羅云鋒++丁涵++許慶光

摘要：視頻監(jiān)控系統(tǒng)面臨著一系列安全問題，頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件?；诳尚庞嬎慵夹g(shù)，設(shè)計了可信視頻監(jiān)控系統(tǒng)安全架構(gòu)。該架構(gòu)對系統(tǒng)中的計算設(shè)備實施可信安全增強，設(shè)計了基于數(shù)字證書的雙向認證協(xié)議，對傳輸?shù)囊曨l和信令數(shù)據(jù)進行加密保護。系統(tǒng)驗證和分析結(jié)果表明，該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護能力。

關(guān)鍵詞：視頻監(jiān)控系統(tǒng)；可信計算；安全架構(gòu)

DOIDOI：10.11907/rjdk.172657

中圖分類號：TP319文獻標識碼：A文章編號：16727800（2017）010013504

0引言

隨著視頻監(jiān)控系統(tǒng)逐漸實現(xiàn)網(wǎng)絡化和數(shù)字化，視頻監(jiān)控系統(tǒng)面臨著一系列安全問題，頻頻出現(xiàn)視頻監(jiān)控假冒、竊取和非法控制事件[12]。2014年12月，黑客通過攝像機軟件漏洞侵入格魯吉亞輸油管道監(jiān)控系統(tǒng)，關(guān)閉警報、切斷通信，給管道原油大幅增壓，造成輸油管道爆炸；2015年2月，“海康威視事件”爆發(fā)，部分監(jiān)視設(shè)備被遠程控制，黑客可利用系統(tǒng)漏洞與設(shè)備缺陷，遠程管理權(quán)限、竊取監(jiān)控數(shù)據(jù)、篡改控制參數(shù)，實施信息竊密及對系統(tǒng)的反向控制。因此，需要針對視頻監(jiān)控系統(tǒng)的特征與安全威脅設(shè)計安全防護機制，以確保視頻監(jiān)控系統(tǒng)安全可信運行。

1視頻監(jiān)控系統(tǒng)安全威脅

視頻監(jiān)控系統(tǒng)通常由前端設(shè)備、傳輸網(wǎng)絡、遠程管理監(jiān)控軟件平臺3部分組成，如圖1所示。

圖1視頻監(jiān)控系統(tǒng)結(jié)構(gòu)

前端設(shè)備主要面臨替換接入、設(shè)備漏洞和協(xié)議攻擊等安全威脅。由于不具備唯一身份標識，設(shè)備容易被替換；由于存在弱口令保護、遠程登錄端口、系統(tǒng)潛在漏洞等風險，容易被攻破并植入惡意代碼[3]；通過仿造與軟件平臺的通信協(xié)議，能夠模擬采集設(shè)備接入到整個監(jiān)控網(wǎng)，對監(jiān)控網(wǎng)內(nèi)的其它設(shè)備或主機進行攻擊。在傳輸網(wǎng)絡層，傳輸?shù)囊曨l數(shù)據(jù)采用標準化編碼并以明文方式傳輸，導致視頻數(shù)據(jù)和協(xié)議很容易被竊取和篡改。在軟件平臺中，其用戶身份認證和權(quán)限管理機制簡單，如采用基于用戶名和口令的認證機制，面臨通過修改用戶權(quán)限，非法遠程控制和操作前端監(jiān)控設(shè)備的風險。

從視頻監(jiān)控系統(tǒng)攻擊和防護角度，其面臨的安全威脅可從攻擊種類、攻擊途徑、攻擊類型、攻擊者類型、影響部件、防護手段等方面描述[45]，如表1所示。

可信計算是一種運算和防護并存的主動免疫計算模式[9]，具有身份認證、可信控制、信息加密等功能。它以密碼為基礎(chǔ)，建立以可信密碼模塊為信任根的完整信任鏈，提供安全可信的計算環(huán)境。可信計算為視頻監(jiān)控系統(tǒng)提出了一種新型的主動防護思路，針對視頻監(jiān)控領(lǐng)域面臨的安全威脅，對視頻監(jiān)控系統(tǒng)進行改造，構(gòu)建可信視頻監(jiān)控系統(tǒng)，從系統(tǒng)層面保障視頻數(shù)據(jù)在采集、傳輸、存儲、查看等各個環(huán)節(jié)的安全。

2可信視頻監(jiān)控系統(tǒng)架構(gòu)

