一种视频监控系统的数据安全防护系统和方法技术方案

本发明专利技术涉及一种视频监控系统的数据安全防护系统和方法，通过使用密码技术中的身份认证、数字签名、完整性校验、数据加解密等技术，可实现在视频监控系统中对数据的安全防护，以避免因设备伪造、非法侦听、篡改数据等对视频监控数据带来的安全问题。本系统包括网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块、功能配置模块、日志审计模块。本发明专利技术所述的系统和方法，基于密码技术，对视频监控系统数据提供安全保障，而且不会对现有部署的视频监控系统前端设备和视频监控管理平台产生影响，实施简单，提供良好的兼容性保障，另辟蹊径的控制成本与实施难度，促使安全技术能够切实落地，提升系统GB35114合规性建设。

A data security protection system and method of video monitoring system

【技术实现步骤摘要】
一种视频监控系统的数据安全防护系统和方法
本专利技术涉及一种视频监控系统的数据安全防护系统和方法，通过使用密码技术中的身份认证、数字签名、完整性校验、数据加解密等技术，可实现在视频监控系统中对数据的安全防护，以避免因设备伪造、非法侦听、篡改数据等对视频监控数据带来的安全问题。缩略语及名词解释GB/T28181：安全防范视频监控联网系统信息传输、交换、控制技术要求GB35114：公共安全视频监控联网信息安全技术要求FD：Front-endDevice，前端设备，部署在监控区域的IP摄像机FDWSF：Front-endDeviceWithSafetyFunction，具有安全功能的前端设备BD：Back-endDevice，后端设备，部署在监控系统后台的设备，比如视频监控信令控制服务器、视频监控媒体处理服务器等UE：UserTerminal，用户终端，用于查阅视频监控图像的个人电脑(PC)BDWSF：Back-endDeviceWithSafetyFunction，具有安全功能的后端设备VEK：VideoEncryptionKey，视频密钥，在前端设备或前端代理设备上随机产生，用于对视频数据进行加密。这是一种是在对称密码算法中使用的密钥。对称密码算法加密过程和解密过程使用相同或容易相互推导而得出的密钥，称为对称密钥。VKEK：VideoKeyEncryptionKey，视频密钥加密密钥，顾名思义，是对视频密钥进行加密的密钥。在后端设备或后端代理设备上产生，并需要利用密码协议安全传输给前端设备或前端代理设备，以及系统中其他需要获得VEK的设备VKMS：VideoKeyManagementSystem，视频密钥管理系统，用于视频监控系统电子证书的制发、查询和验证功能，以及完成对密钥生命周期管理的系统SM2密码算法：我国商用密码体系中的公钥密码算法(非对称密码算法)SM3密码算法：我国商用密码体系中的杂凑运算密码算法SM4密码算法：我国商用密码体系中的分组密码算法(对称密码算法)RSA密码算法：一种国际上广泛使用的非对称加密算法，1977年由罗纳德·李维斯特(RonRivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(LeonardAdleman)一起提出。RSA就是他们三人姓氏开头字母拼在一起得来。SHA密码算法：安全散列算法(SecureHashAlgorithm)，一种国际上广泛使用的散列算法，用于确保信息传输完整一致性。MD5密码算法：消息摘要算法(MD5Message-DigestAlgorithm)，一种国际上广泛使用的散列算法，用于确保信息传输完整一致性。AES密码算法：高级加密标准(AdvancedEncryptionStandard)，一种国际上广泛使用的对称加密算法，在密码学中又称Rijndael加密法。DES密码算法：数据加密标准(DataEncryptionStandard)，一种国际上广泛使用的对称加密算法，但因为安全问题，在某些高密级的场合下已不建议使用。
