13798403009
0755-89968730
新闻详情
视频监控系统数据的安全性
发表时间:2018-09-21 16:52

网络视频监控系统数据的安全性包括用户音视颗信息的安全性和监控用户信息的安全性。对于网络视频监控的客户或认证信息,系统采取加密的办法来保证信息的安全性;对于存储的静态数据或文件,可以采用数据或文件加密的方式确保信息的完整性;对于需要高度安全和保密的系统,不但需要对访问权限进行安全认证,还需要对传输的数据和码流进行加密。

下面介绍视频监控系统的加密策略。加密策略包含视频信息数字水印技术、普通的AES加密和基于CA的AES高级别加密

一、数字水印技术

在视频监控系统中,为了确保图片和视频数据的安全可靠,可采用数字水印技术( DigitalWatermark),即在抓拍照片或视频编码过程中加入隐藏标记,防止该照片或视在传输存储、处理过程中被恶意篡改,确保数据的保密性。

数字水印技术是通过一定的算法将一些标志性信息直接嵌入视频内容当中,达到防篡改的目的,但不影响原内容的价值和使用,并且不能被人的感知系统觉察或注意到与传统的加密技术不同,数字水印技术可以判别对象是否受到保护,监视被保护数据的传播,鉴别真伪,为法庭提供认证证据。为了给攻击者增加去除水印的难度,水印制作方案采用密码学中的加密体系来加强,在水印被入、提取时采用一种密钥甚至几种密钥联合使用

数字水印技术按水印提取时的条件可分私有水印、半公开水印和公开水印。私有水印指提取水印时需要原始载体图像。半公开水印指提取水印时不需要原始载体图像公开水印指提取水印时不需要原始载体图像并且水印是有意义的信息,如一段文字幅图像或商标、一段录音等。

按抗攻击能力,数字水印可分为鲁棒性水印和脆弱性水印,前者主要用于版权保护和使用跟踪方面,后者主要用于信息的完整性认证方面。

鲁棒性水印是实现版权保护的有效办法,已成为多媒体信息安全研究领域的一个热点,也是信息隐藏技术研究领域的重要分支。它通过在原始数据中嵌人秘密信息—一水印来证实该数据的所有权,被嵌入的水印可以是一段文字、标识、序列号等。水印通常不可见或不可察,它与原始数据(如图像、音频、视频数据等)紧密结合并隐藏其中,成为源数据不可分离的一部分。

脆弱性水印除具备信息隐藏技术的一般特点外,还有其固有的特点和研究方法。例如,从信息安全保密的角度,隐藏的信息如果被破坏掉,系统可以视为安全的,因为秘密信息并未泄露。但是在数字水印系统中,隐藏信息的丢失意味着版权信息的丢失,从而失去版权保护的功能,这一系统就是失败的。因此数字水印技术必须具有较强的鲁棒性、安全性和透明性。

二、普通的AES加密

1.AES加密原理

随着对称密码的发展,DES数据加密标准算法由于密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求,因此1997年NST( National Institute ofStandards and Technology,美国国家标准与技术研究院)公开征集新的数据加密标准,即AES。此算法成为美国新的数据加密标准而被广泛应用在各个领域中。尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准,汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128、192、256位,相对而言,AES的128密钥比DES的56密钥强1021倍。

AES是分组密钥,算法输入128位数据,密钥长度也是128位。用N表示对一个据分组加密的轮数。每一轮都需要一个与输入分组具有相同长度的扩展密钥Expandedkey(i)的参与。由于外部输入的加密密钥K长度有限,所以在算法中要用一个密钥扩展程序把外部密钥K扩展成更长的比特串,以生成各轮的加密和解密密钥。

1针对中心服务器进行加密

在视频监控系统中对数据的加密属于“通信加密”,即对实时传输过程中的数据进行加密。对中心服务器的加密,即针对每个中心服务器进行的加密。不同的中心服务器使用不同的密钥。每个中心服务器定期随机产生一个密钥,中心服务器下的所有终端设备可以获得该密钥。终端设备使用该密钥对发送出去的数据进行加密,对接收的数据解密,保障信息在传输过程中的安全性。

2使用AES加密算

AES即FPS197,是NST于2001年发布的加密系统。AES采用128位的分组长支持长度为128、192和256位的密钥长度。128位密钥长度的AES是最常采用的版本。128位的密钥长度能够提供足够的安全性,而且比更长的密钥需要较少的处理时间。到日前为止,AES还没有出现任何致命缺陷。

AES加密算法属于对称加密系统,使用同一个密钥来对数据进行加密和解密。该算法实现速度快,适于对实时的数据流进行加解密,易于软件或硬件实现。对于嵌入式设备,多使用硬件加密的方式;对于桌面式终端,可以使用软件加密的方式

3对信令和码流加密

可以对中心服务器中的信令和码流全部进行加密,窃听者接收不到任何信息,保障监控系统的绝对安全

4对所有监控设备加密

对监控中的所有设备,包括编解码器、中心服务器以及录像机等外设全部进行加密,保证网络上传输的所有信令和码流都是保密的,不会被别人窃取。

5AES密钥进行安全的管理

AES加密算法是公开的,因此信息的保密依赖于密钥的保密,如果密钥被泄露出去,别人就可以解密出所有的内容。对于密钥的保密,监控系统采用RSA非对称加密算法,实现对AES密钥的安全传输。

