視頻信息安全技術在監控聯網系統中的應用

□　文/蔣玲玲

視頻信息安全技術在監控聯網系統中的應用

□文/蔣玲玲

隨著我國經濟社會的快速發展，社會安全形勢也面臨諸多挑戰，開展以視頻監控系統為重點的安全技術防范系統建設已成為保障國家安全和社會安全的重要技術手段。安全防范視頻監控已成為目前以技術增強警力，預防震懾犯罪、事后偵察破案最有效的技術手段之一。

公安部在全國范圍部署開展了“城市報警與監控系統建設‘3111’試點工程”，使我國城市報警與監控系統建設在技術水平和實際應用等方面都取得了長足的進步，已經初步形成了社會治安技術防范的基礎和網絡。隨著GB/T 28181等國家標準的發布實施，全國各地的視頻監控系統正迅速向著規范化、數字化、聯網化的方向發展。目前，我國開展的視頻監控圖像信息聯網與共享應用系統以國家治安保衛重點單位和社會重要公共區域的視頻監控圖像為主，大量的視頻圖像信息涉及國家安全和社會公共安全。

美國等西方國家對我國實施網絡攻擊和入侵的“棱鏡門”事件，給我國公共視頻監控系統的安全應用敲響了警鐘。另一方面，技術的發展對監控圖像的修改、偽造變得簡單，不需要很專業的技術知識，就可以快速合成、修改一段視頻圖像，還有更多工具軟件可以支持按幀修改視頻內容或順序。

針對安全防范視頻監控聯網系統中所面臨視頻信息安全方面的問題，需要規范和加強視頻信息安全技術在監控聯網系統的應用，以滿足日益強烈的維護社會穩定，保障社會安全的需求。

視頻信息安全的現狀

目前常用的一種保護版權的可信視頻方法是數字水印。水印信息與原始視頻數據緊密結合并隱藏其中，與原始數據不可分離。這種技術用于視頻系統卻存在有明顯的缺陷：一是嵌入水印信息后視頻監控圖像的原始性遭到了破壞；二是圖像質量或多或少總會有些損失。這些缺陷使得其可信性很難得到保證。另一種可以被用來防止視頻圖像被非法篡改的技術是數字簽名技術。數字簽名是指數據文件中以數字形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據?？尚乓曨l的實現是由視頻源端對視頻編碼數據進行數字簽名運算，生成可信數據，可信數據與原始視頻數據捆綁在一起封裝、傳輸或存貯，可信數據獨立于視頻數據存在，既不會破壞原始的視頻數據，又可以驗證視頻數據的來源、內容是否可信。在監控聯網系統的相關標準中，大多采用數字簽名技術來實現可信視頻。

在視頻加密方面，編碼算法的可對視頻碼流采用選擇性加密方法，與視頻數據的格式相結合，編碼技術可根據安全性水平要求的不同，選擇加密不同的敏感數據，加密數據格式信息或者加密DCT系數的符號和運動向量的符號，該方法在視頻加密方面具有明顯的優勢。然而，單一的技術手段和產品已經很難保障視頻應用的安全性，符合相關編碼標準的綜合性一體化視頻安全解決方案將是監控聯網系統中視頻信息安全技術的發展方向。

針對安全防范視頻監控聯網系統中所面臨視頻信息安全方面的問題，通過視頻監控聯網系統中設備的雙向認證、信令安全和視頻碼流加解密技術有效的提高了視頻信息系統的安全性，保障了國家安全和社會公共安全。

視頻信息安全技術

視頻監控聯網信息安全系統總體目標是既能實現身份真實、信令可靠、視頻應用安全，又能實現視頻監控聯網信息安全系統自身的密碼算法安全、密鑰管理安全、密鑰協議安全、軟硬件安全、應用及運行安全等。

視頻信息安全技術涉及安全數字證書的發放、獲取、更新、使用技術、基于數字證書的視頻監控管理平臺和安全設備間的身份雙向認證技術、基于密鑰數字摘要技術的信令安全技術、基于視頻編解碼的視頻簽名和驗簽技術、基于視頻碼流的數字加解密、封裝及傳輸技術、高效安全視頻數據的有效傳輸與存取技術、多路安全視頻實時解密解碼技術等。

