其信息安全技術(shù)要求的主要內(nèi)容總結(jié)如下。
- 公鑰基礎(chǔ)設(shè)施,包括證書(shū)認(rèn)證機(jī)構(gòu)(CA)和3種證書(shū)類型(用戶證書(shū)、設(shè)備證書(shū)和CA證書(shū)),證書(shū)的載體可通過(guò)移動(dòng)存儲(chǔ)介質(zhì)、硬盤、智能卡、USBKey、專用加密設(shè)備,其中USBKev為USB接口帶有算法的令牌,專用加密設(shè)備如加密機(jī),用于產(chǎn)生、存儲(chǔ)和管理密鑰和公鑰證書(shū)。
- 用戶身份認(rèn)證可采用USBKev、靜態(tài)口令、動(dòng)態(tài)口令、智能卡、人體生物特征等。
- 對(duì)標(biāo)準(zhǔn)SIP設(shè)備的認(rèn)證,采用數(shù)字證書(shū)的認(rèn)證方式。
- 在數(shù)據(jù)的加密保護(hù)方面,針對(duì)靜態(tài)存儲(chǔ)文件、傳輸內(nèi)容、信令數(shù)據(jù)定義了可支持的加密算法:DES、3DES、AES(advancedencryptionstandard,高級(jí)加密標(biāo)準(zhǔn))(128bit)、RSA(1024b“或2048bit)、安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議(s/MIME)等。
- 對(duì)信息的完整性采用數(shù)字摘要、數(shù)字時(shí)間戳及數(shù)字水印等技術(shù)防止信息的完整性被破壞。數(shù)字摘要支持信息摘要5(MD5)、安全散列算法1(SHA-1)、安全散列算法256(SHA-256)等算法。
上述兩個(gè)標(biāo)準(zhǔn)對(duì)業(yè)界視頻監(jiān)控?cái)?shù)據(jù)安全機(jī)制的實(shí)現(xiàn)有著重要的指導(dǎo)意義,涵蓋了監(jiān)控業(yè)界主流解決方案。
4.視頻監(jiān)控信息安全機(jī)制的對(duì)比
以業(yè)界一個(gè)典型安全的監(jiān)控系統(tǒng)廠商為例。通常其會(huì)支持多種信息安全方案,包括視頻編解碼算法支持高等級(jí)加密算法;支持傳輸數(shù)據(jù)加密,防止惡意登錄后的瀏覽;圖像碼流包含數(shù)字水印,防止替換和篡改;在信息安全傳輸協(xié)議方面通常支持HTTPS傳輸,確保傳輸安全等。監(jiān)控廠商采用哪一種信息安全機(jī)制標(biāo)準(zhǔn)。與監(jiān)控系統(tǒng)的實(shí)際應(yīng)用場(chǎng)景和系統(tǒng)架構(gòu)有密切關(guān)系。
以O(shè)NVIF規(guī)范為例,ONVIF規(guī)范核心聚焦點(diǎn)在于網(wǎng)絡(luò)視頻傳送設(shè)備與網(wǎng)絡(luò)視頻客戶端之間的接口。因此其典型應(yīng)用場(chǎng)景是:
- 前端監(jiān)控設(shè)備PU上線后,向平臺(tái)CMU發(fā)送hello消息;
- 平臺(tái)CMU需要搜尋設(shè)備時(shí),向前端監(jiān)控設(shè)備PU發(fā)送probe消息;
- 平臺(tái)CMU與前端監(jiān)控設(shè)備PU進(jìn)行信令交互,請(qǐng)求能力集,獲取配置;
- 客戶端CU上線,向平臺(tái)CMU注冊(cè),建立連接;
- 平臺(tái)CMU與客戶端CU進(jìn)行信令交互。傳輸設(shè)備列表;
- 在平臺(tái)CMU的協(xié)調(diào)下,客戶端CU同前端監(jiān)控設(shè)備PU建立連接傳輸碼流。
由上述場(chǎng)景可見(jiàn),ONVIF平臺(tái)CMU的功能在于協(xié)調(diào)CU同前端監(jiān)控設(shè)備PU建立連接傳輸碼流,其針對(duì)信息安全的研究也主要側(cè)重于系統(tǒng)信息安全認(rèn)證和獲取,包括業(yè)務(wù)信令數(shù)據(jù)的安全認(rèn)證、密鑰生成和證書(shū)下載功能,為此,ONVIF定義了用戶證書(shū)和生成機(jī)制,以實(shí)現(xiàn)客戶端與網(wǎng)絡(luò)視頻產(chǎn)品之間安全的授權(quán)訪問(wèn)。
此外,在協(xié)議架構(gòu)方面,ONVIF是基于WebServices協(xié)議的,因此其在信息的安全傳輸方面使用IEEE802.1x驗(yàn)證服務(wù)器和HTTPS保護(hù)機(jī)制,以保證信息點(diǎn)到點(diǎn)的安全傳輸。由于ONVIF平臺(tái)不負(fù)責(zé)音視頻媒體流的轉(zhuǎn)發(fā),是客戶端到攝像頭點(diǎn)到點(diǎn)直連訪問(wèn)音視頻,因此,ONVIF信息安全標(biāo)準(zhǔn)不涉及音視頻媒體數(shù)據(jù)的加密、完整性保護(hù)和傳輸。
