无线视频监控数据安全保护研究

熊哲源，张江山

（江西警察学院，江西 南昌 330100）

一、无线视频监控概述

公安物联网以“人、车、物、事件”等为感知对象，通过各类传感器和公共安全网络资源，对相关信息全天候的自动采集、跨地域的全面共享，实现自动化的识别、定位、跟踪、监控和管理。在公安物联网中，视频数据的作用已经越来越重要。由于无线视频监控部署快速、灵活、成本低，可以加强和补充有线监视系统，能够有效地防范犯罪和恐怖袭击，已成为公安物联网的研究热点之一。

无线视觉传感器网络(Wireless Visual Sensor Networks,WVSN) 包含装备有摄像头的传感器节点，结合无线通信与网络、信号处理、数据安全、计算机视觉等技术，实时存储、处理和检索视频数据。[1]WVSN 应用范围包括无线视频监控、环境和结构监测、智能交通系统和智能家居等。WVSN 视频监控常用于目标检测、识别和跟踪，在满足特定服务质量（QoS）情况下，监测兴趣事件的发生，比如侦查犯罪和恐怖袭击等。由于在能量、计算和存储能力等方面的限制，视频监控对于WVSN 是具有挑战性的任务，因为视频和图像编码与传输资源消耗很大，而且无线信道频谱利用率低，容易被攻击。

WVSN 一般部署在户外或室内环境，任何实体将其无线电接口调至无线信道的频率都可以进行数据发送和接收，这使得攻击者能轻易地扰乱和误导合法用户间的通信。所采集到的数据是为下一步行动作决策，或者作为特殊事件的调查证据，如果数据被篡改或伪造可能导致严重结果，因此保证数据安全也至关重要[2]。当WVSN 部署在机场、火车站、商场或办公楼等公共区域时，用户会很关注数据的完整性和真实性。当视频监控应用于家庭或医院病房等私人环境时，用户会非常关心他们的隐私保护问题。

WVSN 的资源限制使得它很容易受到各种攻击，从视频拦截、篡改、重放之前存储的帧、向网络中注入假帧，到中断整个传输。与主要处理标量数据的无线传感器网络 （Wireless Sensor Networks，WSN）不同，WVSN 中的视频数据安全可能需要不同的方法。设计WVSN 数据安全机制的基本目标如下：

（一）隐私

在某些应用中，视频应该只捕捉被监控对象的行为或动作，而不是他们的身份。在视频处理环境中，隐私保护被定义为在视频帧的某些区域（如人脸或车牌号） 隐藏敏感信息以保护主体身份的遮蔽、模糊或征用过程。因此，窃听者无法通过访问/拦截发送方和接收方之间传输的视频帧来提取有意义的信息。

（二）完整性

视频应该从其预期的来源收到，没有任何修改。确保接收方在传送过程中未被任何恶意用户更改给定的视频序列。

（三）身份认证

视频应该来自真实的来源。确保接收方所提供的视频序列来自预期的（合法的）发送方，而不是该发送方的模拟方。

由于传感器节点资源有限，可以被视为攻击的软目标，因此必须在传感器节点上至少实现一些基本的安全级别来抵御这些攻击。目前在无线传感器网络的安全方面已经做了大量的工作，主要包括加密（对称和非对称密钥加密）技术、哈希、认证、信任管理和其他高级技术。

传统上，密码系统使用数字签名方法来解决发送方身份验证和数据完整性问题。在WVSN 中，编码器将是由电池驱动的微型视频传感器，这对计算和能量有很大的限制。因此，除了原始视频外，视频传感器实际上不可能对每一帧进行密集的数字签名处理计算并承担相关的传输开销。此外，WVSN 还存在多径衰落效应，与WVSN 相关的路径不仅要处理资源限制和不同的视频编码范式，还要考虑环境因素，解决视频数据完整性和认证等问题。

二、无线视频监控数据安全保护研究现状

到目前为止，关于WVSN 数据安全保护问题的研究还较少。Kundur 等人提出了一种基于密码的过程称为PICO （通过可逆密码隐藏的隐私），它将人脸识别算法应用于图像，然后使用对称密钥加密技术对识别出的面部区域进行加密。[3]Goldstein 等人设计了一种基于水印的视频完整性验证方法，克服了传统的验证机制如数字签名无法区分攻击和常规修改的签名。[4]根据文献[3]中对包含敏感信息的帧区域进行置乱的低复杂度隐私保护机制，每一帧都可以进一步进行盲水印处理，使置乱映射规范化，嵌入认证信息。

