亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        可信視頻監(jiān)控系統(tǒng)架構(gòu)設(shè)計(jì)研究

        2017-11-02 22:29:09羅云鋒丁涵許慶光
        軟件導(dǎo)刊 2017年10期
        關(guān)鍵詞:視頻監(jiān)控系統(tǒng)

        羅云鋒++丁涵++許慶光

        摘要:視頻監(jiān)控系統(tǒng)面臨著一系列安全問題,頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件?;诳尚庞?jì)算技術(shù),設(shè)計(jì)了可信視頻監(jiān)控系統(tǒng)安全架構(gòu)。該架構(gòu)對(duì)系統(tǒng)中的計(jì)算設(shè)備實(shí)施可信安全增強(qiáng),設(shè)計(jì)了基于數(shù)字證書的雙向認(rèn)證協(xié)議,對(duì)傳輸?shù)囊曨l和信令數(shù)據(jù)進(jìn)行加密保護(hù)。系統(tǒng)驗(yàn)證和分析結(jié)果表明,該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護(hù)能力。

        關(guān)鍵詞:視頻監(jiān)控系統(tǒng);可信計(jì)算;安全架構(gòu)

        DOIDOI:10.11907/rjdk.172657

        中圖分類號(hào):TP319文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):16727800(2017)010013504

        0引言

        隨著視頻監(jiān)控系統(tǒng)逐漸實(shí)現(xiàn)網(wǎng)絡(luò)化和數(shù)字化,視頻監(jiān)控系統(tǒng)面臨著一系列安全問題,頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件[12]。2014年12月,黑客通過攝像機(jī)軟件漏洞侵入格魯吉亞輸油管道監(jiān)控系統(tǒng),關(guān)閉警報(bào)、切斷通信,給管道原油大幅增壓,造成輸油管道爆炸;2015年2月,“海康威視事件”爆發(fā),部分監(jiān)視設(shè)備被遠(yuǎn)程控制,黑客可利用系統(tǒng)漏洞與設(shè)備缺陷,遠(yuǎn)程管理權(quán)限、竊取監(jiān)控?cái)?shù)據(jù)、篡改控制參數(shù),實(shí)施信息竊密及對(duì)系統(tǒng)的反向控制。因此,需要針對(duì)視頻監(jiān)控系統(tǒng)的特征與安全威脅設(shè)計(jì)安全防護(hù)機(jī)制,以確保視頻監(jiān)控系統(tǒng)安全可信運(yùn)行。

        1視頻監(jiān)控系統(tǒng)安全威脅

        視頻監(jiān)控系統(tǒng)通常由前端設(shè)備、傳輸網(wǎng)絡(luò)、遠(yuǎn)程管理監(jiān)控軟件平臺(tái)3部分組成,如圖1所示。

        圖1視頻監(jiān)控系統(tǒng)結(jié)構(gòu)

        前端設(shè)備主要面臨替換接入、設(shè)備漏洞和協(xié)議攻擊等安全威脅。由于不具備唯一身份標(biāo)識(shí),設(shè)備容易被替換;由于存在弱口令保護(hù)、遠(yuǎn)程登錄端口、系統(tǒng)潛在漏洞等風(fēng)險(xiǎn),容易被攻破并植入惡意代碼[3];通過仿造與軟件平臺(tái)的通信協(xié)議,能夠模擬采集設(shè)備接入到整個(gè)監(jiān)控網(wǎng),對(duì)監(jiān)控網(wǎng)內(nèi)的其它設(shè)備或主機(jī)進(jìn)行攻擊。在傳輸網(wǎng)絡(luò)層,傳輸?shù)囊曨l數(shù)據(jù)采用標(biāo)準(zhǔn)化編碼并以明文方式傳輸,導(dǎo)致視頻數(shù)據(jù)和協(xié)議很容易被竊取和篡改。在軟件平臺(tái)中,其用戶身份認(rèn)證和權(quán)限管理機(jī)制簡單,如采用基于用戶名和口令的認(rèn)證機(jī)制,面臨通過修改用戶權(quán)限,非法遠(yuǎn)程控制和操作前端監(jiān)控設(shè)備的風(fēng)險(xiǎn)。

