密文進行解密，得到明文。?使得商業(yè)機密或技術成果泄露或者被散播。 9 / 23 信息安全后果在現(xiàn)代網(wǎng)絡信息社會環(huán)境下．由于存在各種各樣的安全威脅，比如病毒、誤操作、設備故障和黑客攻擊等，從而可能會造成重要數(shù)據(jù)文件的丟失。簡單的說拒絕服務攻擊就是想辦法將被攻擊的計算機資源或網(wǎng)絡帶寬資源耗盡．導致網(wǎng)絡或系統(tǒng)不勝負荷以至于癱瘓．而停止提供正常的服務。在越來越依賴網(wǎng)絡的今天．由于病毒導致的系統(tǒng)破壞將帶來巨大的損失。當用戶在這個偽裝的界面上鍵入登錄信息后．黑客程序會將用戶輸入的信息傳送到攻擊者主機．然后關閉界面給出提示錯誤．要求用戶重新登錄。獲取了領導的賬號和密碼，從而可以利用這些密碼．查閱只能由領導查閱的秘密文件等。 竊聽攻擊網(wǎng)絡竊聽是最直接的獲取數(shù)據(jù)的手段．如果在共享的網(wǎng)絡通道上，用沒有加密的明文傳輸敏感數(shù)據(jù)．這些信息很可能被竊聽和監(jiān)視。正常情況下，程序開放完成后需要去掉各個模塊的后門，不過有時由于疏忽或者其他原因，比如說如保留后門便于日后訪問、測試或維護．后門沒有去掉，一些別有用心的人就會利用專門的掃描工具發(fā)現(xiàn)并利用這些后門，然后進 7 / 23入系統(tǒng)并發(fā)動攻擊。如果系統(tǒng)管理人員沒有對網(wǎng)絡和操作系統(tǒng)的漏洞及時打補丁．入侵者就可以很容易利用這些公開的漏洞，侵入系統(tǒng)．從而對整個網(wǎng)絡帶來災難性的后果。弱口令問題普遍存在，主要的解決方式是建立嚴格、規(guī)范化的口令管理流程和管理機制。通過該漏洞，攻擊者只要知道設備的 IP 地址，即可采用電腦對設備進行拒絕服務攻擊，從而導致設備癱瘓或被攻擊者接管。 “字典攻擊”就是通過編寫一個應用程序．根據(jù)一定的規(guī)律．由應用程序自動反復地去嘗試口令．強行破解用戶口令。在現(xiàn)實生活中．由于用戶名和密碼被盜造成損失的例子有很多，一旦用戶名和密碼被盜．入侵者還可以冒用此用戶的名義對系統(tǒng)進行進一步的破壞和攻擊．從而給用戶本身或者整個系統(tǒng)造成非常大的損失。 網(wǎng)絡攻擊方式互聯(lián)網(wǎng)技術在飛速發(fā)展的同時．黑客技術也在飛速發(fā)展，網(wǎng)絡世界的安全性不斷地在受到挑戰(zhàn)。與外部威脅相比，來自內部的攻擊和犯罪更難防范，而且是網(wǎng)絡安全的主要來源，據(jù)統(tǒng)計，大約 80%的安全威脅來自系統(tǒng)內部。其他的技術缺陷還包括應用程序的編寫對安全性考慮不足．網(wǎng)絡通訊設備包括路由器、交換機存在安全的缺陷等等．這些技術上的缺陷都容易被入侵者利用．從而構成安全威脅。未加密的公網(wǎng)傳輸毫無保密性可言。第三，在視頻傳輸中，利用公安專用通信網(wǎng)保密性最佳，其次為視頻圖像專網(wǎng)，再次為虛擬專用網(wǎng)（VPN，VirtualPrivateNetwork） ，未加密的公網(wǎng)傳輸，包括移動互聯(lián)網(wǎng)傳輸保密性是很差的。即便是美國國防部內部網(wǎng)絡都曾被黑客入侵，何況是民用監(jiān)控。為了使信息安全傳輸，通常需要一個可信任的第三方，其作用是負責向通信雙方分發(fā)秘密信息，以及在雙方發(fā)生爭議時進行仲裁。 3 / 23 安全機制 安全體系架構 網(wǎng)絡安全基本模型網(wǎng)絡安全基本模型包括通信主體雙方、攻擊者和可信第三方，通信雙方在網(wǎng)絡上傳輸信息，需要先在發(fā)收之間建立一條邏輯通道。包括用戶身份認證，用戶權限確認。從實踐環(huán)節(jié)看，信息安全服務是由參與通信的開放系統(tǒng)的某一層(OSI)所提供的服務，它確保了該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。其重要性，正隨著全球信息化步伐的加快越來越重要。各省城市視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)共享平臺已基本建設完成，標準基于國標 GB/T 28181，但對于視頻信息安全的要求沒有嚴格要求。所以在信息安全上，應仔細排查安全隱患，防患于未然。城市視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息安全設計方案二〇一五年十一月 2 / 23目 錄1 項目背景 ............................................................................................................................12 信息安全相關知識 ........................................................