基于云平臺的鐵路視頻系統及安全技術研究

林云柯，嚴 瑾

(中鐵二院工程集團有限責任公司，成都 610031)

1 概述

我國鐵路視頻監控系統發展速度較快，無論是新建項目還是技改項目均配置了大量的前端攝像機，系統不斷向全覆蓋、超高清化發展，視頻的存儲容量也不斷增加，視頻監控系統作為數據采集手段和集中管控的重要輔助工具，對于構建基于大數據和人工智能的新型信息化系統和服務平臺有著十分重要的意義。

然而傳統的IP-SAN 架構下的存儲服務器模式的弊端逐漸顯現。

1）IP-SAN 架構的存儲模式通常需要配置單獨的服務器實現存儲管理，這種方式對于服務器的性能開銷較高，隨著存儲規模增大，單臺存儲管理服務器會達到性能瓶頸，而單個車站配置過多的IP-SAN 節點不利于系統的標準化管理和數據的統籌調度。

2）IP-SAN 采用基于服務器自身的冗余機制，無法完全規避安全風險。

與此同時，隨著鐵路的信息化、智能化建設的不斷推進，智能客站、智能客運綜合交通樞紐、智能鐵公水聯運等新興的鐵路運輸服務模式開始出現，但目前整個鐵路行業對于視頻監控技術的認識和重視程度仍然不足，主要體現如下。

1）目前鐵路視頻監控對視頻資源整合不到位，后臺還停留在各接入節點獨立存儲、管理的階段，對視頻的智能分析尚采用較為傳統簡單的模式，仍然需要投入大量人員來完成視頻盯控，沒有實現數據的統籌調度，更無法做到智能化、協同化、平臺化的管理。

2）視頻數據的重要性得不到足夠重視，技術上也存在因設備異常導致視頻丟失的情況。

結合當前鐵路視頻監控系統的技術特點和未來鐵路的發展方向可以看出，傳統視頻監控存儲方式的技術弊端正在成為制約鐵路信息化、智能化發展的因素之一，這也極大地阻礙了鐵路運營服務水平的進一步提升。

2 視頻監控系統需求分析

2.1 視頻監控系統的業務需求

結合鐵路各維管部門的管理模式和發展思路，對視頻監控系統新的需求不斷出現，主要體現在如下方面。

1）目的性與實用性：隨著鐵路行業管理理念的進步，視頻監控相關的業務管理也由粗放型向精細型轉變，開始從無重點的視頻監控向有目的、有規劃、系統性的視頻信息處理方向發展。

2）全覆蓋與全共享：由于鐵路系統跨區域、全天候的運營模式，如果能將車載視頻、應急指揮、車務管理等技術和管理手段融合形成綜合調度管理體系，將有助于實現視頻監控的全面覆蓋和信息全面共享[1]。

3）開放性與協同性：鐵路系統作為一個復雜的整體，需要多專業、多部門協調配合才能實現優質高效的鐵路運輸。將視頻監控與調度指揮、安全防范、應急指揮系統進行資源整合，能夠全面提高不同業務板塊間的協同性，提高運營管理水平。

2.2 視頻監控系統的功能需求

結合鐵路運營對視頻監控系統提出的新的業務需求不難看出，鐵路的運維管理正向著精細化、一體化、全過程化方向發展，隨著未來視頻分析、智能聯動、數據共享、大數據相關業務的廣泛應用，不僅需要智能化的前端設備實現相應的功能，也更需要一套穩定可靠、與其他系統實現高效互聯的后端平臺作為支撐。

逐漸興起的云平臺技術給鐵路綜合視頻監控系統綜合管理平臺的搭建提供了解決思路，在《鐵路綜合視頻監控系統技術規范》（Q/CR575-2017）[2]中也定義了云存儲架構標準：具有分布式架構，全局存儲虛擬化，提供統一命名空間、故障檢測、自動恢復、糾刪碼冗余等功能[3]。結合鐵路綜合視頻監控系統技術規范中對云存儲架構的定義和展望，云平臺下的視頻監控系統功能需求主要有以下幾點。

1）多樣化資源共享

以線路或站段為單位，建立統一云存儲系統，云存儲系統需對外提供整體云資源池服務，該服務可應用于任意前端業務應用調取，便于多業務共享數據存儲應用。

2）數據自動備份易于管理

存儲系統應該具備自恢復和自管理的能力，硬件故障錄像數據不丟失且不影響上層業務連續性；存儲系統應具備快速數據恢復的能力，以保證在云存儲集群設備節點損壞的情況下快速的數據恢復自愈性能。