        從視頻監(jiān)控系統(tǒng)攻擊和防護(hù)角度,其面臨的安全威脅可從攻擊種類、攻擊途徑、攻擊類型、攻擊者類型、影響部件、防護(hù)手段等方面描述[45],如表1所示。

        可信計(jì)算是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫計(jì)算模式[9],具有身份認(rèn)證、可信控制、信息加密等功能。它以密碼為基礎(chǔ),建立以可信密碼模塊為信任根的完整信任鏈,提供安全可信的計(jì)算環(huán)境??尚庞?jì)算為視頻監(jiān)控系統(tǒng)提出了一種新型的主動(dòng)防護(hù)思路,針對(duì)視頻監(jiān)控領(lǐng)域面臨的安全威脅,對(duì)視頻監(jiān)控系統(tǒng)進(jìn)行改造,構(gòu)建可信視頻監(jiān)控系統(tǒng),從系統(tǒng)層面保障視頻數(shù)據(jù)在采集、傳輸、存儲(chǔ)、查看等各個(gè)環(huán)節(jié)的安全。

        2可信視頻監(jiān)控系統(tǒng)架構(gòu)

        可信視頻監(jiān)控系統(tǒng)在通用視頻監(jiān)控業(yè)務(wù)平臺(tái)的基礎(chǔ)上引入可信計(jì)算和密碼技術(shù),分別從視頻監(jiān)控前端設(shè)備、監(jiān)控管理服務(wù)和監(jiān)控應(yīng)用3部分實(shí)現(xiàn)設(shè)備接入認(rèn)證、系統(tǒng)可信運(yùn)行、視頻數(shù)據(jù)加密和監(jiān)控業(yè)務(wù)信令完整性保護(hù)等安全機(jī)制,如圖2所示。

        視頻監(jiān)控前端:前端主要由多種形態(tài)的高清網(wǎng)絡(luò)攝像機(jī)組成,在攝像機(jī)中引入可信密碼模塊,構(gòu)建可信網(wǎng)絡(luò)攝像機(jī),實(shí)現(xiàn)攝像機(jī)操作系統(tǒng)完整性保護(hù)、攝像機(jī)應(yīng)用軟件運(yùn)行控制、監(jiān)控業(yè)務(wù)信令完整性保護(hù)以及視頻數(shù)據(jù)加密功能,全面保障監(jiān)控前端設(shè)備的可信以及視頻采集安全。

        監(jiān)控管理服務(wù):后端管理平臺(tái)提供監(jiān)控管理服務(wù),在服務(wù)器端引入可信密碼模塊,對(duì)服務(wù)器進(jìn)行可信增強(qiáng),實(shí)現(xiàn)服務(wù)器操作系統(tǒng)和應(yīng)用軟件的完整性保護(hù)和運(yùn)行控制;在原有服務(wù)基礎(chǔ)上增加設(shè)備接入認(rèn)證以及監(jiān)控業(yè)務(wù)信令完整性保護(hù)功能,保證前端設(shè)備身份可信以及監(jiān)控業(yè)務(wù)信令來源合法。

        監(jiān)控應(yīng)用:在視頻展示客戶端引入可信密碼模塊,對(duì)客戶端進(jìn)行可信增強(qiáng),實(shí)現(xiàn)服務(wù)器操作系統(tǒng)和應(yīng)用軟件的完整性保護(hù)和運(yùn)行控制;基于可信密碼模塊提供的密碼服務(wù)實(shí)現(xiàn)加密視頻實(shí)時(shí)點(diǎn)播及回放。

        2.1設(shè)備可信運(yùn)行保障

        對(duì)網(wǎng)絡(luò)攝像機(jī)進(jìn)行可信改造,構(gòu)建可信網(wǎng)絡(luò)攝像機(jī)??尚啪W(wǎng)絡(luò)攝像機(jī)支持?jǐn)z像機(jī)可信啟動(dòng),實(shí)現(xiàn)從固件、操作系統(tǒng)到應(yīng)用程序的信任鏈傳遞,同時(shí)基于可信軟件棧提供的密碼服務(wù)接口,實(shí)現(xiàn)設(shè)備接入認(rèn)證、監(jiān)控業(yè)務(wù)信令完整性保護(hù)及視頻數(shù)據(jù)加密等功能,其軟件組成如圖3所示。

