张正强,吴 震,曾 兵,沈 宜,李 斌
(成都三零凯天通信实业有限公司,四川 成都 610041)
在九部委共同颁布的《关于加强公共安全视频监控建设联网应用工作的若干意见》[1]中提到:到2020年要基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用,在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。其中,全网共享要求以公安机关视频图像共享平台为核心,分级有效整合各类视频图像资源,促进点位互补、网络互联、平台互通,逐步对接基层综合服务管理平台,最大限度实现公共区域视频图像资源的联网共享。
全网共享后的视频资源在使用过程中需要达到全程可控,具体是指公共安全视频监控系统联网应用要实现重要视频图像信息不失控,敏感视频图像信息不泄露。但是,随着安防系统的IT化发展的趋势,在大量视频采集设备联网后,将存在安全隐患或遭到网络攻击。互联网及相应技术的飞速发展为安防系统建设提供了方便,但同时给这个系统带来了许多安全隐患,这是由互联网的公开性所决定的。
通过分析近年爆发的视频监控系统安全事件,总结视频监控系统面临的安全威胁,其主要体现在视频采集设备自身存在的漏洞和视频信息的安全性未得到有效保护。
针对前端设备的安全威胁主要包括设备劫持或替换、协议攻击以及视频资源非法访问三类。
(1)设备劫持和替换:前端视频采集设备(主要是网络摄像机)均采用嵌入式操作系统,系统软件在启动及运行过程中未针对性进行安全防护,无法确保基础运行环境可信,黑客可通过植入病毒、木马等手段入侵前端设备,造成设备被非法控制成为“肉鸡”;同时,前端设备不具备标识身份的唯一证明,设备容易被恶意替换。这不仅可导致视频监控系统无法正常运行,还存在将整个视频监控系统作为攻击源,对网络上的其他设备和服务器发起攻击的风险。2016年底,美国爆发的大规模DDoS攻击致瘫整个互联网,就是由该安全漏洞触发的,影响极为恶劣。
(2)协议攻击:监控业务信令由于缺乏完整性保护机制,可通过仿造或纂改通信协议,非法控制设备,扰乱正常业务流程。
(3)视频资源非法访问:大多数监控前端设备的登录方式为用户名/口令的认证方法,容易遭受到字典扫描和暴力破解攻击,安全性差,视频资源面临被非法访问风险。
针对视频数据的安全威胁主要包括视频数据窃取和视频数据篡改两类。
(1)视频数据窃取:视频在传输过程中采用网络旁路或通过非法途径从后台下载的方式截获视频数据。
(2)视频数据篡改:由于视频数据是明文传输且编码方式具有标准化特征,攻击者可通过伪造相同编码格式视频数据替换原有采集视频数据,导致视频数据被篡改。
因此,针对视频监控领域暴露的安全威胁,需要综合运用密码技术、数字身份认证技术和可信计算技术,从系统层面制定安全解决方案,保障视频数据在采集、传输、存储、查看等各个环节的安全,从而构建安全的视频监控系统。
整个安全方案基于通用视频监控系统产品,通过对前端摄像机和后端通用平台进行安全加固来实现,如图1所示。其中,监控前端摄像机集成安全中间件软件实现设备的可信启动,设备基于数字证书的身份认证,监控业务信令的完整性保护,采集音视频数据的完整性或机密性保护等;在监控后端视频监控管理中心增加安全管理服务平台,并集成对应的安全服务中间件软件,实现对设备身份数字证书的管理及认证、密钥资源的管理及分发、摄像机运行策略的管理以及音视频数据解密展示等。通过实施这些安全加固措施,可增强摄像机自身的安全性,实现摄像机的接入控制,保护监控业务信令的完整性,保护音视频数据的完整性、机密性,从整体上提升联网视频监控系统的安全性,有效防范、抵御目前监控系统中面临的木马病毒、数据被篡改、数据被非法访问等安全威胁。
基于可信计算原理[2],在网络摄像机操作系统中内置可信运行控制软件模块,实现监控前端设备程序进程、关键文件数据以及网络访问保护,及时检测并阻断非授权程序在监控前端设备上运行。可信运行控制软件基于国密密码算法(SM2[3]、SM34]及SM4[5])由网络访问控制模块、运行控制模块、审计管理模块等功能模块组成,其软件组成结构如图2所示。
图1 视频监控安全方案
图2 可信运行控制软件组成结构
(1)网络访问控制模块主要根据策略对摄像机网络访问行为进行控制,主要功能包括网络访问控制和网络端口控制。管理员可以通过安全管理系统配置摄像机网络访问策略。网络访问控制模块根据策略确定摄像机网络访问权限以及相应端口的开启或关闭。
(2)运行控制模块主要根据策略对摄像机运行应用程序行为进行控制,包括文件完整性校验、异常程序行为检测发现以及拦截等功能。同时,基于白名单机制,对白名单中的文件进行保护,不允许其他程序进行篡改,并对上述两个功能的异常操作进行审计。
