Onvif鉴权实现方式

 今天终于调试通过了鉴权过程,详细记录如下:
1原理

在ONVIF_WG-APG-Application_Programmer's_Guide.pdf文档中第6章描述了onvif加密方式。Soap通信的验证机制是WS_UsernameToken,流加密的方式是HTTPS。本文只研究了WS_UsernameToken方式。 

      我们知道onvif的用户验证是基于WS_UsernameToken,而且密码是Digest而不是明文,先来看一段带有用户验证信息的消息:

Onvif鉴权实现方式_第1张图片

 

所谓的WS_UsernameToken加密,就是将 用户名,密码,Nonce,Created都包含在了header里面。如果将#passwordDigest换成#passwordText的话,密码就是明文的,当然onvif说了,密码是Digest。

我们知道了用户名密码,那如何验证呢?文档里面提到了获取Digest的公式:

Digest = B64ENCODE( SHA1( B64DECODE( Nonce ) + Date + Password ) )


2 实现

现在知道了WS_UsernameToken是怎么回事,下面我们来看看如何实现验证吧。推荐使用gsoap的wsseapi的插件来实现,这肯定最方便的方法。具体详细步骤如下:

1 鉴权涉及到的函数原型定义在devicemgmt.wsdl中,因此必须用它生成onvif.h

./wsdl2h -s -c  -t WS-typemap.dat -o onvif.h  remotediscovery.wsdl devicemgmt.wsdl media.wsdl

生成结果是onvif.h

2 修改onvif.h

上一步生成的onvif.h文件中没有打开wsse.h, 导致最后生成代码中SOAP_ENV__Header 结构体中缺少定义 wsse__Security数据段,无法进行鉴权命令。必须修改如下:

#import "wsse.h"

3 运行soapcpp2

用到了/gsoap-2.8/gsoap/import 中的头文件,必须指定import路径。

./soapcpp2  -c -C -L -x -I../gsoap2.8/gsoap/import  onvif.h

4 编译的说明

(1)    gsoap鉴权用到的文件: dom.c wsseapi.c smdevp.c mecevp.c threads.c wsaapi.c,还有对用的头文件。这些文件一般在\gsoap-2.8\gsoap\plugin\,把这些文件单独拷贝到编译目录中,无关的文件一概不拷贝。

(2)    makefile中必须添加编译开关-DWITH_DOM -DWITH_OPENSSL

(3)    wsse系列函数必须链接标准的openssl库:libssl.so、libcrypto.so。可以下载OPENSSL1.0.0的软件包编译。

我发现在服务器上存在libssl.so.0.9.8,路径如下:/work/mv_pro_5.0/montavista/pro/devkit/arm/v5t_le/target/usr/lib。

/montavista/pro/devkit/arm/v5t_le/target/usr/include/openssl,这里是对应的头文件。

经过尝试,该库是x86平台的,不能在分机上运行。最后找到交叉编译后的库文件: libssl.so.1.0.0, libcrypto.so.1.0.0, 分别替换到上述路径。另外必须使用openssl1.0.0软件包中的头文件替换到上述路径中,不然的话就会造成链接的库是1.0.0版本,而程序编译时的数据结构还是0.9.8版本的,引起程序运行时指错误死机,一般报告释放指针错误。

必须在交叉工具链目录下替换openssl1.0.0头文件的原因:因为openssl工具包中的文件头部都是# include <openssl/opensslconf.h>之类。<>包含的文件首先到系统搜索路径下寻找,然后才到当前目录寻找,因此即使把这些头文件拷贝到编译目录下也无用。

(4)    链接ssl、crypto库文件时,必须提供索引文件libssl.so--> libssl.so.1.0.0 libcrypto.so--> libcrypto.so.1.0.0否则就会自动链接到服务器上的x86版本库文件,在分机上不能运行。

5 运行makefile, 生成searchOnvif。 


3 工作目录介绍

我的工作目录文件如下: 

Onvif鉴权实现方式_第2张图片

 

 

 

Makefile文件如下:

MVTOOL_DIR = /work/mv_pro_5.0/montavista/pro/devkit/arm/v5t_le/bin

CC = $(MVTOOL_DIR)/arm_v5t_le-gcc

#CC = gcc  -DWITH_NONAMESPACES

INCLUDE = -I. -Iplugin -Iinclude/gsoap/import

CFLAGS = -DWITH_NONAMESPACES -DWITH_DOM -DWITH_OPENSSL

 

CLIENT_OBJS = soapC.o stdsoap2.o soapClient.o md5c.o uuid32.o dom.o \

plugin/wsseapi.o plugin/smdevp.o plugin/mecevp.o plugin/threads.o plugin/wsaapi.o  \

ipclist.o searchOnvif.o 

 

all: client

client: $(CLIENT_OBJS)

      $(CC) $(CFLAGS) $(INCLUDE) -o searchOnvif $(CLIENT_OBJS) -lcrypto -lssl

      $(MVTOOL_DIR)/arm_v5t_le-strip searchOnvif

 

.c.o:

      $(CC) $(CFLAGS) $(INCLUDE) -c -o $@ $<

       

clean: 

      rm -f *.o

      rm -f plugin/*.o

      rm -f searchOnvif

 
4 代码实现

调通后才发现gsoap使用鉴权真是太简单了,只要一条函数命令就万事大吉。

/* 3 对指定的IPC使用鉴权命令查询媒体信息*/

    struct soap *soap;  //soap环境变量          

    soap = soap_new(); //为soap申请变量空间,并初始化

    if(soap==NULL)

    {

        printf("%s : %d, can't create new soap! \n",__FUNCTION__, __LINE__);

        return -1;

    }   

    soap_set_namespaces(soap, namespaces); //设置soap的namespaces   

 

    /* 4---- 开始获取媒体信息------ */  

    soap_wsse_add_UsernameTokenDigest(soap, "user", username, password);

    bret = MyGetProfiles(soap, index);

    if(bret==FALSE)

    {

        printf("--ERROR: MyGetProfiles() return false!  \n");

        return FALSE;

    }

  

 试验表明,每条命令都必须重新添加密码摘要。原因可能是接收应答时会销毁Header,导致加密摘要丢失。

你可能感兴趣的:(linux,gsoap,onvif)