        可信Bootloader是在嵌入式Bootloader程序基礎(chǔ)上加入安全可信部件,存放在Flash只讀保護(hù)分區(qū),提供平臺(tái)可信服務(wù)和安全增強(qiáng)功能,它在系統(tǒng)上電啟動(dòng)過程中建立并傳遞信任鏈,對(duì)系統(tǒng)中的操作系統(tǒng)及關(guān)鍵文件進(jìn)行完整性度量驗(yàn)證,保證在操作系統(tǒng)獲得控制權(quán)之前,系統(tǒng)是完整可信的??尚跑浖每尚跑浖L峁┑拿艽a服務(wù)接口,對(duì)系統(tǒng)服務(wù)和應(yīng)用軟件進(jìn)行完整性度量,阻止未授權(quán)程序運(yùn)行。

        監(jiān)管服務(wù)器和監(jiān)控應(yīng)用客戶端設(shè)備通過插接可信密碼模塊,以及安裝可信軟件基[10],對(duì)操作系統(tǒng)實(shí)施安全增強(qiáng),阻止未授權(quán)程序運(yùn)行,防止病毒侵襲和黑客攻擊。

        2.2設(shè)備接入認(rèn)證及加密

        攝像機(jī)、監(jiān)控管理服務(wù)器和監(jiān)控應(yīng)用客戶端構(gòu)成了安全域。采用SM1 分組密碼算法對(duì)視頻進(jìn)行加密,攝像機(jī)(CM)和監(jiān)控管理服務(wù)器(CS)的可信密碼模塊中配置有證書及私鑰,基于證書設(shè)計(jì)協(xié)議實(shí)現(xiàn)密鑰交換,并實(shí)現(xiàn)攝像機(jī)與服務(wù)器之間的相互認(rèn)證。

        S1:為所有攝像機(jī)配置服務(wù)器證書。

        S2:攝像機(jī)通過握手認(rèn)證協(xié)議實(shí)現(xiàn)與服務(wù)器的認(rèn)證,同時(shí)產(chǎn)生會(huì)話密鑰。

        S2.1 CM發(fā)送消息m1到CS請(qǐng)求認(rèn)證。先用CM私鑰對(duì)其證書標(biāo)識(shí)ID簽名,將簽名值與證書標(biāo)識(shí)組成消息m1,Sign(CMs Kpriv, ID),再用CS的公鑰對(duì)m1加密,E (CSs Kpub, m1),E()是非對(duì)稱加密函數(shù),Sign()是簽名函數(shù),確保只有服務(wù)器才能解密該消息。

        S2.2 CS解密得到m1明文,獲取CM證書標(biāo)識(shí),向證書服務(wù)器提取CM證書,驗(yàn)證簽名,通過后向CM發(fā)送挑戰(zhàn)消息m2,m2由隨機(jī)數(shù)R組成,m2先用CS私鑰加密,再用CM公鑰加密,E(CM′s Kpub, E(CL′sKpriv , m2)),過程確保了信息保鮮性。endprint

        S2.3 CM解密m2,并將R+1組成消息m3,先用CM私鑰,再用CS公鑰對(duì)m3加密,E(CS′s KPUB, E(CM′s KPRIV , M3)),發(fā)送m3至CM。

        S2.4 CS解密m3,確認(rèn)是R增量,CM通過挑戰(zhàn)響應(yīng),生成消息m4,發(fā)送至CM。m4包括接收通知、會(huì)話密鑰(用于SM1加密)、會(huì)話時(shí)戳。自此,數(shù)據(jù)交換會(huì)話準(zhǔn)備完畢。

        S3:采用OFB 模式對(duì)數(shù)據(jù)加密,以防止相同數(shù)據(jù)產(chǎn)生相同密文。為保證視頻和信令數(shù)據(jù)的完整性,采用SM3 密碼雜湊算法,計(jì)算視頻幀或信令數(shù)據(jù)的雜湊值。雜湊值被附加在視頻流或信令數(shù)據(jù)上發(fā)送至服務(wù)器。

