【正文】 為 EAP 方法。由于 EAP 方法除了 15 / 23IETF 定義了一部分外，廠商也可以自定義方法，因此 EAP 具有很強(qiáng)的擴(kuò)展性。IETF 的 RFC 中定義的方法包括 EAPMDEAPOTP、EAPGTC、EAPTLS、EAPSIM 和 EAPAKA 等。無線網(wǎng)絡(luò)中常用的方法包括 EAPTLS、 EAPSIM、 EAPAKA、 PEAP、LEAP 和 EAPTTLS。目前 EAP 在 的網(wǎng)絡(luò)中使用廣泛，可擴(kuò)展的 EAP 方法可以為接入網(wǎng)絡(luò)提供一個(gè)安全認(rèn)證機(jī)制。 鑰認(rèn)證機(jī)制隨著網(wǎng)絡(luò)應(yīng)用的普及，對(duì)系統(tǒng)外用戶進(jìn)行身份認(rèn)證的需求不斷增加，即某個(gè)用戶沒有在一個(gè)系統(tǒng)中注冊(cè)，但也要求能夠?qū)ζ渖矸葸M(jìn)行認(rèn)證，尤其是在分布式系統(tǒng)中，這種要求格外突出。這種情況下，公鑰認(rèn)證機(jī)制就顯示出它獨(dú)特的優(yōu)越性。公鑰認(rèn)證機(jī)制中每個(gè)用戶被分配給一對(duì)密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向所有人公開。用戶如果能夠向驗(yàn)證方證實(shí)自己持有私鑰，就證明了自己的身份。當(dāng)它用作身份認(rèn)證時(shí)，驗(yàn)證方需要用戶方對(duì)某種信息進(jìn)行數(shù)字簽名，即用戶方以用戶私鑰作為加密密鑰，對(duì)某種信息進(jìn)行加密，傳給驗(yàn)證方，而驗(yàn)證方根據(jù)用戶方預(yù)先提供的公鑰作為解密密鑰，就可以將用戶方的數(shù)字簽名進(jìn)行解密，以確認(rèn)該信息是否是該用戶所發(fā)，進(jìn)而認(rèn)證該用戶的身份。公鑰認(rèn)證機(jī)制中要驗(yàn)證用戶的身份，必須擁有用戶的公鑰，而用戶公鑰是否正確，是否是所聲稱擁有人的真實(shí)公鑰，在認(rèn)證體系中是一個(gè)關(guān)鍵問題。常用的辦法是找一個(gè)值得信賴而且獨(dú)立的第三方認(rèn)證機(jī)構(gòu)充當(dāng)認(rèn)證中心（Certificate Authority，CA） ，來確認(rèn)聲稱擁有公開密鑰的人的真正身份。要建立安全的公鑰認(rèn)證系統(tǒng)，必須先建立一個(gè)穩(wěn)固、健全的 CA 體系，尤其是公認(rèn)的權(quán)威機(jī)構(gòu)，即“Root CA”，這也是當(dāng)前公鑰基礎(chǔ)設(shè)施（PKI）建設(shè)的一個(gè)重點(diǎn)。 認(rèn)證協(xié)議許多協(xié)議在向用戶或設(shè)備授權(quán)訪問和訪問權(quán)限之前需要認(rèn)證校驗(yàn)，通常要用到認(rèn)證相關(guān)的機(jī)制，前面討論了常用的認(rèn)證機(jī)制，本節(jié)介紹使用這些認(rèn)證機(jī)制的協(xié)議，這些協(xié)議包括 RADIUS、TACACS 、Kerberos、LDAP 等。RADIUS 和 TACACS 通常用在撥號(hào)環(huán)境中，Kerberos 是在校園網(wǎng)中用的比較多的協(xié)議。 LDAP 提供一種輕量級(jí)的目錄服務(wù)，嚴(yán)格來說不能算作一種認(rèn)證協(xié)議，而對(duì)用戶進(jìn)行認(rèn)證授權(quán)只是LDAP 的一種應(yīng)用。 16 / 23 RADIUS 認(rèn)證協(xié)議RADIUS（Remote Authentication Dial In User Service）協(xié)議最初是由 Livingston公司提出的，目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一個(gè)通用的 AAA 協(xié)議。RADIUS 協(xié)議認(rèn)證機(jī)制靈活，能夠支持各種認(rèn)證方法對(duì)用戶進(jìn)行認(rèn)證?？梢圆捎蒙鲜鋈魏我环N認(rèn)證機(jī)制。