摘要:隨著互聯網技術的飛速發展,安防監控系統正加速網絡化發展進程。在九部委共同頒布的《關于加強公共安全視頻監控建設聯網應用工作的若干意見》中提到,到2020年要基本實現“全域覆蓋、全網共享、全時可用、全程可控”的公共安全視頻監控建設聯網應用。聯網應用實現大量視頻采集設備和應用服務器的聯網共享,聯網實現應用便利的同時,網絡化后引入的安全隱患及威脅在安防系統中也日趨增多,聯網系統遭到網絡攻擊在未來將是常態。因此,重點闡述聯網共享視頻監控系統中存在的安全風險,提出一種視頻監控系統聯網應用安全加固方案,并對研究應用情況進行了詳細說明。
0 引 言
在九部委共同頒布的《關于加強公共安全視頻監控建設聯網應用工作的若干意見》[1]中提到:到2020年要基本實現“全域覆蓋、全網共享、全時可用、全程可控”的公共安全視頻監控建設聯網應用,在加強治安防控、優化交通出行、服務城市管理、創新社會治理等方面取得顯著成效。其中,全網共享要求以公安機關視頻圖像共享平臺為核心,分級有效整合各類視頻圖像資源,促進點位互補、網絡互聯、平臺互通,逐步對接基層綜合服務管理平臺,最大限度實現公共區域視頻圖像資源的聯網共享。
全網共享后的視頻資源在使用過程中需要達到全程可控,具體是指公共安全視頻監控系統聯網應用要實現重要視頻圖像信息不失控,敏感視頻圖像信息不泄露。但是,隨著安防系統的IT化發展的趨勢,在大量視頻采集設備聯網后,將存在安全隱患或遭到網絡攻擊?;ヂ摼W及相應技術的飛速發展為安防系統建設提供了方便,但同時給這個系統帶來了許多安全隱患,這是由互聯網的公開性所決定的。
1 視頻監控系統面臨的安全威脅
通過分析近年爆發的視頻監控系統安全事件,總結視頻監控系統面臨的安全威脅,其主要體現在視頻采集設備自身存在的漏洞和視頻信息的安全性未得到有效保護。
針對前端設備的安全威脅主要包括設備劫持或替換、協議攻擊以及視頻資源非法訪問三類。
(1)設備劫持和替換:前端視頻采集設備(主要是網絡攝像機)均采用嵌入式操作系統,系統軟件在啟動及運行過程中未針對性進行安全防護,無法確?;A運行環境可信,黑客可通過植入病毒、木馬等手段入侵前端設備,造成設備被非法控制成為“肉雞”;同時,前端設備不具備標識身份的唯一證明,設備容易被惡意替換。這不僅可導致視頻監控系統無法正常運行,還存在將整個視頻監控系統作為攻擊源,對網絡上的其他設備和服務器發起攻擊的風險。2016年底,美國爆發的大規模DDoS攻擊致癱整個互聯網,就是由該安全漏洞觸發的,影響極為惡劣。
(2)協議攻擊:監控業務信令由于缺乏完整性保護機制,可通過仿造或纂改通信協議,非法控制設備,擾亂正常業務流程。
(3)視頻資源非法訪問:大多數監控前端設備的登錄方式為用戶名/口令的認證方法,容易遭受到字典掃描和暴力破解攻擊,安全性差,視頻資源面臨被非法訪問風險。
針對視頻數據的安全威脅主要包括視頻數據竊取和視頻數據篡改兩類。
(1)視頻數據竊?。阂曨l在傳輸過程中采用網絡旁路或通過非法途徑從后臺下載的方式截獲視頻數據。
(2)視頻數據篡改:由于視頻數據是明文傳輸且編碼方式具有標準化特征,攻擊者可通過偽造相同編碼格式視頻數據替換原有采集視頻數據,導致視頻數據被篡改。
因此,針對視頻監控領域暴露的安全威脅,需要綜合運用密碼技術、數字身份認證技術和可信計算技術,從系統層面制定安全解決方案,保障視頻數據在采集、傳輸、存儲、查看等各個環節的安全,從而構建安全的視頻監控系統。
2 安全方案設計
