視頻安全技術解析及解決方案

一、背景

隨著視頻技術的發展，視頻信息系統的網絡化趨勢明顯。現有視頻信息系統中，視頻信息大多以明文方式存儲和傳輸，存在較大的安全風險，尤其對公共安全、金融、司法等行業而言，信息數據的保密性要求更為迫切。保障數據存儲特別是網絡傳輸的安全尤為重要。

以平安城市為例，為了加強社會治安的管控力度，提高公安的工作效率，在平安城市已部署的視頻資源的基礎上，迫切需要將企業、小區、酒店、餐飲等社會資源的視頻接入到城市管理平臺中。同時，政府質監、安監、環保、衛生等職能部門也迫切需要將其管控對象的視頻納入行業管理平臺，以提高監管的效能和效率。在這些應用中，網絡傳輸的安全能夠確保重要場所視頻在互聯網上傳輸的安全，避免敏感視頻數據的泄露。

近期隨著互聯網技術的發展，視頻監控或視頻監看應用開始進入家庭，通過攝像機照看老人和小孩成為一種時尚。互聯網技術帶來便利的同時，也存在很大的隱私泄露隱患，建立有效的公共安全保障體系才能夠讓大家放心使用新技術帶來的生活便利。

二、視頻安全關鍵技術

在視頻安全領域，關鍵技術包括如下：

加密技術

加密的基本思想是：偽裝明文，以隱藏其真實內容，即將明文偽裝成密文。偽裝明文的操作稱為加密，由密文恢復出原明文的操作稱為解密。

加密和解密都需要使用一個控制信息，稱為密鑰。現代密碼學的一個基本原則是：一切秘密都寓于密鑰之中。加密算法可以公開，但密鑰必須嚴加管理。密鑰管理涉及密鑰的產生、分配、存儲和銷毀等內容，它是信息安全的關鍵環節之一。

身份認證技術

身份認證主要解決“我是誰”。一個安全的身份認證協議至少應滿足以下兩個條件：1)識別者A能向驗證者B證明他的確是A;2)在A向B提供了身份信息后，B不能模仿A向第三方證明他是A。

目前，常用的身份認證方法有口令認證、硬件認證(智能卡、U盾等)、生物識別(指紋、虹膜等)。

訪問控制技術

訪問控制主要解決“我能干什么”。其核心是為了限制訪問發起者對訪問內容的權限，從而使信息系統在合法范圍內使用。它包含兩個重要過程：1)“鑒別”，驗證用戶的合法身份;2)“授權”，賦予用戶對某項內容的訪問權限。

三、視頻數據安全解決方案

漢邦視頻數據安全解決方案在現有視頻應用系統的基礎上，通過在視頻設備內嵌入專用加密設備，實現對視頻的存儲和傳輸進行加密;用戶持有便攜密碼設備，用于身份認證和解密瀏覽視頻內容;漢邦一點通視頻安全網關實現多局域網之間互聯的數據安全，使用更加簡潔方便。

視頻加密系統具備靈活的部署結構，可分布部署、集中管控，采用訪問控制策略配置的方式，實現對系統中視頻設備的訪問管理。

漢邦視頻數據安全解決方案特點：

(一)國密級密碼算法

該方案以PKI技術為基礎，采用國家密碼局批準的SM1、SM2、SM3、SM4等高安全性密碼算法，實現對信息數據的存儲和傳輸加密，所有產品和系統通過了國家密碼局的認證，數據安全得到了全方位保障。

(二)純硬件身份認證

該方案采用專用的硬件設備，實現實體身份認證，并以此為基礎進行訪問控制，充分保證了視頻數據的安全性。

(三)多極認證體系

該方案采用身份載體憑證發行服務器(DDS)和訪問控制策略配置服務器(ACS)兩級方式實現對用戶的身份鑒別和訪問授權功能。其中，DDS負責頒發憑證，維護系統的密匙數據;ACS在獲得DDS頒發的憑證后，對用戶的每次訪問都按照設定策略進行授權。

為進一步增強安全性，DDS的憑證頒發和ACS的授權操作都需要管理員和操作員兩極認證授權。

(四)完整的解決體系

從個人家庭用戶到企業級用戶，從單臺設備到上千臺設備，漢邦都能提供完整的解決方案，并提供相應的技術支持;對于已有視頻監控系統，也可以通過方便快捷的技術改造來實現視頻數據的加密，既保證了安全，又保護了用戶已有的投資。

漢邦視頻數據安全解決方案主要提供兩種產品形態，即企業視頻加密方案和家庭視頻加密方案。

企業級用戶

針對酒店、教育、司法、公安、電力、金融、醫療、安監、能源等行業的高端企業級用戶，漢邦提供企業視頻加密方案，由客戶自己管理和配置憑證分發服務器(DDS)、訪問控制服務器(ACS)，配合漢邦提供的加密設備和相應的平臺軟件及客戶端，能滿足用戶的需求，漢邦負責對用戶做前期的培訓和后期的售后支持工作。

家庭用戶

針對個人家庭用戶，漢邦提供家庭視頻加密方案，由漢邦管理憑證分發服務器(DDS)和訪問控制服務器(ACS)，負責密匙憑證的分發和配對，并將訪問控制服務器(ACS)放在公網上，漢邦負責其運行和維護，漢邦家用攝像機采用TF卡進行視頻加密，TF卡同時還具備存儲視頻數據的功能。

此外，針對已經部署好的網絡視頻監控系統，想要快速實現局域網互聯的安全，可以采用一點通安全網關的方式，在局域網內數據以明文方式傳送，數據使用一點通安全網關加密后通過互聯網與其他地區局域網互聯，安全網關接收到密文，解密后轉發到局域網內分享。這種方式能夠確保使用互聯網互聯的安全，也免除了客戶端訪問的授權和認證工作。采用一點通安全網關的系統基本系統組成如下：

系統中一點通安全網關中安裝加密認證模塊，安全網關具有端口映射和互聯網NAT穿透功能，可以實現局域網之間的安全互聯。各類視頻設備通過安全網關的映射，能夠實現通過互聯網的互通互聯，網絡上的視頻數據全部以密文傳送。通過ACS服務授權客戶端權限，客戶端可以使用USB或藍牙接口的認證密鑰，支持PC機和移動設備的訪問。

四、總結與展望

在安全形勢變得日益嚴峻的今天，提高視頻監控系統本身的安全性能已經成為燃眉之急。漢邦高科提供的視頻數據安全解決方案，從系統角度出發，全方位覆蓋了視頻監控的各個環節，有力的保障了數據安全。

接下來，漢邦將從如下方向進一步優化解決方案：

1.提升系統的加解密效率。由于采用復雜的加密算法和認證體系，加解密必然會消耗一定的CPU資源和網絡帶寬，如何不斷提升效率，盡可能小的影響系統整體性能，這是需要持續進行優化的。

2.在保證系統安全性的前提下，提升用戶體驗。眾所周知，要提升安全性，不可避免的會帶來操作的復雜性。在體驗為王的當今時代，如何在安全性不受影響的同時，能夠盡可能的讓用戶使用便利，這是需要我們不斷嘗試的。

“攻”和“防”是安全問題上永遠對戰的雙方，然而，“魔高一尺，道高一丈”，在漢邦視頻數據安全解決方案的保護下，我們一定能取得這場安全大戰的最終勝利。