可信視頻監(jiān)控系統(tǒng)在通用視頻監(jiān)控業(yè)務平臺的基礎(chǔ)上引入可信計算和密碼技術(shù)，分別從視頻監(jiān)控前端設(shè)備、監(jiān)控管理服務和監(jiān)控應用3部分實現(xiàn)設(shè)備接入認證、系統(tǒng)可信運行、視頻數(shù)據(jù)加密和監(jiān)控業(yè)務信令完整性保護等安全機制，如圖2所示。

視頻監(jiān)控前端：前端主要由多種形態(tài)的高清網(wǎng)絡攝像機組成，在攝像機中引入可信密碼模塊，構(gòu)建可信網(wǎng)絡攝像機，實現(xiàn)攝像機操作系統(tǒng)完整性保護、攝像機應用軟件運行控制、監(jiān)控業(yè)務信令完整性保護以及視頻數(shù)據(jù)加密功能，全面保障監(jiān)控前端設(shè)備的可信以及視頻采集安全。

監(jiān)控管理服務：后端管理平臺提供監(jiān)控管理服務，在服務器端引入可信密碼模塊，對服務器進行可信增強，實現(xiàn)服務器操作系統(tǒng)和應用軟件的完整性保護和運行控制；在原有服務基礎(chǔ)上增加設(shè)備接入認證以及監(jiān)控業(yè)務信令完整性保護功能，保證前端設(shè)備身份可信以及監(jiān)控業(yè)務信令來源合法。

監(jiān)控應用：在視頻展示客戶端引入可信密碼模塊，對客戶端進行可信增強，實現(xiàn)服務器操作系統(tǒng)和應用軟件的完整性保護和運行控制；基于可信密碼模塊提供的密碼服務實現(xiàn)加密視頻實時點播及回放。

2.1設(shè)備可信運行保障

對網(wǎng)絡攝像機進行可信改造，構(gòu)建可信網(wǎng)絡攝像機。可信網(wǎng)絡攝像機支持攝像機可信啟動，實現(xiàn)從固件、操作系統(tǒng)到應用程序的信任鏈傳遞，同時基于可信軟件棧提供的密碼服務接口，實現(xiàn)設(shè)備接入認證、監(jiān)控業(yè)務信令完整性保護及視頻數(shù)據(jù)加密等功能，其軟件組成如圖3所示。

可信Bootloader是在嵌入式Bootloader程序基礎(chǔ)上加入安全可信部件，存放在Flash只讀保護分區(qū)，提供平臺可信服務和安全增強功能，它在系統(tǒng)上電啟動過程中建立并傳遞信任鏈，對系統(tǒng)中的操作系統(tǒng)及關(guān)鍵文件進行完整性度量驗證，保證在操作系統(tǒng)獲得控制權(quán)之前，系統(tǒng)是完整可信的?？尚跑浖每尚跑浖Ｌ峁┑拿艽a服務接口，對系統(tǒng)服務和應用軟件進行完整性度量，阻止未授權(quán)程序運行。

監(jiān)管服務器和監(jiān)控應用客戶端設(shè)備通過插接可信密碼模塊，以及安裝可信軟件基[10]，對操作系統(tǒng)實施安全增強，阻止未授權(quán)程序運行，防止病毒侵襲和黑客攻擊。

2.2設(shè)備接入認證及加密

攝像機、監(jiān)控管理服務器和監(jiān)控應用客戶端構(gòu)成了安全域。采用SM1 分組密碼算法對視頻進行加密，攝像機（CM）和監(jiān)控管理服務器（CS）的可信密碼模塊中配置有證書及私鑰，基于證書設(shè)計協(xié)議實現(xiàn)密鑰交換，并實現(xiàn)攝像機與服務器之間的相互認證。

S1：為所有攝像機配置服務器證書。

S2：攝像機通過握手認證協(xié)議實現(xiàn)與服務器的認證，同時產(chǎn)生會話密鑰。

S2.1 CM發(fā)送消息m1到CS請求認證。先用CM私鑰對其證書標識ID簽名，將簽名值與證書標識組成消息m1，Sign（CMs Kpriv， ID），再用CS的公鑰對m1加密，E （CSs Kpub， m1），E（）是非對稱加密函數(shù)，Sign（）是簽名函數(shù)，確保只有服務器才能解密該消息。

S2.2 CS解密得到m1明文，獲取CM證書標識，向證書服務器提取CM證書，驗證簽名，通過后向CM發(fā)送挑戰(zhàn)消息m2，m2由隨機數(shù)R組成，m2先用CS私鑰加密，再用CM公鑰加密，E（CM′s Kpub， E（CL′sKpriv ， m2）），過程確保了信息保鮮性。endprint

S2.3 CM解密m2，并將R+1組成消息m3，先用CM私鑰，再用CS公鑰對m3加密，E（CS′s KPUB， E（CM′s KPRIV ， M3）），發(fā)送m3至CM。

S2.4 CS解密m3，確認是R增量，CM通過挑戰(zhàn)響應，生成消息m4，發(fā)送至CM。m4包括接收通知、會話密鑰（用于SM1加密）、會話時戳。自此，數(shù)據(jù)交換會話準備完畢。

S3：采用OFB 模式對數(shù)據(jù)加密，以防止相同數(shù)據(jù)產(chǎn)生相同密文。為保證視頻和信令數(shù)據(jù)的完整性，采用SM3 密碼雜湊算法，計算視頻幀或信令數(shù)據(jù)的雜湊值。雜湊值被附加在視頻流或信令數(shù)據(jù)上發(fā)送至服務器。

3系統(tǒng)驗證及安全性分析

3.1驗證系統(tǒng)組成

基于通用視頻監(jiān)控系統(tǒng)構(gòu)建了如圖4所示的可信視頻監(jiān)控系統(tǒng)。其中，在高清網(wǎng)絡攝像機中嵌入USB接口可信密碼模塊，開發(fā)配套軟件形成可信高清網(wǎng)絡攝像機；在監(jiān)控管理服務器上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統(tǒng)進行可信增強；開發(fā)設(shè)備接入認證和加解密軟件，按照視頻監(jiān)控國標《GBT 28181公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》協(xié)議，按照2.2章節(jié)描述的交互流程，通過對協(xié)議中的擴展字段進行補充，加入了設(shè)備身份認證和監(jiān)控業(yè)務信令完整性驗證處理流程，實現(xiàn)終端設(shè)備接入認證、信令數(shù)據(jù)完整性度量以及視頻數(shù)據(jù)加密傳輸；在監(jiān)控應用展示平臺，在計算機主板上插入PCIE接口可信密碼模塊，部署可信軟件基，對操作系統(tǒng)進行可信增強，按照上文描述的協(xié)議開發(fā)視頻加解密軟件，實現(xiàn)對視頻數(shù)據(jù)流的解密應用。

3.2系統(tǒng)性能分析

國標《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求（征求意見稿）》中對設(shè)備認證和視頻加密性能進行了規(guī)定，因此主要對這兩項指標進行分析：

（1）接入認證時間。設(shè)備接入認證基于SIP協(xié)議實現(xiàn)，故通過網(wǎng)絡抓包軟件Wireshark抓取監(jiān)控管理服務器與可信網(wǎng)絡攝像機之間的SIP包，記錄第一條數(shù)據(jù)包時間T1和接入成功數(shù)據(jù)包時間T2，則接入時間T=T1-T2。按照該方法重復100次，獲取平均時間。測試結(jié)果統(tǒng)計表明，單臺設(shè)備接入認證時間為0.1s，符合設(shè)備身份雙向認證時間延遲不超過400ms的規(guī)定。

（2）視頻數(shù)據(jù)加密延遲時間。該項指標主要測試因視頻數(shù)據(jù)加密帶來的延遲。測試方法是在視頻監(jiān)控客戶端上運行計時軟件，將可信網(wǎng)絡攝像機和普通網(wǎng)絡攝像機分別對準監(jiān)控客戶端計時軟件拍攝視頻，并在監(jiān)控客戶端顯示對應視頻，通過截屏方式記錄拍攝時間和接收時間，對比加密和不加密兩種模式下的時間差，得到加密后的視頻延遲。按照該方法重復100次，獲取平均延遲時間。統(tǒng)計結(jié)果表明，視頻加密延遲為105ms，符合視頻加密帶來的延時不超過600ms的規(guī)定。

3.3系統(tǒng)安全性分析

針對表1中總結(jié)的安全威脅，分析可信視頻監(jiān)控系統(tǒng)的安全性。

（1）弱訪問控制或弱認證。構(gòu)建的安全架構(gòu)采用基于數(shù)字證書的相互認證機制，確保非授權(quán)用戶無法接入監(jiān)控網(wǎng)絡。

（2）傳輸層保護不充分。基于非對稱算法，采用握手協(xié)議協(xié)商生成傳輸加密密鑰；基于對稱算法對傳輸?shù)臄?shù)據(jù)進行加密；基于雜湊算法對視頻和信令數(shù)據(jù)進行完整性保護，確保了傳輸層數(shù)據(jù)的機密性和完整性。

（3）路徑遍歷、文件公開導致信息泄露、命令注入、緩沖區(qū)溢出等攻擊。在網(wǎng)絡攝像機設(shè)備中引入了可信計算技術(shù)，構(gòu)建以可信密碼模塊和可信BootLoader為可信根，到操作系統(tǒng)、應用軟件的信任鏈，阻止了未授權(quán)程序運行，確保了系統(tǒng)中存在的漏洞不被惡意程序利用，提高了系統(tǒng)可用性。

（4）拒絕服務攻擊（DoS）。采用基于數(shù)字證書的雙向認證機制，非法的計算設(shè)備無法連接監(jiān)控管理服務器，減少了遭受DoS攻擊的可能性。

（5）在固件升級時實施攻擊。在網(wǎng)絡攝像機中構(gòu)建了可信計算平臺，由后臺的安全管理系統(tǒng)發(fā)送安全策略，在固件升級前檢查是否符合安全策略，從而保證固件不被攻擊。

（6）通過攝像機鏡頭等光學接口，采用惡意圖片、屏幕泄露、隱寫術(shù)等方式注入惡意程序攻擊。由于對視頻監(jiān)控系統(tǒng)前端設(shè)備、監(jiān)控管理服務器以及監(jiān)控應用客戶端均采用可信計算技術(shù)進行安全增強，可阻止惡意程序執(zhí)行，從而阻止該類攻擊。

4結(jié)語

針對視頻監(jiān)控系統(tǒng)面臨的安全威脅，設(shè)計了可信視頻監(jiān)控系統(tǒng)安全架構(gòu)，在前端設(shè)備、監(jiān)控管理服務器以及監(jiān)控應用客戶端中引入可信密碼模塊，實施可信安全增強，提高了各計算設(shè)備的安全防護能力；設(shè)計了基于數(shù)字證書的雙向認證協(xié)議，提高了訪問控制及認證強度；通過在線協(xié)商密鑰的方式對傳輸?shù)囊曨l和信令數(shù)據(jù)進行加密保護，保證了數(shù)據(jù)傳輸?shù)陌踩?。系統(tǒng)驗證和分析結(jié)果表明，該架構(gòu)有效提高了視頻監(jiān)控系統(tǒng)的安全防護能力。

參考文獻參考文獻：

[1]WINKLER T， RIIMER B. Security and privacy protection in visual sensor networks： a survy[J]. ACM Computing Surveys， 2014，47（1）：142.

[2]MARASHDA K. Video Security assurance framework based on efficient joint cryptography compression approach[C]. Electronics， Circuits， and Systems （ICECS）， 2013 IEEE 20th International Conference on， Abu Dhabi， 2013：7677.

[3]LI YUSEN， QU PENG. The embedded intelligent network video surveillance system based on ARM and Linux[C]. 2016 IEEE International Conference on Mechatronics and Automation， Harbin， Heilongjiang， China， 2016：10541058.

[4]COSTIN A. Security of CCTV and video surveillance systems： threats， vulnerabilities， attacks， and mitigations[C]. TrustED16， Vienna， Austria， 2016：4554.

[5]OBERMAIER J， HUTLE M. Analyzing the security and privacy of cloudbased video surveillance systems[C]. IoTPTS16，2016：2228.

[6]SERPANOS D， PAPLAMBROU A. Security and privacy in distributed smart camera[J]. Proceedings of the IEEE， 2008，96（10）：16781687.

[7]STUTZ T， UHL A. A survey of H.264 AVC/SVC encryption[J]. IEEE Transaction on Circuits and Systems for Video Technology， 2012，22（3）：325339.

[8]羅羽.視頻監(jiān)控系統(tǒng)中SIP協(xié)議安全性研究與實現(xiàn)[D].長沙：國防科學技術(shù)大學，2010.

[9]沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學：信息科學，2010，40（2）：139166.

[10]孫瑜，王溢，洪宇，等.可信軟件基技術(shù)研究及應用[J].信息安全研究，2017，3（4）：316322.

責任編輯（責任編輯：黃?。〆ndprint