整個安全方案基于通用視頻監控系統產品,通過對前端攝像機和后端通用平臺進行安全加固來實現,如圖1所示。其中,監控前端攝像機集成安全中間件軟件實現設備的可信啟動,設備基于數字證書的身份認證,監控業務信令的完整性保護,采集音視頻數據的完整性或機密性保護等;在監控后端視頻監控管理中心增加安全管理服務平臺,并集成對應的安全服務中間件軟件,實現對設備身份數字證書的管理及認證、密鑰資源的管理及分發、攝像機運行策略的管理以及音視頻數據解密展示等。通過實施這些安全加固措施,可增強攝像機自身的安全性,實現攝像機的接入控制,保護監控業務信令的完整性,保護音視頻數據的完整性、機密性,從整體上提升聯網視頻監控系統的安全性,有效防范、抵御目前監控系統中面臨的木馬病毒、數據被篡改、數據被非法訪問等安全威脅。
2.1 視頻監控前端設備可信安全防護
基于可信計算原理[2],在網絡攝像機操作系統中內置可信運行控制軟件模塊,實現監控前端設備程序進程、關鍵文件數據以及網絡訪問保護,及時檢測并阻斷非授權程序在監控前端設備上運行??尚胚\行控制軟件基于國密密碼算法(SM2[3]、SM3[4]及SM4[5])由網絡訪問控制模塊、運行控制模塊、審計管理模塊等功能模塊組成,其軟件組成結構如圖2所示。
網絡訪問行為進行控制,主要功能包括網絡訪問控制和網絡端口控制。管理員可以通過安全管理系統配置攝像機網絡訪問策略。網絡訪問控制模塊根據策略確定攝像機網絡訪問權限以及相應端口的開啟或關閉。
(2)運行控制模塊主要根據策略對攝像機運行應用程序行為進行控制,包括文件完整性校驗、異常程序行為檢測發現以及攔截等功能。同時,基于白名單機制,對白名單中的文件進行保護,不允許其他程序進行篡改,并對上述兩個功能的異常操作進行審計。
(3)審計功能模塊是對運行控制模塊中截獲的異常操作進行審計記錄并生成審計信息。審計信息由通信代理客戶端上報到管理系統,為后端態勢分析提供素材支持。
(4)策略配置管理模塊通過建立安全通信鏈路,完成與后端安全管理服務平臺通信,實現攝像機本地運行策略管理功能。
2.2 監控前端設備接入認證及信令安全防護
基于國密公鑰基礎設施數字證書認證體系(PKI/CA)[6],監控前端設備使用數字證書通過安全管理協議與視頻監控安全管理平臺進行相互身份認證,包括證書有效性和合法性,同時在監控平臺記錄相關認證日志。身份認證通過后,基于安全管理協議完成會話密鑰協商。該密鑰可以用于監控信令完整性保護,而安全管理協議實現可以選擇如下兩種方式。
(1)對標準網絡監控協議相關字段進行擴展
目前的網絡攝像機通常支持的標準協議有ONVIF、PSIA、HDCCTV、GB/T28181[7],其中常用的協議主要是ONVIF和GB/T28181。針對這兩種監控協議,方案設計對原有接入認證信令進行擴展,通過擴展實現監控設備與監控安全管理平臺(或監控信令網關)的安全認證相關信息交換,完成雙方身份認證,同時使用協商的會話密鑰對后續每一條監控業務信令進行完整性保護。認證流程如圖3所示。
基于該種方式實現接入認證和信令完整性保護,需要對監控前端設備和監控集成管理平臺中信令網關進行安全改造。其中,監控前端設備國密算法通過設備安全服務中間件軟件實現,后端監控信令網關由于接入設備數量較多,通過集成PCI-E密碼板卡提供國密算法功能。
(2)基于監控安全管理平臺協議代理實現
在不改動攝像機監控協議模塊的基礎上,在監控前端設備植入接入認證代理軟件模塊,通過安全管理協議完成設備和安全管理平臺之間的身份認證。設備上線后,主動連接安全管理平臺完成身份認證,同時安全管理平臺會定時根據平臺中配置的設備信息,對設備狀況進行輪巡檢查,對巡檢異常設備及時生成告警信息,提醒用戶設備可能存在替換風險,最終確保在線設備的身份合法性。
2.3 音視頻數據安全防護
攝像機采集的音視頻數據在網絡傳輸過程中是明文傳輸,很容易被截獲或者篡改。針對不同安全級別應用場景,可分別從視頻數據完整性和機密性兩個方面進行保護。
