周 云

（78111部队，四川 成都 610011）

0 引 言

近年来，网络视频监控系统因安全防护薄弱，被黑客利用设备漏洞实施攻击的事件频频发生。2016年10月21日，黑客利用监控摄像机漏洞植入恶意代码使其成为攻击源，对美国境内域名服务器进行大规模DDoS攻击，造成美国国内大规模网络瘫痪。视频监控系统的安全问题由此事件引发了全球性关注。由于视频监控系统安全设计上的缺陷，视频设备易受远程非法控制、通信协议易被模拟攻击、视频流易被旁路截取篡改、视频数据无机密性保护等安全问题尤为突出。

目前，视频监控系统的安全防范在国家标准（GB28181-2016）中对视频信息传输、交换、控制等提出了相关技术要求[1]。文献[2-3]也对网络视频监控系统中的安全机制和安全保障进行了分析。随着可信计算的快速发展和工程化应用[4-6]，基于可信计算的可信视频监控构建成为可能。以身份认证、数据加密技术为核心，结合密钥管理技术、可信计算技术和安全防护技术，通过对前端视频设备、后端管理平台以及视频数据进行一体化的可信安全保密设计，构建了可信安全的视频监控体系。

1 视频监控可信体系

视频监控可信体系架构由可信计算节点和可信服务管理平台两部分构成。可信计算节点主要指视频监控前端设备（如高清网络摄像机），可信服务管理平台主要由密钥管理、认证管理和权限管理等构成。可信计算节点和可信服务管理平台通过IP网络实现通信互联。视频监控可信体系架构如图1所示。

图1 视频监控可信体系架构

1.1 可信计算节点

可信计算节点分为可信硬件层、可作操作系统层、可信核心服务层以及可信应用层。

1.1.1 可信硬件层

可信硬件层主要通过在监控摄像机主板（宿主平台）上加装可信加密模块（TPCM）实现。为满足通信带宽和接口通用性要求，TPCM与宿主平台间采用标准USB2.0接口通信。TPCM作为可信根，为系统提供对称/非对称加密、完整性度量、安全存储以及签名验证功能。TPCM功能结构如图2所示。

1.1.2 可信操作系统层

可信嵌入式操作系统主要由可信引导启动程序（Bootloader）和可信嵌入式Linux内核镜像（含嵌入式根文件系统）组成。

（1）可信引导启动

Bootloader一般存储于外部FLASH，主要完成CPU运行环境的建立、存储以及必要硬件的板级初始化，为操作系统加载、运行提供最基本的环境。在可信嵌入式操作系统中，Bootloader存放在FLASH受保护区域，以保证外部不对其进行修改或扩充。Bootloader完成基本初始化工作，在加载操作系统前，通过调用TPCM提供的引导程序度量接口，实现对操作系统镜像数据完整性的度量。只有实际度量值与存储在TPCM中的度量值一致时，才能引导系统启动；否则，停止执行。

（2）可信内核加载

嵌入式Linux内核镜像加载运行后，完成系统硬件初始化（包括TPCM核态驱动加载、可信服务核态模块驱动加载等），实现基础可信环境建立，保证可信上层服务程序可靠访问TPCM提供的可信服务。

从引导程序启动、嵌入式Linux内核镜像加载到基础可信环境建立，通过逐级校验方式实现信任链传递，完成可信操作系统启动，从而实现系统信任边界扩展至上层应用。

图2 TPCM功能结构

1.1.3 可信核心服务层

可信核心服务层基于操作系统核态提供可信服务。可信核心服务层提供统一的可信支持基础服务框架，基于此框架提供相应接口，实现可信运行控制和安全功能组件。

（1）可信运行控制

可信运行控制由控制机制、判定机制、度量机制和可信基准库共同完成。系统运行时的控制机制、判定机制、度量机制和可信基准库的完整性由基本信任基保证。可信运行控制基本框架如图3所示。

图3 可信运行控制基本框架

（2）可信运行控制流程

①控制机制依据控制策略对系统调用实施主动控制，并将受度量对象上下文信息传递给度量机制。

②度量机制依据度量策略对受度量信息进行可信度量，并将度量结果传递至判定机制。

③判定机制依据判定策略对度量机制产生的度量结果进行综合判定，并将判定结果传递至控制机制。

④控制机制根据判定机制返回的判定结果对受度量对象进行处置，包括执行、阻止、隔离和审计等。

（3）安全功能组件

安全功能组件主要基于可信基础框架接口，对上层业务应用提供设备身份认证、数据加解密以及签名验证服务等，建立远程可信服务平台与前端设备间的安全通道，实现可信服务平台对前端设备策略下发、状态获取等远程可靠管理。

