基于云存储的智能视频监控系统安全风险及应对策略
2022-12-02王卫华
王卫华
(河南警察学院,河南 郑州 470046)
近年来,视频监控系统正向智能化、网络化和高清化方向发展。随着各种安防视频监控系统规模不断扩大,高清视频监控的大规模应用,视频监控数据量也呈现井喷式增长,用户对视频监控系统中数据存储规模和安全性要求也随之不断提高。这对利用传统方式存储数据的视频监控系统造成了较大的存储和检索压力。使用传统技术的视频监控系统各项性能,特别是在数据存储能力、读写性能和可靠性方面显然已经无法满足当今应用广泛的高清视频监控系统要求。如公安机关提取某个时间段视频数据时,可能会因为等待延迟和磁盘寻址延迟的原因,导致监控数据提取和分析时间过久。因此,为了更好的应对智能视频监控存储系统对数据存储容量、系统扩展性、稳定性和可靠性等方面的要求,运用云存储技术和虚拟化等关键技术实现海量级的存储规模效应和存储空间的弹性扩展,避免了存储资源的浪费,降低了系统建设和维护的成本。这是未来智能视频监控系统发展的趋势。虽然云存储已经被大量应用在社会中很多领域,但是作为一种新型的存储服务也面临着诸多挑战,其中最重要的是系统安全风险问题。近年来,针对云存储系统的攻击事件越来越多,攻击技术层出不穷,攻击手段不断翻新,导致云存储系统的数据泄露事件时常发生,对视频数据安全造成了严重的威胁,成为云存储技术在视频监控发展应用中的技术瓶颈。因此,提高云存储视频数据的安全性成为云存储技术在公共安全视频监控系统发展中亟待解决的问题。
一、云存储与基于云存储的智能视频监控系统
(一)云存储
大数据时代,云计算技术发展迅速,产业规模不断扩大,应用领域不断拓展,促进了社会生产力的发展和进步。云计算为广大客户提供了两种性能服务:一是计算资源服务,把计算能力作为服务提供给客户;二是存储服务,把存储功能作为服务提供给客户,称之为云存储。从广义上来讲,云存储就是按需分配虚拟存储资源,基于用户定制的请求服务,通过网络提供虚拟存储和相关数据服务。云技术解决了服务器的负荷问题,灵活分配了闲置的IT 资源。[1]从狭义上来讲,云存储是通过分布式技术、虚拟化、网格技术、集群应用等技术,通过软件将网络中大量的存储设备集合起来,高效协同对外提供高扩展性、低成本的数据存储服务。
在云存储中,用户不需要关心自己的数据存储在哪里,也不需要知道存储服务的具体细节和数据管理的运行机制等问题。[2]用户在使用存储服务时不用建立自己的数据中心,只需向云存储服务器提出存储申请,数据即可存储在云存储空间中。这种模式有效避免了不同客户数据中心重复建设,节约了价格不菲的软硬件基础资源。
(二)基于云存储的智能视频监控系统
1.基于云存储的智能视频监控系统架构
云存储智能视频监控系统架构包括前端采集、云端数据管理中心、视频业务服务和客户端管理系统四部分,系统应用架构如图1 所示。前端通过摄像头进行视频数据采集。摄像头将采集的视频流进行压缩编码和封装,形成可以在网络上传输的IP 数据包,上传到云存储的视频资源池中。在传输过程中,云存储服务系统为每路的摄像头分配足够的带宽来保证传输质量。云端数据管理中心负责对云存储的资源进行自动监控、科学调度、统一管理等一体化的运维。利用Hadoop 分布式文件管理系统、虚拟化存储技术、云计算技术实现对各个存储设备上的数据分发、视频数据压缩、删除重复数据、数据加密、数据多点备份和数据恢复等功能。视频业务服务运行在云端管理之上,是云存储视频资源的应用集合。根据客户的不同需要,提供相应的视频业务服务。客户端管理系统包括用户管理、资源管理、任务管理和安全管理等功能。客户端的每个操作都对应着相关的视频业务服务请求。