RSA密钥包括秘密密钥(SK)和公开密钥(PK)。对于终端以及外设等设备,用户可以通过用户界面随机生成自己的RSA密钥对SKi和PKi。秘密密钥SKi保存在本地设备上,公开密钥PKi可以通过电话、邮件等方式发送到中心服务器。中心服务器通过邮件或电话等方式对各个设备的公开密钥PKi进行确认,确认无误后,将各个设备的公开密钥PKi配置在中心服务器上,以后中心服务器将使用这些PKi传送监控的AES密钥的安全传输。

中心服务器会定期随机产生一个AES密钥,分别使用各个终端及外设配置的公开密钥PKi对Key进行加密,并将加密结果PKi(Key)发往各个设备,各个设备用自己的秘密密钥SKi对收到的内容进行解密,即SKi(PKi(Key))=Key,即可获取AES密钥Key。在以后的监控过程中,所有设备就可以使用该AES密钥Key对信令和码流进行加密和解密。

2.配置数据的加密流程

配置数据加密是指每个控制命令或者参数设置命令都必须进行加密处理

加密方法采用AES的CTR模式(加密方式,密码算法产生一个16字节的伪随机码流,伪随机码块与输入的明文进行异或运算后产生密文输出。密文与同样的伪随机码进行异或运算后可以重产生明文)加密,CTR模式Ⅳ值取全0.不满一个AES加密块的XML尾部补0对齐。AES的密钥长度和AES加密块单元的长度都是16字节或128比特。

AES加密后的结果用BASE64转码成ASCⅡ码,成为在SP报文中传输的 Content字段。SP的 Content- Length应该是BASE64转码后的ASC码长度。

为了调试或进行其他选择,平台、监控终端和客户端都必须支持统一的开关,可以方便开启或关闭命令加密功能。

3.视频数据的加密流程

监控平台、监控终端、监控客户端必须具备采用统一的加解密模块和密钥产生模块的能力,每个中心服务器定期随机产生一个密钥。中心服务器下的所有终端设备可以获得该密钥,终端设备使用该密钥对发送出去的数据加密,对接收的数据解密,保障信息在传输过程中的安全性。

视频加密可以采用视频关键帧或全数据加密两种方式。视频加密方法采用AFS的CTR模式加密,每一个RP包相互独立加密,每个RTP包的CT模式值取全0,不一个AES加密块的包尾部补0对齐。AES的密钥长度和AES加密块单元的长度都是16字节或128比特。关键帧加密和全数据加密协商采用SDP扩展。SDP增加一个属性,名为 securly,取值为 FReam, Whole和Noe,分别表示关键帧加密、全数据加密和不加密

三、基于CA进行安全管理

信息的保密依赖于密钥的保密,如果密钥被泄露出去,别人就可以解密出所有的内容对于密钥的保密,视频监控系统采用RSA非对称加密算法,实现对AES密钥Key的安全传输。考虑到对设备的认证,目前采用电子商务中普遍采用的CA(数字证书认证中心)对设备进行发放、管理和废除。

由于CA拥有一个证书(内含公钥),有它自己的私钥,所以它有签字的能力。监控设备可以通过验证CA的签字从而信任CA,任何设备都可以得到CA的证书(含公钥),用以验证它所签发的证书

1.设备获取证书

RSA密钥包括秘密密钥和公开密钥。对于中心服务器、终端以及外设等设备,可以通过用户界面随机生成自己的一对RSA密钥SKi和PKi,秘密密钥SKi保存在本地设上,公开密钥PKi和设备信息可以通过CA的公钥加密后发送到CA。CA收到并用CA密钥进行解密后,得到各个设备的公开密钥PKi和信息,经过确认无误后,把设备PKi以及设备信息绑在一起,打上CA的签字,形成证书,并把该证书发送到该设备,设备收到证书后用CA公钥进行签名认证无误后,保存证书。

2.中心服务器验证证书

设备把获取的证书发送到中心服务器,中心服务器通过CA的公钥进行签名验证,通过后获取设备的公钥PKi,保存在中心服务器,以后中心服务器将使用这些PKi传送监控的1ES密钥。同理,终端以及外设等设备通过同样操作,在中心服务器上验证并保存其证书。

3.生成AES密

中心服务器会定期随机产生一个AES密钥Key,分别使用各个终端及外设配置的公开密钥PKi对Key进行加密;对加密数据再打上自己的签名,将结果Pki(Key)发往各个设备;各个设备收到后,先对中心服务器的公钥进行签名认证,通过后用自己的秘密密钥SKi对收到的内容进行解密,即Ski(PKi(Key))=Key,即可获取AES密钥key。在以后的监控过程中,所有设备就可以使用该AES密钥Key对信令和码流进行加密和解密。

视频监控安全防范系统采取上述系统安全和密钥管理措施,完全可以保证系统的安全性和保密性



分享到:
qrCode
关注我们: