可信視頻監控系統架構設計研究

羅云鋒++丁涵++許慶光

摘要：視頻監控系統面臨著一系列安全問題，頻頻出現視頻監控假冒、竊取和非法控制事件。基于可信計算技術，設計了可信視頻監控系統安全架構。該架構對系統中的計算設備實施可信安全增強，設計了基于數字證書的雙向認證協議，對傳輸的視頻和信令數據進行加密保護。系統驗證和分析結果表明，該架構有效提高了視頻監控系統的安全防護能力。

關鍵詞：視頻監控系統；可信計算；安全架構

DOIDOI：10.11907/rjdk.172657

中圖分類號：TP319文獻標識碼：A文章編號：16727800（2017）010013504

0引言

隨著視頻監控系統逐漸實現網絡化和數字化，視頻監控系統面臨著一系列安全問題，頻頻出現視頻監控假冒、竊取和非法控制事件[12]。2014年12月，黑客通過攝像機軟件漏洞侵入格魯吉亞輸油管道監控系統，關閉警報、切斷通信，給管道原油大幅增壓，造成輸油管道爆炸；2015年2月，“海康威視事件”爆發，部分監視設備被遠程控制，黑客可利用系統漏洞與設備缺陷，遠程管理權限、竊取監控數據、篡改控制參數，實施信息竊密及對系統的反向控制。因此，需要針對視頻監控系統的特征與安全威脅設計安全防護機制，以確保視頻監控系統安全可信運行。

1視頻監控系統安全威脅

視頻監控系統通常由前端設備、傳輸網絡、遠程管理監控軟件平臺3部分組成，如圖1所示。

圖1視頻監控系統結構

前端設備主要面臨替換接入、設備漏洞和協議攻擊等安全威脅。由于不具備唯一身份標識，設備容易被替換；由于存在弱口令保護、遠程登錄端口、系統潛在漏洞等風險，容易被攻破并植入惡意代碼[3]；通過仿造與軟件平臺的通信協議，能夠模擬采集設備接入到整個監控網，對監控網內的其它設備或主機進行攻擊。在傳輸網絡層，傳輸的視頻數據采用標準化編碼并以明文方式傳輸，導致視頻數據和協議很容易被竊取和篡改。在軟件平臺中，其用戶身份認證和權限管理機制簡單，如采用基于用戶名和口令的認證機制，面臨通過修改用戶權限，非法遠程控制和操作前端監控設備的風險。

從視頻監控系統攻擊和防護角度，其面臨的安全威脅可從攻擊種類、攻擊途徑、攻擊類型、攻擊者類型、影響部件、防護手段等方面描述[45]，如表1所示。

可信計算是一種運算和防護并存的主動免疫計算模式[9]，具有身份認證、可信控制、信息加密等功能。它以密碼為基礎，建立以可信密碼模塊為信任根的完整信任鏈，提供安全可信的計算環境。可信計算為視頻監控系統提出了一種新型的主動防護思路，針對視頻監控領域面臨的安全威脅，對視頻監控系統進行改造，構建可信視頻監控系統，從系統層面保障視頻數據在采集、傳輸、存儲、查看等各個環節的安全。

2可信視頻監控系統架構

可信視頻監控系統在通用視頻監控業務平臺的基礎上引入可信計算和密碼技術，分別從視頻監控前端設備、監控管理服務和監控應用3部分實現設備接入認證、系統可信運行、視頻數據加密和監控業務信令完整性保護等安全機制，如圖2所示。

視頻監控前端：前端主要由多種形態的高清網絡攝像機組成，在攝像機中引入可信密碼模塊，構建可信網絡攝像機，實現攝像機操作系統完整性保護、攝像機應用軟件運行控制、監控業務信令完整性保護以及視頻數據加密功能，全面保障監控前端設備的可信以及視頻采集安全。

監控管理服務：后端管理平臺提供監控管理服務，在服務器端引入可信密碼模塊，對服務器進行可信增強，實現服務器操作系統和應用軟件的完整性保護和運行控制；在原有服務基礎上增加設備接入認證以及監控業務信令完整性保護功能，保證前端設備身份可信以及監控業務信令來源合法。

監控應用：在視頻展示客戶端引入可信密碼模塊，對客戶端進行可信增強，實現服務器操作系統和應用軟件的完整性保護和運行控制；基于可信密碼模塊提供的密碼服務實現加密視頻實時點播及回放。

