/城市視頻監控聯網系統信息平安設計方案二〇一五年十一月

目錄1項目背景 12信息平安相關學問 12.1信息平安服務和機制 2平安服務 2平安機制 32.2平安體系架構 3網絡平安基本模型 3信息平安框架 32.3信息平安起因 4技術缺陷 4管理缺陷 52.4網絡攻擊方式 5口令攻擊 5軟件攻擊 6竊聽攻擊 7欺詐攻擊 7病毒攻擊 8拒絕服務攻擊 82.5信息平安后果 92.6信息平安技術 92.6.1PKI體系 9用戶身份認證 12認證機制 13認證協議 153聯網視頻信息的特點 173.1系統多級架構 173.2網絡狀況困難 173.3視頻數據量大 174視頻系統信息平安分類 174.1信令加密 184.2媒體流加密 185平安系統的實現 185.1認證中心 185.2視頻平安平臺 185.3系統評價 186系統建成預期效果 197平安技術展望 19項目背景互聯網、大數據時代雖然帶來了安防行業新的機遇和信息面貌，但是伴隨信息聚集性越來越高，云平安問題也帶來了新的挑戰。對不法分子來說，只要擊破云服務器，意味著可以獲得更多的資源，例如iCloud泄露門，12306信息泄露，攜程信息泄露等。?？低暋捌桨查T”事務，對正在大力發展信息經濟和互聯網經濟的中國，提出了信息平安的極大思索。信息平安任重而道遠，千里之堤，毀于蟻穴。所以在信息平安上，應細致排查平安隱患，防患于未然。公開數據顯示，有74.1%的網民在過去半年內遇到網絡信息平安事務。有專家估計，中國每年因網絡信息平安問題造成的經濟損失高達數百億美元。在今年的全國兩會上，中國移動廣東公司總經理鐘天華代表建議，加快制定網絡信息平安法，從監管主體、設施平安、運行平安、信息平安、法律責任等方面規范網絡信息平安。各省城市視頻監控聯網系統共享平臺已基本建設完成，標準基于國標GB/T28181，但對于視頻信息平安的要求沒有嚴格要求。在國家對網絡和信息平安高度重視的當下，扮演政府、企業、社區“守門人”角色的安防行業，實現自主可控異樣重要。須要一套完整解決方案。信息平安相關學問網絡信息平安是一個關系國家平安和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網絡信息平安是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息平安技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中的數據受到愛惜，不受偶然的或者惡意的緣由而遭到破壞、更改、泄露，系統連續牢靠正常地運行，網絡服務不中斷。信息平安服務和機制平安服務信息平安服務產生的基礎是整個網絡系統須要規避平安風險、限制平安成本以及保障業務持續性。從實踐環節看，信息平安服務是由參和通信的開放系統的某一層(OSI)所供應的服務，它確保了該系統或數據傳輸具有足夠的平安性。結合信息平安的基本要素，明確五大類平安服務，即鑒別、訪問限制、數據完整、數據保密、抗抵賴。鑒別服務（authentication）主要用來鑒別參和通信的對等實體和數據源，確認其合法性、真實性。訪問限制服務（accesscontrol）用于防止未授權用戶非法運用資源。包括用戶身份認證，用戶權限確認。數據完整性服務（integrity）用于應付主動威逼，阻擋非法實體對通信雙方交換數據的改動和刪除。數據保密性服務（confidentiality）防止系統內交換數據被截獲或非法存取而造成泄密，供應加密愛惜?？沟仲囆苑眨╪o-repudiation）防止發送方發送數據后否認自己發送過此數據，接收方接收后否認收到過此數據或偽造接收數據。平安機制平安體系架構網絡平安基本模型網絡平安基本模型包括通信主體雙方、攻擊者和可信第三方，通信雙方在網絡上傳輸信息，須要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由，再選擇該路由上運用的通信協議，如TCP/IP。為了在開放式的網絡環境中平安地傳輸信息，須要對信息供應平安機制和平安服務。