CN111274578B - 一种视频监控系统的数据安全防护系统和方法 - Google Patents

Abstract

本发明涉及一种视频监控系统的数据安全防护系统和方法，通过使用密码技术中的身份认证、数字签名、完整性校验、数据加解密等技术，可实现在视频监控系统中对数据的安全防护，以避免因设备伪造、非法侦听、篡改数据等对视频监控数据带来的安全问题。本系统包括网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块、功能配置模块、日志审计模块。本发明所述的系统和方法，基于密码技术，对视频监控系统数据提供安全保障，而且不会对现有部署的视频监控系统前端设备和视频监控管理平台产生影响，实施简单，提供良好的兼容性保障，另辟蹊径的控制成本与实施难度，促使安全技术能够切实落地，提升系统GB35114合规性建设。

Description

一种视频监控系统的数据安全防护系统和方法

技术领域

本发明涉及一种视频监控系统的数据安全防护系统和方法，通过使用密码技术中的身份认证、数字签名、完整性校验、数据加解密等技术，可实现在视频监控系统中对数据的安全防护，以避免因设备伪造、非法侦听、篡改数据等对视频监控数据带来的安全问题。

缩略语及名词解释

GB/T28181：安全防范视频监控联网系统信息传输、交换、控制技术要求

GB 35114：公共安全视频监控联网信息安全技术要求

FD：Front-end Device，前端设备，部署在监控区域的IP摄像机

FDWSF：Front-end Device With Safety Function，具有安全功能的前端设备

BD：Back-end Device，后端设备，部署在监控系统后台的设备，比如视频监控信令控制服务器、视频监控媒体处理服务器等

UE：User Terminal，用户终端，用于查阅视频监控图像的个人电脑(PC)

BDWSF：Back-end Device With Safety Function，具有安全功能的后端设备

VEK：Video Encrypt ion Key，视频密钥，在前端设备或前端代理设备上随机产生，用于对视频数据进行加密。这是一种是在对称密码算法中使用的密钥。对称密码算法加密过程和解密过程使用相同或容易相互推导而得出的密钥，称为对称密钥。

VKEK：Video Key Encryption Key，视频密钥加密密钥，顾名思义，是对视频密钥进行加密的密钥。在后端设备或后端代理设备上产生，并需要利用密码协议安全传输给前端设备或前端代理设备，以及系统中其他需要获得VEK的设备

VKMS：Video Key Management System，视频密钥管理系统，用于视频监控系统电子证书的制发、查询和验证功能，以及完成对密钥生命周期管理的系统

SM2密码算法：我国商用密码体系中的公钥密码算法(非对称密码算法)

SM3密码算法：我国商用密码体系中的杂凑运算密码算法

SM4密码算法：我国商用密码体系中的分组密码算法(对称密码算法)

RSA密码算法：一种国际上广泛使用的非对称加密算法，1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出。RSA就是他们三人姓氏开头字母拼在一起得来。

SHA密码算法：安全散列算法(Secure Hash Algori thm)，一种国际上广泛使用的散列算法，用于确保信息传输完整一致性。

MD5密码算法：消息摘要算法(MD5Message-Digest Algorithm)，一种国际上广泛使用的散列算法，用于确保信息传输完整一致性。

AES密码算法：高级加密标准(Advanced Encryption Standard)，一种国际上广泛使用的对称加密算法，在密码学中又称Rijndael加密法。

DES密码算法：数据加密标准(Data Encrypt ion Standard)，一种国际上广泛使用的对称加密算法，但因为安全问题，在某些高密级的场合下已不建议使用。

