王 嘯，許珮瑩

(北京工業(yè)大學(xué)，北京 100124)

0 引言

在當(dāng)前倡導(dǎo)“萬(wàn)物互聯(lián)”的時(shí)代，物聯(lián)網(wǎng)技術(shù)越來(lái)越多地應(yīng)用到人們的日常生活中，物聯(lián)網(wǎng)安全也逐漸被大家重視起來(lái)。攝像頭有應(yīng)用范圍廣，數(shù)據(jù)保密性、完整性要求高等特點(diǎn)，是最值得關(guān)注的物聯(lián)網(wǎng)應(yīng)用之一。因此，本文以普通攝像頭為例，基于可信計(jì)算技術(shù)，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于可信密碼模塊(Trusted Cryptography Module，TCM)的可信攝像頭。

1 可信攝像頭概述

1.1 背景分析

當(dāng)下，隨著相應(yīng)硬件成本的逐步降低，視頻監(jiān)控系統(tǒng)得到越來(lái)越多的應(yīng)用：交通狀況檢測(cè)、室內(nèi)安全監(jiān)控、流水線狀況監(jiān)控、智能家庭攝像頭等。而在整個(gè)視頻監(jiān)控市場(chǎng)中，智能家庭攝像頭的增長(zhǎng)速率最為迅速。根據(jù)IHS Markit 2017年做出的預(yù)測(cè)，2017～2022年全球視頻監(jiān)控市場(chǎng)復(fù)合增長(zhǎng)率將達(dá)到7.5%，2018年網(wǎng)絡(luò)攝像機(jī)出貨量的增長(zhǎng)速度預(yù)計(jì)將超過(guò)30%[1]?？梢?jiàn)，基于互聯(lián)網(wǎng)的智能家庭攝像頭是視頻監(jiān)控行業(yè)發(fā)展的一大趨勢(shì)。

但是同時(shí)，基于網(wǎng)絡(luò)的視頻監(jiān)控系統(tǒng)也是不法分子盜取信息的主要途徑之一。目前的互聯(lián)網(wǎng)攝像頭存在諸多的安全隱患，黑客很容易通過(guò)未加密或密鑰較簡(jiǎn)單的連接入侵家庭攝像頭，查看家中的情況，對(duì)隱私構(gòu)成了極大威脅。

基于上述現(xiàn)實(shí)情況，本文考慮利用可信計(jì)算技術(shù)保護(hù)家用攝像頭，在硬件層面最小化監(jiān)控視頻泄露的風(fēng)險(xiǎn)。目前可信計(jì)算在物聯(lián)網(wǎng)方面的實(shí)際應(yīng)用幾乎為空白，國(guó)內(nèi)外有許多關(guān)于視頻監(jiān)控系統(tǒng)隱私及信息保護(hù)方面的研究論文，但基本都是針對(duì)圖像處理、信號(hào)加密及人臉識(shí)別等方式進(jìn)行公共區(qū)域視頻監(jiān)控的加密處理，關(guān)于智能家居中所使用的監(jiān)控?cái)z像頭的數(shù)據(jù)盜取問(wèn)題，相關(guān)研究少之又少。調(diào)查與研究表明，應(yīng)用可信計(jì)算技術(shù)，勢(shì)必會(huì)有效增強(qiáng)智能攝像頭的安全性，并可以由此推至大型監(jiān)控系統(tǒng)的安全保護(hù)中，有著重要的現(xiàn)實(shí)意義。

1.2 問(wèn)題的提出和解決思路

目前市面流行的智能攝像頭多由傳統(tǒng)的工業(yè)安防攝像頭演變而來(lái)，但是脫離了工業(yè)安防攝像頭原有的封閉網(wǎng)絡(luò)環(huán)境，應(yīng)用在家庭生活中，使得智能攝像頭面臨更多的來(lái)自網(wǎng)絡(luò)的安全威脅[2]。智能攝像頭主要存在如下的安全隱患：

