视频监控系统
安全认证与高速加密解决方案
北京芯光天宇科技有限公司
2015年3月
视频监控系统安全认证和高速加密解决方案
目录
1 2
方案背景与意义 ............................................................................................................... 1 风险评估与安全需求 ....................................................................................................... 1 2.1 2.2 2.3 2.4 3
设备防伪与身份认证........................................................................................... 2 数据传输安全 ...................................................................................................... 2 数据存储安全 ...................................................................................................... 3 行为审计与追查 .................................................................................................. 3
安全解决方案 ................................................................................................................... 3 3.1
功能描述 .............................................................................................................. 4 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2
前端设备防伪检测 ..................................................................................... 4 设备身份安全认证 ..................................................................................... 5 视频数据签名和验签 ................................................................................. 5 视频数据高速加密 ..................................................................................... 5 数据传输控制与校验 ................................................................................. 5
基于公钥体制的密码安全功能实现 ................................................................... 5 ................................................................................................. 6 3.2.1 数据机密性 3.2.2 3.2.3 3.2.4 3.2.5
数据完整性 ................................................................................................. 6 可认证性..................................................................................................... 6 不可抵赖性 ................................................................................................. 6 数字信封..................................................................................................... 6
3.3 TF卡产品安全功能实现 ....................................................................................... 7
I
视频监控系统安全认证和高速加密解决方案
4 附件:芯光天宇公司安全TF卡性能及技术指标 ............................................................ 7 4.1 4.2
芯光天宇安全TF卡物理性能及指标 ................................................................... 7 芯光天宇安全TF卡密码算法性能及指标(国密SKF接口) ............................. 9
II
视频监控系统安全认证和高速加密解决方案
1 方案背景与意义
目前,视频监控系统市场需求巨大,设备和系统生产商、服务商众多;同时,
视频监控技术正在向数字化、智能化、网络化方向发展。由于传统技术体系的不完整,生产、服务人员和使用者的安全意识与能力水平所限,导致视频监控系统存在如非法入侵、信息泄露等重大安全隐患。
近期,某省公安部门下发特急通知称因安防监控系统可能“由于客户对初始密码未改”,产品存在严重安全隐患,使得部分设备“被境外IP地址控制”。2015年初爆出某著名手机厂商的一款智能摄像机存在“远程命令执行”漏洞,攻击者可以通过该漏洞,无需用户名、口令等认证方式,就可以远程控制摄像头,浏览视频信息,并且还可以利用摄像头对路由器进行关联操作,攻击家庭内网中的其它智能设备,严重危害家庭隐私及公共安全。2014年3月,中央电视台报道家庭监控系统存在较高的安全隐患,黑客可利用漏洞攻破网络监视系统,窃取用户隐私。
随着安防系统和是视频监控系统应用越来越广泛,视频监控系统本身的安全问题逐渐引起社会公众的极大关注,已经成为视频监控系统亟需解决的问题。
芯光天宇基于智能TF卡的安全认证和高速加密解决方案可为视频监控系统提供终端硬件级密码安全服务。本方案的实现与推广对于安防行业技术体系的完善与信息安全能力水平的提升,具有重大意义。
2 风险评估与安全需求
视频监控系统通常由前端摄像头、传输网络、后端控制平台、视频显示以及
