摘要：隨著(zhù)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，安防監控系統正加速網(wǎng)絡(luò )化發(fā)展進(jìn)程。在九部委共同頒布的《關(guān)于加強公共安全視頻監控建設聯(lián)網(wǎng)應用工作的若干意見(jiàn)》中提到，到2020年要基本實(shí)現“全域覆蓋、全網(wǎng)共享、全時(shí)可用、全程可控”的公共安全視頻監控建設聯(lián)網(wǎng)應用。聯(lián)網(wǎng)應用實(shí)現大量視頻采集設備和應用服務(wù)器的聯(lián)網(wǎng)共享，聯(lián)網(wǎng)實(shí)現應用便利的同時(shí)，網(wǎng)絡(luò )化后引入的安全隱患及威脅在安防系統中也日趨增多，聯(lián)網(wǎng)系統遭到網(wǎng)絡(luò )攻擊在未來(lái)將是常態(tài)。因此，重點(diǎn)闡述聯(lián)網(wǎng)共享視頻監控系統中存在的安全風(fēng)險，提出一種視頻監控系統聯(lián)網(wǎng)應用安全加固方案，并對研究應用情況進(jìn)行了詳細說(shuō)明。

0 引 言

在九部委共同頒布的《關(guān)于加強公共安全視頻監控建設聯(lián)網(wǎng)應用工作的若干意見(jiàn)》^[1]中提到：到2020年要基本實(shí)現“全域覆蓋、全網(wǎng)共享、全時(shí)可用、全程可控”的公共安全視頻監控建設聯(lián)網(wǎng)應用，在加強治安防控、優(yōu)化交通出行、服務(wù)城市管理、創(chuàng )新社會(huì )治理等方面取得顯著(zhù)成效。其中，全網(wǎng)共享要求以公安機關(guān)視頻圖像共享平臺為核心，分級有效整合各類(lèi)視頻圖像資源，促進(jìn)點(diǎn)位互補、網(wǎng)絡(luò )互聯(lián)、平臺互通，逐步對接基層綜合服務(wù)管理平臺，最大限度實(shí)現公共區域視頻圖像資源的聯(lián)網(wǎng)共享。

全網(wǎng)共享后的視頻資源在使用過(guò)程中需要達到全程可控，具體是指公共安全視頻監控系統聯(lián)網(wǎng)應用要實(shí)現重要視頻圖像信息不失控，敏感視頻圖像信息不泄露。但是，隨著(zhù)安防系統的IT化發(fā)展的趨勢，在大量視頻采集設備聯(lián)網(wǎng)后，將存在安全隱患或遭到網(wǎng)絡(luò )攻擊?；ヂ?lián)網(wǎng)及相應技術(shù)的飛速發(fā)展為安防系統建設提供了方便，但同時(shí)給這個(gè)系統帶來(lái)了許多安全隱患，這是由互聯(lián)網(wǎng)的公開(kāi)性所決定的。

1　視頻監控系統面臨的安全威脅

通過(guò)分析近年爆發(fā)的視頻監控系統安全事件，總結視頻監控系統面臨的安全威脅，其主要體現在視頻采集設備自身存在的漏洞和視頻信息的安全性未得到有效保護。

針對前端設備的安全威脅主要包括設備劫持或替換、協(xié)議攻擊以及視頻資源非法訪(fǎng)問(wèn)三類(lèi)。

（1）設備劫持和替換：前端視頻采集設備（主要是網(wǎng)絡(luò )攝像機）均采用嵌入式操作系統，系統軟件在啟動(dòng)及運行過(guò)程中未針對性進(jìn)行安全防護，無(wú)法確?；A運行環(huán)境可信，黑客可通過(guò)植入病毒、木馬等手段入侵前端設備，造成設備被非法控制成為“肉雞”；同時(shí)，前端設備不具備標識身份的唯一證明，設備容易被惡意替換。這不僅可導致視頻監控系統無(wú)法正常運行，還存在將整個(gè)視頻監控系統作為攻擊源，對網(wǎng)絡(luò )上的其他設備和服務(wù)器發(fā)起攻擊的風(fēng)險。2016年底，美國爆發(fā)的大規模DDoS攻擊致癱整個(gè)互聯(lián)網(wǎng)，就是由該安全漏洞觸發(fā)的，影響極為惡劣。