(1)未對(duì)啟動(dòng)程序進(jìn)行保護(hù)，不能保證在設(shè)備啟動(dòng)和初始化時(shí)是安全狀態(tài)，源頭可信無(wú)法保障。

(2)在開(kāi)放的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)傳輸安全很難得到保障，雖然目前大多數(shù)智能攝像頭有一定的數(shù)據(jù)加密方式，但是大多使用的是弱口令加密或HTTPS協(xié)議對(duì)請(qǐng)求控制內(nèi)容進(jìn)行傳輸加密，加密防線極易被攻破，造成用戶隱私泄露。

(3)大多數(shù)智能攝像頭不但安全防御能力薄弱，甚至無(wú)法在被攻擊時(shí)及時(shí)發(fā)現(xiàn)并采取有效措施。因此無(wú)法及時(shí)阻止損失，造成了大量后續(xù)隱患。

本文攝像頭的總體設(shè)計(jì)思路是：用可信支撐安全，用安全支撐應(yīng)用[3]，基于TCM可信密碼機(jī)制自底向上來(lái)保障系統(tǒng)各節(jié)點(diǎn)運(yùn)行的安全。針對(duì)上述主要安全隱患，提出的解決思路是：

(1)在系統(tǒng)啟動(dòng)前通過(guò)底層可信根，逐層度量形成可信鏈，將信任層層擴(kuò)展到整個(gè)系統(tǒng)，保障系統(tǒng)初始化的安全狀態(tài)[4]。

(2)通過(guò)可信密碼機(jī)制和可信鏈，采用安全的密鑰交換和管理策略，提供策略的可信管理和可信協(xié)同，對(duì)傳輸數(shù)據(jù)進(jìn)行流加密，確保數(shù)據(jù)安全。

(3)采用節(jié)點(diǎn)的可信度量，使系統(tǒng)能夠在整個(gè)使用周期進(jìn)行可信監(jiān)控，及時(shí)發(fā)現(xiàn)攻擊行為并響應(yīng)、立即采取措施。

基于上述的框架設(shè)計(jì)思路，本文提出了基于TCM的可信攝像頭的概念，這一概念主要是利用TCM可信密碼機(jī)制，在CUBE架構(gòu)的基礎(chǔ)上，依托Linux環(huán)境，實(shí)現(xiàn)安全可信的攝像頭嵌入式系統(tǒng)。

2 可信攝像頭的設(shè)計(jì)與實(shí)現(xiàn)

2.1 應(yīng)用場(chǎng)景設(shè)計(jì)

通過(guò)在攝像頭系統(tǒng)中部署TCM模塊和可信安全機(jī)制，使攝像頭系統(tǒng)具備可信防護(hù)功能，提高攝像頭系統(tǒng)的安全性。在具體設(shè)計(jì)實(shí)現(xiàn)過(guò)程中，對(duì)物聯(lián)網(wǎng)原有的分布式監(jiān)控系統(tǒng)進(jìn)行了簡(jiǎn)化，在滿足攝像頭系統(tǒng)基本應(yīng)用要求的前提下，采用點(diǎn)對(duì)點(diǎn)，即一個(gè)客戶端對(duì)應(yīng)一個(gè)攝像頭的方式進(jìn)行設(shè)計(jì)實(shí)現(xiàn)[5]。應(yīng)用場(chǎng)景概念設(shè)計(jì)如圖1所示。

圖1 應(yīng)用場(chǎng)景概念圖

在該場(chǎng)景下，攝像頭實(shí)現(xiàn)感知外部環(huán)境(即獲取視頻)與處理視頻文件的功能；客戶端實(shí)現(xiàn)獲取視頻文件和觀看視頻的功能。攝像頭和客戶端都部署了TCM芯片[6](本設(shè)計(jì)中應(yīng)用TCM模擬器實(shí)現(xiàn))。

