【正文】 戶公鑰是否正確，是否是所聲稱擁有人的真實公鑰，在認證體系中是一個關(guān)鍵問題。常用的辦法是找一個值得信賴而且獨立的第三方認證機構(gòu)充當認證中心（Certificate Authority，CA） ，來確認聲稱擁有公開密鑰的人的真正身份。要建立安全的公鑰認證系統(tǒng)，必須先建立一個穩(wěn)固、健全的 CA 體系，尤其是公認的權(quán)威機構(gòu)，即“Root CA”，這也是當前公鑰基礎(chǔ)設(shè)施（PKI）建設(shè)的一個重點。 認證協(xié)議許多協(xié)議在向用戶或設(shè)備授權(quán)訪問和訪問權(quán)限之前需要認證校驗，通常要用到認證相關(guān)的機制，前面討論了常用的認證機制，本節(jié)介紹使用這些認證機制的協(xié)議，這些協(xié)議包括 RADIUS、TACACS、Kerberos、LDAP 等。RADIUS 和 TACACS 通常用在撥號環(huán)境中，Kerberos 是在校園網(wǎng)中用的比較多的協(xié)議。LDAP 提供一種輕量級的目錄服務(wù)，嚴格來說不能算作一種認證協(xié)議，而對用戶進行認證授權(quán)只是 LDAP 的一種應(yīng)用。.. .. .. .. RADIUS 認證協(xié)議RADIUS（Remote Authentication Dial In User Service）協(xié)議最初是由Livingston 公司提出的，目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一個通用的 AAA 協(xié)議。RADIUS 協(xié)議認證機制靈活，能夠支持各種認證方法對用戶進行認證?？梢圆捎蒙鲜鋈魏我环N認證機制。RADIUS 是一種可擴展的協(xié)議，它進行的全部工作都是基于屬性進行的，由于屬性可擴展性，因此很容易支持不同的認證方式。RADIUS 協(xié)議通過 UDP 協(xié)議進行通信，RADIUS 服務(wù)器的 1812 端口負責認證，1813 端口負責計費工作。采用 UDP 的基本考慮是因為 NAS 和 RADIUS 服務(wù)器大多在同一個局域網(wǎng)中，使用 UDP 更加快捷方便。 TACACS 認證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由BBN 為 MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對協(xié)議進行了擴展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對 TACACS 協(xié)議多次進行增強擴展，目前成為 TACACS+協(xié)議，H3C 在 TACACS（RFC1492）基礎(chǔ)上進行了功能增強，形成了H3C 擴展的 TACACS 協(xié)議。無論 TACACS、TACACS+還是 H3C 擴展 TACACS 協(xié)議，其認證、授權(quán)和計費是分離的，并且與原始 TACACS 協(xié)議相比，TACACS+和 HWTACACS 可以使用TCP 作為傳輸層協(xié)議，端口號為 49。TACACS+允許任意長度和內(nèi)容的認證交換，與 RADIUS 一樣，具有很強的擴展性，并且客戶端可以使用任何認證機制。由于 TACACS+的認證與其他服務(wù)是分開的，所以認證不是強制的，這點與 RADIUS 是不同的。 Kerberos 認證協(xié)議在一個分布式環(huán)境中，采用上述兩種認證協(xié)議時，如果發(fā)生賬號改動的情況，每臺機器上的都要進行相應(yīng)的賬號修改，工作量非常大。Kerberos 是 MIT 為解決分布式網(wǎng)絡(luò)認證而設(shè)計的可信第三方認證協(xié)議。Kerberos 基于對稱密碼技術(shù)，網(wǎng)絡(luò)上的每個實體持有不同的密鑰，是否知道該密鑰便是身份的證明。網(wǎng)絡(luò)上的 Kerberos服務(wù)起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)認證。Kerberos 常見的有兩個版本：第 4 版和第 5 版，目前使用的標準版本是版本 5。Kerberos 是一種受托的第三方認證服務(wù)，它是建立在 Needham 和 Schroeder 認證協(xié)議基礎(chǔ)上，它要求信任第三方，即 Kerberos 認證服務(wù)器（AS） 。AS 為客戶和服務(wù)器提供證明自己身份的票據(jù)以及雙方安全通信的會話密鑰。Kerberos 中還有一個.. .. .. ..票據(jù)授予服務(wù)器（TGS） ，TGS 向 AS 的可靠用戶發(fā)出票據(jù)。