（2）協(xié)議攻擊：監控業(yè)務(wù)信令由于缺乏完整性保護機制，可通過(guò)仿造或纂改通信協(xié)議，非法控制設備，擾亂正常業(yè)務(wù)流程。

（3）視頻資源非法訪(fǎng)問(wèn)：大多數監控前端設備的登錄方式為用戶(hù)名/口令的認證方法，容易遭受到字典掃描和暴力破解攻擊，安全性差，視頻資源面臨被非法訪(fǎng)問(wèn)風(fēng)險。

針對視頻數據的安全威脅主要包括視頻數據竊取和視頻數據篡改兩類(lèi)。

（1）視頻數據竊?。阂曨l在傳輸過(guò)程中采用網(wǎng)絡(luò )旁路或通過(guò)非法途徑從后臺下載的方式截獲視頻數據。

（2）視頻數據篡改：由于視頻數據是明文傳輸且編碼方式具有標準化特征，攻擊者可通過(guò)偽造相同編碼格式視頻數據替換原有采集視頻數據，導致視頻數據被篡改。

因此，針對視頻監控領(lǐng)域暴露的安全威脅，需要綜合運用密碼技術(shù)、數字身份認證技術(shù)和可信計算技術(shù)，從系統層面制定安全解決方案，保障視頻數據在采集、傳輸、存儲、查看等各個(gè)環(huán)節的安全，從而構建安全的視頻監控系統。

2　安全方案設計

整個(gè)安全方案基于通用視頻監控系統產(chǎn)品，通過(guò)對前端攝像機和后端通用平臺進(jìn)行安全加固來(lái)實(shí)現，如圖1所示。其中，監控前端攝像機集成安全中間件軟件實(shí)現設備的可信啟動(dòng)，設備基于數字證書(shū)的身份認證，監控業(yè)務(wù)信令的完整性保護，采集音視頻數據的完整性或機密性保護等；在監控后端視頻監控管理中心增加安全管理服務(wù)平臺，并集成對應的安全服務(wù)中間件軟件，實(shí)現對設備身份數字證書(shū)的管理及認證、密鑰資源的管理及分發(fā)、攝像機運行策略的管理以及音視頻數據解密展示等。通過(guò)實(shí)施這些安全加固措施，可增強攝像機自身的安全性，實(shí)現攝像機的接入控制，保護監控業(yè)務(wù)信令的完整性，保護音視頻數據的完整性、機密性，從整體上提升聯(lián)網(wǎng)視頻監控系統的安全性，有效防范、抵御目前監控系統中面臨的木馬病毒、數據被篡改、數據被非法訪(fǎng)問(wèn)等安全威脅。

2.1　視頻監控前端設備可信安全防護

基于可信計算原理^[2]，在網(wǎng)絡(luò )攝像機操作系統中內置可信運行控制軟件模塊，實(shí)現監控前端設備程序進(jìn)程、關(guān)鍵文件數據以及網(wǎng)絡(luò )訪(fǎng)問(wèn)保護，及時(shí)檢測并阻斷非授權程序在監控前端設備上運行?？尚胚\行控制軟件基于國密密碼算法（SM2^[3]、SM3^[4]及SM4^[5]）由網(wǎng)絡(luò )訪(fǎng)問(wèn)控制模塊、運行控制模塊、審計管理模塊等功能模塊組成，其軟件組成結構如圖2所示。

網(wǎng)絡(luò )訪(fǎng)問(wèn)行為進(jìn)行控制，主要功能包括網(wǎng)絡(luò )訪(fǎng)問(wèn)控制和網(wǎng)絡(luò )端口控制。管理員可以通過(guò)安全管理系統配置攝像機網(wǎng)絡(luò )訪(fǎng)問(wèn)策略。網(wǎng)絡(luò )訪(fǎng)問(wèn)控制模塊根據策略確定攝像機網(wǎng)絡(luò )訪(fǎng)問(wèn)權限以及相應端口的開(kāi)啟或關(guān)閉。

（2）運行控制模塊主要根據策略對攝像機運行應用程序行為進(jìn)行控制，包括文件完整性校驗、異常程序行為檢測發(fā)現以及攔截等功能。同時(shí)，基于白名單機制，對白名單中的文件進(jìn)行保護，不允許其他程序進(jìn)行篡改，并對上述兩個(gè)功能的異常操作進(jìn)行審計。

