曹曉雯，崔維亮

（江蘇大學(xué)，江蘇 鎮(zhèn)江 212013）

金融行業(yè)視頻監(jiān)控逐步進(jìn)入了集數(shù)字化、網(wǎng)絡(luò)化、高清化為一體的新模式，隨之面臨的問(wèn)題是視頻數(shù)據(jù)呈現(xiàn)爆炸式的海量增長(zhǎng)，對(duì)海量數(shù)據(jù)的快速存儲(chǔ)和檢索的需求顯得尤為重要。針對(duì)金融行業(yè)監(jiān)控系統(tǒng)的攝像頭安全問(wèn)題，本團(tuán)隊(duì)提出了可信云存儲(chǔ)環(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)。在視頻監(jiān)控系統(tǒng)和云存儲(chǔ)[1]集成的同時(shí)，系統(tǒng)必須保證兩大基本需求：首先，利用云存儲(chǔ)自身的優(yōu)點(diǎn)，對(duì)監(jiān)控系統(tǒng)實(shí)現(xiàn)靈活、高效的擴(kuò)展性管理。其次，必須要保證視頻云存儲(chǔ)的安全，包括存儲(chǔ)在云端的視頻資源以及攝像頭權(quán)限管理和登錄訪問(wèn)，實(shí)現(xiàn)真正的高度管理和高度智能。

針對(duì)上述問(wèn)題，本團(tuán)隊(duì)采用基于全局邏輯層次圖[2]（Global Logical Hierarchical Graph，GLHG）的密鑰推導(dǎo)機(jī)制密鑰管理方法，通過(guò)GLHG密鑰推導(dǎo)圖，來(lái)安全、等價(jià)地實(shí)施全局用戶(hù)的數(shù)據(jù)訪問(wèn)授權(quán)策略，充分利用云的特性，借助云服務(wù)提供商（Cloud Service Provider，CSP）執(zhí)行推導(dǎo)結(jié)構(gòu)圖的管理，并引入基于ElGamal的代理重加密技術(shù)[3]，進(jìn)一步提高密鑰管理的執(zhí)行效率，高效率、高安全性地完成對(duì)各視頻資源的權(quán)限處理。

為了解決IP掃描技術(shù)控制網(wǎng)絡(luò)攝像頭的問(wèn)題，將攝像頭統(tǒng)一接入云，用云來(lái)實(shí)施統(tǒng)一控制，攝像頭沒(méi)有對(duì)外開(kāi)放的端口，使得IP爆破成為不可能。為了保障攝像頭資源可以安全傳輸?shù)皆?，采用安全傳輸層協(xié)議（Transport Layer Security，TLS）協(xié)議。為了進(jìn)一步滿足金融行業(yè)視頻監(jiān)控系統(tǒng)的高度安全需求，不主張采用口令登錄，而是采用私鑰認(rèn)證的辦法，通過(guò)類(lèi)似于Secure Shell（SSH）的雙向認(rèn)證方式，驗(yàn)證用戶(hù)的合法性。

本文首先介紹系統(tǒng)模型以及安全假設(shè)，然后描述系統(tǒng)采用的相關(guān)技術(shù)的具體實(shí)現(xiàn)過(guò)程，隨后提出了各模塊的具體算法和代碼設(shè)計(jì)，最后通過(guò)仿真和實(shí)驗(yàn)分析論證了模型的正確性、合理性。

