基于公普加密的安全视频监控系统的设计

2019-12-18 03:06刘艳层袁鹏尹严研
中小企业管理与科技 2019年33期
关键词:码流密钥摄像机

刘艳层,袁鹏,尹严研

(北京京航计算通讯研究所,北京市100074)

1 引言

目前,网络视频监控技术不断发展,其关注的重点在于系统功能的实现,主要包括视频图像的采集、存储和如何实现网络传输。其安全则由于技术限制(实时视频大数据的加密瓶颈)和准备不足成为行业产品厂商的短板甚至是盲区,造成了目前的视频监控系统自身安全保障的缺失。因此,研发实现更加可靠、更加安全且完全自主可控的网络视频监控产品势在必行。

2 安全视频监控系统的组成

加密监控主要包括前端安全视频采集接入和后端服务中心管理两大部分。

系统首先利用前端的视频采集设备,包括高清安全网络摄像机,将视频数据采集并加密后,通过视频专网传输到后端管理中心。然后通过管理中心的视频管理主服务器、流媒体服务器、存储服务器、安全解码器、CA 认证服务器及安全工作站等后端管理设备对视频数据进行安全的客户端浏览、集中存储、电视墙观看等具体应用。安全视频监控系统结构如图1所示。

图1 安全视频监控系统结构图

3 安全视频监控系统的工作原理

安全视频监控系统内各设备通过内置加密模块,在CA 服务器的支持下,利用公钥协商方式协商出视频密钥加密密钥,然后使用对称算法加密传输视频数据。

具体工作原理如下所示:

①密钥协商。存储服务器和加固摄像机建立视频连接时,每24 小时进行1 次密钥协商,协商成功后更换视频密钥加密密钥。密钥协商基于公钥密码算法,在CA 服务器的支撑下进行。

②加密传输。密钥协商成功后,加固摄像机使用本地生成的视频加密密钥加密视频数据,视频加密密钥(VEK)由交互的视频密钥加密密钥(VKEK)加密后也随码流一起传输,视频加密密钥(VEK)每1 小时更新一次。在视频监控网络中传输时,视频数据以加密形态出现。

③密文存储。加密视频数据到达存储服务器后,由存储服务器直接以密文方式存入本地。随同密文一起存储的还包括用存储服务器公钥加密的视频密钥加密密钥(VKEK)和对应的视频密钥加密密钥版本(VKEKVersion)参数。存储码流的开始必须要包含一个(VKEKVersion,VKEK 密文)数据包,表明该数据包之后的码流均通过该组VKEK 对VEK 进行加密操作,直到出现下一个(VKEKVerison,VKEK 密文)数据包,表明新数据包之后的VKEK 需要更新。安全监控工作站需要调取历史数据进行查看时,存储服务器先用私钥解密出录像文件中保存的VKEK的原文,并用码流接收方的公钥对VKEK 原文重新加密后,和对应的VKEKVersion 一起用信令的方式转发给码流接收方;录像文件保持加密形式发送给码流接收方;接收方用自己的私钥解密VKEK 后,用VKEK 解密VEK,从而解密视频流用于播放。

④加密转发。安全解码器、安全监控工作站和加固摄像机之间不直接连接,而是通过存储服务器获得视频数据。安全解码器、安全监控工作站与存储服务器建立连接时,存储服务器将相关加固摄像机的VKEK 和对应的VKEKVerison 通过信令方式转发给安全解码器、安全监控工作站,转发过程也要执行1 次密钥协商过程,区别是视频加密密钥不是新生成的,是转发加固摄像机的。

⑤设备认证。通过内置密码模块中公钥证书有效性的验证,可以对设备进行有效性验证。出现设备失控时,及时在CA服务器中将其吊销,即可阻断该设备再次入网。

4 安全视频监控系统的设计

安全视频监控系统的设计基于目前国内完全自主可控且高端成熟的视频监控技术,并结合具备高安全性的公普级数据加密技术,设计和开发了端到端的完整视频加密监控系统。该系统从摄像机图像采集开始到数据传输、存储,再到认证系统管理下的数据解密解码,在应用中形成完整的系统化产品系列,包括加固摄像机、解密终端以及认证管控等应用服务器和客户端软件,共同构建起基于公普加密算法的高清视频监控系统。以下为系统的硬件设计、软件设计。