信息的平安傳輸包括兩個基本部分：一是對發送的信息進行平安轉換，如信息加密以便達到信息的保密性，附加一些特征碼以便進行發送者身份驗證等；二是發送雙方共享的某些隱私信息，如加密密鑰，除了對可信任的第三方外，對其他用戶是保密的。為了使信息平安傳輸，通常須要一個可信任的第三方，其作用是負責向通信雙方分發隱私信息，以及在雙方發生爭議時進行仲裁。一個平安的網絡通信必需考慮以下內容：實現和平安相關的信息轉換的規則或算法用于信息轉換算法的密碼信息（如密鑰）隱私信息的分發和共享運用信息轉換算法和隱私信息獲得平安服務所需的協議信息平安框架物理平安進入辦公室需經人臉識別門禁系統確認后才能打開辦公室門，出辦公室門需按出門按鈕。通信和網絡平安能完成對出入辦公室人員的授權管理，能對進出辦公室人員的歷史出入記錄進行查詢及輸出。運行平安信息平安信息平安起因首先，視頻監控網絡平安問題是現實存在的，在互聯網傳輸中不加密問題更甚。即便是美國國防部內部網絡都曾被黑客入侵，何況是民用監控。其次，視頻監控網絡平安問題是普遍存在的，并非只?？低曇患?。此前便有報道，只要在Google中搜尋簡潔的關鍵字，就可以無阻礙地連入全球超過1000個沒有愛惜措施的監控攝像頭。用戶對網絡平安重視程度不夠，缺乏平安意識，在安裝完監控產品之后，沒有對密碼進行修改，事實上只要用戶依據產品說明書的說明修改了初始默認密碼，就能很大程度上避開網絡平安隱患。第三，在視頻傳輸中，利用公安專用通信網保密性最佳，其次為視頻圖像專網，再次為虛擬專用網（VPN，VirtualPrivateNetwork），未加密的公網傳輸，包括移動互聯網傳輸保密性是很差的。目前平安城市視頻監控系統承載網絡主要是公安專用通信網和視頻虛擬專網兩種。現有系統的承載網絡狀況困難，平臺部署在不同的承載網絡上。虛擬專用網通常是在公用網絡上建立的專用網絡，是為特殊用戶設置的加密通訊網絡，而平安城市視頻監控系統匯接的社會圖像資源是通過多種方式接入到各級共享平臺，雖然在接入時會實行一些平安接入措施，但仍很難避開被非法侵入。未加密的公網傳輸毫無保密性可言。除了接入網絡的設備會受到網絡平安隱患威逼外這一無法回避的因素外，安防企業多是習慣于用局域網或者專網視角來看待問題。技術缺陷互聯網運用的通訊協議是TCP／IP．TCP／IP在最初的設計時．主要考慮的是如何實現網絡連接．并沒有充分考慮到網絡的平安問題．而TCP／IP協議是完全公開的，這就導致入侵者可以利用TCP／IP協議的漏洞對網絡進行攻擊。另外計算機運用的操作系統．比如說目前仍普遍運用的微軟windows操作系統在設計上也存在平安漏洞，用戶經常須要更新．下載它的平安補?。孕扪a它的平安漏洞。其他的技術缺陷還包括應用程序的編寫對平安性考慮不足．網絡通訊設備包括路由器、交換機存在平安的缺陷等等．這些技術上的缺陷都簡潔被入侵者利用．從而構成平安威逼。管理缺陷由于網絡運用單位的負責人、網絡管理員思想上不重視或者疏忽．沒有正視黑客入侵所造成的嚴峻后果．沒有投入必要的人力、物力和財力來加強網絡的平安性，沒有實行有效的平安策略和平安機制．缺乏先進的網絡平安技術、工具、手段和產品等等，這也導致了網絡的平安防范實力差。主要有以下幾個方面：內部管理漏洞。缺乏健全的額管理制度或制度執行不力，給內部人員違規或犯罪留下機會。和外部威逼相比，來自內部的攻擊和犯罪更難防范，而且是網絡平安的主要來源，據統計，大約80%的平安威逼來自系統內部。動態環境變更。單位變更，人員流淌，原有內部人員對網絡的破壞。社會問題、道德問題和立法問題。網絡攻擊方式互聯網技術在飛速發展的同時．黑客技術也在飛速發展，網絡世界的平安性不斷地在受到挑戰。對于黑客來說．要進入一般人的電腦特殊簡潔。只果你要上網．就免不了遇到病毒和黑客。下面列舉一些黑客常用攻擊手段：口令攻擊口令攻擊就是通過竊取口令的方式進行破壞的活動，口令攻擊是比較常用的一種攻擊方式。在現實生活中．由于用戶名和密碼被盜造成損失的例子有許多，一旦用戶名和密碼被盜．入侵者還可以冒用此用戶的名義對系統進行進一步的破壞和攻擊．