【正文】 戶公鑰是否正確，是否是所聲稱擁有人的真實公鑰，在認證體系中是一個關鍵問題。常用的辦法是找一個值得信賴而且獨立的第三方認證機構充當認證中心（Certificate Authority，CA） ，來確認聲稱擁有公開密鑰的人的真正身份。要建立安全的公鑰認證系統(tǒng)，必須先建立一個穩(wěn)固、健全的 CA 體系，尤其是公認的權威機構，即“Root CA”，這也是當前公鑰基礎設施（PKI）建設的一個重點。 認證協(xié)議許多協(xié)議在向用戶或設備授權訪問和訪問權限之前需要認證校驗，通常要用到認證相關的機制，前面討論了常用的認證機制，本節(jié)介紹使用這些認證機制的協(xié)議，這些協(xié)議包括 RADIUS、TACACS、Kerberos、LDAP 等。RADIUS 和 TACACS 通常用在撥號環(huán)境中，Kerberos 是在校園網中用的比較多的協(xié)議。LDAP 提供一種輕量級的目錄服務，嚴格來說不能算作一種認證協(xié)議，而對用戶進行認證授權只是 LDAP 的一種應用。.. .. .. .. RADIUS 認證協(xié)議RADIUS（Remote Authentication Dial In User Service）協(xié)議最初是由Livingston 公司提出的，目的是為撥號用戶進行認證和計費。后來經過多次改進，形成了一個通用的 AAA 協(xié)議。RADIUS 協(xié)議認證機制靈活，能夠支持各種認證方法對用戶進行認證?？梢圆捎蒙鲜鋈魏我环N認證機制。RADIUS 是一種可擴展的協(xié)議，它進行的全部工作都是基于屬性進行的，由于屬性可擴展性，因此很容易支持不同的認證方式。RADIUS 協(xié)議通過 UDP 協(xié)議進行通信，RADIUS 服務器的 1812 端口負責認證，1813 端口負責計費工作。采用 UDP 的基本考慮是因為 NAS 和 RADIUS 服務器大多在同一個局域網中，使用 UDP 更加快捷方便。 TACACS 認證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由BBN 為 MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對協(xié)議進行了擴展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對 TACACS 協(xié)議多次進行增強擴展，目前成為 TACACS+協(xié)議，H3C 在 TACACS（RFC1492）基礎上進行了功能增強，形成了H3C 擴展的 TACACS 協(xié)議。無論 TACACS、TACACS+還是 H3C 擴展 TACACS 協(xié)議，其認證、授權和計費是分離的，并且與原始 TACACS 協(xié)議相比，TACACS+和 HWTACACS 可以使用TCP 作為傳輸層協(xié)議，端口號為 49。TACACS+允許任意長度和內容的認證交換，與 RADIUS 一樣，具有很強的擴展性，并且客戶端可以使用任何認證機制。由于 TACACS+的認證與其他服務是分開的，所以認證不是強制的，這點與 RADIUS 是不同的。 Kerberos 認證協(xié)議在一個分布式環(huán)境中，采用上述兩種認證協(xié)議時，如果發(fā)生賬號改動的情況，每臺機器上的都要進行相應的賬號修改，工作量非常大。Kerberos 是 MIT 為解決分布式網絡認證而設計的可信第三方認證協(xié)議。Kerberos 基于對稱密碼技術，網絡上的每個實體持有不同的密鑰，是否知道該密鑰便是身份的證明。網絡上的 Kerberos服務起著可信仲裁者的作用，可提供安全的網絡認證。Kerberos 常見的有兩個版本：第 4 版和第 5 版，目前使用的標準版本是版本 5。Kerberos 是一種受托的第三方認證服務，它是建立在 Needham 和 Schroeder 認證協(xié)議基礎上，它要求信任第三方，即 Kerberos 認證服務器（AS） 。AS 為客戶和服務器提供證明自己身份的票據以及雙方安全通信的會話密鑰。Kerberos 中還有一個.. .. .. ..