中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁(yè) > 新聞 > 專家觀點(diǎn) >

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)信息安全機(jī)制解析

2013-12-09 16:32:41   作者:   來(lái)源:比特網(wǎng)   評(píng)論:0  點(diǎn)擊:


  1.引言

  網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是基于IP網(wǎng)的圖像遠(yuǎn)程監(jiān)控、傳輸、存儲(chǔ)、管理的視頻監(jiān)控系統(tǒng),將分散、獨(dú)立的圖像采集點(diǎn)進(jìn)行聯(lián)網(wǎng),實(shí)現(xiàn)跨區(qū)域的統(tǒng)一監(jiān)控、統(tǒng)一存儲(chǔ)、統(tǒng)一管理、資源共享。

  典型網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)主要由前端監(jiān)控設(shè)備(攝像機(jī)、視頻服務(wù)器/編碼器)、監(jiān)控中心(中心服務(wù)器)、監(jiān)控客戶端(監(jiān)控工作站)3部分組成。通過(guò)對(duì)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)所面臨的安全狀況的分析,網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全性在總體結(jié)構(gòu)上分為4個(gè)層次:物理安全、接入安全、傳輸和網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全。

  其中,網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)數(shù)據(jù)安全是指應(yīng)對(duì)用戶和權(quán)限等業(yè)務(wù)信息和音視頻媒體信息有加密保護(hù)措施,包括業(yè)務(wù)數(shù)據(jù)的安全性和媒體數(shù)據(jù)的安全性,業(yè)務(wù)數(shù)據(jù)包括用戶信息、實(shí)時(shí)瀏覽、存儲(chǔ)、回放以及數(shù)據(jù)配置(如設(shè)備信息查詢、云臺(tái)功能查詢、通道名稱設(shè)置)等;媒體數(shù)據(jù)包括各通道傳輸?shù)囊曨l數(shù)據(jù)、音頻數(shù)據(jù)以及靜態(tài)的錄像文件等。

  視頻監(jiān)控系統(tǒng)面臨的數(shù)據(jù)安全威脅大體分類如下:

  • 拒絕服務(wù)攻擊。導(dǎo)致視頻監(jiān)控系統(tǒng)的業(yè)務(wù)系統(tǒng)無(wú)法正常提供服務(wù);
  • 漏洞威脅攻擊,導(dǎo)致視頻監(jiān)控系統(tǒng)的業(yè)務(wù)系統(tǒng)無(wú)法正常提供服務(wù),數(shù)據(jù)安全(機(jī)密性、完整性和可用性)被破壞;
  • 病毒蠕蟲,帶來(lái)的數(shù)據(jù)完整性和可用性損失以及可能的網(wǎng)絡(luò)可用性損失;
  • 口令猜測(cè),導(dǎo)致視頻監(jiān)控系統(tǒng)的資源被濫用、業(yè)務(wù)系統(tǒng)等無(wú)法正常提供服務(wù),數(shù)據(jù)安全(機(jī)密性、完整性和可用性)受到破壞;
  • 視頻監(jiān)控系統(tǒng)的信令,視頻數(shù)據(jù)的不安全遠(yuǎn)程傳輸,導(dǎo)致數(shù)據(jù)安全(機(jī)密性、完整性和可用性)受到破壞。

  針對(duì)上述數(shù)據(jù)安全威脅,在數(shù)據(jù)安全的具體技術(shù)和設(shè)備要求方面,監(jiān)控業(yè)界不同公司的安全策略不同,下面針對(duì)業(yè)界關(guān)于網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的數(shù)據(jù)安全機(jī)制和方案進(jìn)行分析。

  2.視頻監(jiān)控系統(tǒng)的信息安全分類

  通常,視頻監(jiān)控系統(tǒng)業(yè)務(wù)數(shù)據(jù)和媒體數(shù)據(jù)采用分離的通道進(jìn)行操作,其傳輸通道類型可分為信令流和媒體流。

