可信安全視頻監控體系構建研究*

周 云

（78111部隊，四川 成都 610011）

0 引 言

近年來，網絡視頻監控系統因安全防護薄弱，被黑客利用設備漏洞實施攻擊的事件頻頻發生。2016年10月21日，黑客利用監控攝像機漏洞植入惡意代碼使其成為攻擊源，對美國境內域名服務器進行大規模DDoS攻擊，造成美國國內大規模網絡癱瘓。視頻監控系統的安全問題由此事件引發了全球性關注。由于視頻監控系統安全設計上的缺陷，視頻設備易受遠程非法控制、通信協議易被模擬攻擊、視頻流易被旁路截取篡改、視頻數據無機密性保護等安全問題尤為突出。

目前，視頻監控系統的安全防范在國家標準（GB28181-2016）中對視頻信息傳輸、交換、控制等提出了相關技術要求[1]。文獻[2-3]也對網絡視頻監控系統中的安全機制和安全保障進行了分析。隨著可信計算的快速發展和工程化應用[4-6]，基于可信計算的可信視頻監控構建成為可能。以身份認證、數據加密技術為核心，結合密鑰管理技術、可信計算技術和安全防護技術，通過對前端視頻設備、后端管理平臺以及視頻數據進行一體化的可信安全保密設計，構建了可信安全的視頻監控體系。

1 視頻監控可信體系

視頻監控可信體系架構由可信計算節點和可信服務管理平臺兩部分構成。可信計算節點主要指視頻監控前端設備（如高清網絡攝像機），可信服務管理平臺主要由密鑰管理、認證管理和權限管理等構成。可信計算節點和可信服務管理平臺通過IP網絡實現通信互聯。視頻監控可信體系架構如圖1所示。

圖1 視頻監控可信體系架構

1.1 可信計算節點

可信計算節點分為可信硬件層、可作操作系統層、可信核心服務層以及可信應用層。

1.1.1 可信硬件層

可信硬件層主要通過在監控攝像機主板（宿主平臺）上加裝可信加密模塊（TPCM）實現。為滿足通信帶寬和接口通用性要求，TPCM與宿主平臺間采用標準USB2.0接口通信。TPCM作為可信根，為系統提供對稱/非對稱加密、完整性度量、安全存儲以及簽名驗證功能。TPCM功能結構如圖2所示。

1.1.2 可信操作系統層

可信嵌入式操作系統主要由可信引導啟動程序（Bootloader）和可信嵌入式Linux內核鏡像（含嵌入式根文件系統）組成。

（1）可信引導啟動

Bootloader一般存儲于外部FLASH，主要完成CPU運行環境的建立、存儲以及必要硬件的板級初始化，為操作系統加載、運行提供最基本的環境。在可信嵌入式操作系統中，Bootloader存放在FLASH受保護區域，以保證外部不對其進行修改或擴充。Bootloader完成基本初始化工作，在加載操作系統前，通過調用TPCM提供的引導程序度量接口，實現對操作系統鏡像數據完整性的度量。只有實際度量值與存儲在TPCM中的度量值一致時，才能引導系統啟動；否則，停止執行。

（2）可信內核加載

嵌入式Linux內核鏡像加載運行后，完成系統硬件初始化（包括TPCM核態驅動加載、可信服務核態模塊驅動加載等），實現基礎可信環境建立，保證可信上層服務程序可靠訪問TPCM提供的可信服務。

從引導程序啟動、嵌入式Linux內核鏡像加載到基礎可信環境建立，通過逐級校驗方式實現信任鏈傳遞，完成可信操作系統啟動，從而實現系統信任邊界擴展至上層應用。

圖2 TPCM功能結構

1.1.3 可信核心服務層

可信核心服務層基于操作系統核態提供可信服務。可信核心服務層提供統一的可信支持基礎服務框架，基于此框架提供相應接口，實現可信運行控制和安全功能組件。

（1）可信運行控制

可信運行控制由控制機制、判定機制、度量機制和可信基準庫共同完成。系統運行時的控制機制、判定機制、度量機制和可信基準庫的完整性由基本信任基保證。可信運行控制基本框架如圖3所示。

圖3 可信運行控制基本框架

（2）可信運行控制流程

①控制機制依據控制策略對系統調用實施主動控制，并將受度量對象上下文信息傳遞給度量機制。

②度量機制依據度量策略對受度量信息進行可信度量，并將度量結果傳遞至判定機制。

③判定機制依據判定策略對度量機制產生的度量結果進行綜合判定，并將判定結果傳遞至控制機制。

④控制機制根據判定機制返回的判定結果對受度量對象進行處置，包括執行、阻止、隔離和審計等。

（3）安全功能組件

安全功能組件主要基于可信基礎框架接口，對上層業務應用提供設備身份認證、數據加解密以及簽名驗證服務等，建立遠程可信服務平臺與前端設備間的安全通道，實現可信服務平臺對前端設備策略下發、狀態獲取等遠程可靠管理。

