在ONVIF_WG-APG-Application_Programmer's_Guide.pdf文档中第6章描述了onvif加密方式。Soap通信的验证机制是WS_UsernameToken,流加密的方式是HTTPS。本文只研究了WS_UsernameToken方式。
我们知道onvif的用户验证是基于WS_UsernameToken,而且密码是Digest而不是明文,先来看一段带有用户验证信息的消息:
所谓的WS_UsernameToken加密,就是将 用户名,密码,Nonce,Created都包含在了header里面。如果将#passwordDigest换成#passwordText的话,密码就是明文的,当然onvif说了,密码是Digest。
我们知道了用户名密码,那如何验证呢?文档里面提到了获取Digest的公式:
Digest = B64ENCODE( SHA1( B64DECODE( Nonce ) + Date + Password ) )
现在知道了WS_UsernameToken是怎么回事,下面我们来看看如何实现验证吧。推荐使用gsoap的wsseapi的插件来实现,这肯定最方便的方法。具体详细步骤如下:
1 鉴权涉及到的函数原型定义在devicemgmt.wsdl中,因此必须用它生成onvif.h
./wsdl2h -s -c -t WS-typemap.dat -o onvif.h remotediscovery.wsdl devicemgmt.wsdl media.wsdl
生成结果是onvif.h
2 修改onvif.h
上一步生成的onvif.h文件中没有打开wsse.h, 导致最后生成代码中SOAP_ENV__Header 结构体中缺少定义 wsse__Security数据段,无法进行鉴权命令。必须修改如下:
#import "wsse.h"
3 运行soapcpp2
用到了/gsoap-2.8/gsoap/import 中的头文件,必须指定import路径。
./soapcpp2 -c -C -L -x -I../gsoap2.8/gsoap/import onvif.h
4 编译的说明
(1) gsoap鉴权用到的文件: dom.c wsseapi.c smdevp.c mecevp.c threads.c wsaapi.c,还有对用的头文件。这些文件一般在\gsoap-2.8\gsoap\plugin\,把这些文件单独拷贝到编译目录中,无关的文件一概不拷贝。
(2) makefile中必须添加编译开关-DWITH_DOM -DWITH_OPENSSL
(3) wsse系列函数必须链接标准的openssl库:libssl.so、libcrypto.so。可以下载OPENSSL1.0.0的软件包编译。
我发现在服务器上存在libssl.so.0.9.8,路径如下:/work/mv_pro_5.0/montavista/pro/devkit/arm/v5t_le/target/usr/lib。
/montavista/pro/devkit/arm/v5t_le/target/usr/include/openssl,这里是对应的头文件。
经过尝试,该库是x86平台的,不能在分机上运行。最后找到交叉编译后的库文件: libssl.so.1.0.0, libcrypto.so.1.0.0, 分别替换到上述路径。另外必须使用openssl1.0.0软件包中的头文件替换到上述路径中,不然的话就会造成链接的库是1.0.0版本,而程序编译时的数据结构还是0.9.8版本的,引起程序运行时指错误死机,一般报告释放指针错误。
必须在交叉工具链目录下替换openssl1.0.0头文件的原因:因为openssl工具包中的文件头部都是# include <openssl/opensslconf.h>之类。<>包含的文件首先到系统搜索路径下寻找,然后才到当前目录寻找,因此即使把这些头文件拷贝到编译目录下也无用。
(4) 链接ssl、crypto库文件时,必须提供索引文件libssl.so--> libssl.so.1.0.0 libcrypto.so--> libcrypto.so.1.0.0否则就会自动链接到服务器上的x86版本库文件,在分机上不能运行。
5 运行makefile, 生成searchOnvif。
我的工作目录文件如下:
Makefile文件如下:
MVTOOL_DIR = /work/mv_pro_5.0/montavista/pro/devkit/arm/v5t_le/bin
CC = $(MVTOOL_DIR)/arm_v5t_le-gcc
#CC = gcc -DWITH_NONAMESPACES
INCLUDE = -I. -Iplugin -Iinclude/gsoap/import
CFLAGS = -DWITH_NONAMESPACES -DWITH_DOM -DWITH_OPENSSL
CLIENT_OBJS = soapC.o stdsoap2.o soapClient.o md5c.o uuid32.o dom.o \
plugin/wsseapi.o plugin/smdevp.o plugin/mecevp.o plugin/threads.o plugin/wsaapi.o \
ipclist.o searchOnvif.o
all: client
client: $(CLIENT_OBJS)
$(CC) $(CFLAGS) $(INCLUDE) -o searchOnvif $(CLIENT_OBJS) -lcrypto -lssl
$(MVTOOL_DIR)/arm_v5t_le-strip searchOnvif
.c.o:
$(CC) $(CFLAGS) $(INCLUDE) -c -o $@ $<
clean:
rm -f *.o
rm -f plugin/*.o
rm -f searchOnvif
4 代码实现
调通后才发现gsoap使用鉴权真是太简单了,只要一条函数命令就万事大吉。
/* 3 对指定的IPC使用鉴权命令查询媒体信息*/
struct soap *soap; //soap环境变量
soap = soap_new(); //为soap申请变量空间,并初始化
if(soap==NULL)
{
printf("%s : %d, can't create new soap! \n",__FUNCTION__, __LINE__);
return -1;
}
soap_set_namespaces(soap, namespaces); //设置soap的namespaces
/* 4---- 开始获取媒体信息------ */
soap_wsse_add_UsernameTokenDigest(soap, "user", username, password);
bret = MyGetProfiles(soap, index);
if(bret==FALSE)
{
printf("--ERROR: MyGetProfiles() return false! \n");
return FALSE;
}
试验表明,每条命令都必须重新添加密码摘要。原因可能是接收应答时会销毁Header,导致加密摘要丢失。