視頻安全技術(shù)解析及解決方案

一、背景

隨著(zhù)視頻技術(shù)的發(fā)展，視頻信息系統的網(wǎng)絡(luò )化趨勢明顯?，F有視頻信息系統中，視頻信息大多以明文方式存儲和傳輸，存在較大的安全風(fēng)險，尤其對公共安全、金融、司法等行業(yè)而言，信息數據的保密性要求更為迫切。保障數據存儲特別是網(wǎng)絡(luò )傳輸的安全尤為重要。

以平安城市為例，為了加強社會(huì )治安的管控力度，提高公安的工作效率，在平安城市已部署的視頻資源的基礎上，迫切需要將企業(yè)、小區、酒店、餐飲等社會(huì )資源的視頻接入到城市管理平臺中。同時(shí)，政府質(zhì)監、安監、環(huán)保、衛生等職能部門(mén)也迫切需要將其管控對象的視頻納入行業(yè)管理平臺，以提高監管的效能和效率。在這些應用中，網(wǎng)絡(luò )傳輸的安全能夠確保重要場(chǎng)所視頻在互聯(lián)網(wǎng)上傳輸的安全，避免敏感視頻數據的泄露。

近期隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，視頻監控或視頻監看應用開(kāi)始進(jìn)入家庭，通過(guò)攝像機照看老人和小孩成為一種時(shí)尚?；ヂ?lián)網(wǎng)技術(shù)帶來(lái)便利的同時(shí)，也存在很大的隱私泄露隱患，建立有效的公共安全保障體系才能夠讓大家放心使用新技術(shù)帶來(lái)的生活便利。

二、視頻安全關(guān)鍵技術(shù)

在視頻安全領(lǐng)域，關(guān)鍵技術(shù)包括如下：

加密技術(shù)

加密的基本思想是：偽裝明文，以隱藏其真實(shí)內容，即將明文偽裝成密文。偽裝明文的操作稱(chēng)為加密，由密文恢復出原明文的操作稱(chēng)為解密。

加密和解密都需要使用一個(gè)控制信息，稱(chēng)為密鑰?，F代密碼學(xué)的一個(gè)基本原則是：一切秘密都寓于密鑰之中。加密算法可以公開(kāi)，但密鑰必須嚴加管理。密鑰管理涉及密鑰的產(chǎn)生、分配、存儲和銷(xiāo)毀等內容，它是信息安全的關(guān)鍵環(huán)節之一。

身份認證技術(shù)

身份認證主要解決“我是誰(shuí)”。一個(gè)安全的身份認證協(xié)議至少應滿(mǎn)足以下兩個(gè)條件：1)識別者A能向驗證者B證明他的確是A;2)在A(yíng)向B提供了身份信息后，B不能模仿A向第三方證明他是A。

目前，常用的身份認證方法有口令認證、硬件認證(智能卡、U盾等)、生物識別(指紋、虹膜等)。

訪(fǎng)問(wèn)控制技術(shù)

訪(fǎng)問(wèn)控制主要解決“我能干什么”。其核心是為了限制訪(fǎng)問(wèn)發(fā)起者對訪(fǎng)問(wèn)內容的權限，從而使信息系統在合法范圍內使用。它包含兩個(gè)重要過(guò)程：1)“鑒別”，驗證用戶(hù)的合法身份;2)“授權”，賦予用戶(hù)對某項內容的訪(fǎng)問(wèn)權限。

三、視頻數據安全解決方案

漢邦視頻數據安全解決方案在現有視頻應用系統的基礎上，通過(guò)在視頻設備內嵌入專(zhuān)用加密設備，實(shí)現對視頻的存儲和傳輸進(jìn)行加密;用戶(hù)持有便攜密碼設備，用于身份認證和解密瀏覽視頻內容;漢邦一點(diǎn)通視頻安全網(wǎng)關(guān)實(shí)現多局域網(wǎng)之間互聯(lián)的數據安全，使用更加簡(jiǎn)潔方便。

視頻加密系統具備靈活的部署結構，可分布部署、集中管控，采用訪(fǎng)問(wèn)控制策略配置的方式，實(shí)現對系統中視頻設備的訪(fǎng)問(wèn)管理。

漢邦視頻數據安全解決方案特點(diǎn)：

(一)國密級密碼算法

該方案以PKI技術(shù)為基礎，采用國家密碼局批準的SM1、SM2、SM3、SM4等高安全性密碼算法，實(shí)現對信息數據的存儲和傳輸加密，所有產(chǎn)品和系統通過(guò)了國家密碼局的認證，數據安全得到了全方位保障。

(二)純硬件身份認證

該方案采用專(zhuān)用的硬件設備，實(shí)現實(shí)體身份認證，并以此為基礎進(jìn)行訪(fǎng)問(wèn)控制，充分保證了視頻數據的安全性。

(三)多極認證體系

該方案采用身份載體憑證發(fā)行服務(wù)器(DDS)和訪(fǎng)問(wèn)控制策略配置服務(wù)器(ACS)兩級方式實(shí)現對用戶(hù)的身份鑒別和訪(fǎng)問(wèn)授權功能。其中，DDS負責頒發(fā)憑證，維護系統的密匙數據;ACS在獲得DDS頒發(fā)的憑證后，對用戶(hù)的每次訪(fǎng)問(wèn)都按照設定策略進(jìn)行授權。

