1.引言
網絡視頻監控系統是基于IP網的圖像遠程監控、傳輸、存儲、管理的視頻監控系統,將分散、獨立的圖像采集點進行聯網,實現跨區域的統一監控、統一存儲、統一管理、資源共享。
典型網絡視頻監控系統主要由前端監控設備(攝像機、視頻服務器/編碼器)、監控中心(中心服務器)、監控客戶端(監控工作站)3部分組成。通過對網絡視頻監控系統所面臨的安全狀況的分析,網絡視頻監控系統的安全性在總體結構上分為4個層次:物理安全、接入安全、傳輸和網絡安全、業務安全和數據安全。
其中,網絡視頻監控系統數據安全是指應對用戶和權限等業務信息和音視頻媒體信息有加密保護措施,包括業務數據的安全性和媒體數據的安全性,業務數據包括用戶信息、實時瀏覽、存儲、回放以及數據配置(如設備信息查詢、云臺功能查詢、通道名稱設置)等;媒體數據包括各通道傳輸的視頻數據、音頻數據以及靜態的錄像文件等。
視頻監控系統面臨的數據安全威脅大體分類如下:
拒絕服務攻擊。導致視頻監控系統的業務系統無法正常提供服務:
漏洞威脅攻擊,導致視頻監控系統的業務系統無法正常提供服務,數據安全(機密性、完整性和可用性)被破壞:
病毒蠕蟲,帶來的數據完整性和可用性損失以及可能的網絡可用性損失;
口令猜測,導致視頻監控系統的資源被濫用、業務系統等無法正常提供服務,數據安全(機密性、完整性和可用性)受到破壞;
視頻監控系統的信令,視頻數據的不安全遠程傳輸,導致數據安全(機密性、完整性和可用性)受到破壞。
針對上述數據安全威脅,在數據安全的具體技術和設備要求方面,監控業界不同公司的安全策略不同,下面針對業界關于網絡視頻監控系統的數據安全機制和方案進行分析。
2.視頻監控系統的信息安全分類
通常,視頻監控系統業務數據和媒體數據采用分離的通道進行操作,其傳輸通道類型可分為信令流和媒體流。
(1)信令流加密
業務數據加密是指每個控制命令或者參數設置命令都必須進行加密處理,采取加密業務信令通道的辦法來保證信息的安全性,保證數據鑒別、防篡改、防窺視、鑒別來源、防止非法訪問、防偽造。
系統對信令進行加密,所有信令都使用加密技術,為了支持加密技術,需增加會話準備操作,進行握手交換標識,以讀取密碼生成密鑰,進而對分組進行加密。
(2)媒體流加密
對于視頻流的實時加密流程與信令流類似,同樣需要進行交換標識,以讀取密碼生成密鑰。
視頻流和視頻控制信令應以不同的物理通道進行傳輸,視頻控制信令通過信令流傳輸,視頻流通過媒體流傳輸。
視頻控制協議是視頻監控終端與視頻設備(視頻管理服務器/監控平臺、DVR、攝像頭等設備)間的控制指令集,即建立視頻監控圖像連接的基本指令集。為保證通信中指令集不包含網絡攻擊指令、其他非法字符集或嵌入機密數據向外泄露.視頻傳輸系統應具備視頻協議安全控制功能,對所有視頻監控交互指令進行嚴格安全過濾,阻斷非法數據傳輸和網絡攻擊的入侵。
3.視頻監控信息安全機制的標準情況
針對網絡視頻監控系統安全機制,業界主要有ONVIF(Open Network Video Interface Forum,開放型網絡視頻產品接口開發論壇)、中華人民共和國公安部(以下簡稱公安部)《城市監控報警聯網系統技術標準安全技術要求》、CCSA《電信網視頻監控系統安全要求》等標準,此外運營商和廠商各自制定了針對自己系統的安全標準和解決方案,其中ONVIF和《城市監控報警聯網系統技術標準安全技術要求》是業界采用比較多的監控標準。
ONVIF成立于2008年5月.由安訊士網絡通訊公司聯合博世集團及索尼公司三方攜手共同成立,關注IP視頻監控,目標是實現一個網絡視頻框架協議,使不同廠商所生產的網絡視頻產品(包括攝錄前端、錄像設備等)完全互通。ONVIF規范向視頻監控引入了Web Services的概念。設備的實際功能均被抽象為Web Services的服務,視頻監控系統的控制單元以客戶端的身份出現,通過Web請求的形式完成控制操作。
