基于云平台的铁路视频系统及安全技术研究

林云柯，严 瑾

(中铁二院工程集团有限责任公司，成都 610031)

1 概述

我国铁路视频监控系统发展速度较快，无论是新建项目还是技改项目均配置了大量的前端摄像机，系统不断向全覆盖、超高清化发展，视频的存储容量也不断增加，视频监控系统作为数据采集手段和集中管控的重要辅助工具，对于构建基于大数据和人工智能的新型信息化系统和服务平台有着十分重要的意义。

然而传统的IP-SAN 架构下的存储服务器模式的弊端逐渐显现。

1）IP-SAN 架构的存储模式通常需要配置单独的服务器实现存储管理，这种方式对于服务器的性能开销较高，随着存储规模增大，单台存储管理服务器会达到性能瓶颈，而单个车站配置过多的IP-SAN 节点不利于系统的标准化管理和数据的统筹调度。

2）IP-SAN 采用基于服务器自身的冗余机制，无法完全规避安全风险。

与此同时，随着铁路的信息化、智能化建设的不断推进，智能客站、智能客运综合交通枢纽、智能铁公水联运等新兴的铁路运输服务模式开始出现，但目前整个铁路行业对于视频监控技术的认识和重视程度仍然不足，主要体现如下。

1）目前铁路视频监控对视频资源整合不到位，后台还停留在各接入节点独立存储、管理的阶段，对视频的智能分析尚采用较为传统简单的模式，仍然需要投入大量人员来完成视频盯控，没有实现数据的统筹调度，更无法做到智能化、协同化、平台化的管理。

2）视频数据的重要性得不到足够重视，技术上也存在因设备异常导致视频丢失的情况。

结合当前铁路视频监控系统的技术特点和未来铁路的发展方向可以看出，传统视频监控存储方式的技术弊端正在成为制约铁路信息化、智能化发展的因素之一，这也极大地阻碍了铁路运营服务水平的进一步提升。

2 视频监控系统需求分析

2.1 视频监控系统的业务需求

结合铁路各维管部门的管理模式和发展思路，对视频监控系统新的需求不断出现，主要体现在如下方面。

1）目的性与实用性：随着铁路行业管理理念的进步，视频监控相关的业务管理也由粗放型向精细型转变，开始从无重点的视频监控向有目的、有规划、系统性的视频信息处理方向发展。

2）全覆盖与全共享：由于铁路系统跨区域、全天候的运营模式，如果能将车载视频、应急指挥、车务管理等技术和管理手段融合形成综合调度管理体系，将有助于实现视频监控的全面覆盖和信息全面共享[1]。

3）开放性与协同性：铁路系统作为一个复杂的整体，需要多专业、多部门协调配合才能实现优质高效的铁路运输。将视频监控与调度指挥、安全防范、应急指挥系统进行资源整合，能够全面提高不同业务板块间的协同性，提高运营管理水平。

2.2 视频监控系统的功能需求

结合铁路运营对视频监控系统提出的新的业务需求不难看出，铁路的运维管理正向着精细化、一体化、全过程化方向发展，随着未来视频分析、智能联动、数据共享、大数据相关业务的广泛应用，不仅需要智能化的前端设备实现相应的功能，也更需要一套稳定可靠、与其他系统实现高效互联的后端平台作为支撑。

逐渐兴起的云平台技术给铁路综合视频监控系统综合管理平台的搭建提供了解决思路，在《铁路综合视频监控系统技术规范》（Q/CR575-2017）[2]中也定义了云存储架构标准：具有分布式架构，全局存储虚拟化，提供统一命名空间、故障检测、自动恢复、纠删码冗余等功能[3]。结合铁路综合视频监控系统技术规范中对云存储架构的定义和展望，云平台下的视频监控系统功能需求主要有以下几点。

1）多样化资源共享

以线路或站段为单位，建立统一云存储系统，云存储系统需对外提供整体云资源池服务，该服务可应用于任意前端业务应用调取，便于多业务共享数据存储应用。

2）数据自动备份易于管理

存储系统应该具备自恢复和自管理的能力，硬件故障录像数据不丢失且不影响上层业务连续性；存储系统应具备快速数据恢复的能力，以保证在云存储集群设备节点损坏的情况下快速的数据恢复自愈性能。