1 相關(guān)算法

數(shù)據(jù)的機(jī)密性是云存儲(chǔ)環(huán)境下的難點(diǎn)問(wèn)題。為了實(shí)現(xiàn)可信云存儲(chǔ)環(huán)境下安全、高效的多用戶(hù)密鑰共享，很多研究者對(duì)以數(shù)據(jù)擁有者為中心的基于邏輯層次圖（Logical Hierarchical Graph，LHG）機(jī)制進(jìn)行了優(yōu)化和拓展[4-7]，但都是基于單數(shù)據(jù)擁有者模式下的數(shù)據(jù)外包機(jī)制，對(duì)于可信云存儲(chǔ)環(huán)境下多用戶(hù)共享數(shù)據(jù)的情形，無(wú)法解決密鑰管理代價(jià)太大的問(wèn)題。程芳權(quán)等[8]提出的基于GLHG的密鑰推導(dǎo)機(jī)制密鑰管理方法，很好地為上述問(wèn)題提供了解決辦法。本文借鑒了程芳權(quán)等提出的GLHG機(jī)制來(lái)實(shí)施密鑰管理，并在此基礎(chǔ)上改進(jìn)GLHG中代理重加密的算法，使用基于ElGamal的代理重加密技術(shù)，進(jìn)一步優(yōu)化GLHG機(jī)制。

TLS協(xié)議是基于會(huì)話的加密和認(rèn)證Internet協(xié)議，用于在兩個(gè)通信主體間提供安全通信信道，由TLS記錄協(xié)議和TLS握手協(xié)議兩層組成。本文提出的視頻監(jiān)控系統(tǒng)中，視頻資源向云端的傳輸將依照TLS協(xié)議執(zhí)行，以保障視頻數(shù)據(jù)傳輸過(guò)程的安全性和高效性。

本文還提出了類(lèi)似于SSH認(rèn)證協(xié)議的基于私鑰的雙向認(rèn)證方法，以解決弱口令登錄被IP掃描爆破的問(wèn)題，具體實(shí)現(xiàn)將在下文詳述。

2 系統(tǒng)模型和安全假設(shè)

為了將職員監(jiān)管職責(zé)的效益最大化，同時(shí)，保證各自權(quán)限的合理合法性，本團(tuán)隊(duì)將銀行監(jiān)控區(qū)域化，假設(shè)區(qū)域1，d1有攝像頭c1—c4；區(qū)域2，d2有攝像頭c5—c8，以此類(lèi)推，并將監(jiān)控?cái)z像頭統(tǒng)一接入到云端，攝像頭拍攝到的視頻資源上傳到CSP，在上傳過(guò)程中嚴(yán)格遵守TLS協(xié)議，來(lái)保障視頻資源的保密性。對(duì)于訪問(wèn)用戶(hù)對(duì)攝像頭的登錄問(wèn)題，采用基于私鑰的雙向認(rèn)證方式，防止非法用戶(hù)的入侵?？尚旁拼鎯?chǔ)環(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)如圖1所示。

3 系統(tǒng)關(guān)鍵技術(shù)

3.1 私鑰認(rèn)證

本團(tuán)隊(duì)決定利用RSA算法，雙向認(rèn)證使得管理員可在任意安裝私鑰的設(shè)備上管理網(wǎng)絡(luò)攝像頭，既免去了記憶密碼的代價(jià)，同時(shí)保證了網(wǎng)絡(luò)攝像頭不會(huì)遭到云端其他用戶(hù)的攻擊，具體的密鑰協(xié)商步驟如圖2所示。認(rèn)證過(guò)程和Linu x SSH公鑰認(rèn)證類(lèi)似，通過(guò)雙向認(rèn)證保障傳輸過(guò)程中避免遭到中間人攻擊，同時(shí)，避免弱口令帶來(lái)的安全威脅。

3.2 密鑰管理

3.2.1 GLHG的構(gòu)建

假設(shè)銀行現(xiàn)有監(jiān)管職員A—G，各區(qū)域如ATM網(wǎng)點(diǎn)、前臺(tái)、重要金庫(kù)等的攝像頭監(jiān)控區(qū)域?yàn)閐1—d14。根據(jù)職員權(quán)責(zé)，如不同層級(jí)職員的權(quán)限更新、遠(yuǎn)程業(yè)務(wù)需求等，得到如圖3所示的視頻數(shù)據(jù)資源全局訪問(wèn)控制矩陣。