由于ONVIF基于Web Services,Web Services主要利用HTTP和SOAP使數據在Web上傳輸,其在信息安全方面主要有以下要求:
獲取或設置訪問安全策略;
服務器端HTTPS(secure hypertext transfer protocol,安全超文本傳輸協議)認證;
客戶端HTTPS認證;
密鑰生成和證書下載功能;
IEEE 802.1x supplicant認證;
IEEE 802.1x CA認證:
IEEE 802.1x配置。
在信息安全性方面,ONVIF規范支持摘要認證和WS一安全框架。
在用戶認證方面,最基本驗證包括HTTP摘要認證和WSS摘要認證(用戶名令牌描述(username token profile)),高級驗證包括TLS-based access。
在用戶認證通過后,通過“獲取或設置訪問安全策略”實現基于用戶的權限控制,以授權其能訪問的前端監控設備。
用戶名令牌描述必須使用隨機數和時間戳作為定義(根據WS-usemame token),因為系統為每個攝像頭設備提供不同證書不太現實,因此系統對客戶端使用用戶名令牌描述和主要權限驗證,這樣就需使用密碼加密算法,算法主要采用SHA-1函數和HMAC算法。舉例來說,某一用戶A,其用戶名令牌為UA,P-UA,該用戶要訪問的終端設備為NEP,則PE_UA=base64(HMAC-SHA-1(UA+P_UA,NEP+“0NVIF password”))即為其客戶端配置的用戶證書和設備權限驗證,其中HMAC_SHA-1是一種安全的基于加密散列(Hash)函數和共享密鑰的消息認證協議,它可以有效地防止數據在傳輸過程中被截獲和篡改.維護了數據的完整性、可靠性和安全性。
在信息的安全通信層面,0NVIF規范定義了兩種通信層面的安全架構:傳輸層安全(transpon layer security,TLS)和消息層安全。
傳輸層安全協議用于保護0NⅥF提供的所有服務.同時還需要保護媒體流的RTP(real.time tmsport protocol,實時傳輸協議),RTSP/HTTPS。
設備應該支持TLS 1.0、TLS 1.1,可以支持TLS 1.2;加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。
客戶端應支持TLS 1.1、TLS 1.0,加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_NULL_SHA。
服務器端認證:設備支持X.509(X.509是由國際電信聯盟(ITU-T)制定的數字證書標準)服務器認證。RSA key長度至少為l024 bit:客戶端支持TLS服務器認證。
客戶端認證:支持哪的設備應該支持客戶端認證,客戶端認證功能可以在設備管理命令中禁止和啟用。支持TLS的設備應該在證書請求中支持R5A認證類型。而且應該支持RSA客戶端認證和簽名驗證。
信息層面的安全。規范采用基于端口的安全框架IEEE 802.1x, 支持EAP-PEAP/MSCHAPv2、EAP-MD5、EAP-TLS和EAP-TLS。TLS允許點對點的保密性和完整性,但是在有中間通信節點的情況下,TLS不能提供端到端的安全,此外,為了實現用戶基本權限控制,Web Services需要驗證每個SOAP消息的來源。