在攝像頭系統(tǒng)初始化階段，首先對(duì)未啟動(dòng)的視頻處理程序OpenCV[7]進(jìn)行可信度量，當(dāng)度量結(jié)果驗(yàn)證成功，即證明程序未遭到篡改后，啟動(dòng)OpenCV程序，捕獲外部視頻。攝像頭獲取到的視頻將生成一個(gè)視頻幀數(shù)據(jù)文件，存儲(chǔ)在本地。當(dāng)客戶端的用戶完成了用戶身份注冊(cè)，并成功登錄后，客戶端生成TCM密鑰對(duì)，并將公鑰發(fā)送給攝像頭，在攝像頭端的TCM中進(jìn)行存儲(chǔ)管理。當(dāng)客戶端向攝像頭發(fā)出獲取視頻的請(qǐng)求時(shí)，攝像頭端會(huì)對(duì)客戶端用戶進(jìn)行身份認(rèn)證，驗(yàn)證通過(guò)后，用客戶端發(fā)送來(lái)的公鑰對(duì)文件進(jìn)行加密，之后再發(fā)送給對(duì)應(yīng)的客戶端?？蛻舳耸盏郊用艿奈募螅米约旱乃借€解密，就可以觀看視頻或?qū)σ曨l進(jìn)行其他操作。

2.2 需求分析

針對(duì)以上應(yīng)用場(chǎng)景，分析其中的安全功能需求后，得到如下所述的應(yīng)用安全需求：

(1)確保攝像頭安全。由于感知端節(jié)點(diǎn)資源有限，但其環(huán)境和執(zhí)行程序相對(duì)固定，因此適宜采取類似白名單機(jī)制這種不太復(fù)雜的機(jī)制進(jìn)行保護(hù)。

(2)確保攝像頭的視頻處理程序在初始化時(shí)必須是安全、未被篡改的，否則應(yīng)在啟動(dòng)時(shí)就采取安全防護(hù)措施，如對(duì)用戶提出警告信息、終止運(yùn)行等。

(3)成功登錄的已注冊(cè)用戶不一定是合法的用戶，不排除身份盜用的可能，因此在用戶向攝像頭發(fā)出請(qǐng)求后，攝像頭還應(yīng)該再次對(duì)用戶身份進(jìn)行認(rèn)證，確認(rèn)用戶身份的合法性。

(4)視頻在攝像頭到客戶端的傳輸過(guò)程是不安全的，會(huì)暴露在一個(gè)公開(kāi)的環(huán)境中，有被竊聽(tīng)或篡改的威脅，需要使用密碼機(jī)制對(duì)其進(jìn)行加密保護(hù)，這樣即使攻擊者截獲了加密文件，也無(wú)法獲取其中的信息。

(5)由于全系統(tǒng)除了涉及軟件層面的加密，還涉及硬件層面的加密，因此對(duì)于加密算法的加密速度、復(fù)雜度都有更高的要求。所以本設(shè)計(jì)中采用了性能優(yōu)秀的國(guó)密算法作為加密算法[8]。

2.3 安全模型

在總體架構(gòu)設(shè)計(jì)上，本設(shè)計(jì)采取橫縱分層的方式，其解讀如下：橫向基于真實(shí)流程來(lái)劃分，包括攝像頭、傳輸協(xié)議以及客戶端，映射了感知端、傳輸端以及應(yīng)用端，描述了物聯(lián)網(wǎng)的通用過(guò)程；縱向分為應(yīng)用層、平臺(tái)可信層與TCM層，其中TCM層是可信的根源，是保障攝像頭系統(tǒng)可信的核心[9]。總體設(shè)計(jì)框架如圖2所示。

圖2 總體框架圖

2.3.1 縱向框架設(shè)計(jì)

縱向框架基于三層，分別為T(mén)CM層、平臺(tái)可信層以及應(yīng)用層。

TCM層是可信的根源，在攝像頭端和客戶端分別部署TCM芯片(本設(shè)計(jì)使用TCM模擬器模擬)，保證其從根源達(dá)到可信，并在TCM內(nèi)部對(duì)密鑰進(jìn)行存儲(chǔ)和管理，實(shí)現(xiàn)密鑰交換和雙向身份認(rèn)證功能，保證點(diǎn)對(duì)點(diǎn)傳輸過(guò)程中的安全、可信。