        3系統(tǒng)驗(yàn)證及安全性分析

        3.1驗(yàn)證系統(tǒng)組成

        基于通用視頻監(jiān)控系統(tǒng)構(gòu)建了如圖4所示的可信視頻監(jiān)控系統(tǒng)。其中,在高清網(wǎng)絡(luò)攝像機(jī)中嵌入U(xiǎn)SB接口可信密碼模塊,開發(fā)配套軟件形成可信高清網(wǎng)絡(luò)攝像機(jī);在監(jiān)控管理服務(wù)器上插入PCIE接口可信密碼模塊,部署可信軟件基,對(duì)操作系統(tǒng)進(jìn)行可信增強(qiáng);開發(fā)設(shè)備接入認(rèn)證和加解密軟件,按照視頻監(jiān)控國標(biāo)《GBT 28181公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》協(xié)議,按照2.2章節(jié)描述的交互流程,通過對(duì)協(xié)議中的擴(kuò)展字段進(jìn)行補(bǔ)充,加入了設(shè)備身份認(rèn)證和監(jiān)控業(yè)務(wù)信令完整性驗(yàn)證處理流程,實(shí)現(xiàn)終端設(shè)備接入認(rèn)證、信令數(shù)據(jù)完整性度量以及視頻數(shù)據(jù)加密傳輸;在監(jiān)控應(yīng)用展示平臺(tái),在計(jì)算機(jī)主板上插入PCIE接口可信密碼模塊,部署可信軟件基,對(duì)操作系統(tǒng)進(jìn)行可信增強(qiáng),按照上文描述的協(xié)議開發(fā)視頻加解密軟件,實(shí)現(xiàn)對(duì)視頻數(shù)據(jù)流的解密應(yīng)用。

        3.2系統(tǒng)性能分析

        國標(biāo)《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求(征求意見稿)》中對(duì)設(shè)備認(rèn)證和視頻加密性能進(jìn)行了規(guī)定,因此主要對(duì)這兩項(xiàng)指標(biāo)進(jìn)行分析:

        (1)接入認(rèn)證時(shí)間。設(shè)備接入認(rèn)證基于SIP協(xié)議實(shí)現(xiàn),故通過網(wǎng)絡(luò)抓包軟件Wireshark抓取監(jiān)控管理服務(wù)器與可信網(wǎng)絡(luò)攝像機(jī)之間的SIP包,記錄第一條數(shù)據(jù)包時(shí)間T1和接入成功數(shù)據(jù)包時(shí)間T2,則接入時(shí)間T=T1-T2。按照該方法重復(fù)100次,獲取平均時(shí)間。測(cè)試結(jié)果統(tǒng)計(jì)表明,單臺(tái)設(shè)備接入認(rèn)證時(shí)間為0.1s,符合設(shè)備身份雙向認(rèn)證時(shí)間延遲不超過400ms的規(guī)定。

        (2)視頻數(shù)據(jù)加密延遲時(shí)間。該項(xiàng)指標(biāo)主要測(cè)試因視頻數(shù)據(jù)加密帶來的延遲。測(cè)試方法是在視頻監(jiān)控客戶端上運(yùn)行計(jì)時(shí)軟件,將可信網(wǎng)絡(luò)攝像機(jī)和普通網(wǎng)絡(luò)攝像機(jī)分別對(duì)準(zhǔn)監(jiān)控客戶端計(jì)時(shí)軟件拍攝視頻,并在監(jiān)控客戶端顯示對(duì)應(yīng)視頻,通過截屏方式記錄拍攝時(shí)間和接收時(shí)間,對(duì)比加密和不加密兩種模式下的時(shí)間差,得到加密后的視頻延遲。按照該方法重復(fù)100次,獲取平均延遲時(shí)間。統(tǒng)計(jì)結(jié)果表明,視頻加密延遲為105ms,符合視頻加密帶來的延時(shí)不超過600ms的規(guī)定。