  (1)信令流加密

  業(yè)務(wù)數(shù)據(jù)加密是指每個(gè)控制命令或者參數(shù)設(shè)置命令都必須進(jìn)行加密處理,采取加密業(yè)務(wù)信令通道的辦法來(lái)保證信息的安全性,保證數(shù)據(jù)鑒別、防篡改、防窺視、鑒別來(lái)源、防止非法訪問(wèn)、防偽造。

  系統(tǒng)對(duì)信令進(jìn)行加密,所有信令都使用加密技術(shù),為了支持加密技術(shù),需增加會(huì)話準(zhǔn)備操作,進(jìn)行握手交換標(biāo)識(shí),以讀取密碼生成密鑰,進(jìn)而對(duì)分組進(jìn)行加密。

  (2)媒體流加密

  對(duì)于視頻流的實(shí)時(shí)加密流程與信令流類似,同樣需要進(jìn)行交換標(biāo)識(shí),以讀取密碼生成密鑰。

  視頻流和視頻控制信令應(yīng)以不同的物理通道進(jìn)行傳輸,視頻控制信令通過(guò)信令流傳輸,視頻流通過(guò)媒體流傳輸。

  視頻控制協(xié)議是視頻監(jiān)控終端與視頻設(shè)備(視頻管理服務(wù)器/監(jiān)控平臺(tái)、DVR、攝像頭等設(shè)備)間的控制指令集,即建立視頻監(jiān)控圖像連接的基本指令集。為保證通信中指令集不包含網(wǎng)絡(luò)攻擊指令、其他非法字符集或嵌入機(jī)密數(shù)據(jù)向外泄露。視頻傳輸系統(tǒng)應(yīng)具備視頻協(xié)議安全控制功能,對(duì)所有視頻監(jiān)控交互指令進(jìn)行嚴(yán)格安全過(guò)濾,阻斷非法數(shù)據(jù)傳輸和網(wǎng)絡(luò)攻擊的入侵。

  3.視頻監(jiān)控信息安全機(jī)制的標(biāo)準(zhǔn)情況

  針對(duì)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全機(jī)制,業(yè)界主要有ONVIF(OpenNetworkVideoInterfaceForum,開放型網(wǎng)絡(luò)視頻產(chǎn)品接口開發(fā)論壇)、中華人民共和國(guó)公安部(以下簡(jiǎn)稱公安部)《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》、CCSA《電信網(wǎng)視頻監(jiān)控系統(tǒng)安全要求》等標(biāo)準(zhǔn),此外運(yùn)營(yíng)商和廠商各自制定了針對(duì)自己系統(tǒng)的安全標(biāo)準(zhǔn)和解決方案,其中ONVIF和《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》是業(yè)界采用比較多的監(jiān)控標(biāo)準(zhǔn)。

  ONVIF成立于2008年5月。由安訊士網(wǎng)絡(luò)通訊公司聯(lián)合博世集團(tuán)及索尼公司三方攜手共同成立,關(guān)注IP視頻監(jiān)控,目標(biāo)是實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)視頻框架協(xié)議,使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品(包括攝錄前端、錄像設(shè)備等)完全互通。ONVIF規(guī)范向視頻監(jiān)控引入了WebServices的概念。設(shè)備的實(shí)際功能均被抽象為WebServices的服務(wù),視頻監(jiān)控系統(tǒng)的控制單元以客戶端的身份出現(xiàn),通過(guò)Web請(qǐng)求的形式完成控制操作。

  由于ONVIF基于WebServices,WebServices主要利用HTTP和SOAP使數(shù)據(jù)在Web上傳輸,其在信息安全方面主要有以下要求:

  • 獲取或設(shè)置訪問(wèn)安全策略;
  • 服務(wù)器端HTTPS(securehypertexttransferprotocol,安全超文本傳輸協(xié)議)認(rèn)證;
  • 客戶端HTTPS認(rèn)證;
  • 密鑰生成和證書下載功能;
  • IEEE802.1xsupplicant認(rèn)證;
  • IEEE802.1xCA認(rèn)證;
  • IEEE802.1x配置。
  • 在信息安全性方面,ONVIF規(guī)范支持摘要認(rèn)證和WS一安全框架。
  • 在用戶認(rèn)證方面,最基本驗(yàn)證包括HTTP摘要認(rèn)證和WSS摘要認(rèn)證(用戶名令牌描述(usernametokenprofile)),高級(jí)驗(yàn)證包括TLS-basedaccess。
  • 在用戶認(rèn)證通過(guò)后,通過(guò)“獲取或設(shè)置訪問(wèn)安全策略”實(shí)現(xiàn)基于用戶的權(quán)限控制,以授權(quán)其能訪問(wèn)的前端監(jiān)控設(shè)備。

