□　文/蔣玲玲

視頻信息安全技術(shù)在監(jiān)控聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用

□文/蔣玲玲

隨著我國(guó)經(jīng)濟(jì)社會(huì)的快速發(fā)展，社會(huì)安全形勢(shì)也面臨諸多挑戰(zhàn)，開展以視頻監(jiān)控系統(tǒng)為重點(diǎn)的安全技術(shù)防范系統(tǒng)建設(shè)已成為保障國(guó)家安全和社會(huì)安全的重要技術(shù)手段。安全防范視頻監(jiān)控已成為目前以技術(shù)增強(qiáng)警力，預(yù)防震懾犯罪、事后偵察破案最有效的技術(shù)手段之一。

公安部在全國(guó)范圍部署開展了“城市報(bào)警與監(jiān)控系統(tǒng)建設(shè)‘3111’試點(diǎn)工程”，使我國(guó)城市報(bào)警與監(jiān)控系統(tǒng)建設(shè)在技術(shù)水平和實(shí)際應(yīng)用等方面都取得了長(zhǎng)足的進(jìn)步，已經(jīng)初步形成了社會(huì)治安技術(shù)防范的基礎(chǔ)和網(wǎng)絡(luò)。隨著GB/T 28181等國(guó)家標(biāo)準(zhǔn)的發(fā)布實(shí)施，全國(guó)各地的視頻監(jiān)控系統(tǒng)正迅速向著規(guī)范化、數(shù)字化、聯(lián)網(wǎng)化的方向發(fā)展。目前，我國(guó)開展的視頻監(jiān)控圖像信息聯(lián)網(wǎng)與共享應(yīng)用系統(tǒng)以國(guó)家治安保衛(wèi)重點(diǎn)單位和社會(huì)重要公共區(qū)域的視頻監(jiān)控圖像為主，大量的視頻圖像信息涉及國(guó)家安全和社會(huì)公共安全。

美國(guó)等西方國(guó)家對(duì)我國(guó)實(shí)施網(wǎng)絡(luò)攻擊和入侵的“棱鏡門”事件，給我國(guó)公共視頻監(jiān)控系統(tǒng)的安全應(yīng)用敲響了警鐘。另一方面，技術(shù)的發(fā)展對(duì)監(jiān)控圖像的修改、偽造變得簡(jiǎn)單，不需要很專業(yè)的技術(shù)知識(shí)，就可以快速合成、修改一段視頻圖像，還有更多工具軟件可以支持按幀修改視頻內(nèi)容或順序。

針對(duì)安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中所面臨視頻信息安全方面的問題，需要規(guī)范和加強(qiáng)視頻信息安全技術(shù)在監(jiān)控聯(lián)網(wǎng)系統(tǒng)的應(yīng)用，以滿足日益強(qiáng)烈的維護(hù)社會(huì)穩(wěn)定，保障社會(huì)安全的需求。

視頻信息安全的現(xiàn)狀

目前常用的一種保護(hù)版權(quán)的可信視頻方法是數(shù)字水印。水印信息與原始視頻數(shù)據(jù)緊密結(jié)合并隱藏其中，與原始數(shù)據(jù)不可分離。這種技術(shù)用于視頻系統(tǒng)卻存在有明顯的缺陷：一是嵌入水印信息后視頻監(jiān)控圖像的原始性遭到了破壞；二是圖像質(zhì)量或多或少總會(huì)有些損失。這些缺陷使得其可信性很難得到保證。另一種可以被用來防止視頻圖像被非法篡改的技術(shù)是數(shù)字簽名技術(shù)。數(shù)字簽名是指數(shù)據(jù)文件中以數(shù)字形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)?？尚乓曨l的實(shí)現(xiàn)是由視頻源端對(duì)視頻編碼數(shù)據(jù)進(jìn)行數(shù)字簽名運(yùn)算，生成可信數(shù)據(jù)，可信數(shù)據(jù)與原始視頻數(shù)據(jù)捆綁在一起封裝、傳輸或存貯，可信數(shù)據(jù)獨(dú)立于視頻數(shù)據(jù)存在，既不會(huì)破壞原始的視頻數(shù)據(jù)，又可以驗(yàn)證視頻數(shù)據(jù)的來源、內(nèi)容是否可信。在監(jiān)控聯(lián)網(wǎng)系統(tǒng)的相關(guān)標(biāo)準(zhǔn)中，大多采用數(shù)字簽名技術(shù)來實(shí)現(xiàn)可信視頻。

