汉邦高科：视频安全技术解析及解决方案

一、背景

随着视频技术的发展，视频信息系统的网络化趋势明显。现有视频信息系统中，视频信息大多以明文方式存储和传输，存在较大的安全风险，尤其对公共安全、金融、司法等行业而言，信息数据的保密性要求更为迫切。保障数据存储特别是网络传输的安全尤为重要。

以平安城市为例，为了加强社会治安的管控力度，提高公安的工作效率，在平安城市已部署的视频资源的基础上，迫切需要将企业、小区、酒店、餐饮等社会资源的视频接入到城市管理平台中。同时，政府质监、安监、环保、卫生等职能部门也迫切需要将其管控对象的视频纳入行业管理平台，以提高监管的效能和效率。在这些应用中，网络传输的安全能够确保重要场所视频在互联网上传输的安全，避免敏感视频数据的泄露。

近期随着互联网技术的发展，视频监控或视频监看应用开始进入家庭，通过摄像机照看老人和小孩成为一种时尚。互联网技术带来便利的同时，也存在很大的隐私泄露隐患，建立有效的公共安全保障体系才能够让大家放心使用新技术带来的生活便利。

二、视频安全关键技术

在视频安全领域，关键技术包括如下：

加密技术

加密的基本思想是：伪装明文，以隐藏其真实内容，即将明文伪装成密文。伪装明文的操作称为加密，由密文恢复出原明文的操作称为解密。

加密和解密都需要使用一个控制信息，称为密钥。现代密码学的一个基本原则是：一切秘密都寓于密钥之中。加密算法可以公开，但密钥必须严加管理。密钥管理涉及密钥的产生、分配、存储和销毁等内容，它是信息安全的关键环节之一。

身份认证技术

身份认证主要解决“我是谁”。一个安全的身份认证协议至少应满足以下两个条件：1）识别者A能向验证者B证明他的确是A；2）在A向B提供了身份信息后，B不能模仿A向第三方证明他是A。

目前，常用的身份认证方法有口令认证、硬件认证（智能卡、U盾等）、生物识别（指纹、虹膜等）。

访问控制技术

访问控制主要解决“我能干什么”。其核心是为了限制访问发起者对访问内容的权限，从而使信息系统在合法范围内使用。它包含两个重要过程：1）“鉴别”，验证用户的合法身份；2）“授权”，赋予用户对某项内容的访问权限。

三、视频数据安全解决方案

汉邦视频数据安全解决方案在现有视频应用系统的基础上，通过在视频设备内嵌入专用加密设备，实现对视频的存储和传输进行加密；用户持有便携密码设备，用于身份认证和解密浏览视频内容；汉邦一点通视频安全网关实现多局域网之间互联的数据安全，使用更加简洁方便。

视频加密系统具备灵活的部署结构，可分布部署、集中管控，采用访问控制策略配置的方式，实现对系统中视频设备的访问管理。

汉邦视频数据安全解决方案特点：

（一）国密级密码算法

该方案以PKI技术为基础，采用国家密码局批准的SM1、SM2、SM3、SM4等高安全性密码算法，实现对信息数据的存储和传输加密，所有产品和系统通过了国家密码局的认证，数据安全得到了全方位保障。

（二）纯硬件身份认证

该方案采用专用的硬件设备，实现实体身份认证，并以此为基础进行访问控制，充分保证了视频数据的安全性。

（三）多极认证体系

该方案采用身份载体凭证发行服务器（DDS）和访问控制策略配置服务器（ACS）两级方式实现对用户的身份鉴别和访问授权功能。其中，DDS负责颁发凭证，维护系统的密匙数据；ACS在获得DDS颁发的凭证后，对用户的每次访问都按照设定策略进行授权。

为进一步增强安全性，DDS的凭证颁发和ACS的授权操作都需要管理员和操作员两极认证授权。

（四）完整的解决体系

从个人家庭用户到企业级用户，从单台设备到上千台设备，汉邦都能提供完整的解决方案，并提供相应的技术支持；对于已有视频监控系统，也可以通过方便快捷的技术改造来实现视频数据的加密，既保证了安全，又保护了用户已有的投资。

汉邦视频数据安全解决方案主要提供两种产品形态，即企业视频加密方案和家庭视频加密方案。

企业级用户

针对酒店、教育、司法、公安、电力、金融、医疗、安监、能源等行业的高端企业级用户，汉邦提供企业视频加密方案，由客户自己管理和配置凭证分发服务器（DDS）、访问控制服务器（ACS），配合汉邦提供的加密设备和相应的平台软件及客户端，能满足用户的需求，汉邦负责对用户做前期的培训和后期的售后支持工作。

家庭用户

针对个人家庭用户，汉邦提供家庭视频加密方案，由汉邦管理凭证分发服务器（DDS）和访问控制服务器（ACS），负责密匙凭证的分发和配对，并将访问控制服务器（ACS）放在公网上，汉邦负责其运行和维护，汉邦家用摄像机采用TF卡进行视频加密，TF卡同时还具备存储视频数据的功能。

此外，针对已经部署好的网络视频监控系统，想要快速实现局域网互联的安全，可以采用一点通安全网关的方式，在局域网内数据以明文方式传送，数据使用一点通安全网关加密后通过互联网与其他地区局域网互联，安全网关接收到密文，解密后转发到局域网内分享。这种方式能够确保使用互联网互联的安全，也免除了客户端访问的授权和认证工作。采用一点通安全网关的系统基本系统组成如下：

系统中一点通安全网关中安装加密认证模块，安全网关具有端口映射和互联网NAT穿透功能，可以实现局域网之间的安全互联。各类视频设备通过安全网关的映射，能够实现通过互联网的互通互联，网络上的视频数据全部以密文传送。通过ACS服务授权客户端权限，客户端可以使用USB或蓝牙接口的认证密钥，支持PC机和移动设备的访问。

四、总结与展望

在安全形势变得日益严峻的今天，提高视频监控系统本身的安全性能已经成为燃眉之急。汉邦高科提供的视频数据安全解决方案，从系统角度出发，全方位覆盖了视频监控的各个环节，有力的保障了数据安全。

接下来，汉邦将从如下方向进一步优化解决方案：

1．提升系统的加解密效率。由于采用复杂的加密算法和认证体系，加解密必然会消耗一定的CPU资源和网络带宽，如何不断提升效率，尽可能小的影响系统整体性能，这是需要持续进行优化的。

2．在保证系统安全性的前提下，提升用户体验。众所周知，要提升安全性，不可避免的会带来操作的复杂性。在体验为王的当今时代，如何在安全性不受影响的同时，能够尽可能的让用户使用便利，这是需要我们不断尝试的。

“攻”和“防”是安全问题上永远对战的双方，然而，“魔高一尺，道高一丈”，在汉邦视频数据安全解决方案的保护下，我们一定能取得这场安全大战的最终胜利。