在 Qt 中实现 ONVIF 的 Digest 鉴权
ONVIF(Open Network Video Interface Forum)是一种面向网络视频的开放标准,支持视频监控设备间的互操作性。ONVIF 设备通常使用 Web 服务(SOAP over HTTP)进行通信,并可能使用基本认证或摘要认证来进行安全处理。
HTTP 摘要认证是一种用于 Web 安全领域的方法,它比基本认证(明文)更安全。摘要认证的核心是一个哈希函数,通常是 MD5。
这是一个基本的 HTTP 摘要认证的步骤:
- 客户端发送一个请求到服务器。
- 如果需要认证,服务器会返回一个带有 401 Unauthorized 状态和一个 WWW-Authenticate 头部的响应。这个头部包含了几个参数,包括一个 realm(领域)和一个 nonce(仅用一次的随机数)。
- 客户端使用这些参数、用户提供的用户名和密码,以及请求的详细信息(HTTP 方法和请求的 URI)来计算一个响应的哈希值。这个哈希值包含在一个带有 Authorization 头部的新请求中再次发送到服务器。
- 服务器收到这个新请求后,会用相同的信息和服务器上存储的密码来计算自己的哈希值。如果服务器的哈希值和客户端发送的哈希值相同,那么请求就被认为是合法的。
在 C++ 和 Qt 中,你可能需要自己实现这个过程。首先,你需要一个 HTTP 客户端库(Qt 提供了 QNetworkAccessManager),以及一个可以计算 MD5 哈希的库(Qt 提供了 QCryptographicHash)。
这是一种可能的摘要哈希计算方式:
QString calculateDigestResponse(QString username, QString realm, QString password, QString nonce, QString httpMethod, QString uri)
{
QCryptographicHash hash1(QCryptographicHash::Md5);
hash1.addData(QString("%1:%2:%3").arg(username).arg(realm).arg(password).toUtf8());
QString hash1Hex = hash1.result().toHex();
QCryptographicHash hash2(QCryptographicHash::Md5);
hash2.addData(QString("%1:%2").arg(httpMethod).arg(uri).toUtf8());
QString hash2Hex = hash2.result().toHex();
QCryptographicHash responseHash(QCryptographicHash::Md5);
responseHash.addData(QString("%1:%2:%3").arg(hash1Hex).arg(nonce).arg(hash2Hex).toUtf8());
QString responseHex = responseHash.result().toHex();
return responseHex;
}
注意,这只是一个基本的实现,实际的摘要认证可能会涉及到更多的参数,比如 qop(质量保护码)、nc(nonce 计数)、cnonce(客户端 nonce),等等。你需要根据服务器的要求来调整你的实现。
在 ONVIF 中,当使用 UsernameToken 进行鉴权时,PasswordDigest 是通过以下方式计算的:
- 首先,生成一个随机的 nonce。
- 创建一个 timestamp(通常是当前的 UTC 时间)。
- 然后,将 nonce、timestamp 和密码(未加密)连接在一起,生成一个 SHA-1 摘要。
- 最后,将摘要、nonce 和 timestamp 编码为 Base64 格式。
在 Qt 中,可以使用以下代码来实现这个过程:
#include <QCryptographicHash>
#include <QDateTime>
#include <QByteArray>
#include <QRandomGenerator>
QString username = "admin";
QString password = "password"; // 请替换为你的密码
// 1. 生成一个随机的 nonce
QByteArray nonce = QRandomGenerator::global()->generate();
QString nonceBase64 = nonce.toBase64();
// 2. 创建一个 timestamp(当前的 UTC 时间)
QString created = QDateTime::currentDateTimeUtc().toString(Qt::ISODate);
// 3. 将 nonce、created 和密码连接在一起,生成一个 SHA-1 摘要
QCryptographicHash digest(QCryptographicHash::Sha1);
digest.addData(nonce);
digest.addData(created.toUtf8());
digest.addData(password.toUtf8());
QString passwordDigest = QString::fromLatin1(digest.result().toBase64());
// 现在你可以将 passwordDigest、nonceBase64 和 created 插入到你的 XML 中
// 这是一个获取 Media Profiles 的例子。通过获取 Profiles main流配置,然后可以获取 rtsp main流地址。
// clang-format off
QString xml = R"(
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"xmlns:trt="http://www.onvif.org/ver10/media/wsdl" xmlns:tt="http:/www.onvif.org/ver10/schema">
<soap:Header>
<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"s:mustUnderstand="1">
<wsse:UsernameToken>
<wsse:Username>%1</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss2004/01/oasis-200401-wss-username-token-profile-10#PasswordDigest">%2</wsse:Password>
<wsse:Nonce EncodingType="http://docs.oasis-open.orgwss/2004/01/oasis-200401-wss-soap-message-security-10#Base64Binary">%3</wsse:Nonce>
<wsu:Created xmlns:wsu="http://docs.oasis-open.orgwss/2004/01/oasis-200401-wss-wssecurity-utility-1.0xsd">%4</wsu:Created>
</wsse:UsernameToken>
</wsse:Security>
</soap:Header>
<soap:Body>
<trt:GetProfiles />
</soap:Body>
</soap:Envelope>
)";
// clang-format on
xml = xml.arg(username,passwordDigest,nonceBase64,created);
这个代码假设密码是明文的。如果你的密码已经是哈希过的,你可能需要按照相应的方式来调整代码。
在实现 ONVIF 的摘要认证时,还需要注意的是,ONVIF 通信通常使用 SOAP 消息,其中涉及到 XML 的生成和解析。这部分可以使用 Qt 的 XML 模块来实现。
以上就是在 Qt 中实现 ONVIF 的摘要认证的方法。希望这篇文章能对你有所帮助。在网络安全方面,认证是一个重要的环节,正确的实现和使用摘要认证,能够有效提高你的应用的安全性。