從而給用戶本身或者整個系統造成特殊大的損失。就目前的黑客技術來說．用戶名和密碼的盜取對黑客不再是有難度的事情，黑客盜取口令的方法有許多。比如說，有的黑客通過FTP、TFTP和Telnet等工具．可以搜集用戶賬戶資料、獲得口令文件，然后對1：3令文件進行解密來獲得口令?；蛘呒偃缬脩舻目诹钤O置缺乏平安性．可能被輕易地被“字典攻擊”猜到用戶的El令。“字典攻擊”就是通過編寫一個應用程序．依據確定的規律．由應用程序自動反復地去嘗試口令．強行破解用戶口令。”字典攻擊”要求黑客要有足夠的耐性和時間．但對那些口令平安系數極低的用戶，只要短短的幾分鐘．甚至數十秒就可以被破解。2014年11月，知名專業平安網站SecurityStreetRapid公布了3個RTSP平安漏洞，編號分別為：CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。這三個漏洞均為監控設備對RTSP請求處理不當導致的緩沖區溢出漏洞。通過該漏洞，攻擊者只要知道設備的IP地址，即可接受電腦對設備進行拒絕服務攻擊，從而導致設備癱瘓或被攻擊者接管。弱口令。弱口令是指簡潔被攻擊者揣測到或被破解工具破解的口令。此次媒體報道中提及的弱口令問題主要是由于未修改設備初始密碼或設備密碼過于簡潔導致的平安問題。弱口令問題普遍存在，主要的解決方式是建立嚴格、規范化的口令管理流程和管理機制。軟件攻擊軟件攻擊有時又叫漏洞攻擊．許多系統包括計算機系統、網絡系統都有這樣那樣的平安漏洞(Bug)和后門(backdoor)。特殊是計算機系統．在安裝好操作系統后．出現漏洞和缺陷的可能性是最大的，這些漏洞須要廠商發布補丁(patch)程序來進行修補。各個硬件廠商和軟件廠商，包括微軟在內．都在不斷地發布自己的補丁．這要求用戶剛好的去下載這些補丁．進行系統更新操作。假如系統管理人員沒有對網絡和操作系統的漏洞剛好打補丁．入侵者就可以很簡潔利用這些公開的漏洞，侵入系統．從而對整個網絡帶來災難性的后果。軟件攻擊除了利用系統的漏洞外．還可以利用一些后門程序。后門，就是隱私入口。比如說．在程序開發階段，程序員可能會設置一些后門．以便于測試、修改和增加模塊功能。正常狀況下，程序開放完成后須要去掉各個模塊的后門，不過有時由于疏忽或者其他緣由，比如說如保留后門便于日后訪問、測試或維護．后門沒有去掉，一些別有用心的人就會利用特地的掃描工具發覺并利用這些后門，然后進入系統并發動攻擊。國內的安防產品的漏洞問題由來已久，主要緣由在于社會和國家對信息化依靠越來越高。境外惡意攻擊者一般會對網絡進行掃描，發覺系統存在弱口令問題后會利用其中未修復的平安漏洞進行攻擊，然后植入后門軟件進行長期限制。全部暴露在互聯網環境下的設備都會面臨黑客攻擊的風險，許多用戶缺乏平安意識，在平安上考慮不足也導致簡潔出現平安漏洞。竊聽攻擊網絡竊聽是最干脆的獲得數據的手段．假如在共享的網絡通道上，用沒有加密的明文傳輸敏感數據．這些信息很可能被竊聽和監視。竊聽者可以接受如sniffef等網絡協議分析工具，特殊簡潔地在信息傳輸過程中獲得全部信息的內容，這些信息包括賬號．密碼等重要信息。一旦入侵者監聽到用戶傳輸的口令．就可以利用口令入侵到系統中。比如說．政府部門內部的一般工作人員．假如通過內部網絡竊聽手段。獲得了領導的賬號和密碼，從而可以利用這些密碼．查閱只能由領導查閱的隱私文件等。這類方法有確定的局限性，但危害性較大．監聽者往往能夠獲得其所在網段的全部用戶賬號和口令．對內部網絡平安威逼巨大，因為內網數據往往是密級特殊高的．假如被非法竊聽而導致信息泄露，將對國家造成特殊大的損失。欺詐攻擊欺詐攻擊是利用假冒方式騙取連接和信息資源、損害企業的聲譽和利益的方式。比如說．黑客在被攻擊主機上啟動一個可執行程序．該程序顯示一個偽造的登錄界面。當用戶在這個偽裝的界面上鍵入登錄信息后．黑客程序會將用戶輸入的信息傳送到攻擊者主機．然后關閉界面給出提示錯誤．要求用戶重新登錄。此后．才會出現真正的登錄界面．這就是欺詐攻擊的一種方式。再比如說，黑客可以制作自己的網頁．