从零开始精通Onvif之加密与认证

💡 如果想阅读最新的文章，或者有技术问题需要交流和沟通，可搜索并关注微信公众号“希望睿智”。

概述

安全是Onvif规范的核心部分，它涵盖了加密和认证两大领域。在Onvif标准下，安全措施主要包括：设备访问控制、消息传输加密、以及认证机制，从而确保了视频监控系统中数据传输的可靠性和隐私性。

加密机制

Onvif支持多种加密技术，确保视频监控系统中的数据传输既私密又可靠。

对于信令报文，Onvif推荐使用HTTPS协议对SOAP消息进行加密传输。HTTPS是HTTP协议与TLS（其前身为SSL）的组合，提供了端到端的数据加密和服务器身份验证。这意味着所有管理操作，比如：设备发现、配置更改、状态查询等，均在加密通道中进行，有效防止数据在传输过程中被窃听或篡改。

对于码流数据，Onvif本身并没有直接规定音视频流的加密方式，但鼓励使用SRTP（安全实时传输协议）和SRTCP（安全实时传输控制协议）来加密实时媒体流。SRTP为RTP协议提供了加密和消息认证码，保证了视频和音频数据在传输过程中的保密性和完整性，SRTCP则为RTCP控制信息提供了相同级别的安全保护。

认证机制

Onvif协议的认证机制是确保网络视频设备间安全通信的基础，它通过一系列标准和协议保障了设备认证、用户权限控制和数据传输的可靠性。

1、基本认证和摘要认证。

Onvif设备通常支持HTTP基本认证和摘要认证。基本认证（Basic Authentication）简单直接，但不够安全，因为它以明文形式传递用户名和密码。相比之下，摘要认证（Digest Authentication）更为安全，它使用哈希函数处理认证信息，即使在网络中被截取，密码也不会轻易泄露。

2、WS-Security（Web Services Security ）。

Onvif协议大量依赖于WS-Security标准，为SOAP消息提供增强的安全性。这包括对SOAP消息进行签名和加密，以确保消息的完整性和来源的真实性，主要通过以下两种方式。

UsernameToken：这是最常见的认证方式，通过在SOAP消息头中加入包含用户名和密码的UsernameToken元素来实现认证。其中，密码可以是明文的，也可以是经过加密的。

X.509证书：使用数字证书进行认证，比基于用户名和密码的方式更加安全。设备和客户端可以互相验证对方的身份，同时支持消息的签名和加密，确保消息的完整性和来源的可信度。

在下面的示例SOAP报文中，包含了WS-Security的UsernameToken认证。其中，SOAP报文的Header部分包含了wsse:Security元素，它封装了认证信息。UsernameToken元素包含了用户名和密码，并且为了提高安全性，还可以包括一个随机生成的Nonce（用于防止重放攻击）和Created时间戳。实际应用中，密码通常会使用特定算法进行加密，而不是明文，以增加安全性。

<soapenv:Envelope ...><soapenv:Header><wsse:Security soapenv:mustUnderstand="1"><wsse:UsernameToken wsu:Id="UsernameToken-1"><wsse:Username>admin</wsse:Username><wsse:Password>password</wsse:Password><!-- 可选的Nonce和Created元素，以增强安全性 --><wsse:Nonce>V36ya2luZ1NlY3JldE5vbaT8</wsse:Nonce><wsu:Created>2024-06-16T11:48:00.0Z</wsu:Created></wsse:UsernameToken></wsse:Security></soapenv:Header><soapenv:Body></soapenv:Body>
</soapenv:Envelope>

3、ACP（Access Control Policy）。

Onvif设备支持访问控制策略，允许管理员定义哪些用户或用户组可以访问哪些服务和资源。通过精细的权限分配，可以确保只有授权的用户才能执行特定的操作，比如：预览视频流、修改网络配置等。