1、基于數字證書的視頻監控管理平臺和安全設備間的身份雙向認證技術

在業界，對于前端設備的認證通常有兩種方法，一種是基于對稱密鑰的分散算法，一種是基于非對稱密鑰/數字證書的方法。對稱密鑰的分散算法性能較高，但不具備視頻可信鑒定功能，而非對稱算法可以實現身份認證，同時可以實現可信鑒定功能。經過分析對比，并進行性能測試，最終確定了使用商密算法作為身份認證和視頻可信鑒定的算法。

2、基于密鑰數字摘要技術的信令安全技術

在視頻監控聯網信息安全密碼系統中，需要采用信令安全協議，提供信令完整性校驗，以保證信令傳輸的正確性。

信令安全協議，是把信令數據與前后端平臺之間的共有密鑰通過非對稱算法結合起來，然后使用密碼算法計算其摘要值作為信令校驗碼。因為信令校驗碼的計算需要前、后端的共享密鑰參與，而共享密鑰不會以明文形式在密碼設備外部保存，因此第三方獲取不可能偽造信令校驗碼。

信令校驗碼的驗證過程：通過相關算法計算信令數據，將此摘要值與信令校驗碼進行比較，如果一致，可以認為信令傳輸正確，如果二者比較不一致，則表明信令傳輸錯誤。

3、基于視頻碼流的數字加解密技術

在進行設備認證、信令安全等安全計算的同時，還會伴隨著視頻加解密，視頻內容傳輸使用了對稱加密技術和非對稱加密技術，視頻內容由對稱密鑰加密實現保護，視頻內容的加密密鑰由非對稱密鑰加密進行分發。

視頻內容從設備前端到監控平臺的視頻傳輸安全采用兩層對稱密鑰體系保護，從監控平臺到用戶終端的視頻傳輸安全采用非對稱密鑰體系保護，安全支撐平臺使用用戶終端公鑰加密保護安全傳送到用戶終端，視頻內容以密文形式傳到用戶終端，客戶端使用其私鑰解密。

視頻監控聯網信息安全系統的實現

1、視頻信息安全系統組成

視頻信息安全系統一般由網絡攝像機、視頻存儲設備、安全管理中心和解碼終端四個主要部分組成，系統基本結構如圖1所示。

▲圖1　安全視頻互聯基本結構

在系統中，前端采集設備由網絡攝像機和視頻存儲設備構成，主要包含視頻編碼、視頻簽名、加密、視頻封裝及發送模塊，可以向系統提供安全的視頻源；安全視頻監控管理中心負責對安全視頻的管理，如分發、存儲、下載等關鍵功能，相應地包含了信令管理、視頻分發、視頻存儲和下載等模塊；解碼終端負責解碼播放安全視頻，主要包含視頻接收、視頻驗簽、解密、解碼播放等模塊。

2、視頻信息安全技術的實現

（1）系統層面

● 安全視頻系統的體系研究，設計方案與視頻編解碼算法具有獨立性、通用性。

● 安全視頻系統中信令與視頻分為不同層面設計。信令層控制視頻層，各層根據自身特點分別處理；確保系統方案具有高度可擴展性。

● 對各設備或軟件節點采用模塊化設計，特定的功能對應特定的模塊，方便系統的開發和模塊的復用。

（2）產品層面

在具體產品實現過程中，具體的安全算法實現由安全芯片提供，系統中各硬件與軟件產品通過接口與安全芯片進行數據的交互，從而實現相應的安全功能。

● 高清網絡攝像機采用嵌入式系統內置安全芯片的方式；

● 網絡硬盤錄像機和高清視頻解碼器與安全芯片通信；

● 高清視頻管理中心軟件則通過所運行的硬件平臺接口來訪問安全芯片。

在視頻監控聯網信息安全系統的實現和應用過程中，需要對安全算法實現的全盤考慮，兼顧系統和產品的功能與性能。

視頻監控圖像信息聯網中大量的視頻圖像信息涉及國家安全和社會公共安全，視頻信息安全技術的實現和應用，保障了視頻應用的安全，從而保障了國家安全和社會公共安全，具有很好的社會效益。

作者單位：公安部第一研究所