王永建 張 健 鐵小輝 楊建華 郭廣濤

(中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司 北京 100079)

視頻監(jiān)控系統(tǒng)中一種基于HTTP摘要安全認(rèn)證設(shè)計(jì)

王永建 張 健 鐵小輝 楊建華 郭廣濤

(中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司 北京 100079)

(kingselfme@sina.com)

在平安城市的建設(shè)中，視頻監(jiān)控系統(tǒng)中客戶端的安全認(rèn)證非常關(guān)鍵.為了彌補(bǔ)SIP的不足，設(shè)計(jì)了一種基于HTTP摘要的認(rèn)證方案.首先簡(jiǎn)析了SIP與HTTP協(xié)議；設(shè)計(jì)了視頻監(jiān)控系統(tǒng)整體結(jié)構(gòu)，定義了各主要組成部件的功能.然后設(shè)計(jì)了登錄注銷，獲取設(shè)備屬性列表.最后設(shè)計(jì)了認(rèn)證流程、AG的質(zhì)詢消息頭、MC的應(yīng)答消息頭、Response參數(shù)等實(shí)現(xiàn)方案.該設(shè)計(jì)思路對(duì)提高SIP協(xié)議的安全性具有一定借鑒意義.

SIP；SDP；HTTP摘要；質(zhì)詢；應(yīng)答

為了構(gòu)建和諧社會(huì)，建設(shè)平安中國(guó)，2012年6月1日，公安部發(fā)布了《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》(GBT 28181—2011)等相關(guān)文件，正式啟動(dòng)了國(guó)家平安城市的建設(shè)工作，視頻監(jiān)控系統(tǒng)是建設(shè)主體[1].

作為一種安防系統(tǒng)，視頻監(jiān)控系統(tǒng)自身的信息安全尤為重要.根據(jù)CompTIA(美國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì))發(fā)布的安全調(diào)查報(bào)告顯示，信息安全事故中，約63%的事故是由于內(nèi)部人員安全意識(shí)匱乏和安全技能低下的人為錯(cuò)誤所致，只有8%的信息安全事故是因技術(shù)原因而引起的[2].

隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、智能終端、Web等技術(shù)的發(fā)展，瀏覽器服務(wù)器(browserserver, BS)服務(wù)模式以其開發(fā)簡(jiǎn)捷、部署便捷、消耗資源少、維護(hù)成本低等特點(diǎn)而廣泛應(yīng)用，以APP為代表的Web客戶端是典型代表，并在視頻監(jiān)控系統(tǒng)中逐步推廣[3].

客戶端作為用戶主要的登錄入口和操作渠道，是信息安全事故的高發(fā)區(qū)域，因此視頻監(jiān)控系統(tǒng)中客戶端的安全認(rèn)證非常關(guān)鍵.本文考慮會(huì)話初始協(xié)議(session initiation protocol, SIP)自身安全性缺陷，借助超文本傳輸協(xié)議(hypertext transfer protocol, HTTP)，設(shè)計(jì)了一種視頻監(jiān)控客戶端安全認(rèn)證方案.

1 相關(guān)協(xié)議分析

1.1 SIP協(xié)議

SIP是基于HTTP和簡(jiǎn)單郵件傳送協(xié)議(simple mail transfer protocol, SMTP)的信令協(xié)議，屬于一個(gè)應(yīng)用層的控制協(xié)議，基于請(qǐng)求響應(yīng)的事務(wù)處理模型，使用消息方式完成用戶會(huì)話的建立和管理[4].如圖1所示：

圖1 SIP,HTTP協(xié)議在網(wǎng)絡(luò)體系結(jié)構(gòu)中的位置

SIP支持名字映射和重定向服務(wù)，將原來請(qǐng)求的地址映射為新地址，只進(jìn)行重定向，并不參與事務(wù)的處理.SIP非常適用于作為客戶唯一的外部標(biāo)志，而與實(shí)際的網(wǎng)絡(luò)位置無(wú)關(guān).

SIP消息分為2類：SIP請(qǐng)求和SIP響應(yīng)；其中請(qǐng)求消息由客戶機(jī)發(fā)往服務(wù)器，響應(yīng)消息由服務(wù)器發(fā)往客戶機(jī)[5].請(qǐng)求消息和響應(yīng)消息格式由一個(gè)起始行、若干個(gè)頭字段以及一個(gè)可選的消息體組成[6].請(qǐng)求和響應(yīng)消息的基本格式如下：

SIP消息=起始行

*消息頭部(1個(gè)或多個(gè)頭部)

CRLF(空行)

[消息體]

請(qǐng)求消息的起始行為請(qǐng)求行：

Request-Line=Method SP Request-URI SP SIP-Version CRLF[7].

