网络视频监控系统信息安全机制盘点(7)

    对于一般的安全监控系统。要求支持业务数据访问权限进行安全认证和授权，实现业务信令流的加密和传输。访问权限的安全认证可采用口令、数字证书或数字摘要等标准算法，信令流的加密算法根据业界标准可采用DES、3DES、AES（128 bit）等算法，信令流的安全传输可根据监控架构协议采用不同的通信安全协议，如HTTPS、IEEE802.1x等。

    对于需要高度安全和保密的系统，不但需要支持信令流的加密，还需要对传输的媒体流进行加密，一般厂商的视频编解码芯片均可支持高等级音视频加密算法，如DES、3DES、AES（128 bit）等。此外，视频加密可以采用视频关键帧或全数据加密两种方式。关键帧是反映一组镜头中的主要信息内容的一帧图像，由于视频监控系统摄像头一般是固定安装的，其所涉及的场景范围有限，因此，各帧图像冗余信息很多，采用全数据视频流加密耗费芯片资源，加密费用很高，采用关键帧加密可以减少很多工作量。

    媒体流和信令流数据的加密，不论采用何种加密算法，均涉及密钥的管理问题。

    在不采用专门证书认证机构的认证体系下，监控平台、前端监控设备、监控客户端必须具备采用统一的加解密模块和密钥产生模块的能力，为了调试或其他选择，视频监控平台、监控终端和客户端都必须支持统一的开关，方便开启或关闭命令加密功能。

    考虑到视频监控平台可分为多级监控平台，因此不同的监控平台的服务器应该使用不同的密钥，每个监控平台服务器定期随机产生一个密钥，该监控平台服务器下的所有终端设备可以获得该密钥，终端设备使用该密钥对发送出去的数据加密，对接收的数据解密，保障信息在传输过程中的安全性。

    视频监控系统之间需要经过信任操作才能互通，一般的信任操作由双方执行，请求方信任受信方，受信方的请求可以被请求方接受。对等地，受信方也要执行信任操作，以监控系统通常采用的AES加密为例，其原理如下。

    视频监控平台服务器定期随机产生一个AES加密/解密密钥。分别使用各个终端或客户端用户密码对AES加密密钥进行加密，形成传输密钥发往各个设备，各个设备对传输密钥的内容进行解密，即可获取AES加密/解密密钥。在以后的监控过程中。所有设备就可以使用该AES加密/解密密钥对信令和媒体码流进行加密和解密。

    对于监控系统中静止的数据，如存储的录像文件、音频数据，为保证安全性，需要加密处理，可采用通用的针对录像文件加密的方法，如3DES、AES（128 bit）、SCB2等。为了确保图片和视频数据的安全可靠，监控系统还可采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏。

    7.结束语

    综上所述，网络视频监控系统的安全性是个复杂的体系，要保证视频监控的安全运行，还需要考虑多级安全认证机制、关键数据容灾，备份、网络私密保护（VLAN厂vPN）、网元自动化运行管理等多种因素。本文针对监控系统中最关键的数据安全，选择监控业界两个代表性标准的信息安全机制进行解读。对主流解决方案进行了对比，分析了监控系统采用的主流算法，最后提出了视频监控的安全机制应用建议。

（编辑：ASP站长网）