1.1.4 可信應用層

可信應用層是在已建立的可信運行環境中實現對視頻監控業務應用的安全加固，如視頻數據信源加密、監控攝像機與業務接入平臺間基于數字證書的身份校驗以及監控業務信令保護等。

（1）安全加固

通過對GB28181協議進行安全加固，在監控攝像機和信令網關之間的認證協議中增加密鑰協商處理過程，經協商得到會話密鑰，并在后續信令傳遞中使用帶會話密鑰的驗證方式，有效保護信令的完整性。

（2）數字證書

統一管理系統內可信密碼模塊存儲的證書，通過配置證書注冊代理，將證書及密鑰數據導入可信綜合計算管理系統，由可信計算綜合管理系統將證書及密鑰數據寫入可信密碼模塊，從而有效保證身份校驗所需數字證書的安全可信。

（3）信令保護

在原有信令網關架構基礎上，通過增加信令安全加固模塊，構建信令安全網關。當信令安全網關接收信令時，調用信令安全加固模塊驗證信令有效性后，再進入原有的信令解析流程。當信令安全網關發送信令時，調用信令安全加固模塊對信令進行安全加固計算后再發送，從而有效保證信令的安全性。

1.2 可信服務管理平臺

1.2.1 密鑰管理

視頻監控的密鑰管理體系架構采用技術合理、安全性高的分層密鑰保護體系。密鑰類型包括設備密鑰、會話密鑰和視頻密鑰。

（1）設備密鑰

設備密鑰是視頻加密和會話加密的基礎。設備密鑰由證書簽發機構簽發設備證書并指定有效期。設備密鑰失效時，視頻加密和會話加密請求將被相關密碼模塊拒絕。設備密鑰更換所需的簽名證書、加密密鑰保護結構、加密證書和證書簽發機構根證書，通過API接口離線導入。

（2）會話密鑰

會話密鑰加密密鑰是身份認證中協商產生的密鑰，用于信令數據中的會話工作密鑰及附屬信息保護。會話密鑰加密密鑰由視頻密碼模塊和密鑰管理系統協商產生，并定期觸發新的密鑰協商，產生新的會話密鑰加密密鑰。會話工作密鑰由使用方產生，用于加密信令數據，并由視頻密碼模塊定期更新。

（3）視頻密鑰

視頻密鑰加密密鑰是密鑰管理系統分發，用于視頻數據中的視頻工作密鑰及附屬信息加密保護。視頻密碼模塊定期更新視頻密鑰加密密鑰，由密碼模塊產生，用于加密視頻數據。視頻工作密鑰由視頻密碼模塊定期更新。

1.2.2 認證管理

（1）PKI體系結構

PKI（Public Key Infrastructure）體系結構以可信機構為基礎，結合公鑰密碼和對稱密碼，通過自動管理密鑰和證書，為用戶建立安全網絡運行環境，使用戶可以在多種應用環境下方便使用加密和數字簽名技術，從而保證網上數據的機密性、完整性和有效性。

（2）證書認證體系

CA（Certificate Authority）認證中心主要負責產生、分配并管理所有網上實體所需的身份認證數字證書。每份數字證書都與上級的數字簽名證書相關聯，通過安全鏈可追溯到已知并被廣泛認為是安全的、權威的、可信賴的、公正的機構，即根認證中心（根CA）。

RA（Register Authority）注冊中心具有證書的申請、審批、下載、OCSP和LDAP等功能，為認證體系提供電子認證服務。RA可直接繼承CA認證的合法性，使客戶以自己的名義發放證書。

（3）USB Key身份認證

USB Key是一種USB接口的硬件設備，內置智能卡芯片，可以存儲用戶數字證書。利用USB Key內置密碼算法，可實現對用戶身份的合法性認證。基于USB Key的身份認證通過采用軟硬件相結合、一次一密的強雙因子認證模式，能很好地解決安全性與易用性之間的矛盾。

1.2.3 權限管理

PMI（Privilege Management Infrastructure）是構建在PKI基礎上的權限管理體系。基于PMI的權限管理根據具體應用環境定制應用系統的授權管理策略（包含應用系統中所有用戶和資源信息，用戶和信息的組織管理方式，用戶和資源之間的權限關系，保證安全的管理授權約束等），采用基于角色的訪問控制（RBAC）機制，通過屬性權威（AA，Attributes Authority）簽發屬性證書（AC，Attributes Certificate），明確用戶在具體應用系統中的角色和權限信息（角色具有的權限在授權管理策略中指定）。用戶通過身份認證后，系統確認用戶的角色信息，授權管理策略服務器根據策略對角色、訪問請求和訪問目標進行授權決策，并依據決策結果實施對訪問目標的執行訪問或拒絕訪問。

