【正文】 次認(rèn)證時認(rèn)證服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”碼，客戶端程序收到這個“挑戰(zhàn)”碼，根據(jù)客戶端和服務(wù)器之間共享的密鑰信息，以及服務(wù)器端發(fā)送的“挑戰(zhàn)”碼做出相應(yīng)的“應(yīng)答” 。 認(rèn)證機(jī)制 基于口令的身份認(rèn)證機(jī)制基于口令的身份認(rèn)證技術(shù)因其簡單易用，得到了廣泛的使用。統(tǒng)一用戶管理系統(tǒng)(IDS),實(shí)現(xiàn)網(wǎng)上應(yīng)用系統(tǒng)的用戶、角色和組織機(jī)構(gòu)統(tǒng)一化管理，實(shí)現(xiàn)各種應(yīng)用系統(tǒng)間跨域的單點(diǎn)登錄和單點(diǎn)退出和統(tǒng)一的身份認(rèn)證功能，用戶登錄到一個系統(tǒng)后，再轉(zhuǎn)入到其他應(yīng)用系統(tǒng)時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應(yīng)用系統(tǒng)中身份的一致性。機(jī)構(gòu)數(shù)字證書，主要用于標(biāo)識數(shù)字證書機(jī)構(gòu)所有人的身份，包含機(jī)構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱、組織機(jī)構(gòu)代碼等，可用于機(jī)構(gòu)在電子商務(wù)、電子政務(wù)應(yīng)用中進(jìn)行合同簽定、網(wǎng)上支付、行政審批、網(wǎng)上辦公等各類活動。私鑰只有自己知道。信息發(fā)送者用其私匙對從所傳報文中提取出的特征數(shù)據(jù)（或稱數(shù)字指紋）進(jìn)行RSA 算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性） ，同時也確保信息報文在傳遞過程中未被篡改（即完整性） 。CA 也擁有一個證書（內(nèi)含公鑰）和私鑰。在實(shí)際的使用中，有需要的人會生成一對公鑰和私鑰，把公鑰發(fā)布出去給別人使用， 10 / 23自己保留私鑰。?安全問題還可能使得服務(wù)被迫停止，并給客戶層帶來服務(wù)質(zhì)量低劣的印象，使得企業(yè)形象被破壞，從而造成惡劣影響和難以挽回的損失。DoS 攻擊由于可以通過使用一些公開的軟件和工具進(jìn)行攻擊，因而它的發(fā)動較為簡單． ”拒絕服務(wù)”的攻擊方式是：用戶發(fā)送許多要求確認(rèn)的信息到服務(wù)器．使服務(wù)器里充斥著這種大量要求回復(fù)的無用信息．所有的信息都有需回復(fù)的虛假地址．而當(dāng)服務(wù)器試圖回傳時．卻無法找到用戶。此后．才會出現(xiàn)真正的登錄界面．這就是欺詐攻擊的一種方式。竊聽者可以采用如 sniffef 等網(wǎng)絡(luò)協(xié)議分析工具，非常容易地在信息傳輸過程中獲取所有信息的內(nèi)容，這些信息包括賬號．密碼等重要信息。軟件攻擊除了利用系統(tǒng)的漏洞外．還可以利用一些后門程序。弱口令。　就目前的黑客技術(shù)來說．用戶名和密碼的盜取對黑客不再是有難度的事情，黑客盜取口令的方法有很多。?動態(tài)環(huán)境變化。除了接入網(wǎng)絡(luò)的設(shè)備會受到網(wǎng)絡(luò)安全隱患威脅外這一無法回避的因素外，安防企業(yè)多是習(xí)慣于用局域網(wǎng)或者專網(wǎng)視角來看待問題。其次，視頻監(jiān)控網(wǎng)絡(luò)安全問題是普遍存在的，并非只?？低曇患摇＿@就要先確定從發(fā)送端到接收端的路由，再選擇該路由上使用的通信協(xié)議，如 TCP/IP。結(jié)合信息安全的基本要素，明確五大類安全服務(wù)，即鑒別、訪問控制、數(shù)據(jù)完整、數(shù)據(jù)保密、抗抵賴。在國家對網(wǎng)絡(luò)和信息安全高度重視的當(dāng)下，扮演政府、企業(yè)、社區(qū)“守門人”角色的安防行業(yè)，實(shí)現(xiàn)自主可控異常重要。對不法分子來說，只要擊破云服務(wù)器，意味著可以獲得更多的資源，例如 iCloud 泄露門，12306 信息泄露，攜程信息泄露等。有專家估計，中國每年因網(wǎng)絡(luò)信息安全問題造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 數(shù)據(jù)保密性服務(wù)（ confidentiality）防止系統(tǒng)內(nèi)交換數(shù)據(jù)被截獲或非法存取而造成泄密，提供加密保護(hù)。 4 / 23 通信和網(wǎng)絡(luò)安全能完成對出入辦公室人員的授權(quán)管理，能對進(jìn)出辦公室人員的歷史出入記錄進(jìn)行查詢及輸出。現(xiàn)有系統(tǒng)的承載網(wǎng)絡(luò)情況復(fù)雜，平臺部署在不同的承載網(wǎng)絡(luò)上。主要有以下幾個方面：?內(nèi)部管理漏洞。只果你要上網(wǎng)．就免不了遇到病毒和黑客。2022 年 11 月，知名專業(yè)安全網(wǎng)站 SecurityStreetRapid 公布了 3 個 RTSP 安全漏洞，編號分別為：CVE2022487CVE20224879 及 CVE20224880。特別是計算機(jī)系統(tǒng)．在安裝好操作系統(tǒng)后．出現(xiàn)漏洞和缺陷的可能性是最大的，這些漏洞需要廠商發(fā)布補(bǔ)丁(patch)程序來進(jìn)行修補(bǔ)。境外惡意攻擊者一般會對網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)系統(tǒng)存在弱口令問題后會利用其中未修復(fù)的安全漏洞進(jìn)行攻擊，然后植入后門軟件進(jìn)行長期控制。 