公安部《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)標(biāo)準(zhǔn)》行業(yè)標(biāo)準(zhǔn)對(duì)全國(guó)平安城市工程的建設(shè)和監(jiān)控系統(tǒng)相關(guān)設(shè)備的開(kāi)發(fā)起著規(guī)定指導(dǎo)性的作用,需涵蓋國(guó)內(nèi)絕大部分安全防范用視頻監(jiān)控系統(tǒng)的技術(shù)要求,因此該系列標(biāo)準(zhǔn)針對(duì)城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng),從視頻編解碼、信息傳輸和控制、視頻的存儲(chǔ)和播放、平臺(tái)系統(tǒng)、卡口監(jiān)控和比對(duì)、設(shè)備接人和使用、安全和測(cè)試、工程驗(yàn)收等做了較為技術(shù)性的詳盡要求。
因此,與ONVIF規(guī)范不提供完全的服務(wù)器端證書(shū)機(jī)構(gòu)(CA)不同,公安部《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》定義了基于專門證書(shū)認(rèn)證機(jī)構(gòu)認(rèn)證體系,定義了3種證書(shū)類型(用戶證書(shū)、設(shè)備證書(shū)和CA證書(shū)),并統(tǒng)一了證書(shū)的格式,定義了證書(shū)的載體。用戶可采用公安部、國(guó)家密碼管理局等國(guó)家有關(guān)機(jī)構(gòu)認(rèn)證通過(guò)的硬件加密機(jī)(即黑盒子),用于產(chǎn)生、存儲(chǔ)和管理密鑰和公鑰證書(shū)。
此外,與ONVIF規(guī)范側(cè)重于業(yè)務(wù)信令數(shù)據(jù)的安全認(rèn)證不同,《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》在業(yè)務(wù)信令數(shù)據(jù)和音視頻媒體數(shù)據(jù)加密和完整性方面皆定義了可支持的加密算法要求。
5.監(jiān)控系統(tǒng)采用的主流算法
從具體的加密算法方面。針對(duì)信令流和媒體流加密,監(jiān)控系統(tǒng)一般使用DES、3DES、AES(128bit)、RSA(1024bit或2048bit)等加密算法。
DES、3DES是對(duì)稱加密算法,即加密和解密使用相同密鑰的算法。DES使用一個(gè)56bit的密鑰,3DES使用兩個(gè)獨(dú)立密鑰對(duì)明文運(yùn)行DES算法3次,從而得到112bit有效密鑰強(qiáng)度:一般監(jiān)控系統(tǒng)可采用DES、3DES算法保證信令流和媒體流的安全性。
AES為對(duì)稱加密算法,支持長(zhǎng)度為128bit、192bit和256bil的密鑰長(zhǎng)度。其中128bit密鑰長(zhǎng)度的AES是最常采用的版本。也是監(jiān)控系統(tǒng)中采用較多的一種算法。
RSA是非對(duì)稱加密算法。是目前最優(yōu)秀的公鑰方案之一,但是RSA的缺點(diǎn)是運(yùn)算代價(jià)很高,尤其是速度較慢,較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí),因此RSA一般用于對(duì)AES密鑰的安全傳輸。由于AES加密算法是公開(kāi)的,信息的保密依賴于AES密鑰的保密,因此,對(duì)于AES密鑰的安全傳輸,可采用RAS非對(duì)稱加密算法。
監(jiān)控系統(tǒng)中的數(shù)據(jù)除了通過(guò)信令流和媒體流傳輸外,還有很多靜止的數(shù)據(jù),如存儲(chǔ)的錄像文件、音頻數(shù)據(jù),為保證安全性,同樣也需要加密處理。針對(duì)錄像文件加密的方法有很多,可采用3DES、AES(128bit)、SCB2等。
此外,在監(jiān)控系統(tǒng)中。為了確保圖片和視頻數(shù)據(jù)的安全可靠,監(jiān)控系統(tǒng)可采用數(shù)字摘要、數(shù)字時(shí)間戳及數(shù)字水印等技術(shù)防止信息的完整性被破壞。
數(shù)字摘要就是采用單項(xiàng)散列函數(shù)將需要加密的明文“摘要”成一串固定長(zhǎng)度(128bit)的密文,數(shù)字摘要可采用信息摘要5(MD5)、安全散列算法1(SHA-1)、安全散列算法256(SHA-256)等算法。