  用戶名令牌描述必須使用隨機(jī)數(shù)和時(shí)間戳作為定義(根據(jù)WS-usemametoken),因?yàn)橄到y(tǒng)為每個(gè)攝像頭設(shè)備提供不同證書不太現(xiàn)實(shí),因此系統(tǒng)對(duì)客戶端使用用戶名令牌描述和主要權(quán)限驗(yàn)證,這樣就需使用密碼加密算法,算法主要采用SHA-1函數(shù)和HMAC算法。舉例來(lái)說(shuō),某一用戶A,其用戶名令牌為UA,P-UA,該用戶要訪問(wèn)的終端設(shè)備為NEP,則PE_UA=base64(HMAC-SHA-1(UA+P_UA,NEP+“0NVIFpassword”))即為其客戶端配置的用戶證書和設(shè)備權(quán)限驗(yàn)證,其中HMAC_SHA-1是一種安全的基于加密散列(Hash)函數(shù)和共享密鑰的消息認(rèn)證協(xié)議,它可以有效地防止數(shù)據(jù)在傳輸過(guò)程中被截獲和篡改。

  維護(hù)了數(shù)據(jù)的完整性、可靠性和安全性。

  在信息的安全通信層面,0NVIF規(guī)范定義了兩種通信層面的安全架構(gòu):傳輸層安全(transponlayersecurity,TLS)和消息層安全。

  傳輸層安全協(xié)議用于保護(hù)0NⅥF提供的所有服務(wù)。同時(shí)還需要保護(hù)媒體流的RTP(real.timetmsportprotocol,實(shí)時(shí)傳輸協(xié)議),RTSP/HTTPS。

  設(shè)備應(yīng)該支持TLS1.0、TLS1.1,可以支持TLS1.2;加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。

  客戶端應(yīng)支持TLS1.1、TLS1.0,加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_NULL_SHA。

  服務(wù)器端認(rèn)證:設(shè)備支持X.509(X.509是由國(guó)際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標(biāo)準(zhǔn))服務(wù)器認(rèn)證。RSAkey長(zhǎng)度至少為l024bit:客戶端支持TLS服務(wù)器認(rèn)證。

  客戶端認(rèn)證:支持哪的設(shè)備應(yīng)該支持客戶端認(rèn)證,客戶端認(rèn)證功能可以在設(shè)備管理命令中禁止和啟用。支持TLS的設(shè)備應(yīng)該在證書請(qǐng)求中支持R5A認(rèn)證類型。而且應(yīng)該支持RSA客戶端認(rèn)證和簽名驗(yàn)證。

  信息層面的安全。規(guī)范采用基于端口的安全框架IEEE802.1x,支持EAP-PEAP/MSCHAPv2、EAP-MD5、EAP-TLS和EAP-TLS。TLS允許點(diǎn)對(duì)點(diǎn)的保密性和完整性,但是在有中間通信節(jié)點(diǎn)的情況下,TLS不能提供端到端的安全,此外,為了實(shí)現(xiàn)用戶基本權(quán)限控制,WebServices需要驗(yàn)證每個(gè)SOAP消息的來(lái)源。

  在信息安全方面,公安部《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》對(duì)此有具體的信息安全章節(jié)要求,該標(biāo)準(zhǔn)是由全國(guó)安全防范報(bào)警系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定的,其成立于1987年,負(fù)責(zé)我國(guó)安全防范技術(shù)領(lǐng)域國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定、修訂工作和對(duì)口國(guó)際電工委員會(huì)/報(bào)警技術(shù)委員會(huì)(IEC/TC79)的工作。

分享到: 收藏

專題