平臺(tái)可信層使用了Linux系統(tǒng)，并在其中部署了平臺(tái)完整性認(rèn)證機(jī)制，攝像頭啟動(dòng)時(shí)對(duì)于開(kāi)啟攝像頭的軟件OpenCV及各種策略進(jìn)行度量，并將度量結(jié)果與存儲(chǔ)在本地的基準(zhǔn)值庫(kù)中的度量值進(jìn)行比較，判斷該程序是否遭到篡改以及可信鏈?zhǔn)欠裨獾狡茐摹?/p>

應(yīng)用層的主要功能是將攝像頭采集到的周圍環(huán)境的影像進(jìn)行壓縮、加密，并根據(jù)客戶的需求將視頻文件傳輸給客戶端?？蛻舳私邮找曨l后傳給平臺(tái)可信層，根據(jù)TCM中存儲(chǔ)的密鑰進(jìn)行解密解壓，之后傳回客戶端，用戶可以對(duì)其觀看或進(jìn)行其他操作。

2.3.2 橫向框架設(shè)計(jì)

橫向框架基于三層，分別為攝像頭、傳輸協(xié)議以及客戶端。

攝像頭感知外界環(huán)境，采集影像并存儲(chǔ)。因?yàn)楦兄斯?jié)點(diǎn)資源有限，所以不適宜采取復(fù)雜的保護(hù)機(jī)制；但感知端節(jié)點(diǎn)環(huán)境和執(zhí)行程序相對(duì)固定，因此適宜采取白名單機(jī)制進(jìn)行保護(hù)。

傳輸協(xié)議實(shí)現(xiàn)了攝像頭與客戶端之間的交互，基于傳輸協(xié)議，實(shí)現(xiàn)視頻文件的傳輸、平臺(tái)完整性認(rèn)證、雙向身份認(rèn)證和密鑰交換等功能。

客戶端是最后觀看視頻或?qū)σ曨l進(jìn)行操作的區(qū)域。監(jiān)控系統(tǒng)都應(yīng)具有一個(gè)或多個(gè)可以觀看視頻并且操作視頻(查、刪、存等)的客戶端?？蛻舳丝梢允菓?yīng)用程序、網(wǎng)頁(yè)或手機(jī)應(yīng)用程序等，本設(shè)計(jì)采用了易于實(shí)現(xiàn)的網(wǎng)頁(yè)界面來(lái)模擬客戶端。

2.4 核心安全機(jī)制設(shè)計(jì)

在初始化階段，攝像頭系統(tǒng)捕獲即將啟動(dòng)的視頻處理程序，對(duì)其進(jìn)行靜態(tài)的可信度量，并將度量值與視頻處理程序的基準(zhǔn)值進(jìn)行比較。若度量值與基準(zhǔn)值一致，則程序?qū)⒄?dòng)運(yùn)行；否則，系統(tǒng)發(fā)出警告信息，提示用戶該程序存在風(fēng)險(xiǎn)。可信度量機(jī)制驗(yàn)證了應(yīng)用程序初始化時(shí)的安全性，能夠及時(shí)攔截被篡改的程序，實(shí)現(xiàn)系統(tǒng)的主動(dòng)免疫功能。

客戶端在向攝像頭端發(fā)送獲取視頻數(shù)據(jù)的請(qǐng)求前需要先在服務(wù)器端進(jìn)行注冊(cè)并完成登錄。

客戶端在完成新用戶注冊(cè)的同時(shí)，會(huì)通過(guò)可信第三方為該合法用戶生成唯一的用戶身份密鑰(Platform Identity Key，PIK)以及PIK證書(shū)，供用戶進(jìn)行身份認(rèn)證使用。