文献[5]尝试定义密码和水印之间的关系。然而，很明显，没有一个单一的解决方案足以应对所有类型的安全威胁。因此，在相同或者不同的协议层中组合安全机制是常见的解决方案方法。在说明密码学或者水印两者之间，哪一种方法更适合WVSN 之前，应先清楚地解释每种方法及其预期目标。

密码是通过一个不安全的通信信道来实现消息从发送者到接收者的安全传输，安全传输有三个方面的特征，即消息的私密性、完整性和真实性。它主要通过使用对称和非对称加密、散列原语以及各种密钥分发和信任管理技术来保持通信机密。只有那些拥有密钥的人才能访问隐藏的内容。

另一方面，水印是一个多学科领域，融合了信号处理、密码学、通信理论、编码压缩、人类视觉系统（HVS）和视频质量要求等多个领域。将水印（或数字签名） 嵌入到数字数据信号中是信息隐藏的一个分支，没有提取算法很难从信号中去除。

与传统的密码学方法相比，水印算法计算量小，是传感器网络环境下保证认证、隐私和数字版权保护的一种可行的方法。[6]与密码学相比，水印信息的嵌入不需要额外的传输开销，因为水印位一般不会添加到原始内容中，而是在特定的水印算法确定的位置上替换原始内容的某些位。此外，在WVSN 中使用加密方法对整个数据集进行加密可能会在源节点上产生大量的计算开销，因为与纯量数据相比，数据集的大小要大得多，从而导致实时通信的延迟更大。

隐私、完整性和真实性这三个数据安全问题的解决方案大都是基于密码学、水印，有时是两者的结合。Rahman 等人提出了一种隐私保护机制，对视频隐藏敏感信息，同时提供有效的监控。[7]他们使用了一种加密的基础数据置乱方法来渲染包含隐私泄露信息的视频帧区域。使用多个抽象级别来满足各种用户角色的隐私特权。该方案计算效率高，适用于实时视频传输。文献[8][9]也提出了一些相关的工作。Wang 等人提出了一种基于水印的框架来解决视频监控系统中的隐私和真实性问题。[10]水印将隐私信息（与被授权人相关）以最小的感知变化嵌入和隐藏到视频中，而在数据包头中嵌入数字签名以对被水印的视频进行认证。还有一些其他的研究基于水印方法来解决视频的隐私、完整性和真实性问题。[11]

水印是一种更灵活和较低复杂度的解决方案，能够确保数字内容的语义没有被非法来源修改，同时可以防止无线信道错误、有损压缩和其他信号处理原语。与密码学相比，水印可以用于将水印嵌入到内容中，而无需额外的传输开销。此外，水印安全性可以通过使用加密方法来补充，这样攻击者就不能在截获的帧序列中检测水印。只有使用检测算法成功重建“加密”水印的合法接收者才能解密并将其与存储在自己站点上的水印进行比较。

由于对称密码学的计算要求相对较低，对处理标量数据的WSN 应用也许是可行的，但是，它需要对密钥的分发进行强有力的信任管理，对于WVSN 视频数据应用是不切实际的。与对称密码学相比，非对称密码学是一种更好的防止窃听和折衷节点攻击的解决方案。但是，为了执行签名验证操作，需要一些节点具有更高的计算能力。公钥密码学是一种计算密集型的方法，对于资源有限、电池供电的摄像机传感器节点来说是不可行的，这些节点在进行视频捕获的同时还需要执行视频处理和传输操作，因此不适用于WVSN。

基于水印的安全机制，由于其较低的复杂性和简单性而适合于WVSN，在考虑环境约束的情况下，可以采用加密和哈希的方法来补充水印的嵌入和检测机制。然而，WVSN 视频数据安全保护依然存在相当大的研究空白。

三、数字视频水印工作原理

Hui-Yu 等人提出利用分布式源编码的原理，利用数据隐藏和信道编码的双重性，可以实现WVSN 的水印技术。[12]数字视频水印技术在各个应用领域得到了广泛的研究和实现，但在WVSN 中几乎没有应用。视频水印框架一般包括以下三个模块。

一是嵌入函数。嵌入函数位于源摄像机传感器内，通常有三个输入：（1）作为水印嵌入的信息；（2）要嵌入水印的视频序列；（3）可选密钥，用于为水印信息提供额外的安全级别。

二是检测函数。视频解码器对接收到的视频进行解码后，在接收器处应用检测功能。检测函数使用密钥（如果使用）提取水印信息，并将其传递给比较器函数，以验证其成功恢复，并确保接收到的视频的真实性和完整性。

