网络视频监控系统信息安全机制盘点

    由上述场景可见，ONVIF平台CMU的功能在于协调CU同前端监控设备PU建立连接传输码流，其针对信息安全的研究也主要侧重于系统信息安全认证和获取，包括业务信令数据的安全认证、密钥生成和证书下载功能，为此，ONVIF定义了用户证书和生成机制，以实现客户端与网络视频产品之间安全的授权访问。

[page]    此外，在协议架构方面，ONVIF是基于Web Services协议的，因此其在信息的安全传输方面使用IEEE 802.1x验证服务器和HTTPS保护机制，以保证信息点到点的安全传输。由于ONVIF平台不负责音视频媒体流的转发，是客户端到摄像头点到点直连访问音视频，因此，ONVIF信息安全标准不涉及音视频媒体数据的加密、完整性保护和传输。

    公安部《城市监控报警联网系统标准》行业标准对全国平安城市工程的建设和监控系统相关设备的开发起着规定指导性的作用，需涵盖国内绝大部分安全防范用视频监控系统的技术要求，因此该系列标准针对城市监控报警联网系统，从视频编解码、信息传输和控制、视频的存储和播放、平台系统、卡口监控和比对、设备接人和使用、安全和测试、工程验收等做了较为技术性的详尽要求。

    因此，与ONVIF规范不提供完全的服务器端证书机构（CA）不同，公安部《城市监控报警联网系统技术标准安全技术要求》定义了基于专门证书认证机构认证体系，定义了3种证书类型（用户证书、设备证书和CA证书），并统一了证书的格式，定义了证书的载体。用户可采用公安部、国家密码管理局等国家有关机构认证通过的硬件加密机（即黑盒子），用于产生、存储和管理密钥和公钥证书。

    此外，与ONVIF规范侧重于业务信令数据的安全认证不同，《城市监控报警联网系统技术标准安全技术要求》在业务信令数据和音视频媒体数据加密和完整性方面皆定义了可支持的加密算法要求。

    5.监控系统采用的主流算法

    从具体的加密算法方面。针对信令流和媒体流加密，监控系统一般使用DES、3DES、AES（128 bit）、RSA（1024 bit或2048 bit）等加密算法。

    DES、3DES是对称加密算法，即加密和解密使用相同密钥的算法。DES使用一个56 bit的密钥，3DES使用两个独立密钥对明文运行DES算法3次，从而得到112 bit有效密钥强度：一般监控系统可采用DES、3DES算法保证信令流和媒体流的安全性。

    AES为对称加密算法，支持长度为128 bit、192 bit和256 bil的密钥长度。其中128 bit密钥长度的AES是最常采用的版本。也是监控系统中采用较多的一种算法。

    RSA是非对称加密算法。是目前最优秀的公钥方案之一，但是RSA的缺点是运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级，因此RSA一般用于对AES密钥的安全传输。由于AES加密算法是公开的，信息的保密依赖于AES密钥的保密，因此，对于AES密钥的安全传输，可采用RAS非对称加密算法。

    监控系统中的数据除了通过信令流和媒体流传输外，还有很多静止的数据，如存储的录像文件、音频数据，为保证安全性，同样也需要加密处理。针对录像文件加密的方法有很多，可采用3DES、AES（128 bit）、SCB2等。

    此外，在监控系统中。为了确保图片和视频数据的安全可靠，监控系统可采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏。

    数字摘要就是采用单项散列函数将需要加密的明文“摘要”成一串固定长度（128 bit）的密文，数字摘要可采用信息摘要5（MD5）、安全散列算法1（SHA-1）、安全散列算法256（SHA-256）等算法。

    数字时间戳是用来证明消息的收发时间的，用户首先将需要加时间戳的文件经加密后形成文档，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原摘要加上时间后，进行数字签名，用私钥加密，并发送给原用户。

    数字水印技术。即在抓拍照片或视频编码过程中加入隐藏标记，防止该照片或视频在传输、存储、处理过程中被恶意篡改，确保数据的保密性，水印制作方案采用密码学中的加密体系来加强，在水印嵌入、提取时采用一种密钥甚至几种密钥联合使用。

    在数据安全传输协议方面，监控系统通常用到HTTPS、IEEE 802.1x（基于端口的网络接人控制）协议、TLS协议、SRTP（secure real-time transport protocol，安全实时传输控制协议）。

    HTTPS是监控系统中应用较多的安全传输协议，是由SSL+HTTP构建的可进行加密传输、身份认证的网络协议，一般应用于业务数据信令流的加密。

    IEEE 802.1x协议使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理和记账，客户端通过认证获得身份验证。为会话生成唯一密钥，该密钥可用于监控系统消息安全传输。

    TLS协议使得当服务器和客户机进行通信时，确保没有第三方能窃听或盗取信息。TLS协议包括TLS记录协议和TLS握手协议：TLS记录协议可使用如数据加密标准（DES）保证连接安全。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并协商加密算法和密钥。视频流在传输层的加密也可使用SRTP对传输通道进行加密，SRTP是在RTP基础上所定义的一个协议，旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保护和重放保护功能。

    6.安全机制的应用建议

    通常，一个监控系统应根据加密等级和系统架构的不同采用相应的安全机制。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!