羅云鋒++丁涵++許慶光

摘要：視頻監(jiān)控系統(tǒng)面臨著一系列安全問題，頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件?；诳尚庞?jì)算技術(shù)，設(shè)計(jì)了可信視頻監(jiān)控系統(tǒng)安全架構(gòu)。該架構(gòu)對系統(tǒng)中的計(jì)算設(shè)備實(shí)施可信安全增強(qiáng)，設(shè)計(jì)了基于數(shù)字證書的雙向認(rèn)證協(xié)議，對傳輸?shù)囊曨l和信令數(shù)據(jù)進(jìn)行加密保護(hù)。系統(tǒng)驗(yàn)證和分析結(jié)果表明，該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護(hù)能力。

關(guān)鍵詞：視頻監(jiān)控系統(tǒng)；可信計(jì)算；安全架構(gòu)

DOIDOI：10.11907/rjdk.172657

中圖分類號(hào)：TP319文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2017）010013504

0引言

隨著視頻監(jiān)控系統(tǒng)逐漸實(shí)現(xiàn)網(wǎng)絡(luò)化和數(shù)字化，視頻監(jiān)控系統(tǒng)面臨著一系列安全問題，頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件[12]。2014年12月，黑客通過攝像機(jī)軟件漏洞侵入格魯吉亞輸油管道監(jiān)控系統(tǒng)，關(guān)閉警報(bào)、切斷通信，給管道原油大幅增壓，造成輸油管道爆炸；2015年2月，“?？低暿录北l(fā)，部分監(jiān)視設(shè)備被遠(yuǎn)程控制，黑客可利用系統(tǒng)漏洞與設(shè)備缺陷，遠(yuǎn)程管理權(quán)限、竊取監(jiān)控?cái)?shù)據(jù)、篡改控制參數(shù)，實(shí)施信息竊密及對系統(tǒng)的反向控制。因此，需要針對視頻監(jiān)控系統(tǒng)的特征與安全威脅設(shè)計(jì)安全防護(hù)機(jī)制，以確保視頻監(jiān)控系統(tǒng)安全可信運(yùn)行。

1視頻監(jiān)控系統(tǒng)安全威脅

視頻監(jiān)控系統(tǒng)通常由前端設(shè)備、傳輸網(wǎng)絡(luò)、遠(yuǎn)程管理監(jiān)控軟件平臺(tái)3部分組成，如圖1所示。

圖1視頻監(jiān)控系統(tǒng)結(jié)構(gòu)

前端設(shè)備主要面臨替換接入、設(shè)備漏洞和協(xié)議攻擊等安全威脅。由于不具備唯一身份標(biāo)識(shí)，設(shè)備容易被替換；由于存在弱口令保護(hù)、遠(yuǎn)程登錄端口、系統(tǒng)潛在漏洞等風(fēng)險(xiǎn)，容易被攻破并植入惡意代碼[3]；通過仿造與軟件平臺(tái)的通信協(xié)議，能夠模擬采集設(shè)備接入到整個(gè)監(jiān)控網(wǎng)，對監(jiān)控網(wǎng)內(nèi)的其它設(shè)備或主機(jī)進(jìn)行攻擊。在傳輸網(wǎng)絡(luò)層，傳輸?shù)囊曨l數(shù)據(jù)采用標(biāo)準(zhǔn)化編碼并以明文方式傳輸，導(dǎo)致視頻數(shù)據(jù)和協(xié)議很容易被竊取和篡改。在軟件平臺(tái)中，其用戶身份認(rèn)證和權(quán)限管理機(jī)制簡單，如采用基于用戶名和口令的認(rèn)證機(jī)制，面臨通過修改用戶權(quán)限，非法遠(yuǎn)程控制和操作前端監(jiān)控設(shè)備的風(fēng)險(xiǎn)。

從視頻監(jiān)控系統(tǒng)攻擊和防護(hù)角度，其面臨的安全威脅可從攻擊種類、攻擊途徑、攻擊類型、攻擊者類型、影響部件、防護(hù)手段等方面描述[45]，如表1所示。

