关于海康摄像头的摘要认证(转载)

最新推荐文章于 2024-04-26 10:35:25 发布
最新推荐文章于 2024-04-26 10:35:25 发布
阅读量2.6k 收藏 10
点赞数
分类专栏: # 网络编程(Linux应用层编程) 无人机-f-个人笔记 文章标签: http
原文链接:https://blog.csdn.net/y673533511/article/details/88388138
版权

转载自:关于海康摄像头的摘要认证_y673533511的博客-CSDN博客

关于海康
摄像头的摘要认证

y673533511 2019-03-11 10:30:01

4132  正在上传…重新上传取消​ 收藏 6 

版权

最近在做一个项目时候要用到摄像头人脸抓拍,人脸识别等功能,原本使用海康的SDK就可以解决的,但是我们项目是在arm平台下开发的,而海康的SDK不支持arm平台,无奈联系的海康的技术支持,他们提供的了一种基于海康私有ISAPI 协议,通过HTTP进行摘要认证。

什么是摘要认证? 简单的说就是你要登录某个网站,网站会让你输入用户名密码才才能进行正常的操作,这首先浏览器会首先发出一个请求,然后服务器传回一个认证信息 ,该认证信息包含有认证域,随机密码,header等信息。当你输入正确的账户和密码,浏览器会自动根据你的账户和密码生成摘要认证信息,然后发送给服务器,服务器提取摘要信息,选择验证算法,对账户和密码进行验证,验证通过返回200  ok  ,然后就可正常的浏览网页了。类似于路由器的登录界面。具体的摘要认证流程学习,大家自行百度学习。

关于海康摘要认证方法的介绍参考官方文档如下:

1 摘要认证介绍 
ISAPI 协议基于 HTTP REST 架构,协议交互需要安全认证,Digest 摘要认证比 Basic 基础认证的安全级别
更高: 
1)通过传递用户名、密码等计算出来的摘要来解决明文方式在网络上发送密码的问题。 
2)通过服务产生随机数 nonce 的方式可以防止恶意用户捕获并重放认证的握手过程。 
1.1 认证握手过程 
1. 客户端发出一个没有认证证书的请求。 
GET /ISAPI/Security/userCheck HTTP/1.1 
Accept: text/html, application/xhtml+xml, */* 
Accept-Language: zh-CN 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko 
Accept-Encoding: gzip, deflate 
Host: 10.18.37.12 
Connection: Keep-Alive 
注:此处示例为用户名密码校验的ISAPI协议命令(GET方法),每次下发新的命令都需要重新认证。 

 

2. 服务器产生一个随机数nonce,并且将该随机数放在WWW-Authenticate响应头,与服务器支持的认
证算法列表,认证的域realm一起发送给客户端。 
HTTP/1.1 401 Unauthorized 
Date: Wed, 30 May 2018 19:16:52 GMT 
Server: App-webs/ 
Content-Length: 178 
Content-Type: text/html 
Connection: keep-alive 
Keep-Alive: timeout=10, max=99 
WWW-Authenticate: Digest qop="auth", realm="IP Camera(12345)", 
nonce="4e5749344e7a4d794e544936596a4933596a51784e44553d", stale="FALSE" 
注:401 Unauthorized表示认证失败、未授权。返回的WWW-Authenticate表示设备支持的认证方式,此
处设备只支持Digest摘要认证方式。 

 

HTTP/1.1 401 Unauthorized 
Date: Wed, 30 May 2018 19:23:32 GMT 
Server: App-webs/ 
Content-Length: 178 
Content-Type: text/html 


Connection: keep-alive 
Keep-Alive: timeout=10, max=99 
WWW-Authenticate: Digest qop="auth", realm="IP Camera(12345)", 
nonce="4f5455784e4452684f544136596a49344d54566a4f57553d", stale="FALSE" 
WWW-Authenticate: Basic realm="IP Camera(12345)" 
注:401 Unauthorized表示认证失败、未授权。返回的WWW-Authenticate表示设备支持的认证方式,此
处设备同时支持Digest摘要认证和Basic认证两种方式。stale表示nonce值是否过期,如果过期会生成新的随
机数。 

 