背景技术

随着经济的快速发展，视频监控系统广泛的被应用。然而视频监控系统也面临着大量的攻击，比如：

1.将伪造的摄像机安装在特定位置，非法获取信息或提供虚假信息

2.非法侦前端IPC摄像机采集的视频流，非法获取监控图像，侵害个人隐私

3.篡改视频数据逃避法律制裁

针对视频监控系统的种种攻击行为，正是利用了视频监控系统中安全薄弱的环节，因而也产生了如下的安全需求：

1.设备身份认证需求

视频监控前端设备广泛的分散在公共场所，和后端监控管理平台通过IP网络互联，入侵者可能通过伪造前端设备、后端监控管理平台，以及视频监控管理用户，接入到视频监控系统中，非法窃取视频内容。因此需要在视频监控前端设备和后端监控管理平台之间，以及监控管理用户和监控管理平台之间进行双向的身份仁恒，确保双方身份不被伪造。

2.视频数据完整性需求

视频监控系统的数据可以细化分为信令控制消息和视频监控图像。攻击者可以通过篡改视频监控系统中的信令控制消息，比如转动角度，以控制前端设备，进行非法采集；攻击者还可能篡改前端设备回传的视频监控内容，达到混淆视听，误导用户的目的。因此视频监控系统数据具有完整性需求。

3.视频数据来源可追溯性

视频监控系统前端设备拍摄的视频内容或关键图片经常会成为记录该前端设备所覆盖区域的关键事件甚至是违法犯罪按键的关键取证。因此，视频数据来源具有可追溯性需求。

4.视频数据机密性需求

视频监控系统前端设备与管理平台之间，管理平台与管理平台，管理平台与用户终端之间传输视频数据时，比较容易被截取，导致关键或者敏感内容的泄露。因此，视频数据具有机密性的需求。

而密码技术是解决上述安全需求的一种可行的技术选择。依靠密码技术体系，可以采用如数字证书、数字签名、数据加密等手段，防止设备和用户非法接入、防止信令和视频数据被非法篡改、抵赖和窃取。而现有的视频监控系统，无论是前端设备，还是后端监控管理平台，以及用户终端，仍然以视频监控功能为主，安全意识和技术手段考虑都不充分，这体现在：

1.仅仅依靠设置登录口令。

2.安全意识薄弱，认为“专网”是一种安全的网络，不会被攻击。

3.人工记录表格对视频监控设备进行管理。

正是因为安全意识的薄弱，技术手段的落后，在视频监控系统中产生了较大的数据信息安全隐患。为了解决安全问题，传统做法是对现有已大量部署的视频监控设备进行彻底的改造，这将面临巨大的成本和实施难度，需要一种另辟蹊径的系统和方法，控制成本与实施难度，促使安全技术能够切实落地。

发明内容

本发明提供了一种视频监控系统的数据安全防护系统和方法，基于密码技术，对视频监控系统数据提供安全保障，而且不会对现有部署的视频监控系统前端设备和视频监控管理平台产生影响，实施简单，提供良好的兼容性保障。

本发明所述的视频监控系统数据安全防护系统，可从三个层面对视频监控系统的数据安全进行防护。

1.保证前端IPC摄像机到后端视频监控管理平台这段路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。

2.保证后端视频监控管理平台到用户终端这段路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。

3.保证互联的两个监控管理平台之间的路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。

图1为本发明所述的视频监控系统数据安全防护系统组成，由接入安全子系统与核心安全子系统两个子系统构成：

1.接入安全子系统：与前端设备紧邻对接，并通过网络与核心安全子系统对接，主要负责如下几方面的职责：

1)基于数字证书对前端IPC摄像机进行身份认证，阻断仿冒伪造或者不受信任的摄像机，无法访问网络。

2)基于数字证书对后端核心安全子系统进行身份认证，保证数据发往可信任的目的地。

3)用自己的私钥对前端设备采集的监控视频数据(包含信令控制消息和监控视频数据)进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认。

