当前位置：首页 > news >正文

onvif应用--IPC鉴权（认证）

news 来源：原创 2024/9/20 9:19:40

一、鉴权原理

1）onvif的用户验证，是基于WS_UsernameToken，所谓的WS_UsernameToken加密，就是将用户名、密码、Nonce、Created都包含在了header里面

参数	意义
username	待认证的用户名
Nonce	客户端随机产生的字符串
Created	请求认证的UTC时间（格式： 2023-11-29T08:05:52Z）
PasswordDigest	需要Password(明文密码)、Nonce、Created经过公式生成

2）鉴权信息包括用户名、密码，在HTTP传输过程中不能是明文，有一定的加密算法

Digest鉴权是一种比基本鉴权更安全的身份验证方式，它避免了密码在网络中的明文传输

在ONVIF中，客户端使用用户名和密码的哈希值进行鉴权，服务器通过验证这个哈希值来确认身份

Digest的获取需要移植Base64编解码库、SHA1库，移植完成通过下面公式得到：

PasswordDigest= B64Encode( SHA1(B64DECODE(Nonce) + Created + Password(明文密码))

Nonce是一个随机数，主要用于防止重放攻击，但是它是经过Base64编码后作为字符串传输的，加密过程中，需要将Nonce解码为二进制数据，然后与Created和Password进行拼接

因此，需要先使用B64DECODE对Nonce进行解码，将其转换为二进制数据

3）有很多onvif接口在调用之前需要鉴权（即调用soap_wsse_add_UsernameTokenDigest函数），并且鉴权完一次之后还需要重新鉴权

成功认证后，可以通过调用ONVIF提供的各种服务接口，如获取设备信息、设置配置、控制摄像头等

只有以下接口是可以在不认证的情况下调用

GetWsdlUrl
GetServices
GetServiceCapabilities
GetCapabilities
GetHostname
GetSystemDateAndTime
GetEndpointReference
GetRelayOutputOptions

二、如何认证

可利用gSOAP源码中的soap_wsse_add_UsernameTokenDigest函数，可以轻松实现鉴权

1）在soapcpp2 生成ONVIF代码框架之前，要在onvif.h头文件开头加入：

#import “wsse.h”

2）依赖

包含以下文件：

wsseapi.c
wsseapi.h
mecevp.c
mecevp.h
smdevp.c
smdevp.h
threads.c
threads.h
dom.c

这些文件在gsoap目录和gsoap/plugin目录下，将这些文件拷贝到项目中，以便参与编译

3）makefile中必须添加编译开关-DWITH_DOM -DWITH_OPENSSL

4）安装OpenSSL

wsse系列函数依赖OpenSSL库，得去OpenSSL官网下载源代码来编译、安装，里面有我们需要的库文件和头文件，如libssl.so、libcrypto.so

5）实现认证

ONVIF_SetAuthInfo函数是对soap_wsse_add_UsernameTokenDigest的二次封装

ONVIF_GetDeviceInformation函数内部增加了设置鉴权信息，在调用soap_call___tds__GetDeviceInformation之前，先调用ONVIF_SetAuthInfo函数设置鉴权信息

/* 对指定的IPC使用鉴权命令查询媒体信息 */

struct soap *soap; //soap环境变量

soap = soap_new(); //为soap申请变量空间,并初始化

if(soap==NULL)

{

printf("%s : %d, can't create new soap! \n",__FUNCTION__, __LINE__);

return -1;

}

soap_set_namespaces(soap, namespaces); //设置soap的namespaces

/* ---- 开始获取媒体信息------ */

soap_wsse_add_UsernameTokenDigest(soap, "user", username, password);

bret = MyGetProfiles(soap, index);

if(bret==FALSE)

{

printf("--ERROR: MyGetProfiles() return false! \n");

return FALSE;

}

注意：但凡是ONVIF规定要鉴权的接口，每次调用之前，都要重新设置一次鉴权信息（即调用ONVIF_SetAuthInfo函数），因为IPC的应答信息会重置soap对象，导致鉴权信息丢失，所示每次都要重新设置鉴权信息

三、ONVIF Device Test Tool

1）先使用ONVIF Device Test Tool熟悉鉴权流程

搜索到设备之后需要输入设备用户名User Name及密码Password，后Check

若认证成功Scopes框弹出设备信息，Check这一步不一定要走，只是为了验证用户名或密码是否错误，但是User Name及密码Password若要进行鉴权需要填写，ONVIF Device Test Tool后续的操作会依赖这些输，入用户名及密码后，进入Debug界面

2）进入Debug界面后Authentication栏选择WS-Username token认证，继续点击Media栏，获取Media URL，ONVIF Device Test Tool需要先进行Media URL才能继续获取Media Profile。

需要优先获取到Media URL媒体服务地址，才能进行下一步，不正确的Media URL会导致获取Media Profile失败，获取Media Profile需要进行WS-Username token鉴权认证。

请求发送后右边边框会弹出响应消息，认证成功后Media Profile框下就会有TestMediaProfile()，当中可以选择Profile_x(不同Profile token对应不同码流），Profile_x主要作用在之后RTSP流获取

四、相关函数

soap_wsse_add_UsernameTokenDigest(struct soap *soap, const char *id, const char *username, const char *password)

soap_wsse_add_UsernameTokenText(struct soap *soap, const char *id, const char *username, const char *password) ;

soap_wsse_add_Security(struct soap *soap) ;

calc_digest(struct soap *soap, const char *created, const char *nonce, int noncelen, const char *password, char hash[SOAP_SMD_SHA1_SIZE]);