端到端的平安城市视频监控系统安全解决方案

端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 1 页, 共 15 页端到端的平安城市视频监控系统安全解决方案前言视频监控系统不论在公共安全、生产、生活中都扮演着不可或缺的重要角色，对于打击犯罪和维护社会公共安全，视频监控系统是社会安全防范系统极为重要的组成部分。目前，视频监控系统已从传统的模拟闭路电视监控系统，发展到现在的基于 IP 网络的高清数字视频监控系统。基于 IP 网络的高清数字视频监控系统，提供了更便捷、更智能、更人性化的服务，同时也带来了如视频网络入侵、视频数据盗拷等安全问题。图 1 网 络 入 侵 成 为 视 频 监 控 系 统 的 一 大 安 全 威 胁数字视频监控系统构成基于 IP 网络的高清数字视频监控系统，其最大的特点是将前端监控设备的音视频信号、报警信号等压缩、编码后，转换为基于 TCP/IP 网络标准的数据包，通过以太网接口或光纤直接传送到网络上，实现视频的远程实时浏览和监控数据远程存储。其系统架构，可简单划分为三个部分：前端、传输网络（包端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 2 页, 共 15 页含接入回传网络、承载网） 、监控系统（部署在监控中心的分析、应用服务器、存储等） 。其系统架构如下图所示：图 2 数字视频监控系统架构示意图视频前端设备包括摄像机、云台、防护罩等辅助设备以及网络接入设备（如编码器、CPE、ONU 等） 。视频前端设备完成视频信息的采集、编码，并接入视频网络将编码后的视频数据送入网络。在当前数字视频监控系统中，大部分摄像机都支持 IP 接入，但仍有部分模拟摄像机采用编码器接入网络。视频接入和传输网络应支持多种接入和传输方式，以满足复杂环境下视频前端的接入和传输需求。当前常用的接入方式有基于光传输的PON（EPON/GPON）接入，基于以太网的 IP 接入，和基于无线射频传输的 WiFi以及 LTE 接入。对于复杂的视频监控系统，通常是多种接入方式的组合来满足视频前端接入需求。端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 3 页, 共 15 页视频监控中心平台通常包含视频浏览子系统、视频管理子系统、视频存储子系统三部分。其中视频浏览子系统实现视频的电视墙、监控终端的实时浏览或录像回放；视频管理子系统实现视频流的调度、分发管理，以及系统用户权限管理；视频存储子系统完成视频数据的存储，保证视频数据的存储安全，以提供视频录像的事后查询。视频监控系统面临的安全挑战1. 视频前端接入安全挑战随着视频监控数字化的深入，支持 IP 网络接入的数字 IP 摄像机已成为主流。每一个 IP 摄像机就是一个网络接入点，分布在城市各处，为网络入侵提供了便利之门。黑客可利用这些接入点进入视频监控网络，甚至与之相连的内网及第三方网络，从而威胁整个网络的安全。图 3 黑 客 借 助 视 频 前 端 接 入 点 侵 入 系 统2. 视频网络传输安全挑战编码后的视频数据通过网络传送给远程监控中心，在视频数据传输过程中，可能被非法人员通过网络欺骗及攻击等技术，对传输中的视频数据进行拦截、盗取或破坏。保证网络传输过程中视频数据的安全性，是数字视频监控系统面临的安全挑战之一。3. 视频数据存储安全挑战视频数字化方便了视频资料的存储、复制、查阅和转发，但却增加了视频资料的安全管理难度。存储系统作为数据的保存空间，如何保证只有合法用户端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 4 页, 共 15 页才能访问视频数据？如何才能保证数据完整可靠及视频信息不泄密？这些都是视频数据存储面临的安全挑战。4. 网间互联安全挑战视频监控网络和业务网络之间以及和其它第三方网络之间的互联互通，促进了视频图像信息资源的共享，提高了政府机关协同作战能力，有效打击犯罪促进社会平安和谐。但如何做到网络间的安全隔离防护，防止网络非法入侵是视频监控网络互联面临的安全挑战。华为端到端的视频监控系统安全解决方案华为深入理解视频监控行业及客户需求，结合自身在 ICT 安全领域多年的技术、经验积累，为平安城市视频监控系统构建了从视频前端接入、视频网络传输到视频中心存储的端到端、全方位、立体安全解决方案，解决了客户对网络化数字视频监控系统的后顾之忧。华为安全解决方案系统示意图如下。