3. 客户端接收到401响应表示需要进行认证,选择一个算法(目前只支持MD5)生成一个消息摘要
(message digest,该摘要包含用户名、密码、给定的nonce值、HTTP方法以及所请求的URL),将摘要放到
Authorization的请求头中重新发送命令给服务器。如果客户端要对服务器也进行认证,可以同时发送客户端
随机数cnonce,客户端是否需要认证,通过报文里面的qop值进行判断,详见1.2章节介绍。 
GET /ISAPI/Security/userCheck HTTP/1.1 
Accept: text/html, application/xhtml+xml, */* 
Accept-Language: zh-CN 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko 
Accept-Encoding: gzip, deflate 
Host: 10.18.37.12 
Connection: Keep-Alive 
Authorization: Digest username="admin",realm="IP 
Camera(12345)",nonce="595463314d5755354d7a4936596a49344f475a6a5a44453d",uri="/ISAPI/Security/userCheck",cnonc
e="011e08f6c9d5b3e13acfa810ede73ecc",nc=00000001,response="82091ef5aaf9b54118b4887f8720ae06",qop="auth" 

 

4. 服务接收到摘要,选择算法以及掌握的数据,重新计算新的摘要跟客户端传输的摘要进行比较,验
证是否匹配,若客户端反过来用客户端随机数对服务器进行质询,就会创建客户端摘要,服务可以预先
将下一个随机数计算出来,提前传递给客户端,通过 Authentication-Info 发送下一个随机数。该步骤选
择实现。 
HTTP/1.1 200 OK 
Date: Wed, 30 May 2018 19:32:49 GMT 
Server: App-webs/ 
Content-Length: 132 
Connection: keep-alive 
Keep-Alive: timeout=10, max=98 
Content-Type: text/xml 

 

<?xml version="1.0" encoding="UTF-8"?> 
<userCheck> 
<statusValue>200</statusValue> 
<statusString>OK</statusString> 
</userCheck> 
注:响应200 OK表示认证成功。 

 

详细说明请参考RFC 2617规范文档。 


1.2 摘要计算过程 
在说明如何计算摘要之前,先说明参加摘要计算的信息块。信息块主要有两种: 
1. 表示与安全相关的数据的A1 
A1中的数据时密码和受保护信息的产物,它包括用户名、密码、保护域和随机数等内容,A1只涉及安
全信息,与底层报文自身无关。 
若算法是:MD5 
则 A1=<user>:<realm>:<password> 
若算法是:MD5-sess 
则 A1=MD5(<user>:<realm>:<password>):<nonce>:<cnonce> 

 

2. 表示与报文相关的数据的A2 
A2表示是与报文自身相关的信息,比如URL,请求反复和报文实体的主体部分,A2加入摘要计算主要目
的是有助于防止反复,资源或者报文被篡改。 
若 qop 未定义或者 auth: 
A2=<request-method>:<uri-directive-value> 
若 qop 为 auth:-int 
A2=<request-method>:<uri-directive-value>:MD5(<request-entity-body>) 
注:<uri-directive-value>为完整的协议命令 URI,比如“/ISAPI/Security/userCheck”。 

 

下面定义摘要的计算规则: 
若 qop 没有定义: 
摘要 response=MD5(MD5(A1):<nonce>:MD5(A2)) 

 

若 qop 为 auth: 
摘要 response=MD5(MD5(A1):<nonce>:<nc>:<cnonce>:<qop>:MD5(A2)) 
 
若 qop 为 auth-int: 
摘要 response= MD5(MD5(A1):<nonce>:<nc>:<cnonce>:<qop>:MD5(A2)) 
1.3 随机数的生成 
RFC2617建议采用这个假想的随机数公式: 
nonce = BASE64(time-stamp MD5(time-stamp ":" ETag ":" private-key)) 
其中: 
time-stamp是服务器产生的时间戳或者其他不会重复的序列号,ETag是与所请求实体有关的HTTP ETag
首部的值,priviate-key是只有服务器知道的数据。 

 

这样,服务器就可以收到客户端的认证首部之后重新计算散列部分,如果结果与那个首部的随机数不
符,或者是时间戳的值不够新,就可以拒绝请求,服务器可以通过这种方式来限制随机数的有效持续时间。 
 


包括了ETag可以防止对已经更新资源版本的重放请求。注意:在随机数中包含客户端IP,服务器好像就
可以限制原来获取此随机数的客户端重用这个随机数了,但这会破坏代理集群的工作,使用代理集群时候,
来自单个用户的多条请求通常会经过不同的代理进行传输,而且IP地址欺骗实现起来也不复杂。 