客戶端在TCM中生成TCM密鑰對(duì)，并將自己的公鑰發(fā)送至攝像頭端進(jìn)行存儲(chǔ)和管理。

在客戶端的用戶完成登錄后，客戶端將該用戶的PIK公鑰及證書(shū)發(fā)送至攝像頭端，攝像頭端通過(guò)驗(yàn)證PIK及證書(shū)實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證，確保客戶端用戶身份的合法性。用戶身份認(rèn)證完成后，攝像頭端使用發(fā)出請(qǐng)求的客戶端的TCM公鑰對(duì)視頻處理程序生成的視頻文件采用SM4算法進(jìn)行加密，再將加密后的視頻文件發(fā)送給客戶端。客戶端用TCM中存儲(chǔ)的私鑰對(duì)視頻數(shù)據(jù)進(jìn)行解密，即可觀看視頻。

2.4.1 可信度量

本設(shè)計(jì)使用OpenCV對(duì)視頻文件進(jìn)行捕獲，為保證其安全可信，使用可信度量機(jī)制。

在可信的環(huán)境下對(duì)OpenCV的可執(zhí)行程序及各種策略、文件進(jìn)行度量，借助TCM中的SM3算法計(jì)算此可執(zhí)行程序和各種策略、文件的摘要值，并作為基準(zhǔn)值將其儲(chǔ)存在本地，形成白名單。計(jì)算此白名單的摘要值，并將其寫(xiě)入平臺(tái)配置寄存器(Platform Configuration Register，PCR)中，防止白名單被篡改而導(dǎo)致的信息泄露。將此白名單分別發(fā)送給邊設(shè)備和客戶端，作為衡量該環(huán)境是否可信的標(biāo)準(zhǔn)。

在使用過(guò)程中(此環(huán)境一般為不可信環(huán)境)，每次啟動(dòng)OpenCV時(shí)，使用SM3對(duì)本地的白名單計(jì)算摘要值，并與PCR中的值進(jìn)行比較，判斷其是否一致。若不一致，則證明白名單被篡改，提示用戶繼續(xù)運(yùn)行有信息泄露的風(fēng)險(xiǎn)；若一致，則對(duì)OpenCV的可執(zhí)行程序和各種策略、文件進(jìn)行度量，將摘要值與白名單中值進(jìn)行比較，判斷其是否相同，若相同，則可以繼續(xù)后序操作，若不相同，則提示用戶程序被篡改，建議終止運(yùn)行?？尚哦攘吭砣鐖D3所示。

圖3 度量過(guò)程原理圖

2.4.2 用戶身份認(rèn)證

在用戶登錄過(guò)程中，本設(shè)計(jì)采用可信認(rèn)證機(jī)制，借助于PIK和配套的PIK證書(shū)，向服務(wù)器證明用戶身份的合法性。在生成PIK證書(shū)的過(guò)程中，需要可信第三方(Certificate Authority，CA)的介入。CA中存有一個(gè)密鑰對(duì)，同時(shí)向用戶提供CA公鑰，在獲取到用戶的PIK證書(shū)申請(qǐng)后，將用戶PIK公鑰摘要、用戶身份信息和TCM綁定的設(shè)備信息寫(xiě)入PIK證書(shū)中，并用CA私鑰簽名生成證書(shū)激活包，發(fā)送給申請(qǐng)的用戶。用戶在接收到PIK證書(shū)激活包并完成激活過(guò)程后，即可得到有效的PIK證書(shū)。每次在用戶登錄的同時(shí)，用戶將PIK公鑰及證書(shū)發(fā)送至攝像頭端，攝像頭端對(duì)證書(shū)和PIK公鑰進(jìn)行驗(yàn)證，從而認(rèn)證用戶身份的合法性。用戶身份認(rèn)證原理如圖4所示。