3）标准接口协议

新部署的存储系统需采用标准接口协议，提供的Iaas 基础存储资源池必须是开放的且可被任意第三方业务平台访问与调取，为建立多云管理平台提供条件。

4）大数据和云计算接口

新部署的存储系统需满足兼容大数据处理标准接口与云计算接入标准，且能够为其他业务应用提供不同性能资源池[4]。

5）存储业务备用切换

在每个站的云存储系统中预留一部分容量用于其他区域云存储故障时的业务切换存储，能够及时实现业务切换。

2.3 视频监控系统的云化需求

可以看出，云存储作为信息技术发展的新方向，恰恰具备计算资源和存储资源弹性分配、可扩展性强、安全冗余度高的特点，全路基于云技术的视频监控相关课题和项目也在不断推进。目前视频监控系统的云化需求主要体现在以下两方面。

1）数据存储需求

铁路视频监控系统的分转发及存储侧需求属于IaaS 范畴，需要云平台提供相关的计算、存储资源。根据现有的铁路视频云平台建设模式和经验，同时也从运维习惯和网络带宽现状的角度出发，云存储服务器采用分布式架构，视频节点的设置原则上与相关规范保持一致（若站间带宽允许，可将部分节点整合），并配置相应的网络设备。正常工况下，以一个视频节点为单位，节点内采用云架构实现视频分转发及存储；特殊工况下，能实现跨节点的视频分转发及存储（相邻节点备份）。

2）集中管理需求

未来基于大数据和云计算的铁路视频监控系统的集中管理侧需求属于PaaS 乃至SaaS 范畴，顶层云平台除了需要部署网络、服务器、操作系统、存储资源以外，必要时还需为第三方应用程序提供开源计算框架服务，甚至直接提供软件服务，客户利用针对顶层平台开发的管理软件实现视频监控系统与其他相关系统的联动管理。

3 云平台安全风险

目前铁路综合视频监控云技术体系的研究与应用还处在初级阶段，中国国家铁路集团有限公司相关技术标准和规范尚未颁布，技术方案有待进一步探索和研究，但无论采用哪种云存储乃至云平台方案，都无法规避云技术带来的安全性问题，结合铁路视频监控系统的特点和其他行业云技术应用的经验，铁路视频云平台将主要面临以下安全风险。

3.1 数据存储安全风险

基于云平台的存储模式摆脱了IP-SAN 模式下单一视频存储节点的安全性问题，能够规避硬盘级的存储故障风险，但同时也带来了新的挑战，由于云平台存储数据量和节点数量庞大，更容易发生节点失效、节点间网络故障等问题，给系统带来了新的数据安全风险。这里的存储安全风险主要针对分布式存储方式下的分布式节点存储安全，与集中管理平台侧的虚拟化存储空间安全有所不同。

3.2 虚拟化安全风险

根据前面的分析，铁路视频监控系统的分转发及存储侧需求属于IaaS 范畴，在云平台侧需求属于PaaS、SaaS 范畴，前者主要应用了存储虚拟化技术，后者则依赖于网络虚拟化、服务器虚拟化、桌面虚拟化和应用虚拟化技术[5]。

虚拟化技术在提高存储和计算资源利用效率的同时，也会带来了许多安全问题，尤其是铁路视频监控系统网络环境复杂，加之运用了云平台和虚拟化技术之后，更为开放且缺乏传统硬件隔离手段，会面临更加严峻的安全风险。

1）在虚拟化环境下，在集中管理平台侧，不同虚拟主机之间的网络、逻辑边界被模糊化，传统互联网环境下的网络防火墙、网络入侵检测防护技术失去了作用。

2）虚拟化环境下常见的“一虚多”“多虚多”模式，攻击者可以利用已经获取的虚拟机使用权限，对相同虚拟化平台或网络上的其他虚拟机进行非法访问或和攻击。

3）虚拟化平台在传统的“网络-系统-应用”的架构上增加了VMM 或Hypervisor，从而增加了一层软件栈，其软件本身存在的安全漏洞以及增加的攻击点，会导致更多的安全风险。