在信息安全方面,公安部《城市監控報警聯網系統技術標準安全技術要求》對此有具體的信息安全章節要求,該標準是由全國安全防范報警系統標準化技術委員會制定的,其成立于1987年,負責我國安全防范技術領域國家標準、行業標準的制定、修訂工作和對口國際電工委員會/報警技術委員會(IEC/TC79)的工作。
其信息安全技術要求的主要內容總結如下。
公鑰基礎設施,包括證書認證機構(CA)和3種證書類型(用戶證書、設備證書和CA證書),證書的載體可通過移動存儲介質、硬盤、智能卡、USBKey、專用加密設備,其中USBKev為USB接口帶有算法的令牌,專用加密設備如加密機,用于產生、存儲和管理密鑰和公鑰證書。
用戶身份認證可采用USBKev、靜態口令、動態口令、智能卡、人體生物特征等。
對標準SIP設備的認證,采用數字證書的認證方式。
在數據的加密保護方面,針對靜態存儲文件、傳輸內容、信令數據定義了可支持的加密算法:DES、3DES、AES(advanced encryption standard,高級加密標準)(128 bit)、RSA(1024 b“或2048 bit)、安全多用途網際郵件擴充協議(s/MIME)等。
對信息的完整性采用數字摘要、數字時間戳及數字水印等技術防止信息的完整性被破壞。數字摘要支持信息摘要5(MD5)、安全散列算法1(SHA-1)、安全散列算法256(SHA-256)等算法。
上述兩個標準對業界視頻監控數據安全機制的實現有著重要的指導意義,涵蓋了監控業界主流解決方案。
4.視頻監控信息安全機制的對比
以業界一個典型安全的監控系統廠商為例。通常其會支持多種信息安全方案,包括視頻編解碼算法支持高等級加密算法;支持傳輸數據加密,防止惡意登錄后的瀏覽;圖像碼流包含數字水印,防止替換和篡改;在信息安全傳輸協議方面通常支持HTTPS傳輸,確保傳輸安全等。監控廠商采用哪一種信息安全機制標準。與監控系統的實際應用場景和系統架構有密切關系。
以ONVIF規范為例,ONVIF規范核心聚焦點在于網絡視頻傳送設備與網絡視頻客戶端之間的接口。因此其典型應用場景是:
前端監控設備PU上線后,向平臺CMU發送hello消息;
平臺CMU需要搜尋設備時,向前端監控設備PU發送probe消息;
平臺CMU與前端監控設備PU進行信令交互,請求能力集,獲取配置:
客戶端CU上線,向平臺CMU注冊,建立連接:
平臺CMU與客戶端CU進行信令交互.傳輸設備列表:
在平臺CMU的協調下,客戶端CU同前端監控設備PU建立連接傳輸碼流。
由上述場景可見,ONVIF平臺CMU的功能在于協調CU同前端監控設備PU建立連接傳輸碼流,其針對信息安全的研究也主要側重于系統信息安全認證和獲取,包括業務信令數據的安全認證、密鑰生成和證書下載功能,為此,ONVIF定義了用戶證書和生成機制,以實現客戶端與網絡視頻產品之間安全的授權訪問。
此外,在協議架構方面,ONVIF是基于Web Services協議的,因此其在信息的安全傳輸方面使用IEEE 802.1x驗證服務器和HTTPS保護機制,以保證信息點到點的安全傳輸。由于ONVIF平臺不負責音視頻媒體流的轉發,是客戶端到攝像頭點到點直連訪問音視頻,因此,ONVIF信息安全標準不涉及音視頻媒體數據的加密、完整性保護和傳輸。
公安部《城市監控報警聯網系統標準》行業標準對全國平安城市工程的建設和監控系統相關設備的開發起著規定指導性的作用,需涵蓋國內絕大部分安全防范用視頻監控系統的技術要求,因此該系列標準針對城市監控報警聯網系統,從視頻編解碼、信息傳輸和控制、視頻的存儲和播放、平臺系統、卡口監控和比對、設備接人和使用、安全和測試、工程驗收等做了較為技術性的詳盡要求。