2.1設備可信運行保障

對網絡攝像機進行可信改造，構建可信網絡攝像機。可信網絡攝像機支持攝像機可信啟動，實現從固件、操作系統到應用程序的信任鏈傳遞，同時基于可信軟件棧提供的密碼服務接口，實現設備接入認證、監控業務信令完整性保護及視頻數據加密等功能，其軟件組成如圖3所示。

可信Bootloader是在嵌入式Bootloader程序基礎上加入安全可信部件，存放在Flash只讀保護分區，提供平臺可信服務和安全增強功能，它在系統上電啟動過程中建立并傳遞信任鏈，對系統中的操作系統及關鍵文件進行完整性度量驗證，保證在操作系統獲得控制權之前，系統是完整可信的。可信軟件基利用可信軟件棧提供的密碼服務接口，對系統服務和應用軟件進行完整性度量，阻止未授權程序運行。

監管服務器和監控應用客戶端設備通過插接可信密碼模塊，以及安裝可信軟件基[10]，對操作系統實施安全增強，阻止未授權程序運行，防止病毒侵襲和黑客攻擊。

2.2設備接入認證及加密

攝像機、監控管理服務器和監控應用客戶端構成了安全域。采用SM1 分組密碼算法對視頻進行加密，攝像機（CM）和監控管理服務器（CS）的可信密碼模塊中配置有證書及私鑰，基于證書設計協議實現密鑰交換，并實現攝像機與服務器之間的相互認證。

S1：為所有攝像機配置服務器證書。

S2：攝像機通過握手認證協議實現與服務器的認證，同時產生會話密鑰。

S2.1 CM發送消息m1到CS請求認證。先用CM私鑰對其證書標識ID簽名，將簽名值與證書標識組成消息m1，Sign（CMs Kpriv， ID），再用CS的公鑰對m1加密，E （CSs Kpub， m1），E（）是非對稱加密函數，Sign（）是簽名函數，確保只有服務器才能解密該消息。

S2.2 CS解密得到m1明文，獲取CM證書標識，向證書服務器提取CM證書，驗證簽名，通過后向CM發送挑戰消息m2，m2由隨機數R組成，m2先用CS私鑰加密，再用CM公鑰加密，E（CM′s Kpub， E（CL′sKpriv ， m2）），過程確保了信息保鮮性。endprint

S2.3 CM解密m2，并將R+1組成消息m3，先用CM私鑰，再用CS公鑰對m3加密，E（CS′s KPUB， E（CM′s KPRIV ， M3）），發送m3至CM。

S2.4 CS解密m3，確認是R增量，CM通過挑戰響應，生成消息m4，發送至CM。m4包括接收通知、會話密鑰（用于SM1加密）、會話時戳。自此，數據交換會話準備完畢。

S3：采用OFB 模式對數據加密，以防止相同數據產生相同密文。為保證視頻和信令數據的完整性，采用SM3 密碼雜湊算法，計算視頻幀或信令數據的雜湊值。雜湊值被附加在視頻流或信令數據上發送至服務器。

3系統驗證及安全性分析

3.1驗證系統組成

基于通用視頻監控系統構建了如圖4所示的可信視頻監控系統。其中，在高清網絡攝像機中嵌入USB接口可信密碼模塊，開發配套軟件形成可信高清網絡攝像機；在監控管理服務器上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統進行可信增強；開發設備接入認證和加解密軟件，按照視頻監控國標《GBT 28181公共安全視頻監控聯網系統信息傳輸、交換、控制技術要求》協議，按照2.2章節描述的交互流程，通過對協議中的擴展字段進行補充，加入了設備身份認證和監控業務信令完整性驗證處理流程，實現終端設備接入認證、信令數據完整性度量以及視頻數據加密傳輸；在監控應用展示平臺，在計算機主板上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統進行可信增強，按照上文描述的協議開發視頻加解密軟件，實現對視頻數據流的解密應用。

3.2系統性能分析

國標《公共安全視頻監控聯網信息安全技術要求（征求意見稿）》中對設備認證和視頻加密性能進行了規定，因此主要對這兩項指標進行分析：

（1）接入認證時間。設備接入認證基于SIP協議實現，故通過網絡抓包軟件Wireshark抓取監控管理服務器與可信網絡攝像機之間的SIP包，記錄第一條數據包時間T1和接入成功數據包時間T2，則接入時間T=T1-T2。按照該方法重復100次，獲取平均時間。測試結果統計表明，單臺設備接入認證時間為0.1s，符合設備身份雙向認證時間延遲不超過400ms的規定。

