CA認證在視頻監控模型中的應用

蘇威積 黎雷蕾 李 劍

1(北京航天愛威電子技術有限公司 北京 100854)2(北京郵電大學計算機學院 北京 100876)

隨著互聯網+的發展，人們的生活已經與網絡休戚相關.互聯網的出現極大地方便了人們的生活，但是與之伴隨的就是人們的隱私都曝光在互聯網中，互聯網時代的信息安全已經成為了人們高度關注的社會性焦點問題.

在人們的正常社會生活中，視頻監控扮演了一個重要角色，它不僅保障了人們生命財產安全，而且可以作為裁決糾紛的重要證據.但是傳統的視頻監控系統多是采用模擬線路，任何信息對于任何人都是可見的.隨著網絡傳輸速度的提升，數字線路逐漸取代了模擬線路.由于某些歷史原因，數字線路傳輸的碼流一般采用公開的協議進行編解碼，對于收取碼流方，也沒有進行相應的身份驗證，導致碼流容易被第三方截獲甚至篡改，留下了極大的安全隱患.

針對視頻監控中無法保證傳輸音像的安全性，本文提出了一種基于CA認證的視頻監控模型，對于任何接入視頻監控網的用戶都進行CA數字證書認證，若是非法用戶，則停止傳輸視頻碼流，防止信息被第三方竊取.對于傳輸的數據，采用MD5驗證其完整性，防止信息被第三方篡改.本文提出的模型，能夠極大地提升現有視頻監控系統的安全性.

1 相關工作

1.1 數據安全種類

數據安全性可以分為2個方面：數據的靜態安全和數據的動態安全.所謂數據的靜態安全指的是存儲在存儲設備中的數據安全性；數據動態安全指的是數據在傳輸過程中的保密性和完整性[1]，本文所提出的基于CA認證的視頻監控模型就是一種確保數據動態安全的策略.

1.2 CA認證體制

CA(Certificate Authority)認證,全稱為電子商務認證授權機構，也被稱為電子商務認證中心，負責為每一個使用公開密鑰的用戶發放一個數字證書.其會對發放的每個數字證書進行數字簽名，第三方無法偽造或者篡改證書，從而驗證證書持有者的身份和公鑰的所有權.本模型采用單一CA認證的模式,保證了所有用戶使用的證書都是一致的,一旦發現不合法證書直接中斷連接,能夠減少信息量的泄露[2-10].

CA認證一般分為第三方CA或者自建型CA 2種，本模型采用的是自建型CA，相比于第三方的CA認證，自建型CA可以擁有更快的響應速度和自主性，并且自建型CA費用將會低于第三方CA.但自建型CA需要自主搭建服務器，并且需要考慮靜態的數據安全性，如果采用的規模較小，可以選擇第三方CA，能夠減少維護的成本.若模型用于大規模的視頻監控網，出于可維護性和維護成本，明顯自建型CA比較有優勢[11-15].

2 模型說明

2.1 功能模塊說明

本文提出的模型主要分為客戶終端、視頻終端、轉發服務器及CA認證服務器，如圖1所示.

1) 客戶終端由客戶使用的設備與USB KEY構成，對于每個合法用戶，都會分配其一個合法賬戶ID和與之對應的USB KEY，用戶登錄時，必須連接USB KEY與用戶設備，此時根據預先設置的程序結合USB KEY的編號和對應的用戶ID，為了增強保密性可由系統根據時間戳等生成一個隨機的128 b 數據，客戶終端可以根據這3個值生成對應的數字簽名.

2) 客戶終端與轉發服務器建立連接，將數字簽名及用戶的賬號ID和所用的隨機128 b數據發送給轉發服務器，轉發服務器獲取到客戶終端發送的數據后進行二次加密，之后將密文傳給CA認證服務器.

3) CA認證服務器獲取了密文后，用自己持有的私鑰對密文進行一次解密，將獲取的用戶賬號ID、隨機字符串和CA根證書進行比對，驗證數字簽名無誤后，返回驗證結果給轉發服務器,同時CA認證服務器摧毀隨機數和數字簽名，不進行記錄.