图 4 华为端到端的视频监控系统安全解决方案方案1. 视频前端接入安全解决方案端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 5 页, 共 15 页在视频监控系统接入安全方案中，业界通常采用设备身份认证和设备 MAC地址绑定的方式，来防止非法设备的接入。这种方式可通过 MAC 地址复制等手段破解，安全性低而且绑定关系管理维护复杂。华为视频前端接入安全解决方案，全面支持 802.1X 接入安全认证标准，并结合 PKI 数字证书机制，提高了整个系统的接入安全防护能力。 802.1x 认证体系结构802.1x 协议是 IEEE802 LAN/WAN 委员会提出的一种基于端口的网络接入控制协议，其体系结构为典型的 C/S 体系结构，包括三个实体：客户端、设备端、认证服务器。如下图所示：图 5 802.1X 体 系 结 构 示 意 图 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端为其提供认证服务通道。客户端一般为用户终端设备，比如 IP 数字摄像机。 设备端是位于局域网段一端的另一个实体，为其所连接的客户端和认证服务器之间提供认证服务通道。通常为支持 802.1x 协议的网络设备（如交换机） 。 认证服务器是为设备端提供认证服务的实体。它存储用户的相关信息，用于实现用户的认证、授权等，比如华为的 TSM（终端安全管理）服务器。 端口，是设备端为客户端提供的接入通道，可以是物理的，也可以是逻辑的。在设备端，端口被划分为两个虚端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，用于和客户端的认证交换；受控端口在授端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 6 页, 共 15 页权状态下处于连通状态，用于传递客户端业务报文；在非授权状态下处于断开状态，禁止传递任何报文。 PAE 是指端口访问实体，是 802.1X 认证机制中负责执行算法和协议操作的实体。客户端软件和设备端软件都必须提供 PAE。 802.1x 的工作机制及认证过程IEEE 802.1x 认证系统利用 EAP（可扩展认证协议）协议，在客户端和认证服务器之间交换认证信息。在客户端 PAE 与设备端 PAE 之间，EAP 协议报文使用 EAPOL（EAP over LAN）封装格式，直接承载于 LAN 环境中；在设备端 PAE与认证服务器之间，EAP 协议报文可以使用 EAPOR（EAP over RADIUS）封装格式，承载于 RADIUS 协议中，如下图所示。图 6 802.1X 认 证 机 制 示 意 图以下是采用 EAP 中继方式的摄像机认证过程： 摄像机发送请求认证的报文给接入交换机，启动认证； 交换机收到认证请求后，回送一个请求帧要求摄像机发送认证用户名； 摄像机将用户名信息发送给交换机；交换机将摄像机送上来的数据帧经过封包处理后送给 TSM 终端安全管理服务器处理； TSM 服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给摄像机； 摄像机收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理，并通过交换机传给 TSM 服务器；端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 7 页, 共 15 页 TSM 服务器将加密后的口令信息和自己经过加密运算后的口令信息进行对比，如果相同，则认为该摄像机为合法终端，反馈认证通过的消息给交换机；否则反馈认证失败消息给交换机； 交换机收到 TSM 的认证通过消息后将端口状态改为授权状态，允许摄像机通过该端口接入网络；否则则拒绝该摄像机接入网络； PKI：公钥基础设施PKI 指 Public Key Infrastructure（公钥基础设施）的缩写，是一个用非对称密码算法原理和技术来实现，并提供安全服务的具有通用性的安全基础设施。顾名思义，PKI 技术就是利用公钥理论和技术建立的提供网络接入安全服务的基础设施。一个完整的 PKI 系统能够为网络中所有需要采用加密和数字签名等密码服务的客户端设备提供所需的密钥和证书管理，客户端可以利用 PKI 平台提供的安全服务进行安全通信。