圖4 用戶身份認(rèn)證流程圖

2.4.3 視頻加/解密

為了保證視頻數(shù)據(jù)在傳輸過(guò)程中的安全，本設(shè)計(jì)采用將攝像頭捕獲到的視頻數(shù)據(jù)文件，經(jīng)過(guò)加密后傳輸給客戶端的合法用戶。TCM中包含SM2非對(duì)稱加密、SM4對(duì)稱加密和SM3度量值計(jì)算算法，客戶端生成一對(duì)與用戶綁定的對(duì)稱密鑰，其中，私鑰存儲(chǔ)在TCM中，公鑰經(jīng)過(guò)非對(duì)稱密鑰加密后發(fā)送給攝像頭端，攝像頭端接收到公鑰后在TCM中對(duì)其進(jìn)行可信存儲(chǔ)和管理[10]。在用戶申請(qǐng)獲取視頻數(shù)據(jù)時(shí)，攝像頭端先根據(jù)用戶信息查找其公鑰，再用該公鑰對(duì)視頻文件進(jìn)行加密，并將加密后的視頻文件傳輸給客戶端，客戶端會(huì)用存儲(chǔ)在TCM中的私鑰對(duì)文件進(jìn)行解密。

在攝像頭端，接收到的視頻文件傳輸給文件處理模塊，再通過(guò)此模塊發(fā)送給加密模塊進(jìn)行加密處理，加密后的視頻文件傳輸回文件處理模塊，經(jīng)過(guò)此模塊傳輸給對(duì)應(yīng)的客戶端中的文件處理模塊。

在客戶端中，文件處理模塊接收到從服務(wù)器端傳輸過(guò)來(lái)的加密后的視頻文件，并將其傳輸給解密模塊，經(jīng)過(guò)解密后傳輸回位于客戶端TCM中的文件處理模塊，得到原始視頻文件供用戶觀看。

在傳輸過(guò)程中，由于該文件的密鑰是在TCM中管理、分配的，即使攻擊者截獲了視頻文件也無(wú)法獲得密鑰解密觀看，保護(hù)了用戶的隱私安全[11]。視頻的加解密原理如圖5所示。

圖5 視頻加/解密流程圖

3 功能模塊實(shí)現(xiàn)

3.1 可信度量模塊

本設(shè)計(jì)中，采用可信度量模塊在攝像頭啟動(dòng)之前，先采集系統(tǒng)中需要運(yùn)行的視頻生成軟件和策略、文件的度量值，再將采集到的度量值與存儲(chǔ)在本地的白名單中的基準(zhǔn)值進(jìn)行比對(duì)，如果比對(duì)結(jié)果一致，說(shuō)明該軟件的完整性和安全性未遭到破壞，程序?qū)⒄?dòng)；否則，說(shuō)明軟件被篡改，給予用戶提示。

完整的可信度量模塊由實(shí)體度量值采集和實(shí)體度量值比對(duì)兩個(gè)部分組成。實(shí)體度量值采集部分根據(jù)輸入的實(shí)體描述消息進(jìn)行本地軟件的度量，生成對(duì)應(yīng)的實(shí)體度量值消息，并將度量值存儲(chǔ)在本地，形成白名單。實(shí)體度量值比對(duì)部分在收到實(shí)體度量值消息后，會(huì)將度量值與白名單中的基準(zhǔn)值進(jìn)行比對(duì)，生成比對(duì)結(jié)果消息?？尚哦攘康拇笾铝鞒倘鐖D6所示。

圖6 可信度量流程圖

可信度量模塊integrity_collect根據(jù)輸入的實(shí)體描述信息，在本地執(zhí)行度量操作，生成對(duì)應(yīng)的度量結(jié)果并作為消息發(fā)送。integrity_collect的輸入輸出如表1所示。

表1 integrity_collect的輸入輸出

3.2 注冊(cè)登錄模塊

本設(shè)計(jì)中在攝像頭端和客戶端分別部署login_test和login_client模塊，實(shí)現(xiàn)用戶注冊(cè)、登錄、遠(yuǎn)程密鑰發(fā)送和視頻文件傳輸申請(qǐng)的功能。在完成用戶注冊(cè)、登錄和文件傳輸后，需要返回用戶的注冊(cè)、登錄和文件傳輸結(jié)果。注冊(cè)登錄模塊的大致流程如圖7所示。