2.基于云存储的智能视频监控系统存储优化方案
云存储智能视频监控系统对视频监控数据存储有更高需求,根据数据文件存储的不同需求,采用以下优化策略:第一,对各种类型的音视频文件通过转码后统一格式标准,实现授权用户方便利用各种设备应用系统中的音视频资源。第二,对音视频数据进行帧级别的标准化结构存储,建立海量音视频的索引系统,支持数据检索功能,实现视频数据的快速定位和视频回放功能,节约查询时间,提高监控系统的利用率。第三,对较大视频进行存储优化。云存储智能视频监控系统可以采取基于切片的文件分块存储,将视频数据文件分布式存放在不同的物理存储设备上,提高数据的读写速度。同时配合负载均衡、自动搬迁等技术,实现对存储系统的高效访问。
二、基于云存储的智能视频监控系统安全风险分析
云存储给智能视频监控系统带来了新的发展机遇和新的存储模式,但同时也带来了数据安全新威胁。针对智能视频监控系统的安全事件频频发生,如2015 年海康威视遭遇黑天鹅事件。智能视频监控系统在视频采集、传输、回放和使用过程中受到病毒攻击、恶意访问、恶意控制和恶意篡改等安全问题给智能视频监控系统的安全使用带来了严峻挑战。目前,云存储下的智能视频监控系统存在以下主要安全风险:
(一)虚拟化服务安全风险
在虚拟化服务集中管理的应用环境中,由于虚拟机间网络和逻辑边界的模糊化使防火墙以及入侵检测系统的防护效果大打折扣。[3]有些虚拟机平台的物理隔离措施不到位,某一个虚拟机遭受黑客攻击入侵后,导致其他虚拟机也遭到安全威胁,甚至会扩散到整个虚拟机平台。虚拟化服务包括一虚多和多虚多模式。黑客能够使用已破解的虚拟机权限对同一虚拟化平台中的其他虚拟机进行攻击和非法访问。由于虚拟化平台和虚拟机管理器VMM 本身的安全问题,黑客的入侵行为可能会在不同的虚拟机间扩散,甚至会涉及到平台中所有的虚拟机,导致一定的安全风险。
(二)视频监控中的云服务安全风险
1.云终端设备及监控设备的安全风险
由虚拟化技术做支撑,云终端设备采用“集中终端,分布显示”模式将桌面终端整合为一体,在服务器端统一、集中管理,终端设备不参与任何管理,只负责输入、输出显示。这种模式增强了对数据的集中管理和控制,数据的安全性得到了保障。然而,随着各种智能终端设备的普及,云终端设备也正朝着智能化、多元化的方向发展。任何技术都会有缺陷,云终端设备也不可避免的存在一些安全漏洞。虽然可以通过系统更新进行完善,但仍然会有新的漏洞被不断曝出。各种漏洞的存在对云终端设备的安全使用构成了威胁,加剧了被病毒侵害或被黑客攻击的风险,数据安全面临着严重威胁。
与传统视频监控设备相比,智能视频监控设备也存在一些安全问题,如缓冲区溢出、SQL 注入等。加之智能应用的特点,一旦设备受到攻击并被控制,受到的攻击面更大,功能强大的智能监控系统和高效的数据分析能力将会被黑客滥用,后果不堪设想。
2.优先访问权风险
用户的数据都具有一定的保密性。当用户通过网络把数据传输到云端时,数据优先访问权就会从用户移交给云存储服务商。云存储服务商对数据的优先访问权使得用户数据可能会被其无意或者有意的泄露。用户数据的安全性和保密性将得不到有效的保障。因此,用户在选择云存储服务时必须要求服务商提供数据安全服务保障,从而能够降低数据泄露的风险。
3.管理权限风险