3）標準接口協議

新部署的存儲系統需采用標準接口協議，提供的Iaas 基礎存儲資源池必須是開放的且可被任意第三方業務平臺訪問與調取，為建立多云管理平臺提供條件。

4）大數據和云計算接口

新部署的存儲系統需滿足兼容大數據處理標準接口與云計算接入標準，且能夠為其他業務應用提供不同性能資源池[4]。

5）存儲業務備用切換

在每個站的云存儲系統中預留一部分容量用于其他區域云存儲故障時的業務切換存儲，能夠及時實現業務切換。

2.3 視頻監控系統的云化需求

可以看出，云存儲作為信息技術發展的新方向，恰恰具備計算資源和存儲資源彈性分配、可擴展性強、安全冗余度高的特點，全路基于云技術的視頻監控相關課題和項目也在不斷推進。目前視頻監控系統的云化需求主要體現在以下兩方面。

1）數據存儲需求

鐵路視頻監控系統的分轉發及存儲側需求屬于IaaS 范疇，需要云平臺提供相關的計算、存儲資源。根據現有的鐵路視頻云平臺建設模式和經驗，同時也從運維習慣和網絡帶寬現狀的角度出發，云存儲服務器采用分布式架構，視頻節點的設置原則上與相關規范保持一致（若站間帶寬允許，可將部分節點整合），并配置相應的網絡設備。正常工況下，以一個視頻節點為單位，節點內采用云架構實現視頻分轉發及存儲；特殊工況下，能實現跨節點的視頻分轉發及存儲（相鄰節點備份）。

2）集中管理需求

未來基于大數據和云計算的鐵路視頻監控系統的集中管理側需求屬于PaaS 乃至SaaS 范疇，頂層云平臺除了需要部署網絡、服務器、操作系統、存儲資源以外，必要時還需為第三方應用程序提供開源計算框架服務，甚至直接提供軟件服務，客戶利用針對頂層平臺開發的管理軟件實現視頻監控系統與其他相關系統的聯動管理。

3 云平臺安全風險

目前鐵路綜合視頻監控云技術體系的研究與應用還處在初級階段，中國國家鐵路集團有限公司相關技術標準和規范尚未頒布，技術方案有待進一步探索和研究，但無論采用哪種云存儲乃至云平臺方案，都無法規避云技術帶來的安全性問題，結合鐵路視頻監控系統的特點和其他行業云技術應用的經驗，鐵路視頻云平臺將主要面臨以下安全風險。

3.1 數據存儲安全風險

基于云平臺的存儲模式擺脫了IP-SAN 模式下單一視頻存儲節點的安全性問題，能夠規避硬盤級的存儲故障風險，但同時也帶來了新的挑戰，由于云平臺存儲數據量和節點數量龐大，更容易發生節點失效、節點間網絡故障等問題，給系統帶來了新的數據安全風險。這里的存儲安全風險主要針對分布式存儲方式下的分布式節點存儲安全，與集中管理平臺側的虛擬化存儲空間安全有所不同。

3.2 虛擬化安全風險

根據前面的分析，鐵路視頻監控系統的分轉發及存儲側需求屬于IaaS 范疇，在云平臺側需求屬于PaaS、SaaS 范疇，前者主要應用了存儲虛擬化技術，后者則依賴于網絡虛擬化、服務器虛擬化、桌面虛擬化和應用虛擬化技術[5]。

虛擬化技術在提高存儲和計算資源利用效率的同時，也會帶來了許多安全問題，尤其是鐵路視頻監控系統網絡環境復雜，加之運用了云平臺和虛擬化技術之后，更為開放且缺乏傳統硬件隔離手段，會面臨更加嚴峻的安全風險。

1）在虛擬化環境下，在集中管理平臺側，不同虛擬主機之間的網絡、邏輯邊界被模糊化，傳統互聯網環境下的網絡防火墻、網絡入侵檢測防護技術失去了作用。

2）虛擬化環境下常見的“一虛多”“多虛多”模式，攻擊者可以利用已經獲取的虛擬機使用權限，對相同虛擬化平臺或網絡上的其他虛擬機進行非法訪問或和攻擊。

3）虛擬化平臺在傳統的“網絡-系統-應用”的架構上增加了VMM 或Hypervisor，從而增加了一層軟件棧，其軟件本身存在的安全漏洞以及增加的攻擊點，會導致更多的安全風險。

