網(wǎng)絡(luò )視頻監控系統信息安全機制解析

　　1.引言

　　網(wǎng)絡(luò )視頻監控系統是基于IP網(wǎng)的圖像遠程監控、傳輸、存儲、管理的視頻監控系統，將分散、獨立的圖像采集點(diǎn)進(jìn)行聯(lián)網(wǎng)，實(shí)現跨區域的統一監控、統一存儲、統一管理、資源共享。

　　典型網(wǎng)絡(luò )視頻監控系統主要由前端監控設備（攝像機、視頻服務(wù)器/編碼器）、監控中心（中心服務(wù)器）、監控客戶(hù)端（監控工作站）3部分組成。通過(guò)對網(wǎng)絡(luò )視頻監控系統所面臨的安全狀況的分析，網(wǎng)絡(luò )視頻監控系統的安全性在總體結構上分為4個(gè)層次：物理安全、接入安全、傳輸和網(wǎng)絡(luò )安全、業(yè)務(wù)安全和數據安全。

　　其中，網(wǎng)絡(luò )視頻監控系統數據安全是指應對用戶(hù)和權限等業(yè)務(wù)信息和音視頻媒體信息有加密保護措施，包括業(yè)務(wù)數據的安全性和媒體數據的安全性，業(yè)務(wù)數據包括用戶(hù)信息、實(shí)時(shí)瀏覽、存儲、回放以及數據配置（如設備信息查詢(xún)、云臺功能查詢(xún)、通道名稱(chēng)設置）等；媒體數據包括各通道傳輸的視頻數據、音頻數據以及靜態(tài)的錄像文件等。

　　視頻監控系統面臨的數據安全威脅大體分類(lèi)如下：

• 拒絕服務(wù)攻擊。導致視頻監控系統的業(yè)務(wù)系統無(wú)法正常提供服務(wù)；
• 漏洞威脅攻擊，導致視頻監控系統的業(yè)務(wù)系統無(wú)法正常提供服務(wù)，數據安全（機密性、完整性和可用性）被破壞；
• 病毒蠕蟲(chóng)，帶來(lái)的數據完整性和可用性損失以及可能的網(wǎng)絡(luò )可用性損失；
• 口令猜測，導致視頻監控系統的資源被濫用、業(yè)務(wù)系統等無(wú)法正常提供服務(wù)，數據安全（機密性、完整性和可用性）受到破壞；
• 視頻監控系統的信令，視頻數據的不安全遠程傳輸，導致數據安全（機密性、完整性和可用性）受到破壞。

　　針對上述數據安全威脅，在數據安全的具體技術(shù)和設備要求方面，監控業(yè)界不同公司的安全策略不同，下面針對業(yè)界關(guān)于網(wǎng)絡(luò )視頻監控系統的數據安全機制和方案進(jìn)行分析。

　　2.視頻監控系統的信息安全分類(lèi)

　　通常，視頻監控系統業(yè)務(wù)數據和媒體數據采用分離的通道進(jìn)行操作，其傳輸通道類(lèi)型可分為信令流和媒體流。

　　（1）信令流加密

　　業(yè)務(wù)數據加密是指每個(gè)控制命令或者參數設置命令都必須進(jìn)行加密處理，采取加密業(yè)務(wù)信令通道的辦法來(lái)保證信息的安全性，保證數據鑒別、防篡改、防窺視、鑒別來(lái)源、防止非法訪(fǎng)問(wèn)、防偽造。

　　系統對信令進(jìn)行加密，所有信令都使用加密技術(shù)，為了支持加密技術(shù)，需增加會(huì )話(huà)準備操作，進(jìn)行握手交換標識，以讀取密碼生成密鑰，進(jìn)而對分組進(jìn)行加密。

　　（2）媒體流加密

　　對于視頻流的實(shí)時(shí)加密流程與信令流類(lèi)似，同樣需要進(jìn)行交換標識，以讀取密碼生成密鑰。

　　視頻流和視頻控制信令應以不同的物理通道進(jìn)行傳輸，視頻控制信令通過(guò)信令流傳輸，視頻流通過(guò)媒體流傳輸。

　　視頻控制協(xié)議是視頻監控終端與視頻設備（視頻管理服務(wù)器/監控平臺、DVR、攝像頭等設備）間的控制指令集，即建立視頻監控圖像連接的基本指令集。為保證通信中指令集不包含網(wǎng)絡(luò )攻擊指令、其他非法字符集或嵌入機密數據向外泄露。視頻傳輸系統應具備視頻協(xié)議安全控制功能，對所有視頻監控交互指令進(jìn)行嚴格安全過(guò)濾，阻斷非法數據傳輸和網(wǎng)絡(luò )攻擊的入侵。

　　3.視頻監控信息安全機制的標準情況

　　針對網(wǎng)絡(luò )視頻監控系統安全機制，業(yè)界主要有ONVIF（OpenNetworkVideoInterfaceForum，開(kāi)放型網(wǎng)絡(luò )視頻產(chǎn)品接口開(kāi)發(fā)論壇）、中華人民共和國公安部（以下簡(jiǎn)稱(chēng)公安部）《城市監控報警聯(lián)網(wǎng)系統技術(shù)標準安全技術(shù)要求》、CCSA《電信網(wǎng)視頻監控系統安全要求》等標準，此外運營(yíng)商和廠(chǎng)商各自制定了針對自己系統的安全標準和解決方案，其中ONVIF和《城市監控報警聯(lián)網(wǎng)系統技術(shù)標準安全技術(shù)要求》是業(yè)界采用比較多的監控標準。