（3）審計功能模塊是對運行控制模塊中截獲的異常操作進(jìn)行審計記錄并生成審計信息。審計信息由通信代理客戶(hù)端上報到管理系統，為后端態(tài)勢分析提供素材支持。

（4）策略配置管理模塊通過(guò)建立安全通信鏈路，完成與后端安全管理服務(wù)平臺通信，實(shí)現攝像機本地運行策略管理功能。

2.2　監控前端設備接入認證及信令安全防護

基于國密公鑰基礎設施數字證書(shū)認證體系（PKI/CA）^[6]，監控前端設備使用數字證書(shū)通過(guò)安全管理協(xié)議與視頻監控安全管理平臺進(jìn)行相互身份認證，包括證書(shū)有效性和合法性，同時(shí)在監控平臺記錄相關(guān)認證日志。身份認證通過(guò)后，基于安全管理協(xié)議完成會(huì )話(huà)密鑰協(xié)商。該密鑰可以用于監控信令完整性保護，而安全管理協(xié)議實(shí)現可以選擇如下兩種方式。

（1）對標準網(wǎng)絡(luò )監控協(xié)議相關(guān)字段進(jìn)行擴展

目前的網(wǎng)絡(luò )攝像機通常支持的標準協(xié)議有ONVIF、PSIA、HDCCTV、GB/T28181^[7]，其中常用的協(xié)議主要是ONVIF和GB/T28181。針對這兩種監控協(xié)議，方案設計對原有接入認證信令進(jìn)行擴展，通過(guò)擴展實(shí)現監控設備與監控安全管理平臺（或監控信令網(wǎng)關(guān)）的安全認證相關(guān)信息交換，完成雙方身份認證，同時(shí)使用協(xié)商的會(huì )話(huà)密鑰對后續每一條監控業(yè)務(wù)信令進(jìn)行完整性保護。認證流程如圖3所示。

基于該種方式實(shí)現接入認證和信令完整性保護，需要對監控前端設備和監控集成管理平臺中信令網(wǎng)關(guān)進(jìn)行安全改造。其中，監控前端設備國密算法通過(guò)設備安全服務(wù)中間件軟件實(shí)現，后端監控信令網(wǎng)關(guān)由于接入設備數量較多，通過(guò)集成PCI-E密碼板卡提供國密算法功能。

（2）基于監控安全管理平臺協(xié)議代理實(shí)現

在不改動(dòng)攝像機監控協(xié)議模塊的基礎上，在監控前端設備植入接入認證代理軟件模塊，通過(guò)安全管理協(xié)議完成設備和安全管理平臺之間的身份認證。設備上線(xiàn)后，主動(dòng)連接安全管理平臺完成身份認證，同時(shí)安全管理平臺會(huì )定時(shí)根據平臺中配置的設備信息，對設備狀況進(jìn)行輪巡檢查，對巡檢異常設備及時(shí)生成告警信息，提醒用戶(hù)設備可能存在替換風(fēng)險，最終確保在線(xiàn)設備的身份合法性。

2.3　音視頻數據安全防護

攝像機采集的音視頻數據在網(wǎng)絡(luò )傳輸過(guò)程中是明文傳輸，很容易被截獲或者篡改。針對不同安全級別應用場(chǎng)景，可分別從視頻數據完整性和機密性?xún)蓚€(gè)方面進(jìn)行保護。

針對視頻數據機密性保護，采用“信源加密”方案，從采集點(diǎn)開(kāi)始數據即為“密態(tài)”，直至視頻查看端才解開(kāi)為“明態(tài)”，從根本上解決視頻數據在采集、傳輸和存儲過(guò)程中的安全。音視頻加密由網(wǎng)絡(luò )攝像機完成，在視頻采集并完成編碼后，進(jìn)行加密處理再發(fā)送，如圖4所示。

視頻數據加密模塊對音視頻數據加密采用阻塞調用方式，網(wǎng)絡(luò )攝像機需要緩沖編碼數據，按先進(jìn)先出的原則進(jìn)行加密處理。

（1）網(wǎng)絡(luò )攝像機將編碼完成的音視頻數據傳入安全模塊；

（2）安全模塊根據策略，使用視頻加密密鑰對采集的視頻數據進(jìn)行加密處理，形成密文；

（3）對視頻密文數據和安全協(xié)議使用HMAC-SM3計算得到驗證信息，按音視頻加密數據封裝格式組包；

（4）網(wǎng)絡(luò )攝像機按原有流程將加密音視頻包分割成網(wǎng)絡(luò )包并發(fā)送；

（5）視頻監控展示平臺通過(guò)流媒體服務(wù)器或者直接從監控前端設備獲取到加密視頻流后，通過(guò)安全管理協(xié)議從監控安全管理平臺獲取視頻解密密鑰，對視頻進(jìn)行解密后再進(jìn)行解碼播放或者其他分析處理。

