安全
本标准中定义的服务应当保护或者使用摘要式身份验证依据(RFC 2617)或ws - security框架,根据安全策略。WS-Security规范定义了一套标准的SOAP扩展,可以用来提供Web服务消息的完整性和保密性。该框架允许使用标记的几种不同的安全模型。当前定义的以下标记:
- 用户名称令牌[WS-UsernameToken]
- X.509安全令牌[WS-X.509Token]
- SAML令牌[WS-SAMLToken]
- Kerberos令牌[WS-KerberosToken]
- 权利表达式语言(REL)令牌[WS-RELToken]
如果服务器同时支持如[RFC2617]中规定的摘要式身份验证和用户名令牌指定WS-Security中的下列行为应当适应:一个Web服务请求进行身份验证通过HTTP级别的摘要式身份验证[RFC2617]或在网络上通过服务水平的WS-Security(WSS)框架。如果客户端不提供身份验证凭据,随着Web服务请求,服务器应假设该客户打算使用摘要身份验证[RFC2617],如果需要的话。因此,如果客户不提供身份验证凭证当请求一个服务需要身份验证,它将接收一个HTTP 401错误根据(RFC 2617)。请注意,这种行为对服务器端的不同之处的情况下,仅支持用户名令牌的个人主页上,这需要对于这种情况一个HTTP 400错误在HTTP水平和SOAP:Fault env:发送方ter:NotAuthorized误差对WS级别。
客户端不应该同时提供身份验证凭据的HTTP级别和WS级别。如果服务器接收到Web服务请求,HTTP级别的和WS级别的包含身份验证凭据的,应当先验证HTTP层上提供的凭据。如果验证成功,服务器将最终验证的WS层上提供身份验证凭据。
图2总结了身份验证的一个web服务请求的服务器。
两个摘要式身份验证和用户名令牌只给出了最基本的安全。在一个系统,安全是很重要的,建议总是配置装置基于tls访问(见10.1)。摘要式身份验证或用户名令牌消息级安全性结合TLS,客户机和服务器身份验证,保护传输级安全性给一个可接受的安全水平在许多系统。
一个ONVIF兼容的设备应该认证一个请求的RTSP RTSP水平。如果HTTP用于隧道的RTSP请求设备不得在HTTP身份验证级别。
符合ONVIF标准的设备应进行身份验证时,RTSP和HTTP方法使用从同一组凭据,用于对WS部分用户/用户/凭据。对于用户自定义的用户名令牌,摘要式身份验证[RFC 2617]应当用于RTSP和HTTP。
若有收获,就点个赞吧
0 人点赞