可信計(jì)算是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫計(jì)算模式[9]，具有身份認(rèn)證、可信控制、信息加密等功能。它以密碼為基礎(chǔ)，建立以可信密碼模塊為信任根的完整信任鏈，提供安全可信的計(jì)算環(huán)境?？尚庞?jì)算為視頻監(jiān)控系統(tǒng)提出了一種新型的主動(dòng)防護(hù)思路，針對視頻監(jiān)控領(lǐng)域面臨的安全威脅，對視頻監(jiān)控系統(tǒng)進(jìn)行改造，構(gòu)建可信視頻監(jiān)控系統(tǒng)，從系統(tǒng)層面保障視頻數(shù)據(jù)在采集、傳輸、存儲(chǔ)、查看等各個(gè)環(huán)節(jié)的安全。

2可信視頻監(jiān)控系統(tǒng)架構(gòu)

可信視頻監(jiān)控系統(tǒng)在通用視頻監(jiān)控業(yè)務(wù)平臺(tái)的基礎(chǔ)上引入可信計(jì)算和密碼技術(shù)，分別從視頻監(jiān)控前端設(shè)備、監(jiān)控管理服務(wù)和監(jiān)控應(yīng)用3部分實(shí)現(xiàn)設(shè)備接入認(rèn)證、系統(tǒng)可信運(yùn)行、視頻數(shù)據(jù)加密和監(jiān)控業(yè)務(wù)信令完整性保護(hù)等安全機(jī)制，如圖2所示。

視頻監(jiān)控前端：前端主要由多種形態(tài)的高清網(wǎng)絡(luò)攝像機(jī)組成，在攝像機(jī)中引入可信密碼模塊，構(gòu)建可信網(wǎng)絡(luò)攝像機(jī)，實(shí)現(xiàn)攝像機(jī)操作系統(tǒng)完整性保護(hù)、攝像機(jī)應(yīng)用軟件運(yùn)行控制、監(jiān)控業(yè)務(wù)信令完整性保護(hù)以及視頻數(shù)據(jù)加密功能，全面保障監(jiān)控前端設(shè)備的可信以及視頻采集安全。

監(jiān)控管理服務(wù)：后端管理平臺(tái)提供監(jiān)控管理服務(wù)，在服務(wù)器端引入可信密碼模塊，對服務(wù)器進(jìn)行可信增強(qiáng)，實(shí)現(xiàn)服務(wù)器操作系統(tǒng)和應(yīng)用軟件的完整性保護(hù)和運(yùn)行控制；在原有服務(wù)基礎(chǔ)上增加設(shè)備接入認(rèn)證以及監(jiān)控業(yè)務(wù)信令完整性保護(hù)功能，保證前端設(shè)備身份可信以及監(jiān)控業(yè)務(wù)信令來源合法。

監(jiān)控應(yīng)用：在視頻展示客戶端引入可信密碼模塊，對客戶端進(jìn)行可信增強(qiáng)，實(shí)現(xiàn)服務(wù)器操作系統(tǒng)和應(yīng)用軟件的完整性保護(hù)和運(yùn)行控制；基于可信密碼模塊提供的密碼服務(wù)實(shí)現(xiàn)加密視頻實(shí)時(shí)點(diǎn)播及回放。

2.1設(shè)備可信運(yùn)行保障

對網(wǎng)絡(luò)攝像機(jī)進(jìn)行可信改造，構(gòu)建可信網(wǎng)絡(luò)攝像機(jī)?？尚啪W(wǎng)絡(luò)攝像機(jī)支持?jǐn)z像機(jī)可信啟動(dòng)，實(shí)現(xiàn)從固件、操作系統(tǒng)到應(yīng)用程序的信任鏈傳遞，同時(shí)基于可信軟件棧提供的密碼服務(wù)接口，實(shí)現(xiàn)設(shè)備接入認(rèn)證、監(jiān)控業(yè)務(wù)信令完整性保護(hù)及視頻數(shù)據(jù)加密等功能，其軟件組成如圖3所示。