RADIUS 是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于屬性進(jìn)行的，由于屬性可擴(kuò)展性，因此很容易支持不同的認(rèn)證方式。RADIUS 協(xié)議通過 UDP 協(xié)議進(jìn)行通信， RADIUS 服務(wù)器的 1812 端口負(fù)責(zé)認(rèn)證，1813 端口負(fù)責(zé)計(jì)費(fèi)工作。采用 UDP 的基本考慮是因?yàn)?NAS 和 RADIUS 服務(wù)器大多在同一個(gè)局域網(wǎng)中，使用 UDP 更加快捷方便。 TACACS 認(rèn)證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由 BBN 為MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對(duì)協(xié)議進(jìn)行了擴(kuò)展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對(duì) TACACS 協(xié)議多次進(jìn)行增強(qiáng)擴(kuò)展，目前成為 TACACS+協(xié)議， H3C 在 TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)，形成了 H3C 擴(kuò)展的 TACACS 協(xié)議。無論 TACACS、TACACS+還是 H3C 擴(kuò)展TACACS 協(xié)議，其認(rèn)證、授權(quán)和計(jì)費(fèi)是分離的，并且與原始 TACACS 協(xié)議相比，TACACS+和 HWTACACS 可以使用 TCP 作為傳輸層協(xié)議，端口號(hào)為 49。TACACS+允許任意長度和內(nèi)容的認(rèn)證交換，與 RADIUS 一樣，具有很強(qiáng)的擴(kuò)展性，并且客戶端可以使用任何認(rèn)證機(jī)制。由于 TACACS+的認(rèn)證與其他服務(wù)是分開的，所以認(rèn)證不是強(qiáng)制的，這點(diǎn)與 RADIUS 是不同的。 Kerberos 認(rèn)證協(xié)議在一個(gè)分布式環(huán)境中，采用上述兩種認(rèn)證協(xié)議時(shí)，如果發(fā)生賬號(hào)改動(dòng)的情況，每臺(tái)機(jī)器上的都要進(jìn)行相應(yīng)的賬號(hào)修改，工作量非常大。Kerberos 是 MIT 為解決分布式網(wǎng)絡(luò)認(rèn)證而設(shè)計(jì)的可信第三方認(rèn)證協(xié)議。Kerberos 基于對(duì)稱密碼技術(shù)，網(wǎng)絡(luò)上的每個(gè)實(shí)體持有不同的密鑰，是否知道該密鑰便是身份的證明。網(wǎng)絡(luò)上的 Kerberos服務(wù)起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)認(rèn)證。Kerberos 常見的有兩個(gè)版本：第 4 版和第 5 版，目前使用的標(biāo)準(zhǔn)版本是版本 5。Kerberos 是一種受托的第三方認(rèn)證服務(wù)，它是建立在 Needham 和 Schroeder 認(rèn)證協(xié)議基礎(chǔ)上，它要求信任第三方，即 Kerberos 認(rèn)證服務(wù)器（ AS） 。AS 為客戶和服務(wù)器提供證明自己身份的票據(jù)以及雙方安全通信的會(huì)話密鑰。Kerberos 中還有一個(gè) 17 / 23票據(jù)授予服務(wù)器（TGS） ，TGS 向 AS 的可靠用戶發(fā)出票據(jù)。除客戶第一次獲得的初始票據(jù)是由 Kerberos 認(rèn)證服務(wù)器簽發(fā)外，其他票據(jù)都是由 TGS 簽發(fā)的，一個(gè)票據(jù)可以使用多次直至期限?？蛻舴秸?qǐng)求服務(wù)方提供一個(gè)服務(wù)時(shí)，不僅要向服務(wù)方發(fā)送從票據(jù)授予服務(wù)器領(lǐng)來的票據(jù)，同時(shí)還要自己生成一個(gè)鑒別碼(Authenticator，Ac)一同發(fā)送，該證是一次性的。 