4) 轉發服務器接收從CA認證服務器上發送回來的結果，若驗證有誤，直接中斷與客戶端的通信.若驗證正確，轉發服務器將客戶端所需的數據傳回.

5) 每隔一段時間，客戶終端必須向轉發服務器發送心跳認證包，里面包含采用時間戳計算的隨機數，轉發服務器再次向CA認證服務器進行認證，一旦認證失敗，轉發服務器認為客戶終端遭到攻擊，立即中斷通信.

6) 視頻采集終端與轉發服務器是多對1的連接方式，并且與CA認證服務器保持認證狀態.這樣保證了視頻采集終端只能與轉發服務器進行通信，從而避免了終端被直接竊取碼流信息.

圖1 基于CA認證的視頻監控模型

2.2 CA認證模塊運行說明

對于本模型而言，其中最為重要的就是CA認證流程設計與實現.圖2說明了CA認證在本模型中的實現原理.

圖2 CA認證過程

1) 轉發服務器發送到CA認證服務器的信息采用加密傳輸，CA認證服務器獲取到密文后將會用自己的私鑰進行解密，從而獲取轉發服務器轉發的數字簽名、用戶ID和生成簽名所有的隨機數.

2) CA認證服務器根據用戶ID和數字簽名進行反簽名解密操作，將解密后的隨機字符串與步驟1)中的字符串進行比對.

3) 若步驟2)比對成功，那么發送比對成功結果到轉發服務器；若比對不成功，也將比對不成功的結果發送到轉發服務器，無論比對結果如何，CA認證服務器都將數據進行銷毀操作.

從上面流程可以看出CA認證服務器是一個類黑箱的模型，無論是用戶還是第三方都只能通過CA認證服務器的輸入輸出來判斷CA認證服務器的運行機制，而CA認證輸入與輸出僅僅與轉發服務器進行加密通信，從而無法被篡改信息，保證了CA認證的可靠性與準確性.

3 安全分析

從圖1我們可以看出，在模型進行1次完整通信時，有7個步驟可能會被第三方利用從而非法獲取信息，下面我們將逐個分析每個步驟是如何保證通信安全的.

1) USB KEY生成唯一ID.這是模塊中驗證用戶是否合法的唯一標識，作為系統的管理者，必須做到USB KEY與用戶一一對應，這屬于安全管理方面的條件，并不屬于模型所需要考慮的條件.對此，進行安全分析時，我們可以默認除了合法用戶外，第三方竊聽者無法擁有正確的與其用戶ID對應的USB KEY，這一步驟是安全的.

2) 向指定ID攝像機申請碼流.這是一個請求動作，無論是正常用戶還是第三者都可以向轉發服務器提出連接請求，這相當于請求連接.第三方唯一能做的就是進行截取-轉發操作來冒充正常用戶請求連接.但是即使第三方通過截取-轉發來獲得了連接的權限，他也無法通過隨機心跳認證包CA認證，一旦被CA認證服務器識別，那么轉發服務器就會停止與其通信.這一步驟是安全的.

3) 申請驗證.由于轉發服務器與CA服務器基本上是不變的，所以截取-轉發的意義不大，并且驗證信息采用加密信息，解密私鑰存在于CA認證服務器，所以這一步驟也是安全的.

4) 攝像機終端的CA認證.攝像機終端屬于嵌入式設備，只能與轉發服務器進行連接，通過更改攝像機終端進行信息截取，一是無法采用簡單的截取-轉發方式，二是攝像機一般分布較為分散，從地理分布來看也不適合進行截取.只要攝像機終端認證成功，才能正常工作，獲取碼流.這一步驟也是安全的.

5) 返回認證結果.返回認證結果與步驟3)類似，由于采用了隨機數混淆和公私鑰加密體系，可以有效防止驗證結果被猜到，從而保證了不會被第三方偽造驗證信息，從而欺騙轉發服務器.這一步驟是安全的.