欺詐攻擊欺詐攻擊是利用假冒方式騙取連接和信息資源、損害企業(yè)的聲譽(yù)和利益的方式。從 20 世紀(jì) 80 年代起．計算機(jī)使用者就開始和計算機(jī)病毒斗爭，特別是隨著近年互聯(lián)網(wǎng)的發(fā)展．網(wǎng)絡(luò)應(yīng)用的普及、人們對計算機(jī)的依賴程度的不斷提高．這一切為病毒的傳播提供了方便的渠道，同時也使計算機(jī)病毒的種類迅速增加．?dāng)U散速度大大加快．受感染的范圍越來越廣，病毒的破壞性也越來越嚴(yán)重。比如說，在被攻擊的網(wǎng)站首頁上貼上謠言、黃色圖片或反動言論．從而造成法律上和政治上的嚴(yán)重后果。注意，由公鑰加密的內(nèi)容，只能由私鑰進(jìn)行解密，也就是說，由公鑰加密的內(nèi)容，如果不知道私鑰，是無法解密的。CA 是證書的簽發(fā)機(jī)構(gòu),它是 PKI 的核心。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實(shí)性進(jìn)行驗證，也需要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證，并負(fù)責(zé)管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié) 11 / 23 數(shù)字證書證書實(shí)際是由證書簽證機(jī)關(guān)（CA）簽發(fā)的對用戶的公鑰的認(rèn)證。1. 使用數(shù)字證書能做什么?數(shù)字證書在用戶公鑰后附加了用戶信息及 CA 的簽名。用數(shù)字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。復(fù)雜一些的身份認(rèn)證方式采用一些較復(fù)雜的加密算法與協(xié)議，需要用戶出示更多的信息(如私鑰)來證明自己的身份，如 Kerberos 身份認(rèn)證系統(tǒng)。身份認(rèn)證的基本方式可以基于下述一個或幾個因素的組合：所知（Knowledge）：即用戶所知道的或所掌握的知識，如口令；所有（Possesses ）：用戶所擁有的某個秘密信息，如智能卡中存儲的用戶個人化參數(shù)，訪問系統(tǒng)資源時必須要有智能卡；特征（Characteristics）：用戶所具有的生物及動作特征，如指紋、聲音、視網(wǎng)膜掃描等。認(rèn)證服務(wù)器接收到用戶的認(rèn)證數(shù)據(jù)后，把用戶的認(rèn)證數(shù)據(jù)和自己用同樣的散列算法計算出的數(shù)值進(jìn)行比對，從而實(shí)現(xiàn)對用戶身份的認(rèn)證。EAP 不僅可以用于無線局域網(wǎng)，而且可以用于有線局域網(wǎng)，但它在無線局域網(wǎng)中使用的更頻繁。 鑰認(rèn)證機(jī)制隨著網(wǎng)絡(luò)應(yīng)用的普及，對系統(tǒng)外用戶進(jìn)行身份認(rèn)證的需求不斷增加，即某個用戶沒有在一個系統(tǒng)中注冊，但也要求能夠?qū)ζ渖矸葸M(jìn)行認(rèn)證，尤其是在分布式系統(tǒng)中，這種要求格外突出。 認(rèn)證協(xié)議許多協(xié)議在向用戶或設(shè)備授權(quán)訪問和訪問權(quán)限之前需要認(rèn)證校驗，通常要用到認(rèn)證相關(guān)的機(jī)制，前面討論了常用的認(rèn)證機(jī)制，本節(jié)介紹使用這些認(rèn)證機(jī)制的協(xié)議，這些協(xié)議包括 RADIUS、TACACS 、Kerberos、LDAP 等。RADIUS 協(xié)議通過 UDP 協(xié)議進(jìn)行通信， RADIUS 服務(wù)器的 1812 端口負(fù)責(zé)認(rèn)證，1813 端口負(fù)責(zé)計費(fèi)工作。Kerberos 基于對稱密碼技術(shù)，網(wǎng)絡(luò)上的每個實(shí)體持有不同的密鑰，是否知道該密鑰便是身份的證明。 LDAP 協(xié)議LDAP（Lightweight Directory Access Protocol）是基于 標(biāo)準(zhǔn)的，但是比 簡單，并且可以根據(jù)需要定制。所以 LDAP 協(xié)議非常適合數(shù)據(jù)庫相對穩(wěn)定，而查詢速度要求比較高的認(rèn)證場合。 媒體流加密對于視頻流的實(shí)時加密流程與信令流類似，同樣需要進(jìn)行交換標(biāo)識，以讀取密碼生成密鑰。 18 / 23視頻流和視頻控制信令應(yīng)以不同的物理通道進(jìn)行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。LDAP 是一個目錄服務(wù)協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個版本，它們分別于 1995 年和 1997 年首次發(fā)布。Kerberos 常見的有兩個版本：第 4 版和第 5 版，目前使用的標(biāo)準(zhǔn)版本是版本 5。 TACACS 認(rèn)證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由 BBN 為MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對協(xié)議進(jìn)行了擴(kuò)展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對 TACACS 協(xié)議多次進(jìn)行增強(qiáng)擴(kuò)展，目前成為 TACACS+協(xié)議， H3C 在 TACA