因此,與ONVIF規范不提供完全的服務器端證書機構(CA)不同,公安部《城市監控報警聯網系統技術標準安全技術要求》定義了基于專門證書認證機構認證體系,定義了3種證書類型(用戶證書、設備證書和CA證書),并統一了證書的格式,定義了證書的載體.用戶可采用公安部、國家密碼管理局等國家有關機構認證通過的硬件加密機(即黑盒子),用于產生、存儲和管理密鑰和公鑰證書。
此外,與ONVIF規范側重于業務信令數據的安全認證不同,《城市監控報警聯網系統技術標準安全技術要求》在業務信令數據和音視頻媒體數據加密和完整性方面皆定義了可支持的加密算法要求。
5.監控系統采用的主流算法
從具體的加密算法方面。針對信令流和媒體流加密,監控系統一般使用DES、3DES、AES(128 bit)、RSA(1024 bit或2048 bit)等加密算法。
DES、3DES是對稱加密算法,即加密和解密使用相同密鑰的算法.DES使用一個56 bit的密鑰,3DES使用兩個獨立密鑰對明文運行DES算法3次,從而得到112 bit有效密鑰強度:一般監控系統可采用DES、3DES算法保證信令流和媒體流的安全性。
AES為對稱加密算法,支持長度為128 bit、192 bit和256 bil的密鑰長度.其中128 bit密鑰長度的AES是最常采用的版本。也是監控系統中采用較多的一種算法。
RSA是非對稱加密算法。是目前最優秀的公鑰方案之一,但是RSA的缺點是運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數量級,因此RSA一般用于對AES密鑰的安全傳輸。由于AES加密算法是公開的,信息的保密依賴于AES密鑰的保密,因此,對于AES密鑰的安全傳輸,可采用RAS非對稱加密算法。
監控系統中的數據除了通過信令流和媒體流傳輸外,還有很多靜止的數據,如存儲的錄像文件、音頻數據,為保證安全性,同樣也需要加密處理.針對錄像文件加密的方法有很多,可采用3DES、AES(128 bit)、SCB2等。
此外,在監控系統中.為了確保圖片和視頻數據的安全可靠,監控系統可采用數字摘要、數字時間戳及數字水印等技術防止信息的完整性被破壞。
數字摘要就是采用單項散列函數將需要加密的明文“摘要”成一串固定長度(128 bit)的密文,數字摘要可采用信息摘要5(MD5)、安全散列算法1(SHA-1)、安全散列算法256(SHA-256)等算法。
數字時間戳是用來證明消息的收發時間的,用戶首先將需要加時間戳的文件經加密后形成文檔,然后將摘要發送到專門提供數字時間戳服務的權威機構,該機構對原摘要加上時間后,進行數字簽名,用私鑰加密,并發送給原用戶。
數字水印技術。即在抓拍照片或視頻編碼過程中加入隱藏標記,防止該照片或視頻在傳輸、存儲、處理過程中被惡意篡改,確保數據的保密性,水印制作方案采用密碼學中的加密體系來加強,在水印嵌入、提取時采用一種密鑰甚至幾種密鑰聯合使用。
在數據安全傳輸協議方面,監控系統通常用到HTTPS、IEEE 802.1x(基于端口的網絡接人控制)協議、TLS協議、SRTP(secure real-time transport protocol,安全實時傳輸控制協議)。
HTTPS是監控系統中應用較多的安全傳輸協議,是由SSL+HTTP構建的可進行加密傳輸、身份認證的網絡協議,一般應用于業務數據信令流的加密。
IEEE 802.1x協議使用標準安全協議(如RADIUS)提供集中的用戶標識、身份驗證、動態密鑰管理和記賬,客戶端通過認證獲得身份驗證。為會話生成唯一密鑰,該密鑰可用于監控系統消息安全傳輸。