6) 從攝像終端獲取碼流.從步驟4)可以看出，若將攝像機終端強制只能與轉發服務器進行連接，那么這一步驟也是安全的.

7) 轉發碼流給客戶端.為了減小客戶終端的解碼壓力，轉發服務器沒有對轉發的碼流進行加密操作，這一步驟只能依賴于心跳認證包進行檢測，一旦心跳認證包CA認證失敗，直接終止連接，能保證碼流的安全.若要加強傳輸碼流的安全性，那么我們只要在轉發服務器加密碼流并在客戶終端解密碼流，這樣可以以犧牲性能為代價增強模型的安全性.

以上，我們分析了模型中所有步驟的安全性，從理論上來說，本文提出的基于CA認證的系統模型是安全的.

4 總 結

本文提出了一個基于CA認證的視頻監控模型，在這個模型中，本文采用CA數字簽名技術認證每一個客戶終端與攝像機終端，保證了圖像信息只能被驗證認可設備獲取，對于其他的第三方無驗證信息的設備，它們不能獲得或者僅僅能獲得少量圖像信息，從而保證了視頻監控網中的信息安全.

本文提出的CA認證服務器，僅僅與轉發服務器進行通信，并不與客戶終端及攝像機終端進行通信，一定程度上保證了CA認證服務器的隱蔽性.而且只需對轉發服務器進行一定的升級即可，不需要對監控網絡作出大的改動，從而具有實際的工程實現價值.

本文提出的模型僅僅考慮了一臺轉發服務器的情況，但是在實際應用中，轉發服務器一般都是多臺的.如何讓多臺轉發服務器能夠負載均衡，并且保證與CA認證服務器進行驗證安全性，將會是下一步工作所研究的問題.

[1]譚云松. 基于CA認證的遠程數據訪問模型[J]. 計算機工程, 2007, 33(19): 168-169

[2]閆煥章. 基于CA認證的電子印章系統的設計[J]. 數字技術與應用, 2013, 2: 147-148

[3]崔明磊. 基于CA認證系統的移動代理安全系統的研究[J]. 福建電腦, 2009, 25(9): 126-126

[4]李亞輝. CA認證系統及其應用[J]. 現代電子技術, 2006, 29(23): 121-123

[5]董自周, 張維華. 一種簡化的CA認證系統[J]. 武漢理工大學學報: 信息與管理工程版, 2009, 31(1): 34-37

[6]郭靖, 王營冠. 基于openssl的CA認證及SSL加密通信[J]. 現代電子技術, 2012, 35(3): 104-107

[7]彭軍, 王忠, 胡建超. 基于PKI的CA認證系統信任模型的研究[J]. 網絡安全技術與應用, 2010, 3: 6-9

[8]劉微微, 程海蓉. 信息安全專題介紹之二:公鑰基礎設施PKI/CA認證安全體系[J]. 計算機輔助工程, 2002, 1: 73-78

[9]雷樹梅. 小型CA認證系統的設計與實現[D]. 太原: 太原理工大學, 2008

[10]劉國紅, 劉茜. RADIUS結合PKI/CA認證方式的應用探究[J]. 廣西物理, 2006, 27(4): 20-22

[11]崔志斌, 崔宇璇, 王騰飛. 基于CA認證的可信電子病案系統設計[J]. 中國數字醫學, 2017, 12(1): 83-85

[12]郭萍, 傅德勝, 朱節中, 等. 輕量級可移交CA的MANET網絡認證體系[J]. 計算機科學, 2017, 44(3): 145-149

[13]林睿, 李豐, 陸國生,等. 基于CA技術的網絡信息安全系統設計與實現[J]. 電子設計工程, 2017, 25(11): 157-159

[14]靳淑娟, 袁泉. 結合802.1x的數字證書認證方法研究與應用[J]. 網絡安全技術與應用, 2017 ,6: 38-39

[15]楊迪, 葉鵬, 黃敬林. CA認證支撐下的電子文件可信服務研究[J]. 數字技術與應用, 2017, 5: 63-65