4)用视频密钥(VEK)对视频数据(包含信令控制消息和监控视频数据)进行加密，保证视频数据的机密性。

5)用核心安全子系统的公钥对后端视频管理平台发送的信令控制消息进行数字验签，保证信令控制消息来可信，未被篡改。

6)用视频密钥(VEK)对后端视频管理平台发送的加密过的信令控制消息进行解密。

2.核心安全子系统：与接入安全子系统对接，主要负责如下几方面的职责：

1)基于数字证书对接入安全子系统进行身份认证，确保监控视频来源于可信的前端接入设备。

2)基于数字证书对终端用户进行身份认证，保证连接视频监控平台是可信任的用户终端。

3)用接入安全子系统的公钥对前端设备发送的监控视频数据(包含信令控制消息和监控视频数据)进行数字验签，保证信令控制消息来可信，未被篡改。

4)用视频密钥(VEK)对接入安全子系统发送的加密过的监控视频数据(包含信令控制消息和监控视频数据)进行解密。

5)用自己的私钥对发往前端设备的信令控制消息进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认。

6)用视频密钥(VEK)对发往前端设备的信令控制消息进行加密，保证信令控制消息的机密性。

图2为本发明所述视频监控系统数据安全防护系统内部的模块划分，其中包括网络处理模块、功能配置模块、日志审计模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块。其中密码处理模块是安全防护的核心，进一步细分为密码算法模块、密码服务模块和密钥管理服务模块。这些模块随着安全防护系统启动时自动加载和启动。

1.网络处理模块负责以下功能：

1)对从网络接收的报文进行安全检查，丢弃不符合既定规则的报文，保护系统安全。

2)实时监控经过子系统的网络报文，获取符合规则的视频监控数据，包括信令控制消息和视频图像数据。

3)将视频监控数据上送到密码模块进行相关处理。

4)将密码模块处理后的视频监控数据发送给接收方。

2.密码处理模块负责以下功能：

1)密码算法子模块：内置多种密码算法，如对称加密体系的DES、AES、SM4，非对称加密体系的RSA、SM2，用于杂凑计算的MD5、SHA、SM3，用于数字签名和验签的RSA、SM2等，用于伪随机数生成的相关算法库等。

2)密码服务子模块：将底层的密码算法封装成业务层容易使用的接口和服务，如对称密码服务、公钥密码服务、杂凑校验服务、数字签名服务、数字证书服务等。

3)密钥管理服务子模块：密钥生命周期管理，主要用于密钥的生成、分发、保护、传输、恢复等。另外，还提供和第三方密钥管理服务进行对接适配的功能。

3.信令处理模块负责以下功能：

接收从网络处理模块转入的报文，并调用底层密码模块接口，逐消息对信令消息进行杂凑运算和数字签名与验签，数字签名和加解密处理。

4.媒体处理模块负责以下功能：

接收从网络处理模块转入的报文，并调用底层密码模块接口，逐帧对媒体数据进行杂凑运算和数字签名，数字签名和加解密处理。

5.设备管理模块负责以下功能：

1)负责维持子系统之间的心跳消息以及运行状态同步。

2)基于数字证书技术和心跳消息流程进行子系统间的身份认证。

6.日志审计模块负责以下功能：

1)记录网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理处理模块运行过程中的Error和Warning信息。

2)对系统运行过程中数据流转的路径，如接受IP、接收端口、发送IP、发送端口、协议、密钥协商等过程进行记录，便于跟踪回溯。

7.功能配置模块负责以下功能：

对系统功能进行相关配置，如IP地址配置、密码算法套件配置等。

8.数据库模块负责以下功能：

持久化存储功能配置数据，确保系统重启后，无须重新配置即可正常运行功能。

本发明还提供一种视频监控系统的数据安全防护系统和方法，它采用本发明所述的视频监控系统数据安全防护系统。系统分别由前后端的接入安全子系统和核心安全子系统组成，启动后进行相互的身份认证，以确保对方是可信任的通信实体对象；当身份认证成功后，随即由核心安全子系统向接入安全子系统基于密码协议安全的传递视频加密密钥，用于后续接入安全子系统与核心安全子系统之间安全传输视频监控数据。接入安全子系统接收到前端IPC摄像机采集的视频数据后，基于密码技术，逐帧对数据进行加密和数字签名，完成后将数据通过网络发送给核心安全子系统；核心安全子系统接收到加密数据后，基于密码技术，逐帧对数据进行数字签名的校验和解密后，发送给后续业务系统进行业务处理。在整个系统的处理过程中，采用高强度的密码算法，便可以保证视频监控数据的机密性、完整性、可追溯性和不可否认性。