一旦用戶點擊了假冒鏈接地址．進入到這個網頁后，假如用戶此時輸入銀行賬號、密碼、驗證碼后，該假冒網頁會提示驗證碼錯誤．隨后再轉向正常的網頁．這樣．黑客就奇異地從中獲得了用戶的機密信息。病毒攻擊計算機病毒事實上是一段可執行程序，為什么稱之為病毒，主要是因為它和現實世界的病毒一樣具有傳染性．潛藏性和破壞性。在越來越依靠網絡的今日．由于病毒導致的系統破壞將帶來巨大的損失。計算機病毒對計算機的影響是災難性的。從20世紀80年頭起．計算機運用者就起先和計算機病毒斗爭，特殊是隨著近年互聯網的發展．網絡應用的普及、人們對計算機的依靠程度的不斷提高．這一切為病毒的傳播供應了便利的渠道，同時也使計算機病毒的種類快速增加．擴散速度大大加快．受感染的范圍越來越廣，病毒的破壞性也越來越嚴峻。以前病毒的傳播方式主要是單機之問通過軟盤介質傳染．而現在病毒可以更快速地通過網絡共享文件、電子郵件及互聯網在全世界范圍內傳播拒絕服務攻擊DOS(denial-of-service)攻擊，簡稱DoS攻擊．是通過向攻擊目標施加超強力的服務要求．要求被攻擊目標供應超出它實力范圉的服務，從而引起的攻擊目標對正常服務的拒絕或服務性能大大降低。簡潔的說拒絕服務攻擊就是想方法將被攻擊的計算機資源或網絡帶寬資源耗盡．導致網絡或系統不輸贏荷以至于癱瘓．而停止供應正常的服務。DoS攻擊由于可以通過運用一些公開的軟件和工具進行攻擊，因而它的發動較為簡潔．”拒絕服務”的攻擊方式是：用戶發送許多要求確認的信息到服務器．使服務器里充斥著這種大量要求回復的無用信息．全部的信息都有需回復的虛假地址．而當服務器試圖回傳時．卻無法找到用戶。服務器于是短暫等候，然后再切斷連接。服務器切斷連接時．黑客再度傳送新一批須要確認的信息，這個過程周而復始．最終導致服務器資源耗盡而癱瘓。信息平安后果在現代網絡信息社會環境下．由于存在各種各樣的平安威逼，比如病毒、誤操作、設備故障和黑客攻擊等，從而可能會造成重要數據文件的丟失。平安問題具體的后果包括：企業的資料被有意篡改，網站的頁面被丑化或者修改。比如說，在被攻擊的網站首頁上貼上謠言、黃色圖片或反動言論．從而造成法律上和政治上的嚴峻后果。破壞計算機的硬件系統，比如說磁盤系統．從而造成文件永久丟失。使得商業機密或技術成果泄露或者被散播。平安問題還可能使得服務被迫停止，并給客戶層帶來服務質量低劣的印象，使得企業形象被破壞，從而造成惡劣影響和難以挽回的損失。信息平安技術PKI體系公鑰密碼體制分為三個部分，公鑰、私鑰、加密解密算法，它的加密解密過程如下：? 加密：通過加密算法和公鑰對內容(或者說明文)進行加密，得到密文。加密過程須要用到公鑰。? 解密：通過解密算法和私鑰對密文進行解密，得到明文。解密過程須要用到解密算法和私鑰。留意，由公鑰加密的內容，只能由私鑰進行解密，也就是說，由公鑰加密的內容，假如不知道私鑰，是無法解密的。公鑰密碼體制的公鑰和算法都是公開的(這是為什么叫公鑰密碼體制的緣由)，私鑰是保密的。大家都以運用公鑰進行加密，但是只有私鑰的持有者才能解密。在實際的運用中，有須要的人會生成一對公鑰和私鑰，把公鑰發布出去給別人運用，自己保留私鑰。證書認證機構（CA）認證授權機構（CA,CertificateAuthority），也稱為電子認證中心，是負責發放和管理數字證書的權威機構，并作為網絡活動中受信任的第三方，擔當公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個運用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發放證書，還要對獲款的銀行、網關發放證書。CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。CA也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發的證書。假如用戶想得到一份屬于自己的證書，他應先向CA提出申請。