可信Bootloader是在嵌入式Bootloader程序基礎(chǔ)上加入安全可信部件，存放在Flash只讀保護(hù)分區(qū)，提供平臺(tái)可信服務(wù)和安全增強(qiáng)功能，它在系統(tǒng)上電啟動(dòng)過程中建立并傳遞信任鏈，對系統(tǒng)中的操作系統(tǒng)及關(guān)鍵文件進(jìn)行完整性度量驗(yàn)證，保證在操作系統(tǒng)獲得控制權(quán)之前，系統(tǒng)是完整可信的?？尚跑浖每尚跑浖Ｌ峁┑拿艽a服務(wù)接口，對系統(tǒng)服務(wù)和應(yīng)用軟件進(jìn)行完整性度量，阻止未授權(quán)程序運(yùn)行。

監(jiān)管服務(wù)器和監(jiān)控應(yīng)用客戶端設(shè)備通過插接可信密碼模塊，以及安裝可信軟件基[10]，對操作系統(tǒng)實(shí)施安全增強(qiáng)，阻止未授權(quán)程序運(yùn)行，防止病毒侵襲和黑客攻擊。

2.2設(shè)備接入認(rèn)證及加密

攝像機(jī)、監(jiān)控管理服務(wù)器和監(jiān)控應(yīng)用客戶端構(gòu)成了安全域。采用SM1 分組密碼算法對視頻進(jìn)行加密，攝像機(jī)（CM）和監(jiān)控管理服務(wù)器（CS）的可信密碼模塊中配置有證書及私鑰，基于證書設(shè)計(jì)協(xié)議實(shí)現(xiàn)密鑰交換，并實(shí)現(xiàn)攝像機(jī)與服務(wù)器之間的相互認(rèn)證。

S1：為所有攝像機(jī)配置服務(wù)器證書。

S2：攝像機(jī)通過握手認(rèn)證協(xié)議實(shí)現(xiàn)與服務(wù)器的認(rèn)證，同時(shí)產(chǎn)生會(huì)話密鑰。

S2.1 CM發(fā)送消息m1到CS請求認(rèn)證。先用CM私鑰對其證書標(biāo)識(shí)ID簽名，將簽名值與證書標(biāo)識(shí)組成消息m1，Sign（CMs Kpriv， ID），再用CS的公鑰對m1加密，E （CSs Kpub， m1），E（）是非對稱加密函數(shù)，Sign（）是簽名函數(shù)，確保只有服務(wù)器才能解密該消息。

S2.2 CS解密得到m1明文，獲取CM證書標(biāo)識(shí)，向證書服務(wù)器提取CM證書，驗(yàn)證簽名，通過后向CM發(fā)送挑戰(zhàn)消息m2，m2由隨機(jī)數(shù)R組成，m2先用CS私鑰加密，再用CM公鑰加密，E（CM′s Kpub， E（CL′sKpriv ， m2）），過程確保了信息保鮮性。endprint

S2.3 CM解密m2，并將R+1組成消息m3，先用CM私鑰，再用CS公鑰對m3加密，E（CS′s KPUB， E（CM′s KPRIV ， M3）），發(fā)送m3至CM。

S2.4 CS解密m3，確認(rèn)是R增量，CM通過挑戰(zhàn)響應(yīng)，生成消息m4，發(fā)送至CM。m4包括接收通知、會(huì)話密鑰（用于SM1加密）、會(huì)話時(shí)戳。自此，數(shù)據(jù)交換會(huì)話準(zhǔn)備完畢。

S3：采用OFB 模式對數(shù)據(jù)加密，以防止相同數(shù)據(jù)產(chǎn)生相同密文。為保證視頻和信令數(shù)據(jù)的完整性，采用SM3 密碼雜湊算法，計(jì)算視頻幀或信令數(shù)據(jù)的雜湊值。雜湊值被附加在視頻流或信令數(shù)據(jù)上發(fā)送至服務(wù)器。