4）虚拟化平台下的网络入侵和安全漏洞，有可能在不同虚拟机之间扩散，波及整个虚拟化平台。为避免出现非法访问或窃听的情况，需要采取有效的隔离措施。

5）当某个虚拟存储资源被一个虚拟机使用后，又再次分配给其他虚拟机，新的虚拟机有可能通过该部分存储介质窃取前一个虚拟机的数据，从而产生数据泄露风险。

3.3 非法访问风险

身份认证和访问控制机制，是云存储服务安全的第一道关卡，一旦身份认证和访问控制失灵，将直接威胁云存储的安全。因此，云存储系统的访问控制（系统的认证、授权），需要根据云存储系统的应用需求，有较完备的安全策略和实施方法。

4 云平台安全技术

针对前述的云平台安全风险，需要充分利用现有技术，并结合铁路视频监控系统的特点针对性的提出解决方案。

4.1 云存储数据安全

未来视频监控系统的数据规模，可以预见，会对存储系统提出更高的要求，在提供足够的数据存取性能和可扩展空间的同时，还要保障良好安全性，尤其是在面临自然灾害时，应仍然保证系统的正常使用。

云存储可以设置存储备份服务器；另一方面，由于云存储系统由大量存储节点组成，不得不面临部分存储节点失效的情况，故需要保证在部分存储节点失效的情形下，数据仍然可以有效访问。

通常采用的数据备份通常有两种手段，一是为数据创建若干副本，二是以编码的形式提供冗余数据和恢复机制：

1）基于多副本的云存储模式较为简单直接，能够有效规避可靠性风险，但需要的存储空间开销也比较大；

2）基于编码形式的云存储模式通常采用了纠删码技术，这种基于编码的容错技术在通信领域应用广泛，主要用来解决传输过程中数据损耗的问题，其基本原理是把传输的数据分段，并加入一定的校验信息，让分段数据之间产生关联。如果在传输过程中部分信号失效，接收端仍能通过计算恢复出原始信号。

目前纠删码在分布式系统中的应用主要有：阵列纠删码（如RAID 5、RAID 6 等），里德－所罗门类纠删码，低密度奇偶校验码，循环冗余校验码，卷积码以及数字喷泉码等。基于纠删码的备份方式，实质是对数据对象进行编码，并融合形成一定大小的冗余信息，从而有效节省存储空间[6]。由于采用纠删码的备份技术在数据I/O 过程中，会分别执行编码和解码操作，需要占用额外的计算资源。

总体而言，基于纠删码的云存储模式相比于多副本模式存储开销较小，但备份技术复杂，数据恢复时需要占用更多的带宽资源，计算开销也更大。对于铁路视频监控云存储而言，基于纠删码的方案更为经济可行。

4.2 云存储虚拟化安全

铁路视频监控系统网络环境复杂、涉及的终端和接口数量众多，加之运用了云平台和虚拟化技术之后，变得更为开放且缺乏传统硬件隔离手段，会面临更加严峻的安全风险。

目前常见的虚拟机攻击其实质是对虚拟机共享的计算资源、存储空间、内空间、计算机和网络访问权限等进行劫持和修改。

针对虚拟化安全问题，主要有以下两种安全机制来解决。

1）虚拟机访问控制

访问控制即通过限制主体对客体的访问权限与范围，保证客体不被非法访问。云存储服务支持海量的用户接入，每个用户都有为其提供服务的虚拟机，因此需要通过虚拟机的访问控制机制来实现不同用户对不同虚拟机的访问权限的区分。

在虚拟化软件栈中，从VMM、客户操作系统到应用软件，高优先级的软件层能够直接访问低优先级软件层的数据和代码而不受限，这种机制会对整个软件栈的安全构成威胁。因此，需要利用访问控制机制，防止非法用户对受到保护的数据资源进行访问。