在CA判明申請者的身份后，便為他支配一個公鑰，并且CA將該公鑰和申請者的身份信息綁在一起，并為之簽字后，便形成證書發給申請者。假如一個用戶想鑒別另一個證書的真偽，他就用CA的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。為保證用戶之間在網上傳遞信息的平安性、真實性、牢靠性、完整性和不行抵賴性，不僅須要對用戶的身份真實性進行驗證，也須要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發并管理符合國內、國際平安電子交易協議標準的電子商務平安證，并負責管理全部參和網上交易的個體所需的數字證書，因此是平安電子交易的核心環節數字證書證書實際是由證書簽證機關（CA）簽發的對用戶的公鑰的認證。證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。證書的格式和驗證方法普遍遵循X.509國際標準。信息發送者用其私匙對從所傳報文中提取出的特征數據（或稱數字指紋）進行RSA算法操作，以保證發信人無法抵賴曾發過該信息（即不行抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文后，就可以用發送者的公鑰對數字簽名進行驗證。數字證書為實現雙方平安通信供應了電子認證。在因特網、公司內部網或外部網中，運用數字證書實現身份識別和電子信息加密。數字證書中含有公鑰對全部者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。1.運用數字證書能做什么?數字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之于眾，誰都可以運用。私鑰只有自己知道。由公鑰加密的信息只能由和之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證明發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可運用發送者的公鑰對簽名進行驗證，以確認發送者的身份。在線交易中您可運用數字證書驗證對方身份。用數字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數字證書網上平安才得以實現，電子郵件、在線交易和信用卡購物的平安才能得到保證。2.數字證書的類型個人數字證書，主要用于標識數字證書自然人全部人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動。機構數字證書，主要用于標識數字證書機構全部人的身份，包含機構的相關信息及其公鑰，如：企業名稱、組織機構代碼等，可用于機構在電子商務、電子政務應用中進行合同簽定、網上支付、行政審批、網上辦公等各類活動。設備數字證書，用于在網絡應用中標識網絡設備的身份，主要包含了設備的相關信息及其公鑰，如：域名、網址等，可用于VPN服務器、WEB服務器等各種網絡設備在網絡通訊中標識和驗證設備身份。此外，還有代碼簽名數字證書，是簽發給軟件供應者的數字證書，包含了軟件供應者的身份信息及其公鑰，主要用于證明軟件發布者所發行的軟件代碼來源于一個真實軟件發布者，可以有效防止軟件代碼被篡改。用戶身份認證所謂身份認證，就是推斷一個用戶是否為合法用戶的處理過程。最常用的簡潔身份認證方式是系統通過核對用戶輸入的用戶名和口令，看其是否和系統中存儲的該用戶的用戶名和口令一樣，來推斷用戶身份是否正確。困難一些的身份認證方式接受一些較困難的加密算法和協議，須要用戶出示更多的信息(如私鑰)來證明自己的身份，如Kerberos身份認證系統。身份認證一般和授權限制是相互聯系的，授權限制是指一旦用戶的身份通過認證以后，確定哪些資源該用戶可以訪問、可以進行何種方式的訪問操作等問題。在一個數字化的工作體系中，應當有一個統一的身份認證系統供各應用系統運用，但授權限制可以由各應用系統自己管理。