在視頻加密方面，編碼算法的可對(duì)視頻碼流采用選擇性加密方法，與視頻數(shù)據(jù)的格式相結(jié)合，編碼技術(shù)可根據(jù)安全性水平要求的不同，選擇加密不同的敏感數(shù)據(jù)，加密數(shù)據(jù)格式信息或者加密DCT系數(shù)的符號(hào)和運(yùn)動(dòng)向量的符號(hào)，該方法在視頻加密方面具有明顯的優(yōu)勢(shì)。然而，單一的技術(shù)手段和產(chǎn)品已經(jīng)很難保障視頻應(yīng)用的安全性，符合相關(guān)編碼標(biāo)準(zhǔn)的綜合性一體化視頻安全解決方案將是監(jiān)控聯(lián)網(wǎng)系統(tǒng)中視頻信息安全技術(shù)的發(fā)展方向。

針對(duì)安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中所面臨視頻信息安全方面的問題，通過視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中設(shè)備的雙向認(rèn)證、信令安全和視頻碼流加解密技術(shù)有效的提高了視頻信息系統(tǒng)的安全性，保障了國(guó)家安全和社會(huì)公共安全。

視頻信息安全技術(shù)

視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)總體目標(biāo)是既能實(shí)現(xiàn)身份真實(shí)、信令可靠、視頻應(yīng)用安全，又能實(shí)現(xiàn)視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)自身的密碼算法安全、密鑰管理安全、密鑰協(xié)議安全、軟硬件安全、應(yīng)用及運(yùn)行安全等。

視頻信息安全技術(shù)涉及安全數(shù)字證書的發(fā)放、獲取、更新、使用技術(shù)、基于數(shù)字證書的視頻監(jiān)控管理平臺(tái)和安全設(shè)備間的身份雙向認(rèn)證技術(shù)、基于密鑰數(shù)字摘要技術(shù)的信令安全技術(shù)、基于視頻編解碼的視頻簽名和驗(yàn)簽技術(shù)、基于視頻碼流的數(shù)字加解密、封裝及傳輸技術(shù)、高效安全視頻數(shù)據(jù)的有效傳輸與存取技術(shù)、多路安全視頻實(shí)時(shí)解密解碼技術(shù)等。

1、基于數(shù)字證書的視頻監(jiān)控管理平臺(tái)和安全設(shè)備間的身份雙向認(rèn)證技術(shù)

在業(yè)界，對(duì)于前端設(shè)備的認(rèn)證通常有兩種方法，一種是基于對(duì)稱密鑰的分散算法，一種是基于非對(duì)稱密鑰/數(shù)字證書的方法。對(duì)稱密鑰的分散算法性能較高，但不具備視頻可信鑒定功能，而非對(duì)稱算法可以實(shí)現(xiàn)身份認(rèn)證，同時(shí)可以實(shí)現(xiàn)可信鑒定功能。經(jīng)過分析對(duì)比，并進(jìn)行性能測(cè)試，最終確定了使用商密算法作為身份認(rèn)證和視頻可信鑒定的算法。

2、基于密鑰數(shù)字摘要技術(shù)的信令安全技術(shù)

在視頻監(jiān)控聯(lián)網(wǎng)信息安全密碼系統(tǒng)中，需要采用信令安全協(xié)議，提供信令完整性校驗(yàn)，以保證信令傳輸?shù)恼_性。

信令安全協(xié)議，是把信令數(shù)據(jù)與前后端平臺(tái)之間的共有密鑰通過非對(duì)稱算法結(jié)合起來，然后使用密碼算法計(jì)算其摘要值作為信令校驗(yàn)碼。因?yàn)樾帕钚ｒ?yàn)碼的計(jì)算需要前、后端的共享密鑰參與，而共享密鑰不會(huì)以明文形式在密碼設(shè)備外部保存，因此第三方獲取不可能偽造信令校驗(yàn)碼。

信令校驗(yàn)碼的驗(yàn)證過程：通過相關(guān)算法計(jì)算信令數(shù)據(jù)，將此摘要值與信令校驗(yàn)碼進(jìn)行比較，如果一致，可以認(rèn)為信令傳輸正確，如果二者比較不一致，則表明信令傳輸錯(cuò)誤。

3、基于視頻碼流的數(shù)字加解密技術(shù)