        3.3系統(tǒng)安全性分析

        針對(duì)表1中總結(jié)的安全威脅,分析可信視頻監(jiān)控系統(tǒng)的安全性。

        (1)弱訪問控制或弱認(rèn)證。構(gòu)建的安全架構(gòu)采用基于數(shù)字證書的相互認(rèn)證機(jī)制,確保非授權(quán)用戶無法接入監(jiān)控網(wǎng)絡(luò)。

        (2)傳輸層保護(hù)不充分。基于非對(duì)稱算法,采用握手協(xié)議協(xié)商生成傳輸加密密鑰;基于對(duì)稱算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密;基于雜湊算法對(duì)視頻和信令數(shù)據(jù)進(jìn)行完整性保護(hù),確保了傳輸層數(shù)據(jù)的機(jī)密性和完整性。

        (3)路徑遍歷、文件公開導(dǎo)致信息泄露、命令注入、緩沖區(qū)溢出等攻擊。在網(wǎng)絡(luò)攝像機(jī)設(shè)備中引入了可信計(jì)算技術(shù),構(gòu)建以可信密碼模塊和可信BootLoader為可信根,到操作系統(tǒng)、應(yīng)用軟件的信任鏈,阻止了未授權(quán)程序運(yùn)行,確保了系統(tǒng)中存在的漏洞不被惡意程序利用,提高了系統(tǒng)可用性。

        (4)拒絕服務(wù)攻擊(DoS)。采用基于數(shù)字證書的雙向認(rèn)證機(jī)制,非法的計(jì)算設(shè)備無法連接監(jiān)控管理服務(wù)器,減少了遭受DoS攻擊的可能性。

        (5)在固件升級(jí)時(shí)實(shí)施攻擊。在網(wǎng)絡(luò)攝像機(jī)中構(gòu)建了可信計(jì)算平臺(tái),由后臺(tái)的安全管理系統(tǒng)發(fā)送安全策略,在固件升級(jí)前檢查是否符合安全策略,從而保證固件不被攻擊。

        (6)通過攝像機(jī)鏡頭等光學(xué)接口,采用惡意圖片、屏幕泄露、隱寫術(shù)等方式注入惡意程序攻擊。由于對(duì)視頻監(jiān)控系統(tǒng)前端設(shè)備、監(jiān)控管理服務(wù)器以及監(jiān)控應(yīng)用客戶端均采用可信計(jì)算技術(shù)進(jìn)行安全增強(qiáng),可阻止惡意程序執(zhí)行,從而阻止該類攻擊。

        4結(jié)語

        針對(duì)視頻監(jiān)控系統(tǒng)面臨的安全威脅,設(shè)計(jì)了可信視頻監(jiān)控系統(tǒng)安全架構(gòu),在前端設(shè)備、監(jiān)控管理服務(wù)器以及監(jiān)控應(yīng)用客戶端中引入可信密碼模塊,實(shí)施可信安全增強(qiáng),提高了各計(jì)算設(shè)備的安全防護(hù)能力;設(shè)計(jì)了基于數(shù)字證書的雙向認(rèn)證協(xié)議,提高了訪問控制及認(rèn)證強(qiáng)度;通過在線協(xié)商密鑰的方式對(duì)傳輸?shù)囊曨l和信令數(shù)據(jù)進(jìn)行加密保護(hù),保證了數(shù)據(jù)傳輸?shù)陌踩浴O到y(tǒng)驗(yàn)證和分析結(jié)果表明,該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護(hù)能力。

        參考文獻(xiàn)參考文獻(xiàn):

        [1]WINKLER T, RIIMER B. Security and privacy protection in visual sensor networks: a survy[J]. ACM Computing Surveys, 2014,47(1):142.

        [2]MARASHDA K. Video Security assurance framework based on efficient joint cryptography compression approach[C]. Electronics, Circuits, and Systems (ICECS), 2013 IEEE 20th International Conference on, Abu Dhabi, 2013:7677.

        [3]LI YUSEN, QU PENG. The embedded intelligent network video surveillance system based on ARM and Linux[C]. 2016 IEEE International Conference on Mechatronics and Automation, Harbin, Heilongjiang, China, 2016:10541058.