4.1 硬件设计

①电源部分。设备包括三种供电方式:AC24V,DC12V 和POE。其中,AC24V 和DC12V 支持宽压±25%输入范围,POE支持空闲线和信号线两种供电类型。不同机型根据实际应用需求设计合适的供电方式,电源经过浪涌防护后,通过电源拓扑为整个系统的正常运行提供所需稳定的各种电源电压。

②CMOS 图像传感器及其外围电路部分。该部分实现光电信号的转换,并经过其内部放大,A/D 转换等处理输出数字裸视频数据,向DSP 提供做进一步处理。

③DSP 处理器及其外围电路部分。该部分是加固摄像机(IPC)的核心部分,主要功能为:第一,对SENSOR 寄存器进行配置,采集SENSOR 输出的图像数据,进行视频处理、视频编码、加密以及视频输出。第二,对网络PHY的寄存器进行配置,以及两者之间的视频数据传输。第三,采集音频信号,并进行数据处理和输出;报警输入输出控制。第四,控制SD 卡实现视频数据存储等。上述为DSP 实现的通用功能。同时,设备的红外灯控制、滤光片切换、变倍变焦等功能,均由DSP 控制相应的外围驱动芯片来实现。视频加密功能通过USB 接口调用密码模块完成。

4.2 软件设计

软件分为用户接口层、应用组件层、设备驱动层。

①用户接口层。用户接口层提供linux的动态链接库接口,基于应用组件层,完成以下功能。

网络服务:按照加固摄像机(IPC)网络通讯协议,提供实时或历史媒体数据传输、系统管理、功能和设备的控制等服务。包括Web 和自主开发的平台软件。

控制台系统:以文字界面的方式接收用户输入,运行特定过程,改变系统状态,打印系统的输出,用于调试、自动测试等场合。

②应用组件层。

抓图组件:主要用于图片获取以及存盘传输。

录像模块:主要用于录像控制,包括主码流、子码流。

录像回放模块:利用Web 开启回放功能,通过获取文件信息以及视频码流,取出码流后实时送至解码模块进行解码显示。

日志管理:记录系统运行期间的信息(如系统操作、配置操作、报警事件、数据管理等)。供用户查看设备过去时间内设备发生的变动。

③设备驱动层。

加固摄像机(IPC):加固摄像机使用(IPC)box 基础驱动框架,集成所有加固摄像机(IPC)产品型号的资源配置,以及外设驱动。

音视频编码:音视频型号相关的资源配置驱动。

视频编码模块:数据加密主要在视频数据编码后,调用加密接口对视频数据进行加密,加密后对数据根据协议进行封装,最后将封装后的加密数据通过网络发送至安全网络硬盘录像机(NVR)端,进行解密。

5 结语

加密视频监控系统通过公普加密,对国产摄像机进行改造,实现高清视频“端到端”的全程加密,弥补目前视频信息数据安全方面的不足。通过对敏感视频内容进行有效防护,可以确保视频数据的传输、存储、流转、查阅的安全性、完整性、可信任性及可追溯性,使得视频信息在各应用环节始终处于安全状态和严密监管之下,杜绝视频图像被非法窃取、伪造或变造的可能,从而实现视频监控信息数据的安全可靠管理。

猜你喜欢
码流密钥摄像机
幻中邂逅之金色密钥
幻中邂逅之金色密钥
密码系统中密钥的状态与保护*
高清网络摄像机图像延迟分析及解决方案
TPM 2.0密钥迁移协议研究
如何对数字电视信号进行有效监测
摄像机低照成像的前世今生
新安讯士Q6155-E PTZ摄像机
如何消除和缓解“摄像机恐惧症”
一种比较ASN.1码流差异的方法