基于公普加密的安全视频监控系统的设计.docxVIP

PAGE 1 - 基于公普加密的安全视频监控系统的设计 基于公普加密的安全视频监控系统的设计 引言 目前，网络视频监控技术不断进展，其关注的重点在于系统功能的实现，主要包括视频图像的采集、存储和如何实现网络传输。其安全则由于技术限制〔实时视频大数据的加密瓶颈〕和预备缺乏成为行业产品厂商的短板甚至是盲区，造成了目前的视频监控系统自身安全保障的缺失。因此，研发实现更加可靠、更加安全且完全自主可控的网络视频监控产品势在必行。 2安全视频监控系统的组成 加密监控主要包括前端安全视频采集接入和后端服务中心治理两大部分。 系统首先利用前端的视频采集设备，包括高清安全网络摄像机，将视频数据采集并加密后，通过视频专网传输到后端治理中心。然后通过治理中心的视频治理主服务器、流媒体服务器、存储服务器、安全解码器、CA认证服务器及安全工作站等后端治理设备对视频数据进行安全的客户端扫瞄、集中存储、电视墙观看等具体应用。安全视频监控系统结构如图1所示。 3安全视频监控系统的工作原理 安全视频监控系统内各设备通过内置加密模块，在CA服务器的支持下，利用公钥协商方式协商出视频密钥加密密钥，然后使用对称算法加密传输视频数据。 具体工作原理如下所示： ①密钥协商。存储服务器和加固摄像机建立视频连接时，每24小时进行1次密钥协商，协商胜利后更换视频密钥加密密钥。密钥协商基于公钥密码算法，在CA服务器的支撑下进行。 ②加密传输。密钥协商胜利后，加固摄像机使用本地生成的视频加密密钥加密视频数据，视频加密密钥〔VEK〕由交互的视频密钥加密密钥〔VKEK〕加密后也随码流一起传输，视频加密密钥〔VEK〕每1小时更新一次。在视频监控网络中传输时，视频数据以加密形態出现。 ③密文存储。加密视频数据到达存储服务器后，由存储服务器直接以密文方式存入本地。伴同密文一起存储的还包括用存储服务器公钥加密的视频密钥加密密钥〔VKEK〕和对应的视频密钥加密密钥版本〔VKEKVersion〕参数。存储码流的开始必需要包含一个〔VKEKVersion，VKEK密文〕数据包，说明该数据包之后的码流均通过该组VKEK对VEK进行加密操作，直到出现下一个〔VKEKVerison，VKEK密文〕数据包，说明新数据包之后的VKEK需要更新。安全监控工作站需要调取历史数据进行查看时，存储服务器先用私钥解密出录像文件中保存的VKEK的原文，并用码流接收方的公钥对VKEK原文重新加密后，和对应的VKEKVersion一起用信令的方式转发给码流接收方;录像文件保持加密形式发送给码流接收方;接收方用自己的私钥解密VKEK后，用VKEK解密VEK，从而解密视频流用于播放。 ④加密转发。安全解码器、安全监控工作站和加固摄像机之间不直接连接，而是通过存储服务器获得视频数据。安全解码器、安全监控工作站与存储服务器建立连接时，存储服务器将相关加固摄像机的VKEK和对应的VKEKVerison通过信令方式转发给安全解码器、安全监控工作站，转发过程也要执行1次密钥协商过程，区分是视频加密密钥不是新生成的，是转发加固摄像机的。