針對只要求保護視頻數據完整性的場(chǎng)景，只需要通過(guò)安全管理平臺配置視頻加密模塊并關(guān)閉視頻加密處理功能，對傳入數據進(jìn)行HMAC-SM3摘要計算即可。

3　典型部署

系統典型部署，如圖5所示。

（1）在監控前端設備固件中集成安全加固軟件模塊軟件，前端設備通過(guò)更新升級的方式實(shí)現可信運行控制、接入認證、信令加固以及視頻數據加密功能。

（2）在中心管理平臺部署監控安全管理平臺，實(shí)現對接入設備的安全管理。同時(shí)，在監控信令網(wǎng)關(guān)服務(wù)器中集成PCIE硬件加密卡和信令安全中間件（根據實(shí)際部署需要確定是否需要），實(shí)現對攝像機的接入認證，監控業(yè)務(wù)信令的完整性保護；

（3）在監控客戶(hù)端計算機中集成硬件解密模塊，實(shí)現對加密音視頻的解密（主要針對需要用到視頻解密的場(chǎng)所）。

4　結　語(yǔ)

本文針對九部委《關(guān)于加強公共安全視頻監控建設聯(lián)網(wǎng)應用工作的若干意見(jiàn)》中提到的“重要視頻圖像信息不失控，敏感視頻圖像信息不泄露”要求，介紹了一種基于國密算法的視頻監控系統安全加固方案。通過(guò)分析通用視頻監控系統面臨的安全威脅，將安全問(wèn)題聚焦在解決前端攝像機安全、業(yè)務(wù)信令安全、音視頻數據安全三個(gè)方面，并提出了相應的解決方案。該方案創(chuàng )新性地將可信計算技術(shù)應用在攝像機嵌入式操作系統中，增強了前端攝像機抵御木馬病毒入侵的能力，從源頭解決了視頻監控系統面臨的最大風(fēng)險。此外，由于使用“信源”加密技術(shù)，不影響視頻監控系統原有的業(yè)務(wù)流程，可實(shí)施性強，便于推廣。

參考文獻：

[1] 國家發(fā)展改革委.關(guān)于加強公共安全視頻監控建設聯(lián)網(wǎng)應用工作的若干意見(jiàn)[S].2015.

[2] 國家密碼管理局.可信計算密碼支撐平臺功能與接口規范[S].2007.

[3] 國家標準.GB/T 35276-2017信息安全技術(shù)SM2密碼算法使用規范[S].2017.

[4] 國家標準.GB/T 32905-2016信息安全技術(shù)SM3密碼雜湊算法[S].2016.

[5] 國家標準.GB/T 32907-2016信息安全技術(shù)SM4分組密碼算法[S].2008.

[6] 國家標準.GB/T 25056-2010信息安全技術(shù)證書(shū)認證系統密碼及其相關(guān)安全技術(shù)規范[S].2010.

[7] 國家標準.GB/T 28181-2016公共安全視頻監控聯(lián)網(wǎng)系統信息傳輸、交換、控制技術(shù)要求[S].2016.

作者簡(jiǎn)介：

張正強，成都三零凱天通信實(shí)業(yè)有限公司，學(xué)士，工程師，主要研究方向為通信與信息系統、視頻監控系統安全等；

吳　震，成都三零凱天通信實(shí)業(yè)有限公司，碩士，高級工程師，主要研究方向為多媒體通信、視頻信息安全；

曾　兵，成都三零凱天通信實(shí)業(yè)有限公司，碩士，高級工程師，主要研究方向為信息安全、新媒體安全等；

沈　宜，成都三零凱天通信實(shí)業(yè)有限公司，碩士，高級工程師，主要研究方向為信息安全、新媒體安全等；

李　斌，成都三零凱天通信實(shí)業(yè)有限公司，碩士，高級工程師，主要研究方向為信息安全、新媒體安全等。

來(lái)源： 信息安全與通信保密雜志社