票據授予服務器（TGS） ，TGS 向 AS 的可靠用戶發(fā)出票據。除客戶第一次獲得的初始票據是由 Kerberos 認證服務器簽發(fā)外，其他票據都是由 TGS 簽發(fā)的，一個票據可以使用多次直至期限。客戶方請求服務方提供一個服務時，不僅要向服務方發(fā)送從票據授予服務器領來的票據，同時還要自己生成一個鑒別碼(Authenticator，Ac)一同發(fā)送，該證是一次性的。 LDAP 協(xié)議LDAP（Lightweight Directory Access Protocol）是基于 標準的，但是比 簡單，并且可以根據需要定制。與 不同，LDAP 支持 TCP/IP，這對訪問 Inter 是必須的。LDAP 是一個目錄服務協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個版本，它們分別于 1995 年和 1997 年首次發(fā)布。一般在分布式、跨平臺認證的場景下，LDAP 比前面介紹的認證協(xié)議具有一定優(yōu)勢。LDAP 協(xié)議嚴格來說并不屬于單純認證協(xié)議，對用戶進行授權認證是 LDAP 協(xié)議的一個典型應用。例如 Microsoft 的 Windows 操作系統(tǒng)就使用了 Active Directory Server 來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時的認證和授權。目錄服務其實也是一種數據庫系統(tǒng)，只是這種數據庫是一種樹形結構，而不是通常使用的關系數據庫。目錄服務與關系數據庫之間的主要區(qū)別在于：二者都允許對存儲數據進行訪問，只是目錄主要用于讀取，其查詢的效率很高，而關系數據庫則是為讀寫而設計的。所以 LDAP 協(xié)議非常適合數據庫相對穩(wěn)定，而查詢速度要求比較高的認證場合。3 聯網視頻信息的特點 系統(tǒng)多級架構 網絡狀況復雜 視頻數據量大4 視頻系統(tǒng)信息安全分類通常，視頻監(jiān)控系統(tǒng)業(yè)務數據和媒體數據采用分離的通道進行操作，其傳輸通道類型可分為信令流和媒體流。.. .. .. ..視頻流和視頻控制信令應以不同的物理通道進行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。視頻控制協(xié)議是視頻監(jiān)控終端與視頻設備(視頻管理服務器/監(jiān)控平臺、DVR、攝像頭等設備)間的控制指令集，即建立視頻監(jiān)控圖像連接的基本指令集。為保證通信中指令集不包含網絡攻擊指令、其他非法字符集或嵌入機密數據向外泄露。視頻傳輸系統(tǒng)應具備視頻協(xié)議安全控制功能，對所有視頻監(jiān)控交互指令進行嚴格安全過濾，阻斷非法數據傳輸和網絡攻擊的入侵。 信令加密業(yè)務數據加密是指每個控制命令或者參數設置命令都必須進行加密處理，采取加密業(yè)務信令通道的辦法來保證信息的安全性，保證數據鑒別、防篡改、防窺視、鑒別來源、防止非法訪問、防偽造?！　∠到y(tǒng)對信令進行加密，所有信令都使用加密技術，為了支持加密技術，需增加會話準備操作，進行握手交換標識，以讀取密碼生成密鑰，進而對分組進行加密。 媒體流加密對于視頻流的實時加密流程與信令流類似，同樣需要進行交換標識，以讀取密碼生成密鑰。5 安全系統(tǒng)的實現 認證中心.. .. .. .. 視頻安全平臺 系統(tǒng)評價6 系統(tǒng)建成預期效果安全技術展望 1. 若不給自己設限，則人生中就沒有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步 3. 花一些時間，總會看清一些事。用一些事情，總會看清一些人。有時候覺得自己像個神經病。既糾結了自己，又打擾了別人。努力過后，才知道許多事情，堅持堅持，就過來了。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻給她的是一些色彩，它奉獻給你的也是一些色彩。你必須努力，當有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。7