网络视频监控系统信息安全机制盘点

    1.引言

    网络视频监控系统是基于IP网的图像远程监控、传输、存储、管理的视频监控系统，将分散、独立的图像采集点进行联网，实现跨区域的统一监控、统一存储、统一管理、资源共享。

    典型网络视频监控系统主要由前端监控设备（摄像机、视频服务器/编码器）、监控中心（中心服务器）、监控客户端（监控工作站）3部分组成。通过对网络视频监控系统所面临的安全状况的分析，网络视频监控系统的安全性在总体结构上分为4个层次：物理安全、接入安全、传输和网络安全、业务安全和数据安全。

    其中，网络视频监控系统数据安全是指应对用户和权限等业务信息和音视频媒体信息有加密保护措施，包括业务数据的安全性和媒体数据的安全性，业务数据包括用户信息、实时浏览、存储、回放以及数据配置（如设备信息查询、云台功能查询、通道名称设置）等；媒体数据包括各通道传输的视频数据、音频数据以及静态的录像文件等。

    视频监控系统面临的数据安全威胁大体分类如下：

    拒绝服务攻击。导致视频监控系统的业务系统无法正常提供服务：

    漏洞威胁攻击，导致视频监控系统的业务系统无法正常提供服务，数据安全（机密性、完整性和可用性）被破坏：

    病毒蠕虫，带来的数据完整性和可用性损失以及可能的网络可用性损失；

    口令猜测，导致视频监控系统的资源被滥用、业务系统等无法正常提供服务，数据安全（机密性、完整性和可用性）受到破坏；

    视频监控系统的信令，视频数据的不安全远程传输，导致数据安全（机密性、完整性和可用性）受到破坏。

    针对上述数据安全威胁，在数据安全的具体技术和设备要求方面，监控业界不同公司的安全策略不同，下面针对业界关于网络视频监控系统的数据安全机制和方案进行分析。

    2.视频监控系统的信息安全分类

    通常，视频监控系统业务数据和媒体数据采用分离的通道进行操作，其传输通道类型可分为信令流和媒体流。

    （1）信令流加密

    业务数据加密是指每个控制命令或者参数设置命令都必须进行加密处理，采取加密业务信令通道的办法来保证信息的安全性，保证数据鉴别、防篡改、防窥视、鉴别来源、防止非法访问、防伪造。

    系统对信令进行加密，所有信令都使用加密技术，为了支持加密技术，需增加会话准备操作，进行握手交换标识，以读取密码生成密钥，进而对分组进行加密。

    （2）媒体流加密

    对于视频流的实时加密流程与信令流类似，同样需要进行交换标识，以读取密码生成密钥。

    视频流和视频控制信令应以不同的物理通道进行传输，视频控制信令通过信令流传输，视频流通过媒体流传输。

    视频控制协议是视频监控终端与视频设备（视频管理服务器/监控平台、DVR、摄像头等设备）间的控制指令集，即建立视频监控图像连接的基本指令集。为保证通信中指令集不包含网络攻击指令、其他非法字符集或嵌入机密数据向外泄露。视频传输系统应具备视频协议安全控制功能，对所有视频监控交互指令进行严格安全过滤，阻断非法数据传输和网络攻击的入侵。

    3.视频监控信息安全机制的标准情况

    针对网络视频监控系统安全机制，业界主要有ONVIF（Open Network Video Interface Forum，开放型网络视频产品接口开发论坛）、中华人民共和国公安部（以下简称公安部）《城市监控报警联网系统技术标准安全技术要求》、CCSA《电信网视频监控系统安全要求》等标准，此外运营商和厂商各自制定了针对自己系统的安全标准和解决方案，其中ONVIF和《城市监控报警联网系统技术标准安全技术要求》是业界采用比较多的监控标准。

    ONVIF成立于2008年5月。由安讯士网络通讯公司联合博世集团及索尼公司三方携手共同成立，关注IP视频监控，目标是实现一个网络视频框架协议，使不同厂商所生产的网络视频产品（包括摄录前端、录像设备等）完全互通。ONVIF规范向视频监控引入了Web Services的概念。设备的实际功能均被抽象为Web Services的服务，视频监控系统的控制单元以客户端的身份出现，通过Web请求的形式完成控制操作。

    由于ONVIF基于Web Services，Web Services主要利用HTTP和SOAP使数据在Web上传输，其在信息安全方面主要有以下要求：

    获取或设置访问安全策略；

    服务器端HTTPS（secure hypertext transfer protocol，安全超文本传输协议）认证；

    客户端HTTPS认证；

    密钥生成和证书下载功能；

    IEEE 802.1x supplicant认证；

    IEEE 802.1x CA认证：

    IEEE 802.1x配置。

    在信息安全性方面，ONVIF规范支持摘要认证和WS一安全框架。

    在用户认证方面，最基本验证包括HTTP摘要认证和WSS摘要认证（用户名令牌描述（username token profile）），高级验证包括TLS-based access。

    在用户认证通过后，通过“获取或设置访问安全策略”实现基于用户的权限控制，以授权其能访问的前端监控设备。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!