數(shù)字時(shí)間戳是用來(lái)證明消息的收發(fā)時(shí)間的,用戶首先將需要加時(shí)間戳的文件經(jīng)加密后形成文檔,然后將摘要發(fā)送到專門提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu),該機(jī)構(gòu)對(duì)原摘要加上時(shí)間后,進(jìn)行數(shù)字簽名,用私鑰加密,并發(fā)送給原用戶。
數(shù)字水印技術(shù)。即在抓拍照片或視頻編碼過(guò)程中加入隱藏標(biāo)記,防止該照片或視頻在傳輸、存儲(chǔ)、處理過(guò)程中被惡意篡改,確保數(shù)據(jù)的保密性,水印制作方案采用密碼學(xué)中的加密體系來(lái)加強(qiáng),在水印嵌入、提取時(shí)采用一種密鑰甚至幾種密鑰聯(lián)合使用。
在數(shù)據(jù)安全傳輸協(xié)議方面,監(jiān)控系統(tǒng)通常用到HTTPS、IEEE802.1x(基于端口的網(wǎng)絡(luò)接人控制)協(xié)議、TLS協(xié)議、SRTP(securereal-timetransportprotocol,安全實(shí)時(shí)傳輸控制協(xié)議)。
HTTPS是監(jiān)控系統(tǒng)中應(yīng)用較多的安全傳輸協(xié)議,是由SSL+HTTP構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,一般應(yīng)用于業(yè)務(wù)數(shù)據(jù)信令流的加密。
IEEE802.1x協(xié)議使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和記賬,客戶端通過(guò)認(rèn)證獲得身份驗(yàn)證。為會(huì)話生成唯一密鑰,該密鑰可用于監(jiān)控系統(tǒng)消息安全傳輸。
TLS協(xié)議使得當(dāng)服務(wù)器和客戶機(jī)進(jìn)行通信時(shí),確保沒(méi)有第三方能竊聽(tīng)或盜取信息。TLS協(xié)議包括TLS記錄協(xié)議和TLS握手協(xié)議:TLS記錄協(xié)議可使用如數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)保證連接安全。TLS握手協(xié)議使服務(wù)器和客戶機(jī)在數(shù)據(jù)交換之前進(jìn)行相互鑒定,并協(xié)商加密算法和密鑰。視頻流在傳輸層的加密也可使用SRTP對(duì)傳輸通道進(jìn)行加密,SRTP是在RTP基礎(chǔ)上所定義的一個(gè)協(xié)議,旨在為單播和多播應(yīng)用程序中的實(shí)時(shí)傳輸協(xié)議的數(shù)據(jù)提供加密、消息認(rèn)證、完整性保護(hù)和重放保護(hù)功能。
6.安全機(jī)制的應(yīng)用建議
通常,一個(gè)監(jiān)控系統(tǒng)應(yīng)根據(jù)加密等級(jí)和系統(tǒng)架構(gòu)的不同采用相應(yīng)的安全機(jī)制。
對(duì)于一般的安全監(jiān)控系統(tǒng)。要求支持業(yè)務(wù)數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行安全認(rèn)證和授權(quán),實(shí)現(xiàn)業(yè)務(wù)信令流的加密和傳輸。訪問(wèn)權(quán)限的安全認(rèn)證可采用口令、數(shù)字證書(shū)或數(shù)字摘要等標(biāo)準(zhǔn)算法,信令流的加密算法根據(jù)業(yè)界標(biāo)準(zhǔn)可采用DES、3DES、AES(128bit)等算法,信令流的安全傳輸可根據(jù)監(jiān)控架構(gòu)協(xié)議采用不同的通信安全協(xié)議,如HTTPS、IEEE802.1x等。
對(duì)于需要高度安全和保密的系統(tǒng),不但需要支持信令流的加密,還需要對(duì)傳輸?shù)拿襟w流進(jìn)行加密,一般廠商的視頻編解碼芯片均可支持高等級(jí)音視頻加密算法,如DES、3DES、AES(128bit)等。此外,視頻加密可以采用視頻關(guān)鍵幀或全數(shù)據(jù)加密兩種方式。關(guān)鍵幀是反映一組鏡頭中的主要信息內(nèi)容的一幀圖像,由于視頻監(jiān)控系統(tǒng)攝像頭一般是固定安裝的,其所涉及的場(chǎng)景范圍有限,因此,各幀圖像冗余信息很多,采用全數(shù)據(jù)視頻流加密耗費(fèi)芯片資源,加密費(fèi)用很高,采用關(guān)鍵幀加密可以減少很多工作量。
媒體流和信令流數(shù)據(jù)的加密,不論采用何種加密算法,均涉及密鑰的管理問(wèn)題。