3.2.2 GLHG的動(dòng)態(tài)更新策略實(shí)現(xiàn)

在銀行等重點(diǎn)部門(mén)，職員的權(quán)限變更和因職務(wù)而產(chǎn)生的權(quán)限調(diào)度時(shí)有發(fā)生，因而對(duì)密鑰管理機(jī)制的動(dòng)態(tài)更新策略提出了更高的要求。本文以基于GLHG的動(dòng)態(tài)訪問(wèn)控制策略為主要更新機(jī)制，并且引入新的基于ELGamal的代理重加密技術(shù)，來(lái)完成更加高效、準(zhǔn)確的密鑰更新，以適應(yīng)由于銀行部門(mén)監(jiān)控點(diǎn)的變更、新增引起的相關(guān)職員管理權(quán)限的變化。GLHG的密鑰更新具體執(zhí)行如下：

步驟1，云端CSP執(zhí)行GLHG的更新，包括新增節(jié)點(diǎn)的插入和已有節(jié)點(diǎn)的刪除。

步驟2，可信前端各用戶(hù)KM用戶(hù)執(zhí)行密鑰值相關(guān)的更新操作，包括相關(guān)密鑰值的安全生成、傳輸以及相關(guān)密鑰推導(dǎo)關(guān)系值得生成，并提交CSP公開(kāi)發(fā)布。

3.3 TLS協(xié)議傳輸

TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議，服務(wù)于應(yīng)用層，前身是安全套接字層（Secure Socket Layer，SSL），實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交由TCP進(jìn)行傳輸?shù)墓δ?。TLS協(xié)議的實(shí)現(xiàn)分為兩部分：第一部分，使用客戶(hù)端和服務(wù)端協(xié)商后的秘鑰進(jìn)行數(shù)據(jù)加密傳輸；第二部分，客戶(hù)端和服務(wù)端進(jìn)行協(xié)商，確定一組用于數(shù)據(jù)傳輸加密的秘鑰串。

圖1 密鑰管理方法與系統(tǒng)的設(shè)計(jì)模型

圖2 私鑰認(rèn)證流程

圖3 職員A—G對(duì)于監(jiān)控區(qū)域d1—d14監(jiān)管權(quán)限的全局訪問(wèn)控制矩陣

4 安全性分析

該系統(tǒng)的安全性通過(guò)以下保障得以實(shí)現(xiàn)：

保障1，該系統(tǒng)使用私鑰進(jìn)行臨時(shí)會(huì)話認(rèn)證，在不泄露私鑰的情況下，用戶(hù)無(wú)法在堡壘機(jī)登錄，因而無(wú)法訪問(wèn)監(jiān)控網(wǎng)絡(luò)。

保障2，系統(tǒng)對(duì)用戶(hù)的每次登錄認(rèn)證均使用臨時(shí)會(huì)話口令，該口令無(wú)法被簡(jiǎn)單重放。

保障3，本系統(tǒng)放棄使用固定口令來(lái)對(duì)堡壘機(jī)進(jìn)行認(rèn)證，而是強(qiáng)制結(jié)合密鑰來(lái)生成會(huì)話口令進(jìn)行認(rèn)證，在首次安裝的過(guò)程中生成密碼并且下載密鑰，因而可防止默認(rèn)密碼帶來(lái)的危害。

保障4，由于訪問(wèn)監(jiān)控系統(tǒng)必須通過(guò)云端或者堡壘機(jī)的認(rèn)證，在職位調(diào)用的過(guò)程中，只需要相關(guān)權(quán)限管理員在云端重新分配權(quán)限，用戶(hù)不需要更換密鑰，因而可安全、高效地完成調(diào)配。

保障5，由于所有監(jiān)控網(wǎng)絡(luò)均需要通過(guò)堡壘機(jī)訪問(wèn)網(wǎng)絡(luò)攝像頭，如果堡壘機(jī)是安全的，就不能直接攻擊網(wǎng)絡(luò)攝像頭。