　　ONVIF成立于2008年5月。由安訊士網(wǎng)絡(luò )通訊公司聯(lián)合博世集團及索尼公司三方攜手共同成立，關(guān)注IP視頻監控，目標是實(shí)現一個(gè)網(wǎng)絡(luò )視頻框架協(xié)議，使不同廠(chǎng)商所生產(chǎn)的網(wǎng)絡(luò )視頻產(chǎn)品（包括攝錄前端、錄像設備等）完全互通。ONVIF規范向視頻監控引入了WebServices的概念。設備的實(shí)際功能均被抽象為WebServices的服務(wù)，視頻監控系統的控制單元以客戶(hù)端的身份出現，通過(guò)Web請求的形式完成控制操作。

　　由于ONVIF基于WebServices，WebServices主要利用HTTP和SOAP使數據在Web上傳輸，其在信息安全方面主要有以下要求：

• 獲取或設置訪(fǎng)問(wèn)安全策略；
• 服務(wù)器端HTTPS（securehypertexttransferprotocol，安全超文本傳輸協(xié)議）認證；
• 客戶(hù)端HTTPS認證；
• 密鑰生成和證書(shū)下載功能；
• IEEE802.1xsupplicant認證；
• IEEE802.1xCA認證；
• IEEE802.1x配置。
• 在信息安全性方面，ONVIF規范支持摘要認證和WS一安全框架。
• 在用戶(hù)認證方面，最基本驗證包括HTTP摘要認證和WSS摘要認證（用戶(hù)名令牌描述（usernametokenprofile）），高級驗證包括TLS-basedaccess。
• 在用戶(hù)認證通過(guò)后，通過(guò)“獲取或設置訪(fǎng)問(wèn)安全策略”實(shí)現基于用戶(hù)的權限控制，以授權其能訪(fǎng)問(wèn)的前端監控設備。

　　用戶(hù)名令牌描述必須使用隨機數和時(shí)間戳作為定義（根據WS-usemametoken），因為系統為每個(gè)攝像頭設備提供不同證書(shū)不太現實(shí)，因此系統對客戶(hù)端使用用戶(hù)名令牌描述和主要權限驗證，這樣就需使用密碼加密算法，算法主要采用SHA-1函數和HMAC算法。舉例來(lái)說(shuō)，某一用戶(hù)A，其用戶(hù)名令牌為UA，P-UA，該用戶(hù)要訪(fǎng)問(wèn)的終端設備為NEP，則PE_UA=base64（HMAC-SHA-1（UA+P_UA，NEP+“0NVIFpassword”））即為其客戶(hù)端配置的用戶(hù)證書(shū)和設備權限驗證，其中HMAC_SHA-1是一種安全的基于加密散列（Hash）函數和共享密鑰的消息認證協(xié)議，它可以有效地防止數據在傳輸過(guò)程中被截獲和篡改。

　　維護了數據的完整性、可靠性和安全性。

　　在信息的安全通信層面，0NVIF規范定義了兩種通信層面的安全架構：傳輸層安全（transponlayersecurity，TLS）和消息層安全。

　　傳輸層安全協(xié)議用于保護0NⅥF提供的所有服務(wù)。同時(shí)還需要保護媒體流的RTP（real.timetmsportprotocol，實(shí)時(shí)傳輸協(xié)議），RTSP/HTTPS。

　　設備應該支持TLS1.0、TLS1.1，可以支持TLS1.2;加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。

　　客戶(hù)端應支持TLS1.1、TLS1.0，加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_NULL_SHA。

　　服務(wù)器端認證：設備支持X.509（X.509是由國際電信聯(lián)盟（ITU-T）制定的數字證書(shū)標準）服務(wù)器認證。RSAkey長(cháng)度至少為l024bit：客戶(hù)端支持TLS服務(wù)器認證。

　　客戶(hù)端認證：支持哪的設備應該支持客戶(hù)端認證，客戶(hù)端認證功能可以在設備管理命令中禁止和啟用。支持TLS的設備應該在證書(shū)請求中支持R5A認證類(lèi)型。而且應該支持RSA客戶(hù)端認證和簽名驗證。

　　信息層面的安全。規范采用基于端口的安全框架IEEE802.1x，支持EAP-PEAP/MSCHAPv2、EAP-MD5、EAP-TLS和EAP-TLS。TLS允許點(diǎn)對點(diǎn)的保密性和完整性，但是在有中間通信節點(diǎn)的情況下，TLS不能提供端到端的安全，此外，為了實(shí)現用戶(hù)基本權限控制，WebServices需要驗證每個(gè)SOAP消息的來(lái)源。

　　在信息安全方面，公安部《城市監控報警聯(lián)網(wǎng)系統技術(shù)標準安全技術(shù)要求》對此有具體的信息安全章節要求，該標準是由全國安全防范報警系統標準化技術(shù)委員會(huì )制定的，其成立于1987年，負責我國安全防范技術(shù)領(lǐng)域國家標準、行業(yè)標準的制定、修訂工作和對口國際電工委員會(huì )/報警技術(shù)委員會(huì )（IEC/TC79）的工作。