上述方法包含如下三个关键的处理流程。

如图3所示，该流程用于接入安全子系统与核心安全子系统之间相互进行身份认证，认证通过才进行后续的通讯。并在认证过程中，完成视频密钥加密密钥(VKEK)的交换。

1.接入安全子系统与核心安全子系统分别预置彼此的数字证书。

2.当接入安全子系统启动后，会向核心安全子系统发送注册心跳消息，并携带自身的设备关键信息，如产品编号和密码编号。核心安全子系统接收到该心跳消息后，与本地读取的接入安全子系统数字证书进行匹配，匹配成功则说明接入安全子系统身份可信任。

3.核心安全子系统随后向接入安全子系统发送注册响应消息，在消息中携带自身的设备关键信息，如产品编号和密码编号。另外，核心安全子系统会调用密钥管理服务模块生成视频密钥加密密钥(VKEK)，用本地保存的接入安全子系统数字证书中提取出的接入安全子系统公钥对VKEK进行加密，加密后的VKEK也作为响应消息的一部分，发送给接入安全子系统。

4.接入安全子系统接受到心跳响应消息后，与本地读取的核心安全子系统的数字证书进行匹配，匹配成功则说明核心安全子系统身份可信任。然后用自身的私钥解密出VKEK，用于后续加密视频密钥(VEK)。

第二个关键流程是接入安全子系统利用密码技术对可溯源性、防止否认性、完整性和机密性进行处理，并发往核心安全子系统，保证了传输过程中的安全性。

1.接入安全子系统从网络处理模块中收到来自前端设备的视频监控数据，并进行报文合法性的检测，不符合规则的报文将被丢弃。

2.符合规则的报文将被送入密码处理模块。前端接入安全子系统调用密码模块中的加密算法函数(根据需要可以选择不同的算法，如AES或SM4)对报文进行加密，密钥(即视频加密密钥VEK)则是通过调用密钥管理服务模块函数生成。

3.前端接入安全子系统调用密码处理模块中的杂凑算法函数(根据需要可以选择不同的算法，比如SHA或SM3)，对加密后的报文进行杂凑运算，得到杂凑值，也被称为数据指纹。

4.前端接入安全子系统调用密码模块中的数字签名算法函数(根据需要可以选择不同的算法，比如基于RSA或SM2)，本质上是用自己的私钥对报文杂凑值进行数字签名。最终生成的报文格式如图4所示。

5.前端接入安全子系统将加密报文发给网络处理模块，网络处理模块则将报文发送到网络上。

第三个关键流程是核心安全子系统接收到来自接入安全子系统发送的报文处理流程。

1.核心安全子系统从网络处理模块收到来自接入安全子系统加密后的视频监控数据后，进行报文合法性检测，不符合规则的报文将被丢弃。

2.符合规则的报文将被送入密码处理模块。核心安全子系统调用密码处理模块中的数字签名算法函数(根据需要可以选择不同的算法，比如基于RSA或SM2)，本质上是用从前端接入系统数字证书中取到的公钥对报文进行数字签名的验证。验证过程中会调用密码处理模块的杂凑算法函数，保证数据未被篡改。如果数字签名验证失败，丢弃报文并记录日志。

3.如果数字签名验证成功，安全子系统调用密码模块中的加密算法函数(根据需要可以选择不同的算法，如AES或SM4)对加密过的VEK进行解密，密钥(即视频加密密钥VEK)为之前在本地已经生成的视频密钥加密密钥(VKEK)。