針對視頻數據機密性保護,采用“信源加密”方案,從采集點開始數據即為“密態”,直至視頻查看端才解開為“明態”,從根本上解決視頻數據在采集、傳輸和存儲過程中的安全。音視頻加密由網絡攝像機完成,在視頻采集并完成編碼后,進行加密處理再發送,如圖4所示。
視頻數據加密模塊對音視頻數據加密采用阻塞調用方式,網絡攝像機需要緩沖編碼數據,按先進先出的原則進行加密處理。
(1)網絡攝像機將編碼完成的音視頻數據傳入安全模塊;
(2)安全模塊根據策略,使用視頻加密密鑰對采集的視頻數據進行加密處理,形成密文;
(3)對視頻密文數據和安全協議使用HMAC-SM3計算得到驗證信息,按音視頻加密數據封裝格式組包;
(4)網絡攝像機按原有流程將加密音視頻包分割成網絡包并發送;
(5)視頻監控展示平臺通過流媒體服務器或者直接從監控前端設備獲取到加密視頻流后,通過安全管理協議從監控安全管理平臺獲取視頻解密密鑰,對視頻進行解密后再進行解碼播放或者其他分析處理。
針對只要求保護視頻數據完整性的場景,只需要通過安全管理平臺配置視頻加密模塊并關閉視頻加密處理功能,對傳入數據進行HMAC-SM3摘要計算即可。
3 典型部署
系統典型部署,如圖5所示。
(1)在監控前端設備固件中集成安全加固軟件模塊軟件,前端設備通過更新升級的方式實現可信運行控制、接入認證、信令加固以及視頻數據加密功能。
(2)在中心管理平臺部署監控安全管理平臺,實現對接入設備的安全管理。同時,在監控信令網關服務器中集成PCIE硬件加密卡和信令安全中間件(根據實際部署需要確定是否需要),實現對攝像機的接入認證,監控業務信令的完整性保護;
(3)在監控客戶端計算機中集成硬件解密模塊,實現對加密音視頻的解密(主要針對需要用到視頻解密的場所)。
4 結 語
本文針對九部委《關于加強公共安全視頻監控建設聯網應用工作的若干意見》中提到的“重要視頻圖像信息不失控,敏感視頻圖像信息不泄露”要求,介紹了一種基于國密算法的視頻監控系統安全加固方案。通過分析通用視頻監控系統面臨的安全威脅,將安全問題聚焦在解決前端攝像機安全、業務信令安全、音視頻數據安全三個方面,并提出了相應的解決方案。該方案創新性地將可信計算技術應用在攝像機嵌入式操作系統中,增強了前端攝像機抵御木馬病毒入侵的能力,從源頭解決了視頻監控系統面臨的最大風險。此外,由于使用“信源”加密技術,不影響視頻監控系統原有的業務流程,可實施性強,便于推廣。
參考文獻:
[1] 國家發展改革委.關于加強公共安全視頻監控建設聯網應用工作的若干意見[S].2015.
[2] 國家密碼管理局.可信計算密碼支撐平臺功能與接口規范[S].2007.
[3] 國家標準.GB/T 35276-2017信息安全技術SM2密碼算法使用規范[S].2017.
[4] 國家標準.GB/T 32905-2016信息安全技術SM3密碼雜湊算法[S].2016.
[5] 國家標準.GB/T 32907-2016信息安全技術SM4分組密碼算法[S].2008.
[6] 國家標準.GB/T 25056-2010信息安全技術證書認證系統密碼及其相關安全技術規范[S].2010.
[7] 國家標準.GB/T 28181-2016公共安全視頻監控聯網系統信息傳輸、交換、控制技術要求[S].2016.
作者簡介:
張正強,成都三零凱天通信實業有限公司,學士,工程師,主要研究方向為通信與信息系統、視頻監控系統安全等;
吳 震,成都三零凱天通信實業有限公司,碩士,高級工程師,主要研究方向為多媒體通信、視頻信息安全;
曾 兵,成都三零凱天通信實業有限公司,碩士,高級工程師,主要研究方向為信息安全、新媒體安全等;
沈 宜,成都三零凱天通信實業有限公司,碩士,高級工程師,主要研究方向為信息安全、新媒體安全等;
李 斌,成都三零凱天通信實業有限公司,碩士,高級工程師,主要研究方向為信息安全、新媒體安全等。
來源: 信息安全與通信保密雜志社