在使用云存储过程中,用户只是把数据交给云存储服务商托管,具体的数据整合操作和安全性维护还是需要用户亲力亲为。一般情况下,云存储服务商会邀请专业的第三方机构进行安全认证和审计工作。但也会有个别云存储服务商由于管理不到位或其他原因,导致用户无法对托管数据进行有效的管理和安全使用。
4.云服务商安全稳定运行风险
选择信誉良好、发展稳定的云存储服务商可以给用户提供优质、稳定和持续服务。有些服务商在发展中由于各种原因可能会面临被收购或者破产的困境,导致用户所享受的服务不稳定或者中断。因此,用户在选择云存储服务商时要将影响云存储服务商长期、安全稳定运行的一些风险因素考虑在内。
(三)视频监控中的网络攻击风险
近年来,随着智能视频监控规模的扩大和普及,视频监控业务应用中的网络安全风险也日益严重。其中病毒传播、利用前端漏洞攻击核心业务、盗用敏感数据等网络安全事件频繁发生,严重影响智能视频监控系统的正常使用。黑客利用网络技术攻击未加密的智能视频监控系统,非法获取和篡改数据,给视频监控资料作为视听证据带来了一定的风险因素。目前,黑客攻击智能视频监控系统方式有三种方式:一是通过SQL 注入、缓冲区溢出等方式获取系统访问权限;二是对传输过程中数据进行攻击;三是潜入视频采集设备和存储设备,窃取视频信息后,再进行篡改、处理、销毁等攻击操作。这些网络安全威胁不仅会造成智能视频监控系统无法正常工作,而且还会威胁数据安全。
(四)视频监控中的数据安全风险
1.数据存储安全风险
基于分布式存储模式下的云存储系统虽然消除了传统视频监控中单一存储节点发生各种故障和安全风险导致的数据丢失问题,但是也带来了新的安全风险挑战。因为,云存储系统的数据存储量大,存储节点众多,部分节点发生网络和存储故障的概率性更大,也会存在数据完整性和安全性得不到保障的风险。
2.数据传输风险
云存储的监控视频数据传输需要通过网络进行。因此,网络攻击对数据的安全传输构成了严重威胁。通过对多种主流设备进行视频数据传输测试发现,从视频监控画面中断到系统自动报警有30-60 秒的时间延迟。这段时间对于黑客来说制造虚假视频绰绰有余。目前视频编码普遍使用H.263-H.265 明文格式,黑客能够轻松地对视频内容进行截取和解码,盗取视频信息。[5]另外,由于监控系统都是以以太网协议和架构为基础建设,黑客能够通过多种工具和手段在数据传输过程中对数据进行威胁。
黑客通过各种网络漏洞和操作人员的技术失误截取和修改数据、提升访问权限,严重侵害了云服务商和用户的利益。传输的数据可能以电磁波的方式被泄露,也可能在网络线路中被非法监听和截获。云服务商为了防止以上情况的发生,通过SSL 等技术在数据传输通道上建立安全可信的连接。如果使用不当,同样会造成数据泄露的风险。目前黑客使用DDOS 攻击技术,通过大流量无用数据占用网络带宽导致网络服务器宕机,无法正常提供数据服务,使数据在传输中丢失或损坏,无法保证数据的完整性、可用性。
3.数据隔离风险
数据安全性是云存储广泛应用和可持续发展的重要前提和保障。视频数据在云存储中,云系统对数据进行分割重组后进行存放,很多用户的数据是处于共享状态。用户间的数据没有被物理隔离开。虽然可以通过SSL 对视频数据进行加密来保证数据安全,但仍然很难保证数据间的独立性,也不能完全保证不发生泄露事件。这不仅对数据的正确性、完整性和安全性造成了一定的潜在安全影响,而且还降低了数据的使用效率。针对此类情况,根本的解决方案是将不同用户之间的数据进行隔离管理。
4.数据恢复风险
