基于5G網絡的移動智能視頻拍攝信息安全與風險研究

馬 智 胡 博

1 中國聯通研究院 北京 100176

2 中國聯合網絡通信集團有限公司 北京 100032

引言

面對信息網絡的應用普及和5G網絡安全的大背景，各行各業日益重視強化網絡安全防護能力、提升網絡安全能力以及數據信息安全保障能力。針對多樣化業務場景、豐富的接入方式和設備形態，需要持續推動實現網絡環境安全共建、安全共享。因此，本文基于5G視頻拍攝遠程控制場景下的信息安全問題，進行深入分析和研究。

1 研究背景

1.1 移動智能拍攝與網絡技術的融合發展

智能視頻終端領域行業正迎來高速發展，隨著疫情出現，視頻信息無線傳輸需要進一步向智能化、遠程化、無人化的方向發展。

傳統固定攝像機由于不能自主轉動，機器視覺的視野范圍受限，使用場景也存在局限性，人力物力消耗相對較大。為提高視頻拍攝智能化，可以利用5G實現數據交互及遠程操控。特別是隨著疫情的出現，無人化、遠程化場景的需求激增，對于在無人值守的工作環境或工作人員無法進入的惡劣工作環境中，遠端的智能設備更加需要這種遠程控制技術[1]。

5G時代，通過穩定的5G網絡傳輸和智能拍攝設備相結合，能夠解決即時多點監看與跨區調度等重要訴求，并應對差異化戶外場景的拍攝不確定性和極端溫度環境[2]。實現超低時延的端到端視頻業務，提高抗干擾性，為使用者提供高效視頻回傳能力，為觀看者提供高品質視頻服務體驗。5G技術的融合也進一步助力產業與服務升級，為不同的需求方提供差異化服務能力。

1.2 5G網絡的安全連接能力

5G網絡在賦能垂直行業應用的過程中，使能“無線通道、對接數據網絡，至端到端通信連接”的全流程。因此，5G安全能力范圍涵蓋終端、5G無線接入網、移動邊緣計算、承載網絡以及5G核心網五大基礎組成部分[3]。

針對5G的2B行業應用，需要嚴格保護數據信息背后的商業秘密、個人隱私和業務價值。5G、AI、邊緣計算、區塊鏈等新技術逐步應用，推動產生更多創新連接場景下的安全挑戰。由于5G行業應用需求的特殊性和多樣性，信息安全三要素即機密性、完整性和可用性，也面臨差異化需求。例如基于5G網絡的移動智能遠程控制拍攝場景需要滿足網絡低時延，保障高可用性，保證實時高清視頻數據的安全傳輸以及遠程控制信號指令的精準到達。因此基于主流學者的研究結果，可主要分為兩大類安全需求。其一是基本安全需求，基于傳統公眾通信網絡下的工作場景與安全保障目標需求，可基于當前4G通信網絡安全保障技術以滿足通用安全需求。其二是高級安全需求，基于5G時代所產生的新業務、新應用場景，考慮其所帶來的新安全風險與挑戰，在滿足基本安全需求基礎之上，為空口數據傳輸、隱私保護、認證授權等方面確保靈活個性的安全保障機制，從而提供更高保障的安全能力。

1.3 5G時代移動智能拍攝的安全隱患

相較4G時代，5G在速度、功耗、時延全面提升的同時，也面臨著不同場景下更加多樣化的信息安全挑戰。傳統4G時代的通信和終端等方面的信息安全問題將繼續存在，同時5G將加劇安全威脅的擴散[4]。傳統的安全防護措施在流量暴增、多樣化應用場景的情況下產生了瓶頸[5]，隨著各類風險出現也對網絡安全技術帶來全新挑戰，例如頻譜資源非法占用、信令欺詐與風暴攻擊、網絡虛擬控制端惡意操控、敏感信息與數據泄露、通信鏈路流量嗅探與非法監聽、邊緣層流量監管存在盲點及安全責任邊界難以界定等。