三是比较器函数。该函数通过将原始水印W与重构水印进行比较，生成一个表示水印重构程度的实值。如果该值等于或大于预定义的失真阈值测度，则采用水印成功重构，验证视频的真实性。否则，视频帧将被认为是可疑的并被丢弃。失真阈值测量通常是根据信道条件来设置的。它提供了灵活性的情况下，水印的重要部分已经恢复，但不完全是100%，因为在易出错的无线环境中数据很有可能丢失。如图1 和图2 所示。

图1 编码器端的水印嵌入过程

图2 解码器端的水印检测与验证

（一）视频水印的设计目标

除了视频水印算法的基本方法和结构外，Hartung 和Kutter 还提出了以下多媒体水印方案的设计目标。[13]

1.鲁棒性：指水印在水印视频中由于帧丢失、重排序和平均、压缩、噪声、剪切、低比特率编码等攻击而对修改后的水印的存续率。

2.不可见性：指水印在给定的水印视频中不易被察觉的程度。这是相对于人类视觉系统（HVS）的测度。

3.容量：指多媒体内容中可以隐藏的水印位形式的可容忍信息量。

4.安全性：指水印算法使用某种加密方法的安全性。

（二）视频水印方案的分类

由于视频可以看作是一组具有周期性间隔的静止图像序列，因此人们普遍认为，大多数的图像水印方案都可以应用于几乎不需要修改的视频。然而，由于视频水印的实时性要求和复杂性、帧间冗余度过高、活跃和非活跃区域之间的非规范化平衡等原因，现实与这种感知是不同的。水印方案可以分为四大类。

1.实现域。大多数的水印方案在实现域上可分为两类，即空间域和变换域。

（1）空间域视频水印：指利用视频帧像素间的相关性来嵌入水印的方案。嵌入是通过改变视频帧特定区域的像素位置、强度、像素替换等简单操作，将水印嵌入到原始内容中。空间域方案在实现和处理方面的复杂度较低，但对HVS 的感知能力较强，对攻击的鲁棒性较差。文献[14]提出了一些空间域水印方案。

（2）变换域视频水印：是指将水印嵌入到变换后的视频系数中，具有更强的信息隐藏能力和对水印攻击的鲁棒性的方案。变换域的水印比空间域的水印要多，因为信息可以扩展到整个视频帧。最常用的变换方法是离散余弦变换(DCT)，离散小波变换(DWT)和离散傅里叶变换(DFT)。

2.感知能力。视频水印可分为可感知和不可感知两种方案，其分类参数为HVS （Human Visual System，人眼视觉系统）。

（1）可感知视频水印：指水印以可见方式嵌入到主视频信号中的方案。

（2）不可感知视频水印：指水印以不可见方式嵌入到主视频信号中的方案。

3.探测。水印方案还可以根据解码端水印检测算法检测重构视频水印所需的信息进行分类。

（1）盲视频水印：指的是在解码器上不需要原始视频的方案。然而，从视频帧中提取水印需要密钥和水印位模式。

（2）非盲关视频水印：是指在接收端需要秘密密钥、水印位模式和原始视频检测水印的方案。

4.应用领域。根据应用目标的不同，视频水印方案也可以分为鲁棒、半脆弱和脆弱三种。

（1）鲁棒的视频水印方案：指能够承受大部分视频压缩和处理操作的水印方案。版权保护和所有权认证等应用要求水印必须在针对恶意攻击和容易出错的网络传输的安全环境中保持足够的鲁棒性。

（2）半脆弱视频水印：是指的是特别有预谋的方案，以应付一定程度的失真，这些失真可能以噪音或攻击的形式出现。

（3）脆弱视频水印：是指对视频帧中所有可能的修改都敏感的方案。脆弱水印方案一般用于内容认证和视频完整性认证等应用。由于这些方案是在密码学安全性和强局部化特性的保护下进行的，因此可以检测到帧的微小变化。

四、基于水印的无线视频数据安全机制设计及应用

目前，已有许多关于在不同的编解码器和平台上进行的视频水印研究，但是，由于体系结构的差异，这些技术无法应用于无线传感器网络领域。文献[15]中运用的数字指纹、篡改检测、广播监控和元数据插入等技术在无线视频通信，甚至处理标量数据的无线传感器网络中也很少应用。

(一)WVSN 水印方案的概念框架

图3 WVSN 中安全通信的概念框架

在WVSN 的背景下，隐私、信任管理和身份验证等安全问题具有高度的相关性，单靠数字水印不足以解决所有这些问题。因此，如图3 所示，在文献[16]中提出了一个8 阶段的概念框架，为基于水印的WVSN 数据安全通信提供指导，其主要阶段简述如下。

1.应用场景提取：识别特定于应用的QoS 需求，如及时性或可靠性。例如，部署在战场、交通或医院监控环境中的监控系统具有不同类型的风险、关注点和资源。因此，必须了解应用程序在网络规模、节点密度、拓扑结构、软硬件资源等方面的设置，才能为其设计安全机制。