鄱阳湖区重点圩堤加固整治取得了一些成效,比如:由于实施了多项加固整治措施,圩堤的险工险段明显减少,相应河段河道的行洪能力明显增强,极大地减轻了城镇、农田及重要设施的防洪压力及受洪水威胁的程度。加固整治后也存在着一些问题,比如:随着湖区经济社会发展、城镇化进程以及基础设施建设加快,部分圩堤保护对象发生了较大变化,从原来保护耕地为主转变为保护城镇、重要基础设施、重要企业为主,防洪标准和防护范围已不能满足要求。
目前任何手段和措施都还无法对数据做到百分百的保护。当用户的数据因各种原因发生丢失、损坏等情况时,系统必须要具有及时恢复数据的能力,确保数据安全,将损失减少到最小。用户在享受云存储服务时,不仅要清楚数据被存放在哪台服务器中,也必须要求服务商对托管数据进行备份管理,避免发生安全事件时,用户的数据无法及时恢复。一些免费或小型云服务商,因为资金、技术、管理等原因,对数据恢复能力有限,存在一定的数据恢复风险。一旦用户的数据丢失,很难恢复找回。因此,用户在选择服务商要对其是否有及时恢复数据的能力进行评估,明确需要多长时间才可以对数据实现完整恢复。
三、云存储智能监控系统安全风险产生的原因
(一)产品缺陷和管理漏洞的存在
由于智能监控系统产品受技术、成本和物理环境条件等因素的影响,在安全补丁更新机制、访问控制限定、数据安全传输等方面存在某些缺陷,导致智能视频监控系统易遭受网络攻击。智能视频监控系统属物联网设备,其计算、存储和网络传输能力受到一定的自身性能限制,无法发挥出最大效能。为了提高系统性能,通常不会部署资源消耗较高的专用安全防护技术。
一部分企业的数据管理能力不足,系统安全管理工作存在疏漏,违规操作时有发生,使黑客利用漏洞和后门进行各种网络攻击事件屡屡得逞。在系统管理中,管理人员为了方便操作,空口令、弱口令现象频繁出现,导致视频监控资源面临非法访问的风险。同时,密钥丢失、泄露等管理的脆弱性成为新的风险点。在使用视频监控系统软件过程中,未授权用户的非法越权使用和恶意操作事件也屡见不鲜。安全问题已经成为影响智能监控系统应用的重要因素。
(二)行业规范和信息安全管理制度不健全
现如今网络攻击方式的隐蔽性、攻击工具的多样性、攻击周期的长期性使得视频安全防护的难度逐渐增加。智能视频监控系统的数据安全方面尤为重要,但智能视频监控设备整体上还处于研发生产的发展阶段,相配套的智能视频监控系统的行业规范不够完善,安全管理制度和相关防范措施建设不健全,安全防范能力不足。目前,针对诸多的安全问题,相对应的安全措施还无法满足监控行业的安全需求,相关监控设备的漏洞检查、修补,弱口令的发现能力跟不上网络安全形式发展。因此,加快制定和规范信息安全管理制度是智能视频监控系统安全运行亟待解决的问题。
(三)用户安全防范意识不足
近年来,随着物联网技术发展和政府部门的大力推动,物联网行业如火如荼的广泛发展,行业和社会公众对其安全性给与了广泛认同。但是对于属于物联网设备的智能视频监控系统的安全威胁问题,社会公众和行业的认知程度还需提高。有的用户对智能视频监控系统开发阶段用于系统维护和诊断时留有的后门、非授权访问行为,以及存在的系统漏洞等风险认识不到位,安全意识不强。有的用户对数据安全重视度不够,在监控系统调试完毕后缺乏安全意识,不及时对原始密码进行修改和强度升级。有的用户认为智能视频监控系统专网传输不存在安全问题,或者单纯的把安全责任寄托于设备厂商。用户安全防范意识不足也是导致安全事件发生的重要因素。
四、基于云存储的智能视频监控系统的安全应对策略
(一)网络安全应对策略
1.物理区域安全