        [4]COSTIN A. Security of CCTV and video surveillance systems: threats, vulnerabilities, attacks, and mitigations[C]. TrustED16, Vienna, Austria, 2016:4554.

        [5]OBERMAIER J, HUTLE M. Analyzing the security and privacy of cloudbased video surveillance systems[C]. IoTPTS16,2016:2228.

        [6]SERPANOS D, PAPLAMBROU A. Security and privacy in distributed smart camera[J]. Proceedings of the IEEE, 2008,96(10):16781687.

        [7]STUTZ T, UHL A. A survey of H.264 AVC/SVC encryption[J]. IEEE Transaction on Circuits and Systems for Video Technology, 2012,22(3):325339.

        [8]羅羽.視頻監(jiān)控系統(tǒng)中SIP協(xié)議安全性研究與實(shí)現(xiàn)[D].長沙:國防科學(xué)技術(shù)大學(xué),2010.

        [9]沈昌祥,張煥國,王懷民,等.可信計(jì)算的研究與發(fā)展[J].中國科學(xué):信息科學(xué),2010,40(2):139166.

        [10]孫瑜,王溢,洪宇,等.可信軟件基技術(shù)研究及應(yīng)用[J].信息安全研究,2017,3(4):316322.

        責(zé)任編輯(責(zé)任編輯:黃?。〆ndprint

        猜你喜歡
        視頻監(jiān)控系統(tǒng)
        論視頻偵查在犯罪預(yù)防方面的價(jià)值及優(yōu)化建議
        公安視頻監(jiān)控系統(tǒng)建設(shè)問題與改進(jìn)思路
        視頻監(jiān)控系統(tǒng)在電力調(diào)度中的應(yīng)用
        住宅小區(qū)視頻監(jiān)控系統(tǒng)的設(shè)計(jì)
        一種基于ARM處理器的視頻監(jiān)控系統(tǒng)關(guān)鍵技術(shù)的實(shí)現(xiàn)
        視頻監(jiān)控系統(tǒng)在煤礦中的應(yīng)用
        某凈水廠的生產(chǎn)工藝及設(shè)施、設(shè)備
        對(duì)視頻監(jiān)控系統(tǒng)維護(hù)工作問題研究
        科技傳播(2016年4期)2016-03-25 00:21:05
        視頻監(jiān)控系統(tǒng)在多校區(qū)高校安全保衛(wèi)中的應(yīng)用
        淺析視頻監(jiān)控系統(tǒng)的雷電防護(hù)
        科技資訊(2015年20期)2015-10-15 19:18:19
        欧美在线观看一区二区| 国产精品无码素人福利| 日韩一级137片内射视频播放| 日本中文字幕乱码中文乱码| 亚洲成a∨人片在线观看无码| 亚洲精品成人片在线观看精品字幕| 亚洲av男人的天堂在线观看| 国产精品综合久久久久久久免费| 白嫩少妇在线喷水18禁| av无码精品一区二区三区| 久久久久亚洲av成人网人人网站| 午夜成人精品福利网站在线观看| 狠狠噜天天噜日日噜| 亚洲在线一区二区三区四区| 国产成人av一区二区三| 欧美性色欧美a在线播放| 亚洲男人的天堂网站| 亚洲红怡院| 少妇激情一区二区三区| 久久久久高潮综合影院| 人人狠狠综合久久亚洲| 亚洲女同成av人片在线观看| 国产在线拍91揄自揄视精品91| 中文字日产幕码三区做法| 国模冰莲自慰肥美胞极品人体图| 精品无码久久久久成人漫画| 亚洲av无码一区二区二三区下载| 中文精品久久久久中文| 国产精品黄色av网站| 红桃av一区二区三区在线无码av | 青草内射中出高潮| 96精品在线| 国产成人美涵人妖视频在线观看 | 内射精品无码中文字幕| 高潮社区51视频在线观看| 亚洲精品在线视频一区二区| 国产人妻精品无码av在线| 久久99精品久久久久久齐齐百度| av网址大全在线播放| 免费久久99精品国产| 国产精品久久一区二区三区|