TLS協議使得當服務器和客戶機進行通信時,確保沒有第三方能竊聽或盜取信息。TLS協議包括TLS記錄協議和TLS握手協議:TLS記錄協議可使用如數據加密標準(DES)保證連接安全。TLS握手協議使服務器和客戶機在數據交換之前進行相互鑒定,并協商加密算法和密鑰。視頻流在傳輸層的加密也可使用SRTP對傳輸通道進行加密,SRTP是在RTP基礎上所定義的一個協議,旨在為單播和多播應用程序中的實時傳輸協議的數據提供加密、消息認證、完整性保護和重放保護功能。
6.安全機制的應用建議
通常,一個監控系統應根據加密等級和系統架構的不同采用相應的安全機制。
對于一般的安全監控系統。要求支持業務數據訪問權限進行安全認證和授權,實現業務信令流的加密和傳輸。訪問權限的安全認證可采用口令、數字證書或數字摘要等標準算法,信令流的加密算法根據業界標準可采用DES、3DES、AES(128 bit)等算法,信令流的安全傳輸可根據監控架構協議采用不同的通信安全協議,如HTTPS、IEEE802.1x等。
對于需要高度安全和保密的系統,不但需要支持信令流的加密,還需要對傳輸的媒體流進行加密,一般廠商的視頻編解碼芯片均可支持高等級音視頻加密算法,如DES、3DES、AES(128 bit)等。此外,視頻加密可以采用視頻關鍵幀或全數據加密兩種方式。關鍵幀是反映一組鏡頭中的主要信息內容的一幀圖像,由于視頻監控系統攝像頭一般是固定安裝的,其所涉及的場景范圍有限,因此,各幀圖像冗余信息很多,采用全數據視頻流加密耗費芯片資源,加密費用很高,采用關鍵幀加密可以減少很多工作量。
媒體流和信令流數據的加密,不論采用何種加密算法,均涉及密鑰的管理問題。
在不采用專門證書認證機構的認證體系下,監控平臺、前端監控設備、監控客戶端必須具備采用統一的加解密模塊和密鑰產生模塊的能力,為了調試或其他選擇,視頻監控平臺、監控終端和客戶端都必須支持統一的開關,方便開啟或關閉命令加密功能。
考慮到視頻監控平臺可分為多級監控平臺,因此不同的監控平臺的服務器應該使用不同的密鑰,每個監控平臺服務器定期隨機產生一個密鑰,該監控平臺服務器下的所有終端設備可以獲得該密鑰,終端設備使用該密鑰對發送出去的數據加密,對接收的數據解密,保障信息在傳輸過程中的安全性。
視頻監控系統之間需要經過信任操作才能互通,一般的信任操作由雙方執行,請求方信任受信方,受信方的請求可以被請求方接受。對等地,受信方也要執行信任操作,以監控系統通常采用的AES加密為例,其原理如下。
視頻監控平臺服務器定期隨機產生一個AES加密/解密密鑰。分別使用各個終端或客戶端用戶密碼對AES加密密鑰進行加密,形成傳輸密鑰發往各個設備,各個設備對傳輸密鑰的內容進行解密,即可獲取AES加密/解密密鑰。在以后的監控過程中.所有設備就可以使用該AES加密/解密密鑰對信令和媒體碼流進行加密和解密。
對于監控系統中靜止的數據,如存儲的錄像文件、音頻數據,為保證安全性,需要加密處理,可采用通用的針對錄像文件加密的方法,如3DES、AES(128 bit)、SCB2等。為了確保圖片和視頻數據的安全可靠,監控系統還可采用數字摘要、數字時間戳及數字水印等技術防止信息的完整性被破壞。
7.結束語
綜上所述,網絡視頻監控系統的安全性是個復雜的體系,要保證視頻監控的安全運行,還需要考慮多級安全認證機制、關鍵數據容災,備份、網絡私密保護(VLAN廠vPN)、網元自動化運行管理等多種因素。本文針對監控系統中最關鍵的數據安全,選擇監控業界兩個代表性標準的信息安全機制進行解讀.對主流解決方案進行了對比,分析了監控系統采用的主流算法,最后提出了視頻監控的安全機制應用建議。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.vmgcyvh.cn/
本文標題:網絡視頻監控系統信息安全機制解析
相關文章