4.获取到VEK后，再次调用密码模块中的加密算法函数对加密过的视频帧进行解密。

5.核心安全子系统将解密得到视频监控明文数据发给网络处理模块，网络处理模块则将报文发送到网络。

具体实施方式

本系统运行于Linux操作系统的网络层和应用层。

本发明所述的网络处理模块运行于网络层和应用层，通过更改Linux内核报文流向将报文引入用户态进行密码相关处理和业务处理。

本发明所述的密码处理模块运行于应用层，作为系统组件，以动态链接库的方式提供被调用接口，供上层信令处理模块、媒体处理模块和设备管理模块调用。

本发明所述的功能配置模块，数据库模块，信令处理模块、媒体处理模块和日志记录模块运行于应用层；功能配置模块使用标准的Tomcat服务器框架+自研功能代码的方式实现；数据库模块使用标准的MySQL数据库；信令处理模块和媒体处理模块分别对信令控制报文和监控视频图像数据进行解析和处理；日志审计模块，对于运行过程中的Error和Warning信息和数据流转的路径进行记录，供后续审计使用。

附图说明

图1为本发明所述的接入安全子系统和核心安全子系统架构图

图2为本发明所述的接入安全子系统和核心安全子系统内部模块图

图3为本发明所述的接入安全子系统和核心安全子系统通过心跳注册和响应消息进行身份认证过程

图4为本发明所述的接入安全子系统和核心安全子系统之间进行安全传输的数据帧格式示意图。

Claims (6)

1.一种视频监控系统的数据安全防护系统，其特征在于，系统包含前端的接入安全子系统和后端的核心安全子系统，两个子系统包含的模块是相同的：网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块、功能配置模块和日志审计模块，其中：

A.网络处理模块主要负责对接收的报文进行收发处理；

B.密码处理模块分成三个子模块，即密码算法模块、密码服务模块、密钥管理服务模块；其中密码算法模块主要负责对多种密码算法的集成；密码服务模块主要负责将底层密码算法封装为上层业务容易使用的接口；密钥管理服务模块主要负责对密钥生命周期的管理；

C.信令处理模块负责对信令控制消息进行处理；

D.媒体处理模块负责对媒体数据报文进行处理；

E.设备管理模块负责维持子系统之间的心跳消息以及运行状态的同步；

F.数据库模块负责对系统配置数据进行持久化存储，确保系统重启后，无须重新配置即可正常运行；

G.功能配置模块负责对系统功能进行相关配置，主要包括：IP地址配置、密码算法套件配置；

H.日志审计模块负责记录各模块运行过程中错误或警告信息，以及对系统运行过程中数据的流转情况进行记录，包括：接收IP、接收端口、发送IP、发送端口、传输协议、密钥协商等，便于跟踪回溯。

2.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，该系统随着Linux系统启动时自动启动，完成配置加载后承接业务。

3.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，接入安全子系统部署在前端接入区，与前端设备紧邻对接；核心安全子系统部署在视频监控中心，与接入安全子系统进行对接。

4.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，接入安全子系统具备如下功能：

A.基于数字证书对前端IPC摄像机进行身份认证，阻断仿冒伪造或者不受信任的摄像机，无法访问网络；

B.基于数字证书对后端核心安全子系统进行身份认证，保证数据发往可信任的目的地；

C.用自己的私钥对前端设备采集的监控视频数据，包含信令控制消息和监控视频数据，进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认；

D.用视频密钥VEK对视频数据，包含信令控制消息和监控视频数据，进行加密，保证视频数据的机密性；

E.用核心安全子系统的公钥对后端视频管理平台发送的信令控制消息进行数字验签，保证信令控制消息来可信，未被篡改；

F.用视频密钥VEK对后端视频管理平台发送的加密过的信令控制消息进行解密。

5.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，核心安全子系统具备如下功能：

A.基于数字证书对接入安全子系统进行身份认证，确保监控视频来源于可信的前端接入设备；

B.基于数字证书对终端用户进行身份认证，保证连接视频监控平台是可信任的用户终端；

C.用接入安全子系统的公钥对前端设备发送的监控视频数据，包含信令控制消息和监控视频数据，进行数字验签，保证信令控制消息来可信，未被篡改；

D.用视频密钥VEK对接入安全子系统发送的加密过的监控视频数据，包含信令控制消息和监控视频数据，进行解密；

E.用核心安全子系统的私钥对发往前端设备的信令控制消息进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认；