2.隐私保护：这一阶段是为多媒体内容提供隐私保护。该概念框架提出了在水印设计中引入隐私保护机制。

3.认证：这个阶段开发了一种机制来识别和认证多媒体内容的发起人。该框架提出了使用数字水印来保证多媒体内容的正确性和机密性。

4.信任管理：这一阶段涉及建立信任管理，以增强WVSN 中节点的安全性和可靠性。由于网络部署在一个不受控制的环境中，节点很有可能受到危害。

5.WVSN 水印技术：该阶段包括水印生成、嵌入和检测三个子阶段。利用线性反馈移位寄存器生成水印比特序列，在Kolmogorov 复杂度规则的约束下进一步变换水印比特序列，以增强水印的安全性。为了达到嵌入的目的，水印序列比特和多媒体数据（从周围捕获）在传感器节点处进行多模态融合。然后通过对多模数据进行原子三边测量形成的非线性系统方程求解，得到带水印的解。最后，将水印方案通过无线通信传输给接收机。然后在接收端进行盲水印检测，验证水印的存在性。

6.理论分析与仿真：在WVSN 环境确定所提出架构的兼容性、优点和缺点。

总体而言，以上理论框架讨论了WVSN 中从隐私和身份认证到信任管理的安全问题。

（二）WVSN 水印方案的主要设计要求

另外，我们还对文献中最相关的WVSN 视频水印技术进行了深入的比较研究，如表1 所示。

表1 视频水印技术综述

Wang 提出了一种用于WVSN 多媒体认证的通信资源感知的自适应水印方案。[17]该方案所面临的主要挑战是如何在低成本的传感器中有效地嵌入/保护/提取水印，并以节能的方式传输经过认证的多媒体。通过嵌入具有自适应编码冗余的水印，自适应地分配网络资源来保护包含水印信息的多媒体数据包，保证了水印的传输质量。由于水印对网络条件具有自适应性，并且利用帧间相关性降低了处理延迟，因此该方案能够获得合理的通信能量效率和实时性能。

文献[18]提出了一种基于小波树的鲁棒盲图像水印技术，该技术以彩色像素为单位，利用小波域的像素分量特征进行水印嵌入。在彩色图像中，每个像素由24 位组成，8 位分配给每个R、G 和B 分量。为每个颜色分量生成小波树，用不同分量的两棵树嵌入一个水印位。嵌入过程修改两棵树之间的差异，使其携带有足够能量的位符号，以确保嵌入的稳健性。该方法通过提取表示嵌入比特的差分符号，简化了水印检测过程。

文献[19][20]提出了一种基于F-调制的WVSN 视频盲水印方案，专门解决了基于内容分析的相关攻击。提出的设计侧重于解决WVSN 中视频传输的认证问题的跨层方法。传统的水印方案被设计成能够抵抗各种图像处理攻击，这些攻击试图去除或削弱嵌入的水印（即，需要水印对意外信号处理的鲁棒性）。在这个方案中，这个属性不再是优先权，因为没有预期水印的视频帧将被视为伪造的。以下问题场景用作案例研究：部署用于监视高安全区域的无线视频监视系统，恶意用户或攻击者访问无线通信信道并试图隐藏销毁/操作原始视频。通过抑制真实传输并使用高方向性和强大的天线截取视频以供预期接收器使用，对视频数据的完整性进行攻击。

在文献综述的基础上，我们总结出WVSN 水印方案的两个主要设计要求：

1.能量效率：无线视频传感器网络本身受到诸如有限的电源/能量供应和计算能力等限制，导致需要仔细设计水印方案，并适当选择压缩和信号处理算法（最好是轻量级的）。它不仅在视频处理过程，中而且在传输过程中亦有效地利用了能量。

2.健壮性：易出错的无线和开放操作环境中固有的数据丢失或损坏提高了对更健壮的水印方案的需求，该方案应能在与无线环境相关的数据包丢失或损坏以及恶意节点的攻击中生存。

五、结论

随着无线视频监控的广泛应用，WVSN 将需要足够的安全机制保护其数据，而水印是一个潜在的解决方案，因为传统的方法，如密码学和速记法有更高的计算要求。当然，运用视频水印技术不仅需要解决安全问题，还需要解决WVSN 的资源约束问题。实现对节点处理能力、电源和网络带宽等资源的最佳利用，同时提供对各种攻击的保护，是WVSN 安全机制的基本设计目标。到目前为止，关于解决WVSN 中的隐私、保密性和认证等问题的研究仍处于起步阶段，这是一个有很大创新空间的开放问题。