傳統有線方式的視頻數據傳輸的優勢包括受干擾少、保密性強、可靠性強等，但只適合區域傳輸，局限性大。雖然5G網絡相較固網的穩定性和速度稍有劣勢，但對于移動場景下的智能拍攝與日益豐富多元的業務需求，5G所具備的靈活性、移動性、泛在性是無法替代的。因此，基于本文所提出的應用場景，在使用5G無線連接方式替代固網的連接方式時，存在相關安全問題亟待討論解決。針對前端拍攝設備，傳統安全防護體系大多沒有考慮配套的安全措施，導致其成為網絡中極易被突破的薄弱環節。攻擊者一旦成功入侵網絡攝像機等前端設備，可以輕易控制監控現場的前端設備，非法獲取監控區域的敏感信息，甚至可以進一步將其作為一個跳板或僵尸主機，進而滲透、攻擊業務承載網，造成更加嚴重的后果[6]。針對傳輸過程，5G網絡中多種無線網絡技術和安全機制共存。因此，多模式快速接入認證、無縫漫游切換等安全保障困難。4G網絡通常只對通信鏈路的空口無線通信數據進行加密保護，但傳輸過程易受攻擊。為了保障5G下異構多域環境的端到端統一認證，需建立跨域安全機制。

同時，由于尚未形成統一的網絡視頻框架協議，不同前端視頻采集設備廠商的網絡視頻產品未能完全互通。尤其面向移動智能拍攝遠程控制領域，尚未基于5G網絡的傳輸環境下形成行業標準。因此在視頻遠程控制系統中所選擇的視頻采集設備型號比較單一，可能會導致視頻采集設備在軟硬件上高度相似，安全缺陷高度一致，易被一點攻破，從而引發連鎖反應，導致整個端到端視頻網絡傳輸鏈路被控制和惡意攻擊。

2 基于5G網絡的移動智能視頻信息安全研究

2.1 移動遠程視頻拍攝系統的架構

總體來看，移動智能遠程控制拍攝系統主要由三部分組成，分別為前端拍攝設備、智能終端執行單元(Terminal Actor Unit，TAU)、智能終端控制單元(Terminal Controller Unit，TCU)。TAU主要指以智能拍攝云臺為代表的終端接入設備，具備視頻流處理、云臺運動控制及5G網絡接入能力。TCU主要指以控制器為代表的終端控制設備，具備多路接入設備控制能力、多路視頻流切換能力以及5G接入能力，可以通過5G或者其他寬帶網絡訪問智能接入設備，也支持系統外的遠程訪問及控制信號轉發。

2.2 移動智能遠程拍攝系統安全風險

從前端拍攝設備角度，一方面，網絡攝像機集傳統攝像機、視頻編碼和網絡技術為一體，一般由嵌入式硬件平臺、嵌入式Linux系統、嵌入式Web服務器、無線網卡以及集成5G模組的智能云臺等組成，前端硬件相應存在弱口令、緩沖區溢出、未授權訪問、拒絕服務、命令注入、信息泄露、認證缺陷、目錄穿越、特權提升、目錄遍歷、SQL注入等漏洞。另一方面，網絡攝像機等前端采集設備端口使用比較固定，易被黑客通過端口掃描等技術攻擊[7]。

從TAU角度，前端設備大多不具備數據加密功能，數據采集后直接明文傳輸視頻碼流，如果沒有部署專門的視頻專用信道或VPN，可通過“網絡嗅探”方式非法截獲視頻數據加工、篡改。

從TCU角度，由于遠程控制信令需要通過特定的視頻管理平臺，軟件本身容易遭受入侵和控制，因此容易在遠程命令執行的過程中，出現授權繞過、目錄遍歷、遠程緩沖區溢出等高危漏洞，以及部分操作系統的常見漏洞，存在一定的風險隱患。由于后端的軟件客戶端由缺乏計算機專業知識的行業客戶使用，大多采用簡單的身份認證和權限管理，缺乏專用的安全加密和身份認證機制，安全意識缺乏，無法保證端到端的唯一性，因此難以抵御非法入侵與攻擊。

由于上述的前端拍攝設備、TAU、TCU都需要依靠5G實現數據與信令交互，因此還要考慮網絡入侵層面的風險，主要包含四類攻擊：DOS(Denial of Service)拒絕服務攻擊，Probing監視和其他探測活動，R2L(Remote to Local)來自遠程機器的非法訪問，U2R(User-to-Root)普通用戶對本地超級用戶特權的非法訪問。