3系統(tǒng)驗(yàn)證及安全性分析

3.1驗(yàn)證系統(tǒng)組成

基于通用視頻監(jiān)控系統(tǒng)構(gòu)建了如圖4所示的可信視頻監(jiān)控系統(tǒng)。其中，在高清網(wǎng)絡(luò)攝像機(jī)中嵌入U(xiǎn)SB接口可信密碼模塊，開發(fā)配套軟件形成可信高清網(wǎng)絡(luò)攝像機(jī)；在監(jiān)控管理服務(wù)器上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統(tǒng)進(jìn)行可信增強(qiáng)；開發(fā)設(shè)備接入認(rèn)證和加解密軟件，按照視頻監(jiān)控國標(biāo)《GBT 28181公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》協(xié)議，按照2.2章節(jié)描述的交互流程，通過對協(xié)議中的擴(kuò)展字段進(jìn)行補(bǔ)充，加入了設(shè)備身份認(rèn)證和監(jiān)控業(yè)務(wù)信令完整性驗(yàn)證處理流程，實(shí)現(xiàn)終端設(shè)備接入認(rèn)證、信令數(shù)據(jù)完整性度量以及視頻數(shù)據(jù)加密傳輸；在監(jiān)控應(yīng)用展示平臺(tái)，在計(jì)算機(jī)主板上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統(tǒng)進(jìn)行可信增強(qiáng)，按照上文描述的協(xié)議開發(fā)視頻加解密軟件，實(shí)現(xiàn)對視頻數(shù)據(jù)流的解密應(yīng)用。

3.2系統(tǒng)性能分析

國標(biāo)《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求（征求意見稿）》中對設(shè)備認(rèn)證和視頻加密性能進(jìn)行了規(guī)定，因此主要對這兩項(xiàng)指標(biāo)進(jìn)行分析：

（1）接入認(rèn)證時(shí)間。設(shè)備接入認(rèn)證基于SIP協(xié)議實(shí)現(xiàn)，故通過網(wǎng)絡(luò)抓包軟件Wireshark抓取監(jiān)控管理服務(wù)器與可信網(wǎng)絡(luò)攝像機(jī)之間的SIP包，記錄第一條數(shù)據(jù)包時(shí)間T1和接入成功數(shù)據(jù)包時(shí)間T2，則接入時(shí)間T=T1-T2。按照該方法重復(fù)100次，獲取平均時(shí)間。測試結(jié)果統(tǒng)計(jì)表明，單臺(tái)設(shè)備接入認(rèn)證時(shí)間為0.1s，符合設(shè)備身份雙向認(rèn)證時(shí)間延遲不超過400ms的規(guī)定。

（2）視頻數(shù)據(jù)加密延遲時(shí)間。該項(xiàng)指標(biāo)主要測試因視頻數(shù)據(jù)加密帶來的延遲。測試方法是在視頻監(jiān)控客戶端上運(yùn)行計(jì)時(shí)軟件，將可信網(wǎng)絡(luò)攝像機(jī)和普通網(wǎng)絡(luò)攝像機(jī)分別對準(zhǔn)監(jiān)控客戶端計(jì)時(shí)軟件拍攝視頻，并在監(jiān)控客戶端顯示對應(yīng)視頻，通過截屏方式記錄拍攝時(shí)間和接收時(shí)間，對比加密和不加密兩種模式下的時(shí)間差，得到加密后的視頻延遲。按照該方法重復(fù)100次，獲取平均延遲時(shí)間。統(tǒng)計(jì)結(jié)果表明，視頻加密延遲為105ms，符合視頻加密帶來的延時(shí)不超過600ms的規(guī)定。

3.3系統(tǒng)安全性分析

針對表1中總結(jié)的安全威脅，分析可信視頻監(jiān)控系統(tǒng)的安全性。

（1）弱訪問控制或弱認(rèn)證。構(gòu)建的安全架構(gòu)采用基于數(shù)字證書的相互認(rèn)證機(jī)制，確保非授權(quán)用戶無法接入監(jiān)控網(wǎng)絡(luò)。

（2）傳輸層保護(hù)不充分?；诜菍ΨQ算法，采用握手協(xié)議協(xié)商生成傳輸加密密鑰；基于對稱算法對傳輸?shù)臄?shù)據(jù)進(jìn)行加密；基于雜湊算法對視頻和信令數(shù)據(jù)進(jìn)行完整性保護(hù)，確保了傳輸層數(shù)據(jù)的機(jī)密性和完整性。

（3）路徑遍歷、文件公開導(dǎo)致信息泄露、命令注入、緩沖區(qū)溢出等攻擊。在網(wǎng)絡(luò)攝像機(jī)設(shè)備中引入了可信計(jì)算技術(shù)，構(gòu)建以可信密碼模塊和可信BootLoader為可信根，到操作系統(tǒng)、應(yīng)用軟件的信任鏈，阻止了未授權(quán)程序運(yùn)行，確保了系統(tǒng)中存在的漏洞不被惡意程序利用，提高了系統(tǒng)可用性。

