文件名称:消息安全-kubernetes与微服务架构的端到端流水线驱动devops落地
文件大小:4.4MB
文件格式:PDF
更新时间:2024-06-30 18:26:20
onvif spec 文档 中文版
22.1 传输层安全 传输层安全防止在客户和服务器之间数据发生改变。 传输层安全(TLS)被认为是一个比较成熟的标准,此标准通过加密为传输连接提供了一个 基本水平的通信安全。 TLS 协议允许相互认证传输会话以及维护保密性和完整性的配置 一个符合本规范的设备应该支持 TLS 1.0[RFC2246]和相关的规范。设备应该支持 TLS 1.1[RFC4346].设备应该支持 TLS 1.2[RFC5426]。为了保护所有的 ONVIF 设备,设备还应该支持 TLS。为保护媒体流的 RTP/RTSP/HTTPS 的隧道选项,设备也要支持 TLS。这个规范概述了一 个特定的 TLS 和其他相关的可以与 TLS 一起使用的规范的实现。 客户端也应该支持 TLS 1.0 [RFC 2246] 和 TLS 1.1 [RFC 4346].客户可能支持 TLS 1.2 [RFC 5246]. 消息安全 22.1.1 支持密码套 支持 TLS 的设备也应该支持下面的所有的密码套 [RFC 2246], [RFC 3268]: TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_NULL_SHA 如果一个客户支持 TLS,那么应该支持下面的密码套 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_NULL_SHA 22.1.2 服务器身份验证 通过使用 TLS,支持 TLS 的设备应该支持服务器身份验证。设备应该支持认证 X.509 服 务证书。RSA 密码的长度至少为 1024 位。客户端应该支持服务器身份验证,通过使用 TLS 本规范没有提供一个通用的完整的服务器证书和认证机构(CA)的模型。但是,设备管理 命令可以进行证书检索和下载,定义在章节 8.4。 服务器的专用密码钥匙或者密码钥匙的安全引导机制的详情在本规范的范围之外。但是通用 的键盘命令定义在章节 8.4。 22.1.3 客户端认证 支持 TLS 的设备应该支持用户认证协议。通过一个设备管理命令可以启用客户认证。定 义在章节 8.4. 支持 TLS 的设备应该包含 RSA 认证类型并且应该支持验证 RSA 认证和客户签名。 客户端应该支持客户认证。如果支持客户认证,客户端将支持 RS 客户认证和签名和可以使 用一个至少 1024 位的密码钥匙。 一个值得信赖的 CA 引导机制在目前的规范之外。此规范的未来版本可能定义标准化的引导 机制。 22.2 消息安全 TLS 允许点对点的保密性和完整性。然而,网络服务要求一个更灵活的通信模式和中间 节点,在这些解决办法中,TLS 还不能提供一个端到端的安全机制。此外,对于网络服务,