響應(yīng)消息的起始行為狀態(tài)行：

Status-Line=SIP-Version SP Status-Code SP Reason-Phrase CRLF[8].

1.2 HTTP摘要認(rèn)證

SIP因其簡(jiǎn)單性、較好的可擴(kuò)展性、易于實(shí)現(xiàn)等而廣泛應(yīng)用，其安全性也越發(fā)重要[9].SIP本身不提供認(rèn)證機(jī)制與加密機(jī)制，其默認(rèn)方法是借助于HTTP摘要認(rèn)證來保證認(rèn)證鑒權(quán)與口令加密傳輸，實(shí)現(xiàn)對(duì)用戶的身份進(jìn)行鑒別和抵御重放攻擊[10].

HTTP摘要認(rèn)證是基于預(yù)分配用戶名密碼的一種認(rèn)證機(jī)制，以替代基本認(rèn)證，防止密碼明文傳輸泄露信息[11].采用質(zhì)詢-應(yīng)答機(jī)制(chcallenge-response)，“質(zhì)詢”指服務(wù)器向客戶端發(fā)送一個(gè)包含消息頭WWW-Auhtelliteate的HTTP響應(yīng)，狀態(tài)碼為401(Unauhtiorezd)，要求客戶端發(fā)送端認(rèn)證信息；“應(yīng)答”指客戶端識(shí)別出消息頭后，向服務(wù)器反饋基于HTTP的請(qǐng)求信息[12].當(dāng)服務(wù)器收到客戶端的請(qǐng)求消息時(shí),若該客戶端尚未完成身份的認(rèn)證，則服務(wù)器會(huì)在回應(yīng)中發(fā)起挑戰(zhàn),客戶端須提供證明自己身份的信息,以完成服務(wù)器對(duì)其身份的驗(yàn)證[13].

2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

本文將視頻監(jiān)控系統(tǒng)分為中央管理系統(tǒng)(central management system, CMS)、接入網(wǎng)關(guān)(access gateway, AG)、媒體分發(fā)系統(tǒng)(media distribution system, MDS)、客戶端(multimedia client, MC)以及其他模塊，如圖2所示：

圖2 視頻監(jiān)控系統(tǒng)結(jié)構(gòu)圖

1) 中央管理系統(tǒng)

CMS是視頻監(jiān)控系統(tǒng)的中樞管理系統(tǒng)，直接管理AG與其他模塊.作為管理中心提供客戶端用戶管理；作為存儲(chǔ)中心存儲(chǔ)客戶端用戶數(shù)據(jù)和業(yè)務(wù)參數(shù)配置數(shù)據(jù)，向Portal提供發(fā)布的內(nèi)容[14].提供客戶端接入時(shí)的呼叫控制功能，接收SIP的呼叫請(qǐng)求.如果被叫是本域的前端，則修改SIP消息中的SDP(session description protocol)，根據(jù)前端注冊(cè)的信令地址發(fā)起新的SIP呼叫，失敗則釋放本次呼叫[15].

圖3 登錄流程示意圖

2) 接入網(wǎng)關(guān)

AG是系統(tǒng)的前端接入網(wǎng)關(guān)，以及Web和WAP客戶端的HTTP Portal，是MC注冊(cè)或者會(huì)話時(shí)的第1個(gè)訪問點(diǎn)，部署在MC與CMS之間[14].AG必須實(shí)現(xiàn)本域MC的接入，接收和轉(zhuǎn)發(fā)由MC或CMS發(fā)來的SIP信令.實(shí)現(xiàn)對(duì)MC的接入管理，接收、轉(zhuǎn)發(fā)來自MC的呼叫控制信令給CMS，轉(zhuǎn)發(fā)從CMS接收到的請(qǐng)求或應(yīng)答消息給MC.

3) 媒體分發(fā)系統(tǒng)

4) 客戶端

MC分為PC客戶端、手機(jī)客戶端，基于Web或者WAP，本文默認(rèn)為Web.客戶端功能可包括安全接入認(rèn)證、圖像瀏覽、錄像回放、云鏡控制、快照、解碼、對(duì)講等功能，本文只探究安全接入認(rèn)證.