 

对于我司设备,认证的随机数超时时间如下所示: 
认证返回的 nonce 是 3s 超时; 
非认证返回的 none 是 30s 超时。

主要流程如下

客户端是arm板  采用socket 编程,服务端是海康摄像头。 采用短连接方式。

1.客户端发送一个没有认证的请求

GET /ISAPI/Streaming/channels/101/picture HTTP/1.1
Host: 192.168.3.64
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8

2.服务端发送返回如下

HTTP/1.1 401 Unauthorized
Date: Mon, 11 Mar 2019 10:22:35 GMT
Server: App-webs/
Content-Length: 178
Content-Type: text/html
Connection: close
WWW-Authenticate: Digest qop="auth", realm="DS-2CD2520F", nonce="4d6a553452444d30525441364e6d4d304e6a68684e47553d", stale="FALSE"
WWW-Authenticate: Basic realm="DS-2CD2520F"

<!DOCTYPE html>
<html><head><title>Document Error: Unauthorized</title></head>
<body><h2>Access Error: 401 -- Unauthorized</h2>
<p>Authentication Error</p>
</body>
</html>

3.客户端根据服务端返回的认证域 nonce 等信息,加入用户名和密码,生成response校验 ,重新发回给服务器  如下

GET /ISAPI/Streaming/channels/101/picture HTTP/1.1
Host: 192.168.3.64
Connection: keep-alive
Authorization: Digest username="admin", realm="DS-2CD2520F", nonce="4d6a553452444d30525441364e6d4d304e6a68684e47553d", uri="/ISAPI/Streaming/channels/101/picture", response="3993a815e5cdaf4470e9b4f9bd41cf4a", qop=auth, nc=00000001, cnonce="93d4d37df32e1a85"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8