為進(jìn)一步增強安全性，DDS的憑證頒發(fā)和ACS的授權操作都需要管理員和操作員兩極認證授權。

(四)完整的解決體系

從個(gè)人家庭用戶(hù)到企業(yè)級用戶(hù)，從單臺設備到上千臺設備，漢邦都能提供完整的解決方案，并提供相應的技術(shù)支持;對于已有視頻監控系統，也可以通過(guò)方便快捷的技術(shù)改造來(lái)實(shí)現視頻數據的加密，既保證了安全，又保護了用戶(hù)已有的投資。

漢邦視頻數據安全解決方案主要提供兩種產(chǎn)品形態(tài)，即企業(yè)視頻加密方案和家庭視頻加密方案。

企業(yè)級用戶(hù)

針對酒店、教育、司法、公安、電力、金融、醫療、安監、能源等行業(yè)的高端企業(yè)級用戶(hù)，漢邦提供企業(yè)視頻加密方案，由客戶(hù)自己管理和配置憑證分發(fā)服務(wù)器(DDS)、訪(fǎng)問(wèn)控制服務(wù)器(ACS)，配合漢邦提供的加密設備和相應的平臺軟件及客戶(hù)端，能滿(mǎn)足用戶(hù)的需求，漢邦負責對用戶(hù)做前期的培訓和后期的售后支持工作。

家庭用戶(hù)

針對個(gè)人家庭用戶(hù)，漢邦提供家庭視頻加密方案，由漢邦管理憑證分發(fā)服務(wù)器(DDS)和訪(fǎng)問(wèn)控制服務(wù)器(ACS)，負責密匙憑證的分發(fā)和配對，并將訪(fǎng)問(wèn)控制服務(wù)器(ACS)放在公網(wǎng)上，漢邦負責其運行和維護，漢邦家用攝像機采用TF卡進(jìn)行視頻加密，TF卡同時(shí)還具備存儲視頻數據的功能。

此外，針對已經(jīng)部署好的網(wǎng)絡(luò )視頻監控系統，想要快速實(shí)現局域網(wǎng)互聯(lián)的安全，可以采用一點(diǎn)通安全網(wǎng)關(guān)的方式，在局域網(wǎng)內數據以明文方式傳送，數據使用一點(diǎn)通安全網(wǎng)關(guān)加密后通過(guò)互聯(lián)網(wǎng)與其他地區局域網(wǎng)互聯(lián)，安全網(wǎng)關(guān)接收到密文，解密后轉發(fā)到局域網(wǎng)內分享。這種方式能夠確保使用互聯(lián)網(wǎng)互聯(lián)的安全，也免除了客戶(hù)端訪(fǎng)問(wèn)的授權和認證工作。采用一點(diǎn)通安全網(wǎng)關(guān)的系統基本系統組成如下：

系統中一點(diǎn)通安全網(wǎng)關(guān)中安裝加密認證模塊，安全網(wǎng)關(guān)具有端口映射和互聯(lián)網(wǎng)NAT穿透功能，可以實(shí)現局域網(wǎng)之間的安全互聯(lián)。各類(lèi)視頻設備通過(guò)安全網(wǎng)關(guān)的映射，能夠實(shí)現通過(guò)互聯(lián)網(wǎng)的互通互聯(lián)，網(wǎng)絡(luò )上的視頻數據全部以密文傳送。通過(guò)ACS服務(wù)授權客戶(hù)端權限，客戶(hù)端可以使用USB或藍牙接口的認證密鑰，支持PC機和移動(dòng)設備的訪(fǎng)問(wèn)。

四、總結與展望

在安全形勢變得日益嚴峻的今天，提高視頻監控系統本身的安全性能已經(jīng)成為燃眉之急。漢邦高科提供的視頻數據安全解決方案，從系統角度出發(fā)，全方位覆蓋了視頻監控的各個(gè)環(huán)節，有力的保障了數據安全。

接下來(lái)，漢邦將從如下方向進(jìn)一步優(yōu)化解決方案：

1.提升系統的加解密效率。由于采用復雜的加密算法和認證體系，加解密必然會(huì )消耗一定的CPU資源和網(wǎng)絡(luò )帶寬，如何不斷提升效率，盡可能小的影響系統整體性能，這是需要持續進(jìn)行優(yōu)化的。

2.在保證系統安全性的前提下，提升用戶(hù)體驗。眾所周知，要提升安全性，不可避免的會(huì )帶來(lái)操作的復雜性。在體驗為王的當今時(shí)代，如何在安全性不受影響的同時(shí)，能夠盡可能的讓用戶(hù)使用便利，這是需要我們不斷嘗試的。

“攻”和“防”是安全問(wèn)題上永遠對戰的雙方，然而，“魔高一尺，道高一丈”，在漢邦視頻數據安全解決方案的保護下，我們一定能取得這場(chǎng)安全大戰的最終勝利。