罗云锋++丁涵++许庆光

摘要：视频监控系统面临着一系列安全问题，频频出现视频监控假冒、窃取和非法控制事件。基于可信计算技术，设计了可信视频监控系统安全架构。该架构对系统中的计算设备实施可信安全增强，设计了基于数字证书的双向认证协议，对传输的视频和信令数据进行加密保护。系统验证和分析结果表明，该架构有效提高了视频监控系统的安全防护能力。

关键词：视频监控系统；可信计算；安全架构

DOIDOI：10.11907/rjdk.172657

中图分类号：TP319文献标识码：A文章编号：16727800（2017）010013504

0引言

随着视频监控系统逐渐实现网络化和数字化，视频监控系统面临着一系列安全问题，频频出现视频监控假冒、窃取和非法控制事件[12]。2014年12月，黑客通过摄像机软件漏洞侵入格鲁吉亚输油管道监控系统，关闭警报、切断通信，给管道原油大幅增压，造成输油管道爆炸；2015年2月，“海康威视事件”爆发，部分监视设备被远程控制，黑客可利用系統漏洞与设备缺陷，远程管理权限、窃取监控数据、篡改控制参数，实施信息窃密及对系统的反向控制。因此，需要针对视频监控系统的特征与安全威胁设计安全防护机制，以确保视频监控系统安全可信运行。

1视频监控系统安全威胁

视频监控系统通常由前端设备、传输网络、远程管理监控软件平台3部分组成，如图1所示。

图1视频监控系统结构

前端设备主要面临替换接入、设备漏洞和协议攻击等安全威胁。由于不具备唯一身份标识，设备容易被替换；由于存在弱口令保护、远程登录端口、系统潜在漏洞等风险，容易被攻破并植入恶意代码[3]；通过仿造与软件平台的通信协议，能够模拟采集设备接入到整个监控网，对监控网内的其它设备或主机进行攻击。在传输网络层，传输的视频数据采用标准化编码并以明文方式传输，导致视频数据和协议很容易被窃取和篡改。在软件平台中，其用户身份认证和权限管理机制简单，如采用基于用户名和口令的认证机制，面临通过修改用户权限，非法远程控制和操作前端监控设备的风险。

从视频监控系统攻击和防护角度，其面临的安全威胁可从攻击种类、攻击途径、攻击类型、攻击者类型、影响部件、防护手段等方面描述[45]，如表1所示。

可信计算是一种运算和防护并存的主动免疫计算模式[9]，具有身份认证、可信控制、信息加密等功能。它以密码为基础，建立以可信密码模块为信任根的完整信任链，提供安全可信的计算环境。可信计算为视频监控系统提出了一种新型的主动防护思路，针对视频监控领域面临的安全威胁，对视频监控系统进行改造，构建可信视频监控系统，从系统层面保障视频数据在采集、传输、存储、查看等各个环节的安全。

2可信视频监控系统架构

可信视频监控系统在通用视频监控业务平台的基础上引入可信计算和密码技术，分别从视频监控前端设备、监控管理服务和监控应用3部分实现设备接入认证、系统可信运行、视频数据加密和监控业务信令完整性保护等安全机制，如图2所示。

视频监控前端：前端主要由多种形态的高清网络摄像机组成，在摄像机中引入可信密码模块，构建可信网络摄像机，实现摄像机操作系统完整性保护、摄像机应用软件运行控制、监控业务信令完整性保护以及视频数据加密功能，全面保障监控前端设备的可信以及视频采集安全。

监控管理服务：后端管理平台提供监控管理服务，在服务器端引入可信密码模块，对服务器进行可信增强，实现服务器操作系统和应用软件的完整性保护和运行控制；在原有服务基础上增加设备接入认证以及监控业务信令完整性保护功能，保证前端设备身份可信以及监控业务信令来源合法。

监控应用：在视频展示客户端引入可信密码模块，对客户端进行可信增强，实现服务器操作系统和应用软件的完整性保护和运行控制；基于可信密码模块提供的密码服务实现加密视频实时点播及回放。

2.1设备可信运行保障

对网络摄像机进行可信改造，构建可信网络摄像机。可信网络摄像机支持摄像机可信启动，实现从固件、操作系统到应用程序的信任链传递，同时基于可信软件栈提供的密码服务接口，实现设备接入认证、监控业务信令完整性保护及视频数据加密等功能，其软件组成如图3所示。