2.3 面向移動智能遠程拍攝的安全需求

廣義上是5G行業應用場景本身的安全需求，包括但不限于5G應用的安全框架、終端安全要求、接入安全要求、平臺安全要求，以及重點風險管控要求等[8]。面向網絡隔離度，5G網絡面向行業場景，可提供端到端切片能力，為視頻傳輸提供專用業務數據通道，從邏輯上或物理上為移動遠程智能拍攝提供區隔于公網的資源。面向數據保護度，實時高清視頻數據與控制信令傳輸，建議為此場景提供接入雙向認證、數據本地化存儲與處理、數據防泄露、惡意攻擊防御等能力。為應對實況直播等特殊場景，額外需要安全風險與安全事件的監測與告警、安全等級響應等安全檢測服務。面向網絡可靠性，主要是為超高清分辨率的視頻數據流提供良好的QoS保證，以應對未來更加高清的4K、8K等終端拍攝設備。因此，可為行業場景提供定制化會話與數據級別的策略控制，實現差異化的帶寬、速率、時延、丟包率等網絡服務質量保障。

狹義上是5G與智能拍攝細分領域的安全要求。2B行業對移動智能拍攝場景的安全需求主要包含兩部分內容，一是數據的安全性，打造獨有流控安全機制，保障音視頻媒體流數據高優先級、可靠傳輸。二是網絡的可靠性，通過支持視頻傳輸加密功能，解除非法/惡意攻擊威脅。數據信息安全與網絡可靠，是打通端到端業務場景的基本保障，網絡視頻數據信息與控制信令信息的安全傳輸是重中之重。同時，移動智能拍攝場景下對實時性要求非常高，5G網絡連接中斷將嚴重影響按時序性流程生產的順利進行。因此，在提供無人化遠程管控、智能信號收錄、云端平臺等服務前，應當強化安全性方案的高效保障，從而確保實現超高清視頻的高帶寬、低延時、高可靠直播。

3 新一代信息技術賦能視頻信息安全保障

針對2.2節中所提出的風險，分別從智能拍攝系統的前、中、后端提出相應的安全解決方案思路。

3.1 智能拍攝終端層安全方案

終端層主要實現視頻數據的發送和控制指令的接收，由于智能拍攝終端的計算和存儲資源有限，難以部署復雜的安全策略，因此存在被攻擊的風險。一方面，為了防止終端側的DDoS/DoS攻擊，可以考慮在網絡側打造安全防御機制，從而智能檢測攻擊行為并及時自我保護。另一方面，考慮對終端側增加身份驗證和內置安全功能，包括但不限于SSH安全登錄、TLS加密、內置安全芯片以及信令/數據的加密保護等[9]。

3.2 網絡傳輸層安全方案

3.2.1 安全與網絡切片能力融合保障

本文所提出的基于5G的移動智能遠程控制拍攝場景，多用于大型活動及專業級媒體領域，由于此場景下媒體轉播方及參與者時間和空間集中度高，相同時間下視頻流與控制信令傳輸需要使用更佳的頻譜資源傳輸，同時對控制流信號有較高的安全性要求，因此選擇網絡切片技術實施按需分配，為不同的場景和客戶打造專用資源并構建專屬5G視頻業務切片，從而實現等級差異化的網絡隔離機制。對于敏感數據，切片還需提供安全加密、安全傳輸和認證鑒權等安全服務。

考慮成本和現實因素，針對5G智能拍攝場景主要討論公網切片方案。公網切片解決方案需要考慮移動拍攝與其他行業之間的隔離，以及智能遠程拍攝本身不同業務之間的隔離，如圖1所示。因此，又可以從軟切片和硬切片兩個角度來看。一是針對普通視頻傳輸業務的軟切片方案，通常的模式依靠運營商建設端到端5G網絡，需求方租用公網的一張或多張切片，實現端到端網絡資源共享。根據視頻傳輸類業務和遠程控制類業務，分配不同的切片。接入網切片，通過動態分配視頻資源或完成調度優先級設置；傳輸網切片，配置不同的隧道/偽線通道，根據不同切片標識映射到不同VLAN；核心網切片，為不同的切片分配獨占的AMF/UPF/SMF。二是針對硬切片，適用于區分普通視頻業務和特需業務。接入網切片，采用時域、頻域、區域隔離，可分配靜態視頻資源并共享AAU/DU/CU等資源；傳輸網切片考慮配置L1或L0硬切片；核心網切片，通過分配獨占的UPF等網元設備能夠實現完全隔離。針對移動遠程拍攝，可以共享部分控制面板網元，媒體面和其他控制面網元不共享。需求方可按需選擇軟硬混合的方案，靈活處理場景應用需求和切片技術。

圖1 5G切片賦能移動遠程拍攝架構圖

5G網絡切片可向需求方/使用方按需提供定制化網絡服務，并通過可視化WEB實現可視化操作管理等一系列服務。每一類切片可按需構建多個網絡切片實例，為智能拍攝領域提供端到端5G切片能力。通過動態分配相互隔離的網絡資源，保障不同的業務數據之間實現隔離，同時確保多域協同。從而通過切片融合方案，提高整體系統服務的安全性。

此外，為了提供更加完善的全流程服務，可以通過運營商提供的5G切片能力和CDN管理平臺，進一步對接拉通切片管理平臺、專業級視頻終端設備管理平臺，能夠打通各個應用服務平臺，建立和維護視頻終端領域的業務管理平臺，如圖2所示。

圖2 基于5G切片的專業級智能遠程拍攝構建綜合管理平臺

3.2.2 安全+AI+邊緣計算輔助優化

移動智能拍攝的遠程控制場景，通常具備固定機位和布線的特性，遠程控制的移動拍攝行為范圍能夠提前預知，因此有助于定制MEC安全防護策略。與傳統的攝影師行為復雜性、臨時性和不確定性相比，基于智能云臺和智能軌道的移動遠程拍攝模式較為簡單可控，業務流量模型可預測。因此，在未來工作中，可以基于采集的網絡信息數據流，采用人工智能技術快速地進行自主學習和訓練，更加準確地對智能拍攝的不同業務流量類別和異常行為進行檢測、定位和根源分析。針對戶外運動機位，當畫面大面積區域景色沒有明顯變化時或大面積拍攝畫面都在實時變化時，通過AI技術實現預測分析，為不同的機位畫面提供更加智能的網絡流量分配，并同步為5G視頻智能拍攝提供全方位的安全分析預警、故障定位、業務感知及差異化服務，進一步提供防御各類安全威脅的能力。

3.3 平臺側安全方案

本節面向移動遠程拍攝場景的安全領域構想一個全新的安全態勢感知平臺，可用于但不限于大型活動的安全監管方，綜合運用大數據、AI等技術對智能拍攝的海量數據流進行實時收集和綜合智能分析，使被動防御變主動預警，針對整個拍攝區域中各業務流量進行分析，基于安全威脅態勢感知，以應對網絡蠕蟲、大規模網絡攻擊等各種安全威脅。

網絡態勢感知的基本目標之一是對網絡環境的安全態勢進行預測，隨著5G網絡廣泛覆蓋及其帶來的海量數據，這項工作對于各類業務發展具有重要意義，也是網絡信息安全領域的研究熱點之一，幫助垂直行業領域的使用者以及網絡行業的從業者提供決策支持和快速響應。其中，基于數據驅動的方法是產業與學術界的主流選擇之一。利用可觀測數據和機器學習算法能夠按照業務需求建立相應的數據模型。由于網絡側攻擊行為屬于非線性時間序列數據，因此本節主要選擇基于支持向量機SVM的改進算法，用于移動智能拍攝環境中的安全態勢預測。在確保視頻采集設備、智能云臺終端處于被監管的前提下部署安全探針，對其在5G網絡下的各類活動操作進行周期性采集，包括但不限于惡意軟件檢測、IDS和防火墻、漏洞掃描、滲透測試、在線測試和安全服務檢測等。同時，獲取網絡攻擊等惡意行為，全面覆蓋包括網絡結構數據、網絡服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等。

結合圖3所述流程圖，本節所提出的網絡安全態勢感知預測流程主要包含5個步驟。步驟1根據移動遠程控制智能拍攝應用場景采集網絡原始數據，分別構造樣本集和測試集，分離得到特征矩陣和標簽矩陣。步驟2對樣本數據進行LDA優化處理以去除冗余、復雜的信息，計算獲得最佳投影空間內的樣本矩陣和投影矩陣。步驟3構建基于SVM的模型，將步驟2中的樣本矩陣作為輸入、樣本矩陣對應的攻擊類別作為訓練輸出。步驟4經過一輪SVM感知后，加入粒子群優化算法輔助預測模型，通過適應度函數調整每個粒子至較優的區域，從而整體上能搜尋到最優解。步驟5得到對應的態勢感知結果，融合移動智能拍攝應用方的系統控制平臺，支持網絡安全結果監控與展示。

圖3 算法流程圖

在網絡安全態勢預測的能力基礎之上，進一步提出面向移動智能遠程控制拍攝的安全態勢感知與風險控制系統，整體工作流程框架如圖4所示。借助于底層的通用組件能力，以基于LDA-SVM的感知預測模型作為安全態勢感知核心模塊，結合數據采集和智能拍攝控制系統，打造一套完整的遠程控制拍攝下網絡安全態勢感知體系。

圖4 安全態勢感知平臺系統架構圖

首先，利用安全探針技術進行設備運行數據采集與要素提取，采集基于智能云臺或智能軌道的移動拍攝設備的狀態信息和配置信息，結合現場網絡的復雜性和不確定性，從視頻業務流量指標、威脅指標、環境指標三個維度提取態勢要素，通過量化算法獲取觀測序列，構建態勢感知框架。其次，通過設計層次化視頻領域網絡態勢評估模型，結合多指標信息融合，實現安全態勢評估。由于視頻拍攝的不同時間段、不同區域的網絡性能有所區別，從而受到攻擊的影響和程度也有所不同，因此可基于評估環節實現威脅的權重分析。最后，進行安全態勢感知與防御，在端到端通信鏈路中，持續采集告警數據和運行狀態數據，通過攻擊步驟與告警信息的關聯度完成安全風險預警。可面向大規模視頻采集場景實現網絡安全態勢評估和穩定集中監控，為管理方提供全域安全態勢監控[10]。

4 應對未來5G安全風險挑戰的建議

基于《超高清視頻產業發展行動計劃(2019—2022年)》的發布實施，超高清視頻產業鏈各環節持續發力，產業市場規模快速增長[11]。超高清視頻與5G、AI、VR等新一代信息技術深度融合，將催生大量新場景、新應用、新模式。本文所提出的5G移動智能拍攝場景目前只是發展初期，未來更多富有創造力的應用場景將會被實現，大視頻化、泛視頻化將成為發展趨勢。因此，網絡視頻信息的安全風險需要在當前階段充分考慮，并在發展過程中不斷迭代完善形成行業認同的可靠應對策略。

結合5G技術和AI、大數據、區塊鏈等技術的廣泛應用，為適應更加復雜和難以預料的需求和場景，建議構建完整的移動網絡遠程視頻拍攝系統的事前、事中、事后閉環防護鏈，打造安全高效的視頻信息安全管理機制。事前基于專用的漏洞掃描工具檢測前端采集設備及智能云臺等硬件本身存在的漏洞，提前加固，并定期升級資產固件、更新密碼、增強密碼強度，加強前后端設備的統一安全認證機制，以此達到預防的效果。事中網絡傳輸過程，通過部署DDoS檢測防御系統、開啟身份標識以及空口數據包的加密功能保證空口安全；部署IPSEC安全加密保障承載網安全等[12]。事后建立系統和數據異地容災機制，建立有效的安全審計機制，并考慮安全的數據存儲機制。綜上所述，安全風險應對策略需要根據不同的使用場景進行提前定制化規劃，才能達到最佳的安全防護效果。

5 結語

5G網絡演進正在持續拓展新能力并發展跨行業創新應用，未來更加開放的網絡、豐富多樣化的各類泛智能終端將加速泛在鏈接和泛在覆蓋，創新業務模式也需要不斷適應更加復雜的網絡環境。因此，在開展各類創新業務的同時，應同步考慮日益突出的網絡信息安全問題，統籌建立5G安全智能應對策略，為5G視頻領域乃至整個產業鏈、全行業的創新領域，共同構建安全互信的健康5G生態。