在進(jìn)行設(shè)備認(rèn)證、信令安全等安全計(jì)算的同時(shí)，還會(huì)伴隨著視頻加解密，視頻內(nèi)容傳輸使用了對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)，視頻內(nèi)容由對(duì)稱密鑰加密實(shí)現(xiàn)保護(hù)，視頻內(nèi)容的加密密鑰由非對(duì)稱密鑰加密進(jìn)行分發(fā)。

視頻內(nèi)容從設(shè)備前端到監(jiān)控平臺(tái)的視頻傳輸安全采用兩層對(duì)稱密鑰體系保護(hù)，從監(jiān)控平臺(tái)到用戶終端的視頻傳輸安全采用非對(duì)稱密鑰體系保護(hù)，安全支撐平臺(tái)使用用戶終端公鑰加密保護(hù)安全傳送到用戶終端，視頻內(nèi)容以密文形式傳到用戶終端，客戶端使用其私鑰解密。

視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)的實(shí)現(xiàn)

1、視頻信息安全系統(tǒng)組成

視頻信息安全系統(tǒng)一般由網(wǎng)絡(luò)攝像機(jī)、視頻存儲(chǔ)設(shè)備、安全管理中心和解碼終端四個(gè)主要部分組成，系統(tǒng)基本結(jié)構(gòu)如圖1所示。

▲圖1　安全視頻互聯(lián)基本結(jié)構(gòu)

在系統(tǒng)中，前端采集設(shè)備由網(wǎng)絡(luò)攝像機(jī)和視頻存儲(chǔ)設(shè)備構(gòu)成，主要包含視頻編碼、視頻簽名、加密、視頻封裝及發(fā)送模塊，可以向系統(tǒng)提供安全的視頻源；安全視頻監(jiān)控管理中心負(fù)責(zé)對(duì)安全視頻的管理，如分發(fā)、存儲(chǔ)、下載等關(guān)鍵功能，相應(yīng)地包含了信令管理、視頻分發(fā)、視頻存儲(chǔ)和下載等模塊；解碼終端負(fù)責(zé)解碼播放安全視頻，主要包含視頻接收、視頻驗(yàn)簽、解密、解碼播放等模塊。

2、視頻信息安全技術(shù)的實(shí)現(xiàn)

（1）系統(tǒng)層面

● 安全視頻系統(tǒng)的體系研究，設(shè)計(jì)方案與視頻編解碼算法具有獨(dú)立性、通用性。

● 安全視頻系統(tǒng)中信令與視頻分為不同層面設(shè)計(jì)。信令層控制視頻層，各層根據(jù)自身特點(diǎn)分別處理；確保系統(tǒng)方案具有高度可擴(kuò)展性。

● 對(duì)各設(shè)備或軟件節(jié)點(diǎn)采用模塊化設(shè)計(jì)，特定的功能對(duì)應(yīng)特定的模塊，方便系統(tǒng)的開發(fā)和模塊的復(fù)用。

（2）產(chǎn)品層面

在具體產(chǎn)品實(shí)現(xiàn)過程中，具體的安全算法實(shí)現(xiàn)由安全芯片提供，系統(tǒng)中各硬件與軟件產(chǎn)品通過接口與安全芯片進(jìn)行數(shù)據(jù)的交互，從而實(shí)現(xiàn)相應(yīng)的安全功能。

● 高清網(wǎng)絡(luò)攝像機(jī)采用嵌入式系統(tǒng)內(nèi)置安全芯片的方式；

● 網(wǎng)絡(luò)硬盤錄像機(jī)和高清視頻解碼器與安全芯片通信；

● 高清視頻管理中心軟件則通過所運(yùn)行的硬件平臺(tái)接口來訪問安全芯片。

在視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)的實(shí)現(xiàn)和應(yīng)用過程中，需要對(duì)安全算法實(shí)現(xiàn)的全盤考慮，兼顧系統(tǒng)和產(chǎn)品的功能與性能。

視頻監(jiān)控圖像信息聯(lián)網(wǎng)中大量的視頻圖像信息涉及國(guó)家安全和社會(huì)公共安全，視頻信息安全技術(shù)的實(shí)現(xiàn)和應(yīng)用，保障了視頻應(yīng)用的安全，從而保障了國(guó)家安全和社會(huì)公共安全，具有很好的社會(huì)效益。

作者單位：公安部第一研究所