网络视频监控系统信息安全机制盘点

[page]    用户名令牌描述必须使用随机数和时间戳作为定义（根据WS-usemame token），因为系统为每个摄像头设备提供不同证书不太现实，因此系统对客户端使用用户名令牌描述和主要权限验证，这样就需使用密码加密算法，算法主要采用SHA-1函数和HMAC算法。举例来说，某一用户A，其用户名令牌为UA，P-UA，该用户要访问的终端设备为NEP，则PE_UA=base64（HMAC-SHA-1（UA+P_UA，NEP+“0NVIF password”））即为其客户端配置的用户证书和设备权限验证，其中HMAC_SHA-1是一种安全的基于加密散列（Hash）函数和共享密钥的消息认证协议，它可以有效地防止数据在传输过程中被截获和篡改。维护了数据的完整性、可靠性和安全性。

    在信息的安全通信层面，0NVIF规范定义了两种通信层面的安全架构：传输层安全（transpon layer security，TLS）和消息层安全。

    传输层安全协议用于保护0NⅥF提供的所有服务。同时还需要保护媒体流的RTP（real.time tmsport protocol，实时传输协议），RTSP/HTTPS。

    设备应该支持TLS 1.0、TLS 1.1，可以支持TLS 1.2；加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。

    客户端应支持TLS 1.1、TLS 1.0，加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_NULL_SHA。

    服务器端认证：设备支持X.509（X.509是由国际电信联盟（ITU-T）制定的数字证书标准）服务器认证。RSA key长度至少为l024 bit：客户端支持TLS服务器认证。

    客户端认证：支持哪的设备应该支持客户端认证，客户端认证功能可以在设备管理命令中禁止和启用。支持TLS的设备应该在证书请求中支持R5A认证类型。而且应该支持RSA客户端认证和签名验证。

    信息层面的安全。规范采用基于端口的安全框架IEEE 802.1x， 支持EAP-PEAP/MSCHAPv2、EAP-MD5、EAP-TLS和EAP-TLS。TLS允许点对点的保密性和完整性，但是在有中间通信节点的情况下，TLS不能提供端到端的安全，此外，为了实现用户基本权限控制，Web Services需要验证每个SOAP消息的来源。

    在信息安全方面，公安部《城市监控报警联网系统技术标准安全技术要求》对此有具体的信息安全章节要求，该标准是由全国安全防范报警系统标准化技术委员会制定的，其成立于1987年，负责我国安全防范技术领域国家标准、行业标准的制定、修订工作和对口国际电工委员会/报警技术委员会（IEC/TC79）的工作。

    其信息安全技术要求的主要内容总结如下。

    公钥基础设施，包括证书认证机构（CA）和3种证书类型（用户证书、设备证书和CA证书），证书的载体可通过移动存储介质、硬盘、智能卡、USBKey、专用加密设备，其中USBKev为USB接口带有算法的令牌，专用加密设备如加密机，用于产生、存储和管理密钥和公钥证书。

    用户身份认证可采用USBKev、静态口令、动态口令、智能卡、人体生物特征等。

    对标准SIP设备的认证，采用数字证书的认证方式。

    在数据的加密保护方面，针对静态存储文件、传输内容、信令数据定义了可支持的加密算法：DES、3DES、AES（advanced encryption standard，高级加密标准）（128 bit）、RSA（1024 b“或2048 bit）、安全多用途网际邮件扩充协议（s/MIME）等。

    对信息的完整性采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏。数字摘要支持信息摘要5（MD5）、安全散列算法1（SHA-1）、安全散列算法256（SHA-256）等算法。

    上述两个标准对业界视频监控数据安全机制的实现有着重要的指导意义，涵盖了监控业界主流解决方案。

    4.视频监控信息安全机制的对比

    以业界一个典型安全的监控系统厂商为例。通常其会支持多种信息安全方案，包括视频编解码算法支持高等级加密算法；支持传输数据加密，防止恶意登录后的浏览；图像码流包含数字水印，防止替换和篡改；在信息安全传输协议方面通常支持HTTPS传输，确保传输安全等。监控厂商采用哪一种信息安全机制标准。与监控系统的实际应用场景和系统架构有密切关系。

    以ONVIF规范为例，ONVIF规范核心聚焦点在于网络视频传送设备与网络视频客户端之间的接口。因此其典型应用场景是：

    前端监控设备PU上线后，向平台CMU发送hello消息；

    平台CMU需要搜寻设备时，向前端监控设备PU发送probe消息；

    平台CMU与前端监控设备PU进行信令交互，请求能力集，获取配置：

    客户端CU上线，向平台CMU注册，建立连接：

    平台CMU与客户端CU进行信令交互。传输设备列表：

    在平台CMU的协调下，客户端CU同前端监控设备PU建立连接传输码流。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!