可信Bootloader是在嵌入式Bootloader程序基础上加入安全可信部件，存放在Flash只读保护分区，提供平台可信服务和安全增强功能，它在系统上电启动过程中建立并传递信任链，对系统中的操作系统及关键文件进行完整性度量验证，保证在操作系统获得控制权之前，系统是完整可信的。可信软件基利用可信软件栈提供的密码服务接口，对系统服务和应用软件进行完整性度量，阻止未授权程序运行。

监管服务器和监控应用客户端设备通过插接可信密码模块，以及安装可信软件基[10]，对操作系统实施安全增强，阻止未授权程序运行，防止病毒侵袭和黑客攻击。

2.2设备接入认证及加密

摄像机、监控管理服务器和监控应用客户端构成了安全域。采用SM1 分组密码算法对视频进行加密，摄像机（CM）和监控管理服务器（CS）的可信密码模块中配置有证书及私钥，基于证书设计协议实现密钥交换，并实现摄像机与服务器之间的相互认证。

S1：为所有摄像机配置服务器证书。

S2：摄像机通过握手认证协议实现与服务器的认证，同时产生会话密钥。

S2.1 CM发送消息m1到CS请求认证。先用CM私钥对其证书标识ID签名，将签名值与证书标识组成消息m1，Sign（CMs Kpriv， ID），再用CS的公钥对m1加密，E （CSs Kpub， m1），E（）是非对称加密函数，Sign（）是签名函数，确保只有服务器才能解密该消息。

S2.2 CS解密得到m1明文，获取CM证书标识，向证书服务器提取CM证书，验证签名，通过后向CM发送挑战消息m2，m2由随机数R组成，m2先用CS私钥加密，再用CM公钥加密，E（CM′s Kpub， E（CL′sKpriv ， m2）），过程确保了信息保鲜性。endprint

S2.3 CM解密m2，并将R+1组成消息m3，先用CM私钥，再用CS公钥对m3加密，E（CS′s KPUB， E（CM′s KPRIV ， M3）），发送m3至CM。

S2.4 CS解密m3，确认是R增量，CM通过挑战响应，生成消息m4，发送至CM。m4包括接收通知、会话密钥（用于SM1加密）、会话时戳。自此，数据交换会话准备完毕。

S3：采用OFB 模式对数据加密，以防止相同数据产生相同密文。为保证视频和信令数据的完整性，采用SM3 密码杂凑算法，计算视频帧或信令数据的杂凑值。杂凑值被附加在视频流或信令数据上发送至服务器。

3系统验证及安全性分析

3.1验证系统组成

基于通用视频监控系统构建了如图4所示的可信视频监控系统。其中，在高清网络摄像机中嵌入USB接口可信密码模块，开发配套软件形成可信高清网络摄像机；在监控管理服务器上插入PCIE接口可信密码模块，部署可信软件基，对操作系统进行可信增强；开发设备接入认证和加解密软件，按照视频监控国标《GBT 28181公共安全视频监控联网系统信息传输、交换、控制技术要求》协议，按照2.2章节描述的交互流程，通过对协议中的扩展字段进行补充，加入了设备身份认证和监控业务信令完整性验证处理流程，实现终端设备接入认证、信令数据完整性度量以及视频数据加密传输；在监控应用展示平台，在计算机主板上插入PCIE接口可信密码模块，部署可信软件基，对操作系统进行可信增强，按照上文描述的协议开发视频加解密软件，实现对视频数据流的解密应用。

3.2系统性能分析

国标《公共安全视频监控联网信息安全技术要求（征求意见稿）》中对设备认证和视频加密性能进行了规定，因此主要对这两项指标进行分析：

（1）接入认证时间。设备接入认证基于SIP协议实现，故通过网络抓包软件Wireshark抓取监控管理服务器与可信网络摄像机之间的SIP包，记录第一条数据包时间T1和接入成功数据包时间T2，则接入时间T=T1-T2。按照该方法重复100次，获取平均时间。测试结果统计表明，单台设备接入认证时间为0.1s，符合设备身份双向认证时间延迟不超过400ms的规定。

