潘震環(huán)

摘 要 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是基于IP網(wǎng)的圖像遠程監(jiān)控、傳輸、存儲、管理的視頻監(jiān)控系統(tǒng)，將分散、獨立的圖像采集點進行聯(lián)網(wǎng)，實現(xiàn)跨區(qū)域的統(tǒng)一監(jiān)控、統(tǒng)一存儲、統(tǒng)一管理、資源共享。

關(guān)鍵詞 網(wǎng)絡(luò)視頻 監(jiān)控 信息 安全 應(yīng)用

中圖分類號：TN949 文獻標(biāo)識碼：A

1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)概述及其安全威脅

1.1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是基于IP網(wǎng)的圖像遠程監(jiān)控、傳輸、存儲、管理的視頻監(jiān)控系統(tǒng)，將分散、獨立的圖像采集點進行聯(lián)網(wǎng)，實現(xiàn)跨區(qū)域的統(tǒng)一監(jiān)控、統(tǒng)一存儲、統(tǒng)一管理、資源共享。典型網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)主要由前端監(jiān)控設(shè)備（攝像機、視頻服務(wù)器/編碼器）、監(jiān)控中心（中心服務(wù)器）、監(jiān)控客戶端（監(jiān)控工作站）三部分組成。通過對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)所面臨的安全狀況的分析，網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全性在總體結(jié)構(gòu)上分為四個層次：物理安全、接入安全、傳輸和網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全。

1.2視頻監(jiān)控系統(tǒng)面臨的安全威脅

視頻監(jiān)控網(wǎng)絡(luò)中通常存在哪些威脅？我們根據(jù)對視頻監(jiān)控網(wǎng)絡(luò)的結(jié)構(gòu)、業(yè)務(wù)特征進行分析，主要威脅如下：

（1）前端設(shè)備（網(wǎng)絡(luò)攝像頭）的非法替換接入；

（2）視頻監(jiān)控網(wǎng)絡(luò)的終端、網(wǎng)絡(luò)設(shè)備非法接入；

（3）NVR/集中管理系統(tǒng)自身的安全漏洞，如系統(tǒng)漏洞、弱口令等；

（4）視頻監(jiān)控系統(tǒng)管理終端的安全問題；

（5）使用視頻監(jiān)控網(wǎng)絡(luò)的人員的安全問題。

我們可以看到，事實上從前端設(shè)備終端、網(wǎng)絡(luò)環(huán)境、管理系統(tǒng)、管理終端到管理人員，這些任何一個環(huán)節(jié)出現(xiàn)問題都可能帶來嚴重的安全事件。因此，保護視頻監(jiān)控網(wǎng)絡(luò)絕不是一個頭痛醫(yī)頭、腳痛醫(yī)腳的問題，需要一種全局的思維，一個全方位多維度的安全解決方案從根本上解決問題。

2視頻監(jiān)控信息安全機制的標(biāo)準(zhǔn)

針對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全威脅，業(yè)界制定了多種安全機制，主要有ONVIF（Open Network Video Interface Forum，開放型網(wǎng)絡(luò)視頻產(chǎn)品接口開發(fā)論壇）、CCSA《電信網(wǎng)視頻監(jiān)控系統(tǒng)安全要求》等標(biāo)準(zhǔn)。此外，運營商和廠商各自制定了針對自己系統(tǒng)的安全標(biāo)準(zhǔn)和解決方案，其中ONVIF和《城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》是業(yè)界采用比較多的監(jiān)控標(biāo)準(zhǔn)。ONVIF由安訊士網(wǎng)絡(luò)通訊公司聯(lián)合博世集團及索尼公司三方攜手共同成立，關(guān)注IP視頻監(jiān)控，目標(biāo)是實現(xiàn)一個網(wǎng)絡(luò)視頻框架協(xié)議，使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品（包括攝錄前端、錄像設(shè)備等）完全互通。ONVIF規(guī)范向視頻監(jiān)控引入了Web Services的概念。設(shè)備的實際功能均被抽象為Web Services的服務(wù)，視頻監(jiān)控系統(tǒng)的控制單元以客戶端的身份出現(xiàn)，通過Web請求的形式完成控制操作。

由于ONVIF基于Web Services，Web Services主要利用HTTP和SOAP使數(shù)據(jù)在Web上傳輸，其在信息安全方面主要有以下要求：

（1）獲取或設(shè)置訪問安全策略。

（2）服務(wù)器端HTTPS（secure hypertext transfer protocol，安全超文本傳輸協(xié)議認證。

（3）客戶端HTTPS認證。

（4）密鑰生成和證書下載功能。

（5）IEEE 802.1x supplicant認證。

（6）IEEE 802.1x CA認證。

（7）IEEE 802.1x配置。

（8）在信息安全性方面，ONVIF規(guī)范支持摘要認證和WSS安全框架。

（9）在用戶認證方面，最基本驗證包括HTTP摘要認證和WSS摘要認證（用戶名令牌描述（username token profile）），高級驗證包括TLS-based access。

（10）在用戶認證通過后，通過“獲取或設(shè)置訪問安全策略”實現(xiàn)基于用戶的權(quán)限控制，以授權(quán)其能訪問的前端監(jiān)控設(shè)備。

在信息的安全通信層面，ONVIF規(guī)范定義了兩種通信層面的安全架構(gòu)：傳輸層安全（transport layer security，TLS）和消息層安全。傳輸層安全協(xié)議用于保護ONVIF提供的所有服務(wù)。同時還需要保護媒體流的RTP（real-time transport protocol，實時傳輸協(xié)議）、RTSP/HTTPS。設(shè)備應(yīng)該支持TLS 1.0、TLS 1.1，可以支持TLS 1.2；加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA?？蛻舳藨?yīng)支持TLS 1.1、TLS 1.0，加密算法。

支持TLS_RSA_WITH_AES_128_CBC_SH、TLS_RSA_NULL_SHA。在服務(wù)器端認證方面，設(shè)備支持X.509（X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)）服務(wù)器認證。RSA key長度至少為l024 bit，客戶端支持TLS服務(wù)器認證。客戶端認證功能可以在設(shè)備管理命令中禁止和啟用。支持TLS的設(shè)備應(yīng)該在證書請求中支持RSA認證類型。而且應(yīng)該支持RSA客戶端認證和簽名驗證。

3安全機制的應(yīng)用建議

通常，一個監(jiān)控系統(tǒng)應(yīng)根據(jù)加密等級和系統(tǒng)架構(gòu)的不同采用相應(yīng)的安全機制。對于一般的安全監(jiān)控系統(tǒng)，要求支持對業(yè)務(wù)數(shù)據(jù)訪問權(quán)限進行安全認證和授權(quán)，實現(xiàn)業(yè)務(wù)信令流的加密和傳輸。訪問權(quán)限的安全認證可采用口令、數(shù)字證書或數(shù)字摘要等標(biāo)準(zhǔn)算法，信令流的加密算法根據(jù)業(yè)界標(biāo)準(zhǔn)可采用DES、3DES、AES（128bit）等算法，信令流的安全傳輸可根據(jù)監(jiān)控架構(gòu)協(xié)議采用不同的通信安全協(xié)議，如HTTPS、IEEE802.1x等。

視頻監(jiān)控平臺服務(wù)器定期隨機產(chǎn)生一個AES加密/解密密鑰。分別使用各個終端或客戶端用戶密碼對AES加密密鑰進行加密，形成傳輸密鑰發(fā)往各個設(shè)備，各個設(shè)備對傳輸密鑰的內(nèi)容進行解密，即可獲取AES加密/解密密鑰。在以后的監(jiān)控過程中，所有設(shè)備就可以使用該AES加密/解密密鑰對信令和媒體碼流進行加密和解密。

對于監(jiān)控系統(tǒng)中靜止的數(shù)據(jù)，如存儲的錄像文件、音頻數(shù)據(jù)，為保證安全性，需要加密處理，可采用通用的針對錄像文件加密的方法，如3DES、AES（128 bit）、SCB2等。為了確保圖片和視頻數(shù)據(jù)的安全可靠，監(jiān)控系統(tǒng)還可采用數(shù)字摘要、數(shù)字時間戳及數(shù)字水印等技術(shù)防止信息的完整性被破壞。

參考文獻

[1] 趙麗，陳燎原，羅萃文.遠程視頻監(jiān)控系統(tǒng)的安全可靠性技術(shù)[J].計算機應(yīng)用，2003（S2）.

[2] 蔡江宇，林宏基.基于遠程視頻監(jiān)控系統(tǒng)的監(jiān)控中心的設(shè)計與實現(xiàn)[J].福建電腦，2007（01）.

[3] 李東江，馬新權(quán).基于AVS的遠程視頻監(jiān)控系統(tǒng)研究[J].安防科技，2007（09）.