另外，很多应用需要进行虚拟机间的通信，可能带来非法访问、边信道攻击等安全风险。而由于云存储的动态弹性资源分配机制，根据性能冗余情况，虚拟机可以实现动态的迁移，迁移过程中也应实现访问控制。

虚拟机的访问控制策略通常有以下两类：一是每个虚拟机分别部署访问控制策略；二是采用统一访问控制策略。第一种方案的可扩展性比较差，管理繁琐；第二种方案将访问控制策略部署在Hypervisor 上，可以实现统一配置与管理。

2）虚拟机隔离

虚拟机隔离主要分为硬件隔离和系统级隔离，硬件隔离依赖于芯片上的安全模块或安全处理引擎，需要硬件支持才能实现，有一定的局限性。而系统级隔离是利用硬件的安全扩展与可信软件在系统中搭建一个相对安全的可信执行环境。采用系统级隔离可以将可信程序、敏感数据等保护在隔离环境中，并可以限制恶意代码的扩散。

相对于系统级隔离，硬件隔离技术直接利用可靠的物理设备对重要数据进行保护，具有防篡改的功能。然而纯硬件加密有赖于专用的硬件模块，一定程度上还会影响主处理器性能。系统级隔离技术不需要重新设计硬件，开发难度小，对系统的性能影响也较小。

对于基于云技术的铁路视频监控系统而言，首先应从虚拟机访问控制这一层面确保云技术条件下的虚拟化安全，其次通过设置保护模块实现客户机系统调用、进行进程管理等操作。

4.3 云存储身份认证和访问控制

铁路综合视频监控系统前端及终端用户众多，涉及范围大、覆盖面广，系统十分复杂，但对数据又要求有很高的开放性和共享性，因此需要一套成熟高效的云存储身份认证和访问控制机制作为保障。

用户身份认证与数据访问控制作为云技术中一条重要的安全防线，能够通过身份鉴定、安全策略制定以及密钥加密等手段管理用户和数据内容，从而保证合法用户能够安全的使用云上各种资源，同时也防止恶意攻击者非法使用云资源甚至对数据进行窃取和篡改。

在传统访问控制系统中，用户权限和所有数据都由管理员进行分配、管理。但对于基于云技术的铁路视频监控系统而言，海量的用户数量和数据量，以及较高的数据安全要求，给传统的管理员模式带来了很大挑战。

在基于属性的加密机制中，每一个权限可由一个属性表示，由可信的权威机构对系统内所有访问者的权限进行认证并颁发与之对应密钥[7]，系统资源均加密后保存在服务器中，加密访问策略可由资源发布者制定，制定原则灵活可变，满足访问策略的访问者才可以访问并解密该资源。

同时，这一方法也有效解决了传统访问控制机制下，系统管理员必须管理所有用户权限的问题，而服务器也不需要与每个访问者交互，有效提高了系统的安全性和效率。

在属性加密机制中，云存储环境下的访问控制模型包括数据拥有者、云存储服务器、可信授权中心、用户等4 个实体。属性加密运行机制如下。

1）由可信授权中心生成主密钥和公开参数，将公钥传递给数据拥有者。

2）数据拥有者根据公钥和访问结构对文件进行加密，再将密文和访问结构存放到云服务器。

3）新用户加入系统时，其属性集会被传递给可信授权中心，后者根据用户的属性集和主密钥生成用户私钥，并发送给用户。

4）用户访问数据时，若其属性集与密文的访问结构相符，则可解密密文。[8]

如此，云存储身份认证和访问控制完全基于可行授权中心对用户属性的判别，简化了身份认证机制的复杂程度，提高了访问控制可操作性和便捷程度。

云技术的广泛应用是信息技术发展的新趋势，在铁路信息化、智能化发展的过程中，云存储、云计算必然将会扮演越来越重要的角色，通过研究云存储数据安全技术、基于云的虚拟化安全技术以及云存储身份认证和访问控制技术能够为今后铁路视频监控系统的云化提供技术支撑和设计思路。