LDAP 協(xié)議LDAP（Lightweight Directory Access Protocol）是基于 標(biāo)準(zhǔn)的，但是比 簡單，并且可以根據(jù)需要定制。與 不同，LDAP 支持 TCP/IP，這對(duì)訪問 Inter 是必須的。LDAP 是一個(gè)目錄服務(wù)協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個(gè)版本，它們分別于 1995 年和 1997 年首次發(fā)布。一般在分布式、跨平臺(tái)認(rèn)證的場(chǎng)景下，LDAP 比前面介紹的認(rèn)證協(xié)議具有一定優(yōu)勢(shì)。LDAP 協(xié)議嚴(yán)格來說并不屬于單純認(rèn)證協(xié)議，對(duì)用戶進(jìn)行授權(quán)認(rèn)證是 LDAP 協(xié)議的一個(gè)典型應(yīng)用。例如 Microsoft 的 Windows 操作系統(tǒng)就使用了 Active Directory Server 來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時(shí)的認(rèn)證和授權(quán)。目錄服務(wù)其實(shí)也是一種數(shù)據(jù)庫系統(tǒng)，只是這種數(shù)據(jù)庫是一種樹形結(jié)構(gòu)，而不是通常使用的關(guān)系數(shù)據(jù)庫。目錄服務(wù)與關(guān)系數(shù)據(jù)庫之間的主要區(qū)別在于：二者都允許對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行訪問，只是目錄主要用于讀取，其查詢的效率很高，而關(guān)系數(shù)據(jù)庫則是為讀寫而設(shè)計(jì)的。所以 LDAP 協(xié)議非常適合數(shù)據(jù)庫相對(duì)穩(wěn)定，而查詢速度要求比較高的認(rèn)證場(chǎng)合。3 聯(lián)網(wǎng)視頻信息的特點(diǎn) 系統(tǒng)多級(jí)架構(gòu) 網(wǎng)絡(luò)狀況復(fù)雜 視頻數(shù)據(jù)量大4 視頻系統(tǒng)信息安全分類通常，視頻監(jiān)控系統(tǒng)業(yè)務(wù)數(shù)據(jù)和媒體數(shù)據(jù)采用分離的通道進(jìn)行操作，其傳輸通道類型可分為信令流和媒體流。 18 / 23視頻流和視頻控制信令應(yīng)以不同的物理通道進(jìn)行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。視頻控制協(xié)議是視頻監(jiān)控終端與視頻設(shè)備(視頻管理服務(wù)器/ 監(jiān)控平臺(tái)、DVR、攝像頭等設(shè)備) 間的控制指令集，即建立視頻監(jiān)控圖像連接的基本指令集。為保證通信中指令集不包含網(wǎng)絡(luò)攻擊指令、其他非法字符集或嵌入機(jī)密數(shù)據(jù)向外泄露。視頻傳輸系統(tǒng)應(yīng)具備視頻協(xié)議安全控制功能，對(duì)所有視頻監(jiān)控交互指令進(jìn)行嚴(yán)格安全過濾，阻斷非法數(shù)據(jù)傳輸和網(wǎng)絡(luò)攻擊的入侵。 信令加密業(yè)務(wù)數(shù)據(jù)加密是指每個(gè)控制命令或者參數(shù)設(shè)置命令都必須進(jìn)行加密處理，采取加密業(yè)務(wù)信令通道的辦法來保證信息的安全性，保證數(shù)據(jù)鑒別、防篡改、防窺視、鑒別來源、防止非法訪問、防偽造?！　∠到y(tǒng)對(duì)信令進(jìn)行加密，所有信令都使用加密技術(shù)，為了支持加密技術(shù)，需增加會(huì)話準(zhǔn)備操作，進(jìn)行握手交換標(biāo)識(shí)，以讀取密碼生成密鑰，進(jìn)而對(duì)分組進(jìn)行加密。 媒體流加密對(duì)于視頻流的實(shí)時(shí)加密流程與信令流類似，同樣需要進(jìn)行交換標(biāo)識(shí)，以讀取密碼生成密鑰。5 安全系統(tǒng)的實(shí)現(xiàn) 認(rèn)證中心 19 / 23 視頻安全平臺(tái) 系統(tǒng)評(píng)價(jià)6 系統(tǒng)建成預(yù)期效果7 安全技術(shù)展望