統一用戶管理系統(IDS),實現網上應用系統的用戶、角色和組織機構統一化管理，實現各種應用系統間跨域的單點登錄和單點退出和統一的身份認證功能，用戶登錄到一個系統后，再轉入到其他應用系統時不須要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應用系統中身份的一樣性。身份認證可分為用戶和系統間的認證和系統和系統之間的認證。身份認證必需做到精確無誤地將對方辨別出來，同時還應當供應雙向的認證。目前運用比較多的是用戶和系統間的身份認證，它只需單向進行，只由系統對用戶進行身份驗證。隨著計算機網絡化的發展，大量的組織機構涌入國際互聯網，以及電子商務和電子政務的大量興起，系統和系統之間的身份認證也變得越來越重要。身份認證的基本方式可以基于下述一個或幾個因素的組合：所知（Knowledge）：即用戶所知道的或所駕馭的學問，如口令；全部（Possesses）：用戶所擁有的某個隱私信息，如智能卡中存儲的用戶個人化參數，訪問系統資源時必需要有智能卡；特征（Characteristics）：用戶所具有的生物及動作特征，如指紋、聲音、視網膜掃描等。依據在認證中接受的因素的多少，可以分為單因素認證、雙因素認證、多因素認證等方法。身份認證系統所接受的方法考慮因素越多，認證的牢靠性就越高。認證機制基于口令的身份認證機制基于口令的身份認證技術因其簡潔易用，得到了廣泛的運用。但隨著網絡應用的深化和網絡攻擊手段的多樣化，口令認證技術也不斷發生變更，產生了各種各樣的新技術。最常接受的身份認證方式是基于靜態口令的認證方式，它是最簡潔、目前應用最普遍的一種身份認證方式。但它是一種單因素的認證，平安性僅依靠于口令，口令一旦泄露，用戶即可被冒充；同時易被攻擊，接受窺探、字典攻擊、窮舉嘗試、網絡數據流竊聽、重放攻擊等很簡潔攻破該認證系統。相對靜態口令，動態口令也叫一次性口令，它的基本原理是在用戶登錄過程中，基于用戶口令加入不確定因子，對用戶口令和不確定因子進行單向散列函數變換，所得的結果作為認證數據提交給認證服務器。認證服務器接收到用戶的認證數據后，把用戶的認證數據和自己用同樣的散列算法計算出的數值進行比對，從而實現對用戶身份的認證。在認證過程中，用戶口令不在網絡上傳輸，不干脆用于驗證用戶的身份。動態口令機制每次都接受不同的不確定因子來生成認證數據，從而每次提交的認證數據都不相同，提高了認證過程的平安性。挑戰/響應認證機制挑戰/響應方式的身份認證機制就是每次認證時認證服務器端都給客戶端發送一個不同的“挑戰”碼，客戶端程序收到這個“挑戰”碼，依據客戶端和服務器之間共享的密鑰信息，以及服務器端發送的“挑戰”碼做出相應的“應答”。服務器依據應答的結果確定是否接受客戶端的身份聲明。從本質上講，這種機制事實上也是一次性口令的一種。一個典型的認證過程如下圖所示：認證過程為：1)客戶向認證服務器發出請求，要求進行身份認證；2)認證服務器從用戶數據庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理；3)認證服務器內部產生一個隨機數，作為“挑戰”碼，發送給客戶；4)客戶將用戶名字和隨機數合并，運用單向Hash函數（例如MD5算法）生成一個字節串作為應答；5)認證服務器將應答串和自己的計算結果比較，若二者相同，則通過一次認證；否則，認證失??；6)認證服務器通知客戶認證成功或失敗。EAP認證機制EAP（ExtensibleAuthenticationProtocol）擴展認證協議在RFC2248中定義，是一個普遍運用的認證機制，它常被用于無線網絡或點到點的連接中。EAP不僅可以用于無線局域網，而且可以用于有線局域網，但它在無線局域網中運用的更頻繁。EAP實際是一個認證框架，不是一個特殊的認證機制。EAP供應一些公共的功能，并且允許協商所希望的認證機制。這些機制被稱為EAP方法。由于EAP方法除了IETF定義了一部特殊，廠商也可以自定義方法，因此EAP具有很強的擴展性。IETF的RFC中定義的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。