信息存储等部分组成。非授权用户可能利用监控系统的弱口令(默认口令)或系统平台本身的安全漏洞,或者是通过黑客技术,非法入侵视频监控系统,非法查看监控信息,甚至可以下载、上传或者删除监控记录。
1
视频监控系统安全认证和高速加密解决方案
2.1 设备防伪与身份认证
视频监控系统摄像头分散地暴露于物理网络边际的最外层、最前端,不易管理与控制;因此,其身份的合法性与真实性整个对系统安全而言至关重要。另外,系统各个功能模块通讯与交互过程中,以用户名/口令等低强度方式进行的身份认证,其授权身份也极易被未授权者盗用。
2.2 数据传输安全
按照以往监控系统数据的传输模式,多以明文传达。某些特殊、重要的使用场景中的数据保护,则采用专网或加密通道等方式实现。显而易见:目前大规模使用的不安全;安全的大规模使用不现实。
2
视频监控系统安全认证和高速加密解决方案
2.3 数据存储安全
对于操作系统被入侵,感染病毒等情况可能引起数据的丢失、篡改和损坏,我们应做好资源备份和敏感信息加密保护等措施。而目前绝大部分设备并不具备辅助密码功能及安全防护能力。
2.4 行为审计与追查
一旦突发事件,一方面争取把损失降到最小程度;一方面着手痕迹跟踪、安全调查和善后措施,收集证据,反击入侵者或处理失职者。但因技术手段缺失,通常的“操作记录”、“系统日志”等文档证据并不能保证其真实性,不能成为司法证据与材料。
3 安全解决方案
北京芯光天宇科技有限公司(以下简称“芯光天宇”)提供的视频监控系统
安全认证和高速加密解决方案以商用密码密码技术为基础;依托并改造现行安防系统和产品架构(前端摄像头设备嵌入安全TF卡,后端控制与管理系统配置密码机、认证服务平台等);结合数字证书公钥认证体系;实现前端摄像头与后端控制平台间的双向身份认证、数据传输与存储加密、操作防抵赖、信息防篡改等安全防护功能。
3
视频监控系统安全认证和高速加密解决方案
3.1 功能描述
芯光天宇基于TF卡的安全认证和高速加密解决方案可为视频监控系统提供如下几项安全功能:
前端设备防伪检测 设备身份安全认证 视频数据签名和验签 视频数据高速加密 数据传输控制与校验 3.1.1 前端设备防伪检测
在视频监控系统前端摄像头中插入TF卡,并在TF卡中写入该摄像头的设备信息,实现摄像头设备和TF卡的绑定。
4
视频监控系统安全认证和高速加密解决方案
3.1.2 设备身份安全认证
为监控系统前端摄像头签发数字证书存储在TF卡中,保证每个前端设备都具有唯一的合法身份。通过数字证书实现TF卡设备与前摄像头设备的绑定,实现与后端控制平台之间的双向身份识别,。 3.1.3 视频数据签名和验签
对视频数据进行签名和签名验签,可以防止视频数据被第三方篡改。安全认证和高速加密,可支持国家密码管理局指定算法及国际通用算法。 3.1.4 视频数据高速加密
通过安全认证,高速加密TF卡在前端摄像头设备中对视频流数据进行加密。加密密钥通过严密的协商机制与后端控制平台之间进行交互,保证其他第三方不可能获得。因此,即或是第三方截获到密文视频流数据,也不能解密观看明文视频流数据。
3.1.5 数据传输控制与校验
利用数据证书技术可实现一系列的身份认证、数据加解密、信息完整性校验、操作确认等不可伪造与冒充的密码功能操作,从而可以确保监控系统数据信息与操作指令的正确性和有效性。
3.2 基于公钥体制的密码安全功能实现
基于公钥体制的数字证书认证系统提供数据的机密性、可认证性、完整性和不可抵赖性以及数字信封等服务。为满足视频监控系统安全需求,配合TF卡,身份认证系统提供设备防伪验证、设备身份识别、视频数据签名验签、视频数据加解密以及监控系统信令校验等特殊功能。
5
视频监控系统安全认证和高速加密解决方案
3.2.1 数据机密性
机密性好比为一个不透明的信封,里面的消息对外部是不可见的。只有被授权(拥有解密私钥)的人才能打开信封读取内容,而其它人是打不开信封的,当然也阅读不到里面的内容。
实现数据机密性的手段就是数据加密,包括静态数据加密和动态数据加密。 3.2.2 数据完整性
数据完整性好比为一个透明的信封,里面的消息可以从外部读出。虽然没有机密性,但是具有防篡改的功能。接收者可以查看这个信封,检查这封信是否被打开过、被破坏、或被替换。 3.2.3 可认证性
可认证性是指对实体身份的认证和确认,即“身份认证”。认证可以通过一种或多种方式实现:
用户名+口令 TF卡或电子钥匙
基于密码硬件(本案中安全TF卡或电子钥匙)提供的数据签名算法可
以实现高强度的身份认证。
3.2.4 不可抵赖性
可认证性和完整性相结合实现不可抵赖性。消息的接收者可以检查消息的数字签名,消息的签名者不能否认曾经发送过消息。 3.2.5 数字信封
数字信封技术的工作原理是使用对称密钥来加密数据,然后将此对称密钥用接收者的公钥加密,称为加密数据的“数字信封”,将其和加密数据一起发送给接收者。接收者接收后先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据。
6
视频监控系统安全认证和高速加密解决方案
3.3 TF卡产品安全功能实现
芯光天宇公司的安全TF卡是一款密码产品,具备传统USB-KEY的所有安全特性,支持PKI/CA安全应用,可以为移动智能设备、嵌入式设备提供身份识别、数字签名验签和数据加解密等安全功能,并为视频监控的特殊需求定制了相关功能,包括高速的视频加解密,数据校验等功能,可以满足视频监控对安全性的需求。
4 附件:芯光天宇公司安全TF卡性能及技术指标
注:芯光天宇安全TF卡可以使用不带存储的形式,有效降低成本。
4.1 芯光天宇安全TF卡物理性能及指标
项目 工作电压 正常工作电流 静态维持电流 ESD静电保护电压 正常工作温度 外接晶体频率 工作频率 内部PLL输出时钟频率 SDHC速率 2.7~3.6V 100mA 3mA 4KV -20℃~+85℃ 无 3Mhz~60Mhz 120Mhz 25MB/S 支持单通道和双通道模式; NAND Flash 接口 支持8bit-72bit/1KB BCH 校验码; 支持asynchronous、synchronous接口NAND Flash 随机数发生器 内嵌真随机数发生器 256KB NOR-Flash 内部存储空间 4KB Cache 16KB ROM NOR Flash擦写寿命 大于100,000次 7
性能及指标 视频监控系统安全认证和高速加密解决方案
NOR Flash数据保存时间 生产工艺 大于10年 0.18um eFlash工艺
8
视频监控系统安全认证和高速加密解决方案
4.2 芯光天宇安全TF卡密码算法性能及指标(国密SKF接口)
密码算法 密钥对生成 1024位RSA 非 对 称 算 法 256位SM2 2048位RSA 签名 验签 密钥对生成 签名 验签 密钥对生成 签名 验签 对 称 SM1算法 算 法 单向 函数 SM3算法 SHA1/SHA256 50Mbps 8.5MBps 模式 支持ECB、CBC、OFB运算速度 2.8秒/对 7次/秒 1250次/秒 8秒/次 4次/秒 317次/秒 0.47秒/对 27次/秒 28次/秒 备注 4000Mbps/1000Mbps 备注:
(1)以上算法运算速度指标为PC机WindowsXP环境测试结果,如果在摄像头等嵌入式或移动设备环境测试,结果可能会有变化;
(2)芯光天宇TF卡除支持SM1、SM2、SM3、SM4等国密算法以外,还支持RSA、DES3、AES、SHA1/SHA256等国际标准算法;
(3)芯光天宇TF卡除提供国标SKF接口以外,还可以提供PKCS11接口或CSP中间件,满足用户应用开发需求。
9
因篇幅问题不能全部显示,请点此查看更多更全内容