劉艷層 袁鵬 尹嚴(yán)研

【摘?要】論文立足當(dāng)前國內(nèi)完全自主可控且高端成熟的視頻監(jiān)控技術(shù)，同時，結(jié)合具備高安全性的公普級數(shù)據(jù)加密技術(shù)，設(shè)計開發(fā)了端到端的完整安全的視頻監(jiān)控系統(tǒng)。

【Abstract】Based?on?the?high-end?mature?video?monitoring?technology?which?is?completely?independent?and?controllable?in?China，?combined?with?the?public?and?general?data?encryption?technology?with?high?security，?this?paper?designs?and?develops?an?end-to-end?complete?and?security?video?monitoring?system.

【關(guān)鍵詞】視頻;加密;解密

【Keywords】video;?encryption;?decryption

【中圖分類號】TN948.6????????????????????????????????????????【文獻(xiàn)標(biāo)志碼】A??????????????????????????????????????????????【文章編號】1673-1069（2019）11-0173-02

【作者簡介】劉艷層（1990-），女，河北深州人，工程師，從事軍隊信息化應(yīng)用技術(shù)研究。

1?引言

目前，網(wǎng)絡(luò)視頻監(jiān)控技術(shù)不斷發(fā)展，其關(guān)注的重點在于系統(tǒng)功能的實現(xiàn)，主要包括視頻圖像的采集、存儲和如何實現(xiàn)網(wǎng)絡(luò)傳輸。其安全則由于技術(shù)限制（實時視頻大數(shù)據(jù)的加密瓶頸）和準(zhǔn)備不足成為行業(yè)產(chǎn)品廠商的短板甚至是盲區(qū)，造成了目前的視頻監(jiān)控系統(tǒng)自身安全保障的缺失。因此，研發(fā)實現(xiàn)更加可靠、更加安全且完全自主可控的網(wǎng)絡(luò)視頻監(jiān)控產(chǎn)品勢在必行。

2?安全視頻監(jiān)控系統(tǒng)的組成

加密監(jiān)控主要包括前端安全視頻采集接入和后端服務(wù)中心管理兩大部分。

系統(tǒng)首先利用前端的視頻采集設(shè)備，包括高清安全網(wǎng)絡(luò)攝像機(jī)，將視頻數(shù)據(jù)采集并加密后，通過視頻專網(wǎng)傳輸?shù)胶蠖斯芾碇行?。然后通過管理中心的視頻管理主服務(wù)器、流媒體服務(wù)器、存儲服務(wù)器、安全解碼器、CA認(rèn)證服務(wù)器及安全工作站等后端管理設(shè)備對視頻數(shù)據(jù)進(jìn)行安全的客戶端瀏覽、集中存儲、電視墻觀看等具體應(yīng)用。安全視頻監(jiān)控系統(tǒng)結(jié)構(gòu)如圖1所示。

3?安全視頻監(jiān)控系統(tǒng)的工作原理

安全視頻監(jiān)控系統(tǒng)內(nèi)各設(shè)備通過內(nèi)置加密模塊，在CA服務(wù)器的支持下，利用公鑰協(xié)商方式協(xié)商出視頻密鑰加密密鑰，然后使用對稱算法加密傳輸視頻數(shù)據(jù)。

具體工作原理如下所示：

①密鑰協(xié)商。存儲服務(wù)器和加固攝像機(jī)建立視頻連接時，每24小時進(jìn)行1次密鑰協(xié)商，協(xié)商成功后更換視頻密鑰加密密鑰。密鑰協(xié)商基于公鑰密碼算法，在CA服務(wù)器的支撐下進(jìn)行。

②加密傳輸。密鑰協(xié)商成功后，加固攝像機(jī)使用本地生成的視頻加密密鑰加密視頻數(shù)據(jù)，視頻加密密鑰（VEK）由交互的視頻密鑰加密密鑰（VKEK）加密后也隨碼流一起傳輸，視頻加密密鑰（VEK）每1小時更新一次。在視頻監(jiān)控網(wǎng)絡(luò)中傳輸時，視頻數(shù)據(jù)以加密形態(tài)出現(xiàn)。

③密文存儲。加密視頻數(shù)據(jù)到達(dá)存儲服務(wù)器后，由存儲服務(wù)器直接以密文方式存入本地。隨同密文一起存儲的還包括用存儲服務(wù)器公鑰加密的視頻密鑰加密密鑰（VKEK）和對應(yīng)的視頻密鑰加密密鑰版本（VKEKVersion）參數(shù)。存儲碼流的開始必須要包含一個（VKEKVersion，VKEK密文）數(shù)據(jù)包，表明該數(shù)據(jù)包之后的碼流均通過該組VKEK對VEK進(jìn)行加密操作，直到出現(xiàn)下一個（VKEKVerison，VKEK密文）數(shù)據(jù)包，表明新數(shù)據(jù)包之后的VKEK需要更新。安全監(jiān)控工作站需要調(diào)取歷史數(shù)據(jù)進(jìn)行查看時，存儲服務(wù)器先用私鑰解密出錄像文件中保存的VKEK的原文，并用碼流接收方的公鑰對VKEK原文重新加密后，和對應(yīng)的VKEKVersion一起用信令的方式轉(zhuǎn)發(fā)給碼流接收方;錄像文件保持加密形式發(fā)送給碼流接收方;接收方用自己的私鑰解密VKEK后，用VKEK解密VEK，從而解密視頻流用于播放。

④加密轉(zhuǎn)發(fā)。安全解碼器、安全監(jiān)控工作站和加固攝像機(jī)之間不直接連接，而是通過存儲服務(wù)器獲得視頻數(shù)據(jù)。安全解碼器、安全監(jiān)控工作站與存儲服務(wù)器建立連接時，存儲服務(wù)器將相關(guān)加固攝像機(jī)的VKEK和對應(yīng)的VKEKVerison通過信令方式轉(zhuǎn)發(fā)給安全解碼器、安全監(jiān)控工作站，轉(zhuǎn)發(fā)過程也要執(zhí)行1次密鑰協(xié)商過程，區(qū)別是視頻加密密鑰不是新生成的，是轉(zhuǎn)發(fā)加固攝像機(jī)的。