圖7 注冊(cè)/登錄流程圖

用戶注冊(cè)數(shù)據(jù)記錄格式主要是記錄用戶向本模塊提供的注冊(cè)信息；用戶登錄數(shù)據(jù)記錄格式主要是記錄用戶向本模塊提供的登錄信息；本地用戶狀態(tài)數(shù)據(jù)記錄格式主要是記錄用戶對(duì)應(yīng)的狀態(tài)信息。

在用戶注冊(cè)過(guò)程中，本模塊的輸入為用戶的注冊(cè)信息，輸出為用戶注冊(cè)結(jié)果；在用戶登錄過(guò)程中，本模塊的輸入為用戶的登錄信息，輸出為用戶的登錄結(jié)果。該模塊的輸入輸出如表2所示。

表2 用戶登錄輸入輸出

3.3 身份認(rèn)證模塊

本設(shè)計(jì)中通過(guò)pik_client、pik_casign、pikcert_verify和pikcert_store四個(gè)模塊實(shí)現(xiàn)用戶身份認(rèn)證的功能。該模塊大致流程如圖8所示。該過(guò)程主要用到了三種數(shù)據(jù)項(xiàng)記錄格式，如表3～表5所示。

圖8 用戶身份認(rèn)證流程圖

表3 (TCM_PIK_DESC,USERINFO)記錄項(xiàng)的格式

表4 (TCM_PIK_DESC,CADATA)記錄項(xiàng)的格式

表5 (TCM_PIK_DESC,PIKCERT)記錄項(xiàng)的格式

3.4 密鑰創(chuàng)建模塊

使用create_key模塊完成TCM密鑰對(duì)的創(chuàng)建。create_key模塊收到輸入消息后，在TCM中完成目標(biāo)密鑰對(duì)的生成，并將密鑰信息按照定義的數(shù)據(jù)結(jié)構(gòu)填充完整，最后輸出完整的生成私鑰的消息，具體的公鑰和私鑰的實(shí)際值存儲(chǔ)在TCM的內(nèi)置數(shù)據(jù)庫(kù)中，其中公鑰可以導(dǎo)出，私鑰不可導(dǎo)出。create_key模塊的大致流程如圖9所示。

圖9 密鑰生成流程圖

為了方便密鑰生成后對(duì)密鑰的管理和存儲(chǔ)，本文為密鑰對(duì)象定義記錄類型TCM_KEY_MANAGE，同時(shí)為了區(qū)分公鑰和私鑰，還需定義PRIVATE_KEY和PUBLIC_KEY兩種子類型，(TCM_KEY_MANAGE，PRIVATE_KEY)在本地存儲(chǔ)私鑰與用戶的關(guān)聯(lián)關(guān)系，(TCM_KEY_MANAGE，PUBLIC_KEY)在本地和遠(yuǎn)程TCM中存儲(chǔ)公鑰與用戶的關(guān)聯(lián)關(guān)系。

4 創(chuàng)新性設(shè)計(jì)

本設(shè)計(jì)從攝像頭使用的安全需求出發(fā)，把可信計(jì)算技術(shù)應(yīng)用于物聯(lián)網(wǎng)中，實(shí)現(xiàn)了基于TCM的可信攝像頭，增強(qiáng)了攝像頭的安全性、實(shí)用性，使攝像頭的使用更加放心可靠。本設(shè)計(jì)具有如下的創(chuàng)新性：