技术介绍
随着经济的快速发展，视频监控系统广泛的被应用。然而视频监控系统也面临着大量的攻击，比如：1.将伪造的摄像机安装在特定位置，非法获取信息或提供虚假信息2.非法侦前端IPC摄像机采集的视频流，非法获取监控图像，侵害个人隐私3.篡改视频数据逃避法律制裁针对视频监控系统的种种攻击行为，正是利用了视频监控系统中安全薄弱的环节，因而也产生了如下的安全需求：1.设备身份认证需求视频监控前端设备广泛的分散在公共场所，和后端监控管理平台通过IP网络互联，入侵者可能通过伪造前端设备、后端监控管理平台，以及视频监控管理用户，接入到视频监控系统中，非法窃取视频内容。因此需要在视频监控前端设备和后端监控管理平台之间，以及监控管理用户和监控管理平台之间进行双向的身份仁恒，确保双方身份不被伪造。2.视频数据完整性需求视频监控系统的数据可以细化分为信令控制消息和视频监控图像。攻击者可以通过篡改视频监控系统中的信令控制消息，比如转动角度，以控制前端设备，进行非法采集；攻击者还可能篡改前端设备回传的视频监控内容，达到混淆视听，误导用户的目的。因此视频监控系统数据具有完整性需求。3.视频数据来源可追溯性视频监控系统前端设备拍摄的视频内容或关键图片经常会成为记录该前端设备所覆盖区域的关键事件甚至是违法犯罪按键的关键取证。因此，视频数据来源具有可追溯性需求。4.视频数据机密性需求视频监控系统前端设备与管理平台之间，管理平台与管理平台，管理平台与用户终端之间传输视频数据时，比较容易被截取，导致关键或者敏感内容的泄露。因此，视频数据具有机密性的需求。针对视频监控系统面临的严峻信息安全威胁，政府也发布了最新的指示。2017年公安部制定《公共安全视频监控联网信息安全技术要求》，即GB35114-2017技术标准，要求视频监控系统对设备身份进行认证，对视频数据能够进行溯源，传输过程要保证机密性和完整性。而密码技术是解决上述安全需求的一种可行的技术选择。依靠密码技术体系，可以采用如数字证书、数字签名、数据加密等手段，防止设备和用户非法接入、防止信令和视频数据被非法篡改、抵赖和窃取。而现有的视频监控系统，无论是前端设备，还是后端监控管理平台，以及用户终端，仍然以视频监控功能为主，安全意识和技术手段考虑都不充分，这体现在：1.仅仅依靠设置登录口令。2.安全意识薄弱，认为“专网”是一种安全的网络，不会被攻击。3.人工记录表格对视频监控设备进行管理。正是因为安全意识的薄弱，技术手段的落后，在视频监控系统中产生了较大的数据信息安全隐患。为了解决安全问题，满足GB35114的技术要求，传统做法是对现有已大量部署的视频监控设备进行彻底的改造，这将面临巨大的成本和实施难度，需要一种另辟蹊径的系统和方法，控制成本与实施难度，促使安全技术能够切实落地。
技术实现思路
本专利技术提供了一种视频监控系统的数据安全防护系统和方法，基于密码技术，对视频监控系统数据提供安全保障，而且不会对现有部署的视频监控系统前端设备和视频监控管理平台产生影响，实施简单，提供良好的兼容性保障。本专利技术所述的视频监控系统数据安全防护系统，可从三个层面对视频监控系统的数据安全进行防护。1.保证前端IPC摄像机到后端视频监控管理平台这段路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。2.保证后端视频监控管理平台到用户终端这段路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。3.保证互联的两个监控管理平台之间的路径上视频数据的安全，即保证传输数据的设备身份可信、可溯源、防篡改、机密性。图1为本专利技术所述的视频监控系统数据安全防护系统组成，由接入安全子系统与核心安全子系统两个子系统构成：本文档来自技高网...