（4）拒絕服務(wù)攻擊（DoS）。采用基于數(shù)字證書的雙向認(rèn)證機(jī)制，非法的計(jì)算設(shè)備無法連接監(jiān)控管理服務(wù)器，減少了遭受DoS攻擊的可能性。

（5）在固件升級時(shí)實(shí)施攻擊。在網(wǎng)絡(luò)攝像機(jī)中構(gòu)建了可信計(jì)算平臺(tái)，由后臺(tái)的安全管理系統(tǒng)發(fā)送安全策略，在固件升級前檢查是否符合安全策略，從而保證固件不被攻擊。

（6）通過攝像機(jī)鏡頭等光學(xué)接口，采用惡意圖片、屏幕泄露、隱寫術(shù)等方式注入惡意程序攻擊。由于對視頻監(jiān)控系統(tǒng)前端設(shè)備、監(jiān)控管理服務(wù)器以及監(jiān)控應(yīng)用客戶端均采用可信計(jì)算技術(shù)進(jìn)行安全增強(qiáng)，可阻止惡意程序執(zhí)行，從而阻止該類攻擊。

4結(jié)語

針對視頻監(jiān)控系統(tǒng)面臨的安全威脅，設(shè)計(jì)了可信視頻監(jiān)控系統(tǒng)安全架構(gòu)，在前端設(shè)備、監(jiān)控管理服務(wù)器以及監(jiān)控應(yīng)用客戶端中引入可信密碼模塊，實(shí)施可信安全增強(qiáng)，提高了各計(jì)算設(shè)備的安全防護(hù)能力；設(shè)計(jì)了基于數(shù)字證書的雙向認(rèn)證協(xié)議，提高了訪問控制及認(rèn)證強(qiáng)度；通過在線協(xié)商密鑰的方式對傳輸?shù)囊曨l和信令數(shù)據(jù)進(jìn)行加密保護(hù)，保證了數(shù)據(jù)傳輸?shù)陌踩浴Ｏ到y(tǒng)驗(yàn)證和分析結(jié)果表明，該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護(hù)能力。

參考文獻(xiàn)參考文獻(xiàn)：

[1]WINKLER T， RIIMER B. Security and privacy protection in visual sensor networks： a survy[J]. ACM Computing Surveys， 2014，47（1）：142.

[2]MARASHDA K. Video Security assurance framework based on efficient joint cryptography compression approach[C]. Electronics， Circuits， and Systems （ICECS）， 2013 IEEE 20th International Conference on， Abu Dhabi， 2013：7677.

[3]LI YUSEN， QU PENG. The embedded intelligent network video surveillance system based on ARM and Linux[C]. 2016 IEEE International Conference on Mechatronics and Automation， Harbin， Heilongjiang， China， 2016：10541058.

[4]COSTIN A. Security of CCTV and video surveillance systems： threats， vulnerabilities， attacks， and mitigations[C]. TrustED16， Vienna， Austria， 2016：4554.

[5]OBERMAIER J， HUTLE M. Analyzing the security and privacy of cloudbased video surveillance systems[C]. IoTPTS16，2016：2228.

[6]SERPANOS D， PAPLAMBROU A. Security and privacy in distributed smart camera[J]. Proceedings of the IEEE， 2008，96（10）：16781687.

[7]STUTZ T， UHL A. A survey of H.264 AVC/SVC encryption[J]. IEEE Transaction on Circuits and Systems for Video Technology， 2012，22（3）：325339.

[8]羅羽.視頻監(jiān)控系統(tǒng)中SIP協(xié)議安全性研究與實(shí)現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2010.

[9]沈昌祥，張煥國，王懷民，等.可信計(jì)算的研究與發(fā)展[J].中國科學(xué)：信息科學(xué)，2010，40（2）：139166.

[10]孫瑜，王溢，洪宇，等.可信軟件基技術(shù)研究及應(yīng)用[J].信息安全研究，2017，3（4）：316322.

責(zé)任編輯（責(zé)任編輯：黃健）endprint