刘艳层 袁鹏 尹严研

【摘 要】论文立足当前国内完全自主可控且高端成熟的视频监控技术，同时，结合具备高安全性的公普级数据加密技术，设计开发了端到端的完整安全的视频监控系统。

【Abstract】Based on the high-end mature video monitoring technology which is completely independent and controllable in China， combined with the public and general data encryption technology with high security， this paper designs and develops an end-to-end complete and security video monitoring system.

【关键词】视频;加密;解密

【Keywords】video; encryption; decryption

【中图分类号】TN948.6                                        【文献标志码】A                                              【文章编号】1673-1069（2019）11-0173-02

【作者简介】刘艳层（1990-），女，河北深州人，工程师，从事军队信息化应用技术研究。

1 引言

目前，网络视频监控技术不断发展，其关注的重点在于系统功能的实现，主要包括视频图像的采集、存储和如何实现网络传输。其安全则由于技术限制（实时视频大数据的加密瓶颈）和准备不足成为行业产品厂商的短板甚至是盲区，造成了目前的视频监控系统自身安全保障的缺失。因此，研发实现更加可靠、更加安全且完全自主可控的网络视频监控产品势在必行。

2 安全视频监控系统的组成

加密监控主要包括前端安全视频采集接入和后端服务中心管理两大部分。

系统首先利用前端的视频采集设备，包括高清安全网络摄像机，将视频数据采集并加密后，通过视频专网传输到后端管理中心。然后通过管理中心的视频管理主服务器、流媒体服务器、存储服务器、安全解码器、CA认证服务器及安全工作站等后端管理设备对视频数据进行安全的客户端浏览、集中存储、电视墙观看等具体应用。安全视频监控系统结构如图1所示。

3 安全视频监控系统的工作原理

安全视频监控系统内各设备通过内置加密模块，在CA服务器的支持下，利用公钥协商方式协商出视频密钥加密密钥，然后使用对称算法加密传输视频数据。

具体工作原理如下所示：

①密钥协商。存储服务器和加固摄像机建立视频连接时，每24小时进行1次密钥协商，协商成功后更换视频密钥加密密钥。密钥协商基于公钥密码算法，在CA服务器的支撑下进行。

②加密传输。密钥协商成功后，加固摄像机使用本地生成的视频加密密钥加密视频数据，视频加密密钥（VEK）由交互的视频密钥加密密钥（VKEK）加密后也随码流一起传输，视频加密密钥（VEK）每1小时更新一次。在视频监控网络中传输时，视频数据以加密形態出现。

③密文存储。加密视频数据到达存储服务器后，由存储服务器直接以密文方式存入本地。随同密文一起存储的还包括用存储服务器公钥加密的视频密钥加密密钥（VKEK）和对应的视频密钥加密密钥版本（VKEKVersion）参数。存储码流的开始必须要包含一个（VKEKVersion，VKEK密文）数据包，表明该数据包之后的码流均通过该组VKEK对VEK进行加密操作，直到出现下一个（VKEKVerison，VKEK密文）数据包，表明新数据包之后的VKEK需要更新。安全监控工作站需要调取历史数据进行查看时，存储服务器先用私钥解密出录像文件中保存的VKEK的原文，并用码流接收方的公钥对VKEK原文重新加密后，和对应的VKEKVersion一起用信令的方式转发给码流接收方;录像文件保持加密形式发送给码流接收方;接收方用自己的私钥解密VKEK后，用VKEK解密VEK，从而解密视频流用于播放。

④加密转发。安全解码器、安全监控工作站和加固摄像机之间不直接连接，而是通过存储服务器获得视频数据。安全解码器、安全监控工作站与存储服务器建立连接时，存储服务器将相关加固摄像机的VKEK和对应的VKEKVerison通过信令方式转发给安全解码器、安全监控工作站，转发过程也要执行1次密钥协商过程，区别是视频加密密钥不是新生成的，是转发加固摄像机的。