4）虛擬化平臺下的網絡入侵和安全漏洞，有可能在不同虛擬機之間擴散，波及整個虛擬化平臺。為避免出現非法訪問或竊聽的情況，需要采取有效的隔離措施。

5）當某個虛擬存儲資源被一個虛擬機使用后，又再次分配給其他虛擬機，新的虛擬機有可能通過該部分存儲介質竊取前一個虛擬機的數據，從而產生數據泄露風險。

3.3 非法訪問風險

身份認證和訪問控制機制，是云存儲服務安全的第一道關卡，一旦身份認證和訪問控制失靈，將直接威脅云存儲的安全。因此，云存儲系統的訪問控制（系統的認證、授權），需要根據云存儲系統的應用需求，有較完備的安全策略和實施方法。

4 云平臺安全技術

針對前述的云平臺安全風險，需要充分利用現有技術，并結合鐵路視頻監控系統的特點針對性的提出解決方案。

4.1 云存儲數據安全

未來視頻監控系統的數據規模，可以預見，會對存儲系統提出更高的要求，在提供足夠的數據存取性能和可擴展空間的同時，還要保障良好安全性，尤其是在面臨自然災害時，應仍然保證系統的正常使用。

云存儲可以設置存儲備份服務器；另一方面，由于云存儲系統由大量存儲節點組成，不得不面臨部分存儲節點失效的情況，故需要保證在部分存儲節點失效的情形下，數據仍然可以有效訪問。

通常采用的數據備份通常有兩種手段，一是為數據創建若干副本，二是以編碼的形式提供冗余數據和恢復機制：

1）基于多副本的云存儲模式較為簡單直接，能夠有效規避可靠性風險，但需要的存儲空間開銷也比較大；

2）基于編碼形式的云存儲模式通常采用了糾刪碼技術，這種基于編碼的容錯技術在通信領域應用廣泛，主要用來解決傳輸過程中數據損耗的問題，其基本原理是把傳輸的數據分段，并加入一定的校驗信息，讓分段數據之間產生關聯。如果在傳輸過程中部分信號失效，接收端仍能通過計算恢復出原始信號。

目前糾刪碼在分布式系統中的應用主要有：陣列糾刪碼（如RAID 5、RAID 6 等），里德－所羅門類糾刪碼，低密度奇偶校驗碼，循環冗余校驗碼，卷積碼以及數字噴泉碼等。基于糾刪碼的備份方式，實質是對數據對象進行編碼，并融合形成一定大小的冗余信息，從而有效節省存儲空間[6]。由于采用糾刪碼的備份技術在數據I/O 過程中，會分別執行編碼和解碼操作，需要占用額外的計算資源。

總體而言，基于糾刪碼的云存儲模式相比于多副本模式存儲開銷較小，但備份技術復雜，數據恢復時需要占用更多的帶寬資源，計算開銷也更大。對于鐵路視頻監控云存儲而言，基于糾刪碼的方案更為經濟可行。

4.2 云存儲虛擬化安全

鐵路視頻監控系統網絡環境復雜、涉及的終端和接口數量眾多，加之運用了云平臺和虛擬化技術之后，變得更為開放且缺乏傳統硬件隔離手段，會面臨更加嚴峻的安全風險。

目前常見的虛擬機攻擊其實質是對虛擬機共享的計算資源、存儲空間、內空間、計算機和網絡訪問權限等進行劫持和修改。

針對虛擬化安全問題，主要有以下兩種安全機制來解決。

1）虛擬機訪問控制

訪問控制即通過限制主體對客體的訪問權限與范圍，保證客體不被非法訪問。云存儲服務支持海量的用戶接入，每個用戶都有為其提供服務的虛擬機，因此需要通過虛擬機的訪問控制機制來實現不同用戶對不同虛擬機的訪問權限的區分。

在虛擬化軟件棧中，從VMM、客戶操作系統到應用軟件，高優先級的軟件層能夠直接訪問低優先級軟件層的數據和代碼而不受限，這種機制會對整個軟件棧的安全構成威脅。因此，需要利用訪問控制機制，防止非法用戶對受到保護的數據資源進行訪問。