4.服务端验证通过返回200 ok

HTTP/1.1 200 OK
Content-Type: image/jpeg; charset="UTF-8"
Content-Length:153686

5.接着返回图片数据

这就是一次杭康摄像头摘要认证的过程,该源码就是抓取摄像头的一张图片。

程序源码请移步github :GitHub - kyhkl/hivisoion_projcet

诗筱涵
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WPF海康摄像头程序显示
12-08
WPF海康摄像头程序显示
海康摄像头抓拍图片,摄像头信息从数据库读取
05-12
海康通过读取数据库中摄像头信息,抓拍图片; 数据库中: camera_ip:摄像头ip; port:端口号; user_name:账号; password:密码; path:图片保存地址
Node.js毕业设计海康物流(Express+附源码)
小奔程序
03-29 646
本毕业设计题目旨在开发一套针对海康物流的管理系统,利用现代化的前端技术(HTML+CSS+JavaScript+Vue)和后端技术(Node.js+Express),结合MySQL数据库,以实现对物流过程的有效管理和优化。通过开发一个集成了先进前端技术和后端框架的物流管理系统,不仅能够提高物流操作的自动化水平,减少人为错误,还能够提供实时的数据跟踪和分析,从而优化库存管理、订单处理和配送策略。从长远来看,该系统的开发将有助于海康物流建立起更加灵活、可持续的物流体系,为企业的长期发展奠定坚实的基础。
HTML实现海康摄像头实时监控功能
09-28
最近公司安排我做一个ccfa的小东东,其中有一项需求就是做一个网页播放摄像头的实时监控功能,对于我这个小菜鸟来说真是难到了,下面小编给大家带来了HTML实现海康摄像头实时监控功能,感兴趣的朋友一起看看吧
基于ubuntu下海康摄像头设备网络SDK开发
11-14
基于ubuntu下QT5.7的海康摄像头设备网络SDK开发,完成摄像头预览,抓拍,人脸和背图上传等功能,压缩包中包含程序源码,SDK等,可在界面输入摄像头ip,账号,密码后直接运行。
php代码-海康摄像头HTTP获取图片。 Authorization: Digest算法 第一次http://192.168.16.223/ISAPI/Streaming/channels/33/picture 返回头中Authorization参数用于此计算,得出新的Authorization,放于头中再次请求就得到图片
07-16
php代码-海康摄像头HTTP获取图片。 Authorization: Digest算法 第一次http://192.168.16.223/ISAPI/Streaming/channels/33/picture 返回头中Authorization参数用于此计算,得出新的Authorization,放于头中再次请求就得到图片
HIKVISION开发文档2.0
08-24
hikvision isapi ipmd 2.0 service manual 海康开发手册 2.0
海康威视web3.2开发包开发使用说明
asdfadafd的博客
03-10 2643
首言: 通过海康威视的最新web开发包工具进行js调用引入至vue项目中,实现监控设备的对接,监控功能的实现。3.2无插件js库同时支持插件安装的模式。 目录 首言: 一、海康威视开发平台: ?1、下载开发工具包文档 2、专家支持在线咨询问题 二、3.2无插件开发 1、需要引用的js包 2、开发api 3、注意事项 三、在VUE项目中多个页面引用插件进行监控视频实时显示 1、把初始化过程抽象为一个组件 2、在不同页面中进行调用 四、其他说明 1、无插件开发包必须使用nginx代理(无论是测试还是生产环境)
海康门禁 远程控制
weixin_42639168的博客
02-23 4850
1.登录海康官网下载sdk包 https://www.hikvision.com/cn/download_61.html 2.登录海康sdk包 库文件中的ClientDemo.exe 然后添加设备 只用填写ip,用户名,密码即可 端口默认为8000 我这里的设备是连接的公司的wifi 连接后就会显示ip,用户名为admin ,密码为设备登录管理界面的密码 添加后点击预览能显示表示参数正确 3.java开发 我这里的开发流程是 扫脸——回调函数逻辑判断——远程控门 以
海康威视摄像头配置RTSP协议访问、onvif协议接入、二次开发SDK接入
08-07 4170
当前文章介绍海康威视摄像头如何配置RTSP协议访问、开启onvif协议、调用SDK进行二次开发控制。
HIKVISION开发文档之一
08-23
HIKVISION海康威视ISAPI开发图像手册V2.5
海康互联平台API文档V1.2
06-11
海康互联平台API文档V1.2 包括http 接口和 移动接口两大部分描述
海康私有协议ISAPI 球机摄像头云台控制代码
11-22
海康私有协议ISAPI 球机摄像头云台控制代码,包括http摘要认证,失败重验功能; 关于云台部分:上下左右旋转,设置预置点,转到预置点,一键巡检 如果从事ISAPI开发的朋友可以借助本资源入手,包括http通信协议摘要认证相关的框架已经实现
海康摄像头spring boot
05-06
海康摄像头支持spring boot ,采用插件和rtsp方式,web形式显示, 海康摄像头支持spring boot ,采用插件和rtsp方式,web形式显示
LabVIEW读取海康网络摄像头2022
09-04
看我的blog https://mp.csdn.net/mp_blog/creation/editor/126667859
HTTP网络协议的请求方法,具体详解(2024-04-26)
最新发布
hap1994的博客
04-26 1379
即,是一种实现和服务器之间通信的响应协议,它是用作客户端和服务器之间的请求根据 HTTP 标准,HTTP 请求可以使用多种请求方法。
http忽略ssl认证
weixin_54505261的博客
04-25 508
httpclient证书忽略以及urlconnection证书忽略
【QT进阶】Qt http编程之json解析的简单介绍
LF__plus的博客
04-22 420
【QT进阶】Qt http编程之json解析的简单介绍
http实现反向代理
weixin_39755186的博客
04-23 766
【代码】http实现反向代理。
海康摄像头modbus
07-29
海康摄像头海康威视(Hangzhou Hikvision Digital Technology Co., Ltd)生产的一款安防摄像设备。Modbus是一种用于工业自动化领域的通讯协议。那么,海康摄像头是否支持Modbus协议呢? 根据我所了解的信息,海康摄像头一般不直接支持Modbus协议。作为一种工业自动化通讯协议,Modbus主要用于通过串口(RS-232或RS-485)进行设备之间的通信。而海康摄像头通常通过网络进行数据传输,而不是通过串口。 然而,虽然海康摄像头本身不支持Modbus协议,但是可以通过其他方式将其与Modbus设备进行通信。例如,可以使用网关设备或协议转换器将海康摄像头的信息转换为Modbus协议兼容的数据,然后再与Modbus设备进行通信。这样就能实现海康摄像头与Modbus设备之间的数据交互。 总之,海康摄像头本身并不直接支持Modbus协议,但可以通过其他设备进行转换以实现与Modbus设备的通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值