(3)审计功能模块是对运行控制模块中截获的异常操作进行审计记录并生成审计信息。审计信息由通信代理客户端上报到管理系统,为后端态势分析提供素材支持。
(4)策略配置管理模块通过建立安全通信链路,完成与后端安全管理服务平台通信,实现摄像机本地运行策略管理功能。
基于国密公钥基础设施数字证书认证体系(PKI/CA)[6],监控前端设备使用数字证书通过安全管理协议与视频监控安全管理平台进行相互身份认证,包括证书有效性和合法性,同时在监控平台记录相关认证日志。身份认证通过后,基于安全管理协议完成会话密钥协商。该密钥可以用于监控信令完整性保护,而安全管理协议实现可以选择如下两种方式。
(1)对标准网络监控协议相关字段进行扩展
目前的网络摄像机通常支持的标准协议有ONVIF、PSIA、HDCCTV、GB/T28181[7],其中常用的协议主要是ONVIF和GB/T28181。针对这两种监控协议,方案设计对原有接入认证信令进行扩展,通过扩展实现监控设备与监控安全管理平台(或监控信令网关)的安全认证相关信息交换,完成双方身份认证,同时使用协商的会话密钥对后续每一条监控业务信令进行完整性保护。认证流程如图3所示。
图3 安全信令认证流程
基于该种方式实现接入认证和信令完整性保护,需要对监控前端设备和监控集成管理平台中信令网关进行安全改造。其中,监控前端设备国密算法通过设备安全服务中间件软件实现,后端监控信令网关由于接入设备数量较多,通过集成PCI-E密码板卡提供国密算法功能。
(2)基于监控安全管理平台协议代理实现
在不改动摄像机监控协议模块的基础上,在监控前端设备植入接入认证代理软件模块,通过安全管理协议完成设备和安全管理平台之间的身份认证。设备上线后,主动连接安全管理平台完成身份认证,同时安全管理平台会定时根据平台中配置的设备信息,对设备状况进行轮巡检查,对巡检异常设备及时生成告警信息,提醒用户设备可能存在替换风险,最终确保在线设备的身份合法性。
摄像机采集的音视频数据在网络传输过程中是明文传输,很容易被截获或者篡改。针对不同安全级别应用场景,可分别从视频数据完整性和机密性两个方面进行保护。
针对视频数据机密性保护,采用“信源加密”方案,从采集点开始数据即为“密态”,直至视频查看端才解开为“明态”,从根本上解决视频数据在采集、传输和存储过程中的安全。音视频加密由网络摄像机完成,在视频采集并完成编码后,进行加密处理再发送,如图4所示。
图4 音视频加密流程
视频数据加密模块对音视频数据加密采用阻塞调用方式,网络摄像机需要缓冲编码数据,按先进先出的原则进行加密处理。
(1)网络摄像机将编码完成的音视频数据传入安全模块;
(2)安全模块根据策略,使用视频加密密钥对采集的视频数据进行加密处理,形成密文;
(3)对视频密文数据和安全协议使用HMACSM3计算得到验证信息,按音视频加密数据封装格式组包;
(4)网络摄像机按原有流程将加密音视频包分割成网络包并发送;
(5)视频监控展示平台通过流媒体服务器或者直接从监控前端设备获取到加密视频流后,通过安全管理协议从监控安全管理平台获取视频解密密钥,对视频进行解密后再进行解码播放或者其他分析处理。
针对只要求保护视频数据完整性的场景,只需要通过安全管理平台配置视频加密模块并关闭视频加密处理功能,对传入数据进行HMAC-SM3摘要计算即可。
系统典型部署,如图5所示。
图5 系统典型部署
(1)在监控前端设备固件中集成安全加固软件模块软件,前端设备通过更新升级的方式实现可信运行控制、接入认证、信令加固以及视频数据加密功能。
(2)在中心管理平台部署监控安全管理平台,实现对接入设备的安全管理。同时,在监控信令网关服务器中集成PCIE硬件加密卡和信令安全中间件(根据实际部署需要确定是否需要),实现对摄像机的接入认证,监控业务信令的完整性保护;
(3)在监控客户端计算机中集成硬件解密模块,实现对加密音视频的解密(主要针对需要用到视频解密的场所)。
本文针对九部委《关于加强公共安全视频监控建设联网应用工作的若干意见》中提到的“重要视频图像信息不失控,敏感视频图像信息不泄露”要求,介绍了一种基于国密算法的视频监控系统安全加固方案。通过分析通用视频监控系统面临的安全威胁,将安全问题聚焦在解决前端摄像机安全、业务信令安全、音视频数据安全三个方面,并提出了相应的解决方案。该方案创新性地将可信计算技术应用在摄像机嵌入式操作系统中,增强了前端摄像机抵御木马病毒入侵的能力,从源头解决了视频监控系统面临的最大风险。此外,由于使用“信源”加密技术,不影响视频监控系统原有的业务流程,可实施性强,便于推广。