视频监控安全传输

1   方案背景

1.1   应用背景

近年来，随着“智慧城市”、“平安城市”、“雪亮工程”等重大项目的推进，以及各重要涉密单位对自身安全的重视，以网络摄像机为核心的视频监控系统作为维护公共安全的“数据探针”，被越来越多地部署到城市的各角落，形成了对公共安全要害部位的视频监控全方位覆盖，大大提高了公安机关维护社会治安和应对突发事件的能力和水平。经过多年建设，近亿级的摄像头已形成了覆盖城乡的“天网”。视频监控系统的应用场景覆盖公安、政府、金融、铁路、电力等众多行业和领域。

1.2   视频监控系统的安全现状

由于现有的视频监控系统普遍缺乏有效的安全防护机制，导致视频监控系统安全事件频发，严重威胁个人、企业，乃至国家安全，其中主要存在的安全隐患包括：

• 缺少对口令探测攻击、漏洞攻击等常见攻击的有效防护；
• 视频数据和控制数据，采用明文传输，易被攻击者拦截、还原；
• 缺少设备入网身份鉴别机制，无法阻止非法设备接入网络；
• 无法保证视频数据被替换或者恶意篡改。

在监控摄像头大量部署的背景下，视频传输安全的问题日益凸显，如何有效保证视频监控系统的安全，已经是刻不容缓急需解决的问题。

2   视频安全传输解决方案

2.1   技术思路

• 在视频采集端，提供视频安全模块，将其串接在视频网络中，对视频摄像头等采集端设备进行接入身份认证，并对视频数据进行加密，从源头保障数据安全；
• 在视频管理中心的出入口处，配置视频安全网关，提供视频数据的加解密功能，并保护视频管理中心网络免受非法攻击侵害；
• 在视频管理中心的网络中，部署密钥管理系统，科学、安全地解决各类终端、各级系统之间的密钥产生与分发、身份认证等安全需求。

2.2   解决方案

传统的视频监控网络，一般包括视频摄像机、视频服务器、存储系统等部分。视频安全传输系统，在传统视频监控网络的基础之上，整合了视频安全模块、视频安全网关和密钥管理服务器三个设备。其主要组成结构如下图所示：

图 1 视频安全传输系统组成结构图

2.3   方案说明

（1）视频安全模块

视频安全模块，串接在临近监控摄像头的网络中，能够对摄像头的传输数据进行加密，并保护摄像头不收非法攻击的侵害，亦能防止摄像头被非法替换。

（2）视频安全网关

视频安全网关，部署于视频管理中心网路的出入口，对进出流量进行加密和解密，并可防止非法流量通过。

（3）密钥管理服务器

密钥管理服务器，部署于视频管理中心的内部网络中，对视频安全网关和视频安全模块，提供密钥管理功能，包括初始密钥的生成，密钥的分发、更新、归档，以及基于密钥的身份认证等功能。

3   系统特点

（1）终端适应性强，部署灵活

支持各种不同的视频摄像机或者其他视频、图像采集终端，提供轻量级的视频安全模块，可采用透明方式轻松接入网络，部署简单、灵活。

（2）无感知加密传输，无需改变原有网络结构

视频安全模块和视频安全网关，均支持透明方式接入网络，可对视频数据进行无感知加密解密，且无需改变现有网络结构，即可实现对整个视频系统的加密和安全防护。

（3）支持国密算法和国密标准，兼容国际算法

系统中的视频加密传输，支持国密的SM2、SM3、SM4等算法，并采用符合国密标准的身份认证、密钥管理、加密解决方案，保证整个系统的合规性和安全性。同时，兼容国际标准的AES、SHA1、SHA2等国际算法，能满足各种应用场景的不同需求。

4   典型部署

视频安全传输系统，一般需结合用户现有的视频监控网络情况进行部署。系统支持在同一局域网内、不同网络之间（类似互联网），采用透明模式和路由模式部署。不同网络环境中的常见部署方式如下：

• 透明模式部署

常见的视频监控网络结构如下图所示：

图中，视频服务器位于172.168.1.0/24网段，摄像机处于192.168.1.0/24网段，两个网段采用路由器连接。视频服务器和摄像机可以相互访问。

针对以上用户的网络拓扑情况，现提出采用透明模式部署的安全传输解决方案，其网络部署图如下图所示：

在该部署模式中，视频安全网关透明串接在视频管理中心路由器的左侧，需分配一个192.168.1.0/24网段的独立IP地址，用于设备管理、密钥管理和身份认证；视频安全模块透明串接在摄像头后的网络中，并需分配与摄像头相同网段的独立IP地址，该IP地址用于视频安全模块的设备管理、密钥管理和身份认证；在视频管理中心，还需要部署密钥管理服务器，用于视频安全系统的密钥管理与身份认证。

采用透明模式的适应性较强，不需要改变用户的现有网络结构，支持摄像机和视频服务器位于同一局域、不同网段的局域网或互联网，也支持NAT网络等多种网络环境，可对视频数据进行无感知加密解密，实现对整个视频系统的加密和安全防护。

• 路由模式部署

采用路由模式部署时，摄像机和视频服务器在不同的网段中，视频安全网关部署于两个网络的边界处。常见的路由模式部署结构，如下图所示： 

图中，视频安全网关采用路由模式接入网络，具备网络路由器的功能，其左右两侧需要分配两个不同网段的IP地址，分别为192.168.1.0/24网段和172.16.1.0/24网段；密钥管理服务器位于视频管理中心的172.16.1.0/24网段中。

路由模式是一种比较简单、常见的部署模式，视频安全网关位于不同网段的网络边界处，替代了传统路由器的位置，在用户新建视频监控网络，或者原有视频监控网络就是路由模式时，部署较为方便。