（2）視頻數據加密延遲時間。該項指標主要測試因視頻數據加密帶來的延遲。測試方法是在視頻監控客戶端上運行計時軟件，將可信網絡攝像機和普通網絡攝像機分別對準監控客戶端計時軟件拍攝視頻，并在監控客戶端顯示對應視頻，通過截屏方式記錄拍攝時間和接收時間，對比加密和不加密兩種模式下的時間差，得到加密后的視頻延遲。按照該方法重復100次，獲取平均延遲時間。統計結果表明，視頻加密延遲為105ms，符合視頻加密帶來的延時不超過600ms的規定。

3.3系統安全性分析

針對表1中總結的安全威脅，分析可信視頻監控系統的安全性。

（1）弱訪問控制或弱認證。構建的安全架構采用基于數字證書的相互認證機制，確保非授權用戶無法接入監控網絡。

（2）傳輸層保護不充分。基于非對稱算法，采用握手協議協商生成傳輸加密密鑰；基于對稱算法對傳輸的數據進行加密；基于雜湊算法對視頻和信令數據進行完整性保護，確保了傳輸層數據的機密性和完整性。

（3）路徑遍歷、文件公開導致信息泄露、命令注入、緩沖區溢出等攻擊。在網絡攝像機設備中引入了可信計算技術，構建以可信密碼模塊和可信BootLoader為可信根，到操作系統、應用軟件的信任鏈，阻止了未授權程序運行，確保了系統中存在的漏洞不被惡意程序利用，提高了系統可用性。

（4）拒絕服務攻擊（DoS）。采用基于數字證書的雙向認證機制，非法的計算設備無法連接監控管理服務器，減少了遭受DoS攻擊的可能性。

（5）在固件升級時實施攻擊。在網絡攝像機中構建了可信計算平臺，由后臺的安全管理系統發送安全策略，在固件升級前檢查是否符合安全策略，從而保證固件不被攻擊。

（6）通過攝像機鏡頭等光學接口，采用惡意圖片、屏幕泄露、隱寫術等方式注入惡意程序攻擊。由于對視頻監控系統前端設備、監控管理服務器以及監控應用客戶端均采用可信計算技術進行安全增強，可阻止惡意程序執行，從而阻止該類攻擊。

4結語

針對視頻監控系統面臨的安全威脅，設計了可信視頻監控系統安全架構，在前端設備、監控管理服務器以及監控應用客戶端中引入可信密碼模塊，實施可信安全增強，提高了各計算設備的安全防護能力；設計了基于數字證書的雙向認證協議，提高了訪問控制及認證強度；通過在線協商密鑰的方式對傳輸的視頻和信令數據進行加密保護，保證了數據傳輸的安全性。系統驗證和分析結果表明，該架構有效提高了視頻監控系統的安全防護能力。

參考文獻參考文獻：

[1]WINKLER T， RIIMER B. Security and privacy protection in visual sensor networks： a survy[J]. ACM Computing Surveys， 2014，47（1）：142.

[2]MARASHDA K. Video Security assurance framework based on efficient joint cryptography compression approach[C]. Electronics， Circuits， and Systems （ICECS）， 2013 IEEE 20th International Conference on， Abu Dhabi， 2013：7677.

[3]LI YUSEN， QU PENG. The embedded intelligent network video surveillance system based on ARM and Linux[C]. 2016 IEEE International Conference on Mechatronics and Automation， Harbin， Heilongjiang， China， 2016：10541058.

[4]COSTIN A. Security of CCTV and video surveillance systems： threats， vulnerabilities， attacks， and mitigations[C]. TrustED16， Vienna， Austria， 2016：4554.

[5]OBERMAIER J， HUTLE M. Analyzing the security and privacy of cloudbased video surveillance systems[C]. IoTPTS16，2016：2228.

[6]SERPANOS D， PAPLAMBROU A. Security and privacy in distributed smart camera[J]. Proceedings of the IEEE， 2008，96（10）：16781687.

[7]STUTZ T， UHL A. A survey of H.264 AVC/SVC encryption[J]. IEEE Transaction on Circuits and Systems for Video Technology， 2012，22（3）：325339.

[8]羅羽.視頻監控系統中SIP協議安全性研究與實現[D].長沙：國防科學技術大學，2010.

[9]沈昌祥，張煥國，王懷民，等.可信計算的研究與發展[J].中國科學：信息科學，2010，40（2）：139166.

[10]孫瑜，王溢，洪宇，等.可信軟件基技術研究及應用[J].信息安全研究，2017，3（4）：316322.

責任編輯（責任編輯：黃健）endprint