無線網絡中常用的方法包括EAP-TLS、EAP-SIM、EAP-AKA、PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的網絡中運用廣泛，可擴展的EAP方法可以為接入網絡供應一個平安認證機制。鑰認證機制隨著網絡應用的普及，對系統外用戶進行身份認證的需求不斷增加，即某個用戶沒有在一個系統中注冊，但也要求能夠對其身份進行認證，尤其是在分布式系統中，這種要求特殊突出。這種狀況下，公鑰認證機制就顯示出它獨特的優越性。公鑰認證機制中每個用戶被支配給一對密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向全部人公開。用戶假如能夠向驗證方證明自己持有私鑰，就證明白自己的身份。當它用作身份認證時，驗證方須要用戶方對某種信息進行數字簽名，即用戶方以用戶私鑰作為加密密鑰，對某種信息進行加密，傳給驗證方，而驗證方依據用戶方預先供應的公鑰作為解密密鑰，就可以將用戶方的數字簽名進行解密，以確認該信息是否是該用戶所發，進而認證該用戶的身份。公鑰認證機制中要驗證用戶的身份，必需擁有用戶的公鑰，而用戶公鑰是否正確，是否是所聲稱擁有人的真實公鑰，在認證體系中是一個關鍵問題。常用的方法是找一個值得信任而且獨立的第三方認證機構充當認證中心（CertificateAuthority，CA），來確認聲稱擁有公開密鑰的人的真正身份。要建立平安的公鑰認證系統，必需先建立一個穩固、健全的CA體系，尤其是公認的權威機構，即“RootCA”，這也是當前公鑰基礎設施（PKI）建設的一個重點。認證協議許多協議在向用戶或設備授權訪問和訪問權限之前須要認證校驗，通常要用到認證相關的機制，前面探討了常用的認證機制，本節介紹運用這些認證機制的協議，這些協議包括RADIUS、TACACS、Kerberos、LDAP等。RADIUS和TACACS通常用在撥號環境中，Kerberos是在校內網中用的比較多的協議。LDAP供應一種輕量級的書目服務，嚴格來說不能算作一種認證協議，而對用戶進行認證授權只是LDAP的一種應用。RADIUS認證協議RADIUS（RemoteAuthenticationDialInUserService）協議最初是由Livingston公司提出的，目的是為撥號用戶進行認證和計費。后來經過多次改進，形成了一個通用的AAA協議。RADIUS協議認證機制靈敏，能夠支持各種認證方法對用戶進行認證?？梢越邮苌鲜鋈魏我环N認證機制。RADIUS是一種可擴展的協議，它進行的全部工作都是基于屬性進行的，由于屬性可擴展性，因此很簡潔支持不同的認證方式。RADIUS協議通過UDP協議進行通信，RADIUS服務器的1812端口負責認證，1813端口負責計費工作。接受UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中，運用UDP更加快捷便利。TACACS認證協議TACACS（TerminalAccessControllerAccessControlSystem）最先是由BBN為MILNET開發的一種基于UDP的訪問限制協議，一些廠商對協議進行了擴展，最終形成了一種新的AAA協議，其中CISCO公司對TACACS協議多次進行增加擴展，目前成為TACACS+協議，H3C在TACACS（RFC1492）基礎上進行了功能增加，形成了H3C擴展的TACACS協議。無論TACACS、TACACS+還是H3C擴展TACACS協議，其認證、授權和計費是分別的，并且和原始TACACS協議相比，TACACS+和HWTACACS可以運用TCP作為傳輸層協議，端口號為49。TACACS+允許隨意長度和內容的認證交換，和RADIUS一樣，具有很強的擴展性，并且客戶端可以運用任何認證機制。由于TACACS+的認證和其他服務是分開的，所以認證不是強制的，這點和RADIUS是不同的。Kerberos認證協議在一個分布式環境中，接受上述兩種認證協議時，假如發生