2 視頻監控安全體系

2.1 視頻監控安全域

安全域是網絡安全防護的基礎。每個安全域內具有相同的安全需求和安全策略。分域保護框架為明確各域的安全等級奠定了基礎，保證了信息流在交換過程中的安全性。

按照信息系統重要性和網絡邊界特性，視頻監控安全域可劃分為前端接入區、出口接入區、業務系統區、核心交換區和安全管理區等。其中，前端接入區是指視頻監控前端設備接入、匯聚的網絡區域；出口接入區是指不同區域間互連邊界的網絡區域；業務系統區是指視頻監控業務所在的網絡區域；核心管控區是指視頻監控管理平臺所在的網絡區域；安全管理區是指安全管控設備所在的網絡區域。各區域采用物理防火墻隔離、虛擬防火墻隔離和VLAN隔離等方式實現安全域劃分。

2.2 系統內部安全

2.2.1 可信安全計算環境

傳統視頻監控系統缺乏對設備的主動安全防護手段。系統運行的軟件環境狀態無法實現可信可控，易遭受安全威脅。視頻監控可信計算環境以密碼技術為基礎，可信密碼模塊為可信根，可信軟件基為核心，建立一條從硬件部件到應用程序“一環驗證一環，一環信任一環”的完整信任鏈，為視頻監控提供可信安全的應用計算環境。

2.2.2 用戶身份認證

用戶身份認證綜合應用數字證書和可信計算技術，為系統內的計算設施提供登錄認證功能。用戶身份認證系統由可信密碼模塊、可信軟件基和數字證書管理系統等組成。數字證書管理系統實現證書的統一簽發與管理。可信密碼模塊和可信軟件基部署于計算設施上實現認證接口功能和登錄控制。

2.2.3 端口與外設安全控制

端口與外設安全控制系統由服務器端和客戶端組成。服務器端集成部署于安全管理服務器中，客戶端以軟件形式部署于各計算設施上，實現外設訪問控制、外聯設備控制、自身安全保護、TCP/UDP網絡端口資源訪問控制、CDROM和USB存儲器和打印機等計算設施外設使用控制等。

2.2.4 網絡防病毒

網絡防病毒系統由服務器端和客戶端組成。服務器端集成部署于安全管理服務器中，客戶端以軟件形式部署于各計算設施上，形成防范病毒傳播破壞系統的屏障，通過定時查殺、實時查殺、手動查殺和主動防御等手段，保障網絡內系統免受病毒破壞。

2.2.5 補丁分發

補丁分發系統通過自動分發補丁程序，實現計算設施操作系統漏洞的自動修復，提高修復系統漏洞的效率，同時減少安全管理人員的工作復雜度。

2.2.6 漏洞掃描

漏洞掃描系統可對計算設施操作系統、網絡設備的漏洞及開啟服務進行全面掃描，分析漏洞掃描結果，為系統提供有效的安全風險評估。

2.3 系統邊界安全

2.3.1 安全網絡傳輸

網絡密碼機部署于安全區內網的網絡出口處，利用IPSec技術構建安全區間的安全網絡傳輸通道，通過網絡層加密保護，為系統遠程傳輸業務信息實施透明的機密性、完整性保護。

2.3.2 路由信令安全

信令安全路由網關在現有標準信令（GB/T-28181標準）網關基礎上通過集成PCI-E可信密碼模塊，在保證現有信令安全路由網關功能前提下，提供對接入設備的身份認證和控制信令的完整性和真實性保護。

2.3.3 邊界防火墻

邊界防火墻部署于安全區內部的接入交換機和網絡密碼機之間，根據網絡協議和端口需求配置安全防護規則，防止外部用戶非法訪問內部網絡資源，保護內網設備不被破壞，實現邊界邏輯隔離、網絡訪問控制和網絡異常流量識別等邊界防護功能。

2.3.4 網絡入侵檢測

網絡入侵檢測實時檢測和發現網絡攻擊行為和非法操作、用戶違規網絡行為審計、網絡異常流量檢測分析，對入侵行為告警并采取主動反應措施，對安全事件進行取證、追蹤定位。

2.3.5 網絡流量監測

網絡流量監測通過網絡數據的采集、分析、識別，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息、違規行為，實時報警響應，全面記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的跟蹤定位。

2.3.6 網絡單向傳送

網絡單向傳送用于實現不同安全級別網絡域間數據的單向傳輸，確保低密級網絡域數據資源安全導入到高密級網絡域，阻斷高密級網絡域數據資源的反向傳輸途徑，為實現不同密級的數據資源融合提供安全支撐手段。