保障1—3確保了系統(tǒng)可以抵御假冒攻擊和重放攻擊；保障4—5確保了整個(gè)系統(tǒng)只要在堡壘機(jī)不受到攻擊的情況下，就可以安全運(yùn)行，而且系統(tǒng)采用密鑰管理機(jī)制，整個(gè)監(jiān)控管理系統(tǒng)可以安全、高效地運(yùn)行。

5 實(shí)驗(yàn)分析

5.1 實(shí)驗(yàn)方法

在系統(tǒng)中，密鑰管理方案的高效性和安全性已經(jīng)由程芳權(quán)等證明，TLS是標(biāo)準(zhǔn)且可靠的視頻傳輸協(xié)議，因而本文主要對(duì)系統(tǒng)中潛在性能開(kāi)銷(xiāo)最大的認(rèn)證過(guò)程進(jìn)行測(cè)試。在測(cè)試中，使用的操作系統(tǒng)為Debian 9，測(cè)試配置為Intel core i7-4710MQ 2.5 GH，雙核2 GB RAM，測(cè)試工具為ApachejMeter v5.1.1，測(cè)試中使用單線程的Flask開(kāi)發(fā)測(cè)試用例。

5.2 實(shí)驗(yàn)結(jié)果

該系統(tǒng)在認(rèn)證過(guò)程中的性能測(cè)試結(jié)果如表1所示，其中，encrypt是公鑰加密函數(shù)，get-code函數(shù)用于獲取服務(wù)端的隨機(jī)數(shù)；本團(tuán)隊(duì)一共選取了6 000個(gè)測(cè)試樣例，加密測(cè)試和獲取隨機(jī)數(shù)分別使用3 000個(gè)樣例；執(zhí)行情況中，KO表示功能函數(shù)執(zhí)行失敗的樣例數(shù)，Error%表示失敗比例；響應(yīng)時(shí)間的測(cè)試結(jié)果中，測(cè)試了平均響應(yīng)時(shí)間（Average）、最大（Max）以及最小（Min）響應(yīng)時(shí)間，并且對(duì)響應(yīng)時(shí)間排在90%（90th pct），95%（90th pct），99%（90th pct）的時(shí)間進(jìn)行了記錄；每秒接收的請(qǐng)求數(shù)（Transactions/s）反映了系統(tǒng)吞吐量（Throughput），Received和Sent分別表示認(rèn)證過(guò)程中的實(shí)時(shí)下載和上傳網(wǎng)速。

表1 認(rèn)證過(guò)程測(cè)試結(jié)果

從結(jié)果分析可以看出，系統(tǒng)的平均認(rèn)證失敗率為13.48%，在誤差范圍內(nèi)；90%的響應(yīng)時(shí)間都低于21 ms，每秒可以接收154.08條請(qǐng)求，認(rèn)證速度達(dá)到了預(yù)期目標(biāo)。隨著執(zhí)行時(shí)間的增加，系統(tǒng)處理認(rèn)證請(qǐng)求的平均速度越來(lái)越快，其平均響應(yīng)時(shí)間低于設(shè)置的超時(shí)時(shí)間6 s，整體的認(rèn)證性能達(dá)到了預(yù)期設(shè)定。

6 結(jié)語(yǔ)

本文提出了一個(gè)可信云存儲(chǔ)環(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)，實(shí)現(xiàn)了對(duì)監(jiān)控?cái)z像頭的虛擬化和集群化管理。系統(tǒng)通過(guò)在可信云存儲(chǔ)環(huán)境下建立可靠且高效的密鑰管理機(jī)制，實(shí)現(xiàn)了安全且高效的職員權(quán)限和攝像頭登錄管理，并且通過(guò)強(qiáng)制私鑰認(rèn)證的方式保證了系統(tǒng)不會(huì)受到弱口令的影響。通過(guò)安全性分析和實(shí)驗(yàn)仿真論證了系統(tǒng)機(jī)制的安全性和適用性，證明了系統(tǒng)在保障攝像頭和其視頻資源安全存儲(chǔ)和傳輸?shù)耐瑫r(shí)，可以最大限度地提高管理效率。