3 認(rèn)證設(shè)計(jì)方案

客戶端的安全接入，首先在訪問視頻監(jiān)控業(yè)務(wù)之前必須先在平臺(tái)完成有效注冊(cè)，確保用戶身份的合法性，當(dāng)客戶端需要退出視頻監(jiān)控業(yè)務(wù)時(shí)需要請(qǐng)求注銷.SIP呼叫一次代理服務(wù)器(本文中指AG)的過程需要3次握手確認(rèn)才算完成[16].另外，一個(gè)CMS下面可能存在多個(gè)MC接入網(wǎng)關(guān)，MC接入到哪個(gè)MC的接入網(wǎng)關(guān)上必須由系統(tǒng)中的CMS進(jìn)行統(tǒng)一調(diào)度,如圖3中的AG(A)，調(diào)度方式可采用SIP的302重定向功能來實(shí)現(xiàn)，所以MC必須要支持SIP重定向功能:客戶端注冊(cè)到平臺(tái)時(shí)采用客戶端編號(hào)進(jìn)行注冊(cè).且登錄注銷支持NAT穿越功能，支持RFC3581標(biāo)準(zhǔn).

1) 客戶端(MC)發(fā)送Register消息到AG(A),這里的AG(A)是平臺(tái)的統(tǒng)一接入網(wǎng)關(guān)，即在客戶端上配置的接入網(wǎng)關(guān)；

2) AG(A)轉(zhuǎn)發(fā)請(qǐng)求給CMS；

圖4 設(shè)備屬性列表流程圖

3) CMS進(jìn)行調(diào)度，并返回302重定向到AG(B)；

4) 客戶端(MC)發(fā)送Register消息到接入網(wǎng)關(guān)AG(B)；

5) 接入網(wǎng)關(guān)AG(B)轉(zhuǎn)發(fā)Register消息到CMS；

6) CMS檢測(cè)到Register消息中沒有登錄請(qǐng)求消息，返回401需要鑒權(quán)響應(yīng)；

7) 接入網(wǎng)關(guān)AG(B)轉(zhuǎn)發(fā)401需鑒權(quán)響應(yīng)到客戶端(MC)；

8) 客戶端(MC)收到401響應(yīng)后，發(fā)送攜帶鑒權(quán)信息的Register消息到接入網(wǎng)關(guān)AG(B)；

9) 接入網(wǎng)關(guān)AG(B)轉(zhuǎn)發(fā)攜帶鑒權(quán)信息的Register消息到CMS；

10) CMS鑒權(quán)通過后返回200 OK注冊(cè)成功響應(yīng)消息；

11) 接入網(wǎng)關(guān)AG(B)轉(zhuǎn)發(fā)注冊(cè)成功響應(yīng)消息到客戶端(MC).

由于注銷與注冊(cè)流程相似，不再贅述注銷原理.注銷和注冊(cè)消息的唯一不同就是，注銷時(shí)Register消息中的Expires參數(shù)等于0，客戶端在注冊(cè)時(shí)使用用戶名或者用戶ID注冊(cè)，后續(xù)SIP消息頭中要保持一致，這是SIP協(xié)議棧的基本要求.

3.2 獲取設(shè)備屬性列表

客戶端經(jīng)視頻監(jiān)控業(yè)務(wù)平臺(tái)授權(quán)登錄后，需進(jìn)一步驗(yàn)證用戶權(quán)限，如是否權(quán)限過期，是否列入黑名單，有哪些禁止服務(wù)權(quán)限等.這通過獲取設(shè)備屬性列表實(shí)現(xiàn)，在設(shè)備屬性列表中主要包括3種類型的信息：用戶相關(guān)的信息、設(shè)備列表信息和設(shè)備動(dòng)態(tài)狀態(tài)信息，這3個(gè)信息分3次不同的請(qǐng)求進(jìn)行獲取[16].其中用戶相關(guān)的信息主要包括用戶本身的權(quán)限屬性等信息，設(shè)備列表信息主要包括一些設(shè)備列表分組和具體的設(shè)備列表信息，而設(shè)備動(dòng)態(tài)狀態(tài)信息主要包括設(shè)備IP地址，碼流、狀態(tài)等信息，如圖4所示:

1) 客戶端(MC)向AG發(fā)送HTTP請(qǐng)求，獲取用戶本身相關(guān)的信息，在HTTP請(qǐng)求頭中未攜帶鑒權(quán)信息；

2) AG轉(zhuǎn)發(fā)請(qǐng)求給CMS；

3) CMS返回401響應(yīng)給AG；

4) AG返回401響應(yīng)給客戶端(MC)，需對(duì)客戶端進(jìn)行鑒權(quán)；

5) 客戶端(MC)重新組成HTTP頭，并攜帶鑒權(quán)信息向AG發(fā)送獲取用戶信息請(qǐng)求消息；

6) AG轉(zhuǎn)發(fā)請(qǐng)求消息給CMS；

7) CMS進(jìn)行認(rèn)真鑒權(quán)成功之后，并返回具體的用戶相關(guān)信息給AG，在響應(yīng)消息中包括用戶設(shè)備列表的時(shí)間戳信息；

8) AG轉(zhuǎn)發(fā)給客戶端(MC)；

9) 客戶端(MC)根據(jù)設(shè)備列表的時(shí)間戳和本地保存的時(shí)間戳判斷是否需要重新獲取設(shè)備靜態(tài)列表.如果需要，則發(fā)送獲取設(shè)備靜態(tài)列表給AG,如果時(shí)間戳一致，則不需要重新獲取設(shè)備靜態(tài)列表，直接獲取動(dòng)態(tài)信息；

10) AG轉(zhuǎn)發(fā)請(qǐng)求給CMS；

11) CMS返回設(shè)備靜態(tài)列表給AG；

12) AG轉(zhuǎn)發(fā)設(shè)備靜態(tài)列表響應(yīng)給客戶端(MC)；

13) 客戶端(MC)加載了設(shè)備列表之后，向AG繼續(xù)獲取具體的設(shè)備狀態(tài)信息；

14) AG轉(zhuǎn)發(fā)給CMS；

15) CMS返回設(shè)備狀態(tài)信息給AG；

16) AG轉(zhuǎn)發(fā)響應(yīng)給客戶端(MC).

3.3 認(rèn)證流程

在注冊(cè)的過程中完成身份認(rèn)證，AG負(fù)責(zé)MC的身份認(rèn)證.MC每次向AG發(fā)起HTTP請(qǐng)求AG都需要進(jìn)行摘要認(rèn)證.MC首次向AG發(fā)送HTTP請(qǐng)求，AG返回401(未授權(quán))響應(yīng)進(jìn)行挑戰(zhàn).401消息的頭里帶有WWW-Authenticate消息頭，其中包含挑戰(zhàn)摘要的隨機(jī)參數(shù)nonce.MC收到401后，將用戶名密碼和挑戰(zhàn)信息用MD5加密形成認(rèn)證鑒權(quán)頭，重新發(fā)送給AG，AG對(duì)認(rèn)證鑒權(quán)頭進(jìn)行驗(yàn)證，如果認(rèn)證成功則返回200 OK，并在響應(yīng)的消息中返回下次認(rèn)證的隨機(jī)數(shù)nextnonce，MC下次請(qǐng)求時(shí)，根據(jù)nextnonce生成鑒權(quán)頭進(jìn)行HTTP請(qǐng)求[17].如圖5所示：

圖5 HTTP摘要認(rèn)證流程圖

3.4 AG的質(zhì)詢消息頭

AG的401未授權(quán)質(zhì)詢WWW-Authenticate消息頭語(yǔ)法：

challenge=″Digest″ digest-challenge

digest-challenge=1#(realm|[domain]|nonce|[opaque]|[stale]|[algorithm]|[qop-options]|[auth-param])

domain=″domain″″=″〈″〉URI(1*SP URI)〈″〉

URI=absoluteURI|abs_path

nonce=″nonce″ ″=″nonce-value

nonce-value=quoted-string

opaque=″opaque″ ″=″quoted-string

stale=″stale″ ″=″(″true″|″false″)

algorithm=″algorithm″ ″=″(″MD5″|″MD5-sess″|token)

qop-options=″qop″ ″=″〈″〉1#qop-value〈″〉

qop-value=″auth″|″auth-int″|token

AG的消息頭參數(shù)如表1所示：

表1 AG的消息頭參數(shù)說明表

3.5 MC的應(yīng)答消息頭

MC的應(yīng)答消息頭語(yǔ)法：

credentials=″Digest″ digest-response

digest-response=1#(username|realm|nonce|digest-uri|response|[algorithm]|[cnonce]|[opaque]|[message-qop]|[nonce-count]|[auth-param])