2.4 視頻應用安全

2.4.1 視頻監控前端安全

通過集成可信密碼模塊，對視頻監控前端設備（高清網絡攝像機）進行可信加固，將常規視頻監控攝像機加固為可信視頻監控系統前端，實現監控視頻數據采集和分發的安全保障。

2.4.2 監控管理平臺安全

平臺實現對視頻監控系統的監控業務控制和管理服務，實現流媒體分發、監控視頻存儲和回放、監控系統配置及運維以及監控系統聯動及預案等的安全管理。平臺通過信令安全路由網關實現視頻監控信令安全傳輸，并對系統中設備密鑰資源和視頻監控前端設備安全策略進行統一管理。

2.4.3 監控視頻展示安全

視頻監控客戶端收到集成管理平臺轉發的加密視頻流后，使用分析出的標識信息從密鑰管理系統獲得視頻密鑰加密密鑰，采用硬件PCI-E板卡解密出加密視頻流信息并顯示。視頻監控解碼設備則通過設備中集成的PCI-E接口可信密碼模塊解密出加密視頻流信息并播放展示。

2.4.4 監控視頻數據安全

高清監控視頻信息容量大，為滿足數據吞吐量和圖像保真要求，采用設備源端加密方式，在視頻監控前端設備內置視頻密碼模塊，使用硬件安全芯片，采用對稱算法對視頻數據進行高速加密。同時，僅對有效視頻數據載荷加密，保證加密視頻數據的正常轉發和多點同看。視頻數據以密文方式在網上傳輸和集中存儲，從而實現視頻數據的安全保護。

3 視頻監控可信安全綜合管理

3.1 可信計算管理

可信密碼模塊接受可信計算綜合管理系統的管理。可信計算綜合管理系統為可信計算平臺提供可信運行控制策略在線/離線管理、狀態的監控以及可信密碼模塊和用戶基本信息的維護，為可信密碼模塊提供密鑰/證書的在線或離線分發以及密碼資源的遠程銷毀。

3.2 數字證書管理

數據證書管理系統對系統內可信密碼模塊的證書進行統一管理，由證書注冊代理將證書及密鑰數據導入到可信計算綜合管理系統，通過可信計算綜合管理系統將證書及密鑰數據寫入可信密碼模塊。

3.3 安全管理

安全管理系統對安全防護設備提供統一管理，對設備策略進行維護，將定制的策略下發到指定的設備。系統監控全網安全設備狀態和性能，采集并分析全網安全設備上報的日志信息和安全事件信息，形成安全事件態勢和風險狀態等。

3.3.1 分權管理機制

設置系統管理員、安全保密管理員和安全審計員等安全管理角色。其中，系統管理員主要負責系統的日常運行維護工作；安全保密管理員主要負責系統的日常安全保密管理工作；安全審計員主要負責對系統管理員和安全保密員的操作行為進行審計跟蹤、分析和監督檢查，及時發現違規行為，并定期向安全保密管理機構匯報情況。

3.3.2 分級授權控制

對于系統管理員、安全保密管理員和安全審計員，按各自的角色職責進行相應的管理級別授權控制。對于普通用戶的權限，按照最小授權原則進行劃分，將其權限設定在完成工作所需的最小授權范圍內。避免超級用戶設計，減小具有完全資源訪問權限用戶的風險。

3.3.3 用戶訪問控制

基于系統管理員、安全保密管理員和安全審計員管理角色確定的職責權限，并基于訪問者、訪問目標的安全屬性，進行細粒度分級訪問控制。

3.3.4 安全日志審計

安全日志是安全保密管理員和安全審計員判斷各類用戶操作合法性的主要依據。審計各類管理員和用戶所實施的各種操作，記錄事件發生是我詳細內容，配置審計強制性策略。

3.3.5 安全事件告警

對異常安全事件進行告警，包括設備（/用戶）認證失敗、密鑰協商失敗、數據加解密失敗、完整性校驗失敗、非授權訪問和安全保密設備故障等，并對告警事件查詢、展示和統計分析。

4 結 語

視頻監控系統作為安防管理的重要技術手段，在許多重要領域都有廣泛應用。視頻監控系統面臨的網絡安全風險及由此導致的重大安全事件引起了全球性關注。視頻監控安全防護體系要著眼于可信體系和安全保密體系的構建，以可信計算、數據加密、身份認證、權限控制和安全審計等技術為基礎，從系統環境可信、監控設備安全、視頻數據安全和應用管理安全等多層面綜合分析，進行一體化可信安全保密設計，為視頻監控系統運用提供全面的安全防護。