PKI 采用非对称加密算法，一般由非对称加密算法生成一对密钥后，将其中一个作为公钥向客户公开，另外一个作为私钥由生成方安全保存。经过公钥加密的信息只有私钥才可以解密，而由私钥加密的信息，也只有公钥才可以解开。数字证书也叫电子证书，包含了公共密钥发行方的相关信息和公钥信息。数字证书必须由国际权威认证机构（CA）进行认证、发放和管理，以保证公钥的真实合法性。实际网络通信中，客户端可通过认证机构（CA）获取对方的数字证书，利用其中的公钥对敏感信息进行加密后发送，对方收到数据后利用私钥进行解密获取信息。这样即使通信数据被第三方拦截，也无法解密获取信息。华为的视频前端接入安全方案，将 PKI 数字证书很好地融入 802.1X 认证机制中，加强了前端设备接入安全性。2. 视频网络传输安全解决方案端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 8 页, 共 15 页视频数据以 IP 包的形式在网络上传输，而 IP 数据包本质上是不安全的。伪造 IP 地址，篡改 IP 数据包的内容，重放旧的内容，检测传输中的数据包的内容等，都是经常被采用且比较容易实施的网络攻击。因此，没有经过安全保护的网络传输，不能保证 IP 数据包在从源到目的地的传输过程中没有被第三方篡改或者窥视。华为视频网络传输安全解决方案中，引入 IPsec 网络传输安全体系，防止 IP 地址欺骗、防止任何形式的 IP 数据报篡改和重放，并为 IP 数据报提供保密性和其他安全服务。 IPSec 协议体系结构IPSec 是 IETF（因特网工程任务组）于 1998 年 11 月公布的 IP 安全标准。它不是一个单独的协议，而是将几种安全技术结合形成一个完整的安全体系。包括网络认证协议 AH、ESP、 IKE 和用于网络认证及加密的一些算法等。其中AH 协议和 ESP 协议用于提供安全服务， IKE 协议用于密钥交换。IPSec 体系结构如下图所示：图 7 IPSec 安 全 协 议 体 系 结 构 示 意 图IPsec 提供了两种安全机制：认证和加密。认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。其中的 AH（认证头）协议定义了认证的应用方法，提供数据源认证和完整端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 9 页, 共 15 页性保证；ESP（封装安全载荷）协议定义了加密和可选认证的应用方法，提供数据可靠性保证。采用 Ipsec 协议通信的两个端点被称为是 IPsec 对等体，要在两个对等体之间实现数据的安全传输就要在两者之间建立安全关联（SA） 。SA 是通信对等体间对某些要素的约定，例如，使用哪种协议、协议的封装模式、加密算法等。IKE 协议是一个以受保护的方式为 SA 协商并提供经认证的密钥信息的协议。IKE 为 IPsec 双方提供用于生成加密密钥和认证密钥的密钥信息,提供的是一种安全的自动密钥生成、更新和管理的服务。采用 IPSec 的通信过程如下图所示。图 8 IPSec 通信过程示意图IPSec 的认证、加密机制，保证了数据在网络传输中的安全性和机密性，即使数据被非法截取，因盗取者没有解密密钥，无法获取数据的真实内容，保证了数据不泄密。3. 视频数据存储安全解决方案存储是信息存在的基础。对于 7X24 小时工作的视频监控系统而言，存储是整个系统的核心。一旦存储设备或存储数据损坏或数据泄露，将产生难以估计的损失。因此存储系统的安全可靠性对整个视频监控系统非常重要。华为视频数据存储安全解决方案涵盖设备安全可靠、数据备份恢复、数据加密及访问控制等多个方面，为视频数据存储提供高等级的安全防护。端到端的平安城市视频监控系统安全解决方案 文档密级2018-6-12 华为保密信息,未经授权禁止扩散 第 10 页, 共 15 页 可靠的硬件架构华为存储系统的关键部件采用冗余结构设计，保证单个的关键部件出现故障以后，不影响整个系统的正常运行。具体冗余设计如下：-支持 Intel 双 CPU；-支持电源、风扇冗余设计；-支持多 GE 网口绑定，保证网络连接的高可用性和提高网络性能。-元数据节点支持主备模式。MDS(元数据服务器)对整个存储系统的元数据进行管理。主备模式下，当主 MDS 节点出现故障，系统自动进行主备切换，由备 MDS 节点接替工作，保证了数据不丢失。-双交换机组网。网络存储系统的交换机采用冗余配置，保证系统任何一个网络端口或网络链路发生故障时，系统业务不受影