1.1.4 可信应用层

可信应用层是在已建立的可信运行环境中实现对视频监控业务应用的安全加固，如视频数据信源加密、监控摄像机与业务接入平台间基于数字证书的身份校验以及监控业务信令保护等。

（1）安全加固

通过对GB28181协议进行安全加固，在监控摄像机和信令网关之间的认证协议中增加密钥协商处理过程，经协商得到会话密钥，并在后续信令传递中使用带会话密钥的验证方式，有效保护信令的完整性。

（2）数字证书

统一管理系统内可信密码模块存储的证书，通过配置证书注册代理，将证书及密钥数据导入可信综合计算管理系统，由可信计算综合管理系统将证书及密钥数据写入可信密码模块，从而有效保证身份校验所需数字证书的安全可信。

（3）信令保护

在原有信令网关架构基础上，通过增加信令安全加固模块，构建信令安全网关。当信令安全网关接收信令时，调用信令安全加固模块验证信令有效性后，再进入原有的信令解析流程。当信令安全网关发送信令时，调用信令安全加固模块对信令进行安全加固计算后再发送，从而有效保证信令的安全性。

1.2 可信服务管理平台

1.2.1 密钥管理

视频监控的密钥管理体系架构采用技术合理、安全性高的分层密钥保护体系。密钥类型包括设备密钥、会话密钥和视频密钥。

（1）设备密钥

设备密钥是视频加密和会话加密的基础。设备密钥由证书签发机构签发设备证书并指定有效期。设备密钥失效时，视频加密和会话加密请求将被相关密码模块拒绝。设备密钥更换所需的签名证书、加密密钥保护结构、加密证书和证书签发机构根证书，通过API接口离线导入。

（2）会话密钥

会话密钥加密密钥是身份认证中协商产生的密钥，用于信令数据中的会话工作密钥及附属信息保护。会话密钥加密密钥由视频密码模块和密钥管理系统协商产生，并定期触发新的密钥协商，产生新的会话密钥加密密钥。会话工作密钥由使用方产生，用于加密信令数据，并由视频密码模块定期更新。

（3）视频密钥

视频密钥加密密钥是密钥管理系统分发，用于视频数据中的视频工作密钥及附属信息加密保护。视频密码模块定期更新视频密钥加密密钥，由密码模块产生，用于加密视频数据。视频工作密钥由视频密码模块定期更新。

1.2.2 认证管理

（1）PKI体系结构

PKI（Public Key Infrastructure）体系结构以可信机构为基础，结合公钥密码和对称密码，通过自动管理密钥和证书，为用户建立安全网络运行环境，使用户可以在多种应用环境下方便使用加密和数字签名技术，从而保证网上数据的机密性、完整性和有效性。

（2）证书认证体系

CA（Certificate Authority）认证中心主要负责产生、分配并管理所有网上实体所需的身份认证数字证书。每份数字证书都与上级的数字签名证书相关联，通过安全链可追溯到已知并被广泛认为是安全的、权威的、可信赖的、公正的机构，即根认证中心（根CA）。

RA（Register Authority）注册中心具有证书的申请、审批、下载、OCSP和LDAP等功能，为认证体系提供电子认证服务。RA可直接继承CA认证的合法性，使客户以自己的名义发放证书。

（3）USB Key身份认证

USB Key是一种USB接口的硬件设备，内置智能卡芯片，可以存储用户数字证书。利用USB Key内置密码算法，可实现对用户身份的合法性认证。基于USB Key的身份认证通过采用软硬件相结合、一次一密的强双因子认证模式，能很好地解决安全性与易用性之间的矛盾。

1.2.3 权限管理

PMI（Privilege Management Infrastructure）是构建在PKI基础上的权限管理体系。基于PMI的权限管理根据具体应用环境定制应用系统的授权管理策略（包含应用系统中所有用户和资源信息，用户和信息的组织管理方式，用户和资源之间的权限关系，保证安全的管理授权约束等），采用基于角色的访问控制（RBAC）机制，通过属性权威（AA，Attributes Authority）签发属性证书（AC，Attributes Certificate），明确用户在具体应用系统中的角色和权限信息（角色具有的权限在授权管理策略中指定）。用户通过身份认证后，系统确认用户的角色信息，授权管理策略服务器根据策略对角色、访问请求和访问目标进行授权决策，并依据决策结果实施对访问目标的执行访问或拒绝访问。

2 视频监控安全体系

2.1 视频监控安全域

安全域是网络安全防护的基础。每个安全域内具有相同的安全需求和安全策略。分域保护框架为明确各域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。

按照信息系统重要性和网络边界特性，视频监控安全域可划分为前端接入区、出口接入区、业务系统区、核心交换区和安全管理区等。其中，前端接入区是指视频监控前端设备接入、汇聚的网络区域；出口接入区是指不同区域间互连边界的网络区域；业务系统区是指视频监控业务所在的网络区域；核心管控区是指视频监控管理平台所在的网络区域；安全管理区是指安全管控设备所在的网络区域。各区域采用物理防火墙隔离、虚拟防火墙隔离和VLAN隔离等方式实现安全域划分。

2.2 系统内部安全

2.2.1 可信安全计算环境

传统视频监控系统缺乏对设备的主动安全防护手段。系统运行的软件环境状态无法实现可信可控，易遭受安全威胁。视频监控可信计算环境以密码技术为基础，可信密码模块为可信根，可信软件基为核心，建立一条从硬件部件到应用程序“一环验证一环，一环信任一环”的完整信任链，为视频监控提供可信安全的应用计算环境。

2.2.2 用户身份认证

用户身份认证综合应用数字证书和可信计算技术，为系统内的计算设施提供登录认证功能。用户身份认证系统由可信密码模块、可信软件基和数字证书管理系统等组成。数字证书管理系统实现证书的统一签发与管理。可信密码模块和可信软件基部署于计算设施上实现认证接口功能和登录控制。

2.2.3 端口与外设安全控制

端口与外设安全控制系统由服务器端和客户端组成。服务器端集成部署于安全管理服务器中，客户端以软件形式部署于各计算设施上，实现外设访问控制、外联设备控制、自身安全保护、TCP/UDP网络端口资源访问控制、CDROM和USB存储器和打印机等计算设施外设使用控制等。

2.2.4 网络防病毒

网络防病毒系统由服务器端和客户端组成。服务器端集成部署于安全管理服务器中，客户端以软件形式部署于各计算设施上，形成防范病毒传播破坏系统的屏障，通过定时查杀、实时查杀、手动查杀和主动防御等手段，保障网络内系统免受病毒破坏。

2.2.5 补丁分发

补丁分发系统通过自动分发补丁程序，实现计算设施操作系统漏洞的自动修复，提高修复系统漏洞的效率，同时减少安全管理人员的工作复杂度。

2.2.6 漏洞扫描

漏洞扫描系统可对计算设施操作系统、网络设备的漏洞及开启服务进行全面扫描，分析漏洞扫描结果，为系统提供有效的安全风险评估。

2.3 系统边界安全

2.3.1 安全网络传输

网络密码机部署于安全区内网的网络出口处，利用IPSec技术构建安全区间的安全网络传输通道，通过网络层加密保护，为系统远程传输业务信息实施透明的机密性、完整性保护。

2.3.2 路由信令安全

信令安全路由网关在现有标准信令（GB/T-28181标准）网关基础上通过集成PCI-E可信密码模块，在保证现有信令安全路由网关功能前提下，提供对接入设备的身份认证和控制信令的完整性和真实性保护。

2.3.3 边界防火墙

边界防火墙部署于安全区内部的接入交换机和网络密码机之间，根据网络协议和端口需求配置安全防护规则，防止外部用户非法访问内部网络资源，保护内网设备不被破坏，实现边界逻辑隔离、网络访问控制和网络异常流量识别等边界防护功能。

2.3.4 网络入侵检测

网络入侵检测实时检测和发现网络攻击行为和非法操作、用户违规网络行为审计、网络异常流量检测分析，对入侵行为告警并采取主动反应措施，对安全事件进行取证、追踪定位。

2.3.5 网络流量监测

网络流量监测通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的跟踪定位。

2.3.6 网络单向传送

网络单向传送用于实现不同安全级别网络域间数据的单向传输，确保低密级网络域数据资源安全导入到高密级网络域，阻断高密级网络域数据资源的反向传输途径，为实现不同密级的数据资源融合提供安全支撑手段。