在对云存储智能视频监控系统管理和维护时,首当其冲要保证边缘设备和骨干网络设备的物理区域安全。视频监控网络设备及其连接设备会受到自然灾害、环境灾害和电源故障等因素影响,其中水灾、火灾、电路故障等风险对其影响较大。要保障物理区域的安全,首先保障系统设备的安全防护。前端摄像机安装防护罩装置进行防水防尘,其他外置设备安装在具有防水电、防雷击的防护箱内。供电设备做好接地处理,保障前端设备正常工作。线缆要选用屏蔽性能好且要做好管线的保护。对室内机房环境和设备安全进行实时监控,做好防火、防水、防盗工作,维护系统的安全稳定运行。
2.基础网络安全
网络是云存储智能视频监控系统的基础。随着接入设备的不断增多,为了能够实现云平台基础网络的扩展,对云平台整体网络IP 地址进行统一规划。对于其所属的服务器和客户端采用将数据链路层地址和IP 地址进行绑定,避免地址欺骗事件的发生。[6]核心网络设备能够对链路级和设备级的冗余进行备份。进行业务处理时要具有一定的冗余空间,满足业务高峰期的需求。系统可以按照业务的优先级顺序智能分配不同带宽,确保网络堵塞时重要任务的优先执行。构建异常流量检测体系,提高系统对网络攻击应对能力,能够及时发现并阻断对云平台的DDOS 攻击,保证云服务的连续性。使用SSH 协议或HTTPS 协议进行远程设备管理,使用具有认证和加密安全机制SNMP 管理监控网络设备,增强安全性。
3.安装防火墙
为了保障云平台和外界进行安全连接和网络的安全访问控制,在网络相关系统和网络出口部署防火墙。防火墙不但能够提高网络抗攻击能力,而且能够加强基础网络的监控能力和安全控制能力。因此,把防火墙安装在互联网的接入点和隔离区之间、系统与不可信网络之间、隔离区和内部网络之间、无线网络与处理业务信息的系统之间,这样可以大大提升基础网络的安全性,为上层应用提供安全、稳定的运行环境,有效防护智能视频监控系统安全。
4.部署入侵检测系统
为了有效保护存储系统数据不受各种非法入侵行为的侵害,在存储系统的磁盘阵列控制器等设备中安装与主机系统独立的入侵检测系统,对存储设备的读写操作进行监控、统计。如检查文件属性是否改变、文件结构是否完整等,对发现的可疑行为及时报警和响应。当主机遭受非法入侵后,入侵检测系统能够通过屏蔽非法操作对存储设备上的所有信息进行有效保护。
5.数据备份和恢复
无论数据存储在何地,用户都要考虑数据被破坏或丢失的风险。为了有效地应对突发故障和灾难事件在云平台上发生,数据的备份和恢复是防止数据被破坏或丢失的重要手段。其中对重要数据进行异地备份能有效防控突发事件造成的危害,对系统中连续运行的服务器和骨干网络设备等关键设备进行双机热备能解决在主机故障时服务不中断问题。当主机出现故障时,从机及时自动切换承担服务任务,服务的平稳切换保证了系统不间断的提供服务。在虚拟化运行环境中,系统要支持基于磁盘的备份和恢复,实现虚拟机系统快速恢复。同时支持文件级完整与增量备份,保存增量更改,提高备份效率。
(二)虚拟化存储的安全应对策略
虚拟化存储是在物理存储系统和服务器之间增加一层虚拟层,把物理存储系统虚拟成多个独立的逻辑存储单元。用户访问数据时无需访问物理存储系统,只需要访问虚拟存储系统即可。这样的存储方式可以将服务器中异构的存储环境进行整合,消除了底层硬件的差异,为应用系统提供了统一的存取访问通道。虚拟存储系统拥有良好的安全性、高性能和拓展性,可以提高物理存储系统的利用率,提升存储管理效率,满足用户对存储空间的动态需求。虚拟化管理软件对用户提供一个统一的管理界面,通过专用的安全通道对NAS、IP SAN 等虚拟对象进行管理。利用主机授权、用户认证等方式实现对存储系统的隔离和访问控制。
1.设置虚拟访问控制
访问控制是一种有效限制用户访问权限的机制。通过对用户设置访问控制权限,限制用户对不同虚拟机的访问,防止用户非法访问权限外虚拟机中的数据信息。为虚拟机设置访问控制策略包括单独为每个虚拟机设置和所有虚拟机统一设置两种方式。第一种方式的扩展性差,并且整体管理效率低。第二种方式通过将控制策略部署在虚拟机监视器中,实现对所有虚拟机的统一设置和管理,提高了管理的效率。
2.对虚拟机进行隔离
将虚拟机进行隔离能为每个虚拟机设置独立的安全空间,防止虚拟机之间的相互干扰,保护每个虚拟机的安全运行,有助于减少某类安全威胁对整个虚拟机平台影响。虚拟机隔离包括硬件方式隔离和软件方式隔离。硬件方式隔离主要是通过芯片的安全模块等硬件设备实现对保护数据和可信程序的隔离,防止数据篡改。[7]软件方式隔离主要是在系统中通过安全软件建立一个安全可信的环境,将保护数据和可信程序安放在隔离软件系统中,避免遭受各种网络攻击和数据的丢失。硬件隔离设备可能会消耗处理器的一些资源,而软件方式隔离几乎不会造成对操作系统和硬件系统性能的影响。
(三)虚拟化服务器的安全应对策略
虚拟化技术不仅可以应用在存储、操作系统和网络资源等方面,还可以应用在服务器中。将服务器安全地虚拟化到应用环境中,不但可以保障平台的安全和监视虚拟化,还可以解决安全漏洞问题。虚拟机管理器VMM 是虚拟机VM 的运行内核,它改变了操作系统管理软硬件的方式,通过服务器虚拟化的核心环节管理底层的物理硬件。[8]虚拟服务器环境的安全直接影响着上层的虚拟机安全。所以,必须要保证虚拟机管理器VMM 的安全性,避免客户端通过溢出等漏洞获取高级别的运行权限,获得对物理资源的访问控制,给其他用户带来安全隐患。
虚拟机管理器VMM 的安全防护策略包括:一是建立虚拟机管理器VMM 的安全策略机制,将虚拟化的内核、应用程序和可执行组件放置在随机存储的内存地址中,同时利用处理器提供的不可执行的内存包加以保护,防止恶意代码利用内存漏洞对系统进行攻击。二是虚拟机管理器VMM 开启对内核模块的完整性检查。通过数字签名保证模块组件、应用程序和驱动的完整性和真实性。三是利用高级记录事件管理技术。当虚拟机在不同的服务器间进行迁移时,会遇到因防火墙检测不到攻击和危险而没有预警干预的困境。为了避免此种情况的发生,可以通过高级记录事件管理技术来解决。此项技术能够监视所有经过虚拟化的基础设施部件运行状态,检测虚拟化平台发生的事件,如虚拟系统中已发生的事件、运行中的事件,失败的登录和其他非法行为活动等。高级记录事件管理技术还能明确用户对虚拟机操作权限。通过对虚拟机的行为监控能够获取操作系统的硬件访问行为,防止各种非法和恶意行为修改操作系统,隐瞒真实信息。[9]四是采取服务最小化原则。虚拟机接口的使用应限制在虚拟机运行所必须的范围内,将不用的协议端口关闭。五是严格控制虚拟机的Telnet、Http、SSH 端口访问行为,关闭无用的功能,禁止所有以明文方式访问端口。六是为用户设置高强度的访问口令,防止黑客通过暴力破解等方式对口令进行破解和盗用,从而减少黑客非法登录的风险。
(四)云存储视频编码的安全应对策略
对用户视频数据加密和编码,不但可以提高存储的访问效率,还可以增强数据的安全性,防止被非法修改和浏览。针对云储存智能视频监控系统视频编码的安全策略有以下几个方面:
1.视频数据加密策略