除客戶第一次獲得的初始票據(jù)是由 Kerberos 認證服務(wù)器簽發(fā)外，其他票據(jù)都是由 TGS 簽發(fā)的，一個票據(jù)可以使用多次直至期限?？蛻舴秸埱蠓?wù)方提供一個服務(wù)時，不僅要向服務(wù)方發(fā)送從票據(jù)授予服務(wù)器領(lǐng)來的票據(jù)，同時還要自己生成一個鑒別碼(Authenticator，Ac)一同發(fā)送，該證是一次性的。 LDAP 協(xié)議LDAP（Lightweight Directory Access Protocol）是基于 標準的，但是比 簡單，并且可以根據(jù)需要定制。與 不同，LDAP 支持 TCP/IP，這對訪問 Inter 是必須的。LDAP 是一個目錄服務(wù)協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個版本，它們分別于 1995 年和 1997 年首次發(fā)布。一般在分布式、跨平臺認證的場景下，LDAP 比前面介紹的認證協(xié)議具有一定優(yōu)勢。LDAP 協(xié)議嚴格來說并不屬于單純認證協(xié)議，對用戶進行授權(quán)認證是 LDAP 協(xié)議的一個典型應(yīng)用。例如 Microsoft 的 Windows 操作系統(tǒng)就使用了 Active Directory Server 來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時的認證和授權(quán)。目錄服務(wù)其實也是一種數(shù)據(jù)庫系統(tǒng)，只是這種數(shù)據(jù)庫是一種樹形結(jié)構(gòu)，而不是通常使用的關(guān)系數(shù)據(jù)庫。目錄服務(wù)與關(guān)系數(shù)據(jù)庫之間的主要區(qū)別在于：二者都允許對存儲數(shù)據(jù)進行訪問，只是目錄主要用于讀取，其查詢的效率很高，而關(guān)系數(shù)據(jù)庫則是為讀寫而設(shè)計的。所以 LDAP 協(xié)議非常適合數(shù)據(jù)庫相對穩(wěn)定，而查詢速度要求比較高的認證場合。3 聯(lián)網(wǎng)視頻信息的特點 系統(tǒng)多級架構(gòu) 網(wǎng)絡(luò)狀況復(fù)雜 視頻數(shù)據(jù)量大4 視頻系統(tǒng)信息安全分類通常，視頻監(jiān)控系統(tǒng)業(yè)務(wù)數(shù)據(jù)和媒體數(shù)據(jù)采用分離的通道進行操作，其傳輸通道類型可分為信令流和媒體流。.. .. .. ..視頻流和視頻控制信令應(yīng)以不同的物理通道進行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。視頻控制協(xié)議是視頻監(jiān)控終端與視頻設(shè)備(視頻管理服務(wù)器/監(jiān)控平臺、DVR、攝像頭等設(shè)備)間的控制指令集，即建立視頻監(jiān)控圖像連接的基本指令集。為保證通信中指令集不包含網(wǎng)絡(luò)攻擊指令、其他非法字符集或嵌入機密數(shù)據(jù)向外泄露。視頻傳輸系統(tǒng)應(yīng)具備視頻協(xié)議安全控制功能，對所有視頻監(jiān)控交互指令進行嚴格安全過濾，阻斷非法數(shù)據(jù)傳輸和網(wǎng)絡(luò)攻擊的入侵。 信令加密業(yè)務(wù)數(shù)據(jù)加密是指每個控制命令或者參數(shù)設(shè)置命令都必須進行加密處理，采取加密業(yè)務(wù)信令通道的辦法來保證信息的安全性，保證數(shù)據(jù)鑒別、防篡改、防窺視、鑒別來源、防止非法訪問、防偽造?！　∠到y(tǒng)對信令進行加密，所有信令都使用加密技術(shù)，為了支持加密技術(shù)，需增加會話準備操作，進行握手交換標識，以讀取密碼生成密鑰，進而對分組進行加密。 媒體流加密對于視頻流的實時加密流程與信令流類似，同樣需要進行交換標識，以讀取密碼生成密鑰。5 安全系統(tǒng)的實現(xiàn) 認證中心.. .. .. .. 視頻安全平臺 系統(tǒng)評價6 系統(tǒng)建成預(yù)期效果安全技術(shù)展望 1. 若不給自己設(shè)限，則人生中就沒有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步 3. 花一些時間，總會看清一些事。用一些事情，總會看清一些人。有時候覺得自己像個神經(jīng)病。既糾結(jié)了自己，又打擾了別人。努力過后，才知道許多事情，堅持堅持，就過來了。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻給她的是一些色彩，它奉獻給你的也是一些色彩。你必須努力，當有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。7