2.4 视频应用安全

2.4.1 视频监控前端安全

通过集成可信密码模块，对视频监控前端设备（高清网络摄像机）进行可信加固，将常规视频监控摄像机加固为可信视频监控系统前端，实现监控视频数据采集和分发的安全保障。

2.4.2 监控管理平台安全

平台实现对视频监控系统的监控业务控制和管理服务，实现流媒体分发、监控视频存储和回放、监控系统配置及运维以及监控系统联动及预案等的安全管理。平台通过信令安全路由网关实现视频监控信令安全传输，并对系统中设备密钥资源和视频监控前端设备安全策略进行统一管理。

2.4.3 监控视频展示安全

视频监控客户端收到集成管理平台转发的加密视频流后，使用分析出的标识信息从密钥管理系统获得视频密钥加密密钥，采用硬件PCI-E板卡解密出加密视频流信息并显示。视频监控解码设备则通过设备中集成的PCI-E接口可信密码模块解密出加密视频流信息并播放展示。

2.4.4 监控视频数据安全

高清监控视频信息容量大，为满足数据吞吐量和图像保真要求，采用设备源端加密方式，在视频监控前端设备内置视频密码模块，使用硬件安全芯片，采用对称算法对视频数据进行高速加密。同时，仅对有效视频数据载荷加密，保证加密视频数据的正常转发和多点同看。视频数据以密文方式在网上传输和集中存储，从而实现视频数据的安全保护。

3 视频监控可信安全综合管理

3.1 可信计算管理

可信密码模块接受可信计算综合管理系统的管理。可信计算综合管理系统为可信计算平台提供可信运行控制策略在线/离线管理、状态的监控以及可信密码模块和用户基本信息的维护，为可信密码模块提供密钥/证书的在线或离线分发以及密码资源的远程销毁。

3.2 数字证书管理

数据证书管理系统对系统内可信密码模块的证书进行统一管理，由证书注册代理将证书及密钥数据导入到可信计算综合管理系统，通过可信计算综合管理系统将证书及密钥数据写入可信密码模块。

3.3 安全管理

安全管理系统对安全防护设备提供统一管理，对设备策略进行维护，将定制的策略下发到指定的设备。系统监控全网安全设备状态和性能，采集并分析全网安全设备上报的日志信息和安全事件信息，形成安全事件态势和风险状态等。

3.3.1 分权管理机制

设置系统管理员、安全保密管理员和安全审计员等安全管理角色。其中，系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作；安全审计员主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向安全保密管理机构汇报情况。

3.3.2 分级授权控制

对于系统管理员、安全保密管理员和安全审计员，按各自的角色职责进行相应的管理级别授权控制。对于普通用户的权限，按照最小授权原则进行划分，将其权限设定在完成工作所需的最小授权范围内。避免超级用户设计，减小具有完全资源访问权限用户的风险。

3.3.3 用户访问控制

基于系统管理员、安全保密管理员和安全审计员管理角色确定的职责权限，并基于访问者、访问目标的安全属性，进行细粒度分级访问控制。

3.3.4 安全日志审计

安全日志是安全保密管理员和安全审计员判断各类用户操作合法性的主要依据。审计各类管理员和用户所实施的各种操作，记录事件发生是我详细内容，配置审计强制性策略。

3.3.5 安全事件告警

对异常安全事件进行告警，包括设备（/用户）认证失败、密钥协商失败、数据加解密失败、完整性校验失败、非授权访问和安全保密设备故障等，并对告警事件查询、展示和统计分析。

4 结 语

视频监控系统作为安防管理的重要技术手段，在许多重要领域都有广泛应用。视频监控系统面临的网络安全风险及由此导致的重大安全事件引起了全球性关注。视频监控安全防护体系要着眼于可信体系和安全保密体系的构建，以可信计算、数据加密、身份认证、权限控制和安全审计等技术为基础，从系统环境可信、监控设备安全、视频数据安全和应用管理安全等多层面综合分析，进行一体化可信安全保密设计，为视频监控系统运用提供全面的安全防护。