username=″username″ ″=″username-value

username-value=quoted-string

digest-uri=″uri″ ″=″digest-uri-value

digest-uri-value=request-uri;As specified by HTTP1.1

message-qop=″qop″ ″=″qop-value

cnonce=″cnonce″ ″=″cnonce-value

cnonce-value=nonce-value

nonce-count=″nc″ ″=″nc-value

nc-value=8LHEX

response=″response″ ″=″request-digest

request-digest=〈″〉32LHEX〈″〉

LHEX=″0″|″1″|″2″|″3″|″4″|″5″|″6″|″7″|″8″|″9″|″a″|″b″|″c″|″d″|″e(cuò)″|″f″|

MC的Authorization頭參數(shù)如表2所示：

表2 MC的Authorization頭參數(shù)說明表

3.6 Response參數(shù)

在HTTP摘要認(rèn)證的“response”過程中，MC通過定義response的不同參數(shù)，向AG反饋相應(yīng)的HTTP請(qǐng)求信息，response參數(shù)計(jì)算方法至關(guān)重要.response參數(shù)計(jì)算算法參考RFC2617[18]：

response=〈″〉〈KD(H(A1),unq(nonce-value)

″:″ nc-value

″:″ unq(cnonce-value)

″:″ unq(qop-value)

″:″ H(A2)

) 〈″〉

A1=unq(username-value) ″:″ unq(realm-value) ″:″ passwd

如果qop等于auth，A2=Method ″:″ digest-uri-value

如果qop等于auth-int，A2=Method ″:″ digest-uri-value ″:″ H(entity-body)

其中：

1) H(data)=MD5(data).

2) KD(secret,data)=H(concat(secret, ″:″, data)).

3) unq(X)代表去掉X前后的引號(hào).

4) Method=GET或者POST.

5) entity-body代表HTTP請(qǐng)求的消息體.

6) passwd=key.

AG在收到MC的挑戰(zhàn)響應(yīng)消息后，根據(jù)Authorization消息頭中的username參數(shù)，取出對(duì)應(yīng)的key和key的有效期，然后使用和MC相同的計(jì)算方法，對(duì)Authorization消息頭中的參數(shù)進(jìn)行摘要計(jì)算，將計(jì)算結(jié)果與response值進(jìn)行比較，相同則鑒權(quán)成功，返回200 OK響應(yīng)，不同則鑒權(quán)失敗，重新返回401 Unauthorized響應(yīng)，格式與請(qǐng)求1的401響應(yīng)相同.鑒權(quán)成功后，AG的200 OK響應(yīng)的消息頭中增加了字段，如表3所示：

表3 HTTP的消息頭增加字段表

4 結(jié)束語(yǔ)

隨著智能終端、APP的廣泛應(yīng)用，視頻監(jiān)控系統(tǒng)中客戶端的安全接入至關(guān)重要.本文中基于SIP與HTTP協(xié)議的原理與關(guān)系，設(shè)計(jì)了視頻監(jiān)控系統(tǒng)中客戶端與接入網(wǎng)關(guān)之間的HTTP摘要認(rèn)證方案，對(duì)增強(qiáng)SIP協(xié)議的安全性有一定借鑒意義.但是HTTP摘要認(rèn)證本身仍存在一定缺陷，如不能雙向認(rèn)證，缺乏私鑰協(xié)商機(jī)制，不能為SIP協(xié)議消息頭域加密等，這些缺陷還需不斷改進(jìn).另外，客戶端的安全接入有多種保證機(jī)制，需要多方協(xié)同.這些將在今后進(jìn)一步研究探討.

[1]王永建, 徐楊, 王迅, 等. 面向平安城市的視頻監(jiān)控前端呼叫設(shè)計(jì)研究[J]. 軟件, 2016, 37(4): 101-106

[2]賀德富, 涂睿, 張紅軍. 軍隊(duì)院校信息安全意識(shí)教育探析[J]. 信息安全與通信保密, 2014 (12): 71-72

[3]王永建, 劉永濤, 梁偉河, 等. 一種基于SIP的多媒體客戶端安全接入設(shè)計(jì)[J]. 通信技術(shù), 2016, 49(7): 923-928

[4]劉輝, 羅曉勇,張杰. 基于SIP的無(wú)線視頻監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 電視技術(shù), 2011, 35(19): 93-95

[5]曾鷺鷺, 陳一民. 基于SIP協(xié)議的IP電話服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程, 2007, 33(3): 278-280

[6]徐軒. 嵌入式移動(dòng)視頻采集終端的設(shè)計(jì)與實(shí)現(xiàn)[D]. 武漢: 武漢理工大學(xué), 2013

[7]亢娟. 基于WCDMA網(wǎng)絡(luò)的智能公交系統(tǒng)接口協(xié)議研究[D]. 太原: 太原理工大學(xué), 2013

[8]陳瑩. 基于SIP協(xié)議的視頻監(jiān)控系統(tǒng)的實(shí)現(xiàn)與應(yīng)用[D]. 上海: 上海交通大學(xué), 2008

[9]李學(xué)杰, 金志剛, 戴居豐. 基于HTTP摘要認(rèn)證的SIP安全性設(shè)計(jì)[J]. 電子測(cè)量技術(shù), 2007, 30(12): 109-115

[10]顧曉輝, 施佳佳, 郭放. SIP的安全機(jī)制及其HTTP摘要認(rèn)證的改進(jìn)[J]. 東華大學(xué)學(xué)報(bào): 自然科學(xué)版, 2010, 36(2): 165-174

[11]彭煥峰. 一種基于改進(jìn)的HTTP摘要認(rèn)證的SIP安全機(jī)制[J].微型機(jī)與應(yīng)用,2011,30(6):53-55

[12]陳遠(yuǎn)志. HTTP認(rèn)證及其在Web平臺(tái)中的實(shí)現(xiàn)[J]. 中國(guó)數(shù)據(jù)通信, 2004, 6(10): 77-83

[13]傅有為. 基于HTTP摘要認(rèn)證機(jī)制的SIP通信系統(tǒng)的實(shí)現(xiàn)[D]. 大連: 大連理工大學(xué), 2011

[14]仝玉選. 試論電信級(jí)視頻監(jiān)控中心服務(wù)平臺(tái)[J]. 現(xiàn)代傳輸, 2011 (6): 55-67

[15]姚楠, 王開圣. 基于三維GIS的電網(wǎng)視頻監(jiān)控系統(tǒng)[J]. 中國(guó)電力, 2012, 45(4): 96-100

[16]Menon V, Kulgod S V, Bangalore J. Fast connect procedure for session initiation protocol using cached credentials[C] //Proc of IEEE 2014 Int Conf on Advances in Computing, Communications and Informatics. New Delhi, India: India Chapter & Res Publishing Serv, 2014: 322-326

[17]中國(guó)移動(dòng)通信集團(tuán)公司. 中國(guó)移動(dòng)視頻監(jiān)控接口規(guī)范[DB/OL]. [2016-10-16]. http://wenku.baidu.com/view/3a2ec2daad51f01dc281f149.html?from=search,2011-10-19/2016-03-22

[18]IETF. HTTP authentication: Basic and digest access authentication[DB/OL]. [2016-10-16]. https://datatracker.ietf.org/doc/rfc2617/?include_text=1,2013-03-02/2016-03-10

王永建

碩士，高級(jí)工程師，IEEE、ACM會(huì)員，主要研究方向?yàn)樾畔踩⑿畔z索、大數(shù)據(jù).

kingselfme@sina.com

張 健

碩士，高級(jí)工程師，主要研究方向?yàn)閿?shù)據(jù)通信、信息安全.

zhangjian@citcc.cn

鐵小輝

本科，高級(jí)工程師，主要研究方向?yàn)樵朴?jì)算、信息安全.

tiexiaohui@citcc.cn

楊建華

本科，高級(jí)工程師，主要研究方向?yàn)樾畔踩⒋髷?shù)據(jù).

yangjianhua@citcc.cn

郭廣濤

本科，高級(jí)工程師，主要研究方向?yàn)閿?shù)據(jù)通信、多媒體.

guoguagntao@citcc.cn

Ansafety Authentication Design Based on HTTP Digest for Video Monitoring System

Wang Yongjian, Zhang Jian, Tie Xiaohui, Yang Jianhua, and Guo Guangtao

(ChinaInternationalTelecommunicationConstructionGroupDesignInstituteCo,Ltd,Beijing100079)

The construction of safe city, it is the key ofsecurity authentication forclien in video monitoring system. In order to make up for the lack of security of SIP, an authentication scheme has been designed based on HTTP digest. Firstly, the principle of SIP and HTTP protocol is analyzed, and it designs the whole structure of video monitoring system, and defines the function of each main component. Then, it designs the scheme of logincancellation and achieving the property list of equipment. Finally, it designs the implementation scheme which include scertification process, chcallenge message header of AG, response message header of MC and parameter of Response. The design idea, in the paper, has a certain reference significance for improving the security of SIP protocol.

session initiation protocol; session description protocol; HTTP digest; chanllenge; response

2016-10-14

河南省重點(diǎn)科技攻關(guān)項(xiàng)目(122102210430)

TN919.81