F.用视频密钥VEK对发往前端设备的信令控制消息进行加密，保证信令控制消息的机密性。

6.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于提供了一种视频监控系统的数据安全防护方法，该方法分为三个子流程：

子流程1，接入安全子系统与核心安全子系统之间相互进行身份认证，认证通过才进行后续的通讯；并在认证过程中，完成视频密钥加密密钥VKEK的交换，具体过程如下：

A.接入安全子系统与核心安全子系统分别预置彼此的数字证书；

B.当接入安全子系统启动后，会向核心安全子系统发送注册心跳消息，并携带自身的设备关键信息，包括产品编号和密码编号；核心安全子系统接收到该心跳消息后，与本地读取的接入安全子系统数字证书进行匹配，匹配成功则说明接入安全子系统身份可信任；

C.核心安全子系统随后向接入安全子系统发送注册响应消息，在消息中携带自身的设备关键信息，包括产品编号和密码编号；另外，核心安全子系统会调用密钥管理服务模块生成视频密钥加密密钥VKEK，用本地保存的接入安全子系统数字证书中提取出的接入安全子系统公钥对VKEK进行加密，加密后的VKEK也作为响应消息的一部分，发送给接入安全子系统；

D.接入安全子系统接受到心跳响应消息后，与本地读取的核心安全子系统的数字证书进行匹配，匹配成功则说明核心安全子系统身份可信任；然后用自身的私钥解密出VKEK，用于后续加密视频密钥VEK；

子流程2，接入安全子系统利用密码技术对可溯源性、防止否认性、完整性和机密性进行处理，并发往核心安全子系统，保证了传输过程中的安全性，具体过程如下：

A.接入安全子系统从网络处理模块中收到来自前端设备的视频监控数据，并进行报文合法性的检测，不符合规则的报文将被丢弃；

B.符合规则的报文将被送入密码处理模块，前端接入安全子系统调用密码模块中的加密算法函数，支持AES或SM4对称加密算法，对报文进行加密，密钥，即视频加密密钥VEK，则是通过调用密钥管理服务模块函数生成；

C.前端接入安全子系统调用密码处理模块中的杂凑算法函数，支持SHA或SM3算法，对加密后的报文进行杂凑运算，得到杂凑值，也被称为数据指纹；

D.前端接入安全子系统调用密码模块中的数字签名算法，支持RSA或SM2算法，本质上是用自己的私钥对报文杂凑值进行数字签名；

E.前端接入安全子系统将加密报文发给网络处理模块，网络处理模块则将报文发送到网络上；

子流程3，核心安全子系统接收到来自接入安全子系统发送的报文后的处理流程，具体如下：

A.核心安全子系统从网络处理模块收到来自接入安全子系统加密后的视频监控数据后，进行报文合法性检测，不符合规则的报文将被丢弃；

B.符合规则的报文将被送入密码处理模块，核心安全子系统调用密码处理模块中的数字签名算法，支持RSA或SM2算法，本质上是用从前端接入系统数字证书中取到的公钥对报文进行数字签名的验证；验证过程中会调用密码处理模块的杂凑算法函数，保证数据未被篡改；如果数字签名验证失败，丢弃报文并记录日志；

C.如果数字签名验证成功，安全子系统调用密码模块中的加密算法，支持AES或SM4算法，对加密过的VEK进行解密，密钥，即视频加密密钥VEK，为之前在本地已经生成的视频密钥加密密钥VKEK；

D.获取到VEK后，再次调用密码模块中的加密算法函数对加密过的视频帧进行解密；

E.核心安全子系统将解密得到视频监控明文数据发给网络处理模块，网络处理模块则将报文发送到网络。