数据信息在网络中传输有被窃取风险,因此确保数据在传输过程中的安全性尤为重要。为了保证云存储视频数据的安全性,视频数据通过在本地进行完整的加密处理之后再上传到云存储服务器中保存,管理员可以设置访问权限禁止非法用户获得视频数据。传输加密技术的应用,能提高数据传输的安全性,确保数据的完整性、机密性和可用性,是保证信息安全的重要技术之一。加密技术分为硬件加密和软件加密,硬件加密一般通过加密专用装置和密钥交换来实现,软件加密在信息传输之前利用软件进行加密,安全传输后再解密。如常用的PGP、TrueCrypt、GPG 等加密软件具有强大的加密功能,保证了文件信息的私密性。[10]
当前,对传输中的数据进行加密可以在链路层、网络层和传输层实现,其中端到端加密方式让数据从源端到目的端传输过程中以密文形式传输。[11]两端采用相同的密钥和密码算法,密文在到达目的端才会解密,实现传输过程中的全程保护,不受各种安全威胁,保障端到端的数据安全传输。使用SSL、SSH方式为内部维护管理提供加密通道,保障信息安全,使用IPSec VPN技术来提高用户数据信息传输的安全性。
由于监控视频先需要进行编码,如果再通过传统一对一加密方式对视频数据进行加密后上传到云系统,可能无法满足视频监控实时传输数据的要求。因此,可以将加密和视频压缩编码两个过程同时进行,实现数据安全加密和传输效能的平衡,保证视频数据安全实时传输功能。
对视频数据加密采用的是对关键数据包基于属性更新访问控制策略的加密算法(CP-ABE),即在加密过程中将相应的访问控制策略隐含在关键数据包的密文中。这种算法通过使用具有一定含义的多个属性来标识用户身份,和传统公钥加密等算法将某个唯一的识别信息作为标识用户的身份相比,增加了算法的描述性。由于关键数据包数据量只占到全部视频数据量的很小部分,只对关键数据包进行一字一密的加密,而非关键数据仍然采用明文方式上传。通过这种加密方式由于只增加了少部分的控制信息,加密前后数据量基本变化不大。因此,不仅能够减少加密时间,提高加密速度,增强传输效率,而且安全性也非常高。在解密过程中,只有用户属性符合访问控制策略中的条件时,用户才能正确对加密的视频数据进行解密,获取真实信息。用户根据个人的访问权限,首先通过秘钥对关键数据包进行解密,然后从云存储服务器下载非关键数据包,最后在客户端重新将两部分数据进行组合,完成视频数据的解密和显示。CP-ABE 加密算法改变了用户获取视频数据的方式,能够有效抵御黑客入侵和管理漏洞,提升了云存储的安全性。
2.更新访问控制策略
当视频用户或用户属性发生变化时,需要更新访问控制策略来保障信息的安全。管理员从服务器下载加密的关键编码视频数据,然后对关键编码数据进行解密,将新的访问控制策略重新加密后上传至云存储服务器,即可实现更新关键编码视频数据。由于调整关键编码视频数据只占整个数据总量的一小部分,不仅降低了加密过程中的资源消耗,也提高了更新效率。
3.视频数据数字水印追踪
开放共享的云存储存在一定的安全风险,视频数据信息很容易被非法用户盗用、修改和恶意攻击。虽然通过视频加密技术能保证数据的安全性,但是如果具有解密权限的内部管理人员将视频数据非法外泄,数据加密将会失去保护作用。因此,为了能够准确对外泄视频的内部用户进行追踪,可以使用数字水印技术。数字水印技术是将某些特定的标识数字信息嵌入到数字载体中,不容易被探知和修改,但可以被生产方识别和辨认,从而实现对数字产品的版权保护、复制控制和内容认证。在原来视频加密算法中加入数字水印嵌入技术,将授权用户的唯一标识信息嵌入其中,使用户所管理的视频具有唯一性。当发生视频外泄时,通过视频中的数字水印信息能够追踪数据的非法外泄者,从而可以防止视频数据的外泄,解决了视频外泄的责任鉴定。