（2）视频数据加密延迟时间。该项指标主要测试因视频数据加密带来的延迟。测试方法是在视频监控客户端上运行计时软件，将可信网络摄像机和普通网络摄像机分别对准监控客户端计时软件拍摄视频，并在监控客户端显示对应视频，通过截屏方式记录拍摄时间和接收时间，对比加密和不加密两种模式下的时间差，得到加密后的视频延迟。按照该方法重复100次，获取平均延迟时间。统计结果表明，视频加密延迟为105ms，符合视频加密带来的延时不超过600ms的规定。

3.3系统安全性分析

针对表1中总结的安全威胁，分析可信视频监控系统的安全性。

（1）弱访问控制或弱认证。构建的安全架构采用基于数字证书的相互认证机制，确保非授权用户无法接入监控网络。

（2）传输层保护不充分。基于非对称算法，采用握手协议协商生成传输加密密钥；基于对称算法对传输的数据进行加密；基于杂凑算法对视频和信令数据进行完整性保护，确保了传输层数据的机密性和完整性。

（3）路径遍历、文件公开导致信息泄露、命令注入、缓冲区溢出等攻击。在网络摄像机设备中引入了可信计算技术，构建以可信密码模块和可信BootLoader为可信根，到操作系统、应用软件的信任链，阻止了未授权程序运行，确保了系统中存在的漏洞不被恶意程序利用，提高了系统可用性。

（4）拒绝服务攻击（DoS）。采用基于数字证书的双向认证机制，非法的计算设备无法连接监控管理服务器，减少了遭受DoS攻击的可能性。

（5）在固件升级时实施攻击。在网络摄像机中构建了可信计算平台，由后台的安全管理系统发送安全策略，在固件升级前检查是否符合安全策略，从而保证固件不被攻击。

（6）通过摄像机镜头等光学接口，采用恶意图片、屏幕泄露、隐写术等方式注入恶意程序攻击。由于对视频监控系统前端设备、监控管理服务器以及监控应用客户端均采用可信计算技术进行安全增强，可阻止恶意程序执行，从而阻止该类攻击。

4结语

针对视频监控系统面临的安全威胁，设计了可信视频监控系统安全架构，在前端设备、监控管理服务器以及监控应用客户端中引入可信密码模块，实施可信安全增强，提高了各计算设备的安全防护能力；设计了基于数字证书的双向认证协议，提高了访问控制及认证强度；通过在线协商密钥的方式对传输的视频和信令数据进行加密保护，保证了数据传输的安全性。系统验证和分析结果表明，该架构有效提高了视频监控系统的安全防护能力。

参考文献参考文献：

[1]WINKLER T， RIIMER B. Security and privacy protection in visual sensor networks： a survy[J]. ACM Computing Surveys， 2014，47（1）：142.

[2]MARASHDA K. Video Security assurance framework based on efficient joint cryptography compression approach[C]. Electronics， Circuits， and Systems （ICECS）， 2013 IEEE 20th International Conference on， Abu Dhabi， 2013：7677.

[3]LI YUSEN， QU PENG. The embedded intelligent network video surveillance system based on ARM and Linux[C]. 2016 IEEE International Conference on Mechatronics and Automation， Harbin， Heilongjiang， China， 2016：10541058.

[4]COSTIN A. Security of CCTV and video surveillance systems： threats， vulnerabilities， attacks， and mitigations[C]. TrustED16， Vienna， Austria， 2016：4554.

[5]OBERMAIER J， HUTLE M. Analyzing the security and privacy of cloudbased video surveillance systems[C]. IoTPTS16，2016：2228.

[6]SERPANOS D， PAPLAMBROU A. Security and privacy in distributed smart camera[J]. Proceedings of the IEEE， 2008，96（10）：16781687.

[7]STUTZ T， UHL A. A survey of H.264 AVC/SVC encryption[J]. IEEE Transaction on Circuits and Systems for Video Technology， 2012，22（3）：325339.

[8]羅羽.视频监控系统中SIP协议安全性研究与实现[D].长沙：国防科学技术大学，2010.

[9]沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学，2010，40（2）：139166.

[10]孙瑜，王溢，洪宇，等.可信软件基技术研究及应用[J].信息安全研究，2017，3（4）：316322.

责任编辑（责任编辑：黄健）endprint