(1)在傳統(tǒng)的視頻數(shù)據(jù)流加密的基礎(chǔ)上，加入了基于安全芯片TCM的加密機(jī)制(本設(shè)計(jì)中使用TCM模擬器模擬)?；赥CM實(shí)現(xiàn)了密鑰創(chuàng)建和密鑰的管理，以此用于視頻傳輸以及用戶身份認(rèn)證，保證了密鑰存儲(chǔ)的安全，增加了加密的安全性。TCM彌補(bǔ)了攝像頭系統(tǒng)的安全缺陷，從連接環(huán)節(jié)、度量環(huán)節(jié)、自身安全環(huán)節(jié)等多方面進(jìn)行了安全性增強(qiáng)，并通過(guò)應(yīng)用軟件統(tǒng)一管理的方式提高整個(gè)業(yè)務(wù)使用過(guò)程中的安全性。

(2)采用了國(guó)密算法系列，應(yīng)用于攝像頭系統(tǒng)的加密。其中SM2算法簽名速度與秘鑰生成速度都快于RSA；SM3算法壓縮函數(shù)的每一輪都使用2個(gè)消息字；SM4算法在計(jì)算過(guò)程中增加非線性變換。國(guó)密算法系列相比于國(guó)際算法，在復(fù)雜度、加密速度等方面都有大幅提升，更能保障系統(tǒng)的安全性。

(3)將可信計(jì)算技術(shù)推廣到物聯(lián)網(wǎng)上。本設(shè)計(jì)的模式兼顧了一般物聯(lián)網(wǎng)設(shè)備與可信計(jì)算的特點(diǎn)，通過(guò)可信鏈為物聯(lián)網(wǎng)過(guò)程進(jìn)行層層安全防護(hù)，預(yù)計(jì)可以推廣到大多數(shù)符合感知-傳輸-應(yīng)用過(guò)程的物聯(lián)網(wǎng)設(shè)備上。

5 結(jié)論

本設(shè)計(jì)嘗試了將可信計(jì)算技術(shù)應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)中，研究了基于TCM的可信攝像頭。本設(shè)計(jì)除了參考傳統(tǒng)的密碼加密、訪問(wèn)控制等安全手段，更是通過(guò)可信機(jī)制構(gòu)建的可信鏈來(lái)確保攝像頭全生命過(guò)程的安全；同時(shí)通過(guò)合理的架構(gòu)促進(jìn)“橫縱三層”的互動(dòng)協(xié)作，保障了可信過(guò)程的實(shí)施。

本設(shè)計(jì)還需要進(jìn)一步的改進(jìn)和完善。首先，物聯(lián)網(wǎng)終端有型號(hào)多、接口復(fù)雜、硬件要求不同等特點(diǎn)，本應(yīng)使用更多不同型號(hào)的真實(shí)設(shè)備來(lái)進(jìn)行驗(yàn)證。而此次只對(duì)單一攝像頭，配以單一客戶端做了簡(jiǎn)單的模擬。第二，在真實(shí)的物聯(lián)網(wǎng)流程中，傳輸層與客戶端之間還應(yīng)添加一個(gè)物聯(lián)網(wǎng)中心(注：物聯(lián)網(wǎng)中心在此處指為感知數(shù)據(jù)提供海量存儲(chǔ)、信息分揀、重要數(shù)據(jù)備份等功能的一個(gè)處理中心)，用來(lái)進(jìn)行數(shù)據(jù)分揀與備份等操作。本設(shè)計(jì)跳過(guò)了這一區(qū)域，但實(shí)際上如何實(shí)現(xiàn)物聯(lián)網(wǎng)中心的安全也是非常值得關(guān)注的問(wèn)題，因?yàn)橛泻Ａ繑?shù)據(jù)蘊(yùn)含其中，一旦被攻破后果十分嚴(yán)重。最后，只實(shí)現(xiàn)了可信計(jì)算中的可信度量、可信存儲(chǔ)等功能。

可信計(jì)算是一門(mén)博大精深的技術(shù)，有更多的技術(shù)知識(shí)等待被發(fā)掘。繼續(xù)探索出更安全、精巧的可信攝像頭機(jī)制和其他可信物聯(lián)網(wǎng)應(yīng)用是下一步的研究方向。