【技术保护点】
1.一种视频监控系统的数据安全防护系统，其特征在于，系统包含前端的接入安全子系统和后端的核心安全子系统，两个子系统包含的模块是相同的：网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块、功能配置模块和日志审计模块，其中：/nA.网络处理模块主要负责对接收的报文进行收发处理；/nB.密码处理模块分成三个子模块，即密码算法模块、密码服务模块、密钥管理服务模块；其中密码算法模块主要负责对多种密码算法的集成；密码服务模块主要负责将底层密码算法封装为上层业务容易使用的接口；密钥管理服务模块主要负责对密钥生命周期的管理；/nC.信令处理模块负责对信令控制消息进行处理；/nD.媒体处理模块负责对媒体数据报文进行处理；/nE.设备管理模块负责维持子系统之间的心跳消息以及运行状态的同步；/nF.数据库模块负责对系统配置数据进行持久化存储，确保系统重启后，无须重新配置即可正常运行；/nG.功能配置模块负责对系统功能进行相关配置，主要包括：IP地址配置、密码算法套件配置；/nH.日志审计模块负责记录各模块运行过程中错误或警告信息，以及对系统运行过程中数据的流转情况进行记录，包括：接收IP、接收端口、发送IP、发送端口、传输协议、密钥协商等，便于跟踪回溯。/n...

【技术特征摘要】
1.一种视频监控系统的数据安全防护系统，其特征在于，系统包含前端的接入安全子系统和后端的核心安全子系统，两个子系统包含的模块是相同的：网络处理模块、密码处理模块、信令处理模块、媒体处理模块、设备管理模块、数据库模块、功能配置模块和日志审计模块，其中：
A.网络处理模块主要负责对接收的报文进行收发处理；
B.密码处理模块分成三个子模块，即密码算法模块、密码服务模块、密钥管理服务模块；其中密码算法模块主要负责对多种密码算法的集成；密码服务模块主要负责将底层密码算法封装为上层业务容易使用的接口；密钥管理服务模块主要负责对密钥生命周期的管理；
C.信令处理模块负责对信令控制消息进行处理；
D.媒体处理模块负责对媒体数据报文进行处理；
E.设备管理模块负责维持子系统之间的心跳消息以及运行状态的同步；
F.数据库模块负责对系统配置数据进行持久化存储，确保系统重启后，无须重新配置即可正常运行；
G.功能配置模块负责对系统功能进行相关配置，主要包括：IP地址配置、密码算法套件配置；
H.日志审计模块负责记录各模块运行过程中错误或警告信息，以及对系统运行过程中数据的流转情况进行记录，包括：接收IP、接收端口、发送IP、发送端口、传输协议、密钥协商等，便于跟踪回溯。


2.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，该系统随着Linux系统启动时自动启动，完成配置加载后承接业务。


3.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，接入安全子系统部署在前端接入区，与前端设备紧邻对接；核心安全子系统部署在视频监控中心，与接入安全子系统进行对接。


4.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，接入安全子系统具备如下功能：
A.基于数字证书对前端IPC摄像机进行身份认证，阻断仿冒伪造或者不受信任的摄像机，无法访问网络；
B.基于数字证书对后端核心安全子系统进行身份认证，保证数据发往可信任的目的地；
C.用自己的私钥对前端设备采集的监控视频数据，包含信令控制消息和监控视频数据，进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认；
D.用视频密钥VEK对视频数据，包含信令控制消息和监控视频数据，进行加密，保证视频数据的机密性；
E.用核心安全子系统的公钥对后端视频管理平台发送的信令控制消息进行数字验签，保证信令控制消息来可信，未被篡改；
F.用视频密钥VEK对后端视频管理平台发送的加密过的信令控制消息进行解密。


5.如权利要求1所述的一种视频监控系统的数据安全防护系统，其特征在于，核心安全子系统具备如下功能：
A.基于数字证书对接入安全子系统进行身份认证，确保监控视频来源于可信的前端接入设备；
B.基于数字证书对终端用户进行身份认证，保证连接视频监控平台是可信任的用户终端；
C.用接入安全子系统的公钥对前端设备发送的监控视频数据，包含信令控制消息和监控视频数据，进行数字验签，保证信令控制消息来可信，未被篡改；
D.用视频密钥VEK对接入安全子系统发送的加密过的监控视频数据，包含信令控制消息和监控视频数据，进行解密；
E.用核心安全子系统的私钥对发往前端设备的信令控制消息进行数字签名，保证视频数据来源于可信，以及不可篡改性、不可否认；
F.用视频密钥VEK对发往前端...

【专利技术属性】
技术研发人员：张强，王晓波，
申请(专利权)人：慧盾信息安全科技苏州股份有限公司，
类型：发明
国别省市：江苏;32