另外，很多應用需要進行虛擬機間的通信，可能帶來非法訪問、邊信道攻擊等安全風險。而由于云存儲的動態彈性資源分配機制，根據性能冗余情況，虛擬機可以實現動態的遷移，遷移過程中也應實現訪問控制。

虛擬機的訪問控制策略通常有以下兩類：一是每個虛擬機分別部署訪問控制策略；二是采用統一訪問控制策略。第一種方案的可擴展性比較差，管理繁瑣；第二種方案將訪問控制策略部署在Hypervisor 上，可以實現統一配置與管理。

2）虛擬機隔離

虛擬機隔離主要分為硬件隔離和系統級隔離，硬件隔離依賴于芯片上的安全模塊或安全處理引擎，需要硬件支持才能實現，有一定的局限性。而系統級隔離是利用硬件的安全擴展與可信軟件在系統中搭建一個相對安全的可信執行環境。采用系統級隔離可以將可信程序、敏感數據等保護在隔離環境中，并可以限制惡意代碼的擴散。

相對于系統級隔離，硬件隔離技術直接利用可靠的物理設備對重要數據進行保護，具有防篡改的功能。然而純硬件加密有賴于專用的硬件模塊，一定程度上還會影響主處理器性能。系統級隔離技術不需要重新設計硬件，開發難度小，對系統的性能影響也較小。

對于基于云技術的鐵路視頻監控系統而言，首先應從虛擬機訪問控制這一層面確保云技術條件下的虛擬化安全，其次通過設置保護模塊實現客戶機系統調用、進行進程管理等操作。

4.3 云存儲身份認證和訪問控制

鐵路綜合視頻監控系統前端及終端用戶眾多，涉及范圍大、覆蓋面廣，系統十分復雜，但對數據又要求有很高的開放性和共享性，因此需要一套成熟高效的云存儲身份認證和訪問控制機制作為保障。

用戶身份認證與數據訪問控制作為云技術中一條重要的安全防線，能夠通過身份鑒定、安全策略制定以及密鑰加密等手段管理用戶和數據內容，從而保證合法用戶能夠安全的使用云上各種資源，同時也防止惡意攻擊者非法使用云資源甚至對數據進行竊取和篡改。

在傳統訪問控制系統中，用戶權限和所有數據都由管理員進行分配、管理。但對于基于云技術的鐵路視頻監控系統而言，海量的用戶數量和數據量，以及較高的數據安全要求，給傳統的管理員模式帶來了很大挑戰。

在基于屬性的加密機制中，每一個權限可由一個屬性表示，由可信的權威機構對系統內所有訪問者的權限進行認證并頒發與之對應密鑰[7]，系統資源均加密后保存在服務器中，加密訪問策略可由資源發布者制定，制定原則靈活可變，滿足訪問策略的訪問者才可以訪問并解密該資源。

同時，這一方法也有效解決了傳統訪問控制機制下，系統管理員必須管理所有用戶權限的問題，而服務器也不需要與每個訪問者交互，有效提高了系統的安全性和效率。

在屬性加密機制中，云存儲環境下的訪問控制模型包括數據擁有者、云存儲服務器、可信授權中心、用戶等4 個實體。屬性加密運行機制如下。

1）由可信授權中心生成主密鑰和公開參數，將公鑰傳遞給數據擁有者。

2）數據擁有者根據公鑰和訪問結構對文件進行加密，再將密文和訪問結構存放到云服務器。

3）新用戶加入系統時，其屬性集會被傳遞給可信授權中心，后者根據用戶的屬性集和主密鑰生成用戶私鑰，并發送給用戶。

4）用戶訪問數據時，若其屬性集與密文的訪問結構相符，則可解密密文。[8]

如此，云存儲身份認證和訪問控制完全基于可行授權中心對用戶屬性的判別，簡化了身份認證機制的復雜程度，提高了訪問控制可操作性和便捷程度。

云技術的廣泛應用是信息技術發展的新趨勢，在鐵路信息化、智能化發展的過程中，云存儲、云計算必然將會扮演越來越重要的角色，通過研究云存儲數據安全技術、基于云的虛擬化安全技術以及云存儲身份認證和訪問控制技術能夠為今后鐵路視頻監控系統的云化提供技術支撐和設計思路。